En este artículo veremos el proceso de instalación de un servidor cortafuegos (Firewall) de pfSense en su versión 2.6. Si todavía no sabes que es pfSense o qué funciones o características tiene, puede hacer clic sobre el siguiente enlace Introducción a pfSense.
Acciones y requisitos necesarios antes de instalar pfSense
- Contar con un servidor para instalar pfSense que disponga al menos 1 microprocesador de 64 bits de 1 núcleos o más, al menos 512 Megabytes de memoria RAM y al menos 2 tarjetas de red o una en caso de usar vlans.
- Desactivar los estados C o estados de ahorro de energía del procesador para lograr un mayor rendimiento (para equipos físicos).
- Verificar que estén activos todos los procesadores, Habilitado el Hyper Theading en caso de disponer del mismo (para equipos físicos).
- Preparar un medio de instalación, que puede ser de 3 variantes
Variantes para preparar un medio de instalación
Primera variante: descargar el archivo .ISO desde la siguiente url https://www.pfsense.org/download/ seleccionando los valores de arquitectura y tipo de instalador como se muestra en la siguiente imagen
Esta forma nos descargará un archivo llamado pfSense-CE-2.6.0-RELEASE-amd64.iso.gz de tipo .iso.gz. Se trata de una imagen .iso compactada la cual debemos descompactar para obtener el archivo .iso. Con este archivo resultante podemos instalar en máquinas virtuales, ya que solo habría que proporcionarle la ruta a ese archivo.
Segunda variante: la segunda variante es grabando (Quemando) la imagen obtenida de la forma anterior (el archivo.iso) en un disco de tipo DVD. Hay que tener en cuenta que para instalar usando un disco DVD el equipo donde vamos a instalar debe tener un lector de discos DVD conectado y ya esta tecnología va en desuso y siendo desplazada por las memorias USB.
Tercera variante: Preparar una memoria USB a partir de una archivo imagen especial, el cual descargaremos del mismo sitio anterior, pero esta vez seleccionando las opciones como se muestra en la imagen a continuación
Una vez descargado el archivo de imagen pfSense-CE-memstick-2.6.0-RELEASE-amd64.img.gz lo descompactamos para obtener el archivo .img y usamos la herramienta Win32diskImager la cual descargaremos de la siguiente URL https://sourceforge.net/projects/win32diskimager/
Ya con la imagen .img y la herramienta solo resta ejecutarla y darle la ruta al archivo .img y especificarle la letra de la unidad usb y hacer clic en “Write” y esperar a que la memoria esté lista.
Instalación del pfSense
Para comenzar la instalación de pfSense, debe conectar el medio de instalación al servidor donde se va a instalar, encender e iniciar (bootear) por el medio de instalación antes seleccionado.
Una vez que el equipo inicie por el medio de instalación se debe ver la pantalla siguiente.
Llegados a este punto solo queda esperar unos segundos a que cargue la instalación hasta que se muestre la siguiente imagen
Para continuar presionamos enter. Nos debe aparecer una pantalla como la imagen que se muestra a continuación, en la cual presionaremos enter nuevamente para continuar con la instalación
Seguidamente, aparecerá la pantalla que se muestra a continuación para seleccionar el mapa de teclado a usar, aunque podemos usar el predefinido presionando la tecla enter para continuar
Seguidamente, el programa de instalación nos mostrará esta pantalla por si deseamos cambiar la forma de particionar el disco duro. Si no deseamos hacerlo, podemos presionar enter nuevamente y se usará la forma predeterminada.
Luego se nos muestran las opciones de configuración del las particiones para el sistema, las cuales podemos dejar por defecto y presionar enter nuevamente.
El próximo paso es seleccionar el tipo de dispositivo de almacenamiento virtual que crea el sistema para almacenar la información, podemos dejarlo todo por defecto y presionar enter para continuar
A continuación se nos muestra los discos que tenga conectado nuestro equipo y debemos seleccionar en cuál se realizará la instalación, para seleccionarlo hay que presionar la tecla espacio y aparecerá un asterisco como indicador de que se ha seleccionado como se muestra en la imagen siguiente.
Después de seleccionado se presiona enter para continuar.
El próximo paso es confirmar que se borrará el disco donde se instalará el sistema, para esto hay que seleccionar la opción YES usando las teclas de flechas y presionar enter.
Llegados a esta pantalla nos resta esperar a que se complete la instalación
En cuanto se completa el proceso de instalación nos aparecerá una pantalla como la que se muestra en la siguiente imagen. La imagen nos dice que si queremos hacer algún cambio adicional de forma manual en el sistema. En caso de no querer hacerlo podemos presionar enter para continuar.
Llegados a esta pantalla ya se completó la instalación del sistema, solo nos queda reiniciar y hacer las configuraciones iniciales. Para reiniciar presionamos enter y esperamos a que el sistema reinicie y retiramos el medio que usamos para la instalación.
Cuando ya el equipo reinició completamente se comenzará la carga del sistema recién instalado como se muestra en la siguiente imagen y nos preguntará por algunos parámetros básicos de configuración
En la imagen anterior nos pregunta si las VLANs deben configurarse. En este paso diremos que no escribiendo N y presionando enter. Si fuéramos a usar vlans podemos hacerlo más adelante desde la interfaz web de administración.
El próximo paso de configuración es la asignación de las interfaces a los alias que crea pfsense. En este caso, el sistema detectó dos interfaces de red llamadas vtnet0 y vtnet1. Esos nombres pueden variar en dependencia del tipo de tarjeta de red que tenga nuestro servidor. Los identificaremos porque salen dentro de los paréntesis. Los alias o nombre de interfaces por defecto son WAN y LAN, aunque podemos agregar más interfaces de tipo opcionales, las cuales podemos renombrar después. En este paso, el asistente de configuración nos pregunta qué tarjeta de red (vtnet0 o vtnet1) queremos asignar a la WAN que será la interfaz conectada a la red exterior, o sea a nuestro proveedor de servicios de internet. Para continuar escribiremos el nombre de la interface de red que usaremos para la WAN y presionamos enter como se muestra en la siguiente imagen.
Luego nos pregunta cuál interface de red se usará para la red local (LAN). Allí escribiremos el nombre de la segunda interfaz que es la que debe quedar dentro de los paréntesis. En caso de quedar más de una escogeremos la que corresponda, escribimos su nombre y presionamos enter
Terminadas las asignaciones debe mostrarse en pantalla el resultado y nos pregunta si deseamos proceder con las asignaciones, para continuar presionamos “y” y luego enter
Esperamos unos segundos y nos debe aparecer la pantalla principal del pfsense en modo terminal mostrando la información de las asignaciones y un menú de opciones enumeradas debajo como se muestra en la siguiente imagen.
El próximo paso es asignar las direcciones ips a las interfaces WAN y LAN. Para esto se usará la opción número 2 y lo hacemos escribiendo un 2 y presionando enter. Después nos lista las interfaces como se muestra en la imagen siguiente y seleccionaremos el número de la interfaz. En este caso vamos a configurar la WAN así que escribimos 1 y presionamos enter. Luego nos pregunta si emplearemos el servicio de DHCP para configurar el IP a lo cual podemos responder “y” o “n”. En nuestro caso no lo utilizaremos, por lo que presionamos “n” y después enter.
Seguidamente, nos pedirá que entremos la dirección IP que en este caso emplearemos la 10.0.3.2. Luego nos pregunta por la máscara de red a emplear en formato CIDR la cual se expresa por un número entre 1 y 31. En nuestro caso estamos empleando un /24 así que escribiremos el número 24.
Las tres acciones antes realizadas se muestran en la siguiente imagen
Posteriormente, nos pregunta por el IP de la puerta de enlace o gateway que usará nuestro servidor, en nuestro ejemplo es el ip 10.0.3.1.
Adicionalmente, el servidor no preguntará si queremos usar la configuración de IPv6 en la interfaz WAN por DHCP, a lo que responderemos que no en nuestro ejemplo escribiendo “n” y presionando enter. Por último nos pregunta si queremos revertir a HTTP el protocolo de la interfaz web de administración, a lo que responderemos que no escribiendo “n” y presionando enter. Solo nos queda confirmar el cambio para lo cual presionaremos enter nuevamente. Los tres pasos anteriores se muestran en la siguiente imagen.
