"
Opa!
Tudo bem pessoal?
Meu caso com o OPNsense é curioso e acho que vale a pena dividir com a comunidade.
Sou servidor público e assumi em setembro do ano de 2024 no cargo na rede de TI de uma universidade federal. Meu conhecimento com firewalls (já criei alguns com slackware, openbsd...) fez com que me pedissem para criar um para ser implementado nas casas (locais alugados pela universidade para complementar a infraestrutura) que não tinham comunicação com a nossa rede interna. A intenção era permitir que alguma política de rede fosse implementada e que substituíssemos os atuais roteadores (CISCO Ethernet) que não conseguiam passar de 100Mbps (os links eram de 500 a 600Mbps).
Iniciei tentando fazer isso em um linux. Com certeza ficaria estável, mas não tinha uma interface gerenciável e nada "user friendly" para outros da equipe. Então me lembrei do pfSense. Nas pesquisas sobre o mesmo, vi mais 3 ou 4 opções, inclusive o OPNsense. Decidi testar em VM para ver qual teria a melhor configuração para minha necessidade e ainda pudesse ser o famoso "user friendly". Resumindo... OPNsense foi implementado em 11 casas e tenho mais 2 PCs prontos para duas novas estruturas que estamos finalizando.
As possibilidades que o OPNsense nos trouxe, foram além de somente organizar os links. Implementei VPNs que permitiram monitorar toda a infraestrutura (Zabbix, SNMP, ICMP) presentes nas casas. Levamos a nossa rede wi-fi, Ruckus com autenticação Radius (rede educacional nacional EDUROAM), a todos e pusemos os usuários destas casas em LAN com a sede.
Com o projeto em andamento, nosso firewall, já obsoleto e em processo de licitação por um novo, resolveu parar. Morria e voltava de acordo com a sua própria vontade. Sem mais condição de licenciar (obsoleto e com licença encerrando em Janeiro) ou garantia e suporte, me pediram para testar o OPNsense como uma solução temporária, uma vez que a licitação de um novo equipamento, dificilmente seria concluída antes do segundo semestre do ano que vem. OK! Desafio aceito. Consegui 02 servidores dual processados Dell com 32GB de RAM e, aos percalços, implementei um firewall OPNsense com HA, tendo 8 interfaces GB no principal, Wireguard VPN para os OPNs das casas, 12VLANs, 02 links WAN em balanceamento de carga definidos em firewall, DMZ /23 com ip público RNP e os serviços: NetFlow (enviando logs para o servidor graylog, que são tratados para atender as exigências do marco civil), CrowdSec, monitoramento SNMP e Zabbix. O firewall ainda me possibilitou diminuir o número de estados gerados de cerca de 600mil para 200mil, sem prejuízo de regras e com um melhor desempenho que o antigo SonicWall.
Esta "carta" é pra expressar a gratidão inclusive com a comunidade, onde busquei artigos e orientações que me permitiram em menos de 6 meses, literalmente revolucionar a rede da universidade, levando a gestão a todos os prédios e melhorando o desempenho da nossa infraestrutura.
Obrigado!
PS.: Já me procuraram para criar um novo servidor VPN e já estou iniciando um novo OPNsense aqui para permitir aos servidores em trabalho remoto acessarem arquivos e dados na rede local. Atualmente eles precisam acessar CPU na rede para depois enviar os arquivos e etc. Faremos um com OpenVPN e autenticação radius LDAP (eduroam) e controle de endereçamento via Framed_IP_Address no radius.
Tudo bem pessoal?
Meu caso com o OPNsense é curioso e acho que vale a pena dividir com a comunidade.
Sou servidor público e assumi em setembro do ano de 2024 no cargo na rede de TI de uma universidade federal. Meu conhecimento com firewalls (já criei alguns com slackware, openbsd...) fez com que me pedissem para criar um para ser implementado nas casas (locais alugados pela universidade para complementar a infraestrutura) que não tinham comunicação com a nossa rede interna. A intenção era permitir que alguma política de rede fosse implementada e que substituíssemos os atuais roteadores (CISCO Ethernet) que não conseguiam passar de 100Mbps (os links eram de 500 a 600Mbps).
Iniciei tentando fazer isso em um linux. Com certeza ficaria estável, mas não tinha uma interface gerenciável e nada "user friendly" para outros da equipe. Então me lembrei do pfSense. Nas pesquisas sobre o mesmo, vi mais 3 ou 4 opções, inclusive o OPNsense. Decidi testar em VM para ver qual teria a melhor configuração para minha necessidade e ainda pudesse ser o famoso "user friendly". Resumindo... OPNsense foi implementado em 11 casas e tenho mais 2 PCs prontos para duas novas estruturas que estamos finalizando.
As possibilidades que o OPNsense nos trouxe, foram além de somente organizar os links. Implementei VPNs que permitiram monitorar toda a infraestrutura (Zabbix, SNMP, ICMP) presentes nas casas. Levamos a nossa rede wi-fi, Ruckus com autenticação Radius (rede educacional nacional EDUROAM), a todos e pusemos os usuários destas casas em LAN com a sede.
Com o projeto em andamento, nosso firewall, já obsoleto e em processo de licitação por um novo, resolveu parar. Morria e voltava de acordo com a sua própria vontade. Sem mais condição de licenciar (obsoleto e com licença encerrando em Janeiro) ou garantia e suporte, me pediram para testar o OPNsense como uma solução temporária, uma vez que a licitação de um novo equipamento, dificilmente seria concluída antes do segundo semestre do ano que vem. OK! Desafio aceito. Consegui 02 servidores dual processados Dell com 32GB de RAM e, aos percalços, implementei um firewall OPNsense com HA, tendo 8 interfaces GB no principal, Wireguard VPN para os OPNs das casas, 12VLANs, 02 links WAN em balanceamento de carga definidos em firewall, DMZ /23 com ip público RNP e os serviços: NetFlow (enviando logs para o servidor graylog, que são tratados para atender as exigências do marco civil), CrowdSec, monitoramento SNMP e Zabbix. O firewall ainda me possibilitou diminuir o número de estados gerados de cerca de 600mil para 200mil, sem prejuízo de regras e com um melhor desempenho que o antigo SonicWall.
Esta "carta" é pra expressar a gratidão inclusive com a comunidade, onde busquei artigos e orientações que me permitiram em menos de 6 meses, literalmente revolucionar a rede da universidade, levando a gestão a todos os prédios e melhorando o desempenho da nossa infraestrutura.
Obrigado!
PS.: Já me procuraram para criar um novo servidor VPN e já estou iniciando um novo OPNsense aqui para permitir aos servidores em trabalho remoto acessarem arquivos e dados na rede local. Atualmente eles precisam acessar CPU na rede para depois enviar os arquivos e etc. Faremos um com OpenVPN e autenticação radius LDAP (eduroam) e controle de endereçamento via Framed_IP_Address no radius.
