Interconexión de varios pfsense en sitios distintos



  • Saludos amigos del foro.

    Tengo implementado Pfsense 2.1.5 en producción y me asignaron un proyecto de interconexión entre el edificio donde trabajo a otros edificios cercanos. La idea es:

    • Que cada edificio tenga su equipo Pfsense cliente administrando su red y algunos servicio.
    • Que cada edificio con su equipo Pfsense cliente este comunicado con el servidor Pfsense principal  donde yo trabajo.
    • Que a través de la conexión entre el Pfsense Principal y los otros edificios pueda compartir varios servicios.
    • Que los edificios con pfsense cliente no consuman mi conexión internet del pfsense principal sino que utilicen su servicio de internet
    • La comunicación entre el edificio principal y los otros será através de comunicación combinada entre antenas punto a punto y multipunto.

    Amigos cualquier sugerencia, información o aporte será bienvenida y muchas gracias por toda la ayuda que puedan aportarme.



  • Lo que quieres es perfectamente factible de realizar.  se ha hecho y debe de haber documentación en el foro.

    Cuales son tus dudas en concreto ?



  • Saludos amigo, gracias por responder.  :)

    La duda que tengo por ahora es que los Pfsense clientes en cada edificio puedan utilizar su propio servicio de internet sin perder comunicación con el Pfsense principal y que a través de la interconexión desde mi red principal compartirles solamente algunos servicios como correo interno por ejemplo. Cada Pfsense cliente será administrado por una persona encargada que será preparada para que supervice su red interna.

    Para tales fines se me ocurre que cada Pfsense Cliente tenga 3 tarjetas de red:

    • 1 para la LAN Interna.
    • 1 para la Wan de Interconexión entre Pfsense principal y el Pfsense cliente (Por este medio compartir solo los servicios que se requieran menos internet).
    • 1 para la Wan del servicio de internet  interno.

    Espero poder explicarme lo mejor que pueda para que aclaren mis dudas  ???.  Muchas gracias por todo.



  • Saludos amigos foreros :)

    Aquí les muestro un gráfico a mano de lo que se requiere hasta ahora, disculpen lo malo y espero sus prontos comentarios y aportes. Gracias de antemano.

    ![IMG_20150515_090245 Diagrama.jpg](/public/imported_attachments/1/IMG_20150515_090245 Diagrama.jpg)
    ![IMG_20150515_090245 Diagrama.jpg_thumb](/public/imported_attachments/1/IMG_20150515_090245 Diagrama.jpg_thumb)



  • Saludos, alguien que pueda aportar información para aclarar las dudas…. :-\



  • Puedes "encadenar" tantos pfSense como requieras.

    Precauciones:

    • Emplear una subred distinta en cada interfase pfSense, pues es un enrutador. No repetir numeraciones de subredes, para tener el enrutado y el mapa de la red claros.

    • Tener en cuenta que en la configuración de las WAN hay una opción activada que dice Block Private Networks. Eso quiere decir que si en una subred WAN tienes equipos que tienen que ir hacia el lado LAN hay que desactivar esa opción. La razón de esta característica por defecto es evitar que peticiones de IP privadas procedentes de internet lleguen a la LAN. Esto se da cuando hay equipos mal configurados en internet (de los ISP) o configurados con fines maliciosos.

    • Pensar si en cada pfSense tienes que hacer NAT Outbound o no. Evidentemente, en los que salgan a internet sí. Pero en los que unan redes locales igual no te conviene, a fin de tener la IP de origen de la petición. A pensar, porque quitar el NAT Outbound en esos caso también te obligará a admitir el tráfico que no provenga de LAN net en el equipo siguiente.

    Espero haberme explicado.



  • Como comentario/ ilustracion adicional, seria algo mas o menos asi .

    Se tendria que especificar que el trafico que el trafico de las interfaces MAN no deberan de hacer NAT como lo hace de manera predeterminada.  Y hay que especificar las reglas en cada uno de los firewalls para aceptar o no el trafico que viene de estas interface. Anexo un pequeño diagrama