Consulta sobre diseno de red

Iniciado por ronnycix, 19 Julio 2012, 05:37 AM

0 Miembros y 1 Visitante están viendo este tema.

ronnycix

Buen dia con todos.
Escribo esperando me puedan dar alguna sugerencia de acuerdo a un diseño de red que estoy plantenando para un proyecto.

Tengo una red local para una empresa la cual se conecta con una sucursal via VPN mediante un dispositivo Cisco ASA.
Sin embargo necesito instalar un firewall/Proxy y para ello me he decidido por pfsense con 3 interfaces de red. Mi duda es como debo colocar los dispositivos para dejar un diseño optimo y seguro a la vez.

El esquema que me recomendó por ahi un compañero fue el siguiente:

               .------------.
              | Router ISP  |---------------------|
               '------------'                              |
                     |                                         |
                     | if wan                                |
               .-----------. if dmz-vpn         .--------------.
              | PFSense    |----------------|   Cisco ASA    |
               '-----------'                         '--------------'
                     |if lan
                     |
           ______|______
              |  |    |   |
                Red Lan


1. En el esquema la idea es el servidor VPN (ASA) este conectado en paralelo con el PFSENSE al ISP cosa que luego de descifrar el trafico este pase necesariamente por el firewall para los filtros correspondientes. Sin emnbargo esto creo que implica que el router de mi proveedor de internet me de dos interfacez de red y esto no es así porque solo dispongo de una interfaz de red por su router.
Siendo asi creo que debo descartar la idea de este diseño.

2. Pense tambien el mismo esquema pero conectando solo el ASA al PFSENSE (sin la conexion en paralelo con el router del ISP). Pero no se si sea lo adecuado ya que el trafico VPN IPsec que ingrese por la interfaz WAN del PFSENSE debe enviarse hacia la interfaz DMZ-VPN para que llegue al ASA y alli desencriptarse. Luego ese trafico debe regresar del ASA hacia el PFSENSE para aplicar los filtros (¡creo que debe ser asi... o no?)
y luego el PFSENSE debe pasar el trafico a la interface  LAN y este proceso parece un poco complicado y no se como debo aplicar las reglas.

Espero sus comentarios sobre este ultimo diseño o si hubiera que elegir otro esquema les estaré muy agradecido.

Saludos cordiales.

pizar

Hola ronnycix,

Lo primero sería saber si es realmente necesario la utilización del PFSense teniendo ya un ASA que puede hacer las funciones de firewall. Si el ASA solamente lo vas a utilizar para las conexiones VPN, puedes hacer que sea transparente para todo el resto de conexiones, dejando que las gestione el PFSense. Así la conexión será en serie:

PFSENSE --- ASA—ISP ROUTER.

Espero haberte ayudado. Saludos
Pilar Zafra
Responsable de Atención al Usuario en MercadoIT
http://bit.ly/mercadoIT

pizar

Hola de nuevo ronnycix!

Te dejo este tutorial http://bit.ly/10Zg82q sobre cómo hacer el diseño de una red . Espero que te ayude con tus dudas.  Saludos : )           
Pilar Zafra
Responsable de Atención al Usuario en MercadoIT
http://bit.ly/mercadoIT