Como priorizar usuários entre conexões WAN diferentes?



  • Eu tenho 300 máquinas na minha rede. Meu link de internet é terrível, 2mb DSL da Oi, que passa pelo proxy do outro escritório (que fica em outra cidade) e é compartilhado para Intranet/rede corporativa.
    Depois de muito solicitar, me autorizaram a contratar um novo link de internet que não vai passar pelo proxy, desde que apenas usuários priorizados tenham acesso a ele.
    Em outras palavras, apenas os usuários cujo trabalho dependem muito de conexão com a internet.

    Agora meu problema é:
    Atualmente eu uso pfSense apenas como DHCP server. (Em 2015 o departamento a qual sou subordinado determinou que fosse removido da rede todo proxy e firewall, pois todo o serviço (e consequentemente controle) seria centralizado.)
    Como eu posso usar o pfSense para permitir que todos os usuários tenham acesso a Intranet(rede corporativa) e selecionar usuários (por IP) que podem ultrapassar o proxy (e usar o novo link de internet) e aqueles que não podem (e  devem continuar acessando a internet via proxy)



  • Bem dificil dar alguma ideia com somente essas informações.

    Faz um diagrama dessa rede e posta ai.

    Um exemplo de como tu pode fazer o diagrama está na imagem abaixo.



  • @rdvc:

    Eu tenho 300 máquinas na minha rede. Meu link de internet é terrível, 2mb DSL da Oi, que passa pelo proxy do outro escritório (que fica em outra cidade) e é compartilhado para Intranet/rede corporativa.
    Depois de muito solicitar, me autorizaram a contratar um novo link de internet que não vai passar pelo proxy, desde que apenas usuários priorizados tenham acesso a ele.
    Em outras palavras, apenas os usuários cujo trabalho dependem muito de conexão com a internet.

    Agora meu problema é:
    Atualmente eu uso pfSense apenas como DHCP server. (Em 2015 o departamento a qual sou subordinado determinou que fosse removido da rede todo proxy e firewall, pois todo o serviço (e consequentemente controle) seria centralizado.)
    Como eu posso usar o pfSense para permitir que todos os usuários tenham acesso a Intranet(rede corporativa) e selecionar usuários (por IP) que podem ultrapassar o proxy (e usar o novo link de internet) e aqueles que não podem (e  devem continuar acessando a internet via proxy)

    Tentando visualizar sua situação, seguinte se vc usa o pfSense apenas para DHCP, unica forma de vc redimensionar seu novo link
    é criando Limiter de link no Firewall.

    Antes de tudo vc vai precisar mapear os IP da rede, tipo deixar IP fixo para as estações para vc ter o controle de ao menos saber quem é quem!!!!
    EX: 192.168.0.22 - (é o diretor) e sucessivamente!!!!

    Apos identificar todos, vc terá que saber quem iria utilizar o link, depois crie algumas Aliases, separados por grupos.

    Passo seguinte, vá em Firewall>> Traffic Shapper>> Limiter e cria os limites de velocidade separado pelos grupos. (Tudo conforme sua necessidade).

    E por fim em Regras do Firewall vc aponta os Aliases e junto vc amarra os Limiter.

    OBS: Como vc está sem muita ferramente (proxy), se fosse eu o ADM iria para esse caminho acredito que daria certo.



  • Seu cenário é complicado de opinar pela quantidade de hosts que vc tem (300). Vc não diz quantos hosts serão beneficiados por esse novo link, assim sendo, minha ideia é:
    1- Criar o novo gateway no pfsense
    2- Separar estes novos hosts em uma range diferente de IPs no dhcp
    3- Criar um alias para esse novo range
    4- Ir nas regras de firewall e criar uma regra para o alias informando o novo gateway como sendo o padrão (Gateway em Advanced Options).

    Mas seria legal você dar maiores detalhes.



  • Pessoal, primeiramente obrigado pelas respostas.

    Eu tentei ser bem conciso, pq normalmente tenho hábito de escrever demais, acabei não explicando bem a situação da rede.

    @empbilly

    Fiz um diagrama simples aqui, mas acho que com tudo que é relevante. Se faltar alguma informação pode falar que eu complemento.

    @andrezaomac
    Não sei se entendi sua sugestão. Na teoria não tenho firewall mais, quem faz esse trabalho hoje é outro escritório então não tenho acesso nem crio regras.
    Teoricamente posso voltar a usar o PF Sense como firewall, desde que ele não interfira nos links que vem do departamento central (tanto internet quanto intranet). Na teoria também posso voltar a usar um proxy (antigamente usava o squid), mas também desde que não interfira nos links que vem do departamento central (tanto internet quanto intranet).

