pfsense
El libro pfSense Lanzamiento subido por Garbage, comunidad.dragonjar.org El equipo de pfSense 28 de de marzo de, 2017
Views 274 Downloads 2 File size 24MB
Recommend stories
- Author / Uploaded
- aldogodoy
Citation preview
El libro pfSense Lanzamiento subido por Garbage, comunidad.dragonjar.org
El equipo de pfSense
28 de de marzo de, 2017
CONTENIDO
1 Prefacio
1
1.1 Reconocimientos
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.2 Evaluación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
.1
2
1.3 Convenciones tipográficas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2
1.4 Autores . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4
2 Prólogo
5
3 Introducción
7
3.1 ¿Qué significa para pfSense / media? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
7
3.2 ¿Por qué FreeBSD? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
7
3.3 Implementaciones comunes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
8
3.4
Terminología interfaz de nomenclatura . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
9
3.5 Búsqueda de información y obtención de ayuda . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
10
3.6 Proyecto de Inicio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
11
4 Conceptos de Redes 4.1 Comprensión de direcciones IP públicas y privadas . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
13 13
4.2
Conceptos de subredes IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
14
4.3
Dirección IP, subred y Puerta Con fi guración . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
14
4.4 Comprensión de la notación de la máscara de subred en CIDR . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
15
4.5 CIDR Sumarización . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
dieciséis
4.6 Dominios de difusión . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.7
IPv6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4.8 Breve introducción a las capas del modelo OSI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 Hardware
17 17 30 31
5.1 Requisitos mínimos de hardware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
31
Selección 5.2 Hardware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
31
5.3 Hardware Orientación Dimensionamiento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
32
5.4 Hardware Tuning y solución de problemas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
36
Compatibilidad de Hardware 5.5 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
37
6 Instalación y actualización 6.1 Descarga del medio de instalación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
39 39
6.2 Preparar el medio de instalación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
41
6.3 conectarse a la consola . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
46
6.4 Realizar la instalación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
49
6.5 Asignación de interfaces . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
53
6.6 Técnicas de instalación alternativas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.7
Solución de problemas de instalación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
55 56
yo
6.8 Actualización de una instalación existente . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
58
6.9 Ajustes del sistema de archivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
61
7 Con fi guración
63
Asistente 7.1 Configuración . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7.2
63
Interfaz Con fi guración . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
70
7.3 Administración de listas en la GUI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
72
7,4 navegar rápidamente la interfaz gráfica de usuario con accesos directos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
72
7.5 Opciones Generales de Con fi guración . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
73
7.6 Opciones avanzadas de Con fi guración . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
75
7.7 Información básica del menú de la consola . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
96
7.8 Sincronización de la hora . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102 7.9 Solución de problemas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104 7,10 pfSense XML Con fi guración del archivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107 7.11 ¿Qué hacer cuando se cerró la puerta de los WebGUI
7.12 Conexión a la WebGUI
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112
8 Interfaz Tipos y con fi guración 8.1
115
Grupos de interfaz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115
8.2 Wireless . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117 8.3 VLAN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117 8.4 QinQs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117 8.5 Puentes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117 8.6 OpenVPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117 8.7 PPP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118 8,8 GRE (Generic Routing Encapsulation) 8,9 GIF (interfaz de túnel Generic)
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121
8,10 LAGG (Link Aggregation) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122 8.11 Interfaz Con fi guración . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124 8.12 Tipos de WAN IPv4 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126 8.13 Tipos de WAN IPv6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128 8.14 interfaces físicas y virtuales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130 9 Gestión de usuarios y autenticación
131
Gestión del usuario 9.1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131 9.2 Servidores de autenticación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134 9.3 Ejemplos de autenticación externo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137 9.4 Solución de problemas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139 9.5 apoyo a lo largo pfSense . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141 10 Certi fi cado de Gestión
143
10.1 Certi fi cado de Gestión de la autoridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143 10.2 Certi fi cado de Gestión . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146 Gestión cado lista de revocación 10.3 Certi fi
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 150
10.4 Introducción básica a X.509 Public Key Infrastructure . . . . . . . . . . . . . . . . . . . . . . . . . 152 11 Copia de seguridad y recuperación
Las copias de seguridad 11.1 decisiones en el WebGUI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155 11.2 Uso de la fi AutoCon gBackup Paquete . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155 11.3 factibles otros métodos de copia de seguridad remota . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 158 11.4 Restauración de copias de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 159 11.5 Los archivos de copia de seguridad y directorios con el paquete de copia de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . 162
11.6 Advertencias y Gotchas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163 11.7 Estrategias de respaldo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 164
ii
155
12 Firewall
165
12.1 Firewalling Fundamentals . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 165 12,2 Ingress Filtering . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167 12.3 Filtrado de Egreso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167 12.4 Introducción a la pantalla de las reglas del cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 170 12.5 Alias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174 12.6 de reglas de cortafuegos Buenas Prácticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181 Metodología 12.7 Regla . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 183 12.8 Con fi guración fi reglas de cortafuego . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 188 12.9 Reglas flotantes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 194 12.10 Métodos de uso de direcciones IP públicas adicionales . . . . . . . . . . . . . . . . . . . . . . . . . . . 196 12.11 direcciones IP virtuales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 199 12.12 Reglas basada en el tiempo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201 12.13 Ver los Registros del cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203 12.14 ¿Cómo se bloquea el acceso a un sitio Web? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207 12.15 Solución de problemas de las reglas del cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 208 211
Traducción de Direcciones de Red 13
13.1 puerto reenvía
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211
13.2 1: 1 NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 217 13,3 Ordenamiento de NAT y Firewall Processing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 220 13.4 NAT reflexión . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 222 13.5 de salida NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 225 13.6 La elección de una fi guración Con NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 228 13.7 NAT y Protocolo de compatibilidad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 229 13.8 de red IPv6 Prefijo x Traducción (TNP)
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 232
13.9 Solución de problemas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 234 13.10 predeterminado NAT Con fi guración . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 237 239
14 enrutamiento
14.1 Gateways . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 239 14.2 Configuración de puerta de enlace . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 240 14.3 Grupos de puerta de enlace . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 243 14,4 rutas estáticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 243 14.5 Las direcciones de enrutamiento IP públicas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 247 14.6 Protocolos de enrutamiento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 250 14.7 Solución de problemas de rutas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 252 15 Bridging
257
15.1 Creación de un puente . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 257 15.2 Opciones avanzadas Bridge . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 257 15.3 Bridging e Interfaces
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 260
15.4 Bridging y rewalling fi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 262 15.5 puente entre dos redes internas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 263 15.6 interoperabilidad Bridging . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 264 15.7 Tipos de puentes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 265 15.8 Bridging y bucles de Capa 2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 266 16 LAN virtuales (VLAN)
267
16.1 Terminología . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 267 16.2 VLAN y Seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 268 16.3 pfSense VLAN Con fi guración . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 269 16.4 Interruptor de VLAN con fi guración . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 273 16,5 pfSense QinQ Con fi guración . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 283 16.6 Requisitos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 285
iii
17 Conexiones WAN múltiples
287
17.1 Multi-WAN Terminología y conceptos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 287 17.2 Estrategias de políticas de encaminamiento, de carga y failover . . . . . . . . . . . . . . . . . . . . . . . . 289 17.3 Multi-WAN Advertencias y consideraciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 290 17.4 Resumen de los requisitos Multi-WAN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 292 17.5 de equilibrio de carga y conmutación por error con Grupos de puerta de enlace . . . . . . . . . . . . . . . . . . . . . . . . . . . 292
17.6 Interfaz y DNS Con fi guración . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 294 17.7 Multi-WAN y NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 295 17.8 Políticas de Enrutamiento con fi guración . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 296 17.9 Comprobación de la funcionalidad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 298 17.10 Solución de problemas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 300 17.11 Multi-WAN en un palo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 301 17.12 Multi-WAN para IPv6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 301 17.13 Multi-Link PPPoE (MLPPP) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 303 17.14 La elección de conectividad a Internet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 304 18 Redes Privadas Virtuales
307
18.1 La elección de una solución VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 307 18.2 VPN y reglas del cortafuegos
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 309
18.3 VPNs y IPv6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 310 18.4 PPTP Advertencia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 311 18.5 implementaciones comunes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 311 19 IPsec
315
19.1 IPsec e IPv6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 315 19.2 Selección de opciones de con fi guración . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 315 19.3 reglas de cortafuego IPsec y fi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 324 19.4 de sitio a sitio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 324 19,5 móvil IPsec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 333 19.6 Prueba de conectividad IPsec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 368 19.7 Solución de problemas de IPsec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 369 19.8 Con fi gurar dispositivos de IPsec de terceros . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 377 19.9 Terminología de IPsec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 380 20 OpenVPN
383
20.1 OpenVPN e IPv6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 383 20.2 OpenVPN de Con fi guración Opciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 383 20.3 Uso del Asistente del servidor OpenVPN para el acceso remoto . . . . . . . . . . . . . . . . . . . . . . . . . 394 20.4 Con fi gurar usuarios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 400 20.5 Instalación de cliente OpenVPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 401 20.6 de sitio a sitio Ejemplo (Shared Key)
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 413
20.7 de sitio a sitio Ejemplo Con fi guración (SSL / TLS) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 416 20.8 Comprobación del estado de los clientes y servidores OpenVPN . . . . . . . . . . . . . . . . . . . . . . . . . 420 20.9 Permitir fi c tráfico al servidor OpenVPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 421 20,10 Permitir tráfico c sobre OpenVPN Tunnels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 422 20.11 clientes OpenVPN y acceso a Internet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 422 20.12 Asignación de OpenVPN Interfaces . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 422 20.13 NAT con conexiones OpenVPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 424 20.14 OpenVPN y Multi-WAN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 425 20.15 OpenVPN y la carpa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 429 20.16 Conexiones en puente de OpenVPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 429 20.17 Las opciones de personalización con fi guración . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 431 20.18 comparte un puerto con OpenVPN y un servidor Web . . . . . . . . . . . . . . . . . . . . . . . . . . . . 432 20.19 Los parámetros de control de cliente a través de RADIUS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 432
iv
20.20 Solución de problemas OpenVPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 433 20.21 OpenVPN y Certificados fi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 437 21 L2TP VPN
439
21.1 L2TP y reglas del cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 439 21.2 L2TP y Multi-WAN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 439 21.3 Servidor L2TP con fi guración . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 439 21.4 L2TP con IPsec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 441 21.5 Solución de problemas L2TP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 444 21.6 L2TP Logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 445 Advertencia 21,7 L2TP Seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 446 22 Traf fi c Shaper
447
22.1 Lo que el fi co talladora Traf puede hacer por usted . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 447 22.2 Las limitaciones de hardware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 448 22.3 Tipos ALTQ Programador
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 448
22.4 Con fi gurar la fi co talladora ALTQ Traf Con el Asistente . . . . . . . . . . . . . . . . . . . . . . . . . 450 22.5 Supervisión de las colas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 456 22.6 Personalización avanzada . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 456 22.7 limitadores . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 459 22.8 Capa 7 Inspección . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 462 22,9 Traf fi c Shaping y VPNs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 464 22.10 Solución de problemas de la talladora . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 465 22.11 Traf Fundamentos Shaping fi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 466 467
23 Servidor de equilibrio de carga
Opciones de equilibrio de carga con fi guración 23.1 Server
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 467
23.2 Web Server Load Balancing Ejemplo Con fi guración . . . . . . . . . . . . . . . . . . . . . . . . . . 471 23.3 Solución de problemas del servidor de equilibrio de carga . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 477 24 Wireless
479
24.1 recomendados de hardware inalámbrico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 479 24.2 Trabajar con Access Point Wireless Virtual Interfaces . . . . . . . . . . . . . . . . . . . . . . . . . 482 24.3 WAN inalámbrica . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 483 24.4 Bridging e inalámbrico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 486 24.5 mediante un punto de acceso externo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 487 24.6 pfSense como un Punto de Acceso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 489 24,7 protección adicional para una red inalámbrica . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 495 24.8 Con fi gurar un Secure Wireless Hotspot . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 496 24.9 Solución de problemas de conexiones inalámbricas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 498 25 portal cautivo
501
25.1 Zonas portal cautivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 501 25.2 Escenarios portal cautivo Común . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 501 25.3 Zona de Con fi guración Opciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 502 25.4 Control de dirección MAC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 510 25.5 mascotas Dirección IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 512 25.6 Los nombres de host animales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 512 25.7 Vales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 513 Gestor de 25.8 Archivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 517 25.9 Visualización de los usuarios autenticados del portal cautivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 518 25.10 Solución de portal cautivo
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 519
25.11 Limitaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 520 26 de alta disponibilidad
523
v
26.1 pfsync general . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 523 26,2 pfSense XML-RPC Con fi g de sincronización general . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 524 26,3 Ejemplo redundante Con fi guración . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 524 26.4 Multi-WAN con HA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 530 26.5 Verificación de la funcionalidad de conmutación por error . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 532
26,6 proporcionar redundancia Sin NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 534 26.7 Capa 2 Redundancia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 537 26.8 de alta disponibilidad con Bridging . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 538 26.9 Utilización de alias IP para reducir el latido del corazón de trá fi co . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 538
26.10 Interfaz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 539 26.11 Solución de problemas de alta disponibilidad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 539 26.12 CARP general . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 543 27 Servicios
547
Servidor DHCP IPv4 27.1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 547 27.2 IPv6 del servidor DHCP del router y Anuncios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 554 27.3 DHCP y DHCPv6 Relay . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 556 27.4 de resolución de DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 557 27,5 DNS Forwarder . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 562 27.6 DNS dinámico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 565 27.7 SNMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 568 27.8 UPnP y NAT-PMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 570 27.9 NTPD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 572 27.10 Wake on LAN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 577 27.11 Servidor PPPoE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 579 27.12 proxy IGMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 580 28 SystemMonitoring
583
28.1 Registros del sistema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 583 28.2 Registro remoto con Syslog . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 587 28,3 tablero de instrumentos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 589 28,4 puerto de estado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 594 28.5 Estado del servicio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 595 28.6 Gráficos de seguimiento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 595 28.7 Firewall Unidos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 603 28,8 Traf fi c gráficos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 608 28.9 Sistema de Actividad (Arriba) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 609 28.10 PFINFO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 609 28.11 SMART del disco duro de estado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 610 28.12 cationes fi SMTP y Growl Noti . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 615 28.13 Visualización del contenido de las Tablas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 615 28.14 Pruebas de DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 616 28.15 Prueba de un puerto TCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 616 29 Paquetes
619
29.1 Instalación de Paquetes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 619 29.2 reinstalar y actualizar paquetes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 620 29.3 Paquetes de desinstalación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 621 29.4 Paquetes en desarrollo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 621 29.5 Una breve introducción a proxies web y presentación de informes: calamar, SquidGuard y Lightsquid . . . . . . . 621
29.6 Introducción a los Paquetes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 625 Software de Terceros y 30 pfSense 30.1 autenticación RADIUS con Windows Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 627 30.2 Syslog Server en Windows con Kiwi Syslog . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 633
vi
627
30.3 Uso de Software de Sistema de Puertos de FreeBSD (Paquetes) . . . . . . . . . . . . . . . . . . . . . . . 633 30.4 Con fi gura BIND como un RFC 2136 Servidor DNS dinámico . . . . . . . . . . . . . . . . . . . . . . . . 635 639
31 de paquetes Capturing
31.1 Selección de la interfaz adecuada . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 639 31.2 La limitación de volumen de captura . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 639 31.3 capturas de paquetes desde los WebGUI
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 640
31.4 Uso de tcpdump desde la línea de comandos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 641 31.5 Uso de Wireshark con pfSense . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 649 31.6 Referencias Adicionales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 652 31,7 marco de captura de referencia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 652 32 Guía de menús
655
32.1 Sistema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 655 32.2 Interfaces . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 655 32.3 Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 656 32.4 Servicios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 656 32.5 VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 657 32.6 Estado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 657 32.7 Diagnóstico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 658
vii
viii
CAPÍTULO
UNO
PREFACIO
Expresiones de gratitud Este libro, y la propia pfSense no serían posibles sin un gran equipo de desarrolladores, contribuyentes, porteros SUP- corporativos, y una comunidad maravillosa. El proyecto ha recibido contribuciones de código de más de 200 personas, con 14 de ellos contribuye considerablemente y de manera rutinaria suficiente para obtener acceso de envío. Cientos de personas han contribuido fi nanciera con el hardware y otros recursos necesarios. Miles de personas más han hecho su parte apoyando el proyecto ayudando a otros en la lista de correo, foros, e IRC. Nuestro agradecimiento a todos los que han hecho su parte para que el proyecto del gran éxito se ha convertido.
pfSense Desarrolladores El equipo de desarrollo de pfSense activa actual, que se enumeran por orden de antigüedad.
• Co-fundador Chris Buechler • Bill Marquette • Holger Bauer • Erik Kristensen • Seth Mos • matthew Grooms • Renato Botelho También nos gustaría dar las gracias a todos los desarrolladores de FreeBSD, especí fi camente, los que han ayudado considerablemente con pfSense.
• Max Laier • Cristiano SJ Peron • Andrew Thompson • Bjoern A. Zeeb
Agradecimientos personales De Chris Tengo que dar las gracias a mi esposa y el crédito considerable para la realización de este libro y el éxito del proyecto en general. Este libro y el proyecto han dado lugar a un sinnúmero de días largos, noches, y meses sin descanso de un día, y su apoyo ha sido crucial.
1
El libro pfSense, Liberación
También me gustaría dar las gracias a las muchas empresas que han adquirido nuestro apoyo y suscripciones de revendedor que me permite dar el salto a trabajar a tiempo completo en el proyecto a principios de 2009.
También debo agradecer a Jim para saltar en este libro y que proporciona una ayuda considerable en la realización de la misma. Ya han pasado dos años en la fabricación, y mucho más trabajo de lo que había imaginado. Puede haber sido obsoleta antes de que llegara terminado si no fuera por su ayuda en los últimos meses. Además, gracias a Jeremy Reed, nuestro director y editor, por su ayuda con el libro.
Por último, mi agradecimiento a todos los que han contribuido al proyecto pfSense de cualquier manera, especialmente los desarrolladores que han dado enormes cantidades de tiempo para el proyecto durante los últimos nueve años.
De Jim Me gustaría dar las gracias a mi esposa e hijo, que me aguantan lo largo de mi participación en el proceso de escritura no sólo para el primer libro, pero el segundo también. Sin ellos, habría vuelto loco hace mucho tiempo. También me gustaría dar las gracias a Rick Yaney de HPC Internet, por ser de apoyo de pfSense, FreeBSD, y el software de código abierto en general.
Toda la comunidad pfSense es merecedor de aún más gracias a su vez, es la mejor y más solidaria grupo de usuarios y colaboradores de software de código abierto que he encontrado.
Los revisores Las siguientes personas hicieron comentarios y la penetración muy necesaria para ayudar a mejorar el libro y su exactitud. Listados en orden alfabético por el apellido.
• Jon Bruce • mark Foster • Bryan Irvine • Warren Midgley • Eirik Øverby
Realimentación El editor y autores animan a sus comentarios para este libro y la distribución pfSense. Por favor envíe sus sugerencias, críticas y / o elogios para el libro al pfSense [email protected] . Para consultas generales relacionadas con el proyecto pfSense, publica una entrada en la lista de correo o foros. Los enlaces a estos recursos se pueden encontrar en http://pfsense.org/support .
Convenciones tipográficas En todo el libro una serie de convenciones se utilizan para denotar ciertos conceptos, información o acciones. La siguiente lista da ejemplos de cómo se formatean en el libro. Las selecciones de menú Las reglas del cortafuegos
Etiquetas de elementos GUI / Nombres Destino
Botones Aplicar cambios
2
Capítulo 1. Prefacio
El libro pfSense, Liberación
Prompt para entrada Quieres proceder? Entrada del usuario Descripción de la regla Los nombres de archivo / boot / loader.conf
Los nombres de los comandos o programas comandos gzip escritos en el intérprete de comandos :: # ls -l
Los artículos que deben ser reemplazados con los valores especí fi cos a su configuración 192.168.1.1
Notas especiales .. Nota: Tenga cuidado con esto!
líneas literales largas en ejemplos de salida pueden ser divididos con el (hookleftarrow). Largo de la cáscara ejemplos de línea de comandos se pueden dividir utilizando la barra invertida () como continuación de línea shell. Bienvenido a El libro pfSense, escrito por pfSense co-fundador Chris Buechler y miembro coreteam Jim Pingle. Este libro abarca desde el proceso de instalación y con fi guración básica de red avanzada y rewalling fi usar este popular de distribución de software del router de código abierto y fi cortafuegos.
Este libro está diseñado para ser un amable guía paso a paso para tareas de red y de seguridad común junto con una referencia completa de las capacidades de pfSense. El libro pfSense cubre algunos de los siguientes temas:
• Una introducción a pfSense y sus características. •
Hardware y la planificación del sistema.
• Instalación y actualización de pfSense. • Mediante la interfaz con fi guración basada en la web. •
Copia de seguridad y restauración.
•
fundamentos de cortafuegos, incluyendo la de fi nición y reglas de solución de problemas.
• Traducción de puertos de reenvío y de direcciones de red (NAT). •
establecimiento de una red general y enrutamiento con fi guración.
•
Construyendo puentes, redes de área local virtuales (VLAN), y Multi-WAN.
• Redes privadas virtuales utilizando IPsec y OpenVPN. •
Traf fi c conformación y el equilibrio de carga.
• La red inalámbrica y las configuraciones de portal cautivo. • rewalls fi redundantes y de alta disponibilidad. •
Diversos servicios relacionados con la red.
•
Monitorización de la instalación, el registro, análisis de tráfico c, snif fi ng, paquete de captura, y solución de problemas.
• Paquetes de software y las instalaciones y actualizaciones de software de terceros. Al final de este libro, podrás encontrar una Guía de menús con las opciones de menú estándar disponibles en pfSense.
1.3. Convenciones tipográficas
3
El libro pfSense, Liberación
autores Chris Buechler Uno de los fundadores del proyecto pfSense, Chris es también uno de sus promotores más activos. Él ha estado en la indus- tria de TI durante más de una década, trabajando extensamente con rewalls fi y FreeBSD para la mayor parte de ese tiempo. Él ha proporcionado la seguridad, la red y los servicios relacionados para las organizaciones en el sector público y privado, que varían en tamaño desde pequeñas organizaciones a las organizaciones del sector público y grandes compañías de Fortune 500. Posee numerosos certi fi caciones de la industria incluyendo el CISSP, SSCP, MCSE y CCNA entre otros. Su página web personal se puede encontrar en http://chrisbuechler.com .
Jim Pingle Jim ha estado trabajando con FreeBSD más de diez años y profesionalmente durante los últimos ocho. Ahora, un empleado de tiempo completo de Netgate , Que proporciona apoyo global para pfSense suscriptores de apoyo comercial. Como ex administrador del sistema para un ISP local en Bedford, Indiana EE.UU., HPC Servicios de internet, trabajó con los servidores de FreeBSD, diversos equipos de enrutamiento y circuitos, y, por supuesto, ficción basada en pfSense rewalls tanto interna como para muchos clientes. Jim se graduó en 2002 con una licenciatura en Sistemas de Información de Indiana-Purdue Fort Wayne. También contribuye a varios proyectos de código abierto, además de pfSense, más notablemente RoundCube, Webmail, y glTail. Cuando está lejos del equipo, Jim disfruta pasar tiempo con su familia, la lectura, la toma de fotografías, y de ser un adicto a la televisión. Su página web personal se puede encontrar en http://pingle.org .
