Duas LAN's na mesma interface Fisica
-
Gente. Preciso da ajuda de voces para a solução do seguinte problema:
Tenho um firewall PFSense 2.0 RC3 instaldo com 2 interfaces ( WAN: 192.168.105.1/24, OPT1: 10.1.1.2/24 e LAN: 192.168.1.1 ). Load Balance, Squid e Squidguardian. As interfaces WAN e OPT1 são links ADSL. A interface LAN estão ligado em um switch de 24 portas não gerenciável que une os pontos de rede interna com os AP's estalhados no hotel. Tudo funcinando perfeitamente. Agora surgiu a seguinte necessidade e não sei como proceder.
Preciso configurar mais uma classe de rede nesse firewall ( 192.168.2.1 ). Essa implementação vem da necessidade de os funcionários e os clientes do hotel não se "enchergarem" na rede.
Essa solução será implantada em um hotel no qual os clientes receberão:
Via DHCP os ip's da rede 192.168.2.0/24 ( range 192.168.2.10 à 192.168.2.70 ).
E os funcionários do Hotel receberção via DHCP os ip's da rede 192.168.1.0/24 ( range 192.168.1.100 à 192.168.1.110 ).
A máquina no qual dispomos não tem mais nenhuma interface pci disponivel. Portanto a opção de colocar mais uma placa de rede tá descartada.
Pretendo ainda usar o Captive Portal para liberação de acesso aos clientes hospedados. Se alguém puder me ajudar nessa impleitada ficaria imensamente grato.
Estou a disposição para maiores detalhes
Surgindo a resolução me comprometo a elaborar um tutorial com todos os passos feitos para ajudar mais colegas que por ventura queiram a mesma solução.
Abraços e todos
ATT
Breno Alencar
-
Esse conceito de segurança por obscuridade não é legal…
alem disso, o mesmo dhcp servido duas faixas só vai funcionar cadastrando macs.
Compra um switch camada3 com suporte a vlan e separa as duas redes, ficará muito mais seguro e profissional.
-
Mesmo não sendo o ideal gostaira de saber se existe ou não a possibilidade de se atribuir 2 ou mais classes para a mesma interface física no pfsense. Já testei essa solução com o brazilfw e tive ótimos resultados. Se conseguir o mesmo com o pfsense com certeza também terei resultados satisfatórios para o que quero implementar.
Obrigado pela ajuda.
ATT
Breno Alencar
-
Como Voce vai diferenciar as requisições de ip das máquinas que podem ou Nao usar a faixa de gerência?
So consigo imaginar isso deixando uma faixa So para macs cadastrados e outro para o resto, mas ainda sim, fica muito fácil de escutar a rede e tentar burlar.
-
Realmente vou fazer amarração de mac x ip com os host's da gerencia e deixar um range especifico para os demais host's. Minha duvida continua sendo a maneria de efetuar essa configuração no pfsense 2.0 Rc3. Fazendo essa configuração vou procurar um meio de deixar a solução mais segura. Caso voce saiba como fazer com que eu possa configurar duas classes de ip's diferentes na mesma interface fisica ficaria imensamente grato pela ajuda. Como havia dito anteriormente. Essa possibilidade no BrazilFw é de uma simplicidade imensa. Creio que no pfsense tambem seja. Só preciso de uma ajuda para chegar na solução desejada.
Obrigado pela ajuda.
ATT
Breno Alencar
-
Isso foi o mais próximo que encontrei sobre faixas dhcp na mesma rede.
2011
http://forum.pfsense.org/index.php/topic,42820.0.html2006
http://forum.pfsense.org/index.php/topic,1473.0.htmlAinda acho que Voce esta confundindo os conceitos, uma coisa é ter um servidor dhcp servindo vários escopos para atender varias redes, outra coisa é fornecer duas faixas diferentes para a mesma rede.
Isso é do protocolo, acho dificil uma distribuição Linux violar o protocolo desta maneira.
Para exemplificar melhor: tenho meu Mac cadastrado com ip reservado em dois escopos de dhcp no mesmo servidor. Quando conecto meu telefone no segmento A, pego o endereço reservado da rede que estou, quando vou para o outro segmento, pego o outro endereço.
Sugiro a Voce fazer uma prova de conceito com o brazilian firewall e Ve se ele vai conseguir atender sua demanda.
A opção via pfsense que consigo imaginar é colocar ips fixos nas máquinas da administração e deixar o dhcp para os hospedes.Att,
Marcello Coutinho -
Marcelo. Obrigado pela ajuda. Li e tentei o tutorial para configuração de duas interfaces. Sem sucesso. Estou procurando uma placa de rede com duas interfaces. Assim posso ampliar minhas entradas e chegar no resultado desejado. Caso tenha algum modelo específico de placa dual Port passa pra gente colocar em produçãoo. Assim que eu concluir o projeto farei um tutorial para a aplicacao dessa solução de duas lans, sendo uma para gerencia e outra para hospedes, com captive portal e voucher para liberacao de acesso.
