Cascateando roteadores pfSense + UDM Pro para trabalharem juntos

Unifi Dream Machine Pro (também conhecido como UDM Pro) é um bom aparelho para atuar como Controlador Unifi para seus pontos de acesso Wi-Fi (APs), enquanto também oferece um switch gerenciado de 8 portas usando baixa potência, ruído e calor. É um roteador médio, e um péssimo aparelho de segurança (espero que eles melhorem muito nesta área). É aqui que o pfSense entra em jogo. Neste post, vou configurar um roteador pfSense e UDM Pro em cascata. O pfSense estará na ponta da Internet, cuidando da segurança e servidores VPN. O UDM Pro, por sua vez, atuará como roteador LAN, sendo protegido pelo pfSense e fazendo uma boa integração com todos os dispositivos Unifi.

AVISO Este post foi traduzido automaticamente via software e revisado nas coxas por mim. É possível que as descrições textuais sejam diferentes das interfaces gráficas. Além disso, algumas capturas de tela podem estar em inglês enquanto as instruções em português. Recomendo muita hora nessa calma e fazer as adaptações necessárias

Começando

A maneira mais fácil de começar é fazer uma configuração básica em cada aparelho separadamente. Conecte o cabo de Internet na porta WAN do pfSense e seu computador na porta LAN do pfSense (por exemplo, OPT1). Cada dispositivo pfSense tem configurações de número de portas diferentes e não cobrirei a configuração delas nesse post, mas certifique-se de configurar pelo menos uma porta WAN e uma porta LAN. Se o seu pfSense tem várias portas, como o Netgate SG-2440 (4 portas), você pode criar um WAN e três LAN para uso futuro.

Uma vez que o seu pfSense esteja funcionando e você tenha acesso à Internet através dele, substitua o pfSense pelo UDM Pro e faça uma configuração básica dele, que não vou cobrir neste post também.

Agora ambos os dispositivos estão funcionando individualmente e podemos configurá-los para trabalhar juntos!

Para este post, a seguinte convenção será utilizada:

Nome de domínio: lan.domain.com
pfSense
- Nome do host: pfsense.lan.domain.com
- IP: 10.0.0.1
UDM-Pro
- Nome: udmpro.lan.domain.com
- IP:
  - 192.168.1.1 (porta LAN)
  - 10.0.0.2 (porta WAN)
NAS Synology:
- Nome: synology.lan.domain.com
- IP: 192.168.1.5

Conexão física

Eu poderia conectar o cabo de Internet na porta WAN do pfSense e, em seguida, conectar a porta LAN do meu pfSense em qualquer porta LAN do UDM Pro para evitar muitos dos obstáculos que vamos discutir. Eu não fiz isso porque isso também acabaria com a funcionalidade de roteador do UDM Pro e muitos recursos de gerenciamento. Outra abordagem seria colocar o UDM Pro no modo bridge, mas eu não fiz porque o UDM Pro não implementa o modo ponte e, mesmo se implementasse, isso também acabaria com a funcionalidade de roteamento. Uma terceira abordagem que eu não queria era desativar o servidor DHCP no UDM-Pro e colocá-lo em uma rede DMZ no pfSense porque resultaria em matar a funcionalidade do roteador do Unifi também.

Em vez disso, conectei o fio da Internet do meu provedor de internet ao meu porta WAN do pfSense. Em seguida, conectei a porta LAN do pfSense (por exemplo OPT1) na porta WAN do UDM Pro. Com isso, criei duas redes separadas: a rede pfSense (por exemplo. 10.0.0.x/24 a partir de agora) e a rede UDM Pro (por exemplo, 192.168.1.x/24 a partir de agora). Esta configuração é conhecida como roteadores encadeados, em cascata (ou daisy chain). O problema mais desafiador nesta configuração é o NAT duplo que pode causar problemas de conectividade em vários cenários. O Plug and Play Universal (UPnP) e o encaminhamento de portas são exemplos de problemas de conectividade.

