Tutorial sobre pfSense. Instal·lació.

[ Introducció ] [ Cas-Estudi ] [ Instal·lació ] [ Configuració base ] [ Àlies ] [ NAT ] [ Regles ] [ DNS ] [ DHCP ] [ Cabal ] [ OpenVPN ] [ Portal ]
[ OpenVPN sense DHCP ] [ spamd ]

Instal·lació

Preparatius
Hardware utilitzat
Descàrrega de pfSense
Descàrrega de physdiskwrite
Enregistrament de la CompactFlash
Configuració inicial de pfSense

Preparatius

Abans de la implantació definitiva de pfSense s'han hagut de fer els següents canvis a la xarxa:

Dividir el cablejat existent en sis xarxes físiques. Això s'ha fet passant alguns cables més de l'armari secundari a l'armari primari, instal·lant més concentradors (switch) en ambdós armaris i canviant el connexionat d'equips dins dels armaris. No hi ha més de dos concentradors encadenats (tal com estava abans de fer els canvis).
Adoptar DHCP a tots els ordinadors clients. Això s'ha fet activant provisionalment DHCP en un dels routers ADSL.
Canviar tots els processos de comandes (arxius BAT i CMD en Windows, scripts de shell a màquines Unix/Linux) que facin servir adreces IP locals, posant-hi el seu corresponent nom de màquina.
Canviar tots els ports d'impressora que estaven per adreça IP local, posant-hi el seu corresponent nom de màquina.
Assegurar-se que el DNS local resolt correctament tots els noms de màquina.
Assegurar-se que l'arxiu hosts de les màquines només conté la línia: 127.0.0.1 localhost. És a dir, que no se'l fa servir per resoldre cap nom de màquina, llevat de localhost.
Canviar la configuració proxy dels navegadors d'Internet, posant-hi la configuració automàtica http://www.domini.exemple/proxy.pac.
Deshabilitar l'accés sensefils a totes les impressores que tenen aquesta funcionalitat, deixant només l'accés per xarxa cablada.

Hardware utilitzat

Es tracta d'un miniPC de FabiaTech, model FX5620.

L'aparell té 5 ports Ethernet de 100 Mbit/s i un sisè de 1 Gbit/s. Pot incorporar un disc dur de 2,5" (els que porten els portàtils) i una Compact Flash (que actua com a disc dur).

Es va adquirir a la Gran Bretanya, http://linitx.com/product_info.php?cPath=4&products_id=909. Demanat el diumenge al vespre (pagament amb tarja de crèdit) i el dimarts al matí ja arribava ...

Es va comprar també una tarja Compact Flash Kingston, de 512 MByte, a un proveïdor local.

25-juny-2009
No adquiriu el model FX5621. Només funciona correctament si es deshabilita la primera boca de 1 Gbit/s (NIC número 5 a la BIOS): forum.pfsense.org/index.php/topic,17116.0.html

Descàrrega de pfSense

Es pot anar a la web oficial www.pfsense.org, però hi ha altres repositoris amb configuracions ajustades.

Així, a http://shopping.hacom.net/catalog/pub/pfsense es troben versions preparades segons la unitat que reconeix pfSense per a la Compact Flash i segons el seu tamany.

Notes importants

Hi ha dos tipus d'imatges de pfSense:

Embedded. És la que es fa servir per a Compact Flash, té els accessos a disc minimitzats i no admet instal·lació de paquets. D'aquesta manera es preserva la vida de la Compact Flash. Es presenta comprimida amb gzip, amb l'extensió img. No suporta ni teclat ni monitor, cal connectar cable sèrie per accedir a la consola de pfSense i poder fer la configuració inicial.

LiveCD. És una imatge iso, també comprimida amb gzip, per ser executada des del propi CD. Té una opció per instal·lar pfSense en disc dur i a partir de llavors es poden instal·lar paquets, molts d'ells administrables des de la interfície web.

Darreres imatges oficials de pfSense (versió oficial amb tots els pedaços que hagin sortit):

Embedded: http://snapshots.pfsense.org/FreeBSD6/RELENG_1_2/embedded
LiveCD: http://snapshots.pfsense.org/FreeBSD6/RELENG_1_2/iso

Imatges no-oficials de Hacom:

Hacom és una empresa californiana que ofereix diferents tipus de tallafocs, la majoria d'ells basats en miniPC amb tarja Compact Flash. Les imatges Embedded a http://shopping.hacom.net/catalog/pub/pfsense es diferencien de les oficials per:

Usar el gestor d'arrancada grub en lloc del propi de FreeBSD.
Suport per a teclat i monitor. No cal cable sèrie per fer la configuració inicial.
Les imatges que comencen per pfSense-releng_1_2-snapshot070424 corresponen a la versió 1.2 BETA de pfSense, amb data 24-abril-2007. Tinc aquesta versió funcionant satisfactòriament des del 25-abril-2007.

FX5620 amb pfSense ens reconeixarà la Compact Flash com la unitat ad2 (tercer disc ATA a FreeBSD).