4
Capítulo 1. Prefacio
CAPÍTULO
DOS
PREFACIO
Mis amigos y compañeros de trabajo saben que construyo rewalls fi. Por lo menos una vez al mes, alguien dice “Mi empresa necesita un cortafuego con X e Y, y las cotizaciones de precios que he recibido son decenas de miles de dólares. ¿Puede usted ayudarnos?”Cualquiera que construye rewalls fi conoce a esta pregunta podría formularse de manera más realista como“¿Podría por favor venir una noche y una palmada a algunos equipos para mí, entonces me permitirá interrumpir al azar para los próximos tres a cinco años para has instalar nuevas características, problemas de depuración, configurar las funciones que no sabían lo suficiente para solicitar, asistir a reuniones para resolver problemas que no puede ser cuestiones cortafuego pero alguien piensa que podría ser el cortafuego, e identificar soluciones para mis necesidades desconocidos innumerables ? Ah, y asegúrese de probar cada posible caso de uso antes de implementar cualquier cosa “.
Rechazando estas peticiones me hace parecer grosero. La aceptación de estas solicitudes arruina mi alegre comportamiento. Durante mucho tiempo, no edificar rewalls fi para nadie, excepto para mi empleador. pfSense me permite ser una persona más agradable sin tener que trabajar realmente en él.
Con pfSense, puedo desplegar un cortafuego en tan sólo un par de horas con la mayor parte de ese tiempo la instalación de cables y explicar la diferencia entre “dentro” y “fuera”. Extensa comunidad de la documentación y el usuario de pfSense me ofrece una forma sencilla de responder a cualquier pregunta con Simply “qué se mira eso?”. Si pfSense no admite una característica entonces es probable que no puedo apoyar tampoco. Pero pfSense apoya todo lo que podría pedir - con una interfaz amigable para arrancar. La amplia base de usuarios significa que las características se prueban en muchos entornos diferentes y, en general simplemente funciona aun cuando interactúan con PC con Windows ME niños del CEO conectado a Internet mediante Ethernet sobre ATM a través de una paloma mensajera. Lo mejor de todo, pfSense está construida en gran parte del mismo software que haría uso de mí mismo. Confío en que el sistema operativo FreeBSD subyacente sea seguro, estable, y e fi ciente.
Las actualizaciones de seguridad? Basta con hacer clic en un botón y reiniciar el sistema.
Es necesario nuevas características? Sólo encenderlos. pfSense se encarga de la agrupación, trá fi co conformado, balanceo de carga, la integración con el equipo existente a través de RADIUS, IPsec, monitoreo, DNS dinámico, y más. -proveedores de la industria de renombre cobran tarifas exorbitantes para apoyar lo que pfSense ofrece libremente. Si su empleador insiste en pagar por contratos de soporte, o si simplemente se sienta más seguro sabiendo que puede coger el teléfono y gritar para pedir ayuda, usted puede conseguir acuerdos de apoyo pfSense muy razonable. Si no es necesario un contrato de soporte, me he enterado de que Chris, Jim, o cualquier otra persona con un poco pfSense cometer permitirá a los usuarios agradecidos pfSense a comprar una cerveza o seis. En lo personal, no construyo rewalls fi desde cero más. Cuando necesito un cortafuego, yo uso pfSense.
- Michael W. Lucas
5
El libro pfSense, Liberación
6
Capítulo 2. Introducción
CAPÍTULO
TRES
INTRODUCCIÓN
¿Qué significa para pfSense / media? El proyecto duró meses sin nombre. De hecho, la cárcel de FreeBSD que corría el servidor CVS fue llamado proyecto X hasta que el proyecto se ha migrado a git hace varios años. La localización de un nombre de dominio disponible era el principal di fi cultad. Los fundadores del proyecto, Scott y Chris, corrieron a través de numerosas posibilidades, finalmente se instaló en pfSense porque el cortafuego haría sentido del paquete de software de fi ltrado utiliza, pf.
¿Por qué FreeBSD? Hay numerosos factores que fueron objeto de consideración a la hora de elegir un sistema operativo base para el proyecto. Esta sección describe las razones principales para la selección de FreeBSD.
Soporte inalámbrico Soporte inalámbrico es una característica crítica para muchos usuarios. En 2004, el apoyo inalámbrico en OpenBSDwas muy limitada en comparación con FreeBSD. OpenBSD no apoyó los conductores o los protocolos de seguridad y se ofreció ningún plan para su implementación. A día de hoy, FreeBSD supera las capacidades inalámbricas de OpenBSD.
Rendimiento de la red rendimiento de la red en FreeBSD es significativamente mejor que la de OpenBSD. Para pequeñas y despliegues de tamaño medio, por regla general, no importa; escalabilidad superior es la principal preocupación en OpenBSD. Un desarrollador pfSense gestión de varios cientos de rewalls fi OpenBSD utilizando PF se vio obligado a cambiar sus sistemas de alta carga a PF en FreeBSD para manejar las altas paquetes por segundo tasa requerida por partes de su red. El rendimiento de la red en OpenBSD ha mejorado desde 2004, pero todavía existen limitaciones.
El soporte multi-procesador para PF en FreeBSD permite una mayor escalabilidad y es utilizado por pfSense como se ve en este análisis rendimiento de la red: https://github.com/gvnn3/netperf/blob/master/Documentation/netperf.pdf .
La familiaridad y la facilidad de tenedor
El código para m0n0wall se basa en FreeBSD y pfSense fork de m0n0wall. Cambiar el sistema operativo base requeriría prohibitivamente grandes modificaciones y podría haber introducido limitaciones de otros sistemas operativos, lo que requiere características para ser suprimida o alterada.
7
El libro pfSense, Liberación
Soporte del sistema operativo alternativo No hay planes de apoyo a cualquier otro sistema operativo de base en este momento.
Los despliegues comunes pfSense puede satisfacer las necesidades de casi cualquier tipo y tamaño de entorno de red, desde un centro de datos de SOHO ambientes. En esta sección se describen las implementaciones más comunes.
Firewall perimetral La implementación más común de pfSense es un cortafuego perimetral. pfSense tiene capacidad para redes que requieren múltiples conexiones a Internet, múltiples redes LAN, y múltiples redes DMZ. BGP (Border Gateway Protocol), capacidades de redundancia de conexión, y el equilibrio de carga son con fi gurable también. Ver también:
Estas funciones avanzadas se describen adicionalmente en enrutamiento y Las conexiones WAN múltiples .
LAN o WAN del router pfSense con fi gura como un router LAN o WAN y cortafuego perimetral es una implementación común en redes pequeñas. LAN y WAN de enrutamiento son funciones separadas en redes más grandes.
Router LAN pfSense es una solución probada para la conexión de varios segmentos de red internos. Esto es más comúnmente desplegado con VLAN con fi gurada con trunking 802.1Q, que se describe más en LAN virtuales (VLAN) . múltiples interfaces Ethernet también se utilizan en algunos entornos. De alto volumen LAN tráfico c entornos con menos requisitos de fi ltrado puede necesitar capa 3 conmutadores o routers basados en ASIC en su lugar.
router WAN pfSense es una gran solución para proveedores de servicios de Internet. Ofrece toda la funcionalidad requerida por la mayoría de las redes a un precio mucho más bajo que otras ofertas comerciales.
Electrodomésticos de propósito especial pfSense puede ser utilizado para escenarios de implementación menos comunes como un dispositivo autónomo. Los ejemplos incluyen: aparato VPN, aparato Sniffer, y dispositivo de servidor DHCP.
VPN Appliance pfSense software instalado como un dispositivo de red privada virtual VPN separada añade capacidades sin interrumpir la infraestructura fi cortafuegos existente, e incluye múltiples protocolos VPN.
8
Capítulo 3. Introducción
El libro pfSense, Liberación
Sniffer Appliance pfSense ofrece una interfaz web para el tcpdump analizador de paquetes. El capturado. gorra los archivos se descargan y se analizaron en Wireshark .
Ver también: Para obtener más información sobre cómo utilizar las funciones de captura de paquetes de pfSense, véase La captura de paquetes .
DHCP Server Appliance pfSense se puede implementar estrictamente como un servidor de protocolo de configuración de host de Con fi dinámico, sin embargo, hay limitaciones de la interfaz gráfica de usuario avanzada para pfSense con fi guración del daemon de DHCP de ISC. Ver también:
Para obtener más información acerca de con fi gurar el servicio DHCP en pfSense, véase Servidor DHCP IPv4 y IPv6 servidor DHCP del router y Anuncios
Terminología interfaz de nomenclatura Todas las interfaces en pfSense se pueden asignar cualquier nombre que desee, pero todos ellos comienzan con nombres predeterminados: WAN, LAN y TPO.
PÁLIDO
Corto para Red de área amplia, WAN es la red pública no es de confianza fuera del router. En otras palabras, la interfaz WAN es la conexión del cortafuego a Internet u otra red de aguas arriba. En una implementación multi-WAN, WAN es la primera o la conexión a Internet primaria.
Como mínimo, el cortafuego debe tener una interfaz, y que es la WAN.
LAN Corto para Red de área local, LAN es comúnmente el lado privado de un cortafuego. Por lo general utiliza una dirección IP privada esquema para los clientes locales. En implementaciones pequeñas, en la LAN es la única interfaz interna.
OPTAR OPTAR o Opcional se refieren a las interfaces de interfaces adicionales distintos de WAN y LAN. OPT las interfaces pueden ser adiciones cionales segmentos de LAN, conexiones WAN, segmentos de DMZ, interconexiones con otras redes privadas, y así sucesivamente.
DMZ Abreviatura de la expresión militar zona desmilitarizada, DMZ se refiere a la memoria intermedia entre un área protegida y una zona de guerra. En las redes, es un área donde los servidores públicos son accesibles desde Internet a través de la WAN, pero aislado de la LAN. El DMZ mantiene los sistemas de otros segmentos de ser puesto en peligro si se ve comprometida la red, al mismo tiempo proteger hosts en la DMZ de otros segmentos locales y de Internet en general.
3.4. Terminología interfaz de nomenclatura
9
El libro pfSense, Liberación
Advertencia: Algunas compañías emplean mal el término “zona de distensión” en sus productos fi cortafuego como referencia a 1: 1 NAT en la dirección IP WAN que expone una serie en la LAN. Para más información, ver 1: 1 NAT en el IP WAN, también conocido como “zona de distensión” en Linksys .
FreeBSD nomenclatura interfaz El nombre de una interfaz de FreeBSD comienza con el nombre de su controlador de red. Esta es seguida luego por un número a partir de
0 que aumenta de forma incremental en uno por cada interfaz adicional compartiendo ese controlador. Por ejemplo, un conductor común utilizado por la red Gigabit Intel tarjetas de interfaz es IGB. La primera tarjeta de este tipo en un sistema será igb0, la segunda es igb1,
y así. Otros nombres comunes incluyen controladores CXL ( Chelsio 10G), em ( También Intel 1G), ix ( Intel 10G), BGE ( varios conjuntos de chips Broadcom), entre muchos otros. Si un sistema se mezcla una tarjeta de Intel y una tarjeta Chelsio, las interfaces serán igb0 y cxl0 respectivamente.
Ver también:
asignación de las interfaces y los nombres están cubiertos aún más en Instalación y actualización .
Búsqueda de información y obtención de ayuda En esta sección se ofrece orientación sobre hallazgo información de este libro, en pfSense en general, así como proporcionar más recursos.
Encontrando informacion La función de búsqueda en el libro es la forma más fácil de fi nd información sobre un tema específico. Las características y las implementaciones de pfSense más comunes se incluyen en este libro. Al leer la versión HTML del libro, la función de búsqueda se encuentra en la parte superior izquierda de la página. Al leer una copia de estilo de libros electrónicos, consulte la documentación para el software lector de libros para obtener información sobre cómo buscar.
Hay una gran cantidad de experiencias y de información de usuario adicionales disponibles en los diversos sitios web pfsense.org. La mejor manera de buscar en los sitios es una búsqueda Anexión de Google sitio: pfsense.org a la consulta. Esto buscará la página web, foro, el sitio Redmine, la documentación de libre acceso, etc., que son todas las fuentes de fi ciales de información.
Obteniendo ayuda
Un icono de ayuda está disponible en casi todas las páginas,
, y enlaces a la página asociada en la documentación pfsense.org.
El proyecto pfSense ofrece varias otras maneras de obtener ayuda, incluyendo una foro , documentación de acceso abierto , las listas de distribución y de IRC (Internet Relay Chat, ## pfSense en irc.freenode.net). El soporte comercial también está disponible en el Portal pfSense . Más información se puede encontrar en el sitio web en pfSense Apoyo a la obtención de Muchos de estos enlaces son accesibles desde la interfaz web con fi gurator bajo el menú de Ayuda en pfSense.
El proyecto pfSense es un código abierto de distribución gratuita personalizada de FreeBSD adaptado para su uso como un cortafuego y el router totalmente gestionado por una interfaz web fácil de usar. Esta interfaz web se conoce como el gurator GUI con fi basada en web, o WebGUI para abreviar. No se requieren conocimientos de FreeBSD para desplegar y utilizar pfSense. De hecho, la mayoría de los usuarios nunca han utilizado FreeBSD fuera del pfSense. Además de ser una plataforma potente, flexible rewalling fi y enrutamiento, pfSense incluye una larga lista de características relacionadas. El sistema de paquetes pfSense permite además la capacidad de expansión sin añadir hinchazón y vulnerabilidades de seguridad potenciales para la distribución base. pfSense es un proyecto popular con millones de descargas desde su creación y cientos de miles de instalaciones activas. Se ha probado con éxito
10
Capítulo 3. Introducción
El libro pfSense, Liberación
en un sinnúmero de instalaciones que van desde la protección del equipo individual en pequeñas redes domésticas a miles de dispositivos de red en grandes corporaciones, universidades y otras organizaciones. Para descargar la versión más reciente, consulte las versiones anteriores, o para actualizar siga las guías situadas en el página cargas pfSense Down- .
proyecto de Inicio Este proyecto fue fundado en 2004 por Chris Buechler y Scott Ullrich. Chris contribuyó a m0n0wall durante algún tiempo antes y nos pareció que es una gran solución. Aunque encantados con el proyecto, muchos usuarios deseaban para más capaci- dades que los acomodados por un proyecto enfocado estrictamente hacia los dispositivos integrados con sus recursos de hardware limitados. Introduzca pfSense. En 2004, hubo numerosas soluciones integradas con 64 MB de memoria RAM que no podía AC- comodato el conjunto de características deseada de pfSense, por lo tanto pfSense se expandió a trabajar en la PC más capaz y el tipo de servidor de hardware.
3.6. proyecto de Inicio
11
El libro pfSense, Liberación
12
Capítulo 3. Introducción
CAPÍTULO
LAS CUATRO
los conceptos de redes
La comprensión de las direcciones IP públicas y privadas Las direcciones IP privadas El estándar de red RFC 1918 la define reservados subredes IPv4 para uso exclusivo en las redes privadas (Tabla RFC 1918 Espacio de direcciones IP
privadas ). RFC 4193 de fi ne únicos direcciones locales (ULA) para IPv6 (Tabla RFC 4193 único espacio de direcciones local ). En la mayoría de los entornos, una subred IP privada de RFC 1918 se elige y se utiliza en todos los dispositivos de la red interna. Los dispositivos se conectan a Internet a través de un cortafuego o enrutador implementar el software de dirección de red (NAT), como pfSense. IPv6 está totalmente dirigido desde la red interna sin NAT Direcciones Global Unicast (GUA). NAT se explicará adicionalmente en Traducción de Direcciones de Red .
Tabla 4.1: RFC 1918 espacio de direcciones IP privadas
Rango CIDR
Intervalo de direcciones IP
10.0.0.0/8
10.0.0.0 - 10.255.255.255
172.16.0.0/12
172.16.0.0 - 172.31.255.255
192.168.0.0/16 192.168.0.0 - 192.168.255.255 Tabla 4.2: RFC 4193 único espacio de direcciones local Pre fi x
Intervalo de direcciones IP
FC00 :: / 7
FC00 :: - FDFF: ffff: ffff: ffff: ffff: ffff: ffff: ffff
Una lista completa de las redes IPv4 de uso especial se puede encontrar en RFC 3330 . Hay direcciones IPv4 privadas, como 1.0.0.0/8 y 2.0.0.0/8, que ya han sido asignados a la piscina IPv4 menguante. El uso de estas direcciones son problemáticos y no se recomienda. También, evitar el uso de 169.254.0.0/16, que de acuerdo con RFC 3927 está reservado para “enlace local” con fi guración automática. No debe ser asignada por DHCP o establecer manualmente y routers no permitirá que los paquetes de subred para atravesar fuera de un dominio de difusión fi co. Hay espacio de direcciones de su fi ciente a un lado por el RFC 1918, lo que no hay necesidad de desviarse de la lista que se muestra en la tabla RFC 1918 Espacio de direcciones IP privadas . Inadecuada frente dará lugar a fallo en la red y que debe corregirse.
Las direcciones IP públicas Con la excepción de las redes más grandes, las direcciones IP públicas son asignadas por los proveedores de servicios de Internet. Redes que requieren cientos o miles de direcciones IP públicas suelen tener espacio de direcciones asignado directamente desde su Registro Regional de Internet (RIR). Un RIR es una organización que supervisa la asignación y registro de direcciones IP públicas en unas regiones designadas del mundo.
La mayoría de las conexiones de Internet residenciales se les asigna una única dirección IPv4 pública. La mayoría de las conexiones de clase de negocios se asignan varias direcciones IP públicas. Una única dirección IP pública es adecuado en muchas circunstancias y se puede utilizar
13
El libro pfSense, Liberación
en conjunción con NAT para conectar cientos de sistemas de direccionamiento privado a Internet. Este libro le ayudará a determinar el número de direcciones IP públicas requeridas. La mayoría de las implementaciones IPv6 dar al usuario final al menos un pre x red fi / 64 para su uso como una red interna enrutado. Para cada sitio, esto es más o menos 2 64 Direcciones IPv6, o 18 trillón direcciones, totalmente enrutan a través de Internet sin necesidad de NAT.
Reservado y direcciones Documentación Además de los bloques de fi nido en el RFC 1918, RFC 5735 describe los bloques reservados para otros fines especiales, tales como la documentación, las pruebas y la evaluación comparativa. RFC 6598 actualizaciones RFC 5735 y en el espacio de direcciones de fi ne de Carrier Grade NAT así como. Estas redes especiales incluyen:
Tabla 4.3: RFC 5735 Espacio de direcciones reservados
Rango CIDR
Propósito
192.0.2.0/24
Código de documentación y ejemplo
198.51.100.0/24 Documentación y código de ejemplo 203.0.113.0/24 Documentación y código de ejemplo 198.18.0.0/25
dispositivos de red de evaluación comparativa
100.64.0.0/10
Con calidad de operador espacio NAT
A lo largo del libro, utilizamos ejemplos con las direcciones de la documentación anterior varía, así como RFC 1918 redes ya que son más familiar para los usuarios. Algunos encontramos estas direcciones tentador utilizar para redes privadas virtuales o incluso redes locales. No se recomienda su uso para otra cosa que sus fines previstos nada, pero son mucho menos propensos a ser visto “en estado salvaje” que RFC 1918 redes.
Conceptos de subredes IP Cuando con fi gurar los ajustes de TCP / IP en un dispositivo, una máscara de subred (o pre fi x longitud para IPv6) deben ser especi fi cado. Esta máscara permite al sistema determinar qué direcciones IP están en la red local y que debe ser alcanzado por una puerta de entrada en la tabla de enrutamiento del sistema. La dirección IP de la LAN por defecto de 192.168.1.1 con una máscara de 255.255.255.0, o / 24 en notación CIDR tiene una dirección de red 192.168.1.0/24. CIDR se discute en La comprensión de la máscara de subred CIDR notación .
Dirección IP, subred y Puerta Con fi guración El TCP / IP con fi guración de un host consta de la dirección, máscara de subred (o pre fi x longitud para IPv6) y puerta de enlace. La dirección IP se combina con la máscara de subred es como el anfitrión de identi fi ca las direcciones IP que están en su red local. Direcciones fuera de la red local se envían a con fi gurada puerta de enlace predeterminada del huésped, que se supone va a pasar el trá fi co en el destino deseado. Una excepción a esta regla es una ruta estática que instruye a un router o sistema para ponerse en contacto con especí fi co subredes no locales accesible a través de routers conectados localmente. Esta lista de pasarelas y rutas estáticas se mantiene en la tabla de enrutamiento de cada huésped. Para ver la tabla de enrutamiento utilizado por pfSense, véase Visualización de rutas . Más información acerca del enrutamiento se puede encontrar en enrutamiento .
En una implementación típica pfSense, los anfitriones se les asigna una dirección IP, máscara de subred y la puerta de entrada dentro del rango de LAN del dispositivo pfSense. La dirección IP de LAN del pfSense se convierte en la puerta de enlace predeterminada. Para los hosts de conexión por una interfaz distinta de LAN, utilice la configuración con fi apropiado para la interfaz a la que está conectado el dispositivo. Hosts dentro de una única red se comunican directamente entre sí sin la intervención de la entrada de defecto. Esto significa que ningún cortafuego, incluyendo pfSense, puede controlar la comunicación host-a-host dentro de un segmento de red.
14
Capítulo 4. Conceptos de Redes
El libro pfSense, Liberación
Si se requiere esta funcionalidad, los anfitriones necesitan ser segmentado mediante el uso de múltiples conmutadores, VLAN, o emplear la función de interruptor equivalente como PVLAN. VLAN se cubren en LAN virtuales (VLAN) .
La comprensión de la máscara de subred CIDR notación pfSense utiliza la notación CIDR (Classless Inter-Domain Routing) en lugar de la subred común máscara 255.xxx cuando con fi gurar direcciones y redes. Consulte la siguiente tabla CIDR Tabla de Subred : para hallar el CIDR equivalente de una máscara de subred decimal.
Tabla 4.4: Tabla de subred en CIDR Máscara de subred
CIDR Prefijo x IP total Direcciones IP utilizable Direcciones Número de redes / 24
255.255.255.255
/ 32
1
1
1 / 256a
255.255.255.254
/ 31
2
2*
1 / 128a
255.255.255.252
/ 30
4
2
1 / 64a
255.255.255.248
/ 29
8
6
1 / 32a
255.255.255.240
/ 28
dieciséis
14
1 / 16avo
255.255.255.224
/ 27
32
30
1 / octava
255.255.255.192
/ 26
64
62
1 / cuarto
255.255.255.128
/ 25
128
126
1 medio
255.255.255.0
/ 24
256
254
1
255.255.254.0
/ 23
512
510
2
255.255.252.0
/ 22
1024
1022
4
255.255.248.0
/ 21
2048
2046
8
255.255.240.0
/ 20
4096
4094
dieciséis
255.255.224.0
/ 19
8192
8190
32
255.255.192.0
/ 18
16384
16382
64
255.255.128.0
/ 17
32.768
32.766
128
255.255.0.0
/dieciséis
65536
65.534
256
255.254.0.0
/15
131.072
131070
512
255.252.0.0
/ 14
262.144
262142
1024
255.248.0.0
/ 13
524.288
524286
2048
255.240.0.0
/ 12
1048576
1048574
4096
255.224.0 0
/ 11
2097152
2097150
8192
255.192.0.0
/ 10
4194304
4194302
16384
255.128.0.0
/9
8388608
8388606
32.768
255.0.0.0
/8
16777216
16777214
65536
254.0.0.0
/7
33554432
33554430
131.072
252.0.0.0
/6
67108864
67108862
262.144
248.0.0.0
/5
134217728
134217726
1048576
240.0.0.0
/4
268435456
268435454
2097152
224.0.0.0
/3
536870912
536870910
4194304
192.0.0.0
/2
1073741824
1073741822
8388608
128.0.0.0
/1
2147483648
2147483646
16777216
0.0.0.0
/0
4294967296
4294967294
33554432
Nota: El uso de redes / 31 es un caso especial de fi nida por RFC 3021 donde las dos direcciones IP de la subred son utilizables para enlaces punto a punto para conservar espacio de direcciones IPv4. No todos los sistemas operativos de apoyo RFC 3021 , A fin de utilizarlo con precaución. En los sistemas que no son compatibles RFC 3021 , La subred no se puede utilizar porque los únicos dos direcciones definido por la máscara de subred de la ruta son nulas y no hay emisión y direcciones de host utilizables.