Llegados a este paso configuramos el IP de la interface LAN entrando la opción número 2. Cuando nos liste las interfaces nuevamente escogemos la 2. Cuando nos pregunte si queremos usar la configuración por DHCP le decimos que no escribiendo la letra “n” y presionando enter. Al solicitar la dirección IP(Lan IPv4 Address) le ponemos 10.0.0.102. Cuando nos pregunte por la máscara de red en formato CIDR (1 – 32) le ponemos 24, que es la red de ejemplo que estamos utilizando. Luego cuando nos pregunte por la puerta de enlace (upsteam gateway address) lo dejamos en blanco y presionamos enter. Seguidamente, cuando pregunte por la dirección ipv6 lo dejamos en blanco y presionamos enter nuevamente. Al preguntar si queremos habilitar el servidor DHCP en la interface LAN le decimos que no escribiendo “n” y presionando enter nuevamente.
Finalmente, nos preguntará si queremos revertir al protocolo HTTP y le decimos que no escribiendo “n” y presionando enter. Para concluir nos dirá que presionemos enter para finalizar los cambios y debe salir justo como la imagen que se muestra a continuación.
Llegados a este paso podemos acceder desde una computadora que esté conectada al servidor que recién hemos instalado. Esta computadora debe de estar conectada por la interfaz de la LAN.
Para acceder al servidor lo haremos usando un navegador web escribiendo en la barra de direcciones la URL que nos muestra la consola del servidor pfsense que está dentro del primer recuadro en rojo en la imagen anterior, la imagen siguiente muestra como sería la URL puesta en el navegador.
En nuestro caso estamos usando el navegador Mozilla Firefox, pero puede usarse cualquiera. Una vez que accedemos a la URL el navegador nos debe mostrar una alerta porque la página que estamos intentando abrir está por HTTPS y el certificado que usa es autofirmado, por lo que nos mostrará una alerta como la que se muestra a continuación
Para continuar damos clic en avanzado y seguidamente en Aceptar el riesgo y continuar. En otros navegadores esta alerta es distinta, pero igualmente dispone de las opciones para continuar.
Una vez que continuemos nos debe cargar la página de acceso a la interfaz web de administración de nuestro servidor pfsense como se muestra en la siguiente imagen.
Para acceder la primera vez que abre esta página usaremos el usuario admin y la clave pfsense y seguidamente nos aparecerá un asistente de configuración inicial como se mostrará en las siguientes imágenes
Llegados a este paso, el asistente nos pregunta por el nombre que le daremos a nuestro servidor y el dominio que usará. Aquí reemplazamos por los datos que deseemos, al igual que los servidores DNS y hacemos clic en el botón Next para continuar
En este paso del asistente especificaremos la zona horaria que usará nuestro servidor. En este caso seleccionamos Europe/Madrid, pero debe seleccionar la que le corresponda. Seguidamente hacemos clic en Next para continuar.
En este paso se mostrará la configuración de la interfaz de la WAN. Nótese que ya salen seleccionados los parámetros que habíamos especificado anteriormente en la configuración en la consola del servidor.
En la próxima página del asistente verificaremos la configuración de la interface de la LAN
El próximo paso consiste en establecer la contraseña de acceso que usaremos para acceder a la interfaz web de administración del servidor, aquí debemos usar una contraseña segura y confirmarla correctamente
Para terminar hacemos clic en el botón “Reload”
y seguidamente en “Finish”
Ya llegados a esta pantalla hemos concluido la instalación de nuestro servidor pfSense. Aquí se nos muestra información legal acerca de pfSense. Hacemos clic en el botón inferior derecho “Accept”
y por último en el botón “Close”
Felicidades ya deberíamos poder ver el dashboard de la interfaz web de administración de pfsense como se muestra en la imagen a continuación. En ella destacamos en rojo los menús de opciones en la parte superior y el botón con el signo de más para agregar más widgets informativos al dashboard o página de inicio.
A continuación les mostramos un dashboard de la interfaz de administración de pfSense con algunos widgets agregados y algunas configuraciones adicionales, además de usar el tema oscuro.
Siéntase libre de explorar y probar todas las opciones disponibles en los menús de la interfaz web de administración de su servidor pfSense. En posteriores artículos seguiremos abordando las funcionalidades y configuraciones de esta excelente solución para cortafuegos.
