Dúvidas meo fibra + router Asus + PFSense: dúvidas nas ligações

[news_js]

Olá!

Atualmente, tenho a minha rede doméstica da seguinte forma:

• Router MEO FiberGateway Wi-Fi 6 com bridge ativado na porta 4 (telefones fixos ligados à ficha RJ11);
• A porta 4 FiberGateway Wi-Fi 6 liga à porta WAN de um router ASUS RT-AX58U;
• Uma das portas LAN do ASUS liga à porta WAN de outro ASUS RT-AX58U (os dois estão ligados em Mesh)

Tudo funcionou bem e chegava para mim até mudar de casa e ter domótica. Dessa domótica, os equipamentos que precisavam de ligação à Internet por wireless foram ligados a uma rede GUEST, que funciona como uma espécie de VLAN. O problema está em que tenho domótica que se liga por cabo ao router e neste tipo de equipamentos domésticos não há a funcionalidade de criar VLAN para LAN.

Então comprei um equipamento com PFsense, mas tenho duvidas sobre como o ligar. Não queria perder o software de proteção dos routers ASUS que me tem bloqueado muitos site maliciosos, usados por alguém cá de casa. Nas instruções que tenho encontrado sobre o PFSense utilizam-no sempre como Firewall e router. Nunca encontrei só para firewall.

O que será mais indicado:

PFsense como firewall e router + ASUS como APs

ou

PFsense como apenas firewall + ASUS como router?

Obrigado.

​

 

[At Work]

@news_js o pfSense é uma firewall. Qualquer firewall tem routing. Sem routing não tens inter VLAN -Routing, routing entre LANs, acesso à Internet, etc.

Deves manter o FGW em Bridge Mode. Ligas o cabo ethernet da porta 4 à WAN do pfSense.
De uma das interfaces LAN do pfSense ligas a um switch (preferencialmente com suporte a VLANs) e dessa forma fazes a segmentação da rede. Ou ligas aos routers Asus que já tens, sem tag a VLANs.

Outro pormenor, tanto esses Asus como o FGW têm uma firewall no seu Sistema Operativo.

Ao nível de segurança da rede, ficas mais bem servido com o pfSense do que com os Asus ou outro router do género. O pfSense devidamente configurado, ficas com uma NG-FW (Next-Generation Firewall). Podes ativar IDS/IPS, DNS Filter entre outras features.

Cumps

 

[news_js]

Obrigado. Para já, provisoriamente, ficou assim:.

Liquei a porta WAN do pfSense ao Meo FGW, em bridge;
Criei, no pfSense, uma VLAN para a domótica por cabo e liguei lá o respetivo cabo.
Nas regras da firewall do pfSense, impedi essa VLAN de comunicar com a rede local (o contrário é permitido), só acedendo à Internet.
No pfSense, abrir um porto para aceder a essa domótica fora da rede doméstica, via no-ip (estou a estudar alternativas ma seguras).
Liguei uma porta LAN do pfSense à porta WAN do router Asus e ficou tudo como estava antes. Posso assim aceder à firewall do Asus que me tem bloquedo muitos sites maliciosos.
Liguei a domótica por wireless à rede Guest wireless, isolada, do Asus.

Entretanto, estou a estudar melhores opções.

 

[At Work]

Liquei a porta WAN do pfSense ao Meo FGW, em bridge;
Criei, no pfSense, uma VLAN para a domótica por cabo e liguei lá o respetivo cabo.
Nas regras da firewall do pfSense, impedi essa VLAN de comunicar com a rede local (o contrário é permitido), só acedendo à Internet.

A VLAN onde estão os IoT devices não comunica outra rede / VLAN.
Também é boa prática desativar o acesso da rede IoT para Internet. Algumas firmware fazem (comunicam) coisas estranhas. Mas nada como ires monitorizando o tráfego outbound dessa rede.

No pfSense, abrir um porto para aceder a essa domótica fora da rede doméstica, via no-ip (estou a estudar alternativas ma seguras).