En un dels nostres servidors FreeBSD hem fet:

mkdir pfSense
cd pfSense
vi fetch.sh

#!/bin/sh
fetch http://shopping.hacom.net/catalog/pub/pfsense/pfSense-1.0.1-512-ad2.img.gz.md5
fetch http://shopping.hacom.net/catalog/pub/pfsense/pfSense-1.0.1-512-ad2.img.gz

chmod +x fetch.sh
./fetch.sh

Nota: M'agrada tenir un script anomenat fetch.sh desat perquè així sé d'on he tret els arxius baixats ...

Comprovem la signatura de l'arxiu:

md5 pfSense-1.0.1-512-ad2.img.gz
cat pfSense-1.0.1-512-ad2.img.gz.md5

Passarem l'aplicació a una màquina multimèdia amb Windows XP que té un frontal per inserir tota mena de targes de memòria, a fi de poder enregistrar la Compact Flash.

Com que tenim Samba/CIFS en el servidor, copiem els arxius del servidor des la màquina Windows, per exemple, a una carpeta D:\CompactFlash

Nota: Si es baixen els arxius a través de Windows, per comprovar signatures es pot fer servir fsum: http://www.download.com/Fsum/3000-2248_4-10127195.html

Per exemple, es pot fer un arxiu comprova.bat que faci el següent:

fsum -jm *.gz
type pfSense-1.0.1-512-ad2.img.gz.md5

Descàrrega de physdiskwrite

physdiskwrite és una petita utilitat que permet escriure imatges de disc. Se la pot trobar a:

http://m0n0.ch/wall/physdiskwrite.php

La descarreguem a D:\CompactFlash i descomprimim l'arxiu ZIP per obtenir l'EXE.

Enregistrament de la CompactFlash

Aneu a [Inicia] [Executa ...] i executeu cmd (intèrpret de comandes MS-DOS)

d:
cd /compactflash

Executeu:

physdiskwrite.exe pfSense-1.0.1-512-ad2.img.gz

Obtindreu una resposta similar a:

Searching for physical drives ...
Information for \\.\PhysicalDrive0:
...
...
Wich disk do you want to write <0..0>?

Cancel·leu l'execució amb Ctl+C

Amb això heu vist quins discos físics té la vostra màquina.

Inseriu ara la Compact Flash i torneu a executar:

physdiskwrite.exe pfSense-1.0.1-512-ad2.img.gz

Veureu que us detecta un disc físic més i canvia la pregunta final:

Wich disk do you want to write <0..2>?

Indiqueu doncs el número de disc físic per a la CompactFlash (en el meu cas el 2).

El procés d'enregistrament comença i n'hi ha per una estona (mitja hora aproximadament).

Quan acabi, recordeu fer el procés de desconnexió segura del dispositiu Compact Flash abans d'extreu-la de la seva ranura !!!

En moltes consoles de comandes (Windows XP inclòs) escriure els primers caràcters dels arxius i prémer el tabulador serveix perquè aparegui en pantalla el nom de l'arxiu complet. Això evita picar moltes tecles.

En el meu cas he creat un arxiu de comandes anomenat som-hi.bat que conté l'ordre
physdiskwrite.exe pfSense-1.0.1-512-da0.img.gz

physdiskwrite controla automàticament que no es puguin escriure discos de més de 2 GByte. D'aquesta manera evita les confusions entre el disc dur i la Compact Flash.

Configuració inicial de pfSense

Un cop instal·lada la Compact Flash dins del FX5620 (amb l'aparell sense alimentació) l'engeguem amb un monitor, teclat i cable de xarxa connectats. El cable de xarxa el posarem a ETH6 (interfície a 1 Gbit/s i que pfSense reconeix com a re0).

Un cop engegat el sistema, heu d'indicar (a la pantalla) com a mínim la LAN i la WAN:

Do you want to set up VLANs now [y|n]? n
Enter the LAN interface name or 'a' for auto-detection: re0
Enter the WAN interface name or 'a' for auto-detection: rl0
Enter the Optional 1 interface name or 'a' for auto-detection
(or nothing is finished): _

I confirmar l'operació:

LAN -> re0
WAN -> rl0

Do you want to proceed [y|n]? y

El sistema carrega la seva configuració per defecte i presenta al final la indicació de que la LAN és 192.168.1.1 i el seu menú de consola.

Seleccioneu l'opció 2)Set LAN IP address de la consola per canviar de 192.168.1.1 a 192.168.XXX.1

Enter the new LAN IP address: 192.168.XXX.1
Subnet masks are entered as bit counts (as in CIDR notation) in pfSense.
e.g. 255.255.255.0 = 24
255.255.0.0 = 16
255.0.0.0 = 8
Enter the new LAN subnet bit count: 24
Do you want to enable the DHCP server on LAN [y|n]? n

Confirmeu i s'us informarà de la nova adreça.

A partir d'aquí, normalment farem servir el configurador web, anant a http://192.168.XXX.1

L'accés directe a la consola del tallafocs té la pega d'estar configurat amb el teclat anglès. En cas de voler accedir al tallafocs via consola sempre serà més còmode fer-ho per SSH. Aquest accés sí que ens reconeixerà el nostre teclat (emprant, per exemple, el client PuTTY). A [ Configuració base ] explico com activar l'accés per SSH.