Pfsense in cascata



  • Buonasera a tutti,
    inizio col farvi i complimenti per l'utilità del forum. Utilizzo pfsense da qualche mese in una situazione ereditata e sono soddsfatto del prodotto.
    Arrivo al punto, ho un pfsense 2.2 su macchina virtuale presso la server farm dove risiedono vari server di vari clienti. Per un discorso di sicurezza e gestione del traffico al momento della configurazione venne deciso di creare vlan per ogni cliente, direttamente con le interfacce del pfsense, ovviamente gestite anche da switch in ridondanza. Il problema ora nasce dal fatto che ho la necessità di aggiungere vlan, ma le macchine vmware prevedono al massimo 10 schede e con le 8 vlan, la management e la wan la macchina è satura.
    Ho pensato a varie soluzioni, mettere un secondo pfs sense in cascata, metterne uno autonomo dedicando gli host ( ne ho vari) ai vari clienti e far puntare i pfsense allo stesso rilascio, vi chiedo gentilmente un consiglio al riguardo su quale sia la souzione migliore e la metodologia di configurazione.
    Grazie mille in anticipo.



  • Qualcuno di voi ha un'esperienza simile o un'idea al riguardo…
    Please ;D



  • Ciao,
    forse non ho ben capito la tua configurazione e quindi rispondo in modo troppo semplice.
    Io in ambiente virtuale gestirei la configurazione così:

    • pfsense virtuale;
    • un interfaccia per ogni cliente;
    • ogni interfaccia collegata al vSwitch del cliente.

    Ovviamente questa configurazione vale se hai tutto virtuale, di norma è quella che si usa negli ambienti cloud (in realtà in quei casi si usano due firewall, uno di froniera e uno dedicato per ogni cliente).

    Ciao Fabio



  • Ciao Fabio,
    grazie per la risposta.
    La mia configurazione è come dici tu, solo che anzichè dedicare vswitch ad ogni cliente, sono state create le vlan sui port group, ma comunque ogni cliente ha un'interfaccia del pfsense dedicata, con virtualip dedicato.
    Il mio problema nasce dal fatto che ho terminato le schede di rete sul pfsense (su vmware una virtual può configurarne massimo 10), e ho necessità di aggiungere nuove vlan (clienti). Ora non so come procedere, credo di dovere aggiungere un altro pfsense e metterlo in cascata, volevo un consiglio al riguardo sulla configurazione e come gestire il nat con un secondo pfsense in cascata con ip pubblici.



  • La soluzione che ti ho proposto non utilizza VLAN quindi non ha limiti.
    Si tratta di aggiungere tante interfacce al pfsense quante sono le reti dei clienti. Lato vmware ogni rete è rappresentata da un vSwitch.
    Non ci sono VLAN

    Ciao Fabio


Log in to reply