Messages

Olá Igor, tudo bem?

Se entendi bem, você precisa que as máquinas da tua filial consigam se autenticar na matriz. Detalhe que conexão entre matriz <--> filial foi feita por túnel IPSec. confere?

Neste caso, você pode fazer de algumas formas diferentes, mas o importante é que as máquinas da filial resolvam corretamente o teu domínio interno (empresa.local por exemplo) para que possam puxar os dados do AD, se autenticarem corretamente além de aplicarem GPOs e outras coisas correlatas do active directory.

Entendo que sua preocupação em não usar o AD da matriz como servidor dns primário da filial para não gerar tráfego desnecessário é extremamente válida (dns é uma parte crítica da navegação dos usuários, e quanto mais perto do usuário estiver o cache, melhor, além de liberar a banda do túnel ipsec quem nem sempre é lá grandes coisas na internet brasileira).

A maneira mais simples (que inclusive fiz recentemente), será na qual as máquinas da filial usem o próprio firewall da filial como servidor DNS, e que o firewall da filial encaminhe para a matriz apenas as consultas *.empresa.local, que são aquelas apenas encontradas no domínio (AD).

Para isso, vá no firewall da filial e configure no serviço do Unbound um novo Override (Services > Unbound DNS > Overrides > Domain Overrides ) com domínio empresa.local e IP o endereço IP do servidor AD da matriz. Isto vai fazer com que as consultas endereçadas para o domínio *.empresa.local seja redirecionada para o AD da matriz. (semelhante a um conditional forwarder no dns do AD).

*Detalhe que o IPSec por padrão não permite a comunicação do firewall (filial) com o AD (matriz) pois o IP de binding do serviço Unbound não vai sair da LAN da filial por padrão (na fase 2 do ipsec a gente normalmente configura apenas lan <--> lan por isso este empecílio). Daí pra resolver esta segunda questão você pode forçar o serviço do unbound a sempre conectar no servidor upstream, tendo como origem o endereço LAN do firewall. Faça o seguinte: vá no menu System > Services > Unbound DNS > General. Marque a opção Advanced options e no campo Outgoind Network Interface selecione apenas a interface LAN do firewall da filial. Salva, aplica e seja feliz  ;D

Aproveitando mas não querendo abusar da sua boa vontade rs. Tenho um prob nesse parque tb de comunicação entre as interfaces, uso a LAN mais duas VLANS, um somente para wifi e outra para os equipamentos. Da Vlan wifi não consigo que uma máquina fale com uma impressora na vlan Segurança(dos equipamentos), regras da lan e das vlans está any to any, tudo liberado.

Olá Igor, tudo bem?

Se entendi bem, você precisa que as máquinas da tua filial consigam se autenticar na matriz. Detalhe que conexão entre matriz <--> filial foi feita por túnel IPSec. confere?

Neste caso, você pode fazer de algumas formas diferentes, mas o importante é que as máquinas da filial resolvam corretamente o teu domínio interno (empresa.local por exemplo) para que possam puxar os dados do AD, se autenticarem corretamente além de aplicarem GPOs e outras coisas correlatas do active directory.

Entendo que sua preocupação em não usar o AD da matriz como servidor dns primário da filial para não gerar tráfego desnecessário é extremamente válida (dns é uma parte crítica da navegação dos usuários, e quanto mais perto do usuário estiver o cache, melhor, além de liberar a banda do túnel ipsec quem nem sempre é lá grandes coisas na internet brasileira).

A maneira mais simples (que inclusive fiz recentemente), será na qual as máquinas da filial usem o próprio firewall da filial como servidor DNS, e que o firewall da filial encaminhe para a matriz apenas as consultas *.empresa.local, que são aquelas apenas encontradas no domínio (AD).

Para isso, vá no firewall da filial e configure no serviço do Unbound um novo Override (Services > Unbound DNS > Overrides > Domain Overrides ) com domínio empresa.local e IP o endereço IP do servidor AD da matriz. Isto vai fazer com que as consultas endereçadas para o domínio *.empresa.local seja redirecionada para o AD da matriz. (semelhante a um conditional forwarder no dns do AD).

*Detalhe que o IPSec por padrão não permite a comunicação do firewall (filial) com o AD (matriz) pois o IP de binding do serviço Unbound não vai sair da LAN da filial por padrão (na fase 2 do ipsec a gente normalmente configura apenas lan <--> lan por isso este empecílio). Daí pra resolver esta segunda questão você pode forçar o serviço do unbound a sempre conectar no servidor upstream, tendo como origem o endereço LAN do firewall. Faça o seguinte: vá no menu System > Services > Unbound DNS > General. Marque a opção Advanced options e no campo Outgoind Network Interface selecione apenas a interface LAN do firewall da filial. Salva, aplica e seja feliz  ;D

Kra, gratidão, resolveu a bronca aqui!!!!

Select Interfaces -> WAN from the GUI
Select Advanced under  DHCP client configuration
In the Option Modifiers box add supersede dhcp-lease-time xxx
Where xxx is your desired lease time in seconds. dhclient will attept to renew when 50% of the lease time has elapsed.


https://forum.opnsense.org/index.php?topic=20323.0

Ok, tks!!!

https://docs.opnsense.org/be.html
Doc enviada pela Deciso.

Olá Igor, o OPNCentral é um plugin da versão business como você mencionou. O custo por firewall é apenas para a própria licença business, e até onde sabemos no plugin não há uma restrição por licença.

Perfeito, Gratidão Julio, vou tentar contato com a Deciso.

Olá, gerencio um parque com mais de 100 firewalls, recentemente migrei todos para o OPN. Estou sentindo necessidade de uma gerência centralizada, não consegui no site da deciso muita informação sobre a versão paga. Alguém utiliza e pode me tirar algumas dúvidas?
- O licenciamento é por unidade de fw ou fica no fw que centraliza?
- Na gerência centralizada consigo ter perfis de configuração para enviar aos fw?
- Quais beneficios e qual a maturidade dessa solução paga, vale a pena?

Gratidão a quem puder compartilhar.

Srs, tenho um cenário em que meu AD está na matriz, tenho unidades conectadas por ipsec onde usuários precisam se autenticar no AD. Como consigo redirecionar essa resolução de nomes sem precisar definir meu dns da matriz como primário nas unidades gerando um tráfego desnecessário na ipsec? Alguém já passou por isso?

Olá Igor,

Realmente na WebUI (plugin) não há suporte. A alternativa seria fazer manualmente ou personalizar o plugin.

Gratidão!

Bom dia, migrei a pouco tempo meu parque para o OPNSense, no servidor DHCP não tem uma opção para limpar todas as concessões, como tinha no PFSense, existe outra maneira de fazer?

Olá, possuo uma estrutura rodando com 40 pfsenses, estou migrando para o OPNSense, esbarrei em um problema, um dos meus NOC´s usa SNMP para monitorar, com trap. No plugin não achei a parte de trap para configurar, está ausente mesmo ou existe outra forma de fazer?