Conexion 2 oficinas con PFSense via 2 CPE Ubiquiti (Solucionado)
-
Buenas tardes amigos, soy nuevo usando PfSense, el caso que tengo ya lo tengo implementado con Zentyal 4.0, pero estoy pensando en migrar a PFsense ya que Zentyal a dejado a un lado todo el tema con Firewall, investigando me encontre con pfsense, y las prubas que he realizado me ha gustado su funcionamiento
Estoy realizando pruebas con PFSense 2.2.4 pero no doy con la solución. Con el Siguiente escenario.
Oficina 1 (Principal)
Servidor PFSense Virtualizado con VMware ESXi 5.0
1 NIC LAN
IP 192.168.200.7/24
Virtual Interface
172.16.10.1/29
2 NIC WAN
WSP Ubiquiti IP 172.16.10.3/29Oficina 2
PC con PFSense
1 NIC Lan
IP 192.168.0.201.7/24
Virtual Interface
172.16.10.2/29
1 NIC WAN
Estación Ubiquiti IP 172.16.10.4/29Deseo conectar las dos Sedes (Puede ser por tunel VPN o Reconociendo directamente las redes), la conexión se quiere hacer través de la Interfaces Lan Creando una virtual interfaces en el puerto Lan de cada servidor en una red 172.16.10.0/29 solo para la conexión de las antenas y establecer el enlace, esta interface la conecto en un puerto del Switch.
Creo las Virtual IPs en el servidor principal a la Nic LAN en Firewall doy acceso a la red 192.168.200.0/24 para que pueda acceder a 172.16.10.0/29 por cualquier puerto, cuando realizo prueba de ping no tengo ninguna respuesta, pruebo comunicación desde el server PFSense hacia la antena y no da respuesta.
Cada Oficina Tiene su ISP.
No se si tengo que realizar alguna otra configuración a la interface.
Envío Diagrama para que puedan visualizar el escenario.
No se si me explique bien, si me puedes ayudar con algunas ideas, se los agradecería, ya intente crear una interface puente en la lan a ver pero nada.
Saludos.
 -
:o :o :o :o :o :o :o :o :o :o :o :o :o :o :o :o :o :o :o :o :o :o :o ???
Si en cada oficina tienes ISP distintos…... explicame para que quieres el enlace con los ubiquiti ???
Sabes que es una VPN ?
-
Esta medio enredada la explicacion, pero espero que esto ayude.
Si las dos sedes estan conectadas por unas antenas como lo mencionas , puedes incluir una tarjeta en cada pfsense para conectar las antenas y asignarles una ip 10.0.8.1/30 y 10.0.8.2/30 , aqui deberas de crear un gw que seria la ip contraria ( .2 para uno y .1 para el otro ), verifica qe los pfsense se vean entre si . Asumo que los ubnt estan en modo bridge y modo WDS, las ips de las antenas no importan si estan en modo bridge.
Despues lo unico que hay que hacer es crear las reglas de trafico en cada una de las interfaces en el pfsense y decirles que para el trafico que va por ejempo de la 192.168.200.1 se van a ir por el gateway 10.0.8.2 y viceversa.
-
:o :o :o :o :o :o :o :o :o :o :o :o :o :o :o :o :o :o :o :o :o :o :o ???
Si en cada oficina tienes ISP distintos…... explícame para que quieres el enlace con los ubiquiti ???
Sabes que es una VPN ?
Buen Dia Trasther, en el diagrama muestro los servicios que pasan por el enlace con los Ubiquiti, los cuales son internos y no salen a internet, como RDP, el SQL, File Server, entre otros, tal cual como muestra el diagrama ya lo tengo implementado pero con Zentyal 4.0 via VPN. Y uso la conexión de las oficinas por internet solo como respaldo, si me fallan las antenas.
Si se que es una VPN,
-
Esta medio enredada la explicacion, pero espero que esto ayude.
