Pfsense como Router y FW con ISP de Movistar. (es posible?)



  • Es escenario es el siguiente.

    En una red, con el ISP de Movistar por Ethernet, no se contaba con un Firewall, el esquema era asi:

    ISP ---------- Router --------- Core

    En el router se tenia configurada una vlan con el tag 500 en la f/0 con una ip privada y en la f/1 una nat con el pool /29 (algo que no entendi mucho ya que no manejo Cisco). Pareciera que el pool /29 se encapsula con la vlan de la red interna. Algo propio en el cisco.

    Esa era la situación encontrada.

    La idea fue implementar el FW Pfsense. En un principio, quitamos el router y trate de colocar lo mismo, cree mi vlan tag 500, y veía el equipo de Movistar. Pero no encontre forma de activar el servicio con el pool de ip /29.

    Tuvimos que llamar al soporte de movistar y la solución fue lo que yo me imaginaba (pues el estándar que siempre me consigo) El router cisco no muere. la única diferencia es que en la f/1 pasa a tomar el gateway (primera ip) del pool /29.

    De esta forma Pfsense va pegado al router a nivel wan y toma un pool de la /29. En este punto todo quedo con el estandar: isp------ router-------- pfsense------core.

    Antes de terminar la llamada, se le pregunto al técnico de movistar si es posible realizar dicha configuración con el FW pfsense, incluso con cualquier otro fw, sea fortinet, juniper etc. Su respuesta fue que: NO, que ajuro se debe tener router cisco para tal fin.

    Lo cual me genera dudas. Espero por sus opiniones. lo otro que se me estaba ocurriendo era colocar un pfsense por delante como router puro (no se si funciona) y el fw pfsense normal. Pero no veo como hacerlo ALL in ONE. Firewall-Router.



  • @j-sejo1 Hola,
    En mi caso con el operador MOVISTAR lo tengo de la siguiente forma: ISP----- Router en modo Bridge ----- pfsense -----Core de esta manera todo el peso de la red (DATOS) lo gestiona pfSense. El servicio de VOIP y IPTV lo sigue gestionando el Router de Movistar.

    Para modificar estos parametros deberias realizar los siguientes pasos desde el Router de Movistar:

    1 - Configuración avanzada - Mantenimiento _ Realizar Backup de configuración actual por posibles errores durante el proceso de desconexión de la VLAN de DATOS
    2 - Configuración avanzada - WAN SERVICE - Eliminar la VLAN 6 (DATOS) (mantener la VLAN 2 (IPTV) y VLAN 3 (VOIP) de esta manera el servicio de telefono y televisión los continua gestionando el Router de Movistar.
    3 - Pulsamos en Añadir y Siguiente para entrar en el menu WAN Service Configuration y seleccionamos la opción BRIDGING
    4 - En la opción 802.1P Priority (0-7) añadimos el numero 1 - En la opción 802.1Q VLAN ID (0-4094) añadimos el numero 6
    5 - Pulsar Siguiente
    6 - Los siguientes servicios han quedado en modo disabled:
    NAT
    Full Core NAT
    IGMP Multicast Proxy
    IGMP Multicast Source Enabled
    MLD Multicast Proxy
    MLD Multicast Source Enabled
    Quality of Service
    7 - Pulsar sobre Apply/Save y reiniciar el Router manualmente pulsando el boton trasero.
    8 - En mi caso tambien esta desabilitado el servicio del WIFI desde el Router de Movistar porque este servicio lo gestiona la red Mesh de Google que tengo funcionando.
    9 - Configurar la WAN en pfSense con los datos de conexión de Movistar. En mi caso lo tengo configurado como WAN PPoE con los siguientes datos:
    Usuario: adslppp@telefonicanetpa
    Contraseña: adslppp

    0_1547405896136_pfSense 5.PNG

    Y por mi parte nada más que añadir porque entiendo que el resto de configuraciones del pfSense ya depende de cada necesidad.

    Saludos cordiales



  • Saludos. Gracias por el aporte.

    Si. lo dejamos así, para no inventar la rueda.

    Quedo isp....... router....... pfsense.......core.

    El pfsense controla todo, ya tiene el pool /29, hace nat. etc.

    Saludos.


Log in to reply