A solução para os problemas com o NAT duplo, com uPnP e o encaminhamento da porta é a mesma: fazer um encaminhamento de porta manual do roteador interno para o roteador externo. Em português simples, isso significa criar uma regra de encaminhamento da porta UDM-Pro para o pfSense, de modo que permita que o pfSense e seus dispositivos se conectem a dispositivos atrás do UDM-Pro. Se você quiser que os dispositivos da Internet se conectem a dispositivos atrás do UDM-Pro, então outra porta encaminhando da porta LAN do seu pfSense para a porta WAN. Por exemplo, se você estiver na escola e quiser se conectar através do SSH (porta 22) ao seu laptop atrás do UDM-Pro em casa, você terá que criar uma regra de encaminhamento de porta na sua porta UDM-Pro expondo a porta 22 do seu laptop (digamos 192.168.1.50) para a porta 22 do seu UDM-Pro. Neste ponto, dispositivos conectados ao seu pfSense seriam capazes de se conectar via SSH ao seu laptop. Em seguida, para permitir a conexão a partir da internet, em seu pfSense você também cria uma regra de encaminhamento de porta permitindo que a porta 22 do seu pfSense se conecte ao seu laptop na porta 22 também. Algo como:
you_on_Internet -> pfSense:22 -> UDM-Pro:22 -> laptop:22

Uma consequência interessante dos roteadores de corrente de margarida é que, embora o roteador externo (pfSense) não conheça a rede do roteador interno (UDM-Pro), o oposto não é verdade. Isso significa que os dispositivos conectados ao roteador UDM-Pro têm acesso à rede do pfSense.

Configuração do servidor NTP no pfSense

É uma boa ideia ter um servidor NTP em execução em sua rede para permitir que todos os dispositivos sincronizem seu tempo. Vá para a página de Configurações >> NTP para começar. Na lista de Interface, certifique-se de que todas as suas interfaces LAN, VPN Server ou possivelmente WAN que você deseja cumprir tempo sejam selecionadas (ou deixe tudo em branco para servir todas). Adicione 0.pfsense.pool.ntp.org, 1.pfsense.pool.ntp.org, 2.pfsense.pool.ntp.org e 3.pfsense.pool.ntp.org à lista de Servidores de Tempo com a opção de pool selecionada e termine a configuração clicando em Salvar.

Configuração do Servidor DHCP no pfSense

Vamos personalizar a configuração do servidor DHCP para adicionar a configuração de servidores NTP e DNS, bem como um Nome de Domínio que também será usado nas configurações do servidor UDM-Pro DHCP.

Vá para Serviços >> Servidor DHCP para cada interface LAN faça o seguinte:

Servidores

Servidores DNS: 10.0.0.1

Outras opções

Nome de domínio: lan.domain.com
Este domínio deve corresponder ao seu nome de domínio no UDM-Pro)
Servidor NTP 1: 10.0.0.1

Clique em Salvar para terminar. A partir de agora, o Servidor DHCP enviará servidor NTP/DNS e o nome de domínio para os clientes, juntamente com a locação de IP.

Configuração do servidor NTP no UDM-Pro

Em nossa configuração colapsada, configuraremos o UDM-Pro para usar o pfSense como o Servidor NTP. No aplicativo Rede , vá para Configurações >> Configurações da Rede >> página Localização & Tempo e faça o seguinte:

Na seção Timezone & Location , defina fuso horário e país ou território em conformidade.

Na seção NTP (Network Time Protocol, protocolo de tempo de rede), defina seu IP pfSense como o nome de host do servidor NTP e finalize clicando em Aplicar alterações.

Configuração do servidor DHCP no UDM-Pro

Da mesma forma que a configuração do servidor PFSense DHCP, precisaremos configurar o UDM-Pro para distribuir o servidor NTP e DNS e o nome de domínio junto com as locações IP. Vá para o aplicativo Rede, em seguida, Configurações >> Redes >> Redes locais e clique em Editar em cada LAN e fazer o seguinte:

Geral

Nome de domínio: lan.domain.com

Controles DHCP

Servidor DNS do DHCP: 192.168.1.1
Este é o IP do UDM-Pro, que por sua vez usa o servidor pfSense DNS

Controles DHCP >> opções avançadas de DHCP

Servidor NTP do DHCP: 192.168.1.1
Este é o IP do UDM-Pro, que por sua vez usa o servidor pfSense NTP

Quando você clica em Aplicar alterações, futuras locações também distribuirão essas configurações adicionais.

