Neste artigo descreveremos como deve ser feita a configuração de uma instância de firewall de borda para acesso a Internet via CDC. Para fins demonstrativos, estaremos utilizando configurações definidas ao Campus Ubajara, não esqueça de substituir as configurações de endereçamento IPv4 para as que lhe foram enviadas.
Antes de tudo, a homologação do enlace deve ser feita perante o PoP-CE, seguindo o tutorial disponibilizado por eles (Clique aqui para fazer o download).
Coordenador Tecnico do PoP-CE - Marcos Frota, já deve ter lhe enviado um email com o título: “Ativacao Roteamento Final - [RNP-NOC #NUMERO_DO_TICKET] IFCE-[NOME_DO_SEU_CAMPUS]\Veredas Novas/2013/ETICE” No referido email, foram informados o endereçamento IPv4 público/roteável para a rede de seu Campus bem como o endereçamento IPv4 reservado/não roteável para a rede dos roteadores utilizada no CDC.
No caso do email que endereçado ao técnico do Campus Ubajara, temos a seguinte configuração:
Endereçamento | CIDR |
---|---|
Rede Campus IFCE - IPv4 Público/Roteável | 200.129.25.64/28 |
Rede CDC - IPv4 Reservado/Não Roteável | 192.168.1.1/30 |
Tais informações podem ser encontradas neste trecho do referido email:
- Sobre a configuração para a sua rede, é o seguinte:
Porta 0/0 (RJ-45) do Juniper - 192.168.1.1/30. Note que agora mudamos a rede. Agora é um /30. Antes, durante os testes, era um /24. Se aquela maquina (PC) dos testes possuir 2 placas de rede, já pode utilizar como firewall, mas lembre de mudar a mascara do IP da porta para /30.
Porta “externa” do seu firewall (também conhecida como WAN) - 192.168.1.2/30. Essa porta do seu farewall dever ser conectada com a porta 0/0 (RJ-45) do Juniper.
Porta “interna” do seu firewall (também conhecida como LAN) - Range: 200.129.25.64/28 . Qualquer um IP desse range. De preferência, o 1o. IP da rede.
Gateway default a ser configurado no seu firewall - 192.168.1.1/30
Gateway default a ser configurado na sua rede interna - 200.129.25.65/28 , se voce utilizar esse IP na porta >“interna” do seu firewall.
O endereçamento IPv4 deve ser feito da seguinte maneira:
Endereçamento IPv4 da rede 10/8 definido pela DGTI para sua rede local. Se você não recebeu um bloco de endereçamento IPv4 reservado alocado pela DGTI, solicite-o enviando um email para suporte.devops@ifce.edu.br. A não adoção de um bloco IPv4 reservado alocado pela DGTI para o campus, implicará na ativação da VPN (IPSEC) entre os Campi.
Como informado no inicio deste tutorial, para que a rede de seu campus possa ser integrada com a rede dos outros campi do IFCE, precisamos que os endereçamentos de rede dos campi sejam únicos, evitando assim, entradas ambiguas nas tabelas de rotas do IPSEC. Se você ainda não recebeu um bloco IPv4 reservado/privado (EX: 10.100.100.0/24) para atribuir a sua rede local. Peça-o abrindo um ticket junto a DGTI enviando um email para suporte.devops@ifce.edu.br.
