Migrando de SLES para PFSense



  • Prezados, tenho uma rede com 3 filiais. Atualmente utilizo SuseLinux como Firewall em 2 filiais. A outra é conectada via rede privada de uma operadora X.

    Fiz todos os testes de checklist para o serviços a serem migrados:

    Squid  –->  OK    (No pfsense adaptei as acls no squid normal ao poderoso squidGuardian)
    DHCP  –>  Falhou (Minha rede possui mais de uma sub-rede, exemplo: 192.168.1. 192.168.2. logo nao consegui cadastrar mais de um range, tendo em vista que o pfsense obriga vc trabalhar no range da LAN, ora bolas, no serviço dhcpd convencional, que imagino eu ser o mesmo do freebsd,. não tem tal limitação. pq o fronted ta me trolando..?)
    Firewall –> OK  (So achei estranho o NAT do packet filter, precisei fazer nat numa conexão multi-ponto com OpenVPN e ele nao funcinou..mas resolvi de outra foram,. o que no iptables tava funcionando blz..mas enfim funcionou da forma que fiz..)
    OpenVPN –> OK
    DNS server --> Falhou (Precisava de fazer balacemento round-robin..e criar views..no tinyDNS,.não consegui,o q de fato no Bind eu consigo, outrosim, se desse pra mim rodar o dns-server-bind na dmz,. eu o faria., Funciona bem esse split-dns? como poderia usar view interna e externa normalmente..com dns na dmz?e fazendo rdr externo na porta 53/udp e tcp?)

    Acho que meu impasse maior foi no DNS e no DHCP o resto..funcionou perfeito.

    por favor comentem sobre meus questiionamentos..

    att
    Fidencio



  • @sfidencio:

    DHCP   –>   Falhou (Minha rede possui mais de uma sub-rede, exemplo: 192.168.1. 192.168.2. logo nao consegui cadastrar mais de um range, tendo DNS server –> Falhou (Precisava de fazer balacemento round-robin..e criar views..no tinyDNS,.não consegui,o q de fato no Bind eu consigo, outrosim, se

    O pfsense não trabalha com mais de um range.. sugiro deixar DHCP e DNS server no linux por ser mais flexível.. ou tentar
    fazer manualmente..sem usar os arquivos de configuração de interface..



  • sfidencio,

    Você pode subir um servidor na dmz para ser seu servidor dns como o mantunespb sugeriu , o tinydns é mais limitado que o bind de fato.
    Se quiser rodar no pfsense, você pode instalar o pacote do ports do freebsd no pfsense e configurar o serviço na mão. O filer pode te ajudar a manter o arquivo de configuração no backup do xml.

    Com relação ao DHCP, porque você precisa de duas faixas no mesmo segmento de rede? uma faixa maior não resolveria?
    De qualquer forma, parace que a versão 2.1 vai ter este recurso.

    att,
    Marcello Coutinho



  • @marcelloc:

    sfidencio,

    Com relação ao DHCP, porque você precisa de duas faixas no mesmo segmento de rede? uma faixa maior não resolveria?
    De qualquer forma, parace que a versão 2.1 vai ter este recurso.

    Rapaz, vou olhar quem que pode resolver um problema que tenho desde o ano passado..está lembrado ??



  • Vi agora

    o pfsense 2.1 tem possibilidade de colocar vários pool.. porem infelizmente
    dentro na mesma range.  Não é da forma que um Mikrotik trabalha
    ou até mesmo um freebsd/linux onde existe possibilidade de vários
    subnet e gw diferentes.




  • Voltamos a mesma questão…

    Por que mais de um segmento de rede na mesma rede?

    Seu pfsense é o dhcp de vários segmentos de rede roteados via switch e recebe as requisições via dhcp relay?



  • marcelo,

    voltamos ao ponto inicial.. kkkkk

    http://forum.pfsense.org/index.php/topic,45419.0.html



  • Alterar o dhcp do pfsense é complicado, ele é mantido pelo core team.

    Uma custom options na gui do dhcp acredito que resolveria a questão…

    OU

    Montar o arquivo na mão e subir via linha de comando.



  • É isso que estou fazendo.. subindo na mão.. mas seriam interessante
    algumas UTM fazem isso na gui outra é na mão tambem..



  • só para exemplificar.. no zentyal.. eu posso criar uma interface virtual
    dentro dela posso colocar o dhcp baseado na range do endereço da
    interface virtual..






  • O que não deixa de ser um range por interface, eth0 e eth0:e1

    Se tiver tempo este mês vou ver se consigo algo apresentável para o core team.


Locked