Skip to content

Commit 8ff1957

Browse files
manuelernestogmanuelernestog
authored
Merge pull request #161 from cz9dev/patch-1
Create Configuraci-n-de-red-empresarial-con-pfSense.md
2 parents a4847ce + abaf005 commit 8ff1957

File tree

1 file changed

+136
-0
lines changed

1 file changed

+136
-0
lines changed

src/content/blog/cz9dev/Configuraci-n-de-red-empresarial-con-pfSense.md

Lines changed: 136 additions & 0 deletions
Original file line numberDiff line numberDiff line change
@@ -0,0 +1,136 @@
1+
---
2+
title: "Configuración de red empresarial con pfSense"
3+
pubDate: "Tue Aug 19 2025"
4+
image: "https://cz9dev.github.io/assets/img/thumb_red_empresarial.png"
5+
username: "cz9dev"
6+
categories: ["tutorials"]
7+
description: "Cómo configurar una red empresarial dividiendo la red en WAN, LAN y DMZ con pfSense, Windows Server 2019, un switch capa 3 para la segmentación la red utilizando VLAN"
8+
canonicalUrl: "https://cz9dev.github.io/22-07-2025-configuraci%C3%B3n-de-red-empresarial-con-pfSense/"
9+
---
10+
11+
Configurar una red empresarial con pfSense (v2.7.2), Windows Server 2019 (como DC), un switch capa 3 y segmentación en WAN, LAN y DMZ requiere una planificación cuidadosa. A continuación, te detallo la configuración paso a paso:
12+
13+
# 1. Diagrama de Red Propuesto
14+
15+
```text
16+
[INTERNET] (WAN)
17+
|
18+
[pfSense] (Firewall)
19+
|--- (LAN) → [Switch Capa 3] → [PCs, Dominio (Windows Server 2019)]
20+
|--- (DMZ) → [Servidores Públicos (Web, Correo, etc.)]
21+
```
22+
23+
# 2. Configuración de pfSense
24+
## Interfaces de Red
25+
26+
| Interfaz | Nombre | IPv4 | VLAN | Descripción |
27+
|---|---|---|---|---|
28+
| WAN | igb0 | DHCP/PPPoE/Static (ISP) | - | Conexión a Internet |
29+
| LAN | igb1 | 192.168.1.1/24 | - | Red interna (usuarios, dominio) |
30+
| DMZ | igb2 | 10.0.0.1/24 | - | Zona desmilitarizada (servidores públicos) |
31+
32+
## Configuración en pfSense:
33+
34+
1. WAN (igb0):
35+
* Configurar según proveedor (DHCP/PPPoE/IP estática).
36+
* Habilitar Block Private Networks y Block Bogon Networks.
37+
38+
2. LAN (igb1):
39+
* IP: ```192.168.1.1/24```
40+
* DHCP Server: Habilitar (rango ```192.168.1.100-192.168.1.200```).
41+
* DNS: Apuntar al Windows Server 2019 (```192.168.1.2```).
42+
43+
3. DMZ (igb2):
44+
* IP: ```10.0.0.1/24```
45+
* No DHCP (asignación manual o reservas).
46+
* Reglas de firewall: Permitir solo tráfico necesario desde WAN (ej: HTTP/HTTPS).
47+
48+
# 3. Configuración del Switch Capa 3
49+
## VLANs y Routing
50+
51+
| VLAN | Nombre | Subred | Gateway | Uso |
52+
|---|---|---|---|---|
53+
| 10 | LAN | ```192.168.1.0/24``` | ```192.168.1.1``` (pfSense) | Usuarios, Dominio |
54+
| 20 | DMZ | ```10.0.0.0/24``` | ```10.0.0.1``` (pfSense) | Servidores Públicos |
55+
| 30 | MGMT | ```172.16.0.0/24``` | ```172.16.0.1``` | Administración del Switch |
56+
57+
## Comandos Ejemplo (Cisco):
58+
59+
```bash
60+
61+
vlan 10
62+
name LAN
63+
vlan 20
64+
name DMZ
65+
vlan 30
66+
name MGMT
67+
68+
interface vlan10
69+
ip address 192.168.1.254 255.255.255.0
70+
!
71+
interface vlan20
72+
ip address 10.0.0.254 255.255.255.0
73+
!
74+
interface vlan30
75+
ip address 172.16.0.254 255.255.255.0
76+
77+
ip route 0.0.0.0 0.0.0.0 192.168.1.1 # Ruta por defecto hacia pfSense (LAN)
78+
```
79+
80+
# 4. Configuración del Dominio (Windows Server 2019)
81+
82+
## Requisitos:
83+
* IP Estática: ```192.168.1.2/24```
84+
* Gateway: ```192.168.1.1``` (pfSense LAN)
85+
* DNS: Loopback (```127.0.0.1```) o otro DC si hay redundancia.
86+
87+
## Pasos:
88+
89+
1. Instalar Active Directory Domain Services (AD DS).
90+
2. Promocionar a Controlador de Dominio (ej: ```empresa.local```).
91+
3. Configurar DHCP (opcional, si no se usa pfSense para DHCP).
92+
4. Asegurar que las PCs apunten al DNS del servidor (```192.168.1.2```).
93+
94+
# 5. Configuración de las PCs
95+
* IP: DHCP (rango 192.168.1.100-200) o estática.
96+
* Gateway: 192.168.1.1 (pfSense LAN).
97+
* DNS: 192.168.1.2 (Windows Server 2019).
98+
99+
# 6. Reglas de Firewall en pfSense
100+
## WAN → DMZ
101+
* Permitir **HTTP (80)** y **HTTPS (443)** hacia servidor web (```10.0.0.10```).
102+
* Permitir **SMTP (25)** si hay servidor de correo.
103+
104+
## LAN → WAN
105+
* Permitir todo (NAT Outbound).
106+
107+
## DMZ → LAN
108+
* Denegar todo (la DMZ no debe acceder a la LAN).
109+
110+
# 7. Recomendaciones de Seguridad
111+
* ### pfSense:
112+
* Habilitar **IDS/IPS (Suricata/Snort).**
113+
* Configurar **OpenVPN/IPSec** para acceso remoto seguro.
114+
115+
* ### Windows Server:
116+
* Implementar **GPOs** para políticas de seguridad.
117+
* Actualizaciones automáticas.
118+
119+
* ### Switch:
120+
* Deshabilitar puertos no usados.
121+
* Configurar **802.1X** para autenticación de dispositivos.
122+
123+
| Dispositivo | Interfaz | IP |
124+
|---|---|---|
125+
| pfSense | WAN | ISP |
126+
| pfSense | LAN | ```192.168.1.1``` |
127+
| pfSense | DMZ | ```10.0.0.1``` |
128+
| Windows Server | LAN | ```192.168.1.2``` |
129+
| Switch (VLAN 10) | LAN | ```192.168.1.254``` |
130+
| Switch (VLAN 20) | DMZ | ```10.0.0.254``` |
131+
132+
Si te vieras en la necesidad de tener el correo en la LAN debes entonces crear reglas en el firewall en pfSense para el correo
133+
134+
# Alternativa: Servidor de Correo en la LAN (Recomendado para Seguridad)
135+
136+
Si el servidor de correo solo es usado internamente, evita ponerlo en la DMZ y colócalo en la LAN (con reglas NAT en pfSense para redirigir tráfico entrante desde Internet). Esto reduce la exposición a ataques.

0 commit comments

Comments
 (0)