En este post veremos como aregar una LAN adicional a PFSense,
PFSense es un firewall/enrutador basado en FreeBSD el cual es de código abierto, puede ser instalado de manera física o virtual, sin duda PFSense se ha posicionado como una gran alternativa para su uso como firewall ya que es bastante configurable con sus extensa lista de paquetes que permite expandir sus funcionalidades.
La versión Community la pueden descargar desde este enlace.
Explicado muy brevemente que es PFsense y para que sirve, veamos como crear otra LAN y por que hacerlo.
Supongamos que que tienes la configuración básica en PFSense, solo una interfaz WAN y una LAN, dentro de la LAN actual tienes tus equipos que quieres tener aislados protegidos por el firewall, tienes un DHCP que se encarga de entregar direcciones mediante Windows (Por decir una opción pero también lo puedes hacer desde PFSense). Pero ahora quieres agregar una segunda interfaz con una VLAN distinta donde utilizarás otro servidor DHCP, otro dominio etc etc.
Tomemos como ejemplo la siguiente imagen, se cuenta con la LAN (VLAN 10) y se desea agregar una seguna LAN con la VLAN 11.
Solo para clarificar antes de continuar, esto solo aplica en caso de que PFSense sea una VM, de lo contrario estará limitado por las interfaces físicas y no se podrá continuar con lo siguiente.
Lo primero que se debe de hacer es agregar el grupo de puertos dentro del hypervisor, (en mi caso es VMware), asignar un nombre y el VLAN ID que se desea usar.
Ya que se ha creado el grupo donde edita la VM, selecciona agregar nuevo dispositivo y selecciona Adaptador de red.
Selecciona el grupo correcto y asegurate de que esté conectado.
En de PFSense ingresa a Interfaces, asignamientos.
Agrega el nuevo puerto de red disponible con el botón de agregar y después guarda los cambios.
Ingresa a Interfaces nuevamente y selecciona la nueva interfaz que se acaba de agregar.
En de la configuración de la interfaz selecciona el checkbox para activarla, agrega una descripción, selecciona el tipo de configuración como IPv4 estática, puedes agregar el MTU ( Maximum Transmission Unit) de 1500 el cual es el estándar, o seleccionar un MTU superior, regularmente se usa uno de 9000 hasta 12000, denominados jumbo frames (regularmente usados entre conexiones a un NAS), como nota, la interfaz del otro extremo debe tener el mismo MTU de lo contrario puede causar inestabilidad.
En la parte inferior selecciona la IP que servirá como Gateway para la LAN, selecciona los bits de la máscara y guarda los cambios.
NOTA: Si seleccionas la opción Block Private Network and loopback addresses bloquearas todas las direcciones privadas, esto quiere decir
Aplica los cambios.
En este punto he asignado una IP a un equipo dentro de la VLAN11, sin embargo aún no cuenta con salida hacia Internet debido a que se debe de crear una regla el cual permite la salida de la LAN creada hacia la WAN.
Ingresa a Firewall y selecciona reglas.
Selecciona la acción Pass, aplicala a la interfaz que has creado, en protocolo deja la opción de any, en la fuente selecciona any y en el destino WAN net si solo quieres que tus equipos puedan acceder a la red local fuera de PFSense o selecciona any si quieres que alcancen Internet, agrega una descripción y guarda los cambios.
Ahora si haces ping nuevamente desde el equipo dentro de la VLAN11 podrás ver que es satisfactorio.
Ahora veamos como alcanzar la LAN de la nueva interfaz desde la WAN de PFSense, recordemos que la WAN está conectada a una LAN y no a Internet directamente.
Esto es por si quieres administrar los equipos detrás del firewall.
Para ello se debe de crear una regla, selecciona firewall y después reglas.
En de la edición de las reglas del firewall selecciona la acción Pass, la interfaz WAN, protocolo any y en la fuente selecciona Network agregando la red interna junto con los bits de la máscara, también es posible seleccionar un solo host en caso de que solo quieras acceder desde un único dispositivo.
En el destino selecciona la interfaz creada, agregar una descripción y guarda los cambios.
Ahora veamos como decirle Windows como alcanzar esa red.
Como se ve en la imagen del lado izquierdo tengo una IP de un equipo dentro de la nueva LAN, del lado derecho tengo una línea de comandos de otra máquina fuera de PFSense, en el primer intento al hacer un ping éste falla debido a que Windows no sabe como alcanzar esa red, por default intentará alcanzar esa red con el gateway asignado a la interfaz, sin embargo PFSense no es el gateway de Windows, por lo que para poder alcanzar las redes dentro de PFSense es necesario enseñarle a Windows como alcanzarlas.
Para ello ejecuta el siguiente comando en CMD como administrador.
route add (RED QUE QUIERES ALCANZAR) mask (Máscara de red) (Vía, en este caso la WAN de PFSense) -p
Al asignar -p al comando le estamos diciendo a Windows que esa ruta será una ruta persistente por lo que si reiniciamos el equipo Windows aún sabrá como alcanzar esa red, si no agregas -p al reiniciar tendrás que agregar el comando nuevamente.
Como se ve en la imagen, después de enseñarle a Windows como llegar a la red ahora es capaz de hacer un ping.
