[ Introducción ] [ Caso-Estudio ] [ Instalación ] [ Configuración base ] [ Alias ] [ NAT ] [ Reglas ] [ DNS ] [ DHCP ] [ Caudal ] [ OpenVPN ] [ Portal ]
[ OpenVPN sin DHCP ] [ spamd ]

Instalación

Preparativos
Hardware empleado

Descarga de pfSense
Descarga de physdiskwrite
Grabación de la CompactFlash
Configuración inicial de pfSense


Preparativos

Antes de la implantación definitiva de pfSense se tuvieron que hacer los siguientes cambios en la red:


Hardware utilizado

Se trata de un miniPC de FabiaTech, modelo FX5620.

El equipo tiene 5 puertos Ethernet de 100 Mbit/s y un sexto de 1 Gbit/s. Puede incorporar un disco duro de 2,5" (como los que llevan los portátiles) y una Compact Flash (que actúa como disco duro).

Se adquirió en Gran Bretaña, http://linitx.com/product_info.php?cPath=4&products_id=909. Pedido el domingo por la noche (pago con tarjeta de crédito) y el martes por la mañana ya llegaba (cerca de Barcelona) ...

Se compró también una tarjeta Compact Flash Kingston, de 512 MByte, a un proveedor local.

25-junio-2009
No adquirir el modelo FX5621. Sólo funciona correctamente si se deshabilita la primera boca de 1 Gbit/s (NIC número 5 en la BIOS): forum.pfsense.org/index.php/topic,17116.0.html


Descarga de pfSense

Se puede ir a la web oficial www.pfsense.org, pero hay otros repositorios con configuraciones ajustadas.

Así, en http://shopping.hacom.net/catalog/pub/pfsense/ se  encuentran versiones preparadas según la unidad que reconoce pfSense para la Compact Flash y según su tamaño.

Notas importantes

Hay dos tipos de imágenes de pfSense:

  • Embedded. Es la que se emplea para Compact Flash, tiene los acesos a disco minimizados y no admite instalación de paquetes. De esta forma se preserva la vida de la Compact Flash. Se presenta comprimida con gzip, con la extensión img. No soporta ni teclado ni monitor, hay que conectar cable serie para acceder a la consola de pfSense y poder hacer la configuración inicial.

  • LiveCD. Es una imagen iso, también comprimida con gzip, para ser ejecutada desde el propio CD. Tiene una opción para instalar pfSense en disco duro y a partir de entonces se pueden instalar paquetes, muchos de ellos administrables desde la interfase web.

Últimas imágenes oficiales de pfSense (versión oficial con todos los parches que hayan salido):

Imágenes no-oficiales de Hacom:

Hacom es una empresa californiana que ofrece distintos tipos de cortafuegos, la mayoría de ellos basados en miniPC con tarjeta Compact Flash. Las imágenes Embedded en  http://shopping.hacom.net/catalog/pub/pfsense se diferencian de las oficiales por:

  • Usar el gestor de arranque grub en lugar del propio de FreeBSD.

  • Soporte para teclado y monitor. No se precisa cable serie para la configuración inicial.

  • Las imágenes que empiezan por pfSense-releng_1_2-snapshot070424 corresponden a la versión 1.2 BETA de pfSense, con fecha 24-abril-2007. Tengo esta versión funcionando satisfactoriamente desde el 25-abril-2007.

FX5620 con pfSense nos reconoce la Compact Flash como la unidad ad2 (tercer disco ATA en FreeBSD).

En uno de nuestros servidores FreeBSD hicimos:

mkdir pfSense
cd pfSense
vi fetch.sh

#!/bin/sh
fetch http://shopping.hacom.net/catalog/pub/pfsense/pfSense-1.0.1-512-ad2.img.gz.md5
fetch http://shopping.hacom.net/catalog/pub/pfsense/pfSense-1.0.1-512-ad2.img.gz


chmod +x fetch.sh
./fetch.sh

Nota: Me gusta tener un script llamado fetch.sh porqué así sé de donde he bajado los archivos ...

Comprobamos la firma del archivo:

md5 pfSense-1.0.1-512-ad2.img.gz
cat pfSense-1.0.1-512-ad2.img.gz.md5

Pasamos la aplicación a una máquina multimedia con Windows XP que tiene un frontal para insertar toda clase de tarjetas de memoria, con el fin de poder grabar la Compact Flash.

