Pfsense como configurar subredes?



  • Hola a todos en el foro, tengo la siguiente situacion:

    Estoy en la oficina montando un servidor con pfsense que tiene 2 tarjetas de red wan y lan la wan con dhcp y la lan con ip 172.16.1.1/16

    Necesito montar un servidor proxy para repartir el internet a las diferentes áreas son en total como 80 equipos aprox entre equipos de escritorio y laptops por wifi

    Ya instale el squid y actualmente me deja navegar porque no he configurado aun el squid, firewall y reglas acl para squid… para eso quiero usar el excelente tutorial de periko...

    Ahora, se me ocurrio hacer lo siguiente con las distintas áreas de la oficina:

    Para los jefes, quiero manejar un rango de red del siguiente tipo: 172.16.0.50 - 172.16.0.100 aprox 50 ips para jefes exclusivamente

    Para los departamentos quiero hacer lo siguiente:

    Por ejemplo para administracion quiero manejar el siguiente rango de red: 172.16.2.0 - 172.16.2.100

    Para el departamento de recursos humanos quiero manejar el siguiente rango de red 172.16.3.0 -172.16.3.100
    y asi sucesivamente, quiero que cada departamento tenga su propio rango de red para tener mas control sobre los usuarios de cada departamento y asi poder bloquear por departamento y llevar un orden de ser posible.

    Tambien tengo un rango de red para aquellos equipos tanto wifi como ethernet que se lleguen a encontrar con un nodo ethernet o con la señal wifi del AP y que como no pertenecen a la oficina es decir son externos, no puedan navegar ni hacer nada, es decir que no se cuelguen de los recursos de la oficina.  Ese rango de red lo quiero manejar como 172.16.9.0 - 172.16.9.254  (ACTUALIZACIÓN: Creo que para esto solo sera necesario activar la casilla que dice no permitir equipos desconocidos, o algo así)

    Tengo hecho un pequeño senso de las mac address de cada equipo de la oficina tanto ethernet como las laptop que se utilizan, tienen su nombre del responsable de ese equipo para poder saber a quien pertenece la ip.

    Me gustaria ir dando de alta a cada usuario de acuerdo con su mac address y de acuerdo con el departamento al que pertenezca asignarle su ip fija para ir formando mis redes.

    La pregunta en cuestion es como hago esto en pfsense.

    Actualmente tengo esa configuracion en un servidor con ubuntu, squid e iptables, pero ahi solo manejo 3 redes, la de los jefes, la de lo usuarios con bloqueos y la de los usuarios que no tiene que ver con la oficina y que no pueden hacer uso del internet asi nada mas...  Y si medio funciona, porque los usuarios que no pueden hacer uso del internet a veces navegan y a veces no... Pero los demas si estan con acceso...

    Estuve buscando en el foro algo al respecto pero sigo igual... no se como hacerlo o como se tiene que hacer en pfsense, ya que nunca lo he usado...

    Cualquier ayuda se las agradecere mucho...

    Saludos y gracias de antemano  ???



  • Ninguna luz? espero haberme explicado bien… ???

    Saludos



  • Oyes pozolero podrias poner una grafica de lo que menciones, me gustaria meterme en este problema ya que en mi caso no me ha tocado hacer todo esto, pero me gustan los retos, al parecer si es posible nomas ahi que embarrarse como puerco.

    Saludos!!!



  • @periko:

    Oyes pozolero podrias poner una grafica de lo que menciones, me gustaria meterme en este problema ya que en mi caso no me ha tocado hacer todo esto, pero me gustan los retos, al parecer si es posible nomas ahi que embarrarse como puerco.

    Saludos!!!

    Con mucho gusto periko, solo dime bien que necesitas ver? Las imagenes del server que ya tengo montado en ubuntu y los valores que manejo ahi?
    o necesitas la grafica de la topologia de red que necesito manejar? o las imagenes del pfsense que acabo de instalar?

    Por cierto, voy a molestarte con el tutorial de configuracion de squid en pfsense. Pero te mando mp, para preguntarte, vale?

    Saludos y gracias por responder



  • Un panorama grafico que me ayude entender tu red.

    algo que ayude a entender mejor tu topologia, una imagen dice mas que mil palabras!!!



  • Periko ahi esta la topologia de red que se esta manejando en la oficina.

    Te explico:

    En algunos casos se tienen equipos con tarjeta wifi y en otros solamente ethernet, en el diagrama puse 1 switch y unos AP por los que tienen wifi…

    La direccion IP las reparte el servidor de pfsense de acuerdo con la mac de cada equipo.

    Asi, cuando algun usuario de algun departamento este queriendo hacer de las suyas con el ultrasurf, proxpn, etc se sabe a que departamento pertenece y se envia un aviso al jefe de ese departamento.

    Aparte obviamente se va a bloquear el puerto 443 para que los usuarios eviten usar programas tipo ultrasurf o algun otro como bittorrent que haga lenta la conexion a internet, ya que se disponen de recursos muy limitados y no se vale que vengan a querer descargar algo en horas de trabajo.  Para eso existen los cafés internet  ;)



  • por que no usas vlan mejor. bueno siempre y cuando tus switch soporten



  • @dementekuatiko:

    por que no usas vlan mejor. bueno siempre y cuando tus switch soporten

    Esa es mi duda, voy a buscar info sobre las vlan.  Gracias dementekuatiko.

