Nuevo Proyecto pfSense para mi red, ideas.
-
Buenas tardes a tod@s,
tengo una infraestructura de red que paso a detallar, así como servers, WAN's, etc... y las aplicaciones a adoptar:Partimos de la base que no hay nada de DHCP, todas las IP's son manuales:
1 ISP (WAN) Vodafone fibra con ip pública fija e ip interna 10.0.0.x
1 ISP (WAN2) Orange fibra con ip pública fija e ip interna 192.168.1.1
1 Server Controlador de Dominio en el rango 192.168.1.x
1 Server FTP incluido en el Controlador de dominio en el rango 192.168.1.x
1 Server para pfSense con 4 tarjetas de red, Actualmente:
- LAN 192.168.1.101
- WAN 10.0.0.100
1 SAI APC con ip 192.168.1.x
...Otro Hardware...Los servicios a adoptar, serían los siguientes:
1.- Tener activas las 2 WAN's por si una de ellas falla la otra siga trabajando.
2.- Añadir proxy "squid"
3.- Añadir pfBlockerNG
4.- Añadir Portal Cautivo
5.- Añadir OpenVPNActualmente utilizamos la VPN del Windows Server, pero queremos implementar el OpenVPN, que nos parece más seguro.
Aunque la BBDD de los usuarios en principio están el pfSense, me gustaría saber cómo loguearse con las credenciales del servidor de windows.Hay algo que se pueda hacer mejor en la estructura, algún consejo de cómo llevarlo a cabo sin morir en el intento?.
Por ahora todo esto se hará en pruebas, aunque con algunos servicios reales.
La intención es saber cómo hacerlo todo de manera fiable para poder implantarlo en un futuro en algunos de mis clientes.Muchas gracias y un saludo a tod@s
PD, perdón por la "chapa" -
Se me olvidó comentar:
el server de pfSense tiene 2 ssd de 240GB, con posibilidad de RAID 1 en placa.Si teneis algún consejo sobre esto, tambien seran bienvenidos, no se si hacerlo con el RAID de la placa o con el pfSense directamente, no se si hacer particiones, etc...
Muchas gracias.
-
@Protelia a Nivel de Raid siempre es mejor hacerlo por hardware o placa como tu comentas. A pesar de que con pfsense tambien puedes hacerlo, siempre lo recomendado es que si tu equipo te lo permite hacer, es mejor por hardware.
Particiones? Yo siempre lo dejo por defecto, y nunca me ha ido mal con ello. Es decir una sola particion.
Proxy? Yo acostumbro a manejarlo fuera del Firewall Perimetral, es decir prefiero colocar un proxy dedicado aparte (con pfsense o debian) bajo la modalidad de "NO transparenter".
OpenVPN es ideal para el cliente-servidor, sim embargo tienes IPSEC para integraciones con otros software o fabricantes.
DHCP? Depende de la cantidad de hosts y usuarios a manejar. En una red grande (y mas segmentada), Acostumbro a manejar el DHCP en otro servidor aparte. Aplica lo mismo del proxy.
Si tienes todo de cero, lo bueno que es ensayo y error, vas poco a poco.
Si vas a publicar servicios no olvides tener una DMZ.
Pfsense hará enrutamiento lan? o un equipo capa3?
Saludos.
-
Ya estoy por aquí de nuevo,
muchas gracias por contestar, he empezado a configurar el pfSense, tengo 4 tarjetas de red, espero que sean suficientes.
Paso a comentar los pasos que he ido dando, porque me ha sido imposible conseguir el balanceo de WAN's y el openvpn.
la primera WAN que configuré es la WAN con ip interna 10.0.0.100 como gateway 10.0.0.1
la segunda WAN que configuré es la WAN2 con ip interna 172.26.0.100 como gateway 172.26.0.1El server con el rol de Controlador de dominio tiene asignada la 192.168.1.40, que es también el servidor de DNS y que quiero seguir manteniendo como server de DNS.
Nuestra LAN esta en el rango de 192.168.1.0/24.he conseguido después de mucho leer con NUT, conseguir la comunicación con el SAI "Bieeen".
Después de leer cómo hacer la "MultiWAN" conseguí levantarlas, con prioridad sobre la WAN2 y funcionando en caso de falla, lo curioso es que desconectaba la WAN y no había forma de tener internet con la WAN2.
hice multitud de pruebas y nada, sobre esto tengo alguna duda:
la puerta de enlace en los ordenadores-servidores de la LAN hay que poner la dirección LAN del pfsense (la de gestión es la 192.168.1.101)?? y en las DNS también???, porque necesito que las DNS de los puestos sea la IP del server.En cuanto a openVPN, hice lo que dicen los manuales que he leído, certificados, alta del server openVPN con un tunnel network v4 en el rango 169.254.0.0/16.
después de exportar los usuarios, hice pruebas con dispositivos android con la aplicación de OpenVPN y con windows 10.
ambos se conectan a la VPN con la ip tipo 169.254.0.2 pero no tengo acceso ni a la LAN ni a internet.he estado leyendo varios post de cómo hacerlo pero sigo sin poder conseguirlo.
Alguna idea???, si veis alguna manera de mejorar o simplificar serán bienvenidas.
Un saludo y muchas gracias por vuestro apoyo en el foro.
-
Hola, @Protelia el rango que indicas como "169.254.0.0/16" no es buena idea utilizarlo. Te recomiendo que utilicen otro (ver https://rootear.com/windows/ip-169-254) por otro lado, si has logrado conectarte mediante OpenVPN revisa en los logs, lo más normal es que tenga que crear algunas reglas para poder acceder a los servicios que necesitas.
saludos.