El 20/09/2013 23:36, "C. L. Martinez" <carlopmart@gmail.com> escribió:
>
> 2013/9/20 Maykel Franco <maykeldebian@gmail.com>:
> >
> > El 20/09/2013 23:25, "C. L. Martinez" <carlopmart@gmail.com> escribió:
> >>
> >> 2013/9/20 Maykel Franco <maykeldebian@gmail.com>:
> >> >
> >> > El 20/09/2013 23:12, "C. L. Martinez" <carlopmart@gmail.com> escribió:
> >> >
> >> >
> >> >>
> >> >> 2013/9/20 Maykel Franco <maykeldebian@gmail.com>:
> >> >> >
> >> >> > El 20/09/2013 22:46, "C. L. Martinez" <carlopmart@gmail.com>
> >> >> > escribió:
> >> >> >>
> >> >> >> 2013/9/20 Camaleón <noelamac@gmail.com>:
> >> >> >> > El Thu, 19 Sep 2013 10:33:22 +0200, Maykel Franco escribió:
> >> >> >> >
> >> >> >> > (...)
> >> >> >> >
> >> >> >> >> Bueno el caso, es que compartimos el firewall con unos compañeros
> >> >> >> >> que
> >> >> >> >> hay por aquí, tenemos el mismo rango de ip publica con el mismo
> >> >> >> >> proveedor, un ejemplo:
> >> >> >> >>
> >> >> >> >> - Nuestra WAN --> 80.23.4.2
> >> >> >> >> - La WAN de ellos --> 80.23.4.3
> >> >> >> >> - Gateway de la WAN proveedor --> 80.23.4.1
> >> >> >> >>
> >> >> >> >> Pfsense sólo te deja definir una gateway por cada wan, esto es un
> >> >> >> >> problema puesto que queremos salir con el mismo gateway.
> >> >> >> >>
> >> >> >> >> Antes de postear, he ido probando cosas e inclusive he buscado en
> >> >> >> >> el
> >> >> >> >> foro de pfsense con "pfsense multiwan same gateway" pero de la
> >> >> >> >> parte
> >> >> >> >> de
> >> >> >> >> soporte de pfsense dicen que no se puede...
> >> >> >> >
> >> >> >> > (...)
> >> >> >> >
> >> >> >> > Eso es lo que comentan, pero también mencionan algo sobre un
> >> >> >> > "doble
> >> >> >> > NAT"
> >> >> >> > sobre la pasarela para conseguirlo. Aunque supongo que ya lo
> >> >> >> > habrás
> >> >> >> > visto, te lo paso por si acaso:
> >> >> >> >
> >> >> >> > ***
> >> >> >> > Same gateway for two WAN interfaces (same isp) problem in pfsense
> >> >> >> > 2.0
> >> >> >> > http://forum.pfsense.org/index.php?topic=40400.0
> >> >> >> > ***
> >> >> >> >
> >> >> >>
> >> >> >> Iba a responder el otro día, pero me contuve ya que parece ser que
> >> >> >> Maykel ya encontró una solución de su agrado. Pero viendo que no se
> >> >> >> entendió mi respuesta, procedo a explicarme.
> >> >> >>
> >> >> >> Lo que plantea Maykel SI se puede hacer con PFSense (o sea PF,
> >> >> >> packet
> >> >> >> filter) y con linux utilizando iptables+iproute2 ... Nada de dobles
> >> >> >> NATs ni cosas por el estilo (de hecho se utiliza una solo regla
> >> >> >> "mangle").
> >> >> >>
> >> >> >> Ahora bien, lo que intenté hacer ver a Maykel el otro día (y no lo
> >> >> >> acabó de pillar me parece) es que a nivel práctico el problema que
> >> >> >> plantea no es tal, por el sencillo motivo de que no tiene mucho
> >> >> >> sentido: ¿para que quieres utilizar dos interfaces con
> >> >> >> direccionamiento del mismo segmento de red y mismo default gateway?
> >> >> >> respuesta simple: para nada. Otra cosa es que se quiera experimentar
> >> >> >> y
> >> >> >> trastear.
> >> >> >>
> >> >> >> y no tiene sentido por el mero hecho de ¿que es lo que gana:
> >> >> >> granulidad de administración, políticas de filtering adecuadas? No ,
> >> >> >> nada de esto. Solo obtiene ventajas si utliza bonding ... y otro
> >> >> >> tema
> >> >> >> es cambiar un PFSense por un ClearOS, ni "jarto de cola-cao" :))
> >> >> >> hago
> >> >> >> yo eso ... Pero para gustos los colores :)) Aunque existen razones
> >> >> >> de
> >> >> >> peso para utilizar PFSense por delante de un linux como firewall,
> >> >> >> empezando por el stack TCP/IP que implementan los BSD y acabando por
> >> >> >> la propia potencia de PF, en la que IPTables solo le supera en un
> >> >> >> punto técnicamente: Iptables puede utilizar todos los cores de un
> >> >> >> servidor equipado con procesadores multi-core, cosa que PF es
> >> >> >> uni-core
> >> >> >> ... Pero eso cambiará en el momento que sea liberada la versión
> >> >> >> estable de FreeBSD 10, en la que PF ya es multi-core.
> >> >> >>
> >> >> >> No sé si ahora me he conseguido explicar.
> >> >> >>
> >> >> >> Saludos.
> >> >> >>
> >> >> >>
> >> >> >> --
> >> >> >> To UNSUBSCRIBE, email to
> >> >> >> debian-user-spanish-REQUEST@lists.debian.org
> >> >> >> with a subject of "unsubscribe". Trouble? Contact
> >> >> >> listmaster@lists.debian.org
> >> >> >> Archive:
> >> >> >>
> >> >> >>
> >> >> >> [🔎] CAEjQA5KULjoRA8jKMiPHbYjSgGgPA0Xsh+MLPEoEo9arbihQww@mail.gmail.com">http://lists.debian.org/[🔎] CAEjQA5KULjoRA8jKMiPHbYjSgGgPA0Xsh+MLPEoEo9arbihQww@mail.gmail.com
> >> >> >>
> >> >> >
> >> >> > Por lo que veo no te has enterado de nada o bien me explico fatal
> >> >> > tio...y si
> >> >> > tengo 2 redes de 2 empresas y quiero salir por 2 ips publicas del
> >> >> > mismo
> >> >> > rango, cada una la suya aunque sea:
> >> >> >
> >> >> > - empresa1 80.1.2.2
> >> >> > - empresa2 80.1.2.3
> >> >> >
> >> >> > Y quiero salir por su gateway 80.1.2.1. Tenemos un isp que nos
> >> >> > proporciona
> >> >> > varias ips fijas del mismo rango, y tiene su gateway de toda la vida
> >> >> > de
> >> >> > dios. Por motivod de que cada uno quiere salir por su ip fija, no
> >> >> > queremos
> >> >> > salir a internet con la misma ip fija lo ves un "capricho" o un
> >> >> > testeo....creo que te equivoas y estas configuraciones las hemos
> >> >> > tenido
> >> >> > en
> >> >> > otro firewall.
> >> >> >
> >> >> > Si...me explico fatal...
> >> >>
> >> >> Vuelvo a repetirlo: lo entendí perfectamente el otro día y lo vuelvo a
> >> >> entender ahora. Y te sigo diciendo que el planteamiento no tiene
> >> >> ningún sentido. Vamos a ver: ¿que sentido tiene que tu discrimes
> >> >> tráfico saliente generado en tus redes internas por una u otra
> >> >> interfaz? Ninguno, porque os estais "pisando" el ancho de banda los
> >> >> unos y los otros ...
> >> >>
> >> >> Ahora vamos con el tráfico entrante: empieza a tener sentido si
> >> >> disponeis de DMZs separadas y utilizais servicios distintos e IP's
> >> >> públicas distintas. Si uno de esos argumentos no sé dá, la
> >> >> implantación carece de base.
> >> >>
> >> >> ¿me voy explicando tio?
> >> >>
> >> >> Saludos.
> >> >>
> >> >>
> >> >> --
> >> >> To UNSUBSCRIBE, email to debian-user-spanish-REQUEST@lists.debian.org
> >> >> with a subject of "unsubscribe". Trouble? Contact
> >> >> listmaster@lists.debian.org
> >> >> Archive:
> >> >>
> >> >> [🔎] CAEjQA5KJcU9H64xi4J9PDGA_JWuqFSYKBVQ6K5sNq1mrn23pwA@mail.gmail.com">http://lists.debian.org/[🔎] CAEjQA5KJcU9H64xi4J9PDGA_JWuqFSYKBVQ6K5sNq1mrn23pwA@mail.gmail.com
> >> >>
> >> >
> >> > Perfectamente pero tenemos clientes, los cuales tienen servicios de
> >> > acceso
> >> > que tienen reglas como por ejemplo ip publica origen que si no se lanzan
> >> > con
> >> > una ip publica establecida no funciona. Que te parece bro??
> >> >
> >> > Saludos.
> >>
> >> Que eso no es ningún problema si utilizas tanto bonding bajo linux com
> >> llagg bajo PFSense: a ambas interfaces les puedes asignar IP's via
> >> proxy-arp o ip alias, como más te guste ... Y para las reglas de NAT
> >> de tráfico saliente saldrás con la que tu indiques ..
> >
> > Lo probare.
> >
> >>
> >> No hace falta montarse el follón con reglas de polcy routing con n
> >> NATS de por medio y reglas de filtrado maquiavelicas ... Simplificas
> >> todo con un simple bonding/llagg ... Oye, y si tan preocupados están,
> >> que se utilicen dos fws ....
> >>
> >> En resumen: lo que tú querias hacer lo hace PFSense (y cualquier BSD
> >> con PF) y lo hacen ClearOS (y obviamente cualquier linux con
> >> iptables+iproute2), pero te estás complicando la vida de mala manera
> >> cuando no hay porqué ... Solo espero que no sea un fw de más de 700
> >> reglas, porque pobre de ti para administrar eso :))
> >
> > Llevas razon, porque no utilizar 2 pfsense...porque necesitamos usar el
> > mismo firewall para garantizar el QoS sip mediante un enlace trunk.
> >>
> >> Saludos.
> >
> > Saludos y gracias.
>
> Si dispones de 3 o más IP públicas ya puedes aplicar QoS a los
> servicios que desees ...
>
> Saludos.
>
>
> --
> To UNSUBSCRIBE, email to debian-user-spanish-REQUEST@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
> Archive: http://lists.debian.org/CAEjQA5+UWc1uebc6mkYyJa7z+F3x1a9r+NwqMdU2YVsbm5Yg@mail.gmail.com
>
Disponemos concretamente de 8 para 2 empresas que nos unimos a traves del firewall cada uno por su interfaz.
Saludos.