[ Introducció ] [
Cas-Estudi
] [ Instal·lació ] [ Configuració base ] [ Àlies ] [ NAT
] [ Regles ] [ DNS ] [ DHCP
] [ Cabal ] [ OpenVPN
] [ Portal ]
[ OpenVPN sense DHCP ] [ spamd
]
Preparatius
Hardware utilitzat
Descàrrega de pfSense
Descàrrega de physdiskwrite
Enregistrament de la CompactFlash
Configuració inicial de
pfSense
Abans de la implantació definitiva de pfSense s'han hagut de fer els següents canvis a la xarxa:
Dividir el cablejat existent en sis xarxes físiques. Això s'ha fet passant alguns cables més de l'armari secundari a l'armari primari, instal·lant més concentradors (switch) en ambdós armaris i canviant el connexionat d'equips dins dels armaris. No hi ha més de dos concentradors encadenats (tal com estava abans de fer els canvis).
Adoptar DHCP a tots els ordinadors clients. Això s'ha fet activant provisionalment DHCP en un dels routers ADSL.
Canviar tots els processos de comandes (arxius BAT i CMD en Windows, scripts de shell a màquines Unix/Linux) que facin servir adreces IP locals, posant-hi el seu corresponent nom de màquina.
Canviar tots els ports d'impressora que estaven per adreça IP local, posant-hi el seu corresponent nom de màquina.
Assegurar-se que el DNS local resolt correctament tots els noms de màquina.
Assegurar-se que l'arxiu hosts de les màquines només conté la línia: 127.0.0.1 localhost. És a dir, que no se'l fa servir per resoldre cap nom de màquina, llevat de localhost.
Canviar la configuració proxy dels navegadors d'Internet, posant-hi la configuració automàtica http://www.domini.exemple/proxy.pac.
Deshabilitar l'accés sensefils a totes les impressores que tenen aquesta funcionalitat, deixant només l'accés per xarxa cablada.
Es tracta d'un miniPC de FabiaTech, model FX5620. L'aparell té 5 ports Ethernet de 100 Mbit/s i un sisè de 1 Gbit/s. Pot incorporar un disc dur de 2,5" (els que porten els portàtils) i una Compact Flash (que actua com a disc dur). Es va adquirir a la Gran Bretanya, http://linitx.com/product_info.php?cPath=4&products_id=909. Demanat el diumenge al vespre (pagament amb tarja de crèdit) i el dimarts al matí ja arribava ... Es va comprar també una tarja Compact Flash Kingston, de 512 MByte, a un proveïdor local. |
|
25-juny-2009 No adquiriu el model FX5621. Només funciona correctament si es deshabilita la primera boca de 1 Gbit/s (NIC número 5 a la BIOS): forum.pfsense.org/index.php/topic,17116.0.html |
Es pot anar a la web oficial www.pfsense.org, però hi ha altres repositoris amb configuracions ajustades.
Així, a http://shopping.hacom.net/catalog/pub/pfsense es troben versions preparades segons la unitat que reconeix pfSense per a la Compact Flash i segons el seu tamany.
Hi ha dos tipus d'imatges de pfSense:
Darreres imatges oficials de pfSense (versió oficial amb tots els pedaços que hagin sortit):
Imatges no-oficials de Hacom: Hacom és una empresa californiana que ofereix diferents tipus de tallafocs, la majoria d'ells basats en miniPC amb tarja Compact Flash. Les imatges Embedded a http://shopping.hacom.net/catalog/pub/pfsense es diferencien de les oficials per:
|
FX5620 amb pfSense ens reconeixarà la Compact Flash com la unitat ad2 (tercer disc ATA a FreeBSD).
En un dels nostres servidors FreeBSD hem fet:
mkdir pfSense
cd pfSense
vi fetch.sh
#!/bin/sh
fetch
http://shopping.hacom.net/catalog/pub/pfsense/pfSense-1.0.1-512-ad2.img.gz.md5
fetch http://shopping.hacom.net/catalog/pub/pfsense/pfSense-1.0.1-512-ad2.img.gz
chmod +x fetch.sh
./fetch.sh
Nota: M'agrada tenir un script anomenat fetch.sh desat perquè així sé d'on he tret els arxius baixats ...
Comprovem la signatura de l'arxiu:
md5 pfSense-1.0.1-512-ad2.img.gz
cat pfSense-1.0.1-512-ad2.img.gz.md5
Passarem l'aplicació a una màquina multimèdia amb Windows XP que té un frontal per inserir tota mena de targes de memòria, a fi de poder enregistrar la Compact Flash.
