GENERALIDADES

Nota. Esta implementación no está ya operativa.
Se tomó como base para una migración a OPNSense sobre Máquinas Virtuales en Proxmox VE.
Se deja solo como referencia.

Se requirió la ampliación y actualización de una estructura ya existente de firewall, dotándola de equipos actualizados y varias funcionalidades nuevas.

Algunas de las nuevas funcionalidades requeridas fueron:

  • Configuración activo/activo en lugar de activo/pasivo.
  • Agregar 2 enlaces de internet adicionales a los 2 ya existentes.
  • Disponer de contingencia para los servicios entrantes y no solo para los salientes.
  • Disponer de la posibilidad de manejar mayor número de conexiones en forma simultánea.
  • Permitir que las reglas de firewall se adapten a cambios de IP de los servers externos.
  • Brindar un servicio de proxy reverso en el firewall para compartir direcciones IP públicas entre sitios en distintos servers.

Alternativas

Se consideraron alternativas propietarias, así como continuar con la configuración basada en OpenBSD.
Por una indudable diferencia de costos, pero tambien porque varias de las configuraciones eran muy específicas y más sencillas de implementar, junto con la experiencia ya adquirida, es que se decidió seguir utilizando OpenBSD para la implementación.

Se dedicaron dos servidores específicos a esta configuración y se migraron muchas de las reglas de firewall ya existentes en forma directa y otras debieron modificadas, ya que hubo algunos cambios en la sintaxis respecto a versiones anteriores.

Para los servicios entrantes, que requieren un cambio de la dirección IP asociada a un determinado server, se usaron registros en un DNS dinámico (DynDNS) que el firewall actualiza en función de la disponibilidad del enlace de Internet normalmente usado para ese servicio.
Se usa el programa ifstated provisto en el sistema operativo para monitorear los vínculos de internet y en función del resultado se cambian las reglas de firewall y se actualizan los registros de DNS.

Como requisito adicional surgió la posiblidad de utilizar un enlace de Internet que está en el site de contingencia. Ya que los dos sites están conectados por enlaces privados, se decidió configurar una VPN en modo bridge usando OpenVPN. Esto permitió que una de las interfaces de los firewall productivos fuera la conexión de internet del site de contingencia.

Conclusión

Utilizando el filtrado de paquetes (pf) de un sistema operativo de código abierto como OpenBSD, más algunos scripts o programas adicionales es posible implementar un cluster de firewall, con variadas funcionalidades, sin costo de licencias de software, resultando una solución muy eficiente y versátil.