Redirigir el trafico según la red.



  • Acabo de descubrir pfSense y estoy muy impresionado por su versatilidad. Aún así no logro realizar la estructura siguiente:

    Es decir tengo dos gateways:

    Y cuatro interfazes de red:
      Internet:

    Usuarios_LAN:

    Servidores:

    Wifi

    Me gustaría que los servidores salieran por el gateway 254 y el resto por el 253. Para eso configuro una firewall-rules:

    Según la regla los "USUARIOS_LAN" deberían salir por el GW_253. Pero no es así:

    Osea que sale por la 254 y no por la 253, como le indico en la regla del firewall.
    No se que estoy haciendo mal, así que agradecería un poco de ayuda.

    Muchas gracias.



  • ¡Hola!

    Un equipo por DHCP que esté en una LAN siempre tiene como gateway la interfase de su LAN en pfSense. Por tanto, es normal que cuando uses ipconfig /all (Windows) o ifconfig (UNIX/Linux) veas a pfSense como puerta de enlace.

    Veo que la 2.0 tiene algunas cosas distintas en cuanto a gateways, respecto a la anterior versión (la 1.2.3). En la 1.2.3 no se podían colgar dos gateways en una misma interfase WAN. Aquí "parece" que sí.

    En la 1.2.3 [System] [Gateways] no existe y no estoy seguro qué hace la pantalla que posteas.

    En lugar de emplear tracert como test desde el PC situado en LAN deberías emplear otro método. El tracert de Windows va por ICMP y en versiones anteriores de pfSense tanto tracert como ping salían por la primera puerta. Prueba a acceder a alguna página web que te diga tu IP pública, a ver qué.



  • He consultado en "www.cualesmiip.com" y me retorna la IP externa del gateway GW_254 que es el que viene por defecto como gateway de la interfaz "Internet", aunque le tenga dicho que mediante la regla del firewall los que se conecten a traves de "USUARIOS_LAN" salgan por la GW_253 .

    De hecho si me voy a la interfaz "Internet" y le pongo por defecto el GW_253 en vez del GW_254 y reinicio el firewall si que salgo por la 253 y "www.cualesmiip.com" me lo confirma, pero salen todos los que se conecten sin importar si vienen por "SERVIDORES", "WIFI" o "USUARIOS_LAN". Me interesa que los "SERVIDORES" vayan siempre aparte por la ADSL más rápida.

    Gracias por contestar.



  • En System: Gateways no dejes ninguno como default.

    flosx

    saludos

    @Salva:

    He consultado en "www.cualesmiip.com" y me retorna la IP externa del gateway GW_254 que es el que viene por defecto como gateway de la interfaz "Internet", aunque le tenga dicho que mediante la regla del firewall los que se conecten a traves de "USUARIOS_LAN" salgan por la GW_253 .

    De hecho si me voy a la interfaz "Internet" y le pongo por defecto el GW_253 en vez del GW_254 y reinicio el firewall si que salgo por la 253 y "www.cualesmiip.com" me lo confirma, pero salen todos los que se conecten sin importar si vienen por "SERVIDORES", "WIFI" o "USUARIOS_LAN". Me interesa que los "SERVIDORES" vayan siempre aparte por la ADSL más rápida.

    Gracias por contestar.



  • @flosx:

    En System: Gateways no dejes ninguno como default.

    flosx

    saludos

    Ninguno de los gateways está como default:



  • Google: many gateways on interface wan pfsense

    Más de una gateway para una misma interfase WAN.

    Que yo sepa esto no se podía hacer en la 1.2.3 y, al parecer, en la 2.x es un tema pendiente de resolver:

    http://redmine.pfsense.org/issues/651

    Te sugiero coloques otra placa para una segunda WAN para tener dos subredes de salida. O bien hacerlo por VLAN.



  • Bellera, así es… yo me quemé las pestañas en eso, al final 2 WAN, fue la solución

    saludos

    @bellera:

    Google: many gateways on interface wan pfsense

    Más de una gateway para una misma interfase WAN.

    Que yo sepa esto no se podía hacer en la 1.2.3 y, al parecer, en la 2.x es un tema pendiente de resolver:

    http://redmine.pfsense.org/issues/651

    Te sugiero coloques otra placa para una segunda WAN para tener dos subredes de salida. O bien hacerlo por VLAN.



  • @flosx:

    Bellera, así es… yo me quemé las pestañas en eso, al final 2 WAN, fue la solución

    saludos

    @bellera:

    Google: many gateways on interface wan pfsense

    Más de una gateway para una misma interfase WAN.

    Que yo sepa esto no se podía hacer en la 1.2.3 y, al parecer, en la 2.x es un tema pendiente de resolver:

    http://redmine.pfsense.org/issues/651

    Te sugiero coloques otra placa para una segunda WAN para tener dos subredes de salida. O bien hacerlo por VLAN.

    Pues muchas gracias por contestar, probaré añadiendo otra WAN a ver que tal.



