Ayuda con diseño de red con proxy y servidor VPN



  • Buen dia con todos.
    Escribo esperando me puedan dar alguna sugerencia de acuerdo a un diseño de red que estoy plantenando para un proyecto.

    Tengo una red local para una empresa la cual se conecta con una sucursal via VPN mediante un dispositivo Cisco ASA.
    Sin embargo necesito instalar un firewall/Proxy y para ello me he decidido por pfsense con 3 interfaces de red. Mi duda es como debo colocar los dispositivos para dejar un diseño optimo y seguro a la vez.

    El esquema que me recomendó por ahi un compañero fue el siguiente:

    .–----------.
                  | Router ISP  |---------------------|
                  '------------'                              |
                        |                                        |
                        | if wan                                |
                  .-----------. if dmz-vpn        .--------------.
                  | PFSense    |----------------|  Cisco ASA    |
                  '-----------'                        '--------------'
                        |if lan
                        | 
              | 
                  |  |    |  | 
                    Red Lan

    1. En el esquema la idea es el servidor VPN (ASA) este conectado en paralelo con el PFSENSE al ISP cosa que luego de desencriptar el trafico este pase necesariamente por el firewall para los filtros correspondientes. Sin emnbargo esto creo que implica que el router de mi proveedor de internet me de dos interfacez de red y esto no es así porque solo dispongo de una interfaz de red por su router.
    Siendo asi creo que debo descartar la idea de este diseño.

    2. Pense tambien el mismo esquema pero conectando solo el ASA al PFSENSE (sin la conexion en paralelo con el router del ISP). Pero no se si sea lo adecuado ya que el trafico VPN IPsec que ingrese por la interfaz WAN del PFSENSE debe enviarse hacia la interfaz DMZ-VPN para que llegue al ASA y alli desencriptarse. Luego ese trafico debe regresar del ASA hacia el PFSENSE para aplicar los filtros (¡creo que debe ser asi... o no?)
    y luego el PFSENSE debe pasar el trafico a la interface  LAN y este proceso parece un poco complicado y no se como debo aplicar las reglas.

    Espero sus comentarios sobre este ultimo diseño o si hubiera que elegir otro esquema les estaré muy agradecido.

    Saludos cordiales.



  • Yo haría [Router ISP] [Cisco ASA] [pfSense]

    Y empleas pfSense sólo para filtrar el tráfico que no interese con sus funciones de cortafuegos y/o proxy (squid+squidGuard).

    Saludos,

    Josep Pujadas-Jubany



  • Hola ronnycix,
    Yo  lo primero que haría sería saber si es realmente necesario la utilización del PFSense teniendo ya un ASA que puede hacer las funciones de firewall. Si el ASA solamente lo vas a utilizar para las conexiones VPN, puedes hacer que sea transparente para todo el resto de conexiones, dejando que las gestione el PFSense. Así la conexión sería en serie:

    PFSENSE –- ASA—ISP ROUTER.

    Espero haberte ayudado.
    Saludos


Locked