Doble ip en interface Virtual.



  • Hola amigos, soy novato en esto de pfsense. El caso es que tenemos una red Wifi montada a nivel de barrio, unos cuantos APs unidos entre si por cable de red que van conectados a un servidor.
    Los AP's usan un rango de ip's completamente diferente al rango que se le da por dhcp a los usuarios.No interesa que los usuarios sepan(por lo menos los novatos) que rango usan los ap's(eso lo logramos utilizando en windows 2003 doble interface de red).
    El caso es que me gustaría conocer como poder hacer eso con pfsense, ya que nos permite multiples opciones como la de portal captivo, firewall, balanceador de carga(todo en uno…).
    El usuario se conecta al AP(rango del AP 192.168.3.X) y el psense le debe dar una ip del estilo(172.16.0.X) y debe poder navegar.
    He logrado hacer funcionar el sistema usando tanto para AP's como para usuarios el mismo rango de ip, pero no se como puedo hacer justamente lo que quiero.
    A ver si me podeis echar un cable. Saludos



  • Saludos…  ;)

    No estoy seguro de haber entendido...

    el pfsense tendria como minimo 2 tarjetas de red (una llamada LAN y otra llamada WAN por ejemplo) la wan estaria conectada a tu servicio de internet, y la LAN estaria conectada a la WAN del AP por ejemplo con IP=192.168.3.4 (con la configuracion para aceptar DHCP para la WAN) y la WIFI+LAN del AP la puedes definir en el rango que deseas asignando por DHCP desde el AP rango 172.16.0.x, de esta manera los usuarios tendrian direcciones 172... y los AP direcciones 192..

    ahora se tendria que administrar los permisos a los equipos por el AP y se pierde la posibilidad de hacerlo desde el pfsense en el que puedes filtrar por mac, controlar los usuarios y activar una portal de bienvenida.

    cual es la razon por la cual deseas direcciones ips difierentes en tus usuarios y tu pfsense?? ???



  • ¡Hola!

    Dos posibles (hay que probarlas) soluciones:

    *** VLAN en la interfase de pfSense donde cuelgan tus APs. Ojo con VLAN porque no todas las tarjetas de red la soportan bien:

    By now, the list of physical interfaces able of full VLAN processing in the hardware is limited to the following devices: bge(4), em(4), ixgb(4), nge(4), re(4), stge(4), ti(4), txp(4), and vge(4).

    http://www.freebsd.org/cgi/man.cgi?query=vlan&apropos=0&sektion=0&manpath=FreeBSD+6.2-RELEASE&format=html

    Al meter VLAN pasas a tener una interfase más en tu pfSense y puedes establecer reglas para el tráfico entre tu VLAN y tu interfase "real".

    *** Emplear una máscara "amplia" para tu pfSense y dos máscaras (distintas) más restrictivas para tus APs y tus clientes. Ejemplo:

    192.168.0.1/255.255.252.0 (192.168.0.1/22) -> Interfase pfSense
    192.168.1.1/255.255.255.0 (192.168.1.1/24) -> Tus APs
    192.168.2.1/255.255.255.0 (192.168.2.1/24) -> Tus clientes
    192.168.3.1/255.255.255.0 (192.168.3.1/24) -> Rango disponible (debido a los 22 bit de máscara en pfSense)

    Con esta solución también podrás manejar reglas …

    Saludos,

    Josep Pujadas



  • Saludos a todos…  :)

    Bellera en ambas soluciones que planteas son aislamientos logicos (en la primera como vlan y en la segunda subneteo)  ahora esto me "aisla" la red de usuarios de mis equipos AP + Pfsense, segun entiendo con las reglas se puede habilitar la navegacion en el caso de los equipos con usuarios, esto me obligaria a estar en la red de equipos para poder configurarlos, en caso de ser un usuario no podria hacerlo, y si es posible habilitarlo con las reglas cual seria entonces el objetivo de la separacion de las redes???

    gracias por tu respuesta...



  • ¡Hola!

    Entiendo que lo que pedía toorbye era precisamente separar los APs de los clientes:

    No interesa que los usuarios sepan (por lo menos los novatos) que rango usan los ap's

    De ahí VLAN o subneteo … Lo de los novatos no termino de entenderlo, porque los usuarios potencialmente peligrosos son los avanzados que puedan intentar hacerse con el control del AP.

    No estás obligado a estar en la misma subred para poder acceder a un equipo. Lo que si tiene que estar claro es qué ruta sigues para llegar al equipo (mediante asignación de gateway o de una ruta, según el caso -no hay que poner rutas entre redes del mismo pfSense-) y las reglas para el servicio que empleas en el acceso (SSH, RDP, VNC, Samba/CIFS, …)

    En caso de no haber gateway o ruta posible (dos subredes en una misma red física) entonces sí es obligatorio estar en la misma subred. Puedes hacerlo de dos maneras:

    *** Tener un equipo de administración dentro de la máscara menos restrictiva. Siguiendo con el ejemplo de mi posteo anterior:

    192.168.0.1/255.255.252.0 (192.168.0.1/22) -> Red Interfase pfSense + Equipo administración

    *** Asignar más de una IP/máscara al equipo de administración. Por ejemplo, en Win2k o WinXP, las opciones avanzadas de TCP/IP permiten añadir otras IP/máscara.

    Espero haber comprendido las inquietudes que planteabas y no haberme dejado nada en el tintero.

    Saludos,

    Josep Pujadas



  • Hola, antes de nada gracia. Voy a probar lo que me comentais.
    Por cierto cuando me referia a novatos quería decir avanzados, las prisas no son buenas…
    Saludos y ya os iré comentando


Log in to reply