  • Con un solo interfaz para WAN y dos interfaces para LAN uno con "192.168.1.1" y otro con "192.168.3.1".
    Según venga de uno u otro interfaz sale por la misma WAN pero se dirige al router "129.200.9.254" si viene de la "192.168.3.2" y al "129.200.9.253" si viene de la "192.168.1.1"

    Lo único que he cambiado de la configuración anterior ha sido no ponerle gateway a la interfaz WAN:



  • 1. Posteas unas imágenes tan grandes que es prácticamente imposible moverse por ellas para ver qué hay. Con Firefox 3.x a duras penas y con IE8 no me salen (?).

    2. Tú tienes en la cabeza lo que estás haciendo pero el resto no. Por favor, recapitula… ¿Cuál es el problema que tienes ahora? Lo único que veo es una interfase llamada Internet que si es una OPTx haciendo de WAN tiene que tener forzosamente una Gateway. Y señalas que no la tienes puesta. ¿Por qué?



  • @bellera:

    1. Posteas unas imágenes tan grandes que es prácticamente imposible moverse por ellas para ver qué hay. Con Firefox 3.x a duras penas y con IE8 no me salen (?).

    Perdón por las imagenes tan grandes. Las he redimensionado un poco, para que sean más "visibles".

    @bellera:

    2. Tú tienes en la cabeza lo que estás haciendo pero el resto no. Por favor, recapitula… ¿Cuál es el problema que tienes ahora? Lo único que veo es una interfase llamada Internet que si es una OPTx haciendo de WAN tiene que tener forzosamente una Gateway. Y señalas que no la tienes puesta. ¿Por qué?

    Relelléndolo todo me doy cuenta de que es un lío.
    Recapitulando : tengo dos ADSL, una más rápida para equipo que son servidores y otra más lenta para los usuarios de la empresa (correo y web). Las dos están en la misma red "129.200.9.x" una es 129.200.9.254 (la rápida) y la otra 129.200.9.253 (la lenta). De esa pequeña red de dos routers me viene un cable hasta el switch que sustenta la red local. Pretendo pinchar este cable en la interfaz WAN del pfSense.

    Por otro lado ahora tengo los servidores y los usuarios mezclados en la misma red "129.200.9.x". Los servidores tienen como puerta de enlace la "129.200.9.254" y los usuarios  la "129.200.9.253". Pretendo cambiar al rango "192.168.1.x", metiendo dentro tanto servidores como equipos de usuarios. Para la red interna utilizar tres interfaces: lan para usuarios corporativos, opt1 para servidores, opt2 donde tengo pensado conectar un "access point" y en un futuro montar un portal cautivo para personas que vengan esporádicamente y sean externas a la empresa. La asignación de ips por interfaz podría ser la siguiente: lan con la ip "192.168.1.1", opt1 con la ip "192.168.1.2" y la opt2 no lo tengo claro ya que quiero que quede separada de las otras dos.

    Bueno pues después de esta introducción a la idea que tengo en mente, el problema es que no se si se puede "enrutar" a los usuarios de la empresa (lan), junto con los esporádicos wifi (opt2), por la única interfaz wan a internet pero por la ADSL "lenta" (129.200.9.253). Por supuesto los servidores saldrían por la otra, la "rápida" (129.200.9.254).

    El equipo en el que estoy haciendo las pruebas es un Pentium D a 3.0 GHz con 1GB de Ram, tiene una interfaz en placa que es la que quiero utilizar para la wan. La placa venía con tres slots PCI libres en los cuales he insertado tres tarjetas de red para lan, opt1 y opt2 respectivamente. En el caso de que tuviera que haber forzosamente dos wan (para cada uno de los routers), como no me quedan más interfaces libres, sacrificaría la opt2 (wifi) y luego ya vería como monto lo del portal cautivo.

    También sería interesante el "squidguard" para filtrar las url, más que nada por dar un toque de atención a algún usuario permanentemente descarriado de su trabajo.

    Me despido con la esperanza de haberme explicado algo mejor y agradeciendo su ayuda.



  • Perdón por las imagenes tan grandes. Las he redimensionado un poco, para que sean más "visibles".

    ¡Fantástico! ¡Gracias!

    Los servidores tienen como puerta de enlace la "129.200.9.254" y los usuarios  la "129.200.9.253"

    Esto ya hablamos que es un problema. Deberías tener dos WAN en rangos distintos.

    an con la ip "192.168.1.1", opt1 con la ip "192.168.1.2" y la opt2 no lo tengo claro ya que quiero que quede separada de las otras dos.

    Lo mismo. Rangos distintos. Y reglas que autoricen qué se puede hacer en LAN hacia OPT1, en OPT1 hacia LAN…

    como no me quedan más interfaces libres, sacrificaría la opt2 (wifi) y luego ya vería como monto lo del portal cautivo.

    Piensa en la posibilidad de tener más de un pfSense en tu topología. Puedes virtualizarlo.

    También sería interesante el "squidguard" para filtrar las url, más que nada por dar un toque de atención a algún usuario permanentemente descarriado de su trabajo.

    Ojo con el proxy y la salida por más de una WAN.

    http://forum.pfsense.org/index.php/topic,37384.0.html


Log in to reply