Pfsense en bridge ¿como cablear?
-
Hola
Agradeceria mucho sime aclaran lo siguiente:
Cnfirgure el PFSENSE en modo bridge de acuerdo a los siguientes links pero hay una diferencia en ambos uno configura WAN y LAN con la misma IP y el otro dice que es mejor con diferentes IPs.
http://ricondefreebsd.blogspot.com/2007/04/pfsensebridge-y-no-morir-en-el-intento.html
http://pfsense.trendchiller.com/ (el pdf)Lo que si sucede es que al webconfigurator solo entro por la que se configura en LAN y no por la WAN como dice el primer link
Entonces mi duda es la siguiente si esta en modo bridge se supone que deberia entrar y pasar la informacion y se filtra pero se supone que si mi gateway es por ejemplo 192.168.1.1 y la IP LAN de pfsense es 192.168.1.10 y la WAN 192.168.1.10 o 192.168.1.11 entonces la 192.168.1.1 deberia seguir siendo el gateway configurado en las tarjetas de red de las computadoras de la LAN y 192.168.1.10 seria solo para entrar al webconfigurator ¿no es asi?
Y para que puedan filtrar por ejemplo todas las computadoras deberian ir conectadas a un switch y de ese switch sale un cable de red a la tarjeta eb0 LAN del pfsense y de la tarjeta eb1 WAN saco el cable al router que me da acceso a internet y que tiene IP 192.168.1.1 que es el gateway, es asi que deberia funcionar?
Pues por que si bien es cierto me ha funcionado lo del squid me sucedio que solo conectando la tarjeta LAN a la red y colocando por gateway 192.168.1.10 en la computadora aprobar funcionaba lo cual me asombro pue no habia conectado la WAN del pfsense.
Pero supongo lo ideal es como explique arriba para no tener que cambiar el gateway en cada computadora y ademas porque asi me daria mas seguridad y asi es que pensaba hacerlo.
Agradeceria su ayuda
Gracias
-
¡Hola!
No he montado nunca pfSense como bridge pero…
1. [System] [Advanced tab] [Enable the filtering bridge mode] no sirve para nada en las versiones actuales.
2. Hay que hacer bridge de una interfase con la otra.
3. La interfase que manda es la que tiene una IP, a efectos administrativos. Para poder configurar el equipo, vaya. Entiendo de debe ser LAN y entonces hacer bridge en WAN contra la LAN.
4. En ese contexto entiendo que la LAN seguirá siendo el DHCP, DNS y puerta de enlace de los equipos.
5. Y el router ADSL la puerta de enlace de pfSense.
6. Evidentemente todos están en el mismo rango de IPs.
Bueno, creo que debería ser eso. Me pregunto no obstante porque quieres poner a pfSense en modo bridge en una instalación así. Yo no lo haría. Daría un rango a WAN y router ADSL y otro a la LAN y equipos. Más claro, más eficiente y más seguro.
Saludos,
Josep Pujadas
-
Hola
Gracias por responder
La razon por la que necesito ponerla asi es que tengo un router load balancer que ya hace NAT y colocar un firewall que otra vez haga NAT provoca problemas de conexion como time out o desconexiones ya que hay varias computadoras que usan el vpn client de cisco y tambien se requiere usar FTP en una que otra maquina.
El load balancer va conectado a los modems/routers ADSL pero los he puesto en modo bridge y asi solo uso el modem. Esto es porque se necesita el RJ11 que no tiene el load balancer.
Antes habia probado con el ISAserver haciendolo como comentas pero sucedian los poblemas mencionados por lo que opte por buscar un bridge firewall y asi evitar el doble NAT.Es por eso que queria saber si el pfsense funciona asi es decir como un filtro solo sin IP o de todas maneras lo tendria que poner como gateway.
Lo que probe hasta el momento era configurarlo como dicen los links en bridge y con proxy tranparente y de acuerdo al tutorial para squid http://forum.pfsense.org/index.php/topic,22273.0.html
asi conecte el cable de la LAN al switch principal y el WAN sin conectar a nada, luego configure en la PC a probar el gateway que era la IP LAN del pfsense 192.168.1.10, el servidor de dominio y Active Directory quedo con el gateway del load balancer 192.168.1.1 es decir no pasaba por el pfsense.Tambien probe conectando las 2 tajetas al switch priincipal pero a veces como que se quedaba plantado por lo cual desconecte la WAN y funciono con la LAN lo cual me parecia curioso.
Saludos
-
si el pfsense funciona asi es decir como un filtro solo sin IP
Sí, en modo bridge. Con una IP para administrarlo…
bridge y con proxy tranparente
Creo que esto es incompatible. Un proxy transparente requiere que el equipo sea capaz de enrutar. Traté hace tiempo de hacerlo con un FreeBSD con PF (Packet Filter) en modo bridge y no encontré la forma. Tuve que dejarlo en modo router. Por lo que me temo que con pfSense (basado en FreeBSD y PF) debe suceder lo mismo.
Tambien probe conectando las 2 tajetas al switch priincipal
Nada ortodoxo. Los switches manejan tablas ARP… Ahí puede suceder cualquier cosa.
Saludos,
Josep Pujadas
-
Hola Josep
Muchas gracias por la aclaracion.
Quiere decir que si lo coloco en modo bridge ya no deberia instalarle el paquete squid guard (para el cual antes tengo que instalar el squid proxy como requerimiento) pues no me serviria o que si puedo usar elsquid guard pero en el squid proxy no marco la opcion de proxy transparente.
Otra duda es la siguiente es que si en modo bridge lleva un IP para administracion porque en WAN colocaria otra IP y en LAN otra cuando recien confguro el pfsense.
Gracias
-
si puedo usar elsquid guard pero en el squid proxy no marco la opcion de proxy transparente.
Efectivamente, puedes tener squid+squidGuard pero no en modo transparente. En ese caso hay poner en los navegadores el proxy. Y mediante reglas se puede impedir que los equipos naveguen si no tienen el proxy puesto.
Otra duda es la siguiente es que si en modo bridge lleva un IP para administracion porque en WAN colocaria otra IP y en LAN otra cuando recien confguro el pfsense.
Sobre el papel (insisto en que no lo he montado con pfSense)… Sólo tiene IP la interfase que manda. La que está en modo bridge contra la otra no tiene IP. A ambos lados estás con el mismo subrango de red, por lo que acceder de un lado a otro es simplemente una cuestión de las reglas que pongas en cada interfase.
Saludos,
Josep Pujadas