Reserve um IP estático da rede pfSense para o UDM Pro

Agora que o UDM Pro está fisicamente conectado à porta LAN pfSense e seu servidor DHCP está devidamente configurado, seu UDM-Pro receberá um IP dele. Reservaremos um IP estático para o UDM Pro para facilitar futuras integrações entre os dois aparelhos. Para fazer isso, precisamos do endereço UDM Pro MAC. No UDM Pro, vá para Rede >> Dispositivos e clique na sua entrada do UDM Pro na lista. Na seção Visão Geral, anote o campo de Endereços MAC.

Para criar a reserva, faça login na sua página pfSense e vá para Serviços >> Servidor DHCP. Para sua interface LAN, role até a parte inferior da página até chegar aos Mapeamentos Estáticos DHCP para esta seção Interface. Clique em Adicionar e preencha o Endereço MAC apropriado. Você também pode preencher o Identificador do cliente e hostname com o nome da Unifi. No Endereço IP você coloca o IP estático do seu UDM Pro (por exemplo, 10.0.0.2) e termina o processo clicando em Salvar. Esta alteração não é realizada imediatamente, mas você pode forçá-la desconectando e reconectando a porta WAN do seu UDM Pro ou reiniciando-a. Após a reconexão, seu UDM Pro sempre receberá o mesmo IP.

Permitindo SSH do pfSense para UDM Pro

Por padrão, o UDM Pro bloqueia conexões recebidas da porta da Internet, especialmente para serviços como o SSH. Em nossa configuração, queremos habilitar o SSH no UDM-Pro WAN para permitir uma integração apertada com o pfSense, como a transferência de certificados Let’s Encrypt emitidos pelo pfSense para o UDM-Pro. Normalmente essa seria uma péssima ideia, mas lembre-se que o porto WAN do UDM Pro não está exposto à internet, mas sim para a porta local do pfSense.

No seu UDM Pro, faça login e clique no aplicativo Rede. Vá para Configurações >> Firewall >> Segurança da Internet e clique em WAN na guia Regras. Clique em Criar nova regra e faça o seguinte:

Na seção Geral

Tipo de alteração para WAN Local
Descrição: digite algo como Permitir SSH da WAN local
Certifique-se de que a regra está ativada
Regra aplicada: Antes das regras predefinidas
Ação: Permitir
Protocolo IPv4: TCP

Na seção Fonte

Tipo de origem: Endereço IP
Endereço IPv4: <pfSense endereço> (por exemplo, 10.0.0.1)
Porta: Em branco

Na seção Destino

Tipo de destino: Endereço IP
Endereço IPv4: <UDM Pro endereço da rede pfSense> (por exemplo, 10.0.0.2)
Porto: 22

Clique em Aplicar na parte inferior da página. Agora você deve ser capaz de executar algo como ssh root@<UDM Pro ip> do pfSense e conectar-se ao seu UDM Pro.

Note que usamos o UDM Pro IP como 10.0.0.2 em vez de 192.168.1.1. Isso foi intencional, pois o pfSense realmente não conhece a rede 192.168.1.x e o único IP que sabe conectar ao UDM Pro é o atribuído pelo próprio pfSense em sua rede 10.0.0.0.x.

Adicionando pontos de acesso Unifi

No início, comecei simples e adicionei o Unifi AP diretamente em uma das oito portas UDM-Pro LAN. Esta é a maneira mais simples de fazer o Wi-Fi funcionar, já que o Controlador Unifi e o AP estão na mesma rede e o processo de configuração é simples. Primeiro você adota o novo dispositivo (AP) na Interface web do controlador inserindo no aplicativo Rede, clicando em Dispositivos e apertando o botão Adotar para o AP recém listado. Em seguida, você navega para Configurações >> Wi-Fi >> Redes Wi-Fi e pressione Criar nova rede Wi-Fi. Um assistente será apresentado e se você escolher Criar Wi-Fi Básico, tudo o que você precisa fazer é escolher um nome para o Wi-Fi e senha.

No futuro, talvez precisemos revisitar essa topologia se quisermos, por exemplo, criar diferentes redes Wi-Fi, cada uma das quais podendo sair para a Internet usando diferentes gateways. Por enquanto, vamos aproveitar a simplicidade proporcionada pela Unifi 🙂