4.4. La comprensión de la máscara de subred CIDR notación
15
El libro pfSense, Liberación
pfSense 2.3.3-RELEASE apoya el uso de / 31 redes para las interfaces y las direcciones IP virtuales
Entonces, ¿dónde los números CIDR vienen? El número CIDR viene del número de unos en la máscara de subred cuando se convierte a binario. La máscara de subred 255.255.255.0 común es 11111111.11111111.11111111.00000000 en binario. Esto se suma a las 24 queridos, o / 24 (pronunciado 'slash veinticuatro').
Una máscara de subred de 255.255.255.192 es 11111111.11111111.11111111.11000000 en binario, o 26 queridos, por lo tanto / 26.
Recapitulación CIDR Además de especificar máscaras de subred, CIDR también se puede emplear para los propósitos de IP o de integración de la red. La columna “Total de direcciones IP” en CIDR Tabla de Subred indica cuántas direcciones se resume en una máscara CIDR dado. Para propósitos de resumen de red, el “número de / 24 redes” columna es útil. CIDR resumen se puede utilizar en varias partes de la interfaz web pfSense, incluidas las normas fi cortafuego, NAT, IPs virtuales, IPsec y rutas estáticas.
direcciones IP o redes que pueden estar contenidos dentro de una sola máscara CIDR se conocen como “summarizable CIDR”. En el diseño de una red, asegurar que todas las subredes IP privadas en uso en un lugar determinado son CIDR summarizable. Por ejemplo, si se requieren tres / 24 subredes en una localización, una red / 22 subredes en cuatro / 24 redes debe ser utilizado. La siguiente tabla muestra los cuatro / 24 subredes utilizadas con la subred 10.70.64.0/22.
Tabla 4.5: CIDR sumarización de ruta 10.70.64.0/22 divide en / 24 redes 10.70.64.0/24 10.70.65.0/24 10.70.66.0/24 10.70.67.0/24 Esto mantiene el encaminamiento más manejable para redes multi-sitio conectado a otra ubicación física mediante el uso de un circuito WAN privada o VPN. Con subredes summarizable CIDR, un destino de la ruta cubre todas las redes en cada lugar. Sin ella, hay varias redes diferentes de destino por ubicación. La tabla anterior se desarrolló utilizando una calculadora de red que se encuentra en el subnetmask.info sitio web. La calculadora convierte de decimal con puntos para CIDRmask, y viceversa, como se muestra en la figura Máscara de subred convertidor .
Si el CIDR Tabla de Subred proporcionada en este capítulo no está disponible, esta herramienta se puede utilizar para convertir un CIDR pre fi x a salpicado notación decimal. Introduzca un CIDR pre fi jo o una máscara decimal con puntos y haga clic en el apropiado Calcular botón para hallar la conversión.
Fig. 4.1: Máscara convertidor de subred
Introduzca la máscara decimal con puntos en la sección Red / Calculadora nodo a lo largo con una de las / 24 redes. Hacer clic
Calcular para rellenar las cajas inferior con la zona de cobertura de esa particular / 24 como se ha demostrado en la figura
dieciséis
Capítulo 4. Conceptos de Redes
El libro pfSense, Liberación
Calculadora de red / nodo . En este ejemplo, la dirección de red es 10.70.64.0/22, y las utilizables / 24 redes son 64 a través de 67. El término “dirección de Broadcast” en esta tabla se refiere la dirección más alta dentro del rango.
Fig. 4.2: Calculadora de red / nodo
Encontrar un juego de red CIDR Rangos de IPv4 en el formato de xxxx-aaaa se admiten en Alias. Para los alias de tipo de red, un rango de IPv4 se convierte automáticamente en el conjunto equivalente de bloques CIDR. Para los alias de tipo host, una serie se convierte en una lista de direcciones IPv4. Ver alias para más información.
Si una coincidencia exacta no es necesario, se pueden introducir números en la calculadora / de nodo de red para aproximar la sumarización deseada.
Los dominios de difusión Un dominio de difusión es la porción de una red que comparten el mismo segmento de la capa 2. En una red con un solo interruptor sin VLAN, el dominio de difusión es todo ese interruptor. En una red con varios conmutadores interconectados sin el uso de VLAN, el dominio de difusión incluye todos esos interruptores. Un único dominio de difusión poder contener más de un buen diseño de red IPv4 o IPv6 subred, sin embargo, que generalmente no se considera. subredes IP deben ser segregados en dominios de difusión separados mediante el uso de conmutadores o VLANs separadas. La excepción a esto se está ejecutando tanto las redes IPv4 e IPv6 dentro de un único dominio de difusión. Esto se conoce como doble pila y es una técnica común y útil mediante IPv4 e IPv6 para la conectividad de los ejércitos. Los dominios de difusión se pueden combinar puenteando dos interfaces de red juntos, pero se debe tener cuidado para evitar bucles de conmutación en este escenario. También hay algunos proxies para ciertos protocolos que no combinan dominios de difusión pero producen el mismo efecto neto, como un relé DHCP que retransmite las peticiones DHCP en un dominio de difusión en otra interfaz. Más información sobre dominios de difusión y cómo combinarlos puede encontrarse en Bridging .
IPv6 Lo esencial
IPv6 permite exponencialmente más espacio de direcciones IP que IPv4. IPv4 utiliza una dirección de 32 bits, lo que permite 2 32 o más de 4 mil millones de direcciones, menos si se eliminan los bloques reservados considerables e IPs quemadas por subredes. IPv6 utiliza una dirección de 128 bits, que es 2 128 o 3,403 x 10 38 direcciones IP. El tamaño estándar IPv6 subred definida por la IETF es un / 64, que contiene 2 64 IPs, o 18.4 trillón direcciones. Todo el espacio IPv4 puede encajar dentro de una subred IPv6 típica muchas veces con espacio de sobra.
4.6. Los dominios de difusión
17
El libro pfSense, Liberación
Una de las mejoras más sutiles con IPv6 es que no hay direcciones IP se pierden a subredes. Con IPv4, dos direcciones IP se pierden por subred para dar cuenta de una dirección IP de ruta y emisión nula. En IPv6, difusión se realiza a través de los mismos mecanismos utilizados para multidifusión implica direcciones especiales enviados a todo el segmento de red. Las mejoras adicionales incluyen encriptación integrada de paquetes, tamaños de paquetes potenciales más grandes, y otros elementos de diseño que hacen que sea más fácil para los routers para manejar IPv6 a nivel de paquete.
A diferencia de IPv4, todos los paquetes se encaminan en IPv6 sin NAT. Cada dirección IP es directamente accesible por otro, a menos detenido por un cortafuego. Esto puede ser un concepto muy dif fi cil de entender para las personas que están acostumbrados a tener existe la LAN con un fi co subred privada específica y luego realizar NAT para cualquiera que sea la dirección externa pasa a ser. Hay diferencias fundamentales en el funcionamiento de IPv6 en comparación con IPv4, pero la mayoría son sólo eso: las diferencias. Algunas cosas son más simples que IPv4, otros son un poco más complicado, pero en su mayor parte es simplemente diferente. Las principales diferencias se producen en la capa 2 (ARP vs. NDP por ejemplo) y la capa 3 (IPv4 vs. direccionamiento IPv6). Los protocolos utilizados en las capas superiores son idénticos; sólo el mecanismo de transporte para esos protocolos ha cambiado. HTTP es todavía HTTP, SMTP es todavía SMTP, etc.
Cortafuegos y VPN Preocupaciones IPv6 restaura la verdadera conectividad peer-to-peer originalmente en su lugar con IPv4 haciendo fi adecuada cortafuegos controla aún más importante. En IPv4, NAT fue mal utilizado como un control adicional fi cortafuegos. En IPv6, NAT se retira. Puerto hacia delante ya no son necesarios en el acceso IPv6 de manera remota será manejado por reglas fi cortafuego. Se debe tener cuidado para asegurarse de LAN VPN encriptado a LAN trá fi co no se encamina directamente al sitio remoto. Ver IPv6
VPN y reglas del cortafuegos para una discusión más a fondo en IPv6 preocupaciones fi cortafuego con respecto a VPN tráfico c.
requisitos IPv6 requiere una red IPv6 habilitado. conectividad IPv6 entregado directamente por un ISP es ideal. Algunos ISP implementar una configuración de doble pila con fi en el que IPv4 e IPv6 se suministran simultáneamente en el mismo transporte. Otros ISP utilizan túneles o de despliegue de IPv6 para proporcionar tipos indirectamente. También es posible utilizar un proveedor de terceros, tales como
tunnelbroker servicio de Hurricane Electric o SixXS . Además de los servicios, el software también debe ser compatible con IPv6. pfSense ha sido con capacidad IPv6 desde 2.1-RELEASE. sistemas operativos y aplicaciones del cliente también debe ser compatible con IPv6. Muchos sistemas operativos comunes y las aplicaciones soportan sin problemas. Microsoft Windows ha apoyado IPv6 en el estado listo para la producción desde el año 2002, aunque las versiones más recientes manejan mucho mejor. OS X ha apoyado IPv6 desde 2001 con la versión 10.1 “PUMA”. Tanto FreeBSD y Linux soportan en el sistema operativo. La mayoría de los navegadores web y clientes de correo soportan IPv6, al igual que las versiones recientes de otras aplicaciones comunes. Para garantizar la fiabilidad, siempre es beneficioso emplear las últimas actualizaciones. Algunos sistemas operativos móviles tienen diferentes niveles de soporte para IPv6. Android y el IOS tanto soporte IPv6, pero solo para Android tiene soporte para automóvil sin estado con fi guración para obtener una dirección IP y no DHCPv6. IPv6 es parte de las especificaciones de LTE por lo que cualquier dispositivo móvil que soporta redes LTE soporta IPv6 también.
Tipos IPv6 WAN Los detalles se pueden encontrar en Tipos IPv6 WAN , Pero algunas de las formas más comunes de despliegue de IPv6 son:
direccionamiento estático IPv6 nativas y utilizando ya sea por cuenta propia o en una pila dual junto con fi guración
IPv4. DHCPv6 Dirección obtenida automáticamente por DHCPv6 a un servidor ascendente. Pre fi x delegación podrá también ser utilizado con DHCPv6 para entregar una subred encaminado a un cliente DHCPv6.
direcciones sin estado con fi guración automática (SLAAC) determina automáticamente la dirección IPv6 por consuling mensajes de anuncio de enrutador y la generación de una dirección IP dentro de un pre fi jo. Esto no es muy
18
Capítulo 4. Conceptos de Redes
El libro pfSense, Liberación
útil para un router, ya que no hay manera de ruta de una red para el “interior” de la cortafuego. Puede ser útil para los modos de electrodomésticos. 6RD túnel Un método de tunelización IPv6 tráfico dentro de IPv4 c. Esto es utilizado por los ISP para una rápida IPv6 Desplegar
ción. 6a4 túnel Al igual que en 6RD pero con diferentes mecanismos y limitaciones. GIF túnel No es técnicamente un tipo de WAN directa, sino que se utiliza comúnmente. Cliente construye un GIF IPv4
túnel a un proveedor de túnel IPv6 tráfico c. Aunque no es técnicamente un tipo de WAN, la conectividad IPv6 puede estar dispuesto también sobre OpenVPN o IPsec con IKEv2. OpenVPN y IPsec en modo de IKEv2 pueden llevar IPv4 y IPv6 tráfico c simultáneamente, de modo que pueden ofrecer IPv6 sobre IPv4, aunque con más sobrecarga que un corredor de túnel típico que utiliza GIF. Estas son buenas opciones para una empresa que tiene IPv6 en un centro de datos principal o fi cina, pero no en una ubicación remota.
Formato de dirección Una dirección IPv6 consta de 32 dígitos hexadecimales, en 8 secciones de 4 dígitos cada uno, separados por dos puntos. Se ve algo como esto: 1234:
5678: 90ab: cdef: 1234: 5678: 90ab: cdef Las direcciones IPv6 tienen varios accesos directos que les permiten ser comprimido en cadenas más pequeñas siguiendo ciertas reglas. Si hay algún ceros a la izquierda en una sección, pueden dejarse fuera. 0001: 0001: 0001: 0001: 0001: 0001: 0001: 0001 podría ser escrito como 1: 1: 1: 1: 1: 1: 1: 1.
Cualquier número de partes de la dirección consta de sólo ceros puede ser comprimido mediante el uso de :: pero esto sólo puede hacerse una vez en una dirección IPv6 para evitar la ambigüedad. Un buen ejemplo de esto es anfitrión local, comprimiendo
0000: 0000: 0000: 0000: 0000: 0000: 0000: 0001 a :: 1. En cualquier momento :: aparece en una dirección IPv6, los valores ser- Tween son todos ceros. Una dirección IP como fe80: 1111: 2222: 0000: 0000: 0000: 7777: 8888, puede ser representado como fe80: 1111: 2222 :: 7777: 8888. Sin embargo, fe80: 1111: 0000:
0000: 4444: 0000: 0000: 8888 No se puede reducir el uso de
:: mas de una vez. Sería ser tanto fe80: 1111 :: 4444: 0: 0: 8888 o fe80: 1111: 0: 0: 4444 :: 8888 pero no poder ser fe80: 1111 :: 4444 :: 8888 porque no hay manera de saber cuántos ceros han sido sustituidos por cualquiera :: operador.
La determinación de un esquema de direcciones IPv6
Debido a la mayor longitud de las direcciones, la gran espacio provisto en incluso un básico / 64 de subred, y la capacidad de utilizar dígitos hexadecimales, hay más libertad para diseñar las direcciones de red de dispositivos. En los servidores que utilizan múltiples alias de direcciones IP para los hosts virtuales, cárceles, etc, un esquema de direccionamiento útil es usar la séptima sección de la dirección IPv6 para denotar el servidor. A continuación, utilice la sección octava de alias IPv6 individuales. todas las IPs de estos grupos en un único host reconocible. Por ejemplo, el servidor sí mismo sería 2001: db8: 1: 1 :: A: 1, y luego el alias IP primeros serían 2001: db8: 1: 1 :: A: 2, entonces * 2001: db8: 1: 1 :: A: 3, etc. El siguiente servidor sería * 2001: db8: 1: 1 :: b: 1,
y repite el mismo patrón. Algunos administradores les gusta divertirse con sus direcciones IPv6 utilizando letras hexadecimales y de números / letras alents valente a hacer que las palabras de sus direcciones IP. Las listas de palabras hexadecimales en la web se puede utilizar para crear direcciones IP más memorables como 2001: db8: 1: 1 :: muertos: carne de res.
Decimal vs Confusión hexadecimal Creación de direcciones IPv6 consecutivos con una base hexadecimal puede causar confusión. valores hexadecimales son base 16 a diferencia de los valores decimales que son la base 10. Por ejemplo, la dirección IPv6 2001: db8: 1: 1 :: 9 es seguido por
2001: db8: 1: 1 :: a, No 2001: db8: 1: 1 :: 10. Al ir a la derecha 2001: db8: 1: 1 :: 10, los valores de FA se ha saltado, dejando un hueco. esquemas de numeración consecutivas no son necesarios y su uso se deja a la discreción del diseñador de la red. Para algunos, es psicológicamente más fácil de evitar el uso de los dígitos hexadecimales.
4.7. IPv6
19
El libro pfSense, Liberación
Dado que todas las direcciones IPv4 se pueden expresar en formato IPv6, este problema surgirá cuando se diseña una red de doble pila que mantiene una sección de la dirección IPv6 lo mismo que su contraparte IPv4.
La división en subredes IPv6
IPv6 subredes es más fácil que IPv4. También es diferente. ¿Quieres dividir o combinar una subred? Todo lo que se necesita es añadir o cortar dígitos y ajustar la longitud fi x pre por un múltiplo de cuatro. Ya no hay una necesidad de calcular inicio de subred / direcciones finales, direcciones útiles, la ruta nula, o la dirección de difusión. IPv4 tenía una máscara de subred (notación quad de puntos) que más tarde fue sustituido por enmascaramiento CIDR. IPv6 no tiene una máscara de subred, sino que lo llama un pre fi x longitud, a menudo abreviado como “Pre fi x”. Pre fi x longitud y CIDR trabajo enmascaramiento de manera similar; La longitud fi x pre denota el número de bits de la dirección de fi ne la red en la que existe. Más comúnmente los prefijos utilizados con IPv6 son múltiplos de cuatro, como se ve en la Tabla IPv6 Tabla de Subred , pero pueden ser cualquier número entre 0 y 128.
El uso de pre fi x longitudes en múltiplos de cuatro hace que sea más fácil para los seres humanos para distinguir subredes IPv6. Todo lo que se requiere para diseñar una subred grande o más pequeño es ajustar el pre fi jo por múltiplo de cuatro. Para referencia, véase la tabla IPv6 Tabla de Subred
una lista de los posibles direcciones IPv6, así como el número de direcciones IP están contenidas dentro de cada subred.
Tabla 4.6: IPv6 subred Tabla Pre fi x subred Ejemplo
Direcciones IP totales
# De / 64 redes
4
x::
2 124
2 60
8
xx ::
2 120
2 56
12
xxx ::
2 116
2 52
dieciséis
xxxx ::
2 112
2 48
20
xxxx: x ::
2 108
2 44
24
xxxx: xx ::
2 104
2 40
28
xxxx: xxx ::
2 100
2 36
32
xxxx: xxxx ::
2 96
4294967296
36
xxxx: xxxx: x ::
2 92
268435456
40
xxxx: xxxx: xx ::
2 88
16777216
44
xxxx: xxxx: xxx ::
2 84
1048576
48
xxxx: xxxx: xxxx ::
2 80
65536
52
xxxx: xxxx: xxxx: x ::
2 76
4096
56
xxxx: xxxx: xxxx: xx ::
2 72
256
60
xxxx: xxxx: xxxx: xxx ::
2 68
dieciséis
64
xxxx: xxxx: xxxx: xxxx ::
2 64 ( 18,446,744,073,709,551,616) 1
68
xxxx: xxxx: xxxx: xxxx: x ::
2 60 ( 1,152,921,504,606,846,976)
0
72
xxxx: xxxx: xxxx: xxxx: xx ::
2 56 ( 72,057,594,037,927,936)
0
76
xxxx: xxxx: xxxx: xxxx: xxx ::
2 52 ( 4,503,599,627,370,496)
0
80
xxxx: xxxx: xxxx: xxxx: xxxx ::
2 48 ( 281,474,976,710,656)
0
84
xxxx: xxxx: xxxx: xxxx: xxxx: x ::
2 44 ( 17,592,186,044,416)
0
88
xxxx: xxxx: xxxx: xxxx: xxxx: xx ::
2 40 ( 1,099,511,627,776)
0
92
xxxx: xxxx: xxxx: xxxx: xxxx: xxx ::
2 36 ( 68719476736)
0
96
xxxx: xxxx: xxxx: xxxx: xxxx: xxxx ::
2 32 ( 4294967296)
0
100
xxxx: xxxx: xxxx: xxxx: xxxx: xxxx: x ::
2 28 ( 268435456)
0
104
xxxx: xxxx: xxxx: xxxx: xxxx: xxxx: xx ::
2 24 ( 16.777.216)
0
108
xxxx: xxxx: xxxx: xxxx: xxxx: xxxx: xxx ::
2 20 ( 1.048.576)
0
112
xxxx: xxxx: xxxx: xxxx: xxxx: xxxx: xxxx ::
2 dieciséis ( 65.536)
0
116
xxxx: xxxx: xxxx: xxxx: xxxx: xxxx: xxxx: x ::
2 12 ( 4096)
0
120
xxxx: xxxx: xxxx: xxxx: xxxx: xxxx: xxxx: xx ::
2 8 ( 256)
0 Continúa en la siguiente página
20
Capítulo 4. Conceptos de Redes
El libro pfSense, Liberación
Tabla 4.6 - viene de la página anterior Pre fi x subred Ejemplo 124
xxxx: xxxx: xxxx: xxxx: xxxx: xxxx: xxxx: xxx ::
128
xxxx: xxxx: xxxx: xxxx: xxxx: xxxx: xxxx: xxxx 2 0 ( 1)
Direcciones IP totales
# De / 64 redes
2 4 ( dieciséis)
0 0
A / 64 es una subred IPv6 tamaño estándar tal como se define por el IETF. Es subred más pequeña que se utiliza a nivel local si se desea con auto fi gu- ración.
Típicamente, un ISP asigna un / 64 o menor de subred para establecer el servicio en la WAN. Una red adicional se encamina el uso de LAN. El tamaño de la asignación depende de la ISP, pero no es raro ver a los usuarios finales reciben al menos un / 64 e incluso hasta a un / 48.
Un proveedor de servicios túnel como tunnelbroker.net dirigido por Hurricane Electric destinará a / 48, además de un enrutado / 64 de subred y una interconexión / 64. Asignaciones de mayor que / 64 generalmente adoptan la primera / 64 para LAN y subdividen el resto para requisitos tales como túnel VPN, DMZ, o una red de invitados.
Las subredes IPv6 especiales redes de uso especial se reservan en IPv6. Una lista completa de éstos se pueden encontrar en el Artículo de Wikipedia IPv6 . Seis ejemplos de redes IPv6 especiales y sus direcciones se muestran a continuación en Redes IPv6 especiales y direcciones .
Tabla 4.7: redes IPv6 especiales y direcciones Red
Propósito
2001: db8 :: / 32 Documentación pre fi x, usado para los ejemplos, como las que encontramos en este libro. :: 1
localhost FC00 :: / 7
Las direcciones únicas locales (ULA) - también conocido como direcciones IPv6 “privado”.
fe80 :: / 10
Enlazar las direcciones locales, válidas sólo dentro de un único dominio de difusión.
2001 :: / 16
Las direcciones únicos globales (GUA) - enrutable direcciones IPv6.
FF00 :: 0/8
Las direcciones de multidifusión
Descubrimiento vecino IPv4 acoge encontramos uno al otro en un segmento local utilizando mensajes de difusión ARP, pero los hosts IPv6 encontramos entre sí mediante el envío de mensajes Neighbor Discovery Protocol (NDP). Como ARP, NDP funciona dentro de un dominio de difusión dada de encontrar otros hosts dentro de una subred específica.
Mediante el envío de paquetes especiales ICMPv6 a las direcciones de multidifusión reservados, NDP manejar las tareas de descubrimiento de vecinos, solicitudes de enrutador, y redirige ruta similar a la de IPv4 ICMP redirige. pfSense añade automáticamente la normativa de cortafuego en IPv6 habilitadas las interfaces que permiten NDP para funcionar. Todos los vecinos actuales conocidos en IPv6 se ve en la interfaz gráfica de usuario fi cortafuegos en Diagnóstico> NDP tabla.
anuncios de enrutador Los enrutadores IPv6 se encuentran a través de sus mensajes de anuncio de enrutador (RA) en lugar de por el DHCP. Se espera que los routers habilitados para IPv6 que apoyan la asignación dinámica de direcciones para anunciarse en la red a todos los clientes y responder a router solicitaciones. Al actuar como un cliente (interfaces WAN), pfSense acepta RAmessages de enrutadores de aguas arriba. Al actuar como un router, pfSense proporciona mensajes de RA a los clientes en sus redes internas. Ver Anuncios de enrutador (O: “¿Dónde está la opción de puerta de enlace DHCPv6”) para más detalles.
4.7. IPv6
21
El libro pfSense, Liberación
Asignación de direcciones direcciones de cliente pueden ser asignados por direccionamiento estático a través de SLAAC ( Anuncios de enrutador (O: “¿Dónde está la opción de puerta de enlace
DHCPv6”) ), DHCP6 ( IPv6 servidor DHCP del router y Anuncios ), U otros métodos de tunelización, tales como OpenVPN.
DHCP6 Pre fi x Delegación DHCP6 Pre fi x Delegación ofrece una subred IPv6 encaminado a un cliente DHCP6. Una interfaz de tipo Wan se puede configurar para recibir un pre fi x sobre DHCP6 ( DHCP6 , Track Interface ). Un enrutador que funciona en el borde de una red grande puede proporcionar pre fi x delegación a otros routers dentro de la red ( DHCPv6 Pre fi x Delegación ).
IPv6 y NAT Aunque IPv6 elimina la mayor necesidad de NAT, hay situaciones raras que requieren el uso de NAT con IPv6 como Multi-WAN para IPv6 en redes de empresas pequeñas o residenciales. Se ha ido el tipo tradicional de puerto fea traducido NAT (PAT), donde las direcciones internas se convierten utilizando los puertos en una sola dirección IP externa. Es reemplazado por una traducción de direcciones de red recta llamada Red Pre fi x Traducción (TNP). Este servicio está disponible en pfSense bajo Firewall> NAT sobre el NPT lengüeta. NPT traduce un pre fi jo a otro. Asi que
2001: db8: 1111: 2222 :: / 64 se traduce a * 2001: db8: 3333: 4444 :: / 64. Aunque los pre fi x cambia, el resto de la dirección será idéntica para un huésped dado en esa subred. Para más información sobre NPT, consulte IPv6 Red Pre fi x Traducción (TNP) . Hay un mecanismo incorporado en IPv6 para acceder anfitriones IPv4 utilizando una notación dirección especial, como :: ffff: 192.168.1.1. El comportamiento de estas direcciones puede variar entre sistema operativo y la aplicación y no es fiable.
IPv6 y pfSense A menos que se indique lo contrario, es seguro asumir que el IPv6 es soportado por pfSense en un área o función determinada. Algunas áreas notables de pfSense que las no haga soporte IPv6 son: proveedores de portal cautivo y la mayoría de DynDNS.
Nota: En los sistemas actualizados de versiones de pfSense anteriores a 2,1, IPv6 tráfico c es bloqueado por defecto. Para permitir IPv6:
• Navegar a Sistema> Avanzado sobre el Redes lengüeta •
Comprobar Permitir IPv6
•
Hacer clic Salvar
Paquetes pfSense Algunos paquetes son mantenidos por la comunidad, por lo que el soporte de IPv6 varía. En la mayoría de los casos el soporte IPv6 depende de las capacidades del software subyacente. Es seguro asumir que un paquete no soporta IPv6 a menos que se indique lo contrario. Los paquetes se actualizan periódicamente de modo que lo mejor es poner a prueba un paquete para determinar si es compatible con IPv6.
Conexión con un túnel de Service Broker Un lugar que no tiene acceso a la conectividad IPv6 nativa puede obtenerla usando un servicio de proveedor de túneles como Hurricane Electric o SixXS . Un sitio de núcleo con IPv6 puede ofrecer conectividad IPv6 a un sitio remoto mediante el uso de un túnel VPN o GIF.
22
Capítulo 4. Conceptos de Redes
El libro pfSense, Liberación
Esta sección proporciona el proceso para conectar pfSense con Hurricane Electric (a menudo abreviado a HE.net o HE) para el tránsito IPv6. Usando HE.net es simple y fácil. Permite la configuración multi-túnel, cada uno con un transporte / 64 y un enrutado / 64. También se incluye un enrutado / 48 para ser utilizado con uno de los túneles. Es una gran manera de obtener una gran cantidad de espacio IPv6 encaminado a experimentar y aprender, todo de forma gratuita.
Inscribirse para el servicio
Antes de que un túnel se puede crear, peticiones de eco ICMP se debe permitir a la WAN. Una regla para pasar peticiones de eco ICMP desde una fuente de alguna Es una buena medida temporal. Una vez que el punto final del túnel para HE.net ha sido elegido, la regla puede ser más específico.
Para empezar a trabajar en HE.net, crea en www.tunnelbroker.net . Los / 64 redes se asignan después de registrarse y seleccionar un servidor regional túnel IPv6. Un resumen de la configuración del túnel con fi se puede ver en la página web de HE.net como se ve en la figura HE.net Túnel Con fi g Resumen . Contiene información importante, como el usuario de Identificación del túnel, la dirección IPv4 del servidor ( dirección IP del servidor de túnel), Dirección IPv4 cliente ( la ficción de la dirección IP externa cortafuegos), la Servidor
y Direcciones IPv6 de cliente ( que representa las direcciones IPv6 dentro del túnel), y el Enrutados equis fi IPv6 Pre.
Fig. 4.3: HE.net Túnel Con fi g Resumen
los Avanzado pestaña en el sitio proveedor de túneles tiene dos opciones adicionales notables: Un deslizador MTU y una clave de actualización para actualizar la dirección de túnel. Si la WAN utiliza para dar por terminado el túnel GIF es PPPoE u otro tipo de WAN mínima MTU, mueva el control deslizante hacia abajo según sea necesario. Por ejemplo, una MTU más común para las líneas de PPPoE con un proveedor de túneles sería 1452. Si la WAN tiene una dirección IP dinámica, tenga en cuenta el actualización de la clave para su uso posterior en esta sección. Una vez que la configuración inicial para el servicio del túnel se ha completado, pfSense con fi gura para utilizar el túnel.
4.7. IPv6
23
El libro pfSense, Liberación
Permitir IPv6 Traf fi c En las nuevas instalaciones de pfSense después de 2.1, IPv6 trá fi co está permitido por defecto. Si la con fi guración en el cortafuego ha sido actualizado desde versiones anteriores, a continuación, IPv6 todavía ser bloqueada. Para habilitar IPv6 trá fi co, realice lo siguiente:
• Navegar a Sistema> Avanzado sobre el Redes lengüeta • Comprobar Permitir IPv6 si no se ha comprobado •
Hacer clic Salvar
Permitir ICMP Peticiones de eco ICMP deben ser permitidos en la dirección WAN que está terminando el túnel para asegurarse de que está en línea y accesible. Si ICMP está bloqueado, el proveedor de túneles puede negarse a la configuración del túnel a la dirección IPv4. Editar la regla ICMP hecho anteriormente en esta sección, o crear una nueva regla para permitir peticiones de eco ICMP. Establecer la dirección IP de origen del Dirección IPv4 del servidor en el túnel con fi guración como se muestra en la figura Regla Ejemplo ICMP para garantizar la conectividad.
Fig. 4.4: Regla Ejemplo ICMP
Crear y asignar la interfaz GIF A continuación, crear la interfaz de túnel GIF en pfSense. Complete los campos con la información correspondiente del túnel corredor resumen con fi guración.
• Navegar a Interfaces> (asignar) sobre el GIF lengüeta.
•
Hacer clic
Añadir añadir una nueva entrada.
• Selecciona el Interfaz de padres a la WANwhere el túnel termina. Este sería el WANwhich tiene la Dirección del cliente IPv4 en el corredor de túnel.
• Selecciona el GIF dirección remota en pfSense a la Dirección IPv4 del servidor en el resumen. • Selecciona el GIF túnel Dirección Local en pfSense a la Cliente de direcciones IPv6 en el resumen. • Selecciona el GIF túnel dirección remota en pfSense a la Dirección IPv6 del servidor en el resumen, a lo largo de la con fi pre x longitud (típicamente / 64).
• Deja restante opciones en blanco o sin marcar. • Entrar a Descripción. •
Hacer clic Salvar.
Ver figura Ejemplo GIF túnel . Si este túnel se está con fi gurado en una WAN con una IP dinámica, consulte La actualización del Punto Final de Túnel para obtener información sobre cómo mantener el punto final del túnel IP actualiza con HE.net. Una vez que se haya creado el túnel GIF, se debe asignar:
• Navegar a Interfaces> (asignar), Las asignaciones de interfaz lengüeta. • Seleccione el GIF recién creado en virtud Puertos de red disponibles.
•
24
Hacer clic
Añadir para agregarlo como una nueva interfaz.
Capítulo 4. Conceptos de Redes
El libro pfSense, Liberación
Fig. 4.5: Ejemplo GIF túnel
Con fi gura la nueva interfaz OPT La nueva interfaz es ahora accesible bajo Interfaces> OptX, dónde x depende de la cantidad asignada a la interfaz.
• Navegar a la página nueva fi guración interfaz de aire. ( Interfaces> OptX) • Comprobar Habilitar interfaz. • Introduzca un nombre para la interfaz en el Descripción campo, por ejemplo WANv6. • Salir Con IPv6 Tipo fi guración como Ninguna. •
Hacer clic Salvar
• Hacer clic Aplicar cambios.
Configuración de la puerta de enlace IPv6
Cuando la interfaz está con fi gurado como se indica anteriormente, se añade una puerta de enlace dinámico IPv6 automáticamente, pero todavía no está marcado como predeterminado.
• Navegar a Sistema> Enrutamiento • Editar la puerta de enlace dinámico IPv6 con el mismo nombre que la WAN IPv6 creado anteriormente. •
Comprobar Puerta de enlace predeterminada.
•
Hacer clic Salvar.
• Hacer clic Aplicar cambios.
4.7. IPv6
25
El libro pfSense, Liberación
Fig. 4.6: Ejemplo interfaz de túnel
Fig. 4.7: Ejemplo de túnel de puerta de enlace
26
Capítulo 4. Conceptos de Redes
El libro pfSense, Liberación
Navegar a Estado> Gateways para ver el estado de puerta de enlace. La puerta de enlace se mostrará como “en línea” si la con fi guración se realiza correctamente, como se ve en la figura Ejemplo
túnel de puerta de enlace de estado .
Fig 4.8:. Ejemplo de túnel de puerta de enlace Status
Configuración de DNS IPv6
Los servidores DNS probables consultas de DNS con la respuesta ya resultados AAAA. Introducción de los servidores DNS suministrados por el servicio de agente de túnel bajo Sistema> Configuración general es recomendado. Introduzca al menos un servidor DNS IPv6 o utilizar los servidores de DNS públicos IPv6 de Google en 2001: 4860: 4860 :: 8888 y 2001: 4860: 4860 :: 8844. Si la resolución DNS se utiliza en el modo de no reenvío, se hablará con los servidores raíz IPv6 automáticamente una vez que la conectividad IPv6 es funcional.
Configuración de LAN para IPv6
Una vez que el túnel está con fi gurado y en línea, el propio cortafuego tiene conectividad IPv6. Para asegurar que los clientes pueden acceder a Internet en IPV6, la LAN debe ser con fi gurada también. Un método consiste en establecer como LAN pila dual IPv4 e IPv6.
• Navegar a Interfaces> LAN • Seleccionar Con IPv6 Tipo fi guración como IPv6 estática • Introduzca una dirección IPv6 de la Enrutado / 64 en el corredor de túnel con fi guración con un fi x longitud pre de 64. Por ejemplo, * 2001: db8: 1111: 2222 :: 1 para el IPv6 LAN abordar si el Enrutado / 64 es 2001: db8: 1111: 2222 :: / 64.
•
Hacer clic Salvar
• Hacer clic Aplicar cambios A / 64 desde dentro de la enrutada / 48 es otra opción disponible.
Configuración DHCPv6 y / o router anuncios Para asignar direcciones IPv6 a los clientes de forma automática, la configuración del router anuncios y / o DHCPv6. Esto se explica en detalle en IPv6 servidor DHCP del router y Anuncios . Un breve resumen es el siguiente:
• Navegar a Servicios> DHCPv6 servidor / RA •
Comprobar Habilitar
• Introducir un rango de direcciones IP IPv6 dentro de la nueva subred IPv6 de LAN •
Hacer clic Salvar.
• Cambiar a la anuncios de enrutador lengüeta • Selecciona el Modo a Gestionado ( DHCPv6 solamente) o asistida ( DHCPv6 + SLAAC) •
Hacer clic Salvar.
Los modos se describen con mayor detalle en Anuncios de enrutador (O: “¿Dónde está la opción de puerta de enlace DHCPv6”) . Para asignar direcciones IPv6 a los sistemas LAN manualmente, utilizar la dirección IPv6 de LAN del cortafuego como puerta de entrada con una correcta adecuación pre fi x longitud, y recoger direcciones desde dentro de la subred LAN.
4.7. IPv6
27
El libro pfSense, Liberación
Añadir reglas del cortafuegos
Una vez asignadas las direcciones de LAN, añadir reglas fi cortafuego para permitir que el tráfico IPv6 C a fluir.
• Navegar a Firewall> Reglas, LAN lengüeta. •
Compruebe la lista para una regla de IPv6 existentes. Si una regla para pasar IPv6 trá fi co ya existe, entonces no es necesaria ninguna acción adicional.
•
Hacer clic
Añadir añadir una nueva regla a la parte inferior de la lista
• Selecciona el TCP / IP versión a IPv6 • Entrar en la subred LAN IPv6 como el Fuente • Elige una Destino de Alguna. •
Hacer clic Salvar
• Hacer clic Aplicar cambios Para los servidores habilitados para IPv6 en los servicios públicos LANwith, añadir reglas fi cortafuego en la ficha de la IPv6WAN (la interfaz asignado GIF) para permitir IPv6 trá fi co para llegar a los servidores en los puertos necesarios.
¡Intentalo!
Una vez que las reglas cortafuego están en su lugar, comprobar si hay conectividad IPv6. Un buen sitio para probar con es test-ipv6.com . Se muestra un ejemplo de los resultados de salida de un éxito con fi guración desde un cliente en LAN aquí figura Resultados de la prueba de IPv6 .
Fig. 4.9: Ensayo de IPv6 Resultados
La actualización del Punto Final de Túnel
Para una dynamicWAN, como DHCP o PPPoE, HE.net todavía se puede utilizar como un corredor de túnel. pfSense incluye un tipo de DynDNS que actualizará la dirección IP del extremo del túnel siempre que cambie el IP de la interfaz WAN. Si se desea DynDNS, puede ser con fi gurado de la siguiente manera:
• Navegar a Servicios> DynDNS
•
28
Hacer clic
Añadir añadir una nueva entrada.
Capítulo 4. Conceptos de Redes
El libro pfSense, Liberación
• Selecciona el Tipo de servicio ser HE.net Tunnelbroker. • Seleccionar PÁLIDO como el Interfaz de monitor. •
Introducir el Identificación del túnel desde el corredor de túnel con fi guración en el nombre de host campo.
•
Introducir el Nombre de usuario para el sitio broker túnel.
• Ingrese la Contraseña o actualización de la clave para el sitio broker túnel en el Contraseña campo. • Entrar a Descripción. •
Hacer clic Guardar y Fuerza de actualización.
Si y cuando cambia la dirección IP WAN, pfSense se actualizará automáticamente el proveedor de túneles.
El control de Preferencia IPv6 para tráfico c de la fi sí cortafuegos Por defecto, pfSense preferirá IPv6 cuando se con fi gurado. Si el enrutamiento IPv6 no es funcional, pero el sistema cree que es, pfSense puede fallar para comprobar actualizaciones o paquetes de descarga correctamente. Para cambiar este comportamiento, pfSense proporciona un método en la interfaz gráfica de usuario para controlar si los servicios en la fi cortafuegos prefieren IPv4 a través de IPv6:
• Navegar a Sistema> Avanzado sobre el Redes lengüeta • Comprobar Preferir utilizar IPv4 incluso si IPv6 está disponible •
Hacer clic Salvar
Una vez que los ajustes se han guardado, el fi cortafuegos en sí preferirá IPv4 para la comunicación saliente. En todo el mundo, la disponibilidad de nuevas direcciones IPv4 está disminuyendo. La cantidad de espacio libre varía según la región, pero algunos ya se han agotado las asignaciones y otras se acerca rápidamente a sus límites. Al 31 de enero del 2011, IANA asignado la totalidad de su espacio a Registros Regionales de Internet (RIR). A su vez, estas asignaciones RIR han agotado en algunos lugares como APNIC (Asia / Pacífico), RIPE (Europa), y LACNIC (América Latina y el Caribe) para redes / 8. Aunque algunas asignaciones más pequeños todavía están disponibles, cada vez es más difícil obtener nuevo espacio de direcciones IPv4 en estas regiones. ARIN (América del Norte) se agotó en 24 de de septiembre de, el año 2015 .
Para dar cuenta de esto, IPv6 fue creado como un reemplazo para IPv4. Disponible en algunas formas desde la década de 1990, factores como la inercia, la complejidad y el coste de desarrollo o la compra de routers y software compatibles se ha desacelerado su captación hasta que el los últimos años . Incluso entonces, ha sido bastante lento con sólo el 8% de los usuarios de Google que tienen la conectividad IPv6, julio de 2015.
Con los años, el soporte para IPv6 en software, sistemas operativos y routers ha mejorado la situación está preparado para mejorar. Todavía le corresponde a los ISP a empezar a entregar conectividad IPv6 a los usuarios. Es una situación de Catch-22: Los proveedores de contenido son lentos para proporcionar IPv6 porque pocos usuarios lo tienen. Mientras tanto, los usuarios no tienen porque no hay una gran cantidad de contenido IPv6 e incluso menos contenido disponible sólo a través de IPv6. Los usuarios no saben que se necesitan para que no exigen el servicio de sus proveedores de Internet.
Algunos proveedores están experimentando con Carrier Grade NAT (CGN) para estirar las redes IPv4 más lejos. CGN coloca sus clientes residenciales IPv4 detrás de otra capa de protocolos NAT rompiendo además que ya no se ocupan de una capa de NAT. proveedores de datos móviles han estado haciendo esto desde hace algún tiempo, pero las aplicaciones que se encuentran típicamente en los dispositivos móviles no se ven afectados ya que funcionan como si fueran detrás de un estilo típico del router NAT SOHO. Mientras que la solución de un problema, crea otros como observa cuando se utiliza como CGN WAN de un cortafuego, cuando la inmovilización en un PC, o en algunos casos intentan usar una VPN IPsec tradicional sin NAT-T, o PPTP. ISP emplean CGN deben utilizarse sólo si no hay otra opción.
Hay muchos libros y sitios web disponibles con volúmenes de información en profundidad sobre IPv6. El artículo de Wikipedia sobre IPv6, http://en.wikipedia.org/wiki/IPv6 , Es una gran fuente de información y enlaces a otras fuentes adicionales. Vale la pena utilizar como punto de partida para más información sobre IPv6. También hay muchos buenos libros sobre IPv6 disponible, pero
4.7. IPv6
29
El libro pfSense, Liberación
tener cuidado de comprar libros con revisiones recientes. Se han producido cambios en el IPv6 especí fi cación en los últimos años y es posible que el material podría haber cambiado desde la impresión del libro. Ver también:
Los clientes con una pfSense Suscripción Oro puede acceder al Hangouts Archivo para ver el Hangout de julio de 2015 sobre IPv6 Fundamentos
Este libro no es una introducción a las redes pero hay ciertos conceptos de red que necesitan ser abordados. Para los lectores sin conocimientos básicos de redes fundamental, se sugiere la localización de material introductorio adicional que este capítulo no proporcionará toda la información necesaria de manera adecuada. IPv6 conceptos son introducidos más adelante en este capítulo bajo IPv6 . Para mayor claridad, las direcciones IP tradicionales se conocen como direcciones IPv4. Excepto cuando se indique lo contrario, la mayoría de las funciones trabajarán con cualquiera de las direcciones IPv4 o IPv6. La dirección IP término general hace referencia a IPv4 o IPv6.
Breve introducción a las capas del modelo OSI El modelo OSI tiene un marco de red que consta de siete capas. Estas capas se enumeran en la jerarquía de menor a mayor. Una breve descripción de cada nivel se describe a continuación. Más información se puede encontrar en muchos textos de redes y en la Wikipedia ( http://en.wikipedia.org/wiki/OSI_model ). Capa 1 - Física Se refiere a cualquiera de cableado eléctrico u óptico que transporta datos en bruto a todo el mayor
capas. Capa 2 - Enlace de Datos Típicamente se refiere a Ethernet u otro protocolo similar que se está hablando en la cable. Este libro a menudo se refiere a la capa 2 en el sentido de los conmutadores Ethernet u otros temas relacionados, tales como direcciones MAC y ARP.
Capa 3 - Capa de Red Los protocolos utilizados para mover datos a lo largo de una trayectoria desde un huésped a otro, tales como IPv4, IPv6, enrutamiento, subredes etc.
Capa 4 - Capa de Transporte La transferencia de datos entre los usuarios, por lo general se refiere a TCP o UDP o de otros similares
protocolos.
Capa 5 - Capa de Sesión Gestiona las conexiones y sesiones (típicamente referido como “diálogos”) entre usuarios, y cómo se conectan y desconectan con gracia. Capa 6 - Capa de Presentación Maneja cualquier conversión entre formatos de datos requeridos por los usuarios, tales como
diferentes juegos de caracteres, codificaciones, compresión, encriptación, etc.
Capa 7 - Capa de aplicación Interactúa con la aplicación de usuario o software, incluye protocolos familiares tales como HTTP, SMTP, SIP, etc.
30
Capítulo 4. Conceptos de Redes
CAPÍTULO
CINCO
HARDWARE
Requisitos mínimos de hardware Los requisitos mínimos de hardware para pfSense 2.3.3-RELEASE son:
•
CPU de 600 MHz o más rápido
• RAM 512 MB o más • 4 GB o mayores unidades de disco (SSD, HDD, etc) • Una o más tarjetas de interfaz de red compatibles • unidad USB de arranque o CD / DVD-ROM para la instalación inicial Nota: Los requisitos mínimos no son adecuados para todos los entornos; ver Hardware Orientación Dimensionamiento para detalles.
Selección de hardware El uso de los sistemas operativos de código abierto con el hardware no probado puede crear el hardware / software de conflictos. Sintonización de hardware y solución de problemas ofrece consejos sobre cómo resolver diversas cuestiones.
La prevención de dolores de cabeza de hardware
Uso O fi cial pfSense hardware Es muy recomendable el uso de hardware o fi cial de la pfSense tienda . Nuestro hardware ha sido desarrollado para asegurar a la comunidad que especí fi c plataformas de hardware han sido probado y validado a fondo.
Buscar las experiencias de los demás Las experiencias de otros son una valiosa fuente de conocimiento que se puede encontrar mediante la investigación de pfSense y compatibilidad hard- ware en línea, especialmente en el Foro pfSense . Los informes de fallos no necesariamente deben considerarse de fi nitiva, porque los problemas pueden surgir de una serie de cuestiones que no sean incompatibilidad de hardware. Si el hardware en cuestión es de un fabricante importante, una búsqueda en Internet por marca, modelo y sitio: pfsense.org buscará en la página web pfSense.org para experiencias de usuario pertinentes. En busca de la marca, el modelo, y pfSense quepan experiencias de los usuarios nd en otros sitios web o los archivos de la lista de correo. La repetición de la misma búsqueda con FreeBSD en lugar de pfSense También se puede llegar a experiencias útiles.
31
El libro pfSense, Liberación
Convenciones de nombres
A lo largo de este libro nos referimos a la arquitectura de hardware de 64 bits como “amd64”, la designación arquitectura utilizada por FreeBSD. Intel ha adoptado la arquitectura creada por AMD para x86-64, así el nombre amd64 se refiere a todas las CPU de 64 bits x86.
El cortafuego-SG 1000 se basa en la arquitectura ARMv6, pero ya que la SG-1000 es actualmente el único dispositivo de ARM compatible con pfSense, nos referiremos a SG-1000 por su nombre en lugar de utilizar un tipo ARM genérico o el nombre de la arquitectura.
