PfSense 2.2.6 amd64 con Squid3 en entorno multiwan



  • Hola, como he visto que este parece ser un tema recurrente, he puesto un procedimiento (borrador, si veis fallos avisad)

    Procedimiento para configurar pfSense 2.2.6-RELEASE (amd64) como:

    -Firewall
        – Proxy caché (squid3)
        – Filtro de contenidos (squidGuard)
        – Antivirus para tráfico http (clamAV, incluido en paquete squid3)
        – Gestión de tráfico: histórico de consumo de ancho de banda por usuario (IP) (Sarg)
        – Balanceo de carga
        – Servidor DHCP con WPAD y servidor DNS para la red local

    Para el Escenario (topología de red)

    Está en: https://www.javcasta.com/procedimiento-pfsense-2-2-6-amd64-con-squid-en-entorno-multiwan/

    Salu2



  • Hola está bueno, unos alcances/consultas:

    • Con Squid2 y MultiWAN yo he tenido que crear reglas floating de salida en las WAN para los puertos 443 y 80, ya que se rehusaba salir por el grupo de gateways, siempre intentaba salir por el gateway por defecto aunque estaba activaba la opción gateway switching.

    ¿Squid3 no tiene este problema? Quizás faltó agregar eso.

    • Yo creo sólo el archivo /usr/local/www/wpad.dat y luego por consola creo enlaces simbólicos para los otros dos archivos, el proxy.pac lo usa Firefox y el wpad.da algunos programas antiguos según tengo entendido, así se mantiene sólo un archivo:

    ln -s /usr/local/www/wpad.dat /usr/local/www/wpad.da
    ln -s /usr/local/www/wpad.dat /usr/local/www/proxy.pac

    También tengo entendido que en el DHCP sólo es necesario agregar una entrada 252 para el Wpad. Yo al menos agrego sólo la "http://192.168.7.254/wpad.dat" que es el que se supone tiene más futuro para convertirse en estándar.

    Sería interesante ver la configuración para usar Squid como proxy HTTPS, lo cual permite tener más control sobre el tráfico. Yo no lo he hecho aún pero ya prepararé una máquina virtual para hacer pruebas.



  • Hola.

    Sí, con squid3 + squidGuard, en entorno multiWan (2 gw = 2 routers de salida a Inet) y habilitando Enable default gateway switching, trabaja bien.

    Efectivamente, creando un solo fichero wpad.dat y enlanzándo simbolicamente (ln -s …) a los otros proxy.pac y wpad.da también funciona, seguí ortodoxamente la doc de pfSense https://doc.pfsense.org/index.php/WPAD_Autoconfigure_for_Squid#Create_wpad.dat , donde ellos mismos dicen:

    (More advanced users might do this from the shell and use ln to link the files.)

    Y lo de las entradas 252, creé las 3, una para cada fichero.

    Mira un link interesante, donde configura un segundo servidor web en el pfSense pàra no tener que dejar el acceso a la GUI via (el inseguro) protocolo http:

    https://nguvu.org/pfsense/pfSense-WPAD-PAC-proxy-configuration-guide/

    Salu2



  • @javcasta:

    Y lo de las entradas 252, creé las 3, una para cada fichero.

    Gracias. Lo que quería decir en mi mensaje es que no es necesario agregar las 3 lineas, con 1 basta.

    Saludos.



  • Muy buen tuto de verdad lo estoy utilizando como guia desde ayer que lo encontre con "santo google"  ;D sin embargo tengo muchas dudas.

    Mi escenario es:

    • WAN tengo un solo enlace no puedo aplicar el multiwan por los momentos (estoy a la espera del segundo proveedor ISP). Pero tengo 3 NIC para poder realizar el multiwan en un futuro cercano.
    • Lan con 100 clientes aproximadamente.
    • Un servidor de Dominio Windows Server 2012, Un servidor DNS/DHCP, un servidor FTP, un Servidor de archivos, un servidor de aplicaciones y un servidor Voip.

    La semana pasada tuve una intrusion en mi servidor de VoIP y que resulto bastante perjudicial.

    Uno de mis objetivos es el poder filtrar HTTP/HTTPS y bloquear ciertas paginas a grupos especificos de usuarios.
    El otro es agregar seguridad a mi red interna.

    Mis dudas es con el filtrado web, la mayoria de los post que he leido estan bastante desactualizados con respecto a este tema y este es el mas actualizado que he leido, muchas gracias por publicarlo pero directo al grano en mi caso que tengo estos grupos de usuarios:

    Usuarios standard: Bloquear redes sociales (Ej. facebook, twitter,etc), bloquear contenido (violento, obsceno, sexo o pornografico, alcohol, drogas, etc), bloquear descargas directas y p2p, bloquear videos, streaming y musica (incluyendo youtube que ha sido todo un dolor de cabeza), bloquear paginas de chat.

    Usuarios Pro: bloquear todo lo anterior a excepcion de paginas de redes sociales y descargas.

    Usuarios Ultimate: Solo bloquear contenido (violento, obsceno, sexo o pornografico, alcohol, drogas, etc)

    Por lo tanto no se por donde empezar.



  • Hola.

    Empieza por el principio

    (Lo de multiwan configuralo al final, cuando te funcione todo.)

    Empieza por que funcione el WPAD y que todo el tráfico http/https sea vía proxy… Una vez funcione esto, ya te lias con profundidades.

    Paso a paso :)

    (busca en el foro, sobre todo en Inglés, hay mucha doc)

    Salu2



  • Esta excelente el tutorial, gracias pero mi pregunta seria si podria funcionar en mi caso, mi topologia es que tengo un servidor con 3 enlaces y 3 subredes y una de ellas con 5 vlans en una misma subred pero solo 2 gigas en Ram en mi servidor :'(, planeo delegar el servicio de DHCP a un Switch Capa 3  8) para disminuir el uso de la misma por la poca capacidad en RAM de mi servidor.

    ¿se puede hacer?, ¿Funcionara este método? ???
    Tengo casi dos mil usuarios en mi red y tengo lenta mi red por que no hago filtrado de contenido…

    de antemano Gracias por sus respuestas  ;D



  • Hola.

    ¿Con 2GB de ram para el pfSense haciendo de firewall + proxy + squidGuard + dhcp server + dns server para tráfico de 2000 usuarios?

    Para un tráfico de 2.000 usuarios, lo que yo haria es:

    • tener un servidor dedicado al firewall (pfSense)
    • tener otro servidor dedicado para el proxy squid + squidGuard + DNS para las lan, con suficiente ram y capacidad de disco (una cache de 25GB pondria para empezar). ¿Un CentOS, o un Debian?, al gusto …
    • Y como tienes un switch de capa3 para enrutar las VLAN y también ponerlo como dhcp server (disminuyes el trabajo de los servidores)

    red lan --- switch capa3 (dhcp server) --- servidor proxy (squid) --- pfSense --- WAN/Inet
    red lan2 -----|                                                                                          |---WAN2/Inet
    red lan3 ----

    Saludos


Log in to reply