[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: "OFF-TOPIC [Pfsense no soporta el mismo gateway para 2 ips wan staticas del mismo rango]"

2013/9/20 Maykel Franco <maykeldebian@gmail.com>:
>
> El 20/09/2013 23:12, "C. L. Martinez" <carlopmart@gmail.com> escribió:
>
>
>>
>> 2013/9/20 Maykel Franco <maykeldebian@gmail.com>:
>> >
>> > El 20/09/2013 22:46, "C. L. Martinez" <carlopmart@gmail.com> escribió:
>> >>
>> >> 2013/9/20 Camaleón <noelamac@gmail.com>:
>> >> > El Thu, 19 Sep 2013 10:33:22 +0200, Maykel Franco escribió:
>> >> >
>> >> > (...)
>> >> >
>> >> >> Bueno el caso, es que compartimos el firewall con unos compañeros
>> >> >> que
>> >> >> hay por aquí, tenemos el mismo rango de ip publica con el mismo
>> >> >> proveedor, un ejemplo:
>> >> >>
>> >> >> - Nuestra WAN --> 80.23.4.2
>> >> >> - La WAN de ellos --> 80.23.4.3
>> >> >> - Gateway de la WAN proveedor --> 80.23.4.1
>> >> >>
>> >> >> Pfsense sólo te deja definir una gateway por cada wan, esto es un
>> >> >> problema puesto que queremos salir con el mismo gateway.
>> >> >>
>> >> >> Antes de postear, he ido probando cosas e inclusive he buscado en el
>> >> >> foro de pfsense con "pfsense multiwan same gateway" pero de la parte
>> >> >> de
>> >> >> soporte de pfsense dicen que no se puede...
>> >> >
>> >> > (...)
>> >> >
>> >> > Eso es lo que comentan, pero también mencionan algo sobre un "doble
>> >> > NAT"
>> >> > sobre la pasarela para conseguirlo. Aunque supongo que ya lo habrás
>> >> > visto, te lo paso por si acaso:
>> >> >
>> >> > ***
>> >> > Same gateway for two WAN interfaces (same isp) problem in pfsense 2.0
>> >> > http://forum.pfsense.org/index.php?topic=40400.0
>> >> > ***
>> >> >
>> >>
>> >> Iba a responder el otro día, pero me contuve ya que parece ser que
>> >> Maykel ya encontró una solución de su agrado. Pero viendo que no se
>> >> entendió mi respuesta, procedo a explicarme.
>> >>
>> >>  Lo que plantea Maykel SI se puede hacer con PFSense (o sea PF, packet
>> >> filter) y con linux utilizando iptables+iproute2 ... Nada de dobles
>> >> NATs ni cosas por el estilo (de hecho se utiliza una solo regla
>> >> "mangle").
>> >>
>> >>  Ahora bien, lo que intenté hacer ver a Maykel el otro día (y no lo
>> >> acabó de pillar me parece) es que a nivel práctico el problema que
>> >> plantea no es tal, por el sencillo motivo de que no tiene mucho
>> >> sentido: ¿para que quieres utilizar dos interfaces con
>> >> direccionamiento del mismo segmento de red y mismo default gateway?
>> >> respuesta simple: para nada. Otra cosa es que se quiera experimentar y
>> >> trastear.
>> >>
>> >>  y no tiene sentido por el mero hecho de ¿que es lo que gana:
>> >> granulidad de administración, políticas de filtering adecuadas? No ,
>> >> nada de esto. Solo obtiene ventajas si utliza bonding ... y otro tema
>> >> es cambiar un PFSense por un ClearOS, ni "jarto de cola-cao" :)) hago
>> >> yo eso ... Pero para gustos los colores :)) Aunque existen razones de
>> >> peso para utilizar PFSense por delante de un linux como firewall,
>> >> empezando por el stack TCP/IP que implementan los BSD y acabando por
>> >> la propia potencia de PF, en la que IPTables solo le supera en un
>> >> punto técnicamente: Iptables puede utilizar todos los cores de un
>> >> servidor equipado con procesadores multi-core, cosa que PF es uni-core