Hardware Orientación Dimensionamiento Al dimensionar el hardware de pfSense, se requiere el rendimiento y características necesarias son los factores principales que rigen la selección de hardware.
Consideraciones de rendimiento Los requisitos mínimos son suficientes si se requiere menos de 100 Mbps de rendimiento sin cifrar. Para conocer los requisitos de rendimiento mayores, siga estas pautas en base a extensas pruebas y experiencias de implementación. El hardware se hace referencia en esta sección está disponible en el pfSense tienda . Las especificaciones generales del hardware se pueden encontrar en la Tabla pfSense hardware .
Tabla 5.1: pfSense hardware Modelo
UPC
Reloj
núcleos de memoria RAM
SG-1000 TI ARM Cortex-A8 AM3352 600 MHz 1
NIC velocidad
512 MB
2x1G
SG-2220
Intel Atom C2338 Rangeley
1,7 GHz
2
2 GB
2x1G
SG-2440
Intel Atom C2358 Rangeley
1,7 GHz
2
4GB
2x1G
SG-4860
Intel Atom C2558 Rangeley
2.4 GHz
4
8 GB
6x1G
SG-8860
Intel Atom C2758 Rangeley
2.4 GHz
8
8 GB
6x1G
XG-2758
Intel Atom C2758 Rangeley
2.4 GHz
8
16 GB
2x10G, 4x1G
C2758
Intel Atom C2758 Rangeley
2.4 GHz
8
8 GB
4x1G + 2x10G
XG-1540
Intel Xeon-DE D-1541
2.0 GHz
8
16-32 GB 2x10G, 2x1G
La mesa Rendimiento máximo en que la CPU 1400 - Byte paquetes compara el rendimiento entre varios modelos de hardware. La tabla contiene datos de paquetes por segundo (PPS) y el rendimiento en Mbit / s para TCP y UDP. Un tamaño de paquete de 1.400 bytes se utilizó para esta prueba.
Advertencia: Las cifras a continuación muestra los resultados de las pruebas en curso y no re fl ejan con precisión el rendimiento potencial de cada dispositivo.
32
Capítulo 5. Hardware
El libro pfSense, Liberación
Tabla 5.2: Rendimiento máximo en que la CPU 1400 - Byte Packets Modelo
UDP - 1400 Byte paquetes TCP - 1400 Byte paquetes PPS Mbit / s
PPS
SG-1000 21300
238
19 290 216
SG-2220 86840
973
87 120 976
SG-2440 87770
983
87 760 983
SG-4860 87770
983
87 760 983
SG-8860 87920
985
87 760 983
XG-2758 875 750 9810 C2758
877 560 9830
XG-1540 818 960 9170
Mbit / s
874 110 9790 874 330 9790 815 760 9140
Como se muestra por los resultados anteriores, en este tamaño relativamente grande de paquetes mayoría de los modelos pueden llegar a la velocidad máxima de su tipo de tarjeta de red más rápida disponible, lo que representa de arriba.
Por el contrario, mira a las mismas estadísticas, pero esta vez utilizando paquetes de 64 bytes, que contienen la carga útil más pequeña posible. Estos se muestran en la Tabla Throughput máximo por la CPU - 64 Byte paquetes
Advertencia: Las cifras a continuación muestra los resultados de las pruebas en curso y no re fl ejan con precisión el rendimiento potencial de cada dispositivo.
Tabla 5.3: Throughput máximo por la CPU - 64 Byte paquetes Modelo
UDP - 64 Byte paquetes TCP - 64 Byte paquetes PPS Mbit / s PPS Mbit / s
SG-1000 SG-2220 SG-2440 SG-4860 SG-8860 XG-2758 C2758 XG-1540 Con tamaños de paquetes más pequeños, los paquetes por segundo tasa es generalmente más alta, pero típicamente con un menor rendimiento global. Esto es debido a que el hardware tiene que trabajar mucho más para mover el mayor volumen de paquetes más pequeños. En las redes reales del trá fi co flujo caerá posiblemente entre estos tamaños, pero depende por completo sobre el medio ambiente y el tipo de tráfico involucrados c. Mesa 500 000 pps en varios tamaños de cuadro enumera algunos tamaños de paquete común y el rendimiento alcanzado a una tasa ejemplo de 500.000 paquetes por segundo.
Tabla 5.4: 500.000 pps en Vari Tamaños ous Frame
Rendimiento Tamaño de bastidor en 500 Kpps
64 bytes
244 Mbps
500 bytes
1,87 Gbps
1000 bytes
3.73 Gbps
1500 bytes
5,59 Gbps
diferencia de rendimiento de red de tipo de adaptador La elección de la NIC tiene un impacto significativo en el rendimiento. , tarjetas baratas de gama baja consumen signi fi cativamente más CPU que las tarjetas de mejor calidad como Intel. El primer cuello de botella con un rendimiento fi cortafuegos es la CPU. rendimiento
5.3. Hardware Orientación Dimensionamiento
33
El libro pfSense, Liberación
mejora de forma significativa mediante el uso de una tarjeta de red de mejor calidad con una CPU lenta. Por el contrario, el aumento de la velocidad de la CPU no aumentará proporcionalmente el rendimiento cuando se combina con una baja calidad NIC.
Consideraciones de características Características, servicios y paquetes habilitados en el cortafuego pueden disminuir el rendimiento potencial total, ya que consumen recursos de hardware que de otro modo podrían ser utilizados para transferir el tráfico de red fi co. Esto es especialmente cierto para los paquetes que interceptan o inspeccionar red tráfico c, tales como Snort o Suricata. La mayoría de las características del sistema de base Do factor de fi cativamente no signi en el hardware de tamaño pero algunos potencialmente pueden tener un impacto considerable en la utilización del hardware.
Tablas de estado grandes
conexiones de red activas a través del cortafuego se registran en la tabla de estados fi cortafuegos. Cada conexión a través del cortafuego consume dos estados: uno que entra en el cortafuego y uno dejando el cortafuego. Por ejemplo, si un cortafuego debe manejar 100.000 conexiones de cliente del servidor web simultáneas de la tabla de estado debe ser capaz de mantener 200.000 estados. Ver también:
Unidos se retoma en el firewall . Servidores de seguridad en entornos que requieren un gran número de estados simultáneos deben tener suf RAM fi ciente para contener la tabla de estado. Cada estado tiene aproximadamente 1 KB de RAM, lo que hace el cálculo de los requisitos de memoria relativamente fácil. Mesa Gran estado de consumo de la tabla de memoria RAM proporciona una guía para la cantidad de memoria necesaria para los tamaños de la tabla de estado de mayor tamaño. Esto es únicamente la memoria utilizada para el seguimiento del estado. El sistema operativo en sí mismo, junto con otros servicios requerirá por lo menos 175 a 256 MB de RAM adicional y posiblemente más, dependiendo de las características utilizadas.
Tabla 5.5: Ampliación de estado de consumo de la tabla de memoria RAM
Unidos
Conexiones de RAM necesarios
100.000
50000
~ 97 MB
500.000
250.000
~ 488 MB
1.000.000 500.000
~ 976 MB
3,000,000 1,500,000
~ 2900 MB
8,000,000 4,000,000
~ 7800 MB
Es más seguro a sobreestimar los requisitos. Basado en la información anterior, una buena estimación sería que 100.000 estados consumen alrededor de 100 MB de RAM, o que 1.000.000 estados consumirían aproximadamente 1 GB de RAM.
VPN (todos los tipos)
La pregunta clientes suelen preguntar acerca de las VPN es “¿Cuántas conexiones puede mi mango hardware?” Eso es un factor secundario en la mayoría de las implementaciones y es de menor consideración. Esa métrica es una reliquia de cómo otros vendedores han licenciado capacidades de VPN en el pasado y no tiene un equivalente directo especí fi ca en pfSense. La consideración principal en hardware de tamaño para VPN es el rendimiento potencial de la VPN tráfico c.
Cifrar y descifrar el tráfico de red fi co con todos los tipos de VPN es la CPU. pfSense ofrece varias opciones de cifrado para su uso con IPsec. Los diversos sistemas de cifrado actúan de forma diferente y el rendimiento máximo de un cortafuego es dependiente del sistema de cifrado utilizado y si o no que cifrado puede ser acelerada por el hardware. aceleradores criptográficos de hardware aumentan en gran medida el máximo rendimiento VPN y eliminar en gran medida la dife- rencia rendimiento entre sistemas de cifrado aceleradas. Mesa VPN mediante el modelo de hardware, todos los valores son Mbit / s ilustra la capacidad máxima de hardware diferentes disponibles en la tienda pfSense utilizando IPsec y OpenVPN.
34
Capítulo 5. Hardware
El libro pfSense, Liberación
Para IPsec, AES-GCM es acelerado por AES-NI y es más rápido no sólo por eso, sino porque también no tante necesaria una algoritmo de autenticación por separado. IPsec también tiene menos sobrecarga de procesamiento del sistema por paquete operativo de OpenVPN, por lo que por el momento IPsec será casi siempre más rápido que OpenVPN. Advertencia: Las cifras a continuación muestra los resultados de las pruebas en curso y no re fl ejan con precisión el rendimiento potencial de cada dispositivo.
Tabla 5.6: VPN mediante el modelo de hardware, todos los valores son Mbit / s Modelo
OpenVPN / AES-128 + SHA1 IPsec / IKEv2 + AES-GCM TCP, TCP 64B, 1400B
TCP, TCP 64B, 1400B
SG-1000 16
17
22
22
SG-2220 64
sesenta y cinco
256
322
SG-2440 64
sesenta y cinco
258
325
SG-4860 72
73
380
418
SG-8860 70
72
386
445
XG-2758 68
68
174
435
143
511
556
166
224
780
C2758
XG-1540 164
133
Donde el alto rendimiento de VPN es un requisito para un cortafuego, la aceleración criptográfica de hardware es de suma importancia para garantizar no sólo la velocidad de transmisión rápida, pero también menos recursos de la CPU. La reducción de la sobrecarga de la CPU significa la VPN no bajará el rendimiento de otros servicios en el cortafuego. La corriente mejor aceleración disponible está disponible mediante el uso de una CPU que incluye soporte AES-NI combinado con AES-GCM en IPsec.
paquetes Ciertos paquetes tienen un fi impacto significativo en los requisitos de hardware, y su uso se deben tener en cuenta al seleccionar el hardware.
Resoplido / Suricata
Bufar y Suricata son paquetes de pfSense para la detección de intrusiones en la red. Dependiendo de su con fi guración, pueden requerir una cantidad significativa de memoria RAM. 1 GB debe considerarse como un mínimo, pero algunos fi guraciones puede necesitar 2 GB o más.
Suricata es multi-hilo y potencialmente puede tomar ventaja de NetMap para IPS en línea si el hardware de un traductor humano.
Calamar
Squid es un servidor proxy caché de HTTP disponible como un paquete pfSense. El rendimiento del disco I / O es una con- sideración importante para los usuarios de calamar ya que determina el rendimiento de caché. Por el contrario, la velocidad del disco es en gran medida irrelevante para la mayoría de rewalls fi pfSense ya que la única actividad del disco significativo es el tiempo de arranque y mejorar el tiempo; que no tiene relevancia para rendimiento de la red u otra operación normal.
Incluso en el caso del calamar cualquier disco duro va a bastar fi cina en entornos pequeños. Para más de 200 implementaciones de usuario, un SSD de alta calidad a partir de un Tier-1 OEM es una herramienta imprescindible. Un SSD de baja calidad puede no ser capaz de soportar las numerosas escrituras que participan en el mantenimiento de los datos almacenados en caché.
El tamaño de la memoria caché de calamar también es un factor en la cantidad de RAM necesaria para el cortafuego. Calamar consume 14MB madamente aproximado de RAM por 1 GB de memoria caché en AMD64. A ese ritmo, un caché de 100 GB requeriría 1,4 GB de RAM para la gestión de la caché solo, sin contar otra memoria RAM necesita para el calamar.
5.3. Hardware Orientación Dimensionamiento
35
El libro pfSense, Liberación
Sintonización de hardware y solución de problemas El sistema operativo subyacente por debajo de pfSense puede ser fi ne-sintonizado de muchas maneras. Algunos de estos sintonizables están disponibles en pfSense bajo Opciones avanzadas ( Ver Tab optimizables del sistema ). Otros se describen en la página principal de FreeBSD sintonización (7) .
La instalación por defecto de software de pfSense incluye un conjunto cabal de los valores sintonizados para un buen rendimiento sin ser demasiado agresivo. Hay casos en que el hardware o los controladores requieren un cambio de valores o fi carga de trabajo de la red específica requiere cambios para funcionar óptimamente. El hardware se vende en el pfSense tienda se afina aún más ya que tenemos un conocimiento detallado del hardware, eliminando la necesidad de basarse en hipótesis más generales. Los cambios comunes a lo largo de estas líneas para otros equipos se pueden encontrar en la página de documentación wiki para Tuning y solución de problemas Tarjetas de Red .
Nota: Cambios a / boot / loader.conf.local requerir un reinicio fi cortafuegos para tener efecto.
mbuf Agotamiento Un problema común encontrado los usuarios de hardware básico es el agotamiento mbuf. Para más detalles sobre mbufs y monitoreo mbuf uso, consulte Las agrupaciones
mbuf . Si el cortafuego se queda sin mbufs, que puede conducir a una situación de pánico del kernel y reiniciar el sistema bajo ciertas cargas de la red que agota todos los buffers de memoria de red disponibles. Esto es más común con NIC que utilizan varias colas o se optimizan de otro modo para el rendimiento en el uso de recursos. Además, aumenta el uso mbuf cuando el cortafuego está utilizando ciertas características tales como limitadores Para aumentar la cantidad de mbufs disponibles, añada lo siguiente a
/boot/loader.conf.local: Kern . ipc . NMBCLUSTERS = "1000000" Además, las tarjetas pueden necesitar otros valores similares plantearon como kern.ipc.nmbjumbop. Además de los gráficos mencionados anteriormente, comprobar la salida del comando -m netstat para verificar si algunas áreas están a punto de agotarse.
Conde NIC cola Por motivos de rendimiento de algunos tipos de tarjetas de redes utilizan varias colas para procesar paquetes. En los sistemas multi-núcleo, por lo general un conductor tendrá que usar una cola por núcleo de CPU. UN pocos casos existir donde esto puede conducir a problemas de estabilidad, que se pueden resolver mediante la reducción del número de colas utilizados por el NIC. Para reducir el número de colas, especifique el nuevo valor en / boot / loader.conf.local, como:
HW . IGB . num_queues = 1
El nombre de la OID sysctl varía según la tarjeta de red, pero por lo general se encuentra en la salida de sysctl -a, debajo
HW. .
Desactivar MSIX Otro problema común es una NIC no apoyar adecuadamente MSIX a pesar de sus reclamaciones. MSIX se puede desactivar mediante la adición de la siguiente línea a / boot /
loader.conf.local:
HW . pci . enable_msix = 0
La distribución de software pfSense es compatible con la mayoría del hardware soportado por FreeBSD. pfSense versión 2.4 y más tarde es compatible con 64 bits (amd64, x86-64) de la arquitectura hardware y el cortafuego basado SG-1000 ARM-.
36
Capítulo 5. Hardware
El libro pfSense, Liberación
pfSense versión 2.3.x y antes era compatible con 32 bits (i386, x86) y 64 bits (amd64, x86-64) hardware arquitectura.
arquitecturas de hardware alternativas tales como ARM (aparte de SG-1000), PowerPC, MIPS, SPARC, etc., no son compatibles en este tiempo.
de compatibilidad de hardware La mejor manera de asegurar que el hardware es compatible con el software de pfSense es comprar el hardware de la pfSense tienda
que ha sido probado y conocido para trabajar bien con pfSense. El hardware en la tienda se prueba con cada nueva versión del software de pfSense y está afinado para el rendimiento.
Para las soluciones de fabricación casera, las Notas Hardware FreeBSD es el mejor recurso para determinar la compatibilidad de hardware. pfSense versión 2.3.3-RELEASE se basa en 10.3-RELEASE, hardware tan compatibles se encuentra en el notas de hardware en el sitio web de FreeBSD . Otro buen recurso es la sección de hardware de la FAQ de FreeBSD .
Adaptadores de red Una amplia variedad de tarjetas de Ethernet por cable (NIC) están soportados por FreeBSD, y son por lo tanto compatible con pfSense rewalls fi. Sin embargo, no todos los adaptadores de red son iguales. El hardware puede variar en gran medida de la calidad de un fabricante a otro.
Recomendamos Intel PRO / 1000 de 1 Gb y PRO / 10GbE NIC 10 Gb porque no tienen soporte de controladores sólidos en FreeBSD y que funcionan muy bien. La mayoría del hardware se vende en el pfSense tienda contiene NIC Intel. De las varias otras tarjetas PCIe / PCI soportados por FreeBSD, algunos trabajos definir. Otros pueden tener problemas como VLAN no funciona correctamente, no ser capaz de ajustar la velocidad o dúplex, o el bajo rendimiento. En algunos casos, FreeBSD puede apoyar una tarjeta de red en particular, pero, con implementaciones fi cos del chipset, la compatibilidad de controladores o puede ser pobre. En caso de duda, buscar la Foro pfSense para las experiencias de otras personas que utilizan el mismo o similar hardware. Cuando un cortafuego requiere el uso de VLAN, seleccione los adaptadores que soportan el procesamiento de VLAN en el hardware. Esto se discute en LAN virtuales (VLAN) .
Adaptadores de red USB No recomendamos el uso de adaptadores de red USB de anymake / modelo debido a su falta de fiabilidad y un rendimiento deficiente.
Los adaptadores inalámbricos
adaptadores inalámbricos compatibles y recomendaciones están cubiertas de Inalámbrico .
5.5. de compatibilidad de hardware
37
El libro pfSense, Liberación
38
Capítulo 5. Hardware
CAPÍTULO
SEIS
Instalación y actualización
Hardware de la pfSense tienda está pre-cargado con software pfSense. Para volver a instalar el software de pfSense o para instalarlo en otro hardware, descargar una imagen de instalación como se describe en este capítulo.
Advertencia: Hardware precargado con el software de pfSense de vendedores comerciales que no sean el pfSense tienda o socios autorizados no deben ser de confianza. Los terceros pueden haber hecho, alteraciones o adiciones no autorizadas desconocidos para el software. La venta de copias pre-cargado de software de pfSense es una violación de la Instrucciones de uso de marca comercial .
Si el software de pfSense se pre-cargado en el hardware de terceros por un proveedor, limpie el sistema y volver a instalarlo con una copia original.
Si algo va mal durante el proceso de instalación, consulte Solución de problemas de instalación . En este capítulo también cubre las instalaciones de software actualización pfSense ( Actualización de una instalación existente ) Que les mantiene al día con lo último en seguridad, equis fallo fi, y nuevas características.
Medios descarga de instalación Los clientes que han comprado rewalls Fi de la pfSense tienda pueden descargar imágenes de instalación ajustada de fábrica de su cuenta en el Portal pfSense . los Documentación Netgate El sitio contiene instrucciones especí fi cas para cada modelo, a fin de comprobar que el sitio primero antes de descargar imágenes en base a la información de este capítulo. Para el hardware de la tienda de pfSense que ya no tiene soporte, o de otro hardware, seguir leyendo.
• Navegar a www.pfsense.org en un navegador web en un PC cliente. • Hacer clic Descargas. •
Seleccione un Tipo de archivo de Instalar.
• Seleccione una Arquitectura: AMD64 (64-bit) Para 64-bit x86-64 hardware de Intel o AMD. Netgate IDA Para la mayoría de la serie SG fi rewalls de la pfSense tienda , Específicamente, los modelos que contienen un puerto USB de la consola en COM2.
•
Seleccione un Plataforma para una instalación de 64 bits:
Memstick USB Installer Una imagen de disco que puede escribirse en una memoria USB (memory stick) y arrancado en el hardware de destino para la instalación.
Imagen de CD (ISO) Instalador Para instalar desde medios ópticos o para su uso con IPMI o hipervisores cuales puede arrancar desde imágenes ISO.
• Seleccione un Consola para Memstick USB Installer imágenes:
39
El libro pfSense, Liberación
VGA Se instala utilizando un monitor y un teclado conectado al hardware de destino. De serie Se instala utilizando una consola serie en COM1 del hardware de destino. Esta opción requiere un examen físico puerto de la consola.
•
Seleccione un Espejo que está cerca de la PC del cliente geográficamente.
•
Hacer clic
Descargar.
• Copiar la suma SHA-256 mostrada por la página para verificar la descarga más tarde. Nota: Para ver una lista de todos los archivos en el espejo, no se ha seleccionado ninguna opción de los menús desplegables a excepción de un espejo continuación, haga clic Descargar.
Propina: Para versiones anteriores de software de pfSense, mira en el Archivo de software
Los nombres fi l de pfSense versión de software 2.3.3-RELEASE son:
Memstick USB Installer (Netgate ADI) pfSense-CE-memory stick-ADI-2.3.3-Release- .img.gz Memstick USB Installer (VGA) pfSense-CE-memory stick-2.3.3-Release- .img.gz Memstick instalador USB (Serie) pfSense-CE-memory stick-serie-2.3.3-Release- .img.gz ISO instalador Imagen pfSense-CE-2.3.3-Release- .iso.gz Ver también:
En cualquier punto de la instalación si algo no sale como se describe, cheque Solución de problemas de instalación .
Verificación de la integridad de la descarga La integridad de la imagen del instalador puede ser veri fi cado mediante la comparación de un valor hash calculado de la fi l descargado contra un control calculado por el proyecto cuando el pfSense archivos fueron creados originalmente. Los valores hash actuales proporcionados por el uso de proyectos SHA-256 .
La suma SHA-256 que aparece en la página de descarga es la mejor fuente, ya que no se sale el mismo directorio que las imágenes de descarga. A fi l que contiene la suma SHA-256 también está disponible en los espejos con el mismo nombre de archivo fi la imagen del instalador elegido como, pero que termina en. sha256.
Utilice el acompañamiento suma SHA-256 del sitio de descargas o. sha256 fi l para verificar que la descarga se ha realizado con éxito y es una de la liberación o fi cial de software de pfSense.
Advertencia: Las sumas SHA-256 se calculan en contra de las versiones comprimidas de la descargados fi les. Comparar el hash antes de descomprimir el archivo.
Hash veri fi cación en Windows Los usuarios de Windows pueden instalar HashTab o un programa similar para ver SHA-256 hash para cualquier dado fi l. El hash SHA-256 generada puede ser comparada con la suma SHA-256 del sitio de descargas o el contenido de la. sha256 fi l del servidor de descarga. Los . sha256 fi l se puede ver en cualquier editor de texto sin formato como Bloc de notas. Con HashTab instalado, para comprobar el hash de un expediente:
•
Haga clic derecho sobre el archivo descargado fi l.
• Haga clic en el hash de archivo lengüeta. HashTab tomará unos momentos para calcular el hash.
40
Capítulo 6. Instalación y actualización
El libro pfSense, Liberación
• Pase el ratón sobre el hash SHA-256 para ver el hash completo. • Pegar la suma SHA-256 del sitio de descargas o desde el. sha256 fi l en el La comparación de hash caja para comprobar automáticamente si coincide con el hash.
• Hacer clic Cancelar para desestimar el expediente propiedades de diálogo sin hacer cambios. Si un hash SHA-256 no se muestra en HashTab:
•
Haga clic en Configuración
• Marque la casilla SHA-256 •
Haga clic en Aceptar
Hash veri fi cación en BSD y Linux los sha256 comando viene de serie en FreeBSD y muchos otros sistemas operativos UNIX y UNIX. Un hash SHA-256 puede ser generada mediante la ejecución del siguiente comando desde el directorio que contiene el Down- cargado fi le:
#
sha256 pfSense-CE-memstick-ADI-2.3.3-RELEASE-amd64.img.gz
Comparar el hash resultante con la suma SHA-256 que aparece en el sitio de descarga o el contenido de la. sha256 fi l descargado desde el sitio web de pfSense. sistemas GNU o Linux proporcionan una sha256sum comando que funciona de manera similar.