Com que tenim Samba/CIFS en el servidor, copiem els arxius del servidor des la màquina Windows, per exemple, a una carpeta D:\CompactFlash
Nota: Si es baixen els arxius a través de Windows, per comprovar signatures es pot fer servir fsum: http://www.download.com/Fsum/3000-2248_4-10127195.html Per exemple, es pot fer un arxiu comprova.bat que faci el següent: fsum -jm *.gz |
physdiskwrite és una petita utilitat que permet escriure imatges de disc. Se la pot trobar a:
http://m0n0.ch/wall/physdiskwrite.php
La descarreguem a D:\CompactFlash i descomprimim l'arxiu ZIP per obtenir l'EXE.
Enregistrament de la CompactFlash
Aneu a [Inicia] [Executa ...] i executeu cmd (intèrpret de comandes MS-DOS)
d:
cd /compactflash
Executeu:
physdiskwrite.exe pfSense-1.0.1-512-ad2.img.gz
Obtindreu una resposta similar a:
Searching for physical
drives ...
Information for \\.\PhysicalDrive0:
...
...
Wich disk do you want to write <0..0>?
Cancel·leu l'execució amb Ctl+C
Amb això heu vist quins discos físics té la vostra màquina.
Inseriu ara la Compact Flash i torneu a executar:
physdiskwrite.exe pfSense-1.0.1-512-ad2.img.gz
Veureu que us detecta un disc físic més i canvia la pregunta final:
Wich disk do you want to write <0..2>?
Indiqueu doncs el número de disc físic per a la CompactFlash (en el meu cas el 2).
El procés d'enregistrament comença i n'hi ha per una
estona (mitja hora aproximadament).
Quan acabi, recordeu fer el procés de desconnexió
segura del dispositiu Compact Flash abans d'extreu-la de la seva ranura !!!
En moltes consoles de comandes (Windows XP inclòs) escriure els primers caràcters dels arxius i prémer el tabulador serveix perquè aparegui en pantalla el nom de l'arxiu complet. Això evita picar moltes tecles. |
En el meu cas he
creat un arxiu de comandes anomenat som-hi.bat
que conté l'ordre physdiskwrite.exe pfSense-1.0.1-512-da0.img.gz |
physdiskwrite controla automàticament que no es puguin escriure discos de més de 2 GByte. D'aquesta manera evita les confusions entre el disc dur i la Compact Flash. |
Configuració inicial de pfSense
Un cop instal·lada la Compact Flash dins del FX5620 (amb l'aparell sense alimentació) l'engeguem amb un monitor, teclat i cable de xarxa connectats. El cable de xarxa el posarem a ETH6 (interfície a 1 Gbit/s i que pfSense reconeix com a re0).
Un cop engegat el sistema, heu d'indicar (a la pantalla) com a mínim la LAN i la WAN:
Do you want to set up
VLANs now [y|n]? n
Enter the LAN interface name or 'a' for
auto-detection: re0
Enter the WAN interface name or 'a' for
auto-detection: rl0
Enter the
Optional 1 interface name or 'a' for auto-detection
(or nothing is finished): _
I confirmar l'operació:
LAN -> re0
WAN -> rl0
Do you want to proceed [y|n]? y
El sistema carrega la seva configuració per defecte i presenta al final la indicació de que la LAN és 192.168.1.1 i el seu menú de consola.
Seleccioneu l'opció 2)Set LAN IP address de la consola per canviar de 192.168.1.1 a 192.168.XXX.1
Enter the new LAN IP
address: 192.168.XXX.1
Subnet masks are entered as bit counts (as in CIDR
notation) in pfSense.
e.g. 255.255.255.0 = 24
255.255.0.0 = 16
255.0.0.0 = 8
Enter the new LAN subnet bit count: 24
Do you want to enable the DHCP server on LAN [y|n]?
n
Confirmeu i s'us informarà de la nova adreça.
A partir d'aquí, normalment farem servir el configurador web, anant a http://192.168.XXX.1
L'accés directe a la consola del tallafocs té la pega d'estar configurat amb el teclat anglès. En cas de voler accedir al tallafocs via consola sempre serà més còmode fer-ho per SSH. Aquest accés sí que ens reconeixerà el nostre teclat (emprant, per exemple, el client PuTTY). A [ Configuració base ] explico com activar l'accés per SSH.
Autor: Josep Pujadas i Jubany
© 2006-2007. Tots els drets reservats