>> >> ... Pero eso cambiará en el momento que sea liberada la versión
>> >> estable de FreeBSD 10, en la que PF ya es multi-core.
>> >>
>> >>  No sé si ahora me he conseguido explicar.
>> >>
>> >>  Saludos.
>> >>
>> >>
>> >> --
>> >> To UNSUBSCRIBE, email to debian-user-spanish-REQUEST@lists.debian.org
>> >> with a subject of "unsubscribe". Trouble? Contact
>> >> listmaster@lists.debian.org
>> >> Archive:
>> >>
>> >> [🔎] CAEjQA5KULjoRA8jKMiPHbYjSgGgPA0Xsh+MLPEoEo9arbihQww@mail.gmail.com">http://lists.debian.org/[🔎] CAEjQA5KULjoRA8jKMiPHbYjSgGgPA0Xsh+MLPEoEo9arbihQww@mail.gmail.com
>> >>
>> >
>> > Por lo que veo no te has enterado de nada o bien me explico fatal
>> > tio...y si
>> > tengo 2 redes de 2 empresas y quiero salir por 2 ips publicas del mismo
>> > rango, cada una la suya aunque sea:
>> >
>> > - empresa1 80.1.2.2
>> > - empresa2 80.1.2.3
>> >
>> > Y quiero salir por su gateway 80.1.2.1. Tenemos un isp que nos
>> > proporciona
>> > varias ips fijas del mismo rango, y tiene su gateway de toda la vida de
>> > dios. Por motivod de que cada uno quiere salir por su ip fija, no
>> > queremos
>> > salir a internet con la misma ip fija lo ves un "capricho" o un
>> > testeo....creo que te equivoas y estas configuraciones las hemos tenido
>> > en
>> > otro firewall.
>> >
>> > Si...me explico fatal...
>>
>> Vuelvo a repetirlo: lo entendí perfectamente el otro día y lo vuelvo a
>> entender ahora. Y te sigo diciendo que el planteamiento no tiene
>> ningún sentido. Vamos a ver: ¿que sentido tiene que tu discrimes
>> tráfico saliente generado en tus redes internas por una u otra
>> interfaz? Ninguno, porque os estais "pisando" el ancho de banda los
>> unos y los otros ...
>>
>>  Ahora vamos con el tráfico entrante: empieza a tener sentido si
>> disponeis de DMZs separadas y utilizais servicios distintos e IP's
>> públicas distintas. Si uno de esos argumentos no sé dá, la
>> implantación carece de base.
>>
>>  ¿me voy explicando tio?
>>
>> Saludos.
>>
>>
>> --
>> To UNSUBSCRIBE, email to debian-user-spanish-REQUEST@lists.debian.org
>> with a subject of "unsubscribe". Trouble? Contact
>> listmaster@lists.debian.org
>> Archive:
>> [🔎] CAEjQA5KJcU9H64xi4J9PDGA_JWuqFSYKBVQ6K5sNq1mrn23pwA@mail.gmail.com">http://lists.debian.org/[🔎] CAEjQA5KJcU9H64xi4J9PDGA_JWuqFSYKBVQ6K5sNq1mrn23pwA@mail.gmail.com
>>
>
> Perfectamente pero tenemos clientes, los cuales tienen servicios de acceso
> que tienen reglas como por ejemplo ip publica origen que si no se lanzan con
> una ip publica establecida no funciona. Que te parece bro??
>
> Saludos.

Que eso no es ningún problema si utilizas tanto bonding bajo linux com
llagg bajo PFSense: a ambas interfaces les puedes asignar IP's via
proxy-arp o ip alias, como más te guste ... Y para las reglas de NAT
de tráfico saliente saldrás con la que tu indiques ...

No hace falta montarse el follón con reglas de polcy routing con n
NATS de por medio y reglas de filtrado maquiavelicas ... Simplificas
todo con un simple bonding/llagg ... Oye, y si tan preocupados están,
que se utilicen dos fws ....

En resumen: lo que tú querias hacer lo hace PFSense (y cualquier BSD
con PF) y lo hacen ClearOS (y obviamente cualquier linux con
iptables+iproute2), pero te estás complicando la vida de mala manera
cuando no hay porqué ... Solo espero que no sea un fw de más de 700
reglas, porque pobre de ti para administrar eso :))

Saludos.
Reply to: