PfSense como adaptador unico



  • Buenos días,

    Les pongo en situación:

    Actualmente tenemos un Firewall hardware, apuntando la DMZ a un servidor ISA Server que está dentro de nuestra intranet. El ISA lo utilizamos como proxy inverso para realizar publicaciones desde nuestra intranet a internet. Lo tenemos configurado en modo adaptador unico (solo tiene una interfaz de red). Las publicaciones que realizamos son la mayoria con HTTPS

    Queriamos realizar lo mismo con pfSense, hemos instalado squid3, importado los certificados, pero en todos los manuales vemos que se necesitan 2 tarjetas de red, una WAN y otra LAN.

    ¿Habria posiblidad de realizarlo solo con la LAN como lo estamos haciendo con el ISA?

    Gracias



  • Saludos mi estimado, recordad que el pfsense es un firewall- enturador por esto lo de wan y lan. Normalmente siempre se ha recomendado trabajar squid fuera de pfsense para optimizar el rendimiento del mismo y a la vez veo seria funcional para la aplicacion que necesita darle ya que por ejemplo squid en un sistema debian o otra distro linux funcionaria con una sola interfaces sin problemas. Estamos a su orden



  • @amnarl:

    Saludos mi estimado, recordad que el pfsense es un firewall- enturador por esto lo de wan y lan. Normalmente siempre se ha recomendado trabajar squid fuera de pfsense para optimizar el rendimiento del mismo y a la vez veo seria funcional para la aplicacion que necesita darle ya que por ejemplo squid en un sistema debian o otra distro linux funcionaria con una sola interfaces sin problemas. Estamos a su orden

    Gracias por su respuesta.

    Pensabamos en montar squid en pfsense por si en un futuro utilizamos éste como firewall.

    Entiendo por tu contestación, que no podre utilizar squid en pfsense habilitando solo el adaptador LAN entonces? Por lo tanto, existe alguna distribucion en la que si lo pueda utilizar y que sea en modo gráfico?



  • @bahia:

    Por lo tanto, existe alguna distribucion en la que si lo pueda utilizar y que sea en modo gráfico?

    yo tengo un VM con centos 6.5,squid3 y webmin.
    configurado con Wan y Lan.

    instalado desde una imagen iso de centos minimal.
    es mucho trabajo,hasta llegar a tener squid y webmin funcionando.

    Linux+squid con una sola interface se puede.
    con debian o ubuntu.
    un tutoriál http://www.purplealienplanet.com/node/25

    Es sumamente recomendable,partir desde una instalación  mínima
    para reducir el numero de paquetes,servicios que se instalan.



  • Con pfsense y squid en modo no transparente lo vi funcionando con un solo adaptador de red. Esto lo realizo un compañero asi porque donde tenia la wan, routers y radio enlaces el sitio era de un usuario y no quería mas equipos en ese sitio, como tenia un enlace de radio hasta su casa coloco el equipo en su casa y configuro la red para que todo apuntara al PFsense esto para hacer cache y configuro el servidor openVPN para administrar los equipos desde fuera de la red. Esa era la idea pero solo lo utilizaba para administrar los equipos.

    Saludos.-


  • Rebel Alliance

    Como menciona cmb en este post, a partir de la versión 2.0 es posible utilizar pfSense con 1 sola interfaz ;)  https://forum.pfsense.org/index.php?topic=63271.msg342090#msg342090

    Si buscas por el foro deberías encontrar algunos hilos respecto al tema…..

    @bahía

    Si dispones del tiempo y los recursos, puedes realizar la prueba...

    Instalas pfSense, y asignas unicamente la WAN (que es la única interface que necesita el pfSense para funcionar), y de allí partes ;)



  • Excelente dato ptt, imagino que sera para esas funciones de squid habra que leer un poco sobre esto



  • @ptt:

    Como menciona cmb en este post, a partir de la versión 2.0 es posible utilizar pfSense con 1 sola interfaz ;)  https://forum.pfsense.org/index.php?topic=63271.msg342090#msg342090

    Si buscas por el foro deberías encontrar algunos hilos respecto al tema…..

    @bahía

    Si dispones del tiempo y los recursos, puedes realizar la prueba...

    Instalas pfSense, y asignas unicamente la WAN (que es la única interface que necesita el pfSense para funcionar), y de allí partes ;)

    Si le asigno a la WAN, una IP de la LAN, luego desde un PC cliente no me podre conectar a la interfaz web de pfsense. Como podria hacerlo?


