Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Lan y Wan no pueden estar en la misma subred? Tambien busco consejo…

    Español
    2
    7
    15.7k
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • T
      Txema250
      last edited by

      Hola buenas, estoy intentando implantar este firewall en el colegio donde trabajo pero tengo un dilema. Os comento. Debo decir que llevo un mes trabajando allí y me he encontrado las cosas como están, y yo voy aprendiendo sobre la marcha.

      Tenemos un DC en IP 192.168.1.1 y unos 25 equipos dentro del dominio (profesores y trabajadores). Estos salen por un router en 192.168.1.10 (puerta de enlace)

      Tenemos unos 100 equipos fuera de dominio divididos en 4 workgroups y salen por otro router en 192.168.1.5 (puerta de enlace) De estos 100 equipos, unos 50 van con IP 192.168.1.x y los otros 50 con IP 192.168.50.x, pero todos se conectan a los mismos switch

      Quiero entonces poner el firewall con una LAN y 2 WAN (en principio no me importa balancear)

      Así pues, estoy intentando poner el pfsense de manera que no haya que tocar nada en ningún equipo ni en los router, con lo que si el firewall fallase (por ahora no trabajo a jornada completa) solo hubiese que sacar los cables del firewall y conectarlos al switch.
      Pero he leido que la Lan y las Wan no pueden estar en la misma subred ¿esto porque es?. Me obligaría a cambiar las IPs de los routeres y por tanto a modificar la puerta de enlace de 150 equipos a mano. Y si encima fallase el equipo, tendría que volver a cambiarlas a todos de nuevo.

      Como nunca he puesto un firewall estoy bastante perdido. Creo que lo que quiero es un firewall transparente, pero sólo se puede hacer bridge de una única WAN con la LAN, y yo tengo 2 WAN…

      En fin, un poco de luz por favor. Muchas gracias de antemano

      1 Reply Last reply Reply Quote 0
      • belleraB
        bellera
        last edited by

        ¡Hola!

        Pasé por esto a finales del 2006. Aproveché para migrar a DHCP. pfSense te hace todo (DHCP por MAC, DNS…)

        Tutorial en http://www.bellera.cat/josep/pfsense/indice.html (un poco viejo pero aún sirve).

        Si tus dudas son la estabilidad, mi FabiaTech está trabajando desde entonces. Bueno, de hecho tengo ya 2 FabiaTech y voy por el tercero...

        Como responsable de informática de un centro educativo ya sé que no abunda precisamente el dinero. Estuvimos dos años con un solo FabiaTech hasta que pudimos comprar otro de recambio. Y con las ampliaciones ahora volvemos a estar igual.

        No he visto nunca a mis pfSense caídos... ¡Son FreeBSD! Tenemos 7 FreeBSD en mi centro y pocas veces han caído: fuente de alimentación, memoria, disco. Jamás por s.o. ni aplicaciones. Ya sé que es increíble pero es así.

        Saludos,

        Josep Pujadas

        1 Reply Last reply Reply Quote 0
        • T
          Txema250
          last edited by

          DHCP para todos entiendo que me facilitaría enormemente la vida. Imagino que podría reservar las IPs para los equipos que necesitase (servidores, dos o tres usuarios importantes para reservarles cierto ancho de banda). El tema es que tenemos unos 6 puntos wifi que ya suministran DHCP en 192.168.1.x mas dos puntos más que suministran en 192.168.5.x. ¿Me puede traer problemas esto?

          En cuanto a la estabilidad, no dudo de la robustez del sistema, pero sí de la del hardware. Estoy usando un PIV que creia que sus dias utiles habían pasado hace tiempo y me da un poco de miedo que casque y se me echen encima porque hasta ahora nunca habían tenido problemas con Internet, y al fin y al cabo el usuario no cree siquiera que necesiten un firewall (hasta que pasa).