Si las dos sedes estan conectadas por unas antenas como lo mencionas , puedes incluir una tarjeta en cada pfsense para conectar las antenas y asignarles una ip 10.0.8.1/30 y 10.0.8.2/30 , aqui deberas de crear un gw que seria la ip contraria ( .2 para uno y .1 para el otro ), verifica qe los pfsense se vean entre si . Asumo que los ubnt estan en modo bridge y modo WDS, las ips de las antenas no importan si estan en modo bridge.
Despues lo unico que hay que hacer es crear las reglas de trafico en cada una de las interfaces en el pfsense y decirles que para el trafico que va por ejempo de la 192.168.200.1 se van a ir por el gateway 10.0.8.2 y viceversa.
Buen día acriollo, Muchas gracias por tu respuesta, si esa solución que me das, ya la había pensado y pienso que asi debería funcionar a la primera, solo que no quiero utilizar una interface de red en el server principal para realizar la conexión ya que se van adquirir otro ISP y esta interface esta destinada para usarla como WAN.
En Zentyal tengo todo en producción con virtual interface tal cual como lo tengo en el diagrama, me funciona perfecto y la conexion la hago via VPN entre los dos server.
Estoy evaluando migrar a PFSense ya que zentyal dejo a un lado todo el tema de Firewall, y los balanceo de carga no funcionan muy bien.
Y estoy intentando hacer el mismo escenario con el PFSense
-
Buen Dia Trasther, en el diagrama muestro los servicios que pasan por el enlace con los Ubiquiti, los cuales son internos y no salen a internet, como RDP, el SQL, File Server, entre otros, tal cual como muestra el diagrama ya lo tengo implementado pero con Zentyal 4.0 via VPN. Y uso la conexión de las oficinas por internet solo como respaldo, si me fallan las antenas.
Pero, pero… ???
Bueno, pues despues de darle varias vueltas a tu asunto; el usar esas antenas es por cuestiones de ancho de banda ? verdad? digo,porque siendo honestos no le veo otra razón de ser. de un lado tienes 1mb y del otro 3mb, imagino que si mandas todo por la vpn tendras problemas de navegacion.
Si tienes un ISP en tu ofna central y otro en tu sucursal, listo fin del tema. no necesitas poner antenas y hacer un enlace, utiliza la infraestructura de tu ISP para llevarlo acabo, es mucho menos probable que falle el servicio de tu ISP que tus antenas, entonces estas pagando un ISP extra, quita el ISP de tu sucursal, monta tu enlace ubiquiti punto a punto y es como si entre tu sucursal y oficina central tuvieras un cable de red imaginario con 150mb/s de ancho de banda.
Sigo sin entender......
No eres el mismo del switch Tplink "gestionable" que no sabia como gestionar ?
Si se que es una VPN,
Te dejo un diagrama para que las conozcas.
-
Buenas Tardes trasher mx, antes de implementar las antenas Ubiquiti usaba la conexión via túnel VPN por los ISP, y era inestable, siempre se perdía la conexión y los servicios eran mas lentos, la conexión ISP es Asimétrica.
Esta configuración ya la tengo en producción en otra plataforma, solo estoy evaluando para migrar a PFSense, ya que realice pruebas de balanceo de carga y limites y funcionan mucho mejor que en Zentyal.
Lo único que no le he encontrado que me funcione tal cual es el tema de las virtual interface.
En la plataforma no tengo nada TP-Link.
Muchas Gracias
Saludos. -
buen dia dech, te paso un diagrama de red a ver si te funciona.
isp <::::::::::::::> PFsense ::::::> aca dividimos <:::::> antena nano <:::::::> antena nano <::::::::> red local Campo
como dhcp <:::::> Red localno se si me llego a explicar, yo creo que con un enlaze punto a punto no es necesario tener mas de un isp, le paso internet por el punto a punto al campo, ponele que sea una sucursal.
despues, si tenes en la oficina 2 isp, ahi las conectas al PFsense y listo haces el balanceo, para el PF son solo mas targetas de red y configuraciones. Cualquier cosa desime si estoy muy errado y espero ayudar con tu configuracion. -
No le veo el problema, las tarjetas cuestan 10 USD :(
-
Puedes usar una tarjeta por segmento como lo menciona elbocha01 y quitar un pfsense y utilizar las antenas como bridge o colocar un pfsense de cada lado y conectarlos por una interface fisica. No veo del todo correcto utilizar solo unas interfaces virtuales.
