2 Lans, 3 Wans com PfSense e Captive Portal



  • Boa noite!
    Pessoal sou novo por aqui…

    Estou com um problema.
    Quero implantar o PfSense na minha empresa. Ja estou fazendo testes em  laboratorios mas não consigo configurar as minhas redes da forma correta.

    O meu cenario é o seguinte:
    WAN - 3 links, sendo 2 Net Virtua  e 1 Mpls.
    Lan - 2 redes.

    1ª Lan- 192.168.2XX.XXX
    2ª Lan - 192.168.1.0

    Quero colocar Captive Portal com servidor Radius para a 2ª Lan.
    Ja tenho um DHCP no Windows Server 2003 para a 1ª Lan e um Server 2003 para a 2ª Lan.

    Tenho um servidor com 5 placas de rede físicas para o PfSense e pretendo fazer Load Balancer.
    Qual seria a forma correta para configurar as duas redes, sendo que somente a 1ª Lan pode navegar pelo link Mpls e as duas Lans tem que ficar isoladas..????



  • Laboratório é ótimo para simular e conhecer os serviços do pfsense. Já vi muitos tópicos aqui no fórum sobre como direcionar a saída para uma determinada wan. E para isolar as lans você pode usar regras no firewall ou mesmo vlans.



  • @Meurer:

    Laboratório é ótimo para simular e conhecer os serviços do pfsense.

    Exato! Virtualização está aí para coisas assim. Dentre outras.  :)
    Contudo, num laboratório real, a coisa fica mais clara.

    Uma boa pesquisa aqui, vai ajudar:

    http://doc.pfsense.org/index.php/Main_Page





  • helberttavares,

    Bem vindo ao fórum.  :)

    Tudo o que você quer fazer, está disponível nativamente no pfsense, você não precisar de nenhum pacote adicinal(por enquanto  ;))

    Siga as dicas já postadas aqui e lembre-se sempre de pesquisar no fórum, esta questão de balanceamento e controle por interface já foi bem discutida por aqui.

    Uma dica adicional que pode facilitar sua implementação e uma possível redundância é usar vlans(com interface gigabit) no lugar de várias placas de rede. Diminui os possíveis conflitos de irq e facilita a busca por uma máquina de backup.

    att,
    Marcello Coutinho



  • Pessoal, obrigado pelo retorno.

    Li vários tópicos procurando algum próximo do que eu preciso.
    Como estou com um servidor com 5 placas de rede parado, achei melhor iniciar nele do que em um laboratório virtual.

    Bom, já tive o 1º problema.
    Tenho duas redes e de forma alguma elas podem se comunicar.

    Wam - 186.xxx
    Lan_1 - 192.168.1.18
    Lan_2 (Opt1) - 192.168.238.80

    criei uma regra de bloqueio na Lan_1, origem Lan_1 destino Lan_2 e na Lan_2 a mesma regra só que ao contrario.

    Quando dou um ping da Lan_1 para a Lan_2, tenho resposta, já da Lan_2 para a Lan1 não.

    Alguém pode me ajudar?



  • @helberttavares:

    Quando dou um ping da Lan_1 para a Lan_2, tenho resposta, já da Lan_2 para a Lan1 não.

    Não tem nenhuma regra antes liberando o trafego/ping?



  • Na verdade ficou desse jeito:






  • Na lan1 você bloqueou todos os protocolos e na lan2 você só bloqueou tcp



  • Obrigado Marcelloc.

    Eu já havia visto o meu equivoco, só não deu tempo de postar.

    Agora já estou com outro problema, já configurei o LoadBalance com de alguns tópicos já resolvidos do fórum.
    http://forum.pfsense.org/index.php/topic,37776.msg195019.html#msg195019

    O problema é que tenho 3 links, 2 Net Virtua e um MPLS da Embratel e 2 Lans.
    Preciso criar uma rota no link da Embratel para a Lan2, tipo e-mail, sistemas…etc.
    Mas não estou conseguindo. O correto seria usar “Aliases”, vocês podem me ajudar?



  • @helberttavares:

    Preciso criar uma rota no link da Embratel para a Lan2, tipo e-mail, sistemas…etc.
    Mas não estou conseguindo. O correto seria usar “Aliases”, vocês podem me ajudar?

    Só um nat mesmo. Para serviços de entrada o pfsense sabe devolver pela mesma interface que entrou.

    O alias pode te ajudar a diminuir a quantidade de nats/regras.



  • Marcelloc,

    Como ficaria a opção de gateway? teria que deixar o grupo que criei como LoadBalance?



  • @helberttavares:

    Como ficaria a opção de gateway? teria que deixar o grupo que criei como LoadBalance?

    Na lan, você força um failover para garartir o acesso da maquina para a internet pelo link desejado e em caso de falha, sair pelo outro link.



  • Marcelloc desculpa a minha ignorância, mas não entendi bem o que devo fazer,
    meu conhecimento no pfSense é muito pouco, só consegui avançar com a ajuda do fórum.
    Você pode me explicar melhor?



  • Procure os tópicos e nos tutoriais sobre load balance e failover para entender como ele funciona.

    Para publicar o seu serviço nas duas wans, você só precisa do nat(firewall-> nat -> port forward).

    Se quiser que a maquina que disponibiliza o serviço saia por um gateway específico quando for navegar por ela ou rodar o windows update por exemplo, crie uma regra na LAN(se o servidor estiver na LAN é claro) permitindo o acesso do ip do servidor a internet.
    A unica diferença nesta regra é que você vai marcar por qual gateway você quer que esta comunicação saia.

    Deixando mais claro:
    O pfsense é um firewall statefull, portanto você não precisa criar/se preocupar com as regras de volta(ou de retorno) já que ele mantém o estado da conexão.


Locked