Hash veri fi cación en OS X OS X también incluye la sha256 mando, igual que FreeBSD, pero también hay disponibles aplicaciones GUI como QuickHash . HashTab También está disponible para OS X.
Preparar el medio de instalación La imagen de instalación descargado en el apartado anterior debe primero ser transferida a los medios de comunicación adecuado. Los archivos que no se pueden copiar a los medios de comunicación directamente, sino que deben escribirse usando las herramientas apropiadas.
La principal diferencia entre la imagen ISO memory stick USB y está en cómo las imágenes se graban en un disco de instalación. Ambos tipos de imágenes instalan software pfSense a un disco de destino. Otra diferencia entre los tipos de consola para las diferentes imágenes memory stick USB. Después de la instalación, cada uno de ellos conservan sus ajustes de la consola apropiadas.
Nota: Si el hardware de destino no tiene una unidad óptica y no puede arrancar desde USB, instale el software en el disco de destino con un conjunto diferente de hardware. Ver Técnicas de instalación alternativos para más información.
Descomprimir el medio de instalación La imagen del disco de instalación se comprime cuando se descargan a ahorrar ancho de banda y almacenamiento. Descomprimir el expediente antes de escribir esta imagen a un disco de instalación. Los . gz extensión en la fi le indica que el expediente está comprimido con gzip. La imagen puede ser descomprimido en Windows utilizando 7-Zip O en BSD / Linux / Mac con el gunzip o gzip -d comandos.
6.2. Preparar el medio de instalación
41
El libro pfSense, Liberación
Escribiendo el medio de instalación Creación de un disco de instalación requiere un procedimiento diferente dependiendo del tipo de medio. Siga las instrucciones en la sección apropiada para el tipo de soporte elegido.
Preparar un memory stick USB
Advertencia: Tenga mucho cuidado al escribir las imágenes de disco! Si el PC cliente contiene otras unidades de disco duro, es posible seleccionar la unidad incorrecta y sobrescribir una parte de esa unidad con el disco de instalación. Esto hace que el disco completamente ilegible, excepto para ciertos programas de recuperación de disco, en todo caso.
Conectar el memory stick USB a la estación de trabajo
Comience por conectar el memory stick USB a la estación de trabajo que contiene la imagen en los medios de instalación. Busque el nombre del dispositivo que el sistema cliente designa para la unidad. El dispositivo varía según la plataforma, aquí hay algunos ejemplos:
• Linux: / dev / sdX dónde x es una letra minúscula. Busque los mensajes sobre la unidad de fijación en el sistema de archivos de registro o ejecutando dmesg.
• FreeBSD: / dev / Dax dónde x es un dígito decimal. Busque los mensajes sobre la unidad de fijación en el sistema de archivos de registro o ejecutando dmesg.
• Ventanas: la unidad será nombrado después de una sola letra mayúscula, por ejemplo, RE. Utilice el Explorador o examinar el panel de control del sistema y mirar los discos disponibles para uno que coincida con la unidad.
•
En Mac OS X: / dev / diskX dónde x es un dígito decimal. correr lista diskutil desde un símbolo del sistema o utilizar la herramienta de interfaz gráfica de usuario Utilidad de Discos.
Nota: En Mac OS X, si el disco se llama diskX entonces el dispositivo para pasar a la utilidad de la escritura es en realidad rdiskX lo que es necesidad más rápidamente para este tipo de operaciones de bajo nivel.
Nota: También asegúrese de que el nombre del dispositivo se refiere propio dispositivo en lugar de una partición en el dispositivo. Por ejemplo,
/ Dev / sdb1 en Linux es la primera partición fi en el disco, por lo que estaría escribiendo a una partición en el dispositivo y la unidad no puede llegar a ser de arranque. En ese caso, el uso / dev / sdb en su lugar por lo que la utilidad de imagen de disco escribe a todo el disco.
Limpieza de la memory stick USB
Este paso es opcional a menos que la imagen no se pueda escribir en el memory stick USB.
La unidad de destino ya contenga las particiones que pueden impedir que se escriban correctamente por las herramientas de imagen de disco. Para obtener un nuevo comienzo, borrar todas las particiones del disco. Esto se puede hacer de diferentes maneras en Windows o en UNIX.
ventanas los Gestión de discos interfaz de Windows es una manera de eliminar las particiones de un disco, pero a menudo se ha desactivado la operación. El método más simple y más fiable es la utilización diskpart.
• Iniciar un símbolo del sistema ( cmd.exe) como administrador • Correr diskpart • Entrar list disk para mostrar los discos conectados al PC cliente
42
Capítulo 6. Instalación y actualización
El libro pfSense, Liberación
• Busque el memory stick USB de destino en la lista y observe su número de disco • Entrar select disk n dónde norte es el número de disco de la memory stick USB de destino de la lista en la salida del comando anterior
• Entrar limpiar para eliminar las particiones del disco • Entrar salida para detener diskpart y volver a la línea de comandos • Entrar salida de nuevo para cerrar la ventana de comandos
Linux, FreeBSD, Mac OS X los dd comando es la forma más fácil de borrar la tabla de particiones del USBmemstick en UNIX y sistemas operativos tipo Unix como Linux, FreeBSD y OS X. $ Sudo dd if = / dev / zero of = memstick_disk_path bs = 1M count = 1 Reemplazar memstick_disk_path con la ruta de acceso al dispositivo de disco memstick, por ejemplo / dev / sdb, / dev / DA1, o
/ Dev / rdisk3.
Escribir la imagen
Ahora es el momento de escribir la imagen en la memory stick USB. El procedimiento exacto varía según el sistema operativo.
Nota: Las siguientes instrucciones asumen la imagen fi medio de instalación le ha descomprimido por una primera utilidad fi apropiado. Para más detalles, véase Descomprimir
el medio de instalación .
Advertencia: Las operaciones de esta sección se sobreponen por completo cualquier contenido existente en el USB memory stick! Compruebe el memory stick USB primero para cualquier archivos para guardar o copia de seguridad.
Linux, FreeBSD, Mac OS X En Linux, FreeBSD y Mac OS X, escribir la imagen en la unidad mediante el dd Mand com-. Se necesita esta forma general:
dd if = image_file_name de = usb_disk_device_name Escribir en el disco de esta manera por lo general requiere privilegios elevados, por lo que el usuario escribir la imagen lo más probable es que tenga que utilizar sudo para ejecutar el comando. Ejemplo dd comandos de escritura de disco:
• Linux: sudo dd if = pfSense-CE-memstick-ADI-2.3.3-RELEASE-amd64.img of = / dev / sdb bs = 4M
• FreeBSD: sudo dd if = pfSense-CE-memstick-ADI-2.3.3-RELEASE-amd64.img of = / dev / da1 bs = 4m
• Mac OS X: sudo dd if = pfSense-CE-memstick-ADI-2.3.3-RELEASE-amd64.img of = / dev / rdisk3 bs = 4m los bs = X parámetro es opcional y le dice dd para realizar lecturas y escrituras en 4 bloques MB de datos a la vez. El tamaño de bloque predeterminado utilizado por dd es de 512 bytes. Especificación de un tamaño de bloque más grande puede forma significativa generando aumentan la velocidad de escritura.
ventanas Con el fin de grabar una imagen en una unidad de una estación de trabajo Windows, utilice una herramienta de interfaz gráfica de usuario, tales como Win32 disco Imager o Rufus . La misma Linux dd comandos mencionados anteriormente también se puede utilizar dentro de Cygwin si el símbolo del sistema Cygwin se lanza como un usuario de nivel de administrador.
6.2. Preparar el medio de instalación
43
El libro pfSense, Liberación
Win32 disco Imager • Descargar e instalar Win32 disco Imager • Comience Win32 disco Imager como Administrador •
Haga clic en el icono de la carpeta
• Vaya a la ubicación de la imagen en los medios de instalación descomprimida •
Seleccione la imagen
• Elija el destino USB memory stick coche de la Dispositivo desplegable •
Hacer clic Escribir
•
Esperar a que la imagen de la escritura fi nal
Rufus • Descargar e instalar Rufus •
Comience como Rufus Administrador
• Elija el destino USB memory stick coche de la Dispositivo desplegable • Seleccionar DD imagen Del desplegable junto a Crear disco de arranque usando • Haga clic en el icono del CD-ROM junto a Crear disco de arranque usando • Vaya a la ubicación de la imagen en los medios de instalación descomprimida •
Seleccione la imagen
•
Hacer clic comienzo
•
Esperar a que la imagen de la escritura fi nal
Solución de problemas
Si la escritura del disco falla, sobre todo en Windows, limpiar el memory stick USB como se sugiere en Limpieza de la memory stick USB vuelva a intentarlo. Si el error persiste, pruebe con un memory stick USB diferente.
Preparar un CD / DVD Para usar una imagen ISO fi l con una unidad de disco óptico, la imagen ISO se debe grabar en un disco CD o DVD de software de escritura apropiada.
Dado que la imagen ISO es una imagen del disco completo, debe ser quemado apropiadamente para una imagen fi les no como un CD de datos que contiene el único ISO fi l. La quema de los procedimientos varían según el sistema operativo y el software disponible.
La quema en Windows
Windows 7 y más adelante incluyen la capacidad de grabar imágenes ISO de forma nativa sin necesidad de software adicional. Además de eso, prácticamente todas las principales paquete de software de grabación de CD para Windows incluye la posibilidad de grabar imágenes ISO. Consulte la docu- mentación para el programa de grabación de CD. Una búsqueda en Google con el nombre del software de grabación y grabar iso También ayuda a localizar las instrucciones.
44
Capítulo 6. Instalación y actualización
El libro pfSense, Liberación
La quema con Windows Para grabar una imagen de disco de forma nativa en Windows 7 o posterior:
• Abra Windows Explorer y busque la imagen ISO descomprimida fi l •
Haga clic derecho en la imagen ISO fi l
•
Hacer clic Grabar una imagen de disco
• Seleccione la apropiada grabadora de discos unidad en la lista desplegable • Inserte un CD o DVD •
Hacer clic Quemar
Las versiones posteriores tales como Windows 10 también muestran una Herramientas de imagen de disco pestaña en la cinta cuando una imagen ISO es seleccionado en el Explorador de Windows. Que tiene una pestaña Quemar icono que también invoca la misma interfaz de grabación de discos.
La quema con Nero Para grabar una imagen ISO con Nero:
• Abra Windows Explorer y busque la imagen ISO descomprimida fi l •
Haga clic derecho en la imagen ISO fi l
• Hacer clic Abrir con •
Seleccionar Nerón
•
Siga las indicaciones que aparecen en Nero para grabar el disco
La primera vez se utiliza Nero, puede ser necesario seleccionarlo en la Elegir programa predeterminado lista. Este proceso puede trabajar con otro software de grabación de CD comercial también.
Ardiendo con ISORecorder Si el PC cliente nos usingWindows XP, 2003 o Vista, la libre disposición ISORecorder herramienta puede escribir imágenes ISO en un disco.
• Descargar e instalar la versión adecuada de ISO Recorder • Vaya a la carpeta en la unidad que contiene la imagen ISO descomprimida fi l •
Haga clic derecho en la imagen ISO fi l
•
Hacer clic Copia de la imagen en un CD
Otro Software Libre Burning Otras opciones gratuitas para los usuarios de Windows incluyen CDBurnerXP , InfraRecorder y ImgBurn . Antes de descargar e instalar cualquier programa, comprobar su lista de características para asegurarse de que es capaz de grabar una imagen ISO.
Ardor en Linux
distribuciones de Linux como Ubuntu típicamente incluyen una aplicación de grabación de CD de interfaz gráfica de usuario que puede manejar imágenes ISO. Si una aplicación de grabación de CD está integrado con el gestor de ventanas, pruebe uno de los siguientes:
• Haz clic derecho en la imagen de la ISO descomprimida fi l • Escoger Abrir con •
Escoger escritor de imagen de disco
O: • Haz clic derecho en la imagen de la ISO descomprimida fi l
6.2. Preparar el medio de instalación
45
El libro pfSense, Liberación
•
Escoger Escribe disco para
Otras aplicaciones populares incluyen K3B y Brasero Disc Burner. Si una aplicación gráfica quema no está disponible, puede ser posible grabar desde la línea de comandos. En primer lugar, determinar el dispositivo de grabación SCSI ID / LUN (número de unidad lógica) con el siguiente comando:
$ Cdrecord --scanbus scsibus6: 6,0,0
600) 'TSSTcorp' 'CDDVDW SE-S084C' 'TU00' CD-ROM extraíble
Tenga en cuenta la identificación SCSI / LUN es 6,0,0 en este ejemplo. Grabar la imagen como en el siguiente ejemplo, reemplazando < Máxima velocidad> con la velocidad del quemador (por ejemplo, 24) y
con el ID de SCSI / LUN de la grabadora: $ Sudo cdrecord --dev = --speed = pfSense-CE-2.3.3-RELEASE-amd64.iso
Ardor en FreeBSD
FreeBSD puede usar el mismo cdrecord Opciones como Linux anteriores mediante la instalación de sysutils / cdrtools desde los puertos o paquetes, y también se pueden utilizar las aplicaciones GUI como K3B o Brasero Disc Burner si están instalados en los puertos. Ver también:
Para obtener más información sobre la creación de CD en FreeBSD, consulte la entrada de grabación de CD en el Manual de FreeBSD .
Verificación de la Disco
Después de escribir el disco, verifique que se quemó correctamente mirando el archivos en el disco. Más de 20 carpetas deben ser visibles, incluyendo bin, bota, cf, conf, y más. Si sólo hay un gran ISO fi l es visible, el disco no se ha grabado correctamente. Repita los pasos enumerados anteriormente ardientes y asegúrese de quemar la ISO fi l de una imagen de CD y no como fi datos le.
Conectarse a la consola Una conexión a la consola en el hardware de destino es un requisito para ejecutar el instalador. Para el hardware con una consola VGA, esto es tan simple como conectar un monitor y un teclado. Para el hardware de una consola serie, el proceso es más complicado y requiere un PC cliente con un puerto apropiado y software de terminal. Siga las siguientes instrucciones para conectarse a través de una consola serie.
Conexión a una consola serie Las instrucciones de esta sección cubren temas generales de la consola serie. Algunos dispositivos, como rewalls Fi de la pfSense tienda , Requieren métodos ligeramente diferentes para conectarse a la consola serie. Para los dispositivos de la pfSense tienda , visita el Documentación Netgate para fi instrucciones de la consola en serie-modelo específico.
Requisitos de serie de la consola Conexión a una consola de serie en la mayoría de rewalls Fi requiere el hardware correcto en cada parte del enlace, incluyendo:
• El PC cliente debe tener un puerto serie físico o un adaptador USB-a-Serial
46
Capítulo 6. Instalación y actualización
El libro pfSense, Liberación
• El cortafuego debe tener un puerto serie físico • UN módem nulo por cable y / o adaptador de serie Para la mayor parte de la fi rewalls adquirir en la pfSense tienda , El único requisito de hardware es un cable USB A a mini-B. Ver Documentación Netgate para especi fi cs.
Además de la conexión de hardware adecuado, un programa cliente de consola de serie también debe estar disponible en el PC cliente, y la velocidad de serie y otros ajustes debe estar disponible.
Conectar un cable serie Primero un módem nulo cable serial se debe conectar entre el cortafuego y un PC cliente. Dependiendo del puerto y el cable serie ocupados, un cable serie cambiador de género También puede ser necesario para que coincida con los puertos disponibles. Si un cable serie de módem nulo verdadera no está disponible, un adaptador de módem nulo se puede utilizar para convertir un cable serie estándar en un cable de módem nulo.
Si el PC cliente no tiene un puerto serie físico, utilice un adaptador de USB a serie.
Localizar el puerto serie del cliente
En el PC cliente, el nombre del dispositivo de puerto serie debe ser determinada para que el software cliente se puede utilizar en el puerto correcto.
ventanas
En los clientes de Windows, un puerto serie físico es típicamente COM1. Con un adaptador de USB a serie, puede ser COM3. Abierto Administrador de dispositivos en Windows y ampliar Puertos (COM y LPT) de encontrar la asignación de puerto.
Mac OS X
En Mac OS X, el nombre puede ser difícil para un usuario determinar ya que varía en función del nombre del controlador y el tipo. Algunos ejemplos comunes incluyen / dev / cu.SLAB_USBtoUART y / dev / cu.usbserial- .
Linux
El dispositivo asociado con un adaptador de USB a serie es probable que aparezca como / dev / ttyUSB0. Busque los mensajes sobre el dispositivo de fijación en el sistema de archivos de registro o ejecutando dmesg.
Nota: Si el dispositivo no aparece en / dev /, comprobar para ver si el dispositivo requiere controladores adicionales.
FreeBSD
El dispositivo asociado con un adaptador de USB a serie es probable que aparezca como / dev / cuaU0. Busque los mensajes sobre el dispositivo de fijación en el sistema de archivos de registro o ejecutando dmesg.
6.3. Conectarse a la consola
47
El libro pfSense, Liberación
Determinación de la configuración de la consola serie
Los ajustes para el puerto serie, incluyendo la velocidad, deben ser conocidos antes de que un cliente puede conectarse con éxito a una consola serie.
Se utiliza Cualquiera que sea el cliente serie, asegúrese de que está configurado para la velocidad adecuada (115200), los bits de datos (8), paridad (n), y los bits de parada (1). Esto normalmente se escribe como 115200/8 / N / 1.
Nota: Algunos valores por defecto de hardware a una velocidad más lenta. Motores de PC ALIX defecto a 38400/8 / N / 1 y por defecto de hardware Soekris a 19200/8 / N / 1. Esto es relevante para la BIOS y la salida inicial, no pfSense que por defecto es 115200.
Se requiere que muchos clientes en serie por defecto 9600/8 / N / 1, por lo que estos ajustes para conectarse. Utilizar 115200/8 / N / 1 con pfSense independientemente de la configuración del hardware / BIOS. Para el hardware utilizando velocidades de serie del BIOS que no sea 115.200, cambiar la velocidad en baudios a 115200 en la configuración del BIOS para que el BIOS y pfSense son ambos accesibles con la misma configuración. Consulte el manual de hardware para obtener información sobre la configuración de la velocidad de transmisión.
115200 es la velocidad por defecto pfSense utiliza fuera de la caja, pero la velocidad de serie utilizado por pfSense se puede cambiar más adelante. Ver
Serie velocidad de la consola .
Localizar un cliente de serie
Un programa cliente de serie debe ser utilizado en el PC cliente. El cliente más popular para Windows es Masilla , Que es gratuito y funciona bien. Masilla También está disponible para Linux y se puede instalar en OS X usando cerveza. En los sistemas operativos UNIX y tipo UNIX, la pantalla programa es fácilmente disponibles o se instala fácilmente y también puede ser utilizado para conectar a los puertos serie desde una consola programa o sistema de terminales.
ventanas
Masilla es la libre elección más popular para la comunicación en serie en Windows. SecureCRT es otro cliente que funciona bien.
Advertencia: No utilizar Hyperterminal. Incluso si ya está presente en el PC cliente, es poco fiable y propenso a dar formato incorrectamente y la pérdida de datos.
Mac OS X
En los clientes de Mac OS X, GNU pantalla utilidad es la opción más fácil y más común. ZTerm y Cu (similares a FreeBSD) se pueden utilizar también.
Linux
En los clientes Linux, GNU pantalla utilidad es la opción más fácil y más común. Programas como masilla, minicom, o Dterm se puede utilizar también.
FreeBSD
En los clientes de FreeBSD, GNU pantalla utilidad es la opción más fácil y más común.
48
Capítulo 6. Instalación y actualización
El libro pfSense, Liberación
Como alternativa, utilice el programa incorporado propina. Mecanografía com1 punta ( O inclinar ucom1 si se utiliza un adaptador de serie USB) se conectará al puerto serie primero. Desconectar escribiendo ~. al comienzo de una línea.
Iniciar un cliente de serie
Ahora que todos los requisitos se han cumplido, es el momento de ejecutar el cliente de serie.
Si el software de cliente no está cubierto en esta sección, consulte la documentación para determinar cómo hacer una conexión en serie.
Masilla
• Inicio PuTTY •
Seleccionar De serie para el Tipo de conección
• Introduzca el nombre del dispositivo de puerto serie Línea de serie, p.ej COM3 o / dev / ttyUSB0. • Introduzca la adecuada Velocidad, p.ej 115200 •
Hacer clic Abierto
pantalla de GNU
• Abrir una terminal / comando • invocar la pantalla de comandos utilizando la ruta al puerto serie, por ejemplo: $ Sudo pantalla / dev / ttyUSB0 115200 En algunos casos puede haber una codificación desajuste terminal. Si esto ocurre, ejecute pantalla en el modo UTF-8:
sudo pantalla -U $ /dev/cu.SLAB_USBtoUART 115200
Realizar la instalación Esta sección describe el proceso de instalación de software pfSense a una unidad de destino, tal como un SSD o HDD. En pocas palabras, esto implica el arranque desde la memory stick de instalación o CD / DVD y luego de completar el programa de instalación.
Nota: Si el instalador detecta un error al intentar arrancar o instalar desde el medio de instalación, consulte Solución de problemas de instalación .
Los siguientes artículos son los requisitos para ejecutar el instalador:
• Medios descarga de instalación • Preparar el medio de instalación • Conectarse a la consola
6.4. Realizar la instalación
49
El libro pfSense, Liberación
Arrancar el medio de instalación Para instalaciones USBmemstick, inserte el poder USBmemstick y luego en el sistema de destino. El BIOS puede requerir el disco para ser insertado antes del arranque del hardware. Para las instalaciones de CD / DVD, el poder en el hardware y luego coloque el CD en una unidad óptica. pfSense comenzará a arrancar y pondrá en marcha automáticamente el instalador.
Especificando el orden de arranque en la BIOS
Si el sistema de destino no arranca desde el memory stick USB o un CD, la razón más probable es que el dispositivo dado no se encontró lo suficientemente temprano en la lista de medios de arranque en la BIOS. Muchas placas base más recientes apoyan un menú de inicio para una sola vez invocado presionando una tecla durante la POST, comúnmente Esc o F12. De no ser así, cambiar el orden de arranque en la BIOS. En primer lugar, encienda el hardware y entrar en la configuración del BIOS. La opción de orden de inicio se encuentra normalmente bajo una Bota o prioridad de arranque dirigía, pero podría estar en cualquier lugar. Si el apoyo para el arranque desde una unidad USB o óptica no está permitido, o tiene una prioridad menor que el arranque desde un disco duro con otro sistema operativo, el hardware no va a arrancar desde el soporte de instalación. Consultar el manual de la placa para obtener información más detallada sobre la alteración del orden de arranque.
Instalación de la unidad de disco duro Para memsticks USB con una conexión de consola serie, el primer indicador de fi le pedirá el tipo de terminal que se utilizará para el instalador. Para la pantalla de la masilla o GNU, xterm es el mejor tipo para su uso. Los siguientes tipos de terminales pueden ser utilizados: ANSI terminal de Genérico con código de colores
VT100 Terminal genérica sin color, la opción más básica / compatibles, seleccionar si no hay otros trabajan xterm X ventana de terminal. Compatible con la mayoría de los clientes modernos (por ejemplo, la masilla, pantalla)
cons25w FreeBSD terminal de consola al estilo de las consolas VGA, cons25w se asume por el instalador. Nota: Para aceptar todos los valores predeterminados y utilizar una instalación típica, pulse Entrar en cada pregunta hasta que los acabados instalador fi.
