Pfsense + MPLS



  • Pessoal to com um projeto para a empresa, mas to com umas dúvidas… o esquema de redes que está abaixo.

    Minhas dúvidas são:

    • A Gvt vai validar a rede mpls, deixando todos os ramais se enxergando, ou seja... a rede 172.16.0.x se enxerga de qualquer filial através da matriz, mas tenho a necessidade de implantar um firewall em cada filial, então como no esquema, cada pfsense vai ter uma rota estática pra enxergar a rede interna 192.168.x.x. Minha dúvida é.... está certo essa minha linha de pensamento?? Existe meios mais práticos??
    • Na matriz irei ter internet, e através dela irei repassar a internet para as filiais (será liberado apenas alguns sites), então tem mais ou menos ideia se isso é possível no pfsense.... ou outro meio?? Pode me dar um exemplo??

    Desde já agradeço pela ajuda,



  • Olá!

    O seu raciocínio está certo. Porém, seu MPLS é como várias conexões ponto a ponto. Então se sua matriz é 172.16.0.1, a filial 1 é 172.16.1.1, filial 2 172.16.2.1 e etc…

    Só te aconselho a usar IPSEC nessas conexões dentro do MPLS.

    Com relação a internet, você precisa pensar na Banda. Você precisará de banda suficiente para os acessos a sistemas ERP, mais acesso a internet.

    Um ultimo comentário. Nessas filiais, se o objetivo é só o roteamento, talvez uma Appliance seja interessante:
    http://store.netgate.com/1U-IPSU-Netgate-ALIX-dual-pfsense-P284.aspx
    http://store.netgate.com/kit-APU1C4.aspx
    http://store.pfsense.org/VK-T40E/
    http://store.pfsense.org/VK-2D13/

    Esse mais para o seu servidor na Matriz:
    http://store.pfsense.org/c2758/

    Mais opções:
    https://www.pfsense.org/hardware/

    A Vantage TI possui produtos interessantes:
    http://www.vantageti.com.br/index.php?id_pag=533

    Não se engane, o software deles é PFSense.

    Enfim, dei esse foco no Hardware pois uma estrutura dessas pede planejamento.



  • Boa tarde.
    Aqui na empresa, usamos em cada filial uma routerboard apontando para a mestre na matriz e o pfsense gerenciando as conexões externas da mesma. Não necessariamente necessita de um pfsense em cada filial se você utilizar um roteador para a mpls.



  • @Tiago:

    Boa tarde.
    Aqui na empresa, usamos em cada filial uma routerboard apontando para a mestre na matriz e o pfsense gerenciando as conexões externas da mesma. Não necessariamente necessita de um pfsense em cada filial se você utilizar um roteador para a mpls.

    Concordo.

    Você poderia usar uma RB750G da Mikrotik.

    Importante é pensar em quantos usuários estarão conectados em cada filial. Quais as necessidades de gestão em cada uma.

    Caso você não conheça o RouterOS, que é o SO das Routerboards da Mikrotik, sairá mais barato e mais prático continuar com PFSense. Se você tiver tempo e/ou dinheiro para aprender a trabalhar com a RB da Mkrotik, é uma boa opção.



  • Pessoal, agradeço pela ajuda… Mais com sinceridade ainda não consegui entender como vou repassar a internet da matriz para as filiais, a única solução que creio que irá funcionar seria colocar IPSEC/L2TP pra fazer isso como foi mencionado aqui no tópico. Pensei em fazer via proxy no browser, mas ficaria inviável pois algumas equipamentos que possuo não possuem esta configuração. Vale lembrar que O link dedicado vem por fibra e me entrega na porta lan do roteador cisco 1 e a rede mpls ele  me entrega na lan do roteador cisco 2. Tenho conhecimento em Mikrotik sim, mas sinceridade preciso só de uma luz de como fazer isso....



  • nao bastaria setar o ip de sua matriz como gateway dos terminais remotos?



  • Teoricamente sim….. Mas e na pratica, ainda estou em fase de planejamento.... Não tenho como testar....



  • @gerffeson:

    Teoricamente sim….. Mas e na pratica, ainda estou em fase de planejamento.... Não tenho como testar....

    sim, vc pode testar.. existe simuladores virtuais de rede, o GNS3 por exemplo..



  • @Lucas:

    nao bastaria setar o ip de sua matriz como gateway dos terminais remotos?

    Existem algumas complicações dependendo da arquitetura de rede.

    Se por exemplo, cada filial possuir um servidor local com um sistema, e esse servidor faz comunicação com a matriz, nesse caso o gateway dos computadores deve ser o PFSense/Mikrotik que conecta a MPLS na filial. Ai sim, dentro dele você programa as regras de firewall e rotas.

    Pelo menos pra mim, fica até mais intuitivo você separar as subredes. Vamos a um exemplo.
    Minha matriz possui um link da Algar, de 10Mbps para internet e 10Mbps para MPLS. Na filial você puxa os 10Mbps do MPLS.
    Eu proponho as seguintes subredes "privadas".
    LAN MATRIZ: 192.168.0.0/24
    MPLS MATRIZ: 192.168.10.0/24
    MPLS FILIAL: 192.168.20.0/24
    LAN FILIAL: 192.168.1.0/24
    IPSEC: 192.168.30.0/24

    Na filial, o gateway é o local, este por sua vez possuirá as rotas e definições de Firewall para direcionar o trafego para a matriz.



  • Segue mais um fornecedor de HARDWARE interessante, ainda não utilizei mas o importante é registrar:

    http://www.swh.net.br


Log in to reply