Pfsense + Ubiquiti
-
Hola,
Antes de nada me presento. Mi nombre es Antonio, tengo 23 años, y soy un estudiante de ingeniería informática que lleva trabajando un mes escaso como administrador de redes en un instituto. Y tengo intención de implementar un servidor PfSense con el que he hecho alguna prueba, y ahora os cuento mis ideas.
Resulta que ahora mismo hay un Ubuntu Server haciendo de Firewall y separando las redes de profes y alumnos (las cuales quiero unificar en una), y haciendo de controlador de los Ubiquiti para el wifi. El wifi se encuentra en la red de alumnos, con lo cual los profes no tienen acceso a los recursos del dominio de profesores. Y hay dos SSID en los ubiquiti, una para alumnos y otra para profesores.
Ahora bien, si unifico las redes, quiero poder separar los SSID de profesores y de alumnos, integrando el de profesores en la red general del centro (junto al resto de equipos), y aislando la red de alumnos para que no tengan acceso a impresoras, carpetas compartidas en el dominio, etc.No he tratado nunca con VLAN's, y no tengo muy claro qué clase de infraestructura necesito. A ver si podéis ayudarme un poco.
Encantado de participar en el foro, y muchas gracias de antemano. Un saludo.
-
Cuando dices "Ubiquiti" te refieres a la plataforma airMAX o a la UniFi ?
Si utilizas UniFi, el manejo los Realizas con el "controller" (soft de Ubiquiti para los UniFi)
Respecto al tema VLAN's, en el "Apartado Documentación" tienes información al respecto https://forum.pfsense.org/index.php?topic=23409.0
-
Oye comentas que actualmente hay 2 redes, que hay 2 SSID, que quieres unificar en una sola red, y después comentas que quieres mantener los dos SSID y asociarlos a redes diferentes para mantener los recursos aislados, no es así como esta actualmente? ???
Si tienes un dominio, con definir bien los permisos de los usuarios y recursos compartidos tienes, ahora si se cuela una clave de administrador o de algún usuario a la población de estudiantes ahí sí te pueden desbaratar el parque.
Plantea mejor la consulta, la arquitectura que está actualmente desplegada y la que tienes en mente, porque personalmente no entiendo bien la idea de lo que quieres hacer y la diferencia de como está
-
En cuanto tenga un rato subo un esquema. Que por cierto, me recomendáis algún software para maquinar la Red y que quede bonito el plano?
-
http://goo.gl/euyCR0
-
Este sería un diseño mas o menos de lo que quiero.
Las lineas corresponden a la vlan por defecto. La roja, es la destinada a alumnos, para impedir el acceso a los recursos compartidos por los profesores.
Los ubiquiti tienen dos SSID, y mi intención es configurar el de profesores con la VLAN por defecto, y el de alumnos con la VLAN sin acceso a recursos compartidos en la NAT.El Firewall con PfSense haría de DHCP para ambas VLAN, y tendría instalado el software de control UniFi.
Mis preguntas son acerca de la configuración del PfSense, y sobre los switch que necesito, ya que ahora mismo ninguno soporta vlan. Me bastaría solo configurando los ssid con las vlan? Necesito solo un switch que permita vlan? Deben ser todos?
-
Hola Tonioel te comento que yo tengo algo asi implementado en mi trabajo, cree una red wifi para los invitados, una para los empleados y una que da a la red interna. Con los ubiquiti AUP-Pro y PFSENSE, utilizo switches cisco por lo que no tuve ningun problema con las VLANS. Dependiendo tu presupuesto puedes ver en tu region cuanto te salen los cisco, aunque te comento que los Mikrotik tambien soportan Vlans y un monton de cosas mas, tambien cisco tiene una gama de Small Bussines que sale mas barata, No se que mas marcas soporten VLANS, pero deberias hecharte una vuelta por las paginas de 3COM, TP-LINK, HP, Dell, Huawei, Juniper.
Te comento rapidamente que efectivamente los Access Points de ubiquiti se configuran con el software de UNIFI. El cual solo lo necesitas cuando les vas a modificar la configuracion a menos que tengas otras cuestiones como el portal cautivo integrado, creo que si lo ocupas encendido siempre.
Bueno el caso es que yo instale el pfsense, la interfaz LAN del pfsense pues la puse como VLAN y di de alta las VLANs que tenia en el switch. La interfaz del switch que da al pfsense la pones en TRUNK y ya con eso pasan las VLans. LA WAN del pfsense pues va hacia el router del proveedor de internet.
Tambien te comento que para la red de empleados habilite el portal cautivo de PFSENSE para que cada usuario se autentique con un usuario y clave diferente por el portal web y esto te puede servir mucho para la red de los alumnos y de maestros, bueno ahi como comentario.
Ya que configure mis interfaces virtuales, el dhcp para cada interfaz, los NATs, habilite el portal cautivo cree mis reglas del firewall para que no se comunicaran de la red empleados a la de wifi o viceverza.
En cuanto a las interfaces del switch que dan a los access points pues lo pones en modo trunk, puedes delimitar que por ese puerto pacen solos las vlans que necesitas, mediante el comando de cisco "allow vlan"
Bueno y en cuanto a la configuracion del access point ubiquiti solo declara la red wifi INVITADOS que diera a la VLAN que quiero y la red wifi EMPLEADOS que de a la otra VLAN. En mi caso utilice la opcion de reenviar a portal cautivo externo y que bloqueara la comunicacion interna hasta que se loguearan en el portal cautivo.
Te dejo el link de la pagina de ubiquiti donde viene la parte de como configurarlos con VLANS
https://help.ubnt.com/hc/en-us/categories/200320654-UniFi-WirelessTe recomiendo buscar en el youtube lo del portal cautivo con pfsense.
Y como recomiendan los companeros tienes que estudiar y comprender bien tu entorno y lo que deseas hacer porque son varias cuestiones y te puedes atorar muy facil y tal vez hasta culpar a pfsense, asi me paso con la implementacion de un amigo,,jejejej, ya estaba culpando a pfsense porque bloqueaba el trafico en su misma LAN, decia,,jajajaja.
Bueno la verdad a mi PFSENSE me a asombrado desde que lo comence a ver y cuando lo implemente me facino.
Solo por presumir sus capacidades y lo que es capaz de llegar a hacer comento que actualmente lo tengo virtualizado con varias redes internas, algunas con portal cautivo, todas con su DHCP, DNS Forwarder, reglas de firewall para bloqueo entre redes, algunas interfaces limitadas en el ancho de banda que pueden utilizar hacia "internet", balanceo de dos enlaces de internet que tengo, tengo mi DMZ y mis servidores publicados mediante esta, estoy intentando implementar un proxy de reversa para publicar todos mis servidores web por el mismo puerto solo diferente nombre DNS externo. Todo esto para unos 100 usuarios internos y pues los sitios publicados son un servidor de CORREO Roundcube, uno de IIS que tiene unos sistemas web, uno que recibe datos de dispositivos GPS y los muestra por una interfaz web (TRACCAR), y varias cosilla mas por ahi.
En fin, sin duda te servira perfecto para tu entorno, solo no hagas pruebas con la produccion, jejeje, primero realiza tu entorno de labotario para que te vayas familiarizando con cada detalle y una vez listo y seguro pues a realizar el cambio.
Posdata: Tu imagen no la logre apreciar.