Fpsense para várias filiais (nuvem)



  • Pessoal bom dia, preciso saber se alguém poderia compartilhar (e creio que muitos devem precisar também) se tem como eu ter um servidor PFSENSE configurado na matriz e nas filiais todas pegarem as configurações de Proxy gerenciamento de consumo de banda, só que sem a necessidade de se ter uma VPN configurada entre elas???

    Alguém poderia me dar uma luz nessa questão?

    Desde já muito obrigado



  • Você pode fazer diversas regras trabalhando pelo IP váldio, porém é muito mais fácil e seguro utilizar a VPN.  ;)



  • @brunok:

    Você pode fazer diversas regras trabalhando pelo IP váldio, porém é muito mais fácil e seguro utilizar a VPN.  ;)

    Trabalho com o NoIP, teriam como me passar algumas formas para fazer tal procedimento funcionar?



  • Não é recomendável, pois se você não tem ip FIXO, se deixar a porta 3128 aberta pra internet, vão utilizar seu servidor pelo mundo todo, como ponte de proxy.

    Por isso no iptables do linux, de cara já é criada uma regra dropando qualquer INPUT na porta 3128.

    Para serviços, porta 80 por exemplo, é tranquilo, só liberar essa porta na WAN.



  • @brunok:

    Não é recomendável, pois se você não tem ip FIXO, se deixar a porta 3128 aberta pra internet, vão utilizar seu servidor pelo mundo todo, como ponte de proxy.

    Por isso no iptables do linux, de cara já é criada uma regra dropando qualquer INPUT na porta 3128.

    Para serviços, porta 80 por exemplo, é tranquilo, só liberar essa porta na WAN.

    Ok, se poderem me ajudar nessa questão fico extremamente grato, pois isso nunca fiz e não sei se vou poder fazer:
    Controle de banda,
    Captive portal
    Relatórios
    Etc

    Não sei  que vou poder ou não fazer para realizar tal procedimento e impedir que os usuários venham a navegar sem o nosso servidor Proxy/Firewall

    Desde já novamente obrigado pelo apoio



  • @diegoportosuporte:

    @brunok:

    Não é recomendável, pois se você não tem ip FIXO, se deixar a porta 3128 aberta pra internet, vão utilizar seu servidor pelo mundo todo, como ponte de proxy.

    Por isso no iptables do linux, de cara já é criada uma regra dropando qualquer INPUT na porta 3128.

    Para serviços, porta 80 por exemplo, é tranquilo, só liberar essa porta na WAN.

    Ok, se poderem me ajudar nessa questão fico extremamente grato, pois isso nunca fiz e não sei se vou poder fazer:
    Controle de banda,
    Captive portal
    Relatórios
    Etc

    Não sei  que vou poder ou não fazer para realizar tal procedimento e impedir que os usuários venham a navegar sem o nosso servidor Proxy/Firewall

    Desde já novamente obrigado pelo apoio

    Por favor alguém poderia me ajudar pois vou precisar muito para meus futuros clientes porém nessa parte para mim está bem complicado???



  • Não tem como liberar os serviços pela WAN. É totalmente inseguro.

    Recomendado usar VPN, ou então, configurar os serviços localmente num PF (nas pontas).



  • @brunok:

    Não tem como liberar os serviços pela WAN. É totalmente inseguro.

    Recomendado usar VPN, ou então, configurar os serviços localmente num PF (nas pontas).

    Nossa então não há como fazer tal procedimento?

    :'( :'( :'(



  • Procure por: System -> High Availability Sync



  • @Tomas:

    Procure por: System -> High Availability Sync

    Olá, então o negócio é o seguinte, eu pesquisei sobre o que foi proposto, porém não é o que estou precisando, o que eu preciso é o seguinte, EXEMPLO:

    Tenho a minha matriz que é aqui em Florianópolis;
    Mais 12 filiais espalhadas pelos países e aqui no Brasil;
    Preciso conectar elas no meu PFsense sem que eu venha colocar outros servidores nas filiais, para realizar o seguinte (se for possível e existir essa possibilidade):
        -> Conectar para realizar as restrições e liberações de páginas da internet;
        -> Realizar relatórios de acesso;
        -> Trabalhar com controle da banda dessas filiais aos usuários;
        -> em fim como se fosse o PfSense da Matriz dentro dessas filiais sem usar a VPN ou link dedicado

    Segue desenho explicando melhor, espero que consiga me ajudar pessoal, pois isso venho quebrando kbeça a muito tempo e não encontro ajuda, somente vejo essa possibilidade através de soluções pagas, será que alguém pode me ajudar a obter sucesso nessa jornada?  :-\ :-\ :'( :'( :-\ :-\

    :o :o :o :o :o Ou estou fantasiando algo impossível  :o :o :o :o :o




  • @diegoportosuporte:

    @Tomas:

    Procure por: System -> High Availability Sync

    Olá, então o negócio é o seguinte, eu pesquisei sobre o que foi proposto, porém não é o que estou precisando, o que eu preciso é o seguinte, EXEMPLO:

    Tenho a minha matriz que é aqui em Florianópolis;
    Mais 12 filiais espalhadas pelos países e aqui no Brasil;
    Preciso conectar elas no meu PFsense sem que eu venha colocar outros servidores nas filiais, para realizar o seguinte (se for possível e existir essa possibilidade):
        -> Conectar para realizar as restrições e liberações de páginas da internet;
        -> Realizar relatórios de acesso;
        -> Trabalhar com controle da banda dessas filiais aos usuários;
        -> em fim como se fosse o PfSense da Matriz dentro dessas filiais sem usar a VPN ou link dedicado

    Segue desenho explicando melhor, espero que consiga me ajudar pessoal, pois isso venho quebrando kbeça a muito tempo e não encontro ajuda, somente vejo essa possibilidade através de soluções pagas, será que alguém pode me ajudar a obter sucesso nessa jornada?  :-\ :-\ :'( :'( :-\ :-\

    :o :o :o :o :o Ou estou fantasiando algo impossível  :o :o :o :o :o

    Será impossível????
    Pois preciso saber para que seja possível ou não dar continuidade em nossos projetos ou abandonar
    Ajudem-se por gentileza
    :'( :'( :'( :'( :'(



  • Não irá funcionar adequadamente da maneira que você idealizou.

    Parta para outro projeto. Este é inviável.



  • sem um servidor local (um pfsense, que seja) em cada filial, você não tem como forçar nada nas conexões.
    o usuário pode simplesmente mudar o proxy ou algo do tipo e já vai navegar direto

    fora que, ainda que você faça de outra maneira, vai ficar extremamente lento, pois você vai basicamente pegar todo o tráfego (requisições) das 12 filiais, encaminhar via internet para a matriz, o squid devolver…

    na prática, é como se realmente você usasse um proxy público nas suas filiais... é isso que vai acabar acontecendo com o proxy da matriz... claro que você pode colocar algumas restrições de IP para só aceitar conexões das filiais por exemplo, mas é totalmente inviável.

    na boa, como você disse "preciso usar em meus clientes" parece uma tentativa de fazer gambiarra ou economizar para o cliente (para que não precise comprar/colocar um servidor em cada ponta) e isso não é bom... já trabalhei anos como consultor, também ja fiz isso no início e hoje eu vejo como estava errado em querer economizar para o cliente e não entregar uma boa solução. Com o tempo, você só se queima no mercado


Locked