Que tal, aqui de nuevo con toda la banda. Me toco un proyecto de un cliente, esta novela inicio asi, me hablo para pedirme si podia abrir el puerto 80 en su red para que sus vendedores que andan en la calle, pudieran accesar desde cualquier parte de la ciudad con su tableta con chip de telefonia movil a su ERP y cargar nuevas ventas.
El ERP que maneja se puede accesar desde su GUI o atraves de una navegador ya que esta montado sobre IIS de Windows, el equipo es un Windows 10 escuchando peticiones en el puerto 80, entonces los de soporte del su ERP le pidieron eso, abre el puerto 80 y listo.
Aqui es donde uno inicia su trabajo, educando a los clientes. Cuando me comento al respecto yo le dije, que no era conveniente y le explique las razones.
Y aparte le propuse una solucion, ya que ellos solo tenian el modem de su ISP, un proveedor residencial con fibra optica, de entrada iba a ser mas complicado trabajar con esos modems, ya que tienen limitado sus herramientas.
Fue cuando le propuse que era mas conveniente levantar una VPN, de esta manera tendria una comunicacion mas segura que solo abrir el puerto 80, le explique los pros y contras de esta propuesta vs su original peticion.
Entendieron que era mejor levantar la VPN como se los proponia.
Ahora me tocaba a mi hacer mi parte, basado en la red que ellos manejan la cual es:
- 5 estaciones Windows 10 en la red.
- 6 smartphones y puede que mas ya saben como son.
- 2 Impresoras en red.
- 4 Tabletas con chip movil para acceder via VPN.
Revisando PfSense, el modelo SG-1100 era el mas adecuando, como el proveedor si permite poner sus equipos en modo puente, ya era ventaja para mi, el cliente contaba con 2 servicios.
El modelo SG-1100 sin problema esta dando el servicio a esta red, solo tuve un inconveniente lo cual es bueno saber ya que si leemos sus caracteristicas:
Para la cantidad de peticiones que esta red mueve tanto dentro en la LAN como en la WAN no hay problema, el problema viene como cuando deseaba agregarles una capa extra de seguridad con PfBlockerNG.
SG-1100 No Apto para PfBlockerNG.
PfBlockerNG es una excelente herramienta tipo PiHole que trabaja a nivel de DNS asi que es muy dificil logren saltarse algun dominio en su lista, el trabaja usando el metodo basico, host – IP, por ello el pide alimentarlo con listas de dominios que deseamos no sean accesibles a los usuarios.
Es rapido, eficiente, pero tiene un pequeño requisitio, el equipo debe tener memoria de sobra, lo cual el modelo SG-1100 carece y no se le puede agregar mas.
Por ello es eficiente PfBlockerNG por que carga todo a memoria y sabemos que es mas rapida la RAM que el disco duro. Esto si deberian mencionarlo en Netgate, ya que en la pagina oficial mencionan todo el software que puedes instalar con PfSense, pero no dicen si el equipo es apto.
Al final decidi no incluir PfBlockerNG, asi que el GUI quedo como muestro a continuacion.
Solo tengo estos paquetes instalados.
Ahora, arriba puse la cantidad de equipo en teoria, pero veamos lo nos dice Darkstat.
Como se puede ver son un poco mas y el equipo soporta esa carga sin problemas, el CPU no se estresa.
Veamos el consumo de OpenVPN.
Podemos observar que realmente no es mucho el consumo que llevan a cabo con las tabletas, ya que es trafico http y los registros de los vendedores llevan pocos campos.
Balanceo de Carga.
Ya como ultimo, el cliente decidio agregar una pipa mas para tener una balanceo de carga, como sugerencia mia ya tenian una conexion extra sin usar.
SG-1100 sin problema balanceando WAN’s.
Resumen.
Para esta red el modelo SG-1100 esta adecuado, solo recuerden que si tiene un proyecto donde requieran aplicaciones que requieran uso de memoria como PfBlockerNG, Squid y otras mas van a sufrir o de plano no van a ejecutarse, para algo similar a esta cliente sin problema les ayudara, una gran ventaja es su tamaño y sobre todo bajo consumo de energia y cuenta con 3 interfaces de red.
Nos vemos pronto banda!!!
Pedro El Pheriko Moreno 