UniFi Security Gateway (USG): Conhecendo em Detalhes os Roteadores e Firewalls da Solução UniFi
Frequentemente o nome UniFi é associado apenas com APs Wi-Fi, já que os famosos “discos brancos” são extremamente populares no mercado corporativo desde seu lançamento em 2010. No entanto, é importante destacar que UniFi não é um produto, mas uma família completa de produtos que permite projetar qualquer Rede UniFicada com gerência centralizada via software, conforme explicado neste artigo.
O objetivo deste artigo é apresentar as principais características do roteador/firewall UniFi Security Gateway (USG), uma alternativa às caras soluções de firewall que existem no mercado decorrente do alto custo de licenciamento de software. O USG é gerenciado de maneira centralizada através da interface do UniFi Controller, um software gratuito, assim como ocorre com todos os demais dispositivos UniFi na infraestrutura de rede.
Além disso, o USG possui a função DPI que faz a inspeção detalhada dos pacotes, inclusive do tráfego criptografado via HTTPS, facilitando muito a administração e monitoramento detalhado de todos os acessos dos funcionários da empresa à Internet. É possível visualizar, por exemplo, a quantidade de acesso específico às principais redes sociais e/ou serviços de streaming de vídeo, todos organizados por categoria. Na figura abaixo é possível observar um exemplo de estatísticas de tráfego na interface do UniFi Controller através da função DPI do USG. Essa interface pode ser totalmente personalizada pelo administrador para trazer somente informação daquele perfil de tráfego de interesse da empresa, facilitando sua leitura no cotidiano.
Embora a função DPI seja o maior destaque do USG, há várias outras que são igualmente importantes e úteis:
- Análise Detalhada de Tráfego por Aplicação (DPI)
- Suporte a 2 Links de Internet (Load Balance e Failover)
- Compartilhamento da Conexão de Internet (SNAT)
- Redirecionamento de Portas na WAN1 (DNAT)
- Regras Avançadas de Firewall
- Servidor DHCP
- Roteamento inter-VLAN
- Redes Remotas via VPN Site-to-Site
- Auto-QoS (sem Customização)
O modelo USG é o roteador/firewall de entrada da família UniFi, sendo ideal para aqueles ambientes pequenos que possuem até 200 usuários. Ele possui 3 interfaces de rede 10/100/1000, sendo a WAN1 exclusiva para conexão com a Internet e a LAN1 exclusiva para conexão com a rede interna. Ao fazer a simples conexão dos cabos nessas portas, o equipamento automaticamente faz o roteamento para viabilizar a comunicação entre as duas redes, incluindo a tradução via NAT para compartilhamento da Internet com as máquinas da rede interna. Ainda existe uma terceira interface que pode ser utilizada para conectar outra rede local ou mesmo outro link de Internet para fins de disponibilidade ou balanceamento de carga (failover e load-balancing).
O USG-PRO-4 é o roteador/firewall com maior poder de processamento, ideal para ambientes maiores que possuem até 2.000 usuários. Ele possui 4 interfaces de rede 10/100/1000, sendo 2 LAN e 2 WAN. As duas interfaces WAN são combo RJ-45/SFP, ou seja, também é possível interligar os links externos via fibra óptica. As interfaces WAN são exclusivas para conexão de links de Internet, sendo que na interface gráfica do software UniFi Controller é possível configurar o uso “casado” dos links em modo failover ou load-balancing.
Observação: No modo failover o segundo link só é utilizado se o primeiro link cair, enquanto que no modo load-balancing ambos os links são utilizados para prover maior largura de banda.
Vale reforçar que em ambos o USG e USG-PRO-4, a simples ligação dos cabos nas portas LAN e WAN (Internet) é suficiente para provisionar automaticamente o equipamento com as configurações básicas de roteamento e tradução via NAT para fins de compartilhamento da Internet com as máquinas da rede interna.
Exemplo de Roteamento inter-VLAN no USG
Uma única interface física LAN pode ser utilizada para conectar múltiplas redes lógicas (VLANs) através de uma configuração muito comum em ambientes maiores que é denominada roteamento inter-VLAN.
