RETE INTRANET con internet centralizzato

Lorebo

Buongiorno a tutti,
avrei bisogno del vostro prezioso aiuto.
ho una rete intranet che utilizza un accesso internet centralizzato per tutte le sedi e vorrei anteporre pfsense come firewall sulla sede master mi spiego meglio.

vi sono 3 sedi ognuna delle quali ha ha un gateway e si collegano a intenet tramite il router presente nella sede master volevo sapere come inserire il rotang verso le altre sedi nel firewall presente nella sede master…..

sede master 192.168.1.100 (internet)
sede master intranet 192.168.1.200
sede 2 192.168.3.100
sede 3 192.168.4.100

Grazie a tutti

Fumetto

Quindi… quali apparati sono installati? Ci si può accedere?
Perchè sede internet e intranet sono sulla stessa classe (/24)?

Cos'è il "rotang"?

Ipotizzando (io) che tu voglia "firewallare" internet per tutti, basterà inserire un pfsense a valle di "internet master"... ma non sono ben sicuro di capire cosa vuoi realizzare...

fabio.vigano

Ciao,
immagino che ora il routing tra le sedi lo faccia il router della connettività.
Per anteporre il pfSense devi ricreare le attuali regole di routing sul pfsense, sicuramente dovrai anche riconfigurare il router
Ciao Fabio

Lorebo

Grazie per le risposte… in questo momento ci sono due accessi un router che fornisce connettività internet che collegato ad uno swicth al quale vi è un altro router che gestisce i collegamenti tra la sede master e le periferie e queste vanno su internet tramite il router internet sul quale vi è un nat.
Ora in quale sezione di pfsense devo inserire gli indirizzi ip dei vari gatway delle altre sedi x.x.2.100 x.x.3.100 ect... li deve mettere come nat e aprire la porta 80 e la 443 su ogni gatway e reidirizzarlo sull'indirizzo ip del firewall? o altro?

fabio.vigano

Ciao,
Dalla tua descrizione si fatica a capire la situazione.
Le sedi devono vedersi tra di loro o devi solo accedere dalle sedi remote a quella principale ed internet? (le macchine della sede 2 devono vedere le macchine della sede 3?)
Le reti delle sedi remote sono mascherate da un firewall/router o la subnet che ti viene consegnata nella sede principale è direttamente quella della lan della sede remota?
Il tuo router com'è collegato alle altre sedi? Come viene consegnata la connettività proveniente dalle altre sedi?
La connettività viene "buttata" nello switch di cui parlavi e poi i router gestisce gli instradamenti oppure sul router hai una porta per ogni sede?
La connessione tra le sedi è una VPN, una MPLS o una LAYER 2?

Fabio

Lorebo

vediamo se riesco ad essere quanto più chiaro possibile.

accesso internet router 1 –--

accesso in mpls con altro router sul quale confluiscono tutte le altre sedi che accedono ad internet tramite il router 1 sul quale vi è un nat .
la sede 1 ha gateway x.x.1.100
la sede 2 ha gateway x.x.2.100
sede 3 ha gateway x.x.3.100
i client delle sedi periferiche devono poter accedere alla sede 1 per poter utilizzare gli applicativi presenti nei server .
Ora la mia domanda è dove vanno inseriti in pfsense tutte queste regole .
Posto che per esempio il firewall abbia wan il gateway del router 1 e LAN X.X.1.1 come deveo fare per fare in modo che tutto quello che arriva sul router della MPLS vada su internet passando dal firewall e consentendo ai client delle altre sedi di vedere la rete x.x.1.x. ?
Spero di essere stato chiaro e grazie per i vostri suggerimenti e la vostra comprensione

Pakken

Se ho capito cosa intendi, a grandi linee i passi da seguire sono questi:
sulla sede master, devi capire prima di tutto qual'è il vip che instrada, il gateway del cosiddetto centro stella.
A quel punto se decidi di piazzare un tuo firewall, dopo averlo collegato al router MPLS e avergli assegnato un IP che il router possa contattare, devi muoverti così:

-sulla cpe del centro stella devi far modificare la default route facendola puntare all'interfaccia "MPLS" del firewall che andrai a piazzare;
-sul firewall del centro stella andrai a creare le rotte statiche per le subnet remote instradandole verso la cpe del centro stella;

A quel punto il traffico delle sedi remote verrà instradato dentro al tuo firewall dove potrai gestirlo come se fosse traffico locale e da lì mandarlo poi su internet tramite un'altra interfaccia del firewall che connetterai all'apparato che esce su internet, nattandolo sempre sull'IP pubblico della tua sede principale.
Non sono granchè abituato a lavorare con pfsense quindi non so guidarti in maniera precisa nei menù, ma la logica da seguire non cambia.
ciao