Instalación de un servidor pfSense en ESXi con una IP dedicada

pfSense es un firewall / enrutador de código abierto basado en FreeBSD. Sin embargo, puede hacer mucho más que eso y asumir el rol de DNS, VPN, DHCP y más.

En nuestro caso, pfSense se usará principalmente como un punto final VPN IPSec, pero al mismo tiempo se usará como firewall / enrutador / DHCP.

Esta guía se centrará en instalar pfSense en un host dedicado para ESXi, con múltiples IP, con una dedicada a pfSense, ya que existen algunos obstáculos para la instalación de pfSense con una IP dedicada.

Requisito previo:

– ESXi instalado y configurado en el host dedicado.
– Acceso a ESXi para configurar la red en las máquinas virtuales
– Una IP dedicada para la VM pfSense. En este caso, estamos utilizando una IP de conmutación por error de OVH, que permite múltiples IP para el mismo host.
– Una segunda IP dedicada para permitir el acceso SSH a una VM que estará en la LAN de la VM pfSense, para permitir el acceso al configurador web (puede que no sea necesario, pero eso es lo que usaremos en esta guía).

Configuración de la red

El primer paso será configurar la red en el ESXi para prepararse para la VM pfSense.

Primero creamos dos vSwitches. Un vSwitch es un conmutador virtual en ESXi, que nos permitirá separar las dos redes que crearemos.

El primero, que aquí se llama vSwitch0, será la red WAN para el host pfSense. Está conectado a la NIC física del host ESXi.

La segunda, que aquí se llama LAN, será nuestra red LAN, que no está conectada a ninguna NIC física en el host, ya que la VM pfSense actuará como un enrutador, toda la conexión al exterior deberá pasar pfSense.

Una vez que se crean los vSwitches, necesitamos crear un grupo de puertos en cada vSwitch, para conectar las máquinas virtuales a.

Como podemos ver, tenemos un grupo de puertos llamado VM Network, que será el acceso WAN para pfSense, que está conectado a una NIC física.
También tenemos un grupo de puertos llamado LAN, que tiene todas nuestras máquinas virtuales y no está conectado a ninguna NIC física.

instalación de pfSense

Primero deberá crear la VM en ESXi.

Deberá seleccionar FreeBSD como la versión del SO invitado.

Luego, al personalizar la configuración de la VM, debe configurar los dos adaptadores de red, uno para conectarse a LAN y otro para conectarse a la red WAN.

Al configurar la interfaz WAN, debe configurar la dirección MAC manualmente, con la que se le proporciona con la IP dedicada.

Una vez que todo esté configurado, puede instalar pfSense en la VM, con la configuración predeterminada durante la instalación.

Seleccione instalar
Seleccione su mapa de teclas
Seleccione "Auto (UFS)" para el esquema de partición, o seleccione manual si desea personalizar sus particiones
Ahora puede reiniciar en su sistema

configuración de pfSense

Una vez iniciado en su sistema, debería ver esta pantalla:

Puede ver que pfSense detectó automáticamente las interfaces y configuró la red LAN, pero no la WAN.

No podremos configurar la interfaz WAN desde la consola, ya que no permite que se cree una subred de / 32 desde la consola.

Lo que queremos hacer es acceder al shell (opción 8) y configurar manualmente las rutas para obtener acceso a Internet.

Entonces seleccione el shell e ingrese esos comandos:

ruta del default

Esto eliminará la ruta predeterminada que pfSense configuró.

ruta agregar -net 42.42.42.1/32 -face em0

Deberá reemplazar 42.42.42.1/32 con la IP del host ESXi dedicado, reemplazando el último byte con 1.

Esto agregará una ruta predeterminada a la interfaz em0 (su interfaz WAN).

ruta agregar por defecto 42.42.42.1

Esto agregará la ruta creada previamente como ruta predeterminada para su sistema pfSense.

Acceda al WebConfigurator

Una vez hecho esto, deberá acceder al webConfigurator, al que solo se puede acceder en la LAN de pfSense.