Em outras soluções essa configuração é bastante complexa e requer dezenas de linhas de configuração, mas sua configuração no USG é extremamente simples através da interface web do software UniFi Controller. Na verdade, o roteamento inter-VLAN já vem habilitado por padrão no UniFi para todas as redes corporativas que são criadas através da opção:
> Settings
> Networks
> + Create New Network
Ou seja, a simples criação de múltiplas redes devidamente associadas com suas respectivas VLANs é suficiente para transformar a interface LAN em um trunk (encapsulamento 802.1q), de maneira que automaticamente são criadas as sub-interfaces lógicas de cada VLAN com o endereço de gateway informado em cada uma das redes. A figura abaixo exemplifica a configuração da VLAN de Marketing no cenário da figura acima.
Na sequência trazemos um vídeo tutorial com a explicação detalhada de como fazer a configuração de roteamento inter-VLAN no USG, originalmente publicado em nosso canal oficial UBNT-BR no YouTube.
Exemplo de VPN IPSec no USG
Outra configuração muito popular entre firewalls é o estabelecimento de Redes Virtuais Privativas (VPN) entre duas unidades remotas de uma empresa através da Internet pública. Mais uma vez essa configuração é bastante complexa em outras soluções, mas no USG é extremamente simples estabelecer uma VPN através de poucos cliques na interface web do software UniFi Controller.
Para criar uma VPN no UniFi Controller, basta acessar:
> Settings
> Networks
> Create New Network
> Site to Site VPN
Se os dois USG das unidades remotas forem gerenciados através da mesma controladora UniFi, estabelecer a VPN entre os dois sites apenas requer a seleção do site remoto na opção "Auto IPSec VTI" e… pronto! ;-)
Repare que o simples "clique" informando o site remoto na interface do UniFi Controller já faz automaticamente as seguintes configurações:
- configuração do IP WAN em cada lado do túnel
- adiciona uma rota para a rede remota de cada site
- cria uma interface VTI da VPN em cada USG
- dinamicamente monitora mudanças no IP WAN
- gera aleatoriamente uma chave forte na VPN dos USGs
Observação: Para essa configuração funcionar é fundamental que os USG das duas unidades remotas sejam os roteadores de borda e tenham um IP público que seja válido na Internet, ou seja, os USG não podem estar atrás de NAT.
Se os dois USG das unidades remotas forem gerenciados por diferentes controladoras UniFi, também é possível configurar uma VPN Site-to-Site entre eles sem muita dificuldade. Neste caso será necessário fornecer manualmente as informações do site remoto em cada uma das controladoras responsáveis por cada USG, através da opção "Manual IPSec", conforme tela abaixo:
Repare na tela acima que a configuração manual da VPN IPSec também é muito simples através da interface do UniFi Controller, requerendo apenas a inserção das seguintes informações:
- habilitar a VPN
- informar as sub-redes remotas
- informar o IP WAN do ponto remoto
- informar o IP WAN do ponto local
- definir uma chave pré-compartilhada
- opcionalmente, configurações avançadas
Além disso, também é possível estabelecer uma VPN Site-to-Site com sites remotos que utilizem equipamentos de outros fabricantes, desde que haja suporte ao protocolo IPSec - um padrão da indústria. Nesse caso o procedimento é o mesmo do exemplo anterior de configuração manual, ou seja, basta fornecer as informações do site remoto na controladora responsável pelo provisionamento do USG.
Com o USG fica muito fácil configurar um roteador!
Central de Ajuda da UBIQUITI
- USG Adoption: How to Adopt a USG
- USG Firewall: Introduction to Firewall Rules
- USG Firewall: How to Disable inter-VLAN Routing
- USG PF: Port Forwarding Configuration and Troubleshooting
- USG VPN: How to Configure Site-to-Site VPN
- USG VPN: Verifying and Troubleshooting IPSec VPN on USG
- USG Addressing: How to Implement IPv6 with DHCPv6 and PD
- USG Advanced: Advanced Configuration
- USG Advanced: Policy-Based Routing
Loja Oficial Ubiquiti BR
br.store.ui.comGrupo UniFi Facebook
fb.com/groups/ubnt.unifi.brGrupo UniFi LinkedIN
linkedin.com/groups/12135007Fórum Oficial Ubiquiti
forum-pt.ui.com
Samuel Henrique Bucke Brito
samuel.brito@ui.com
Ubiquiti Inc.