Hola soy nuevo en el uso del UT, tengo el siguiente esquema de red. mi salida de internet la tengo por medio de un router cisco (at&t) con ip publica, el cual se conecta a un switch de la DMZ de mi fw. Mi duda es pongo el UT entre el cisco y el sw de la dmz? y si es asi que ip le pongo a las interfaces del UT?

cisco>>>sw_dmz>>>fw>>usuarios
cisco>>>ut>>>sw_dmz>>>fw>>>usuarios

saludos y gracias

Podrías dibujar tu esquema de red un poco mejor? no entiendo si tu Firewall tiene un puerto WAN y otro DMZ o solo un puerto WAN y otro LAN y en la LAN tienes un Switch? la verdad estoy confundido. Gracias.

:D
JUANK antes que nada gracias por la ayuda, te envio el diagrama. Los puntos A y B es donde supongo debo de poner el UT, quiero ponerlo en modo bridge. para no afectar ningun ruteo ni politica en el firewall.

saludos

Mi respuesta depende de qué funciones quieres que Untangle desempeñe. Veo que ya tienes un firewall. Quieres reemplazar ese firewall por Untangle y usar las funciones de firewall en Untangle? qué funciones quieres que Untangle haga? Sabiendo lo que quieres, te puedo aconsejar donde ponerlo y como configurarlo.

Quiero usar las funciones de web filter y protocol control. Manteniendo mi firewall actual.

Quieres que el web filter y protocol control "controle" tu DMZ o solamente tu red interna?

Solo la red interna!!!

Entonces ponlo en el punto A de tu grafica. Donde tienes los switches?

El router 192.1.1.X es un switch router.
Al UT le pongo en modo de bridge la interface interna conectado hacia el switch router, y la externa hacia el fw con una ip del segmento 192.1.1.x , es correcto verdad?

Y si esto es correcto no debo de hacer ningun routeo dentro del UT para q reconozca los demas segmentos de redes (172.25.2.x, 172.25.1.x, 192.168.2.x, etc)?

Si vas a conectarlo en el punto que te recomendo JuanK considera colocar en la interface externa una ip dentro del rango de red que tengas declarado en el router que esta delante del firewall.

No es mi deseo polemizar con el Gran Maestro JuanK pero yo me inclinaria por conectarlo detras del router de la red interna ya que, si lo colocas entre el router (que tambien debe estar haciendo NAT o peor aun PAT) y el firewall y deseas utilizar en algun momento Policy Management se te va a dificultar individualizar a los usuarios.

Saludos

PD Esta respuesta la escribi antes que edites tu post donde hablas de evitar la diferenciacion de las subredes, aunque creo que sigue siendo valido.
Me pregunto, la asignacion de IPs de la red interna es fija o usas DHCP? Tienes alguna restriccion o necesidad imperiosa de utilizar clases tan dispersas?
Si el tema es mantener aisladas las subredes, no es mas simple, seguro y eficaz utilizar VLANs?

Gracias Crazyram, efectivamente el router que esta en le segmento 192.1.1.x esta haciendo vlans por ello es q tengo clases tan dispersas, es por ello que todas llegan a diferentes puertos del router y salen por un solo puerto, este puerto es el que va hacia el firewall.

Por ello no puedo poner el UT entre la "LAN´s" y el router. Y ciertamente en algun momento tendre q aplicar policy managenment. Por tal motivo y como pregunta de principiante no seria mejor poner el UT en el punto B. Donde solo tengo un cable que es la salida general de todas mis redes hacia internet.

saludos

Cuanto mas al edge (internet) te vayas con el untangle menos veras las ip's de tus usuarios ya que se iran convirtiendo en ip's de la red que tenga el lado externo del router.
Si vas a aplicar Policy Management necesitas que el UT "vea" las sesiones de tus usuarios gerenciados.
Cuando cruzas el router A tus redes de clientes son transladadas a la 192.1.1.X
o 192.1.X.X dependiendo de cuantas clases C dispongas de cada lado del router.

Dejas de ver las 192.168.X.X , 172.x.x.x , etc y todos tus direcciones pasan a ser 192.1.x.x

En el punto B pareces estar con la misma numeracion que A y pasado el router de borde pasa a ver todo como 200.94.x.x y probablemente las IPs del los servers en DMZ que, dicho sea de paso parecen ser IPs publicas.
Si es asi, de donde vienen? del mismo link que la 200.94.x.x y pasan transparente el router?

Si quieres resolver las cosas en una manera efectiva, reemplaza el firewall por el UT y realiza todas las traslaciones con el router del UT.
Hasta te diria que puedes reemplazar ambos routers y trabajar mucho mas eficientemente, teniendo un unico equipo para administrar lo cual significa menos dolores de cabeza.

Otra de las cosas que haria es reemplazar las "vlans" de layer 3 que generas con las multiples redes colocando switches que soporten al menos port vlan.

si el switch no soporta vlan cuando cualquiera de los equipos genera un mensaje de broadcast, este se derrama por todas las bocas de los switch y es escuchado por todos los equipos tal como si tuvieses hubs. Esto hace que toda tu red y tus equipos pierdan eficiencia y sean mas propensos a fallas, en especial los servidores que corren aplicaciones Windows.

Por ultimo, ten cuidado con la numeracion de las redes y trata de ajustarte a lo que marcan las recomendaciones internacionales en cuanto al tema.

Saludos

Gracias nuevamente.

El equipo swicht-router (192.1.1.x) tiene port vlan, no hace NAT, todo lo controlo mediante politicas del FIREWALL, ya que este firewall tiene varias interfaces. Que mas quisiera de eliminar alguno de los router pero por "cumplimiento" no me es posible. En esta semana hago mi primera prueba y si tengo algun problema los estare molestando.

Una ultima duda en la configuracion del UT no debo de hacer ninguna ruteo estatico, ya que el UT esta en Bridge verdad?

No es mi deseo polemizar con el Gran Maestro JuanK pero yo me inclinaria por conectarlo detras del router de la red interna ya que, si lo colocas entre el router (que tambien debe estar haciendo NAT o peor aun PAT) y el firewall y deseas utilizar en algun momento Policy Management se te va a dificultar individualizar a los usuarios.



Estoy Totalmente de acuerdo... ahora que tenemos muchos mas datos de tu caso, es más facil ayudarte.

Muchas gracias CRAZYRAM por tu colaboración.... A propósito? ya instalaron mi nuevo script para capturar más Spam?