Para hacer esto, hemos lanzado una VM de Ubuntu, que también tiene dos tarjetas de red, una conectada a la red LAN y otra conectada a la misma red WAN que la VM pfSense.

El objetivo aquí es tener acceso externo a la máquina virtual de Ubuntu, para poder hacer una redirección de puerto SSH a nuestra máquina, para obtener acceso al webConfigurator.

El servidor DHCP ya se está ejecutando, por lo que podemos configurar la interfaz a DHCP y nos dará una IP y configuraremos las rutas.

Ahora necesitamos acceso desde el exterior, por lo que configuramos la IP dedicada en la interfaz WAN en la VM de Ubuntu y configuramos las rutas de la misma manera que la VM pfSense.

Una vez que hacemos eso, ahora tenemos acceso a internet en la VM de Ubuntu:

Como tenemos acceso al exterior y configuramos la IP pública, ahora podemos SSH en la máquina y redirigir el puerto 443 en el servidor pfSense a nuestra PC, para que podamos acceder al webConfigurator.

Para hacer eso, redirigimos el puerto mediante un comando SSH:

ssh -vNL 8080: 192.168.1.1: 443 usuario @ servidor

Y ahora, si visitamos 127.0.0.1:8080, deberíamos poder ver esta pantalla

Ahora podemos iniciar sesión con las credenciales predeterminadas: admin / pfsense

Configurando pfSense

La primera vez que se conecte a webConfigurator, tendrá acceso al asistente de configuración.

Haga clic en Siguiente
Haga clic en Siguiente
Ingrese el nombre de host de la VM pfSense, el dominio si es necesario y un servidor DNS (aquí estamos usando el DNS de google)
Haga clic en Siguiente
Deje el valor predeterminado en el nombre de host del servidor horario.
Seleccione la zona horaria
Haga clic en Siguiente
Esta página le permitirá configurar la interfaz WAN.
Seleccione estático
Puede dejar en blanco la Configuración general
Para la dirección IP, ingrese la IP dedicada que se le proporcionó, con una máscara de subred de / 32.
La puerta de enlace debe ser la dirección IP de su host ESXi, reemplazando el último byte con .1
Deje el resto en blanco y haga clic en Siguiente
Puede dejar esos valores como predeterminados, ya que podrá cambiarlos más tarde
Ingrese una contraseña para la web
Haga clic en Recargar

Ahora que la configuración inicial está completa, necesitaremos configurar algunas reglas NAT, para que la red LAN pueda acceder a Internet y hacer que las reglas de enrutamiento sean permanentes.

Nota: después de configurar la interfaz WAN, pfSense podría eliminar la ruta que configuró previamente manualmente, en este caso deberá ingresarla nuevamente.

Haga que las reglas de enrutamiento sean persistentes

Debido a que nuestras reglas de enrutamiento se agregan manualmente y no sobrevivirán a un reinicio, necesitamos ejecutar estos comandos en el arranque.

Afortunadamente, hay un paquete en pfSense que nos permitirá hacer eso.

Para instalar este paquete, vaya a Sistema -> Administrador de paquetes -> Paquetes disponibles

Busque " shellcmd " e instálelo

Una vez instalado, vaya a Servicios -> Shellcmd y agregue los dos comandos de enrutamiento

Su acceso a Internet ahora funcionará después de un reinicio.

Configuración NAT

Para que la red LAN acceda a Internet, necesitamos configurar el NAT.

Vaya a Firewall -> NAT -> Saliente

Haga clic en Generación manual de reglas NAT salientes y luego guarde
Necesita aplicar los cambios

Ahora crearemos nuestra propia regla NAT.

Haga clic en el botón Agregar más a la izquierda

Seleccione los siguientes parámetros

– Interfaz : WAN
– Protocolo : cualquiera
– Fuente : cualquiera
– Destino : cualquiera

Haga clic en Guardar

Aplica los cambios.

El pfSense VM ahora está configurado como un enrutador para la red LAN con una IP dedicada.

Deixe uma resposta