FADconPFsense PDF

Mxico DF a 05 de Noviembre del 2011
Da BSD. Firewalls en Alta Disponibilidad por Juan Jos Ponce Domnguez

Firewalls en Alta Disponibilidad con Pfsense
PFsense es una distribucin modificada de FreeBSD que es usada como firewall o Router que
puede ser descargado desde la pgina oficial (http://pfsense .org).

Para nuestro laboratorio nos apoyaremos en la siguiente topologa:

1
B

S

D

a

y

1. Una vez instalado el PFsense, configuramos las interfaces WAN, LAN y OPT1.
La IP de la interfaz WAN por default tratar de obtener la IP por medio de DHCP.
La IP de la interfaz LAN ser 192.168.1.1 y activar un servidor de DHCP.
La interfaz OPT1 no tendr por default ninguna direccin IP.
En mi ejemplo: rl0=WAN, em0= LAN, re0=OPT

2. Conectamos una computadora a la interfaz LAN del PFsense para que se le asigne una IP.
Posteriormente entramos a la administracin en la direccin IP: https://192.168.1.1
Username: admin
Password: pfsense

3. Configuramos en System>General Setup:

2
B

S

D

a

y

4. En Interfaces>WAN, configuramos la IP de la Interfaz WAN de nuestro Firewall.

3
B

S

D

a

y

5. En Interfaces>LAN configuramos la IP de la LAN de nuestro Firewall y una vez que
apliquemos los cambios debemos de renovar la direccin IP de nuestra PC para despus
entrar a la administracin del Firewall en la nueva IP https://192.168.1.252

4
B

S

D

a

y

6. En Interface>OPT1 configuramos la IP de la interfaz que sincronizar a ambos Firewalls.

5
B

S

D

a

y

7. En System>Routing agregamos un nuevo Gateway el cual marcamos como default
Gateway, este es el Gateway de la WAN.

6
B

S

D

a

y

8. Agregamos una regla en Firewall>Rules>SYNC que permita todo el trfico desde y hacia la
interfaz.

7
B

S

D

a

y

9. En Firewall>Virtual IPs>CARP Settings

A
B
8
B

S

D

a

y

9
B

S

D

a

y

Nota: En el Firewall secundario nada mas llenamos los puntos a y b.

10
B

S

D

a

y
10. En Firewall>Virtual IPs agregamos la IP virtual de la LAN 192.168.1.254, el Virtual IP
Password y el VHID Group debe ser el mismo tanto en el FW Principal como en el
secundario o backup.

11
B

S

D

a

y
11. Entramos en Services>DHCP Server y en la pestaa de LAN configuramos nuestro servidor
de DHCP para que el Gateway y los DNS de los usuarios sea el de la IP virtual, o sea el
192.168.1.254.

12
B

S

D

a

y
12. En Status>CARP (failover), damos click en Enable Carp.

13. Comprobacin que todo est funcionando:
a. En Status>CARP (failover): En el FW2 debe la interfaz ser MASTER y en FW1
BACKUP.
En FW2:

En FW1:

b. Crear una Regla en Firewall>Rules>WAN en FW2 y verificar que se repliquen en
FW1.
Creamos en el FW2 una regla en la WAN, sta regla debe de replicarse
automticamente en el FW1.
13
B

S

D

a

y

14. Ingresamos a Firewall>NAT>Outbound , seleccionamos Manual NAT Outbound y
generamos un nuevo mapping de la siguiente forma:

14
B

S

D

a

y

En ste punto cuando alguno de los dos firewalls se caiga o alguna de las dos interfaces
LAN se caiga, entrar automticamente el servidor secundario. Para lograr que cuando la
WAN se caiga y se enrute el trfico automticamente al otro servidor es necesario realizar
los siguientes pasos.

15. Modificamos en el Firewall principal la tabla Firewall>NAT>outbound, damos click en
Manual Outbound y posteriormente agregamos un nuevo Mapping que quedar
finalmente de la siguiente forma:

15
B

S

D

a

y

16. Agregar en system>routing un nuevo Gateway.
En el FW principal:

16
B

S

D

a

y

En el FW secundario:

17. Agregamos en system>routing>Groups en ambos Firewalls un nuevo grupo.

17
B

S

D

a

y

18. Agregamos unos nuevos DNS en System>General Setup, los cuales sern las IPs del enlace
SYNC.
En el firewall Principal:

18
B

S

D

a

y

En el Firewall Secundario:

19
B

S

D

a

y

19. Modificamos la regla LAN de Firewall>Rules para que el Gateway ahora sea el nuevo grupo
llamado Failover . Esto lo realizamos en el principal y solo se replicar en el backup.

20
B

S

D

a

y

20. Reiniciamos y listo!.
Pruebas:
Problemas en las LAN:
LAN FW2 desconectada.
LAN FW1 desconectada.
Problemas en las WAN:
WAN de FW2 desconectada.
WAN de FW1 desconectada.
Problemas mixtos:
LAN de FW2 desconectada y WAN de FW1 desconectada
LAN de FW1 desconectada y WAN de FW2 desconectada.

Para ejecutar las pruebas podemos usar un ping o una herramienta como http-ping.
21
B

S

D

a

y

FADconPFsense PDF

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

FADconPFsense PDF

Transféré par

Droits d'auteur :

Formats disponibles

Mxico DF a 05 de Noviembre del 2011

Da BSD. Firewalls en Alta Disponibilidad por Juan Jos Ponce Domnguez

Vous aimerez peut-être aussi