Tutto è compiuto (o quasi)

Ebbene sì, alla fine il momento è giunto. Finalmente mando in pensione il firewall pfSense (installato su una PC Engines APU 1d4) e lo sostituisco con la RouterBoard Mikrotik RB2011UiAS-RM comprata a Natale e rimasta inutilizzata per diversi mesi. Il motivo dell’iniziale inutilizzo era dovuto alla mia totale ignoranza di questa nuova piattaforma, sulla carta estremamente versatile e ricca di funzionalità, ma non proprio semplice da configurare e gestire. Dopo alcuni tentativi con l’interfaccia web (chiamata fantasiosamente WebFig), ho iniziato a studiarmi la sintassi della command line e devo dire che, con un po’ di pratica, mi è diventata abbastanza familiare e oserei dire intuitiva.

Per complicarmi la vita, a casa ho due diversi provider di connessione internet, uno VDSL su fibra 100Mbps e l’altro WDSL a 7Mbps con indirizzo IP statico. Inizialmente il firewall pfSense era connesso ad entrambe le linee, ma il load-balancing/failover non era molto “smart” e, anzi, andava spesso nel pallone in caso di fault di una delle due linee. Per questo motivo ho aggiunto un secondo router/firewall (una PC Engines Alix 2d13) con Zeroshell per gestire la connessione a 7Mbps. Quindi avevo due apparati diversi per gestire le due connessioni, senza alcun meccanismo di load-balancing o failover automatizzato. L’obiettivo che volevo raggiungere con la nuova RouterBoard era quello di riunificare la gestione delle due linee DSL su un unico dispositivo in grado di fare il balancing e il failover secondo le mie esigenze.

Questa è la topologia (semplificata) della mia rete casalinga:

Come funziona? Tutte le connessioni in uscita dalle reti locali (LAN, Untrusted e DMZ) escono per default sulla connessione in fibra a 100 mega. In caso di fault di questa connessione, tutto il traffico in uscita passa per la connessione WDSL più lenta. Questo risultato si ottiene semplicemente tramite due rotte statiche di default (0.0.0.0/0) usando distanze amministrative differenti.

/ip route print

2 A S 0.0.0.0/0 tim-pppoe 1
3 S 0.0.0.0/0 innet-pppoe 2

Per contro, le connessioni in ingresso sulla linea WDSL (che ha indirizzo IP statico e quindi mi permette di avere dei server raggiungibili dall’esterno) vengono “marcate” affinché le risposte dei server in DMZ non seguano le regole di routing predefinite ma escano sempre dalla linea sulla quale sono state ricevute le richieste, ovvero la WDSL. Riuscire a configurare questo comportamento non è stato immediato, ma la documentazione presente sul sito Mikrotik (si veda la pagina relativa al per-connection-classifier) nonché le spiegazioni sul sito Manito Networks mi hanno dato una grossa mano. A proposito della guida presente su Manito Networks, però, bisogna osservare che il PCC è applicato solo alle connessioni in ingresso destinate al router stesso (ad esempio quando questo funge da teminatore VPN), e non per gestire le connessioni nattate verso un server interno.

Cosa si fa adesso che posso dismettere il firewall pfSense e mi ritrovo un dispositivo libero? L’APU 1d4 è sicuramente più idoneo ad essere usato come apparato di rete che come server, dato che non ha nessuna uscita grafica ma solo la console seriale, tuttavia l’ho già usato in passato come server con CentOS e perfino con VMware ESXi. La mia idea è quello di farlo diventare una sorta di SIEM, usando CentOS come sistema operativo, Graylog come syslog e analizzatore/correlatore di log e magari anche SNORT o Suricata come IDS/IPS.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *