PFSense, 2 WAN's y Active directory



  • Muy buenas a todos!

    Gracias a este foro estoy consiguiendo configurar mi pfsense, pero tengo algún problemilla.

    Mi pfsense se compone de 7 tarjetas de red con, ahora mismo, 5 lans con diferentes ip's:

    LAN: 192.168.1.0/24 (servidores)
    WAN: 192.168.5.0/24
    WAN2: 192.168.50.0/24
    ALUMNES: 192.168.10.0/24
    PROFES: 192.168.100.0/24

    Bueno pues el tema es que ya que tenemos dos conexiones a internet, me gustaria que la lan Alumnes saliera por WAN2 y el resto de LAN's salieran por WAN1. Siguiendo el tutorial de Josep Pujadas he creado una regla en el firewall, dentro de la lan Alumnes, para que todo el trafico salga por la puerta de enlace de WAN2. Esto funciona perfectamente si el dns configurado en los clientes de Alumnes es público (ej: 8.8.8.8). Pero no funciona si tengo como DNS en los clientes de Alumnes a mi servidor de Active directory que está situado en LAN. Supongo que como el Controlador de dominio tiene como puerta de enlace pfsense, y los clientes de Alumnes, a traves de la regla del firewall, cambian la puerta de enlace por la de el router ubicado en WAN2, no hay comunicación entre el servidor de dominio y los clientes alumnes, por lo que no navego porque no tengo dns. (si hago un ping desde un cliente al servidor de dominio no obtengo respuesta)

    La pregunta es: Puedo tener como dns en todas las maquinas clientes de todas las redes a mi servidor de active directory y tener diferentes salidas a internet?

    Gráacias de antemano,

    saludos!



  • Configura tu pfsense para que utilize tu ad como dns, ademas desabilita la casilla Allow DNS server list to be overridden by DHCP/PPP on WAN.
    Adicional a esto en las reglas que creas en tu interfaz alumnes, en gateway coloca el nombre de tu wan2.

    Prueba y nos cuentas



  • Gracias! mañana pruebo y os comento!



  • Bueno pues la cosa funciona a medias :o.

    He configurado pfsense para que tenga como dns mi controlador de dominio ubicado en la lan y con ip (192.168.1.XXX). He desactivado tambien la casilla "Allow DNS server list to be overriden by DHP/PPP on WAN".
    He creado una regla en el firewall, dentro de la interfaz alumnes, con gateway el nombre de mi salida WAN2.

    Ahora desde un cliente de Alumnes (192.168.15.XXX) puedo navegar y realmente salgo por WAN2, pero si hago un ping a mi Domain controller no responde :(.

    El Controlador de dominio es, a la vez, servidor de archivos y necesito que tegan acceso a él desde cualquier LAN. Como lo hago???? HELP!

    Gracias de antemando!

    Saludos!



  • Sigo con mis pruebas ;D

    He conseguido que la red Alumnes salga por Wan2 y el resto por WAN1. Hice lo que me dijo Leoalfa09, y ademas tengo una regla en Alumnes que dice que todo el trafico tcp, que vaya por el puerto 80 al 443, salga por WAN2. De esta manera tengo comunicación con mi controlador de Dominio y para las peticiones de http y https salgo por WAN2.

    Peeero, tengo el problema que si tengo squid activado sobre Alumnes, no funciona :). Parece que squid vuelve a cambiar la puerta de enlace a la que tiene por defecto pfsense (WAN1). Hay alguna manera de modificar este comportamiento de squid?

    Gracias de antemano!



  • Parece que squid vuelve a cambiar la puerta de enlace a la que tiene por defecto pfsense (WAN1).

    Un squid montado en el propio pfSense sale siempre por WAN, es decir, la primera WAN o WAN por defecto.

    No sé cuanto grande es tu centro pero en el mío tenemos un squid en la red de alumnos y pfSense sólo permite navegar a este squid, con lo cual el proxy es obligatorio.

    Hay otras combinaciones, pero un squid siempre te saldrá por una única puerta. Si quieres balancear el tráfico para el squid hay que pensar en un equipo detrás que sólo se dedique a balanceo. O en virtualización en un único equipo…


    En cuanto a que las máquinas se vean de una LAN a otra esto no tiene que ser problema alguno. Todo es una cuestión de que en LAN autorices ir a Alumnos y en Alumnos ir a LAN, para los servicios que desees. En el tutorial está explicado. Si no funciona es que te faltan permisos. Si quieres salir de dudas pon una regla en LAN que deje hacer todo hacia Alumnos y una en Alumnos que deje hacer todo hacia LAN. Después puedes ir restringiendo…



  • Gracias Bellera, ya veo que squid "siempre" sale por WAN…. Finalmente la solución ha sido que los que no pasan por squid, salgan por WAN2, a través de las reglas del Firewall, y los que pasan por squid salen por WAN.

    Pensaré en lo de poner un equipo detrás para el balanceo, pero no me acaba de gustar la idea de montar otro equipo, debería ir por virtualización.


    El problema de no ver a mi Domain Controller era que había hecho mal la regla en el firewall para Alumnes. La regla desviaba todo el tráfico de Alumnes por la puerta de enlace de WAN2, por lo que no veía el resto de redes. Ya está solucionado.

    Gracias por la ayuda.

    Saludos!


Locked