Interligação de redes com mikrotik e pfsense

carlosadelson
(usa FreeBSD)

Enviado em 14/02/2017 - 12:53h

Ola pessoal...
tenho um cenário e queria ajuda ou dicas para montar uma solução para este.
sou coordenador de TI de uma prefeitura, temos um sistema na rede de saúde que é web e está hospedado num servidor em nuvem, temos 9 unidades de saúde mais a secretaria de saúde, onde todos precisam acessar estes sistema.
Pois bem, na secretaria de saúde instalei um firewall pfsense, configuração básica como servidor DHCP, restrição de acesso, etc, porém nas unidades de saúde, não existe um controle, e como temos uma certa limitação de link, alguns funcionários acabam acessando youtube, redes sociais, e por aí vai.

O que eu gostaria de fazer e queria saber de vocês se é possível, usar nas unidades de saúde um mikrotik hEX RB750Gr3, como DHCP Server e conectar via VPN no meu PFSense da secretaria de saúde para que este seja um proxy e controle o acesso das unidades, e deixar no mikrotik apenas sistema de saúde liberado para acesso direto pelo link local.

Obs: não compensa a instalação de um servidor em cada unidade, pois temos de 4 à 10 computadores, muitas tem link de 1mb da Oi Velox, que pretendo mudar para 5mb de fibra ou de rádio conforme viabilidade das operadoras locais.

Então, é possível fazer isto? me indicam este mikrotik ou outra ferramenta?

souzacarlos
(usa Outra)

Enviado em 14/02/2017 - 14:26h

Boa tarde
Cenário bem interessante, pois bem, vc não falou que tipo de conexão física existem entre esses pontos (Mikrotik x PFsense) para que a comunicação ocorra via VPN como vc citou, mas vamos lá.
Sobre a VPN + Proxy GW >> É possível sim fazer, demanda algumas configurações importantes mas sim dá pra fazer, inclusive tratar as exclusões para que acessem direto via link WAN e não via VPN

Sobre o modelo da RB >> A única coisa que tem que ser avaliado é a carga que vc irá demandar, isso quer dizer, serviços que vc utilizará em cima da RB, fora isso tudo bem. Mas para o número de computadores citados e para que deseja utilizar tudo tranquilo.

Sobre utilizar Mikrotik >> Mikrotik é uma solução bem completa e garanto com experiência de mercado que vai atender não só essa demanda como outras que irão aparecer pós essas mudanças que vc pretende fazer.

Espero ter clareado sua mente

Network Analyst - Consultor para empresas
contact skype: carlossouzainfo
21 99180-8165 (WhattsApp)

carlosadelson
(usa FreeBSD)

Enviado em 14/02/2017 - 14:34h

boa tarde, hoje tenho um link de internet de 10/3mb na secretaria de saúde e nas unidades de saúde entre 1mb de velox da OI até 5mb de link de rádio, porém devo padronizar todas as unidades para 5mb (fibra ou rádio), a secretaria deve permanecer nos 10mb.

só preciso que por esta VPN eu tenha um proxy no pfsense para controlar o acesso das unidades mesmo, bloquear redes sociais, youtube e outros sites, o sistema que é web pode sair direto pelo link local como havia dito.

souzacarlos
(usa Outra)

Enviado em 14/02/2017 - 14:45h

Boa tarde
Por isso te perguntei sobre que tipo de link existe hoje entre essas unidades e a secretária de saúde. Caso haja ou exista a pretensão de ter link direto ex:(Rádio - Fibra) entre essas unidades e a Secretária de Saúde podemos ter métodos mais eficazes do que uma simples VPN para monitoramento e possível controle de acesso.

Agora como vc tbm não citou se o link nessas unidades é dedicado "creio q não" não é recomendado VPN para que essas unidades autentiquem em um Proxy remoto para validar e sair para Internet, creio que teu problema vai aumentar ao invés de diminuir.

Existe a possibilidade de utilizar de melhor forma esse link de rádio que vc falou q possui, para interligação de L2 entre essas unidades e a Secretária de Saúde


Network Analyst - Consultor para empresas
contact skype: carlossouzainfo
21 99180-8165 (WhattsApp)

carlosadelson
(usa FreeBSD)

Enviado em 14/02/2017 - 15:15h

não são dedicados... são links normais.
infelizmente não temos empresas aqui no município que façam este serviço de link direto na estrutura deles.
na empresa que eu trabalhava, todos os escritórios do brasil era interligados, usávamos um sistema um sistema de vpn da própria operadora com roteadores da cisco, para conexão remota com os usuários era pelo ip interno.

mas de qualquer forma, com links não dedicados, consigo pelo RB fazer uma configuração de controle de acesso.

souzacarlos
(usa Outra)

Enviado em 14/02/2017 - 17:09h

Boa tarde
Não entendi se vc estava perguntando mais irei responder mesmo assim.
Sim vc consegue fazer controle de acesso via RB. O que não sugeri foi autenticar remotamente em um Proxy via Internet para acessar a Internet


Network Analyst - Consultor para empresas
contact skype: carlossouzainfo
21 99180-8165 (WhattsApp)