De posse do bloco reservado/privado da rede de seu campus, passemos então a configuração do servidor DHCP da rede:
No caso do Campus Ubajara, temos a seguinte rede delegada:
Rede | CIDR |
---|---|
Rede Campus Ubajara - IPv4 Privado/Reservado | 10.100.101.0/24 |
Devemos então, configurar o primeiro endereço IPv4 da rede do Campus para a interface LAN do PfSense. Para fazer isto, clique em Interfaces → LAN (Clique para ampliar): Na interface de configuração da interface LAN, defina (Clique para ampliar):
Após a configuração do novo endereço da rede LAN, passemos as configurações do serviço de DHCP propriamente dito:
Clique em Serviços → Servidor DHCP (Clique para ampliar): E em seguida clique aba LAN (Clique para ampliar): Na interface de configuração do servidor DHCP (Clique para ampliar):
De posse das informações levantadas, podemos agora, seguir com a configuração de nosso firewall. Clicando em Firewall → Aliases (Clique para ampliar): Podemos ver a interface de configuração de Aliases do PfSense (Clique para ampliar): Nesta seção do pfsense, definiremos o Pool de saída - Os endereços que serão utilizados pelo PfSense na saída da rede local para a Internet. Para fazer tal tarefa, mudaremos para a aba IP e criaremos um novo alias, clicando no icone que aparece no inicio e no final da lista de aliases (Clique para ampliar): Neste Alias, colocaremos TODOS os endereços IPv4 públicos alocados pela RNP ao Campus e iremos removendo deste pool para aplicações específicas (processo descrito em outro artigo ), MENOS o primeiro endereço da rede. Este será o endereço que atribuiremos ao proprio PfSense para fins administrativos. Preencha o campo IP, colocamos os endereços de IP da rede pública. O campo Descrição pode ser deixado em branco, ele será automaticamente preenchido pelo Pfsense com o timestamp da criação desde Alias (Clique para ampliar): O primeiro endereço IPv4 público que deixamos de fora do Pool de saída, configuraremos na seção IP's virtuais clicando em Firewall → IPs Virtuais (Clique para ampliar): Para fazer tal tarefa, apenas clicamos no icone que aparece no inicio e no final da lista de aliases (Clique para ampliar): No Tipo de IP Virtual, definimos 'IP Alias' ou 'Alias do IP', na interface, definina como WAN, no campo Endereçamento, coloque o endereço IPv4 público que separamos do Pool, com a mascara /32 e por fim, na descrição, coloque algo que lhe remeta a cronfiguração feita acima (Clique para ampliar): Resultado final (Clique para ampliar): Agora, com o endereço virtual IPv4 configurado para interface WAN de seu firewall e o Pool de endereçamento, configuraremos agora o NAT outbound propriamente dito. Clique em Firewall → NAT (Clique para ampliar): Em seguida, na seção Saída/Outbound (Clique para ampliar): Aqui, faremos duas modificações importantes:
Ao final, a tabela de NAT outbound deve exibir informações como estas (Clique para ampliar):
Para fins de homologação da solução implementada neste passo-a-passo, NÃO APLICAREMOS regras de firewall. A DGTI reforça que esta NÃO DEVE SER A CONFIGURAÇÃO UTILIZADA EM PRODUÇÃO. Remova todas as regras que já implementandas e subistituia pelas seguintes regras.
Tanto para WAN (Clique para ampliar): Quanto para LAN (Clique para ampliar): Após criadas as regras acima, clique em Aplicar configurações, a seguinte mensagem será exibida (Clique para ampliar):
Após configurados os aliases, o NAT e as regras de firewall, nos resta apenas configurar a rota padrão para a rede do Campus. Clicando em Sistema/System → Routing/Roteamento (Clique para ampliar): Nos deparamos com a seção de roteamento, que em sua aba principal, nos traz os gateways de rede do Campus - Já preconfigurados ao setar o endereçamento das interfaces (Clique para ampliar): Clique na aba Routes/Rotas. Nesta seção, só se faz nescessária uma única rota estática - portanto, remova quaisquer rotas que estiverem pre-configuradas. Adicione a rota da seguinte forma:
Após a criação desta rota, sua tabela de rotas deverá constar algo semelhante ao que é exibido abaixo (Clique para ampliar): Clicando em Status → Gateways, pode-se ter uma visão holística de todos os gateways (Clique para ampliar):
Agora, que temos internet sendo roteada pelo pfsense, deveremos agora, fazer alguns ajustes finos, para que a rede opere de uma maneira mais otimizada.
Clicando em Sistema → Configurações Gerais/General Configuration (Clique para ampliar): Defina (Clique para ampliar):
a.ntp.br b.ntp.br c.ntp.br gps.ntp.br
Clicando em Sistema/System → Avançado/Advanced (Clique para ampliar):
Clicando em Serviços/Services → DNS Forwarder (Clique para ampliar):
Este procedimento é descrito no artigo Manual de configuração da Politica padrão na plataforma PfSense
Pronto! Agora voce já tem tudo pronto para poder efetuar os testes que deseja antes de colocar o novo firewall de borda do campus em produção!
— Lucas do Amaral Saboya 2014/09/11 15:16