Orientação - Implementação Pfsense.



  • Boa noite senhores.

    Gostaria da opinião de vocês. Preciso de uma ferramenta que faca a função de firewall e proxy, pelo que vi o Pfsense irá suprir minha necessidade, porém não tenho experiência com a solução.

    Vou explicar o meu ambiente:

    Preciso controlar a internet em uma escola, eles possuem cerca de 40 computadores, sendo que 15 deles se conectam na rede por uma placa Wifi. Eles possuem cerca de 500 alunos (ensino primário e fundamental).

    A maioria dos alunos utilizam celulares.

    Eles possuem cerca de 8 roteadores wifi espalhados pelo colégio.

    Atualmente não possuem AD (porém vou instalar) e o Wifi está liberado para todos.

    Estou testando o Pfsense porém tenho algumas dúvidas. Agradeço todos que puderem opinar.

    Qual a melhor forma de autenticação no squid?

    Qual a melhor forma de controlar o acesso Wifi?

    Li algumas coisas sobre autenticação transparente, captive portal, radius, porém não sei qual das soluções funcionará melhor nesse ambiente.

    Obrigado.



  • Alguém?

    Na verdade são 17 aps configurados em modo bridge ligados à lan.

    Uma média de 100 usuários conectados pelo Wifi.

    Agradeço se puderem opinar



  • Captive Portal, e Radius buscando a base de usuários no AD me parece uma solução.



  • @Tomas:

    Captive Portal, e Radius buscando a base de usuários no AD me parece uma solução.

    Tomas,

    Obrigado pela resposta!

    E com relação ao funcionamento do squid? Para o captive portal é indiferente se eu optar por usar o proxy transparente ou setado no navegador?

    Estava pensando em usar o proxy não transparente para ter um controle mais efetivo sem precisar usar man in the middle.

    Outra dúvida é sobre o funcionamento do captive portal, uma vez que os APs estão todos ligados na Lan, se eles estivessem fisicamente separados eu usaria outra subnet em uma placa separada para segmentar a rede. Assim garantia que os alunos não fiquem na mesma rede dos computadores do colégio.

    O que você acha?

    Abraços,
    Henrique



  • Bom dia amigo!

    Proxy ativo não serve para ambientes com wifi liberado. Para este cenário, deverá utilizar transparente.

    Existem tópicos sobre ativação de uma segunda instância do proxy, mas nunca tentei.

    Você pode criar uma VLAN para wifi e deixar ela livre sem passar no proxy enquanto a LAN dos computadores passa pelo proxy ativo.



  • Boa noite Bruno!

    Não funcionará, pois os switches não permitem utilizar Vlan e também terei que controlar o conteúdo do Wifi para evitar que os alunos acessem sites indevidos.

    Deixando todos na mesma rede, com proxy transparente, todos se autenticariam pelo captive portal, correto?

    Obrigado



  • Não é a melhor solução do ponto de vista de segurança, mas talvez seja a solução que possa atender é usar o nxFilter e não usar proxy nessa rede Wifi.

    Sobre VLAN, uma solução é usar uma routerboard da Mikrotik, que deve estar na faixa de uns 200 reais e resolverá o problema.


Log in to reply