Acho que acabei complicando mesmo .... vou tentar me expressar melhor dessa vez.
o que eu tenho hoje: INTERNET ---> modem adsl velox ---> servidor com firewall e proxy filtro de pacote e conteúdo com debian ---> rede local INTERNET ---> link mpls/link dedicado ---> roteador cisco contendo a conexão com a matriz ---> cabo de rede desconectado * O que tenho hoje é este cenário. Possuo um Link de internet velox que chega até um servidor que está rodando um firewall filtro de pacotes e conteúdo com Debian. * E a recém chegada VPN da Matriz, que deverá me conectar aos sistemas corporativos. O que eu preciso fazer: * unir a conexão de VPN que chegou (e que me interliga com a matriz) com a rede atual, permitindo aos computadores da rede local a utilização da mesma. Esta união deverá ocorrer de forma transparente ao usuário, ou seja, ele ao digitar www.empresa.intranet.br (ou qualquer domínio .intranet.br) terá seu tráfego redirecionado para o link de VPN que vem da matriz. Caso ele deseje acessar qualquer outro site (como por exemplo www.google.com.br) o tráfego deverá sair pelo link de internet do velox. O link de VPN será utilizado apenas para os sistemas da Intranet da organização, e a Internet para todo o restante da navegação. * O servidor que atualmente atua como firewall filtro de pacotes e conteúdo deverá ficar da forma que está hoje, não pretendo mexer nele. Apenas se for extremamente necessário. Atualmente ele realiza o controle de internet da empresa através de diversos filtros e classificações de níveis de usuário, ou seja, ele seria um aliado para o pfsense, fazendo a filtragem do que pode ou não ser acessado. Imagino que a topologia ideal seria: rede local --- servidor firewall filtro de pacotes e conteúdo --- pfsense --- os 2 links (internet velox e VPN Matriz) OBS1): Tentando explicar um pouco mais, ficaria assim. Caso um pacote precise chegar até o site www.google.com.br, ele deveria: - sair do computador do usuário; - buscar pelo gateway da rede (que neste caso seria o firewall filtro de pacotes e conteúdo); - este deveria verificar quais são as permissões e restrições do usuário (permitindo ou negando); - caso este usuário possa acessar o endereço requisitado, este pacote deverá ser encaminhado ao pfsense; - o pfsense deverá, analisar se este pacote está tentando acessar um sistema da intranet da empresa ou um site da internet; - o pfsense decidirá, por qual rota enviará o pacote, pela internet do velox, ou pela VPN da Matriz; - como o pacote deseja acessar o endereço www.google.com.br (que é um site da internet) este deverá ser encaminhado para a interface de rede que está conectado o link de internet velox. Mas se fosse um endereço do domínio .intranet.br ele deveria ser encaminhado para a interface de rede que está conectado o link de VPN da Matriz. OBS 2): Fiz diversas buscas na internet e encontrei uma informação, disseram que se eu fizer um load balance com pfsense colocando a rota da VPN da Matriz como default eu solucionaria o meu problema, mas não tenho certeza se é esta mesmo a solução para o meu problema. Porque pelo que eu sei o load balance apenas irá enviar hora um pacote por um link, hora um pacote pra outro, compensando assim a velocidade e não fazendo esta separação que eu preciso. Diante do exposto gostaria muito da ajuda de vcs ..... Obrigado PaulinhoLinux ----------------------------------------------------------------------------------------------------------------------- PaulinhoLinux e-mail.... paulinholinux arroba yahoo ponto com ponto br skype.... paulinholinux "Ter problemas na vida é inevitável, ser derrotado por eles é opcional." ----------------------------------------------------------------------------------------------------------------------- ________________________________ De: Paulo Henrique <[email protected]> Para: Lista em Português sobre pfSense <[email protected]> Enviadas: Domingo, 14 de Abril de 2013 19:03 Assunto: Re: [Pfsense-pt] Problema com Link de internet e VPN Em 14 de abril de 2013 16:33, Jeimerson Chaves <[email protected]>escreveu: > Amigo mas vc vai colocar o pfSense no lugar do linux? Não entendi. Onde ele > vai ficar nisso? > Se for vc pode ir em NAT e fazer um redirect para a sua rede. > > > Em 13 de abril de 2013 19:06, PaulinhoLinux <[email protected]> escreveu: > > > > > > > Fala galera tdo blzzz... > > > > Estou com um problema, e gostaria de obter ajuda. > > > > Tenho seguinte cenário: > > > > - 1 Link de internet Velox 2 Mbps - conectado na eth0 > > - 1 Link que contém a VPN da matriz (já tratada pelo router cisco que me > > entrega um determinado ip) - conectado na eth1 > > - Computadores da Rede local - Conectada na eth2 > > > > > > Diante do apresentado segue o que preciso fazer: > > > > > > * Sempre que um equipamento da rede local, que está conectada na eth2, > > acessar o site www.google.com.br o pacote será encaminhado para a eth0 > > (link que está conectado o velox). > > > > * Sempre que um equipamento da rede local, que está conectado na eth2, > > acessar o site www.minhaempresa.intranet.br (ou algum domínio . > intranet.br) > > o pacote será encaminhado para a eth1 (link que está conectado a VPN da > > matriz) > > > > > > * Não pretendo retirar o meu squid que roda hoje na rede, até porque ele > > possui políticas de acesso a internet e uma geração de relatórios que me > > ajuda muito. Este proxy squid ficará conectado entre a eth2 (rede local) > e > > o pfsense (firewall) que fará a concatenação destes links de internet e > VPN. > > > > > > O meu squid já possui um firewall rodando neste equipamento (script > criado > > por mim, que faz apenas o básico de segurança), só que a chegada desta > VPN > > complicou um pouco a minha vida. Tentei montar estas regras com o junto > com > > as regras do iptables que já estão implementadas hoje neste servidor mas > > não obtive sucesso. > > > > Após diversas buscas na internet encontrei o pfsense. Ele me pareceu ser > > uma excelente ferramenta, só que como não tenho experiência com ele > (tenho > > com iptables, squid, mas nunca trabalhei com o pfsense) preciso muito da > > ajuda de alguém. Procurei por uma solução para o meu problema no google, > > mas não obtive sucesso nas buscas. Gostaria muito de obter a ajuda de > vcs. > > Alguém poderia me ajudar? > > > > Obrigado, > > > > Até mais > > > > PaulinhoLinux > > > > > > > > > > > > > > > > > ----------------------------------------------------------------------------------------------------------------------- > > PaulinhoLinux > > > > > > e-mail.... paulinholinux arroba yahoo ponto com ponto br > > skype.... paulinholinux > > > > > > "Ter problemas na vida é inevitável, > > ser derrotado por eles é opcional." > > > > > ----------------------------------------------------------------------------------------------------------------------- > > _______________________________________________ > > Pfsense-pt mailing list > > [email protected] > > http://lists.pfsense.org/mailman/listinfo/pfsense-pt > > > _______________________________________________ > Pfsense-pt mailing list > [email protected] > http://lists.pfsense.org/mailman/listinfo/pfsense-pt > Acho que acabou se embolando no meio de campo. Vamos lá... A sua saida para a internet ( WAN ) é via a adsl de 2Mb/600kb ( down/up ), o IP tables que mantem o nat. Um segundo link que chega no seu roteador cisco é conectado na eth1, o link é dedicado a VPN não há trafego de internet nele, serve apenas para conectar a sua rede remota ( LAN2 ). A interface eth2 é a que se conecta a sua rede da matriz ( LAN1 ). Bom nesse cenário, creio que será da seguinte forma a configuração: LAN-REMOTA -> VPN-FILIAL -> INTERNET -> VPN-MATRIZ (cisco) -> LAN2 -> PFsense -> Internet A Lan-remota só se comunica na internet apos passar pela Matriz ? É isso ? -- :=)><(=: Rip NoRm4nD. Flamers > /dev/null !!! _______________________________________________ Pfsense-pt mailing list [email protected] http://lists.pfsense.org/mailman/listinfo/pfsense-pt _______________________________________________ Pfsense-pt mailing list [email protected] http://lists.pfsense.org/mailman/listinfo/pfsense-pt