          Por otra parte, si hiciese todo por DHCP desde PFSense, debería de configurar una DNS para la Ip del DC (192.168.1.1), con lo que si se me cae el firewall pierdo incluso la capacidad de trabajar en el dominio contra el servidor, ¿no?

          Mañana haré algunas pruebas aprovechando que no me usarán la linea. A ver cómo pinta la cosa.

          Muchisimas gracias por la ayuda. Anteayer usé tu tutorial para comenzar a montar el firewall.

          Un saludo

          1 Reply Last reply Reply Quote 0
          • belleraB
            bellera
            last edited by

            DHCP -> Sólo un DHCP en cada subred. No es obligatorio que pfSense haga de DHCP en cada una de las interfases LAN. De hecho, si no recuerdo mal, está desactivado por defecto. Por tanto, la interfase que reciba los puntos de acceso no precisa tener DHCP activado.

            DNS -> En la hoja de DHCP pues decir qué DNS emplean los equipos. Si no se dice nada es cada una de las interfases LAN las que hacen de DNS. Esto permite cualquier combinación. En mi centro tenemos un DNS principal y pfSense hace de secundario. A su vez, tanto el principal como pfSense realizan las peticiones DNS en Internet. Los equipos no pueden. De esta manera puedes resolver internamente los nombres de Internet que te interese (por ejemplo, el servidor web del centro).

            Saludos,

            Josep Pujadas

            1 Reply Last reply Reply Quote 0
            • T
              Txema250
              last edited by

              @bellera:

              DHCP -> Sólo un DHCP en cada subred. No es obligatorio que pfSense haga de DHCP en cada una de las interfases LAN. De hecho, si no recuerdo mal, está desactivado por defecto. Por tanto, la interfase que reciba los puntos de acceso no precisa tener DHCP activado.

              Y aquí es donde se me complica el asunto. Los puntos wifi están distribuidos por todo el colegio y cada uno se engancha por el switch mas cercano, con lo que los cables que me llegan al switch principal traen la señal de otros switches, así que está todo mezclado y no hay un cable propiamente dicho que traiga la señal de los puntos de acceso, por lo que no tengo una interfase de puntos de acceso.

              La verdad es que la topología de la red es una verdadera locura. Por lo visto se ha ido haciendo según necesidad y mirando en cada momento la pela, con el resultado de que nadie sabe qué va a donde ni de donde viene que. Lo que hago es en el switch al que se enganchan los routers enganchar el firewall (se asume que todas las conexiones de una u otra forma llegan a ese switch), y a este los dos router, así que tengo una interfase LAN y dos WAN.

              Los puntos de acceso sirven un rango de IPs (pongamos que desde 192.168.0.200 a 230). ¿Podría hacer para la interfase LAN que hiciera DHCP hasta la 200? ¿Me admitiría las IPs que fuesen de 200 para arriba?

              Espero no estar poniendome pesado. Si es así, mis disculpas.

              Un saludo y gracias

              1 Reply Last reply Reply Quote 0
              • belleraB
                bellera
                last edited by

                Típico…

                En ese caso lo que procedería es deshabilitar DHCP en cada punto de acceso. Hay algunos AP que, desgraciadamente, no admiten el DHCP fuera. Es raro, pero hay algunos.

                Otra solución (imagino que imposible) sería trabajar con VLAN que no se vieran entre sí. Es la forma de compartir cableado.

                O seguir el cableado y dejarlo correcto... Tarde o tremprano hay que hacerlo...

                ¡Suerte!

                1 Reply Last reply Reply Quote 0
                • T
                  Txema250
                  last edited by

                  Pues iré viendo cómo se portan los puntos de acceso al quitarles el DHCP. De cualquiera de las maneras, ahora ya sé por donde tirar en un caso u otro.

                  Lo de los cables, con tiempo y dinero intentaremos ir haciendolo.

                  Muchas gracias por la ayuda.

                  Un saludo

                  1 Reply Last reply Reply Quote 0
                  • First post
                    Last post