Não sugiro essa opção. Com o pfSense podes criar um VPN Server (OpenVPN, WireGuard, etc.). Só abres o porto do serviço VPN para a Internet, ficado só esse serviço exposto. Precisas de aceder a alguma coisa dentro da rede, é só ligares a VPN.

Liguei uma porta LAN do pfSense à porta WAN do router Asus e ficou tudo como estava antes. Posso assim aceder à firewall do Asus que me tem bloquedo muitos sites maliciosos.
Liguei a domótica por wireless à rede Guest wireless, isolada, do Asus.

Podes simplificar e centralizar tudo no pfSense. Assim gere a rede e ACL / Firewall Rulles num único sítio.

Entretanto, estou a estudar melhores opções.

Caso tenhas budget, uns APs com suporte a VLAN e vários SSID e consegues ter um maior controlo. Alternativamente, podes instalar OpenWRT nos Asus (caso suportem) e tornas esses router no que quiseres...

Cumps

 

[news_js]

A VLAN onde estão os IoT devices não comunica outra rede / VLAN.
Também é boa prática desativar o acesso da rede IoT para Internet. Algumas firmware fazem (comunicam) coisas estranhas. Mas nada como ires monitorizando o tráfego outbound dessa rede.

No que diz respeito à domótica, a firewall está configurada assim:

Ou seja, impedi o acesso à própria firewall, desde a rede da domótica, e impedi o acesso a redes privadas (permite o acesso a não(!) redes privadas). Removo estas regras? É que preciso aceder, via app do telemóvel. Foi para isso que abri o porto e o sistema criou automaticamente essa regra na parte da WAN.

Não sugiro essa opção. Com o pfSense podes criar um VPN Server (OpenVPN, WireGuard, etc.). Só abres o porto do serviço VPN para a Internet, ficado só esse serviço exposto. Precisas de aceder a alguma coisa dentro da rede, é só ligares a VPN.

Vou explorar essa possibilidade. Isso funciona através do telemóvel? Não tenho de contratar nenhum serviço adicional?

Podes simplificar e centralizar tudo no pfSense. Assim gere a rede e ACL / Firewall Rulles num único sítio.

Sim, quando souber utilizar o pfSense mais a fundo. Para já não quero perder a capacidade de filtragem de conteúdos do Asus, o AiProtection.

Caso tenhas budget, uns APs com suporte a VLAN e vários SSID e consegues ter um maior controlo. Alternativamente, podes instalar OpenWRT nos Asus (caso suportem) e tornas esses router no que quiseres...

Pois, o problema é que gastei uma pipa de massa com os routers Asus, pois não pensava em mudar de casa e ter de criai VLANs devido à domótica. Vou esperar que fiquem obsoletos e depois compro pontos de acesso com capacidade de VLAN.


Obrigado pelas dicas.

 

[news_js]

Depois de estar a experimentar, verifiquei que as regras que introduzi na firewall, interface da VLAN destinada à domótica, eram desnecessárias. Removi tudo. Assim, a VLAN da domótica não comunica com nada, a não ser o exterior pelo porto aberto na WAN (a LAN pode sempre aceder à domótica) Ao abrir o porto de acesso à domótica, o pfsense criou, na WAN, automaticamente a regra necessária.

As regras da firewall ficaram assim:

[Interface da WAN]

Apenas um porto está a ser aberto, permitindo aceder à domótica pela Internet. Mas o pfSense é manhoso. Quando criava a abertura de um único porto, a regra automática da firewall insistia em abrir uma carrada de portos. Só consegui que isso não acontecesse, criando um ALIAS para o porto. Depois, após pedir a abertura do porto, fazendo referência a esse ALIAS, a regra criada na firewall já incluia apenas um porto.

[Interface da VLAN da domótica]

Não acede a nada.

[Interface da LAN]

A LAN tem acesso a tudo, inclusive à VLAN da domótica.

