O pfSense é um firewall / roteador de código aberto baseado no FreeBSD. No entanto, você pode fazer muito mais do que isso e assumir o papel de DNS, VPN, DHCP e muito mais.
No nosso cenário, o pfSense será usado como um firewall de borda com IPSec VPN, e também será usado como um firewall / roteador / DHCP.
Esse tutorial se concentrará na instalação do pfSense em uma máquina dedicada para ESXi, com vários IPs, com um dedicado ao pfSense, pois existem alguns detalhes para instalar o pfSense com um IP dedicado.
Pré-requisito:
– ESXi instalado e configurado no servidor dedicado.
– Acesso ao ESXi para configurar a rede em máquinas virtuais
– Um IP dedicado para a VM pfSense. Nesse caso, estamos usando um IP de failover da operadora, que permite vários IPs para o mesmo host.
– Um segundo IP dedicado para permitir o acesso SSH a uma VM que estará na LAN do pfSense VM, para permitir o acesso ao servidor da web (pode não ser necessário, mas é o que usaremos neste guia).
Configurações de rede
A primeira etapa será configurado a rede no ESXi para se conectar no VM pfSense.
Primeiro, criamos dois vSwitches. Um vSwitch é um comutador virtual no ESXi, que nos permitirá separar as duas redes que criaremos.
O primeiro, aqui chamado vSwitch0, será a rede WAN do host pfSense. Ele está conectado à NIC física do host ESXi.
A segunda, chamada LAN aqui, será a nossa rede LAN, que não está conectada a nenhuma NIC física no host, uma vez que a VM pfSense atuará como roteador, toda a conexão externa deve passar pelo pfSense.
Depois que os vSwitches são criados, precisamos criar um grupo de portas em cada vSwitch, para conectar as máquinas virtuais.
Como podemos ver, temos um grupo de portas chamado VM Network, que será o acesso à WAN do pfSense, conectado a uma NIC física.
Também temos um grupo de portas chamado LAN, que possui todas as nossas máquinas virtuais e não está conectado a nenhuma NIC física.
Instalação do pfSense
Você deve primeiro criar a VM no ESXi.
Você deve selecionar o FreeBSD como a versão do Sistema operacional convidado.
Em seguida, ao personalizar a configuração da VM, você deve configurar os dois adaptadores de rede, um para conectar-se à LAN e outro para conectar-se à rede WAN.
Ao configurar a interface WAN, você deve configurar o endereço MAC manualmente, fornecido com o IP dedicado.
Depois que tudo estiver configurado, você poderá instalar o pfSense na VM, com as configurações padrão durante a instalação.
Selecionar instalação
Selecione o layout do seu teclado
Selecione “Auto (UFS)” para a estrutura de partição ou selecione manual se desejar personalizar suas partições.
Agora você pode reiniciar no seu sistema
configuração pfSense
Uma vez iniciado no seu sistema, você deverá ver esta tela:
Você pode ver que o pfSense detectou automaticamente as interfaces e configurou a LAN, mas não a WAN.
Não podemos configurar a interface WAN a partir do console, pois ela não permite que uma sub-rede de / 32 seja criada a partir do console.
O que queremos fazer é acessar o shell (opção 8) e configurar manualmente as rotas para acessar a Internet.
Em seguida, selecione o shell e insira os comandos:
rota padrão
Isso removerá a rota padrão configurada pelo pfSense.
route add -net 42.42.42.1/32 -face em0
Você deve substituir 42.42.42.1/32 pelo IP do host ESXi dedicado, substituindo o último byte por 1.
Isso adicionará uma rota padrão à interface em0 (sua interface WAN).
rota adicionar padrão 42.42.42.1
Isso adicionará a rota criada anteriormente como a rota padrão para o seu sistema pfSense.
Acesse o WebConfigurator
Feito isso, você deve acessar o webConfigurator, que pode ser acessado apenas na LAN pfSense.
Para fazer isso, iniciamos uma VM do Ubuntu, que também possui duas placas de rede, uma conectada à LAN e outra conectada à mesma rede WAN que a VM pfSense.
O objetivo aqui é ter acesso externo à máquina virtual Ubuntu, para poder fazer um redirecionamento de porta SSH para nossa máquina, para obter acesso ao webConfigurator.
O servidor DHCP já está em execução, para que possamos configurar a interface para DHCP e fornecer um IP e configurar as rotas.
Agora precisamos acessar externamente, portanto, configuramos o IP dedicado na interface WAN na VM do Ubuntu e configuramos as rotas da mesma maneira que a VM do pfSense.
Depois de fazer isso, agora temos acesso à Internet na VM do Ubuntu:
Como temos acesso externo e configuramos o IP público, agora podemos fazer o SSH na máquina e redirecionar a porta 443 no servidor pfSense para o nosso PC, para que possamos acessar o webConfigurator.
Para fazer isso, redirecionamos a porta usando um comando SSH:
ssh -vNL 8080: 192.168.1.1: 443 usuário@servidor
E agora, se visitarmos 127.0.0.1:8080, poderemos ver esta tela
Agora podemos fazer login com as credenciais padrão: admin / pfsense
Configurando o pfSense
Na primeira vez em que você se conectar ao webConfigurator, terá acesso ao assistente de configuração.
Clique em Next
Clique em Next
Digite o nome do host da VM pfSense, o domínio, se necessário, e um servidor DNS (aqui estamos usando o Google DNS) e Clique em avançar
Deixe o valor padrão no nome do host do servidor de horário.
Selecione o fuso horário e Clique em avançar
Esta página permitirá que você configure a interface WAN.
Selecionar estática
Você pode deixar as Configurações gerais em branco
Para o endereço IP, digite o IP dedicado que foi fornecido, com uma máscara de sub-rede de / 32.
O gateway deve ser o endereço IP do seu host ESXi, substituindo o último byte por 1
Deixe o restante em branco e clique em Avançar
Você pode deixar esses valores como padrões, pois poderá alterá-los mais tarde
Digite uma senha para a web
Clique em Recarregar
Agora que a configuração inicial está concluída, precisaremos configurar algumas regras NAT, para que a LAN possa acessar a Internet e tornar as regras de roteamento permanentes.
Nota: após configurar a interface da WAN, o pfSense pode excluir a rota que você configurou manualmente então nesse caso, você precisa inseri-la novamente.
Tornar as regras de roteamento persistentes
Como nossas regras de roteamento são adicionadas manualmente e não fica gravada depois que reinicializa, precisamos executar esses comandos na inicialização.
Felizmente, existe um pacote no pfSense que nos permitirá fazer isso.
Para instalar este pacote, vá para Sistema -> Gerenciador de Pacotes -> Pacotes disponíveis
Procure por ” shellcmd ” e instale-o
Depois de instalado, vá para Serviços -> Shellcmd e adicione os dois comandos de roteamento
Seu acesso à Internet agora funcionará após uma reinicialização.
Configuração NAT
Para a LAN acessar a Internet, precisamos configurar o NAT.
Vá para Firewall -> NAT -> Saída
Clique em Geração manual de regras NAT de saída e salve
Você precisa aplicar as alterações
Agora vamos criar nossa própria regra NAT.
Clique no botão Adicionar mais à esquerda
Selecione os seguintes parâmetros
– Interface : WAN
– Protocolo : qualquer
– Fonte : qualquer
– Destino : qualquer
Clique em Salvar
Aplique as alterações.
A VM do pfSense agora está configurada como um roteador para a LAN com um IP dedicado.
O post Instalando pfSense no ESXi apareceu primeiro em ID Tecnologia - Soluções em Segurança da Informação.
Top comments (0)