Una vez que el instalador pone en marcha, la navegación por sus pantallas es bastante intuitiva y funciona de la siguiente manera:
•
Para seleccionar elementos, utilice las teclas de flecha para mover el foco de selección hasta que se resalte el elemento deseado.
•
Para pantallas de instalación que contiene una lista, utilice el arriba y abajo las teclas de flecha para resaltar las entradas en la lista. Utilizar el
izquierda y derecho las teclas de flecha para resaltar las acciones en la parte inferior de la pantalla, como Seleccionar y Cancelar.
• Prensado Entrar selecciona una opción y activa la acción asociada con esa opción.
Inicio del instalador En primer lugar, la instalación ofrece la oportunidad para poner en marcha el Instalar proceso o una Shell rescate. Para continuar con la instalación, pulse Entrar mientras
Instalar se selecciona. los Shell rescate opción inicia un intérprete de comandos básicos que los usuarios avanzados pueden realizar tareas para preparar el sistema de manera no totalmente soportados por el instalador, o para realizar pruebas de diagnóstico o reparaciones en el cortafuego. los Selección de configuración de teclado la pantalla es el siguiente. Para la mayoría de los usuarios con un teclado estándar de PC, pulse Entrar para seleccionar
Continuar con el mapa de teclado por defecto. Si el teclado se utiliza para la consola tiene un diseño diferente, encontramos que en la lista y seleccione en su lugar.
50
Capítulo 6. Instalación y actualización
El libro pfSense, Liberación
Selección partición / sistema de archivos
los particionamiento paso selecciona el sistema de ficheros fi de disco de destino del cortafuego. En pfSense 2.3.x y antes, la única opción era UFS. El nuevo ZFS Tipo de fi sistema de ficheros es más fiable y tiene más características que el formato UFS mayores, sin embargo ZFS puede ser una memoria de hambre. De cualquier sistema de ficheros fi va a funcionar en el hardware con varios GB de RAM, pero si el uso de RAM es crítica para otras tareas que se ejecutarán en este fi cortafuegos, UFS es una opción más conservadora. Para el hardware que requiere UEFI, utilizar ZFS.
El proceso varía ligeramente dependiendo del tipo de sistema de ficheros fi seleccionado, así que siga la siguiente sección que coincide con el tipo fi sistema de archivos usado por este fi cortafuegos.
Nota: Si el instalador no puede hallar cualquier unidad, o si muestra unidades incorrectas, es posible que la unidad deseada está conectado a un controlador no soportado o un controlador de conjunto para un modo no soportado en el BIOS. Ver Solución de problemas de instalación en busca de ayuda.
UFS
•
Seleccionar Auto (UFS)
• Seleccione el disco de destino donde el instalador escribirá el software pfSense, por ejemplo, ada0. El instalador mostrará cada disco duro apoyado unido al cortafuego, junto con los volúmenes RAID o gmirror compatibles.
•
Seleccionar disco entero
• Seleccionar Sí a con fi rmar que el instalador puede sobrescribir el disco entero •
Seleccione el esquema de partición a utilizar para el disco: GPT La disposición de la tabla de particiones GUID. Utilizado por la mayoría de los sistemas x86 modernos. pueden no funcionar en
más viejos versiones de hardware / BIOS. Prueba este primer método. BSD Las etiquetas BSD sin un MBR, que solía ser conocido como “el modo peligrosamente dedicado”. Esta método debería funcionar en la mayoría de hardware que no puede usar GPT. Este fue el método utilizado por las versiones anteriores de software de pfSense.
MBR Seleccione esta opción sólo si GPT y BSD no funcionan en un pedazo específico de hardware.
Otros Las otras opciones no son relevantes para el hardware que es capaz de ejecutar software de pfSense.
•
Seleccionar Terminar para aceptar la distribución de la partición automática elegido por el instalador.
Nota: Los tamaños de las particiones y como se puede personalizar aquí, pero no recomendamos tomar ese paso. Para casi todas las instalaciones, los tamaños predeterminados son correctos y óptima.
•
Seleccionar Cometer para escribir la distribución de la partición del disco de destino.
• Avance a la Continuar con la instalación .
ZFS
•
Seleccionar Auto (ZFS)
•
Seleccionar Tipo de piscina / discos
-
Selecciona el Virtual Tipo de dispositivo. ZFS es compatible con múltiples discos de varias maneras para obtener redundancia y / o una capacidad extra. Aunque el uso de varios discos con ZFS es RAID por software, que es bastante fiable y mejor que el uso de un solo disco.
6.4. Realizar la instalación
51
El libro pfSense, Liberación
raya Un solo disco, o varios discos suman para hacer un disco más grande. Para rewalls fi con un único disco de destino, esta es la opción correcta. ( RAID 0) espejo Dos o más discos que contienen todos el mismo contenido para la redundancia. Puede mantener operativo
Incluso si un disco muere. (RAID 1)
RAID10 RAID 1 + 0, nx espejos de 2 vías. Una combinación de rayas y de espejos, lo que da redunDancy y la capacidad adicional. Puede perder un disco de cualquier par en cualquier momento.
raidzX Simple, doble, triple o RAID redundante. Utiliza 1, 2 ó 3 discos de paridad con una piscina para dar una capacidad extra y la redundancia, por lo que ya sea uno, dos, o tres discos pueden fallar antes de que se vea comprometida una piscina. Aunque similar a RAID 5 y 6, el diseño RAIDZ tiene diferencias significativas.
-
Seleccione los discos para usar con el seleccionado Virtual Tipo de dispositivo. Utilizar el arriba y abajo las teclas de flecha para resaltar un disco y Espacio para seleccionar los discos. Seleccionar un disco, incluso si sólo hay uno en la lista. Para los espejos o los tipos de RAID, seleccione suficientes discos para cumplir llenar los requisitos para el tipo elegido.
-
Seleccione OK con el izquierda y derecho teclas de flecha.
-
Elegir un suplente Esquema de partición sólo si el defecto, GPT (BIOS) no funcionará. Las opciones posibles son:
GPT (BIOS) La disposición de la tabla de particiones GUID y el arranque de BIOS. Utilizado por la mayoría x86 moderna Los sistemas. Prueba este primer método. GPT (UEFI) GPT con el cargador de arranque UEFI.
GPT (BIOS + UEFI) GPT con la BIOS y el arranque UEFI. MBR (BIOS) Heredados particiones MBR estilo con el arranque de BIOS. GPT + Activo (BIOS) GPT con la rodaja de arranque ajustado activo, con el arranque de BIOS.
GPT + Lenovo Fix (BIOS) GPT con una Lenovo-específico de arranque fi x.
-
Cambiar el tamaño de intercambio por defecto (opcional) seleccionando Tamaño de intercambio y luego introduciendo un nuevo valor. Normalmente, el tamaño óptimo es 2 veces la memoria RAM disponible en el cortafuego, pero con discos más pequeños que pueden ser demasiado.
-
Deje las otras opciones en la pantalla a sus valores por defecto.
-
Mover la selección de nuevo a Instalar y garantizar Seleccionar se pone de relieve por la acción en la parte inferior de la pantalla.
-
prensa Entrar continuar
• Seleccionar Sí para confirmar la selección del disco de destino, y para reconocer que el contenido del disco (s) objetivo serán destruidos.
• Avance a la Continuar con la instalación .
Continuar con la instalación
• Sentarse, esperar, y tienen unos sorbos de café mientras el proceso de instalación formatea la unidad (s) y copias pfSense archivos en el disco (s) objetivo.
•
Seleccionar No cuando se le solicite para hacer final modificaciones.
•
Seleccionar Reiniciar para reiniciar el cortafuego
• Retire el soporte de instalación del cortafuego durante el reinicio, cuando el hardware está iniciando una copia de seguridad, pero antes de que se inicie desde el disco.
Felicidades, la instalación del software pfSense es completa!
52
Capítulo 6. Instalación y actualización
El libro pfSense, Liberación
asignar Interfaces Después de que el instalador haya finalizado y se reinicia cortafuegos fi, fi el software cortafuegos busca interfaces de red e intenta adjudicar asignaciones de interfaz automáticamente.
La asignación automática interfaz pro fi les utilizado por el cortafuego son:
RCC-VE 4860/8860 WAN: igb1, LAN: igb0 RCC-VE 2220/2440 WAN: igb0, LAN: igb1 APU WAN: re1, LAN: RE2 Otros dispositivos Para otros dispositivos del cortafuego busca interfaces comunes e intenta asignarlas apropiadamente, por ejemplo: WAN: igb0, LAN: igb1 WAN: em0, LAN: em1 WAN: re1, LAN: re2 La fábrica fi rmware para dispositivos de la pfSense tienda incluye asignaciones predeterminadas adicionales adecuadas para el hardware, que varía dependiendo de la hardware ordenado con el dispositivo.
Si el cortafuego no puede determinar automáticamente la disposición de interfaz de red, presentará un símbolo para la asignación de interfaz como en la figura Asignación
de interfaz de pantalla . Aquí es donde las tarjetas de red instaladas en el cortafuego se dan sus papeles como WAN, LAN y las interfaces opcionales (OPT1, OPT2 ... OPtn).
Fig. 6.1: pantalla de asignación de interfaz
La fi cortafuegos muestra una lista de las interfaces de red detectadas y sus direcciones MAC (Media Access Control), junto con una indicación de su estado de enlace si eso es soportado por la tarjeta de red. El estado de enlace se denota por ( arriba) aparece después de la dirección MAC si se detecta un enlace en esa interfaz.
6.5. asignar Interfaces
53
El libro pfSense, Liberación
Nota: La dirección de control de acceso al medio (MAC) de una tarjeta de red es una única er identificado asignado a cada tarjeta, y no hay dos tarjetas de red debería tener la misma dirección MAC. Si una dirección MAC duplicada está presente en una red, ya sea por casualidad o por intencional ng spoo fi, todos los nodos con fl contradictorios se experimentan problemas de conectividad.
Después de imprimir la lista de interfaces de red, el cortafuego solicita VLAN con fi guración. Si se desean VLAN, respuesta Y, de otro modo, el tipo de norte, entonces presione Entrar. Ver también:
Para obtener información acerca de con fi gurar las VLAN, consulte LAN virtuales (VLAN) .
El cortafuego se solicita ajustar la interfaz WAN primera. A medida que el cortafuego típicamente contiene más de una tarjeta de red, un dilema puede presentarse a sí misma: ¿Cómo decir qué tarjeta de red es cuál? Si la identidad de cada tarjeta ya se conoce, introduzca los nombres de los dispositivos adecuados para cada interfaz. Si la diferencia entre las tarjetas de red es desconocida, la forma más fácil cifra a cabo es utilizar la función de detección automática. Para la asignación automática de interfaz, siga este procedimiento:
• Desconecte todos los cables de la red del cortafuego • Tipo un y pulse Entrar • Conectar un cable de red en la interfaz WAN del cortafuego •
Espere unos minutos para que el cortafuego para detectar el evento de enlace de hasta
• prensa Entrar Si todo va bien, el cortafuego puede determinar qué interfaz usar para la WAN. Repita el mismo proceso para la LAN y las interfaces opcionales, si alguno fuera necesario. Si el cortafuego imprime un mensaje que indica “No se detectó enlace de arriba”, véase La asignación manual de Interfaces para más información sobre la clasificación de las identidades de tarjetas de red.
Una vez que la lista de interfaces para el cortafuego es correcta, pulse Entrar en el indicador para las interfaces adicionales. El cortafuego le preguntará ¿Desea continuar (y | n)? Si la lista de asignación de interfaz de red es correcta, el tipo y entonces presione Entrar.
Si la asignación es incorrecta, el tipo norte y pulse Entrar repetir el proceso de asignación. Nota: Además del modo normal de enrutamiento / fi cortafuegos con múltiples interfaces, un cortafuego también se puede ejecutar en Modo aparato donde tiene sólo una única interfaz ( PÁLIDO). El cortafuego coloca la regla anti-bloqueo de interfaz gráfica de usuario en la interfaz WAN por lo que un cliente puede acceder a la interfaz web fi cortafuegos de esa red. Las funciones de enrutamiento y NAT habituales no son activos en este modo puesto que no hay interfaz interna o de la red. Este tipo de con fi guración es útil para dispositivos VPN, servidores DHCP y otras funciones independientes.
La asignación manual de Interfaces Si la función de detección automática no funciona, todavía hay esperanza de decir la diferencia entre las tarjetas de red antes de la instalación. Una forma es mediante la dirección MAC, la que imprime el fi cortafuego junto a los nombres de interfaz en la pantalla de asignación:
vmx0
00: 0C: 29: 50: a4: 04
vmx1
00: 0C: 29: 50: ec: 2f
La dirección MAC a veces se imprime en una etiqueta en algún lugar físicamente en la tarjeta de red. Para los sistemas izadas virtual-, la máquina virtual con fi guración por lo general contiene la dirección MAC para cada tarjeta de red. Las direcciones MAC son asignadas por el fabricante, y hay varias bases de datos en línea que ofrecen cionalidad de búsqueda inversa para fun- direcciones MAC con el fin de hallar la empresa que hizo la tarjeta: http://www.8086.net/tools/mac/ ,
http://www.coffer.com/mac_ fi nd / y http://aruljohn.com/mac.pl , Entre muchos otros.
54
Capítulo 6. Instalación y actualización
El libro pfSense, Liberación
Tarjetas de red de diferentes marcas, modelos o conjuntos de chips a veces pueden ser detectados con diferentes conductores. Puede ser posible decir una tarjeta basado en Intel con el IGB conductor, aparte de una tarjeta Broadcom utilizando el bge conductor mirando las tarjetas ellos mismos y la comparación de los nombres impresos en el circuito. El orden de sondeo de tarjetas de red puede ser impredecible, dependiendo de cómo está diseñado el hardware. En unos pocos casos, los dispositivos con un gran número de puertos pueden utilizar diferentes conjuntos de chips que sonda en diferentes maneras, lo que resulta en un orden inesperado. Add-on y tarjetas de red multi-puerto generalmente se sondearon con el fin de autobuses, pero que puede variar de placa a placa. Si el hardware ha Onboard NIC que son la misma marca que un complemento NIC, tenga en cuenta que algunos sistemas lista de la primera NIC a bordo, y otros no lo harán. En los casos en que la orden de la sonda hace varias tarjetas de red del mismo tipo ambigua, puede tardar ensayo y error para determinar las clasificaciones de puertos y controladores combinaciones nombre / número. Después de que las tarjetas de red han sido identi fi ed, escriba el nombre de cada tarjeta en la pantalla de asignación de interfaz cuando se le solicite. En el ejemplo anterior, vmx0 será WAN y vmx1 será LAN. Asignarles estas funciones, siga este procedimiento:
• Tipo vmx0 y pulse Entrar cuando se le solicite para la dirección WAN • Tipo vmx1 y pulse Entrar cuando se le solicite para la dirección de LAN • prensa Entrar de nuevo para detener el proceso de asignación, ya que este ejemplo no contiene ningún interfaces opcionales. • Tipo y y pulse Entrar para confirmar las asignaciones de interfaz
Técnicas de instalación alternativos Esta sección describe los métodos alternativos de instalación que pueden ser más fácil para ciertos requisitos de hardware raras.
Instalación con unidad en un equipo diferente Si es difícil o imposible de arrancar fromUSB o desde una unidad de DVD / CD para el hardware de destino, otro equipo se puede utilizar para instalar el software de pfSense en el disco duro de destino. La unidad puede entonces ser movido a la máquina original. Después de la instalación, permite la instalación de la máquina para reiniciar y apagarlo una vez que se vuelve a la pantalla de la BIOS. Quitar el disco duro de la máquina de instalación y colocarlo en el cortafuegos de destino fi. Después del arranque, el cortafuego le pedirá para la asignación de interfaz y luego el resto de la con fi guración se puede realizar como de costumbre.
Nota: Las versiones actuales de las técnicas de uso de software pfSense como GPT Identificación, UFS Identificación y metadatos ZFS para montar discos, por lo que a pesar de que el dispositivo pueden aparecer con un controlador de disco diferente en el hardware de destino real, el sistema operativo todavía será capaz de localizar y montar el disco apropiado.
Instalación completa de VMware con la redirección de USB redirección USB en VMware Player andWorkstation se puede utilizar para instalar en un disco duro. La mayoría de cualquier USB a SATA / IDE o adaptador parecido funcionará para este propósito. Las siguientes instrucciones son específico a VMware Workstation 12, pero también trabajarán en otras versiones recientes.
•
Enchufe la unidad de destino en el adaptador de SATA / IDE o escritor de tarjetas SD / CF
• Conecte el adaptador / escritor en el PC cliente • Abrir la estación de trabajo de VMware en el PC cliente • Crear una máquina virtual, que debe tener activado USB (Se está activado por defecto) •
Establecer la máquina virtual para conectar la imagen ISO de instalación en el arranque en su unidad de CD / DVD virtual
6.6. Técnicas de instalación alternativos
55
El libro pfSense, Liberación
• Iniciar la máquina virtual •
prensa Esc durante la pantalla de VM BIOS para cargar el menú de arranque
• Encontrar el icono del adaptador USB en la parte inferior de la ventana de VMware • Haga clic en el icono del adaptador USB •
Hacer clic Conecta (desconexión del sistema principal)
•
Seleccionar Lector de CD ROM desde el menú de inicio
• Continuar a través de la instalación de la misma como una normal, asegurarse de que la unidad correcta se selecciona durante el proceso de instalación
•
Apagar la máquina virtual
• Retire el disco de destino desde el PC cliente • Coloque el disco de destino para el hardware cortafuego previsto Las versiones anteriores de VMware estación de trabajo puede utilizar la redirección automática USB para lograr el mismo objetivo. Desconecte el dispositivo USB, haga clic dentro de la máquina virtual para darle el foco, y luego conectar el dispositivo USB. La máquina virtual debe adjuntar a la unidad USB.
Solución de problemas de instalación La gran mayoría de las veces, las instalaciones se fi nal sin problemas. Si los problemas de pop-up, las siguientes secciones se describen los problemas más comunes y las medidas para resolverlos.
Arrancar desde el medio de instalación se produce un error Debido a la amplia variedad de combinaciones de hardware en uso, no es raro que un CD o memory stick para arrancar de forma incorrecta (o en absoluto). Dada la naturaleza impredecible de soporte de hardware de los productos básicos, el uso de hardware de la pfSense tienda
es la ruta de acceso única garantía de éxito.
Dicho esto, los problemas y soluciones más comunes son: Soporte USB memory stick Algunas implementaciones de BIOS pueden ser exigente con el apoyo memory stick USB. Si
el arranque desde un palo falla, intente una diferente. 3 puertos USB Ciertas combinaciones de palos y puertos USB, especialmente los puertos USB 3.0, puede no funcionar correctamente. Pruebe con un memory stick USB 2.0 en un puerto USB 2.0. problemas de BIOS Actualizar los datos más recientes del BIOS y desactivar todos los dispositivos periféricos que no sean necesarios, tales como Firewire,
Las unidades de disquete y audio.
Unidad óptica sucia Limpiar la unidad con un disco de limpieza o una lata de aire comprimido, o utilice otra unidad.
Mal de medios ópticos Grabe otro disco y / o grabar el disco a una velocidad inferior. Tal vez intente otra marca de los medios de comunicación.
SATA / IDE Problemas con el cable Pruebe con un cable SATA / IDE diferente entre la unidad de CD-ROM y el controlador
o la placa base Problemas del gestor de arranque Ha habido casos en los que las versiones especí fi cos del cargador de arranque de CD de FreeBSD
no trabajar en un determinado hardware. En estos casos, véase Técnicas de instalación alternativos para llevar a cabo la instalación de la unidad de destino en un PC independiente y luego moverlo al hardware de destino. Hay más técnicas de solución de problemas enumerados en el Wiki de documentación bajo pfSense Solución de problemas de arranque .
56
Capítulo 6. Instalación y actualización
El libro pfSense, Liberación
Arrancar desde el disco duro después de la instalación falla, Después de la instalación y se reinicia el cortafuego, hay condiciones que pueden impedir que el sistema operativo desde el arranque plenamente. Las razones más comunes son por lo general relacionados con la BIOS. Por ejemplo, una aplicación BIOS no puede arrancar desde un disco utilizando GPT o ZFS, o puede requerir UEFI. Algunos de estos pueden ser trabajadas en torno al elegir diferentes opciones para el diseño de particiones durante el proceso de instalación. Actualización de la BIOS a la última versión disponible también puede ayudar.
La alteración de las opciones SATA en el BIOS ha mejorado el arranque en algunas situaciones también. Si se utiliza un disco duro SATA, experimente cambiando las opciones SATA en el BIOS para la configuración, tales como AHCI, Legacy, o IDE. AHCI es el mejor modo de utilizar con las versiones actuales de software de pfSense. Al igual que en la sección anterior, hay más técnicas de resolución de problemas en la documentación en línea bajo Solución de problemas de arranque .
Interfaz de enlace de arriba no se detecta Si el cortafuego se queja de que no detectó un enlace de interfaz de hasta eventos durante la asignación automática, primero asegúrese de que el cable esté desconectado y que la interfaz no tiene una luz de enlace antes de elegir la opción de detección de enlace. Después de seleccionar la opción, conecte el cable de nuevo en la interfaz y asegurarse de que tiene una luz de enlace antes de pulsar Entrar. Prueba o reemplazar el cable en cuestión si no muestra una luz de enlace en el conmutador y / o puerto NIC una vez que se conecta. Si un cable de red está conectado directamente entre dos ordenadores y no a un conmutador, y una de esas piezas de hardware es más antiguo (por ejemplo, tarjeta de red 10/100) asegurarse de que una cable cruzado esta siendo usado. Adaptadores Gigabit todo el apoyo Auto-MDIX y se encargará de esto internamente, pero muchos más viejos adaptadores 10/100 no lo hacen. Del mismo modo, si la conexión de un cortafuego que ejecuta el software pfSense a un interruptor que no es compatible con Auto-MDIX, utilice un cable de conexión directa.
Si la interfaz está conectado correctamente pero el cortafuego aún no detecta el evento de enlace, la interfaz de red no puede detectar correctamente o reportar el estado del enlace con el sistema operativo o el controlador. En este caso, la asignación manual de las interfaces es necesario.
Solución de problemas de hardware las siguientes sugerencias le ayudarán a resolver los problemas generales de hardware.
El arranque desde USB
Si el inicio se detiene con una mountroot> pedirá al arrancar desde el CD en vivo, por lo general con las unidades de CD / DVD USB, escapar al indicador de cargador desde el menú de inicio y ejecutar el siguiente:
establecer kern.cam.boot_delay = 10000 arranque
Momento en el que el arranque continuará con normalidad.
Si el cortafuego está funcionando de forma permanente de un medio que requiere este retraso, editar / boot / loader.conf.local
e insertar la línea siguiente: Kern . leva . boot_delay = 10000
6.7. Solución de problemas de instalación
57
El libro pfSense, Liberación
Retire hardware innecesario Si el cortafuego contiene hardware que no se utilizará, eliminar o desactivarlo. Esto normalmente no es un problema, pero puede causar problemas y tiene el potencial de reducir el rendimiento. Si una pieza no utilizada de hardware es extraíble, lo saca del cortafuego o desactivar en el BIOS.
Desactivar PNP OS en el BIOS Se trata de un fi x común para hardware antiguo. pantallas con fi guración del BIOS pueden contener un escenario de PNP OS o Plug and Play del sistema operativo, que debe ser ajustado a inhabilitar o no . Unos pocos tienen una configuración para el sistema operativo, el cual tiene que ajustarse a
otro.