Saludos
-
Hola. Hace un tiempo tengo un producción un esquema similar al tuyo, aunque la solución implementada utiliza Vlans, un par de switch gestionables y antenas mikrotik (me decidí por estas últimas para poder crer un enlace full duplex con el protocolo nv2).
Se debe tener en cuenta lo siguiente: el enlace punto a punto debe ser totalmente transparente y los equipos utilizados (antenas) deben tener la capacidad de reconocer las etiquetas de las vlans que pasan de un lado a otro. (desconozco si las nueva versiones del firmware de ubiquiti tiene esa capacidad).Te paso por aqui unos links interesantes para que los veas, puede que te ayuden en algo.
vlans en Pfsense
https://www.highlnk.com/2014/06/configuring-vlans-on-pfsense/
https://www.youtube.com/watch?v=WeQEl07vtyYPunto a punto Mikrotik
http://www.wispforum.net/entry.php?5-How-to-Connect-two-Mikrotik-SXT-5D-s-In-Bridge-Mode-Part-Ivlans en Mikrotik
http://www.pvilas.com/search/label/mikrotik
https://klseet.com/index.php/213-tm-unifi/unifi-mikrotik/rb750/94-mikrotik-rb750-vlans-trunkingCisco y Mikrotik
http://rafawiki.blogspot.com.ar/2014/11/vlan-trunking-cisco-vs-mikrotik.htmlSaludos
-
Hola , para el caso de los enlaces no es necesario que los radios reconozcan o no las etiquetas , ya que el enlace únicamente funciona como un cable de red más , eso si que pase paquetes mayores a 1500 bytes para que pase la info de las vlans sin problemas.
Ubnt siempre lo ha hecho. O por lo menos desde que yo he puesto algunos enlaces hace unos 8 o 10 años :).
Saludos
-
Se están haciendo mucho lío… Vamos por lo más básico.
La pregunta concreta fue que teniendo una virtual IP configurada en su placa LAN, no puede hacer ping a la antena que se encuentra en el mismo rango.
Verifica que las direcciones IP tanto de la antena como de la virtual IP de pfSense estén bien configuradas, y que haya reglas de firewall sobre la LAN que permitan tráfico con origen en dicha subred.
Ademas, de esto, lo unico que necesitas es una ruta estatica para rutear la red de la otra sucursal a través del router del otro lado (mirando tu gráfico, considerando que instalaste pfSense en la sucursal 1, necesitas una ruta estatica para rutear 192.168.201.0/24 a través de 172.16.10.2). Y obviamente lo mismo del otro lado, pero al revés.
Saludos!
-
Buenas tardes, estoy retomando este tema, y continuando con las pruebas, ahora la estoy haciendo con unas tarjetas de red Independientes.
Una NIC en cada server para el enlace por las antenas.
Cree en cada server la inteface con el nombre antena y asigno ip en el rango de 172.16.10.1/29 Servidor Oficina 1 Principal
Ip 172.16.10.2/29 Oficina 2 .Revisando para poder colocar la ruta estatica tengo que crear un Gateways por la interface de las antenas en los dos server, en el modulo de Router.
Server Oficina 1
Name Interface Gateway Monitor IP Description
EnlaceAntena ANTENA 172.16.10.2 172.16.10.2 Enlace por antenasServer Oficina 2
Name Interface Gateway Monitor IP Description
EnlaceAntena ANTENA 172.16.10.1 172.16.0.1 Enlace por antenasCreo la Ruta Estatica
Network Gateway Interface Description
192.168.200.0/24 EnlaceAntena - 172.16.10.2 ANTENA Ruta Estatica Lan Oficina 2Network Gateway Interface Description
192.168.201.0/24 EnlaceAntena - 172.16.10.1 ANTENA Ruta estatica LAN Oficina PrincipalDoy los Permisos a nivel de Firewall Permitiendo todo el trafico tando de la Interface LAN como la Interface Antena, y de igual forma no logro llegar a niguna direccion ip mediante ping, ni entre los server por la red 172.16.10.0/29 pero las ip de las antenas si me da respuesta.
