Multiwan puro failover+squidguard se puede?



  • Hola tengo 2 proveedores de Internet y quisiera saber si se puede tener multiwan failover + squidguard.?
    la idea es que no haya balanceo de cargas si no que solo entre la wan2 cuando se caiga la wan1 pero que tenga squidguard y k que funcione jejeje
    dado que he visto muchos tutoriales sobre multiwan + squidguard o squid y en muchos casos pues no han funcionado y me incluyo dado que lo he intentado y no me ha funcionado :( o no se que este haciendo mal :S

    espero me puedan  ayudar

    muchas gracias a todos :D !!



  • Se supone que tendría que ir, por lo que dicen los que han instalado esto…

    Pero si quieres tenen un esquema más claro:

    LAN --- [pfSense squid+squidGuard transparente] –- [pfSense balanceador]

    o

    LAN con [squid + squidGuard no transparente] –- [pfSense balanceador impidiendo navegación que no venga del proxy]

    Esto requiere dos equipos (es la pega) pero también pueden ser virtuales…

    Mi opción favorita es la segunda. Requiere declarar el proxy en navegadores y aplicaciones pero da mucha más seguridad.



  • Hola bellera muchas gracias por tu pronta respuesta

    mira actualmente tengo 2 pfsense uno como dices de balanceador y otro con squidguard algo asi:

    __________wan1 189.xxx.xxx.xxx                             
                                                                                                                                                  |
    DVR–---------------------- LAN <-----[pfsense squidguard]<–-------[pfsense dualwan balanceo de cargas]
    192.168.7.XXx                          192.168.3.1/16                        192.168.101.1/24                      |__________wan2 200.xxx.xxx.xxx

    esta funcionando perfectamente pero el detalle es el siguiente en mi LAN se adquirieron recientemente varios dvs que los quieren publicar en Internet para que de cualquier parte
    puedan acceder a ellos pero me enfrente a 2 problemas

    1.- la apertura de puerto entre varios pfsense
    no se como enrutar los puertos entre los pfsense para que lleguen al dvr o no se si esto sea posible?

    2.- mis ips son dinamicas y me apoyaría de dyndns para configurar los dvrs pero con el balanceo de cargas que son cambios la puerta de enlace en segundos no se si se pueda con los dyndns

    saludos



  • 1.- la apertura de puerto entre varios pfsense
    no se como enrutar los puertos entre los pfsense para que lleguen al dvr o no se si esto sea posible?

    Esto no es problema: de NAT Port Forward a NAT Port Forward. De Oca a Oca y tiro porque me toca.

    Tengo instalaciones con:

    Servidores publicados –- [pfSense principal] –- [pfSense balanceador de salida] –- [Varios routers ADSL]

    ¡3 NAT entrantes encadenados!

    el balanceo de cargas que son cambios la puerta de enlace en segundos

    No. El balanceo (agrupamiento de puertas) es de salida. Esto no afecta, pues el tráfico de un servicio publicado es entrante. Y en el supuesto que llegara a afectar bastaría una regla en LAN para al tráfico saliente.

    me apoyaría de dyndns

    A configurar en el router que su lado WAN tenga la ip dinámica.



  • Hola bellera

    como hago el

    NAT Port Forward a NAT Port Forward

    osea como abro el puerto entre varios router :S me podrias ayudar poniendo un ejemplo

    GRACIAS!! :D



  • http://forum.pfsense.org/index.php?action=dlattach;topic=45660.0;attach=20516;image

    NAT IP en el pfSense que da a internet tiene que ser la IP de la WAN del pfSense que está más al interior

    NAT IP en el pFSense que está más al interior tiene que ser el DVR

    Protocolo UDP, TCP, TCP/UDP según cómo vaya tu DVR

    Puertos según lo que haga tu DVR.

    No olvides decir que quieres generar las reglas para el tráfico entrante de tus NATs.

    Espero haberme explicado…



  • sabes bellera para ir paso a paso decidi quitar el balanceador para ir entendiendo la mecánica de como abrir un puerto entre varios routers y mira este es mi escenario:

    192.168.7.3:[82]                      192.168.3.1/16                      192.168.100.254/24            xxx.xxx.xx.xx(ip publica)
                [DVR]–--------------------------[pfsense.filtro]–-------------------[router cisco rv042]–--------------- internet
                                            la ip que me asigno el router cisco            |
                                                  WAN: 192.168.100.108                      |
                                                                                                          |------------------------------------------------------|
                                                                                                          |                                                      |
                                                                                          [server] 192.168.100.10:3389          [DVR] 192.168.100.103:81

    actualmente del router cisco si pongo la ip publica mas el puerto de escritorio remoto si entra al servidor y tambien conecte directamente un dvr y tambien se puede acceder por eso no dudo que este abriendo mal los puerto del router cisco hacia el pfsense
    pero hice lo que me sugeriste bellera y no funciona

    y la idea es que yo ponga la ip publica que me da mi proveedor de Internet de la wan que esta desde el router cisco y que se vaya directamente  hasta el dvr 192.168.7.3:82

    adjunte algunas imagenes de mi configracion tanto del router cisco como del pfsesen

    muchas gracias bellera!!










  • ¿Qué es lo que no funciona?

    Lo que tienes está correcto siempre y cuando el dvr emplee TCP 82 y TCP 8002, que no sé si es el caso.

    Si no es así, tienes que cambiar los puertos de destino en los NAT de pfSense.



  • lo que no funciona bellera es que si yo en mi navegador pongo la ip publica para ver las camaras del dvr xxx.xxx.xxx.xxx:82 no pasa nada :( dice que no existe la dirección
    pero si pongo la ip publica mas el puerto 81 que es el del primer dvr que se encuentra antes del pfsense ahi si se conecta al dvr xxx.xxx.xxx.xxx:81

    por que tambien hice una prueba de estando en la red 192.168.3.1/16 y pongo la ip local del dvr si tengo acceso a las camaras asi : 192.168.7.3:82

    no se  a que te refieres con cambiar los puertos del destino en los NAT :S

    osea poner otros puertos en el dvr y en el pfsense?

    y nuevamente gracias bellera



  • Tienes un problema de topología. Con una máscara de 16 en el tramo 3 estás con un rango 192.168.0.0 - 192.168.255.255

    El enrutado no te funciona por eso.

    Tienes que usar subredes distintas.

    http://www.subnet-calculator.com/cidr.php

    Usa máscaras con más bits u otros rangos privados:

    http://es.wikipedia.org/wiki/Red_privada



  • ahhh ok

    gracias bellera entonces cambiare la topologia de mi red es que en primera instancia puse asi la mascara de subred por que creció la red

    entonces si cambio la red 192.168.3.1/16 a 192.168.3.1/24 debería funcionar me imagino vdd?



  • Entonces si cambio la red 192.168.3.1/16 a 192.168.3.1/24 debería funcionar me imagino vdd?

    Siempre que no tengas máscara 16 en el tramo 7.

    Si necesitas máscara 16 en alguno de los tramos tendrás que cambiar uno a otro de los bloques privados, http://es.wikipedia.org/wiki/Red_privada

    De todas maneras 16 son 65.536 ips. Y 24 sólo 256. Entre 16 y 24 tienes otras posibilidades, http://www.subnet-calculator.com/cidr.php

    SOLUCIONADO - Pasa/sigue en http://forum.pfsense.org/index.php/topic,56107.0.html por abordar nuevo tema. Moderador - 24-nov-2012


Locked