Como que tenemos Samba/CIFS en el servidor, copiamos los archivos del servidor desde la máquina Windows, por ejemplo, a una carpeta D:\CompactFlash

Nota: Si se bajan los archivos a través de Windows, para comprobar firmas se puede emplear fsum: http://www.download.com/Fsum/3000-2248_4-10127195.html

Por ejemplo, se puede crear un archivo comprueba.bat que haga lo seguiente:

fsum -jm *.gz
type pfSense-1.0.1-512-ad2.img.gz.md5
 


Descarga de physdiskwrite

physdiskwrite es una pequeña utilidad que permite escribir imágenes de disco. Se la puede encontrar en:

http://m0n0.ch/wall/physdiskwrite.php

La descargamos en D:\CompactFlash y  descomprimimos el archivo ZIP para obtener el EXE.


Grabación de la CompactFlash

Vamos a [Inicio] [Ejecutar ...] y ejecutamos cmd (intérprete de órdenes MS-DOS)

d:
cd /compactflash

Ejecutamos:

physdiskwrite.exe pfSense-1.0.1-512-ad2.img.gz

Obtendremos una respuesta similar a:

Searching for physical drives ...
Information for \\.\PhysicalDrive0:
...
...
Wich disk do you want to write <0..0>?

Cancelamos la ejecución mediante Ctl+C

Con ello hemos visto qué discos físicos tiene nuestra máquina.

Insertamos ahora la Compact Flash y volvemos a ejecutar:

physdiskwrite.exe pfSense-1.0.1-512-ad2.img.gz

Vemos que nos detecta un disco físico más y cambia la pregunta final:

Wich disk do you want to write <0..2>?

Indicamos pues el número de disco físico para la CompactFlash (en mi caso el 2).

El proceso de grabación empieza y dura un buen rato (media hora aproximadamente).

¡¡¡ Cuando se termina, hay que hacer el proceso de desconexión segura del dispositivo Compact Flash antes de extraerla de su ranura !!!

En muchas consolas de órdenes (Windows XP incluido) escribir los primeros caracteres de los archivos y darle al tabulador sirve para que aparezca en pantalla el nombre completo del archivo. Ello evita teclearlo todo.
En mi caso he creado un archivo de órdenes llamado grabar.bat que contiene la orden
physdiskwrite.exe pfSense-1.0.1-512-da0.img.gz 
physdiskwrite controla automáticamente que no se puedan escribir discos de más de 2 GByte. De esta manera evita las confusiones entre el disco duro y la Compact Flash. 


Configuración inicial de pfSense

Una vez instalada la Compact Flash en el FX5620 (con el equipo sin alimentación) lo ponemos en marcha con un monitor, teclado y cable de red conectados. El cable de red lo pondremos en ETH6 (interfase a 1 Gbit/s y que pfSense reconoce como re0).

Una vez en marcha el sistema, tenemos que indicar como mínimo la LAN y la WAN:

Do you want to set up VLANs now [y|n]? n
Enter the LAN interface name or 'a' for auto-detection: re0
Enter the WAN interface name or 'a' for auto-detection: rl0
Enter the Optional 1 interface name or 'a' for auto-detection
(or nothing is finished):
_

Y confirmar la operación:

LAN -> re0
WAN -> rl0

Do you want to proceed [y|n]? y

El sistema carga su configuración por defecto y presenta al final la indicación de que la LAN es 192.168.1.1 y  su menú de consola.

Seleccionaremos la opción 2)Set LAN IP address de la consola para cambiar de 192.168.1.1 a 192.168.XXX.1

Enter the new LAN IP address: 192.168.XXX.1
Subnet masks are entered as bit counts (as in CIDR notation) in pfSense.
e.g. 255.255.255.0 = 24
255.255.0.0 = 16
255.0.0.0 = 8
Enter the new LAN subnet bit count:
24
Do you want to enable the DHCP server on LAN [y|n]? n

Confirmando la operación se nos informará de la nueva dirección.

A partir de aquí, normalmente emplearemos el configurador web, yendo a http://192.168.XXX.1

El acceso directo a la consola del cortafuegos tiene la pega de estar configurado con el teclado inglés. En caso de querer acceder al cortafuegos vía consola siempre será más cómodo hacerlo por SSH. Este acceso sí que nos reconocerá nuestro teclado (empleando, por ejemplo, el cliente PuTTY). En [ Configuración base ] explico cómo activar el acceso por SSH.

 

Autor: Josep Pujadas i Jubany
© 2007. Todos los derechos reservados