CARP + Failover + VPN + Terminal Server

simplementstefano

Buonasera a tutti

Prima spiego il problema poi cercherò di essere più discorsivo.

Situazione attuale e NON modificabile:

• 2 ADSL con indirizzo IP statico (alice, libero, etc.) con Router Netgear DG834
• 1 server per erogazione di servizi in Terminal Server installato nella LAN locale

Il cliente vuole una soluzione che permetta di:

• a tutti i client della rete interna di navigare all'esterno tramite ADSL1
• permettere ad utenti esterni la connessione VPN tramite ADSL2
• permettere dalla VPN l'accesso solo al Terminal Server
• in caso di interruzione di una delle due ADSL il backup automatico nell'altra rimasta con il funzionamento di tutti i servizi sopra citati
• in caso di rottura del firewall il backup automatico su un altra macchina.

Premetto che ho sempre utilizzato IpCop trovandolo un ottimo firewall con moltissime possibilità di configurazione ma cercando cercando ho trovato pfSense e devo dire che dalle prime prove e dalle prime impressioni mi sembra davvero un ottimo prodotto!!
Ho pensato ad una soluzione di questo tipo:

Utilizzo due firewall configurati con CARP entrambi con 3 schede di rete: 2 WAN (per ADSL1 e ADSL2) e 1 LAN
configuro il Failover sul firewall in modo che in caso di caduta di una delle due linee ADSL mi permetta la fruizione di tutti i servizi sopra descritti.

Però mi sono sorti alcuni dubbi:

1. Dal punto di vista della sicurezza si potrebbe non creare un tunnel VPN per l'accesso al Terminal Server?
2. Se per forza io devo creare un tunnel VPN, potrei usare OpenVPN o è meglio usare altre soluzioni (IPSec,…) [tenere presente che il client deve essere compatibile anche con gli utenti più u-tonti) c'è la possibilità di utilizzare Active Directory per l'autenticazione (user & password; eventualmente con un certificato comune)
3. Alle schede di rete (lato LAN) dei due firewall posso dare gli stessi indirizzi IP? Cioè: va bene lo schema qua sotto riportato?

[quote]
ADSL 1 [192.168.1.254] –-----------------------> [192.168.1.1] FIREWALL 1  –----
                                      |          --------------> [192.168.2.2]                           |
                                      |        |                                                                  |–----->>  [192.168.0.254]
                                       –----|--------------> [192.168.1.2]                           |
ADSL 2 [192.168.2.254] –-----------------------> [192.168.2.1] FIREWALL 2  –----

senza quindi dover preoccuparmi del gateway al quale riferirmi? E come faccio a decidere chi sarà il master e chi lo slave?
E posso configurarne uno solo all'inizio o devo configurarli entrambi comunque? (Ho visto che c'è il modo di propagare le impostazioni…)
Come faccio a determinare se il firewall è rotto o no? E' consigliabile controllare il funzionamento del lato LAN?

5. Come faccio a nattare tutto il traffico dalle due ADSL verso i due firewall (NAT 1:1 mi sta bene... ma NAT 1:2 boh :S)
   Potrebbe essere una soluzione affidarsi ad Alice Business (quindi avere il classico range di IP pubblici? ip, gw,...) così da porter settarli direttamente su pfSense?

Spero di essere stato davvero molto chiaro e soprattutto poco prolisso.
Nel caso questa non fosse la soluzione migliore.... vi prego suggeritemi voi :P Non lo vado a dire alla prof!! :)

Vi ringrazio davvero anche solo per il tempo perso a leggere!!

Stefano C.