  • Rebel Alliance

    Si, te podrás conectar, ya que el pfSense "tiene la inteligencia suficiente para notar eso" y crear la regla "Anti-Lockout" en la WAN, por lo que tendrás acceso al "webConfigurator" sin problemas ;)

    Prueba y verás que es así ;)  (yo lo he hecho cientos de veces de esa manera)



  • @ptt:

    Si, te podrás conectar, ya que el pfSense "tiene la inteligencia suficiente para notar eso" y crear la regla "Anti-Lockout" en la WAN, por lo que tendrás acceso al "webConfigurator" sin problemas ;)

    Prueba y verás que es así ;)  (yo lo he hecho cientos de veces de esa manera)

    Acabo de probarlo. Te cuento.

    Tengo una instalacion limpia de pfsense y 2 adaptadores de red:

    • bge0 sin conectar, pero lo identificado como WAN. Le puse una IP estatica 192.168.1.20, PE: 192.168.1.1, DNS: 192.168.1.1
      bge1 conectado a la red LAN con IP estatica 192.168.1.21, PE: 192.168.1.1, DNS: 192.168.1.1

    Al acceder desde un PC de la LAN al webconfiguration (192.168.1.21) funciona correctamente. Ahora hago el cambio de adaptador:

    • bge0 pasa a ser la LAN (como en el apartado anterior, el cable de red no esta conectado)
      bge1 pasa a ser la WAN

    Al hacer este cambio pierde la configuracion de red, entonces vuelvo a configurar los las IPs como en el primer apartado, es decir, LAN=192.168.1.21 y WAN: 192.168.1.20

    Intento acceder al webconfiguration (192.168.1.21) y no me accede :(

    He probado a desactivar bge0 (LAN) y sigo con el mismo problema

    ¿Que estoy haciendo mal?

    Gracias!


  • Rebel Alliance

    @bahia:

    Acabo de probarlo. Te cuento.

    Tengo una instalacion limpia de pfsense y 2 adaptadores de red:

    • bge0 sin conectar, pero lo identificado como WAN. Le puse una IP estatica 192.168.1.20, PE: 192.168.1.1, DNS: 192.168.1.1
      bge1 conectado a la red LAN con IP estatica 192.168.1.21, PE: 192.168.1.1, DNS: 192.168.1.1

    ¿Que estoy haciendo mal?

    Que estas haciendo mal ? ???  Pues TODO !  ;D

    Leíste lo que indiqué ? Evidentemente No  :P

    @ptt:

    @bahía

    Si dispones del tiempo y los recursos, puedes realizar la prueba…

    Instalas pfSense, y asignas unicamente la WAN (que es la única interface que necesita el pfSense para funcionar), y de allí partes ;)

    NO asignas WAN y LAN… asignas UNICAMENTE la WAN, y a la WAN le configuras: "IP estática 192.168.1.20, PE: 192.168.1.1, DNS: 192.168.1.1" (no se si te va a permitir utilizar 192.168.1.1 como DNS y GW, eventualmente deberás configurar otro DNS alternativo)

    @bahia:

    Al hacer este cambio pierde la configuracion de red, entonces vuelvo a configurar los las IPs como en el primer apartado, es decir, LAN=192.168.1.21 y WAN: 192.168.1.20

    Intento acceder al webconfiguration (192.168.1.21) y no me accede :(

    NO puedes tener  WAN y LAN  (2 interfaces distintas) en el mismo segmento de red…. es una configuración NO válida ;)



  • Entiendo…. Entonces podria ahora tal cual tengo la configuracion desactivar la tarjeta bge1 y dejar solo bge0 asignado a WAN con rango de IP de la intranet? O tendria que realizar una instalacion de 0?

    Gracias!!!


  • Rebel Alliance

    No creo que sea necesario "reinstalar"…. Supongo que con un "Factory Defaults" es mas que suficiente....

    Recuerda asigna únicamente 1 interface (la WAN), deja la otra sin asignar....



  • @ptt:

    No creo que sea necesario "reinstalar"…. Supongo que con un "Factory Defaults" es mas que suficiente....

    Recuerda asigna únicamente 1 interface (la WAN), deja la otra sin asignar....

    Funciona a la perfección!! Muchísimas gracias!

    Ahora estoy configurando el squid3 como proxy inverso como indica en esta web:
    http://blogs.technet.com/b/nexthop/archive/2014/04/07/configuring-pfsense-as-a-reverse-proxy-for-lync-web-services.aspx

    Mi URL interna es http://192.168.1.7:8080/XXX y está funcionando correctamente pero al intentar acceder desde internet a mi web, me sale el siguiente mensaje de error del squid:

    El URL solicitado no se ha podido conseguir

    Se encontró el siguiente error al intentar recuperar la dirección URL: https://xxx.xxxxx.xx/XXX

    Imposibilidad de enviar la petición en este momento.

    This request could not be forwarded to the origin server or to any parent caches.

    Algunos posibles problemas son:
    •An Internet connection needed to access this domains origin servers may be down.
    •All configured parent caches may be currently unreachable.
    •The administrator may not allow this cache to make direct connections to origin servers.

    Su administrador del caché es admin@localhost.