Topologia con 2 pfsense
-
Hola, estoy por realizar la siguiente topología (Figura 1). Y se me surgieron las siguientes dudas:
Como puedo hacer para que se vean las redes de Pfsense1 con Pfsense2??? Creo que seria configurando rutas estáticas en el pfsense.
Como puedo hacer en el caso de que se caiga la WAN1 de pfsense1 para que tome la WAN2 de pfsense2.???Saludos…
-
Alguna razon en particular para no usar un solo pfSense con multiples interfaces?
Lo que pides es sencillo, se configuran rutas estáticas en ambos pfSense indicando que se rutee esa subred a través del otro pfSense.
Para usar alternativamente ambas WANs, tendrias que agregar cada pfSense como gateway del otro. De ahí en más, puedes usar policy routing para especificar sobre qué gateway quieres el tráfico, armar failover groups, etc
Saludos!
-
Muchas gracias x la respuesta. El porque de dos pfsense es mas que nada x Hardware. No disponemos de un servidor que soporten 6 o 7 interfaces.
saludos.. -
Hola, estoy tratando de conectar por rutas estaticas 2 pfsense. Cada pfsense tiene 1 WAN y 2 LAN como se muestra en la topologia.
Las WAN son 2 router ADSL de distintos ISP. Y las LANS van conectadas todas a un SWITCH que contiene VLANS una para cada subred.Como hago para unir por rutas estáticas?? Xq no lo puedo lograr conectividad entre ambos pfsense.
saludos..
-
Investigando en la red encontré la siguiente topologia que segun dice funciona en el foro. Paso el link:
http://forum.pfsense.org/index.php?topic=24070.0Viendo la topologia me quedo la sigiuente duda:
Los dos pfsense tienen que estar conectados directamente (pertenecer a la misma subred). XQ yo no lo tenia asi.Saludos…
-
Claro, deben tener una interfaz que pertenezca a una subred común, o estar conectados mediante otro router. En tu gráfico original no veo ninguna de las dos cosas, parecen estar en dos subredes completamente aisladas.
La manera mas facil es tal cual como el topic que posteaste, con una subred común a ambos pfSense (si no hay más dispositivos, con una /30 alcanza)
-
Muchas gracias por la repuesta. Ahora si me quedo claro el tema de conectar 2 pfsense.
Saludos…
-
Por fin logre unir los 2 pfsense (topologia.jpg), muchas gracias a todos por las ayuda. Ahora lo que no puedo hacer es que ante una eventual caida de la wan 1, el pfsense 1 pueda salir por la wan2 del pfsense2.
Intente cambiando en la regla del pfsense 1, en la regla LAN que salga por el gw del pfsense2 y no me funciono. Que reglas ?? o donde debería configurar??
saludos…
-
Esto es idéntico a lo que armé hace un tiempo.
Para usar internet 2 desde la LAN 1:
-
En el pfSense 1 debes tener agregado como gateway a 10.10.0.2 sobre la interfaz PFN. No solo agregar el gateway al sistema, tambien elegirlo dentro de las opciones de la interfaz en el menu Interfaces
-
Necesitas poner el Outbound NAT del pfSense 2 en modo manual, y agregar una regla sobre WAN, source network 10.0.0.0/24, translation: interface address
-
Tambien necesitas poner el Outbound NAT del pfSense 1 en modo manual y eliminar cualquier regla que tenga "interface: PFN". Como la interfaz PFN tiene seleccionado un gateway si lo dejas en automatico hará NAT al salir por esa interfaz pero no queremos eso. El NAT se hará solo contra las WANs respectivas
-
Luego armas un gateway group sobre pfSense 1 con el gateway WAN1 como Tier1 y el otro como Tier2
-
Luego modificas la regla "allow all" de la LAN de pfSense 1 (o cualquier otra regla que sea necesaria) y seleccionas el gateway group que creaste antes
Quizás la parte menos evidente es la de configurar el Outbound NAT, pero es necesario porque de lo contrario nunca va funcionar.
Luego deberias hacer exactamente lo inverso para que te funcione tambien al reves.
Saludos!!
-
-
Muchisimas gracias por la respuesta. Ya mismo me voy a probar tu solución.
saludos..1
-
Hola georgeman, realice la configuración y no me funciono. Me quedo una duda en el siguiente punto:
Tambien necesitas poner el Outbound NAT del pfSense 1 en modo manual y eliminar cualquier regla que tenga "interface: PFN". Como la interfaz PFN tiene seleccionado un gateway si lo dejas en automatico hará NAT al salir por esa interfaz pero no queremos eso. El NAT se hará solo contra las WANs respectivas.
Tengo que eliminar solo las reglas que estan Firewall/Rules o solo las reglas que estan en NAT.
saludos..
-
Con eso me refiero a las reglas de Outbound NAT que se refieran a la interfaz de interconexión a ambos pfSense. Hay que eliminar esas reglas, las unicas reglas de Outbound NAT deben ser las referidas a la interfaz WAN
-
hola georgeman, todavia no logro conseguir que el pfsense 1 tome el wan del pfsense 2. Te adjunto mis nat.
Pfsense 1:
lan:192.168.6.0
opt1:10.10.0.1pfsense 2:
lan:192.168.8.0
opt1:10.10.0.2saludos..
-
adjunto capturas de opt1=pfn de pfsense 1 y pfsense 2
-
capturas de las reglas de pfsense 1
-
capturas de las reglas de pfsense 2
-
adjunto gw y routes de pfsense 1
-
adjunto gw y routes de pfsense 2
-
Pon como gateway por default en ambos pfSense el que asignado por DHCP sobre la WAN. Me da la sensacion que así como está el tráfico queda "rebotando" en la subred que une los dos pfSense.
También hay que considerar que vas a tener que monitorear el gateway de la WAN2 desde la LAN1 y viceversa. Para que eso funcione también tendrias que agregar reglas de Outbound NAT desde la subred 10.10.0.0 sobre la interfaz WAN de cada pfSense