OPNsense es un completo sistema operativo, de código abierto, y orientado específicamente para usarlo como router y como firewall en nuestra red doméstica o empresa. OPNsense incorpora de manera completamente gratuita, una grandísima cantidad de opciones de configuración que solo los firewall comerciales más caros tienen.
¿Qué características incorpora este firewall?
Algunas de las características más importantes de este sistema operativo son las siguientes:
- Traffic Shaper
- Permite la autenticación con dos factores para iniciar sesión en la administración del sistema.
- Portal cautivo para el inicio de sesión de los usuarios, ideal para redes Wi-Fi de invitados en nuestro hogar o empresa
- Proxy caché transparente con soporte para lista negra
- VPN: incorpora tanto los modos site to site como road warrior, además, es compatible con IPsec y OpenVPN. Asimismo también incorpora compatibilidad con PPTP aunque no es recomendable su uso.
- Tiene la opción de HA (High Availability) y hardware failover, para que en caso de caída de un firewall automáticamente entre el siguiente
- Incorpora un IDS (sistema de detección de intrusiones) y también IPS (sistema de detección de intrusiones).
- Servidor DNS, DNS Forwarder, DHCP server, DHCP relay, Dynamic DNS etc.
- Permite ver gráficos del tráfico en tiempo real, exportar los datos a un servidor remoto, guardar la configuración cifrada y subirla a Google Drive e incluso podremos instalar plugins para aumentar el número de opciones disponibles.
- Soporta el estándar 802.1Q VLAN para segmentar la red adecuadamente
Otras características importantes es que la última versión de OPNsense 21.1.8 está basada en FreeBSD 11, además, nos permitirá elegir si queremos utilizar la librería criptográfica LibreSSL en lugar de la conocida OpenSSL. No debemos olvidar que esto es un firewall, y también es muy importante configurar listas de control de acceso en switch. Esta última versión ha salido recientemente.
Trabajo a Realizar
Cliente: necesito que las sucursales estén enlazadas unas a las otras, para compartir recursos de sistemas, archivos etc. Que los usuarios no todo tengan acceso a internet, que los que si lo tienen tengan restringido las paginas de redes sociales y música online, también ver las cámaras ip de cada sucursal.
Que mis Vendedores móviles se conecten al sistema sin están en la sucursal y las extenciones de la central ip sean unidas en cada sucursal.
Las sucursales
2 en Santo Domingo y 1 en Constanza
Propuesta: Se le ofreció al cliente para dicha instalación, que le haremos una VPN con el firewall OPNSense ya que cuenta con todas las características necesarias para lo que necesita el cliente y algo mas.
En cada sucursal se instalo y configuro un firewall con una ip publica y diferentes rangos de ip para identificarlos, mas la creación de puertos específicos para dicha comunicación independiente.
En este caso usamos OpenVPN Site to Site, que es server to serve y server to client para probar la estabilidad y dar fe de que dicho túnel es 100% fiable, este firewall tiene mas formas para establecer la comunicación por por VPN.
Autenticación
OpenVPN implementa SSL/TLS mediante certificados RSA que se considera mucho más seguro que la utilización de claves precompartidas. Es posible también la implementación de OpenVPN en conjunto con LDAP o Radius para el manejo de usuarios y permisos, pero en este tutorial se utilizará la autenticación Local en el OPNSense.
Esquema
Con esta configuración se realizo el trabajo y el cliente satisfecho al 100%
trabajo realizado en 5 días
Cliente: Anónimo por seguridad.