[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: "OFF-TOPIC [Pfsense no soporta el mismo gateway para 2 ips wan staticas del mismo rango]"

2013/9/20 Maykel Franco <maykeldebian@gmail.com>:
>
> El 20/09/2013 22:46, "C. L. Martinez" <carlopmart@gmail.com> escribió:
>>
>> 2013/9/20 Camaleón <noelamac@gmail.com>:
>> > El Thu, 19 Sep 2013 10:33:22 +0200, Maykel Franco escribió:
>> >
>> > (...)
>> >
>> >> Bueno el caso, es que compartimos el firewall con unos compañeros que
>> >> hay por aquí, tenemos el mismo rango de ip publica con el mismo
>> >> proveedor, un ejemplo:
>> >>
>> >> - Nuestra WAN --> 80.23.4.2
>> >> - La WAN de ellos --> 80.23.4.3
>> >> - Gateway de la WAN proveedor --> 80.23.4.1
>> >>
>> >> Pfsense sólo te deja definir una gateway por cada wan, esto es un
>> >> problema puesto que queremos salir con el mismo gateway.
>> >>
>> >> Antes de postear, he ido probando cosas e inclusive he buscado en el
>> >> foro de pfsense con "pfsense multiwan same gateway" pero de la parte de
>> >> soporte de pfsense dicen que no se puede...
>> >
>> > (...)
>> >
>> > Eso es lo que comentan, pero también mencionan algo sobre un "doble NAT"
>> > sobre la pasarela para conseguirlo. Aunque supongo que ya lo habrás
>> > visto, te lo paso por si acaso:
>> >
>> > ***
>> > Same gateway for two WAN interfaces (same isp) problem in pfsense 2.0
>> > http://forum.pfsense.org/index.php?topic=40400.0
>> > ***
>> >
>>
>> Iba a responder el otro día, pero me contuve ya que parece ser que
>> Maykel ya encontró una solución de su agrado. Pero viendo que no se
>> entendió mi respuesta, procedo a explicarme.
>>
>>  Lo que plantea Maykel SI se puede hacer con PFSense (o sea PF, packet
>> filter) y con linux utilizando iptables+iproute2 ... Nada de dobles
>> NATs ni cosas por el estilo (de hecho se utiliza una solo regla
>> "mangle").
>>
>>  Ahora bien, lo que intenté hacer ver a Maykel el otro día (y no lo
>> acabó de pillar me parece) es que a nivel práctico el problema que
>> plantea no es tal, por el sencillo motivo de que no tiene mucho
>> sentido: ¿para que quieres utilizar dos interfaces con
>> direccionamiento del mismo segmento de red y mismo default gateway?
>> respuesta simple: para nada. Otra cosa es que se quiera experimentar y
>> trastear.
>>
>>  y no tiene sentido por el mero hecho de ¿que es lo que gana:
>> granulidad de administración, políticas de filtering adecuadas? No ,
>> nada de esto. Solo obtiene ventajas si utliza bonding ... y otro tema
>> es cambiar un PFSense por un ClearOS, ni "jarto de cola-cao" :)) hago
>> yo eso ... Pero para gustos los colores :)) Aunque existen razones de
>> peso para utilizar PFSense por delante de un linux como firewall,
>> empezando por el stack TCP/IP que implementan los BSD y acabando por
>> la propia potencia de PF, en la que IPTables solo le supera en un
>> punto técnicamente: Iptables puede utilizar todos los cores de un
>> servidor equipado con procesadores multi-core, cosa que PF es uni-core
>> ... Pero eso cambiará en el momento que sea liberada la versión
>> estable de FreeBSD 10, en la que PF ya es multi-core.
>>
>>  No sé si ahora me he conseguido explicar.
>>
>>  Saludos.
>>
>>
>> --
>> To UNSUBSCRIBE, email to debian-user-spanish-REQUEST@lists.debian.org
>> with a subject of "unsubscribe". Trouble? Contact
>> listmaster@lists.debian.org
>> Archive:
>> [🔎] CAEjQA5KULjoRA8jKMiPHbYjSgGgPA0Xsh+MLPEoEo9arbihQww@mail.gmail.com">http://lists.debian.org/[🔎] CAEjQA5KULjoRA8jKMiPHbYjSgGgPA0Xsh+MLPEoEo9arbihQww@mail.gmail.com
>>
>
> Por lo que veo no te has enterado de nada o bien me explico fatal tio...y si
> tengo 2 redes de 2 empresas y quiero salir por 2 ips publicas del mismo
> rango, cada una la suya aunque sea:
>
> - empresa1 80.1.2.2
> - empresa2 80.1.2.3
>
> Y quiero salir por su gateway 80.1.2.1. Tenemos un isp que nos proporciona
> varias ips fijas del mismo rango, y tiene su gateway de toda la vida de
> dios. Por motivod de que cada uno quiere salir por su ip fija, no queremos
> salir a internet con la misma ip fija lo ves un "capricho" o un
> testeo....creo que te equivoas y estas configuraciones las hemos tenido en
> otro firewall.
>
> Si...me explico fatal...

Vuelvo a repetirlo: lo entendí perfectamente el otro día y lo vuelvo a
entender ahora. Y te sigo diciendo que el planteamiento no tiene
ningún sentido. Vamos a ver: ¿que sentido tiene que tu discrimes
tráfico saliente generado en tus redes internas por una u otra
interfaz? Ninguno, porque os estais "pisando" el ancho de banda los
unos y los otros ...

 Ahora vamos con el tráfico entrante: empieza a tener sentido si
disponeis de DMZs separadas y utilizais servicios distintos e IP's
públicas distintas. Si uno de esos argumentos no sé dá, la
implantación carece de base.

 ¿me voy explicando tio?

Saludos.
Reply to: