En este artículo se configurará un servidor Pfsense. Este es un sistema operativo basado en FreeBSD, codigo abierto y distribuible, por Electric Sheep Fencing, LLC. Está optimizado para funcionar como firewall/gateway y consume relativamente bajos recursos.
Entre sus características permite configurar un balanceo de cargas basado en rutas de puerta de enlace. Esto de manera muy intuitiva y por una interface web.
No se contempla en este artículo la instalación, pues se hace de una manera muy sencilla (Únicamente estar atento en el boot, para ingresar la orden de instalación).
En la instalación se definen las interfaces de red, una para WAN, otra para LAN y otra opcional (OPT1).
En freeBSD, el nombre de las interfaces de red tiene la nomenclatura "em#" (en linux la nomenclatura sería "eth#")
Asumiremos que las interfaces están distribuidas de la siguiente manera:
| WAN | : | em0 | - ISP1 |
| LAN | : | em2 | - LAN |
| OPT1 | : | em1 | - ISP2 |
Para realizar las configuraciones debemos ingresar al sitio web de administración (se instala automáticamente cuando se instala el sistema operativo). Para ello nos metemos a algún navegador web en un computador conectado a la interface "WAN" de nuestro servidor sential. En la barra de direcciones se escribe "http://IP_DE_PFSENSE". El usuario es "admin" y la contraseña "pfsense".
Una vez logeados podemos empezar la configuración
Configuración de las Interfaces de Red:
Primero debemos saber con cuales interfaces de red se está trabajando. Como vimos en la descripción anterior, debemos cambiar el nombre de las interfaces de red para que correspondan a su función y no tengamos confusiones más adelante.
en el menú de arriba nos dirigimos a "Interfaces" y configuramos los nombres y la dirección IP de cada una.
Una vez en la pantalla de Interface:
- En "Description" se escribe el nombre de la interface (para la que tiene conectado el ISP2 sería "WAN2")
- En "IPv4 address" se escribe la dirección IP para que pueda comunicarse con el resto de la red correspondiente.
- En "IPv4 Upstream Gateway" se debe seleccionar el gateway a utilizar según la red WAN que estemos configurando (WAN o WAN2), si no se escoge "none". Si debemos configurarlo y no está definido, debemos escoger la opción "add a new one" y llenamos los datos correspondientes:
- Por último salvamos la configuración en el botón "Save".
Esta configuración debe hacerse con cada una de las interfaces de red, al final debería quedar como describe la siguiente tabla:
| WAN | -> | WAN | : | em0 | - ISP1 |
| LAN | -> | LAN | : | em2 | - LAN |
| OPT1 | -> | WAN2 | : | em1 | - ISP2 |
Configurando el "Gateway Group"
Una vez configuradas las interfaces de red dos de ellas (WAN, WAN2) nos servirán para conectarnos con los gateways (ISP1, ISP2).
Debemos meternos desde menu a "System->Routing".
En la pestaña "Gateways" tenemos que definir en cada una de las puertas de enlace una dirección IP para monitoreo, esto para comprobar que se tenga siempre conección a internet (pueden utilizar por ejemplo una dirección ip de la página de google o del servidor dns de google). Para esto nos posicionamos en la fila del gateway y pulsamos el botón con una "e" de edición. Dentro de la pantalla de edición nos dirigimos a "Monitor IP", escribimos alguna dirección IP de la WAN que podamos monitorear mediante el comando PING, y le damos guardar con el botón "Save". Esto se debe hacer con cada uno de los gateways.
Ahora podemos crear un grupo de gateways, esto realiza el balanceo y failover de una vez, con unos pocos pasos. Seleccionamos la pestaña "Groups" y dentro buscamos a la derecha un botón con el símbolo de más "+". Esto nos lleva a la pantalla para crear el grupo. Debemos escribir el nombre del grupo, las cantidad de niveles de prioridad que tendrá cada puerta de enlace (tier 1 - una petición, tier - 2 dos peticiones, tier 3 -tres peticiones, etc), en "Trigger Level" debe estar seleccionada la opción "Member Down" y por último la Descripción. Una vez llenas estas configuraciones guardamos en el botón "Save". Esto es todo para definir el Gateway Group
Creando las reglas de acceso
Por último para poder hacer que nuestro PFsense funja como gateway para nuestra red LAN debemos crear la regla en el firewall. Nos dirigimos al menú "Firewall->Rules", seleccionamos la pestaña "LAN" y presionamos el botón con el símbolo más "+" que se encuetra a la derecha de la cabecera de la tabla.
Esto nos dirige a la página para agregar una nueva regla. En ella debemos verificar que en "Action" esté selecciónada la opción "Pass", en Interface la opción "LAN" y en Source y Destination la opción "Any". En la mísma página debemos ir a "Advance Features", buscamos en la lista de configuraciones el "Gateway", precionamos el botón "Advance". Esto hace que aparezca una lista con los gateways disponibles, seleccionamos el Gateway Group creado anteriormente. Ahora le damos guardar y con esto ya deberíamos tener conección a internet con las máquinas de red y un sevidorsito de balanceo de carga y fail over .
No hay comentarios:
Publicar un comentario