    Todas minhas estações tem IP fixo pago pelo DHCP do PFSense, então identificar quem são os usuários com acesso "privilegiado" não é um problema.

    Nunca usei o traffic shapper, mas pelo que entendi o que eu poderia fazer com ele é limitar a banda dos usuários, conforme minha prioridade. Se for isso, ele não me atende. Na prática eu preciso definir quais usuários vão usar o link da companhia (que tem um proxy) e quais vão usar o link novo contratado na cidade. AO mesmo tempo, todos os usuários precisam manter acesso à rede corporativa, que não tem proxy.

    @GustavoPru
    Na realidade são 272 hosts, sendo que apenas 32 máquinas seriam beneficiadas (Podendo chegar a 40).
    Os ranges de IPs são definidos conforme as seções internas da empresa, mas os IPs beneficiados são de fácil identificação e eu imagino que posso criar um Alias com facilidade.
    O problema talvez seria criar uma regra no firewall. Hoje a função de firewall do PFsense fica desabilitada conforme determinação do meu departamento central. Não sei até onde eu reativar essas funções pode interferir com os links da companhia.  (Não sei se consegui esclarecer isso bem)

    Mais uma vez obrigado a todos pelas respostas,
    Fico no aguardo




  • rdvc, vendo sua diagramação pude ver que o pfsense está apenas como DHCP, sem nenhuma outra finalidade?

    Você disse

    Todas minhas estações tem IP fixo pago pelo DHCP do PFSense, então identificar quem são os usuários com acesso "privilegiado" não é um problema.

    . Então não é trabalhoso isolar esses hosts e colocá-los no alias.

    Agora temos um ponto bastante interessante. Como o seu pfsense está apenas como DHCP, logo ele está passando o default gateway para a sua rede o ip do roteador do seu escritório (de acordo com o diagrama). Ao colocar uma wan no pfsense ele criará um gateway nele.

    Assim, temos as seguintes possibilidades:
    1- Vc define manualmente os gateways (vc vai ter 2, que é o antigo e o novo no pfsense) nos hosts que poderão usufruir da nova internet;
    2- Vc define o gateway novo para as estações privilegiadas no pfsense, mas deixa para o pool restante do dhcp o gateway antigo. Cria uma regra no firewall do pfsense dando um deny para todos os IPs que não sejam os dos privilegiados.

    A única coisa que você precisa ter em mente é que os hosts que navegarem pelo novo gateway não terão os bloqueio proporcionados pelo proxy da sua central. Eles estão cientes disso, certo? Pois essa será a única mudança na sua infra que essa nova wan no pfsense irá proporcional. Quanto criar regra no firewall do pfsense não impacta em nada, porque ele não tem essa função de firewall hoje e, colocando o novo link e configurando para permitir apenas a navegação dos escolhidos também não impacta os demais.

    Só fique atento que você precisará criar uma outra rota (outro gateway) para os escolhidos também. Digo isso pq acredito que eles precisarão ter acesso ao outro lado da sua rede. Se isso for verdadeiro, tem algumas opções adicionais no DHCP que permitem isso. Particularmente utilizo bastante a opção 33.

    Dê uma olhada nesta página para compreender melhor: http://www.networksorcery.com/enp/protocol/bootp/options.htm



  • Boa noite a todos,

    rdvc, então,

    Basicamente, além do proxy? Qual serviço usa no escritório central?
    o link de 2Mb é dedicado? 2Mb/2Mb? Se for, a sugestão é passar todos do seu escritório para utilizar o proxy no pfsense, dessa forma a conexão com a central ficará livre para acesso aos serviços internos;

    Pelo o que foi falado, não utilizam pfSense na central, se utilizassem, poderia sincronizar proxy.

    GustavoPru

    Assim, temos as seguintes possibilidades:
    1- Vc define manualmente os gateways (vc vai ter 2, que é o antigo e o novo no pfsense) nos hosts que poderão usufruir da nova internet;
    2- Vc define o gateway novo para as estações privilegiadas no pfsense, mas deixa para o pool restante do dhcp o gateway antigo. Cria uma regra no firewall do pfsense dando um deny para todos os IPs que não sejam os dos privilegiados.

    Isso pode ser definido no próprio DHCP server do pfSense, bastas adicionar DHCP Static Mappings (reservar lease) e definir o Gateway.

    GustavoPru

    Só fique atento que você precisará criar uma outra rota (outro gateway) para os escolhidos também. Digo isso pq acredito que eles precisarão ter acesso ao outro lado da sua rede. Se isso for verdadeiro, tem algumas opções adicionais no DHCP que permitem isso. Particularmente utilizo bastante a opção 33.

    Claro as rotas poderão ser definidas no pfsense apontando para o roteador local, e por fim, este fará a entrega.


Log in to reply