Dritte su configurazione pfsense



  • Ciao a tutti, premetto che non ho alcun tipo di esperienza pregressa su questo tipo di cose e vorrei capire se ciò che ho in mente di fare è tecnicamente fattibile.
    Ho un piccolo server basato su Windows server 2008r2 che controlla un dominio AD ed ospita, tra le altre cose, un sito web (database annessi) ed alcuni servizi come TeamSpeak. Il server ha su installato un server dhcp e dns.

    Il server in questione è dotato di due schede di rete, una con ip 192.168.0.6/24 che va verso un router e una seconda con ip 192.168.1.1/24 che ospita i client della lan e sulla quale vengono assegnati tramite reservation gli ip in dhcp per i client.
    Siccome ho da poco una seconda linea adsl, mi piacerebbe sfruttare il load balancing sulle due linee ed avevo pensato di interporre al tutto una macchina virtuale (vmware) con pf sense che mi faccia da router multiwan e firewall.

    Quanto è fattibile la cosa? Sapreste indicarmi a grosse linee come dovrei impostare il tutto, almeno nella fase di configurazione iniziale ed assegnazione degli ip/NIC senza andare a toccare gli ip e classi di ip sul server?

    EDIT: sul server ci sono anche alcune macchine virtuali per la gestione di servizi di posta e stampa, ognuna delle quali con un suo indirizzo ip interno appartenente alla lan.



  • Aggiungo che pfsense sono riuscito a configurarlo, ora la situazione è questa:

    Router adsl1          Router adsl2
    192.168.0.1              10.0.0.1
            |                            |
    PFSENSE WAN        PFSENSEWAN2
    192.168.0.2              10.0.0.2
            |                            |
            –--------------------
              PFSENSE LAN 192.168.2.1/trunk adsl multigateway
                            |
                    CLIENTS 192.168.2.X gateway 192.168.2.1

    Ora la mia domanda è la seguente (funziona tutto benissimo, trunk compreso, i client sono tutti online senza problemi in dhcp, server escluso ovviamente): entrambi i router adsl stanno operando in modalità router pura (quindi nat attivo, non ho la possibilità di usarli come modem bridge) e, ovviamente, ho difficoltà ad accedere dall'esterno al server windows e alle macchine virtuali.
    Per forwardare le porte ho adottato la seguente strategia: sul router forwardo verso la porta wan di pfsense, da pfsense forwardo verso l'ip lan del server. Inutile dire che da fuori non riesco comunque ad entrare in rdp o ad accedere ad altri servizi.

    Sicuramente mi sto perdendo qualcosa.. cosa sto sbagliando? ;)
    Grazie mille!



  • Stesso problema che io, come puoi vedere qui https://forum.pfsense.org/index.php?topic=76254.0



  • router1: 192.168.0.1
    wan1 pfsense: 192.168.0.5 gateway 192.168.0.1

    Regola su router1 port 3389 verso 192.168.0.5

    lan pfsense: 192.168.2.1
    regola nat 3389 verso 192.168.2.10 (IP statico Windows server)

    Ho creato una firewall rule dicendo a pfsense che il traffico che passa sulla porta 3389 deve passare attraverso il gw della wan 1 (avendo una configurazione dual wan), quindi attraverso 192.168.0.1.

    Sono confuso :S



  • Ho risolto così:
    regola su routeradsl1 con forward port 3389 verso wan1 pfsense. regola su router2 con forward 3389 verso wan2 pfsense.
    Regola nat su pfsense interfaccia wan port3389 verso ip lan server
    regola nat su interfaccia wan2 port 3389 verso ip lan server
    regola nat su interfaccia lan port 3389 verso lan
    regola firewall su interfaccia wan con pass su 3389 tramite gateway della wan1
    regola firewall su interfaccia wan2 con pass su 3389 tramite gateway wan2

    Ad oggi entro perfettamente in rdp con l'ip esterno del routeradsl1, non entro con l'ip esterno del routeradsl2 (mistero…)
    Entro utilizzando il dyndns solo se l'aggiornamento viene effettuato puntando all'ip della wan1, diversamente se aggiorna su wan2 non entro con dyndns.

    Detto questo, mi può star bene già così (la wan1 fondamentalmente è la principale in ogni caso) ma appena risolvo anche quello posterò :)