-
Os modelos que ja trabalhei vem em servidores de 'grife' e até onde sei são caras.É melhor investir em um switch camada 3.
-
Marcello. A placa que estou olhando é essa aqui:
http://produto.mercadolivre.com.br/MLB-205911640-broadcom-101001000-base-t-dual-port-pci-x-low-profile-_JM
Minha maior duvida em relação ao switch camada 3 seria de como utilizar VLan. Como nunca usei essa solução fico com um pouco de receio de não chegar no resultado esperado. Na verdade o problema seria comigo e não com a ferramenta. Caso pudesse citar as duas opções, em cima disso eu poderia tomar uma decisão. Abraços e muito obrigado pela ajuda.
ATT
Breno Alencar
-
Marcello. A placa que estou olhando é essa aqui:
http://produto.mercadolivre.com.br/MLB-205911640-broadcom-101001000-base-t-dual-port-pci-x-low-profile-_JM
você tem slot pci-x no seu servidor ou só pci comum?
Minha maior duvida em relação ao switch camada 3 seria de como utilizar VLan. Como nunca usei essa solução fico com um pouco de receio de não chegar no resultado esperado. Na verdade o problema seria comigo e não com a ferramenta. Caso pudesse citar as duas opções, em cima disso eu poderia tomar uma decisão. Abraços e muito obrigado pela ajuda.
Procure por switch gerenciável no mesmo site que você achou a placa.
é mais caro que os 150 da placa, mas as possibilidades de configuração são bem maiores.
você pode por exemplo configurar alem da separação das redes, links de backup(duas adsl, link de radio, etc)
Uma interface com vlan configura até 4096 redes distintas e isoladas. você pode ter um acesso para wifi, outro para sala de reuniões, etc etc etc.
Você monta duas máquinas com interface onboard giga(exemplo) e configura um pfsense 100% reduntante.Não esquece de conferir se sua placa de rede suporta vlans.
Com relação a marca, foge de genéricos, lembre-se que ele vai ser o coração da sua rede.
-
Marcello. Bom dia. Procurei com meus fornecedores e achei uma solução com um preço bastante acessivel.
http://www2.dlink.com.br/produtos-detalhes/items/937.html
O preço desse equipamento é de R$ 476,00. Pelas especificações acho que ele vai resolver o problema. Vou dar uma estudada na configuração de Vlan e tentar simular um ambiente. Já estou em face de compra do produto. Lembrando que o tutorial da solução será feito assim que concluir a operação.
Mesmo assim Marcello, gostaria de saber se com uma placa dual port pci/pci-x eu resolveria. Com uma placa dessa eu ficaria com 4 interfaces fisicas que é justamente o que eu preciso para colocar 2 links adsl + duas classes de rede ( 192.168.1.0/24 e 192.168.2.0/24 ). Na verdade como sou logista, vou comprar as duas soluções e apresentar ao cliente enfatisando as vantegens e custo/beneficio de cada solução.
ATT
Breno Alencar
-
Mesmo assim Marcello, gostaria de saber se com uma placa dual port pci/pci-x eu resolveria
Resolveria sim.
Procurei com meus fornecedores e achei uma solução com um preço bastante acessivel.
http://www2.dlink.com.br/produtos-detalhes/items/937.html
Confirma se ele faz vlan mesmo. A descrição que você mandou fala de vlan automatica para voip, mas não deixa claro se você tem liberdade para criar vlans e habilitar tag nas portas.
-
Marcello. segue especificação retirada do site do fabricante e posteriormente em contato pelo 0800.
VLAN
• 802.1Q VLAN Tagging
• Máx. 256 grupos estáticos VLAN
• Máx. 4094 VID
• VLAN de gestão
• VLAN assimétrico
• VLAN de voz automáticoObrigado pela ajuda.
Assim que tiver com a solução pronta colocarei o tutorial com as informações necessárias e um [RESOLVIDO] no tópico.
ATT
Breno alencar
-
Olá amigo, vc não precisa de um switch L3 apenas um L2, alguns exemplos de switches:
HP : 2928
D-Link: DES-1210-28
Entre outros.
Vc configura o PFSense para fazer roteamento entre as vlans e configura as regras de isolamento de redes nele através de regras de firewall. Tenho isso implementado e funciona perfeitamente.
O detalhe que caso vc queira implementar a rede corporativa e a rede de hospedes sobre wi-fi os APs devem suportar VLANs também.Caso queira mais detalhes me ADD no msn ale-fd@hotmail.com
Ateh+