 

[At Work]

No que diz respeito à domótica, a firewall está configurada assim:

Ou seja, impedi o acesso à própria firewall, desde a rede da domótica, e impedi o acesso a redes privadas (permite o acesso a não(!) redes privadas). Removo estas regras? É que preciso aceder, via app do telemóvel. Foi para isso que abri o porto e o sistema criou automaticamente essa regra na parte da WAN.

Com o ponto de exclamação "!" estás a negar tudo exceto as rede privadas (RCF 1918 - 10.0.0.0 /8 172.16.0.0 /12 192.168.0.0 /16), ou seja, qualquer rede consegue aceder à rede da domótica. É uma abordagem, contudo, quanto mais refinado melhor, se a tua LAN é por ex. 192.168.90.0 /24, criavas uma regra a permitir o tráfego com origem dessa rede.

Vou explorar essa possibilidade. Isso funciona através do telemóvel? Não tenho de contratar nenhum serviço adicional?

Sim, funciona através do telemóvel (iOS e Android) Windows, MacOS e Linux.

OpenVPN - https://openvpn.net/vpn-client/
WireGuard - https://www.wireguard.com/install/

Não tens que contratar rigorosamente nada. Ao tipo de serviço a que te referes, quando mencionaste "contratar um serviço adicional", é aos VPN Providers. Neste caso, tu vais criar / configurar um VPN Server no pfSense de modo a conseguires aceder à tua rede de qualquer parte do mundo ou rede externa.

Sim, quando souber utilizar o pfSense mais a fundo. Para já não quero perder a capacidade de filtragem de conteúdos do Asus, o AiProtection.

Dá uma vista de olhos:
https://www.spikefishsolutions.com/post/easy-web-filtering-with-pfsense

Não conhecia essa feature da Asus, e tendo a Trend Micro "associada", parece-me uma boa solução...

Pois, o problema é que gastei uma pipa de massa com os routers Asus, pois não pensava em mudar de casa e ter de criai VLANs devido à domótica. Vou esperar que fiquem obsoletos e depois compro pontos de acesso com capacidade de VLAN.

OpenWRT tem uma enorme compatibilidade com os mais diversos fabricantes.
https://openwrt.org/supported_devices

Com OpenWRT podes tornar as 5 portas do router num switch, criar VLANs e associar as VLANs a SSIDs.

Vais ter que ganhar mais know-how num OS mas, como se costuma dizer, sabedoria e conhecimento não ocupam lugar

Depois de estar a experimentar, verifiquei que as regras que introduzi na firewall, interface da VLAN destinada à domótica, eram desnecessárias. Removi tudo. Assim, a VLAN da domótica não comunica com nada, a não ser o exterior pelo porto aberto na WAN (a LAN pode sempre aceder à domótica) Ao abrir o porto de acesso à domótica, o pfsense criou, na WAN, automaticamente a regra necessária.

Por default, qualquer firewall bloqueia o tráfego outbound e inboud.
Assim isolas a rede de domótica. Podes ainda isolar os clientes dentro dessa rede, assim não falam uns com os outros. Opcional.

As regras da firewall ficaram assim:

[Interface da WAN]

Apenas um porto está a ser aberto, permitindo aceder à domótica pela Internet. Mas o pfSense é manhoso. Quando criava a abertura de um único porto, a regra automática da firewall insistia em abrir uma carrada de portos. Só consegui que isso não acontecesse, criando um ALIAS para o porto. Depois, após pedir a abertura do porto, fazendo referência a esse ALIAS, a regra criada na firewall já incluia apenas um porto.

Nunca tive problema similar com pfSense a abrir só um porto da WAN para algum IP das LANs. Algum bug...
Config ok.

[Interface da VLAN da domótica]

Não acede a nada.

Se não pretendes que comunique com nada, config ok.

[Interface da LAN]

A LAN tem acesso a tudo, inclusive à VLAN da domótica.

É isso, config ok.

Vai explorando e vendo o que é mais seguro e faz mais sentido para ti no que refere à segurança das redes.

Cumps