    Voy a checar si mis switches lo soportan porque creo que son medio viejitos, de todos modos parece que vamos a cambiarnos de edificio y se va a meter cableado nuevo y/o equipos nuevos, tanto AP como switches.  Voy a checar que marcas van a meter y mientras pasa esto, checare con mis switches.  Son 3com, espero se pueda hacer esto que me comentas…

    Saludos



  • Hola.

    Oyes todos tus equipos van hacia una solo switch? ya que asi como lo quieres manejar necesitarias mas de una NIC y mas de 1 switch.

    Otra cosa, como dice dementutakito(no las he usado) con vlans se pudiera siempre y cuando tu switches la soporten.

    Ahora squid pueden controlarte mas de una  subred, sinembargo, como te menciono nunca he usado vlans aqui no sabria como ayudarte.

    Tu topologia se ve muy grande por como quieres manejar tu red:

    172.16.1.0/x
    172.16.2.0/x
    172.16.3.0/x
    172.16.4.0/x
    172.16.5.0/x

    Dices que son 80 estaciones,supongamos que fueran 100, con el rango 172.16.1.0/x puedes manejar todas tambien, ya que con el dhcp puedes manejar todo ese rango y asignar en base a su MAC las IP's fijas y asi tendrias como controlar tus rangos:

    172.16.1.100 17.16.1.150 jefes
    172.16.1.151 17.16.1.160 admin
    etc.

    Ahora para la visita si pondria un AP separado de la red de la empresa:

    172.16.2.x

    Ya solo tendrias 2 redes.

    Pero si deseas llevar a cabo tu plan no va a quedar otra que meterte con las vlans, creo yo, saludos!!!



  • Te comento como tengo el server en ubuntu, tengo asignados mediante el dhcp por medio de mac ips fijas, y de ahi en squid lo que hice fue hacer 1 archivo jefes y ahi vienen las ips que no van a tener bloqueo.

    En el archivo del dhcp puse todas las mac tanto de jefes como de usuarios con algunos bloqueos… los rangos de jefes los puse sobre 172.16.0.100 al 150 y los usuarios con algunos bloqueos con ips del rango 172.16.9.1 - 172.16.9.254

    Lo que quiero hacer es lo que me comentas por mac, asignar ip y con squid controlar cada una de las ip o rangos de ip... Creo que con lo que me pusiste si se puede lograr.

    Otra cosa del servidor sale el cable a 1 switch y de ese switch reparto a algunos equipos y de ese mismo switch sale un cable que va a otro switch para repartir a las demas áreas...

    Espero haberme explicado  ;D



  • Siempre es mejor segmentar la red, mediante subredes/vlan, esto te ayuda por muchas razones, una de ellas obviamente es el dominio de boadcast, aunque también administrativamente te ayudará enormemente, por ejemplo a ordenar mejor tus archivos de configuración… no es lo mismo colocar un acl  192.168.0.1/27 (por ejemplo) y otro 192.168.1.1/24 que tener que hacer una lista de direcciones 192.168.0.1 ... hasta la 30 por ejemplo, sin mencionar si quiera la CIDR 24, o hacer un archivo de configuración con 30/200 lineas de direcciones IP... (claro que esto no sería problema usando un "for > archivo" en una cónsola linux ;)  ).
    Creo que tu opción es usar VLANs como ya te han mencionado, y por sugerencia... no esperes a saber qué van a comprar, sugiere que lo que vayan a comprar soporte ******* con un informe técnico y esto te ayudará a mitigar futuros inconvenientes con hardware "nuevo" que no soporte Vlans por ejemplo (un SW SOHO por ejemplo).

    Saludos.



  • @rodria:

    Siempre es mejor segmentar la red, mediante subredes/vlan, esto te ayuda por muchas razones, una de ellas obviamente es el dominio de boadcast, aunque también administrativamente te ayudará enormemente, por ejemplo a ordenar mejor tus archivos de configuración… no es lo mismo colocar un acl  192.168.0.1/27 (por ejemplo) y otro 192.168.1.1/24 que tener que hacer una lista de direcciones 192.168.0.1 ... hasta la 30 por ejemplo, sin mencionar si quiera la CIDR 24, o hacer un archivo de configuración con 30/200 lineas de direcciones IP... (claro que esto no sería problema usando un "for > archivo" en una cónsola linux ;)  ).
    Creo que tu opción es usar VLANs como ya te han mencionado, y por sugerencia... no esperes a saber qué van a comprar, sugiere que lo que vayan a comprar soporte ******* con un informe técnico y esto te ayudará a mitigar futuros inconvenientes con hardware "nuevo" que no soporte Vlans por ejemplo (un SW SOHO por ejemplo).

    Saludos.

    Muchas gracias por la ayuda, voy a checar esa opcion que me dices…  Saludos


Log in to reply