No se si tengo que configurar algun otro parametro o estoy haciendo un paso mal.?
Saludos.
-
Puedes hacer ping desde un server hacia la antena DEL OTRO LADO? Desde un server hacia el otro server?
Postea los resultados de algún traceroute para ver donde está el punto de falla. No tendrás habilitado NAT sobre alguna de estas interfaces??
-
Puedes hacer ping desde un server hacia la antena DEL OTRO LADO? Desde un server hacia el otro server?
Postea los resultados de algún traceroute para ver donde está el punto de falla. No tendrás habilitado NAT sobre alguna de estas interfaces??
Buenas tardes georgeman Muchas Gracias por contestar,
Desde los dos server PFsense puedo realizar ping a las ip de las antenas, pero a la ip de sus interfaces donde están directamente conectados las antenas no. de igual forma el traceroute no consigue ninguna ruta.
Cuando creo el gateway por la interface de las antenas, me sale siempre que esta caído.
Adjunto imágenes con la configuración que tengo, para ver si tengo algo mal configurado o se me paso por alto.
Nota, en las pantallas muestro el direccionamiento que actualmente tengo probando en los servidores, no los antes mencionados en los Post anteriores.
Saludos Muchas Gracias.
 -
No puedes realizar ping porque no estas permitiendo tráfico ICMP en las interfaces! Tienes sólo permitido TCP.
El resto está mas o menos bien, exceptuando que hay reglas que no tienen mucho sentido (por ejemplo, permites todo el tráfico con la primera regla por lo que las de más abajo nunca se evalúan).
Saludos!
-
Buenas Tardes georgeman, Muchas gracias por tu respuesta, si me di cuenta lo del protocola a penas había echo el post anterior, ya me esta funcionando las pruebas de Tracert entre dos equipos.
Estoy realizando pruebas con otros servicios, cualquier inconveniente volveré a preguntar por esta via
Saludos
-
Buen día amigos,
Primero que nada muchas gracias a todos los que contestaron mis preguntas y dudas.
Aquí les muestro como realice la prueba de conexión entre 2 Oficinas con pfSense (Usando un Virtual Interface) trabajando mas o menos con el esquema enviado en el primer post.
Lo único que detalle es que al momento de crear la reglas en el firewall si quieren hacer balanceo de trafico enviando paquetes a otra interface wan, tiene que hacerla después de las reglas para las redes internas entre oficinas, ya que no toma de primero la ruta estática y no mandaría el paquete al otro server sino a la interface wan, como se ve en la ultima regla creada en la interfaces lan en la oficina principal.
adjunto imágenes de configuración con algunas pruebas que realice y todas fueron positivas, usando Alias para puertos de comunicación y Direcciones Ips.
Espero les sea de ayuda para algún otra persona que necesite configurar algo parecido.
No se si me explique bien.
Muchas Gracias.
Saludos
 -
Saludos mi estimado amigo, lo primero que diria yo es para que deseas conectar las dos sedes???? Si bien como explicas el tema de conexión asimétrica seria un inconveniente dependiendo del destino final de de dicho enlace. Esto te lo pregunto por que si bien es cierto se que mucho lo han hecho mas quiero hablarte de lo que he hecho yo en especial he unido sucursales via enlaces Punto a Punto como bien indicaste como tambien lo he hecho via VPN haciendo uso de la conexion de cada ISP en ambos extremos en ambientes con conexiones asimetricas para publicar servicios (sistema administrativo de gestion, monitoreo y control de servidores, etc) a nivel local en ambas sedes en fin diseñando soluciones para ahorrar en equipos y servicios (uso de 1 servidor web en vez de dos, una sola base de datos,etc).
En fin vendria bien conocer en principio para que deseas usar ese enlace para entonces luego poder elegir la mejor opcion disponible. Cabe destacar que ambas soluciones pueden ser viables previo analisis del ambiente de cada una.
Estamos a tu orden