Bem-vindo à Comunidade UBNT

Unifi security gateway ( USG ) com pfsense

Pessoal, 

Tenho buscado uma forma de configurar o unifi security gateway com PFsense.

Uso o Firewall do Pfsense, em HA com Failover e Balanceamento, como Gateway, servidor DHCP, DNS, VPN e Web Filtering e gostaria de usar o USG para coleta de dados com a Funcionalidade de DPI e evitar ataques com a funcionalidade de IPS na borda.

Hoje a rede tem dois links de internet, um em cada Appliance. Tenho uma VLAN de gerenciamento, uma DMZ, para servidores de aplicação e mais duas VLANs, uma corporativa e outra para convidados, todas configuradas no PFsense.

Também uso APs Unifi - UAC - LR onde consigo fazer a divisão para Corporativo e Visitantes.

Seguindo a seguinte estrutura:

Modem Internet - PFsense (VLANs) - Switch (VLANs) - Wi-fi (unifi) 

Não sei em que ponto da rede por o USG e como devo configurar de forma que não hajam conflitos com o restante da rede e para que possa captar os pacotes e evitar ataques.

Caso seja necessário mudar algo na estrutra, posso ser bastante flexível. 

Algumas ideias que pensei:

1. Solução: Deixar o USG como borda e ligar os links de internet nele, depois ligar ele nos PFsense.
1. Problemas: O servidor de controlar não conseguiu mais alcançar o USG, tive que configurar GW do GW... causando lentidão da rede

2. Solução: Colocar o USG como GW da rede após o firewall
2. Problemas: Não há conexões suficientes no USG para receber os Links, conectar na rede e ser mantido em HA

Agradeço a todos a ajuda.
Rotulado:

Comentários

  • UI-SamuelUI-Samuel 810 Pontos
    Não é uma boa ideia utilizar o USG atrás de outro roteador porque ele foi projetado para ser posicionado diretamente na borda por ser um roteador semi-automático. Fazendo isso você vai perder algumas funcionalidades facilitadas dele (por ex auto-VPN), haverá maior complexidade com regras de DNAT (port-forwarding), além de não ter como desabilitar o duplo NAT porque o USG automaticamente faz SNAT da conexão na WAN para a(s) LAN(s). Se você já tem uma estrutura de roteadores na sua rede, não há razão para adicionar o USG, a menos que fosse para substituí-la posicionando o USG na borda. Se ainda assim quiser insistir nessa estratégia, terá que lidar com toda a complexidade inerente a qualquer projeto com dupla camada de roteadores, por exemplo no que diz respeito a roteamento, já que haverá uma camada mais externa conectada à Internet (firewall) e outra camada intermediária fazendo roteamento inter-VLAN para as LANs.
  • IristonyIristony 0 Pontos
    Então em resumo: a forma mais fácil de fazer isso seria por o USG como borda da minha rede e usado como roteador e GW das rede e VLANs e desativar as features de GW do Pfsense e usa-lo apenas como Proxy para Web Filtering?

    Poderia manter a Feature de VPN para os Clientes ou tbm preciso usar a do USG?

  • UI-SamuelUI-Samuel 810 Pontos
    Essa seria uma boa opção, mas você perderia a redundância via CARP que tem hoje no pfSense, já que o USG não suporta HA (apenas o EdgeRouter que suporta VRRP). Fazendo isso, basicamente você utilizaria o pfSense como Proxy e o USG como roteador/firewall, um cenário bem comum. Embora seja possível estabelecer as VPNs sem estar diretamente na borda, essa não seria a prática mais recomendada, então seria melhor manter essa função no roteador/firewall da sua borda.
    Iristony
Entre ou Registre-se para fazer um comentário.