Buen dia con todos.
Escribo esperando me puedan dar alguna sugerencia de acuerdo a un diseño de red que estoy plantenando para un proyecto.
Tengo una red local para una empresa la cual se conecta con una sucursal via VPN mediante un dispositivo Cisco ASA.
Sin embargo necesito instalar un firewall/Proxy y para ello me he decidido por pfsense con 3 interfaces de red. Mi duda es como debo colocar los dispositivos para dejar un diseño optimo y seguro a la vez.
El esquema que me recomendó por ahi un compañero fue el siguiente:
.------------.
| Router ISP |---------------------|
'------------' |
| |
| if wan |
.-----------. if dmz-vpn .--------------.
| PFSense |----------------| Cisco ASA |
'-----------' '--------------'
|if lan
|
______|______
| | | |
Red Lan
1. En el esquema la idea es el servidor VPN (ASA) este conectado en paralelo con el PFSENSE al ISP cosa que luego de descifrar el trafico este pase necesariamente por el firewall para los filtros correspondientes. Sin emnbargo esto creo que implica que el router de mi proveedor de internet me de dos interfacez de red y esto no es así porque solo dispongo de una interfaz de red por su router.
Siendo asi creo que debo descartar la idea de este diseño.
2. Pense tambien el mismo esquema pero conectando solo el ASA al PFSENSE (sin la conexion en paralelo con el router del ISP). Pero no se si sea lo adecuado ya que el trafico VPN IPsec que ingrese por la interfaz WAN del PFSENSE debe enviarse hacia la interfaz DMZ-VPN para que llegue al ASA y alli desencriptarse. Luego ese trafico debe regresar del ASA hacia el PFSENSE para aplicar los filtros (¡creo que debe ser asi... o no?)
y luego el PFSENSE debe pasar el trafico a la interface LAN y este proceso parece un poco complicado y no se como debo aplicar las reglas.
Espero sus comentarios sobre este ultimo diseño o si hubiera que elegir otro esquema les estaré muy agradecido.
Saludos cordiales.