Actualizar el BIOS La segunda fi x más común para los problemas de hardware está actualizando el BIOS a la última revisión. La gente parece tener un tiempo difícil creer esto, pero confía en nosotros, lo hace. actualizaciones de BIOS fi comúnmente x errores en el hardware. No es raro para golpear problemas provocados por errores de hardware en sistemas que han estado estable con Windows durante largos períodos de tiempo. Ya sea Windows no provocan el error, o tiene un trabajo alrededor, como hemos encontrado este en múltiples ocasiones. Cosas que las actualizaciones de BIOS se fi x incluyen: El no poder arrancar, problemas de tiempo, manteniendo la inestabilidad general, y otras cuestiones como la compatibilidad de hardware.
Restablecer la configuración del BIOS a los valores de fábrica
sistemas de reciclados pueden tener una atípica BIOS con fi guración. La mayoría contienen una opción que permite opciones por defecto de fábrica para ser cargado. Utilice esta opción para obtener un nuevo comienzo en la configuración del BIOS.
Otros parámetros de la BIOS
Si el BIOS permite la administración de energía con fi guración, intente alternar esa opción. Buscar otra cosa que parezca relevante a cualquier aspecto de la instalación está fallando. Si se llega a este punto, el hardware de destino es probablemente una causa perdida y otro soporte físico, puede ser necesario. También comprobar para ver si el BIOS tiene un registro de eventos que pueden enumerar los errores de hardware tales como fallos en las pruebas de memoria.
Si el hardware utiliza un chipset nuevo o reciente, una versión de desarrollo de software de pfSense puede trabajar. Comprobar el Las instantáneas la página para ver si hay un desarrollo (por ejemplo, beta o Release Candidate) para tratar de construir.
Otros Problemas de hardware
El hardware de destino puede estar defectuoso, que las pruebas con el software de diagnóstico puede revelar. Pruebe el disco duro con el software de diagnóstico del OEM, y compruebe la memoria con un programa como Memtest86 +. Estos y más herramientas están disponibles en el “ Ultimate Boot CD ”, Que está precargado con muchas herramientas de diagnóstico de hardware libre. También asegúrese de que todos los ventiladores están girando a gran velocidad, y que no hay componentes están sobrecalentando. Si este es el hardware más antiguo reutilizado, comprimido de limpieza / aire comprimido de los ventiladores y disipadores de calor puede hacer maravillas.
Actualización de una instalación existente pfSense software se puede actualizar de forma fiable a partir de una versión anterior a una versión actual.
58
Capítulo 6. Instalación y actualización
El libro pfSense, Liberación
Al mantener un cortafuego que ejecuta el software actualizado con pfSense un comunicado el apoyo actual, nunca será obsoleto. Lanzamos periódicamente nuevas versiones que contienen nuevas características, actualizaciones, equis fallo fi, y varios otros cambios. En la mayoría de los casos, la actualización de una instalación pfSense es fácil. Si el cortafuego está actualizando a una nueva versión que es un solo punto de desenganche (por ejemplo, 2.3.2 a 2.3.3), la actualización es típicamente menor y poco probable que cause problemas.
El problema más común que se presenta durante las actualizaciones es fi regresiones hardware específico de una versión de FreeBSD a otro, aunque esto sea muy rara. comunicados actualizados Fi x más hardware que se rompen, pero regresiones son siempre posibles. saltos más grandes, por ejemplo de 2.1.5 a 2.3.3 deben ser manipulados con cuidado, e idealmente a prueba en un hardware idéntico en un entorno de prueba antes de su uso en la producción.
Hemos puesto notas de actualización, junto con los comunicados para ayudar a guiar a través de cualquier trampa de actualización potenciales. Estas notas varían de una versión a otra, la versión más actualizada se puede encontrar en la Guía de actualización .
Hacer una copia de seguridad ... y un plan de reserva Antes de realizar cualquier modificaciones a un cortafuego, lo mejor es hacer una copia de seguridad mediante la WebGUI:
• Navegar a Diagnóstico> Backup / Restore •
Selecciona el Área de copia de seguridad a TODAS en el Con fi guración de copia de seguridad sección de la página
•
Hacer clic
•
Guarde esto en alguna parte fi l de seguridad
Descargar
Mantener varias copias de la copia de seguridad fi l en diferentes lugares seguros. Los clientes con una pfSense Suscripción Oro debe considerar el uso de la Auto Con fi g de copia de seguridad paquete. Los clientes que utilizan la fi g paquete de copia de seguridad automática Con pueden hacer una copia de seguridad manual con una nota que identifica el cambio, que se cifra y se almacena en nuestros servidores. Otra buena práctica es tener a mano un medio de instalación para el lanzamiento está ejecutando actualmente y para la nueva versión, en caso de que algo va mal y se requiere una reinstalación. Si eso ocurriera, tener el respaldo fi l en la mano y se refieren a Copia de seguridad y recuperación .
La actualización
Hay varios métodos disponibles para actualizar una instalación normal del software de pfSense. O bien el WebGUI o la consola se pueden utilizar.
Actualización con los WebGUI los Actualización automática característica contacto con un servidor pfsense.org y determina si existe una versión más reciente que la versión en el cortafuego. Esta comprobación se realiza cuando un administrador visita el tablero de instrumentos o Sistema> Actualizar.
Hacer clic
Con fi rm en Sistema> Actualizar para iniciar la actualización si hay uno disponible.
La actualización tarda unos minutos para descargar y aplicar, dependiendo de la velocidad de la conexión a Internet utilizada y la velocidad del hardware fi cortafuegos. El cortafuego se reiniciará automáticamente cuando terminado.
La actualización mediante la consola
Una actualización también se puede ejecutar desde la consola. La opción de la consola está disponible en todos los medios disponibles para acceso a la consola: Video / teclado, consola serie, o SSH. Una vez conectado a la consola del cortafuego, iniciar el proceso de actualización mediante la opción de menú de elección 13.
Como alternativa, desde el intérprete de comandos se ejecuta como root, ejecutar manualmente el comando siguiente:
6.8. Actualización de una instalación existente
59
El libro pfSense, Liberación
#
pfSense-actualización
Versiones anteriores
Las versiones de software antes de pfSense 2.3 utilizan un método de actualización diferente. Para instalaciones “completas”, una TGZ fi l fue utilizado por el cortafuego para copiar en el nuevo archivos. Este método fue problemática y ya no se utiliza. Sin embargo, por el momento, actualizar los archivos en ese formato todavía son proporcionados por el proyecto con el fin de llevar a fi mayores rewalls al día. En las versiones anteriores, una actualización automática seguirá funcionando. Después de ejecutar la actualización automática puede haber versiones más recientes disponibles, por lo que una vez que el cortafuego está ejecutando una versión de pfSense 2.4 o posterior, ejecute otra actualización si el cortafuego detecta que es necesario.
Reinstalación / Actualización de con fi guración
Si una actualización no funcionará correctamente en una instalación existente, la con fi guración fi l puede ser restaurado a una copia recién instalada de software de pfSense. Una con fi guración mayor siempre se pueden importar en una nueva versión. El código de actualización hará cambios necesarios en la con fi guración por lo que funciona con la versión actual del software.
Ajustes de actualización
Rama / Seguimiento instantáneas Por defecto, la verificación de actualización sólo busca o fi cialmente publicado versiones de software de pfSense, pero este método también se puede utilizar para realizar un seguimiento de las instantáneas de desarrollo. La ubicación de actualización se puede cambiar visitando Sistema> Actualizar, Ajustes Actualizar pestaña y seleccionar un diferente Rama en el Rama firmware sección.
Estable Las versiones son la mejor opción, ya que ven la mayoría de las pruebas y son razonablemente segura y sin problemas. Sin embargo, como con cualquier actualización, visite el sitio web de pfSense y leer las notas de actualización para esa versión, y compruebe el Guía de actualización . Escoger Las instantáneas de desarrollo para cambiar un cortafuego a rastrear el desarrollo de instantáneas se acumula. Estos por lo general son instantáneas para la próxima versión de menor importancia rama de mantenimiento. En algunos casos, una Próxima versión opción estará en la lista. Esta opción hace que las instantáneas de la pista fi cortafuego para la próxima versión de actualización. Esto es más arriesgado, pero en algunos casos puede ser necesaria para hardware nuevo o nuevas características que aún no se liberan. Consultar el foro y en una prueba de laboratorio para ver si estas instantáneas son estables en un entorno particular. No recomendamos en general, la ejecución de estos en la producción.
Comprobar salpicadero
los Comprobar salpicadero casilla de verificación en Sistema> Actualizar, Ajustes Actualizar pestaña controla si o no una comprobación de actualización se lleva a cabo por el Información del sistema widget en el tablero de instrumentos. En rewalls fi con bajos recursos o discos lentos, la desactivación de esta comprobación se reducirá la carga causada por ejecutar la verificación cada vez que un administrador ve el tablero de instrumentos.
GitSync Esta sección es para los desarrolladores y no debe ser utilizado por los usuarios finales. Deja configuración de esta área vacía o desactivada.
60
Capítulo 6. Instalación y actualización
El libro pfSense, Liberación
Ajustes del sistema de ficheros La configuración predeterminada para el sistema de ficheros fi son los mejores para la mayoría de los ambientes, sin embargo, hay ocasiones que requieren pequeños cambios para mejorar la estabilidad, el rendimiento o la longevidad del sistema de ficheros fi.
Habilitación de soporte TRIM El instalador de la versión de fábrica de conjuntos pfSense TRIM automáticamente. Tanto la fábrica y la versión CE de pfSense
2,4 soporte TRIM nativa al utilizar ZFS. Si bien es posible activar manualmente TRIM, el apoyo es impredecible en hardware, por lo que no proporcionan instrucciones sobre cómo activar la función.
Desencadenando un sistema de archivos Comprobar pfSense se ejecutará una verificación de fi cheros ( fsck) en el arranque cuando se detecta un sistema de ficheros fi impuro, por lo general a partir después de un corte de energía u otro reinicio o apagado repentino impuro. En casos raros, que no siempre es suficiente, ya que un sistema de ficheros fi se puede dañar de otras formas que no siempre pueden dejar la unidad marcada impuro. En estos casos:
• Conectarse a la consola • Elija la opción de menú para reiniciar desde el menú de la consola ( 5) •
Entrar F ( mayúscula “f”) para forzar una comprobación fi sistema de archivos durante la secuencia de arranque, incluso si la unidad se considera limpia
Esa opción no está presente en todos los rewalls fi ya que no es compatible con ciertas implementaciones del BIOS. Si esa opción no está presente:
• Reinicie el cortafuego en modo monousuario por la opción de elegir 2 desde el menú de inicio • prensa Entrar cuando se le pida una cáscara • Entrar fsck -y / • Repita el comando al menos 3 veces, o hasta que no se encuentran errores, incluso si el sistema de ficheros fi se informó limpia
6.9. Ajustes del sistema de ficheros
61
El libro pfSense, Liberación
62
Capítulo 6. Instalación y actualización
CAPÍTULO
SIETE
CONFIGURACIÓN
Asistente de configuración La primera vez un usuario inicia sesión en pfSense, el cortafuego presenta el asistente de configuración de forma automática. La primera página del asistente se muestra en la figura Asistente de
configuración de pantalla de inicio .
Hacer clic
Siguiente para iniciar el proceso de con fi guración utilizando el asistente.
Propina: Usando el asistente de configuración es opcional. Haga clic en el logotipo de pfSense en la parte superior izquierda de la página para salir del asistente en cualquier momento.
Fig. 7.1: Pantalla de Asistente para la instalación partir
Pantalla de información general La siguiente pantalla (Figura Pantalla de información general ) con fi guras el nombre de esta fi cortafuegos, el dominio en el que reside, y los servidores de DNS para el cortafuego. nombre de host los nombre de host puede ser casi cualquier cosa, pero debe comenzar con una letra y puede contener solamente
letras, números, o un guión. Dominio Introduzca un dominio, por ejemplo, example.com.
Si esta red no tiene un dominio, utilice
.localdomain, donde < algo> es otro identi fi cador: a nombre de la empresa, apellido, apodo, etc. Por ejemplo, company.localdomain El nombre de host y de dominio se combinan para formar el nombre de dominio totalmente calificado fi cado de esta fi cortafuegos. / Servidor DNS secundario primaria La dirección IP del servidor DNS primario y secundario del servidor DNS puede ser llenada en caso necesario y si son conocidos. Estos servidores DNS se pueden dejar en blanco si el Resolver DNS se mantendrá activo usando Tings su conjunto- por defecto. El valor por defecto pfSense con fi guración tiene la resolución DNS activo en el modo de resolución (modo de no reenvío), cuando se establece esta manera, la resolución DNS no necesita servidores DNS de reenvío como se
63
El libro pfSense, Liberación
se comunicará directamente con los servidores DNS raíz y otros servidores DNS autorizados. Para forzar el cortafuego de usar estos servidores DNS con fi gura, habilitar el modo de reenvío en el Resolver DNS o utilizar el DNS Forwarder.
Si este fi cortafuegos tiene un tipo de WAN dinámica como DHCP, PPPoE PPTP o éstos pueden ser asignados automáticamente por el ISP y pueden dejarse en blanco.
DNS anulación Cuando se activa, una dinámica WAN ISP puede suministrar servidores DNS que anulan los a mano. Para forzar el uso de sólo los servidores DNS con fi gurar manualmente, desactive esta opción. Ver también: Para obtener más información acerca de con fi gurar el Resolver DNS, consulte de resolución de DNS
Hacer clic
Siguiente continuar.
Fig 7.2:. Pantalla de Información General
NTP y la zona horaria con fi guración La siguiente pantalla (Figura NTP y la zona horaria pantalla de configuración ) tiene opciones relacionadas con el tiempo. nombre de host del servidor de tiempo Un nombre de host del servidor Network Time Protocol (NTP) o la dirección IP. A menos que una espe-
Se requiere fi ci c servidor NTP, tales como uno en LAN, lo mejor es dejar el nombre de host del servidor de tiempo en el valor predeterminado 0.pfsense.pool.ntp.org. Este valor se elige un servidor aleatorio de un grupo de conocidos buenos anfitriones NTP.
Para utilizar múltiples servidores de tiempo, añadirlos en la misma caja, separando cada servidor por un espacio. Por ejemplo, el uso de tres servidores NTP de la piscina, entre:
0.pfsense.pool.ntp.org 1.pfsense.pool.ntp.org 2.pfsense.pool.ntp.org
Esta numeración es especí fi ca a la forma. pool.ntp.org opera y asegura cada dirección se extrae de una piscina única de servidores NTP por lo que el mismo servidor no se acostumbra dos veces. Zona horaria Elija una zona geográfica llamada que se adapte mejor ubicación de este fi cortafuegos, o cualquier otra
zona deseada.
64
Capítulo 7. Con fi guración
El libro pfSense, Liberación
Hacer clic
Siguiente continuar.
Fig 7.3:. Pantalla de configuración de NTP y la zona horaria
Con fi guración WAN La página siguiente del asistente con fi guras de la interfaz WAN del cortafuego. Esta es la red externa hacia el ISP o router aguas arriba, por lo que el asistente ofrece opciones estafadores fi guración para soportar varios tipos de conexión ISP común. Tipo de WAN los Tipo seleccionado ( Figura Con fi guración WAN ) debe coincidir con el tipo de WAN requerido por
el ISP, o lo que el anterior cortafuego o enrutador fue con fi gurada para su uso. Las opciones posibles son
Estática, DHCP, PPPoE, y PPTP. La opción por defecto es DHCP debido al hecho de que es el más común, y para la mayoría de los casos este valor permite que un cortafuego que “sólo trabajo” sin adicional con fi guración. Si no se conoce el tipo de WAN, o no son conocidos ajustes especí fi cas para la WAN, esta información debe ser obtenida del ISP. Si el tipo de WAN requerido no está disponible en el asistente, o para leer más información sobre los diferentes tipos de WAN, consulte Tipos de interfaz y con fi guración .
Nota: Si la interfaz WAN inalámbrica es, opciones adicionales serán presentados por el asistente que no están cubiertas durante este recorrido del asistente de configuración estándar. Referirse a Inalámbrico , Que tiene una sección de WAN inalámbrica para obtener información adicional. Si alguna de las opciones no son claras, omitir la configuración WAN, por ahora, y luego realizar la con fi guración inalámbrica después.
Fig 7.4:. WAN Con fi guración Dirección MAC Este campo, que se muestra en la figura General de la WAN con fi guración , cambia la dirección MAC utilizada
en la interfaz de red WAN. Esto también se conoce como “spoo fi ng” la dirección de MAC.
Nota: Los problemas aliviados por spoo fi ng una dirección MAC suelen ser temporales y fácil de trabajar alrededor. El mejor curso de acción es mantener la dirección MAC original del hardware, recurriendo a SPOO fi ng sólo cuando sea absolutamente necesario.
Cambio de la dirección de MAC puede ser útil cuando la sustitución de una pieza existente de equipo de red. Ciertos proveedores de Internet, principalmente los proveedores de cable, no funcionará correctamente si hay una nueva dirección MAC es cados encuen-. Algunos proveedores de Internet requieren apagar y encender el módem, otros requieren el registro de la nueva
7.1. Asistente de configuración
sesenta y cinco
El libro pfSense, Liberación
abordar a través del teléfono. Además, si esta conexión WAN está en un segmento de red con otros sistemas que lo ubican a través de ARP, el cambio del MAC para que coincida y más viejo pedazo de equipo también puede ayudar a facilitar la transición, en lugar de tener que borrar las memorias caché ARP o actualizar las entradas ARP estáticas.
Advertencia: Si alguna vez se utilizó este cortafuego como parte de una Clúster de alta disponibilidad , No suplantar la dirección MAC.
Unidad de transmisión máxima (MTU) El campo MTU, que se muestra en la figura General de la WAN con fi guración , normalmente puede dejarse en blanco, pero se puede cambiar cuando sea necesario. Algunas situaciones pueden requerir una MTU inferior para asegurar los paquetes están dimensionados adecuadamente para una conexión a Internet. En la mayoría de los casos, el valor por defecto asume valores para el tipo de conexión WAN funcionarán correctamente.
Tamaño máximo del segmento (MSS) MSS, que se muestra en la figura General de la WAN con fi guración puede ser típicamente se deja en blanco, pero se puede cambiar cuando sea necesario. Este campo permite MSS de sujeción, lo que garantiza tamaños de paquetes TCP se mantienen adecuadamente pequeño para una conexión de Internet en particular.
Fig 7.5:. General de la WAN con fi guración
Estática fi guración IP de Con Si se selecciona la opción “estático” para el tipo de WAN, la dirección IP, subred Máscara, y aguas arriba de puerta de enlace deben ser todos llenada en la (Figura Configuración IP estáticas ). Esta información se debe obtener de la ISP o quien controla la red en el lado WAN de esta fi cortafuegos. los Dirección IP y aguas arriba de puerta de enlace Ambos deben residir en la misma subred.
Fig. 7.6: Configuración de IP estática
nombre de servidor Este campo (Figura DHCP Configuración de nombre de host ) Sólo se necesita por algunos proveedores de Internet. Esta
valor se envía junto con la solicitud DHCP para obtener una dirección IP WAN. Si el valor de este campo es desconocida, trate de dejarlo en blanco a menos que se indique lo contrario por el ISP.
PPPoE Con fi guración Cuando se utiliza el (Protocolo Punto a Punto sobre Ethernet) PPPoE tipo de WAN (FigUre PPPoE Con fi guración ), los Nombre de usuario PPPoE y PPPoE contraseña Se requieren campos, como mínimo. Los valores de estos campos son determinados por el ISP.
66
Capítulo 7. Con fi guración
El libro pfSense, Liberación
Fig 7.7:. DHCP Configuración de nombre de host
Nombre de usuario PPPoE El nombre de usuario para la autenticación PPPoE. El formato es controlado por el ISP, pero comúnmente se utiliza un estilo de dirección de correo electrónico, como [email protected]. PPPoE contraseña La contraseña para acceder a la cuenta fi especificados por el nombre de usuario anteriormente.
La contraseña está enmascarado por defecto. Para ver la contraseña introducida, comprobar Revelar caracteres de la contraseña. Nombre del servicio PPPoE El nombre del servicio PPPoE puede ser requerido por un ISP, pero es typ-
camente deja en blanco. En caso de duda, dejarlo en blanco o en contacto con el ISP y preguntar si es necesario.
Marcación PPPoE bajo demanda Causas pfSense para dejar la conexión abajo / de ine fl hasta que los datos
Se solicita que necesitaría la conexión a Internet. inicios de sesión PPPoE suceden muy rápido, por lo que en la mayoría de los casos la demora mientras que la conexión es de configuración sería insignificante. Si los servicios públicos están alojados detrás de esta fi cortafuegos, no seleccione esta opción como una conexión en línea se debe mantener lo más posible en ese caso. También tenga en cuenta que esta elección no caerá una conexión existente.
PPPoE de espera en inactividad especi fi ca la cantidad de tiempo pfSense le permitirá la conexión PPPoE
permanecerá sin transmisión de datos antes de desconectar. Esto sólo es útil cuando se combina con el dial en la demanda, y típicamente se deja en blanco (desactivado). Nota: Esta opción también requiere la desactivación de la vigilancia de puerta de enlace, de lo contrario la conexión nunca va a estar inactivo.
Fig 7.8:. PPPoE Con fi guración
PPTP Con fi guración El PPTP (Point-to-Point Protocolo de túnel) WAN tipo (figura PPTP WAN Con fi guración ) es para los ISP que requieren un inicio de sesión PPTP, no para la conexión a una VPN PPTP remoto. Estos valores, al igual que la configuración PPPoE, serán proporcionados por el ISP. Se requieren unas cuantas opciones adicionales:
Dirección IP local La dirección local (generalmente privados) utilizada por este fi cortafuegos para establecer la
7.1. Asistente de configuración
67
El libro pfSense, Liberación
conexión PPTP. Máscara de subred en CIDR La máscara de subred de la dirección local.
Dirección IP remota La dirección del servidor PPTP, que es por lo general dentro de la misma subred que
el dirección IP local.
Fig 7.9:. PPTP WAN Con fi guración Estas dos últimas opciones, visto en la figura Built-in Ingress opciones de filtrado , son útiles para la prevención de inválido tráfico c entren en la red protegida por este fi cortafuegos, también conocido como “Ingress Filtering”.
Bloquear RFC 1918 Redes Privadas Bloquea las conexiones proceden de redes privadas registradas tales como 192.168.xx y 10.xxx intentar entrar en la interfaz WAN. Una lista completa de estas redes está en Las direcciones IP privadas .
Bloque Bogon Redes Cuando está activo, los bloques fi cortafuego tráfico c entren si se obtiene de reservido o espacio no asignado IP que no debe estar en uso. La lista de redes Bogon se actualiza periódicamente en el fondo, y no requiere mantenimiento manual. redes Bogon se explican más detalladamente en Bloque Bogon Redes .
Hacer clic
Siguiente para continuar una vez que las configuraciones WAN han sido llenada fi en.
Fig. 7.10: incorporado en Ingress Opciones de filtro
68
Capítulo 7. Con fi guración
El libro pfSense, Liberación
Interfaz de red LAN con fi guración Esta página del asistente con fi guras de la Dirección IP de la LAN y Máscara de subred ( Figura Con fi guración LAN ).
Si este fi cortafuegos no se conecta a cualquier otra red a través de VPN, el valor predeterminado 192.168.1.0/24 la red puede ser aceptable. Si esta red debe estar conectado a otra red, incluso a través de VPN desde lugares remotos, elegir un rango de direcciones IP privada mucho más oscuro que el defecto común de 192.168.1.0/24. dentro del espacio IP 172.16.0.0/12 1918 bloque de direcciones privadas RFC es generalmente utiliza la menor frecuencia, por lo que elegir algo entre 172.16.xx y 172.31.xx para ayudar a evitar la conectividad VPN di fi cultades. Si la LAN es 192.168.1.x y un cliente remoto se encuentra en un punto de acceso inalámbrico utilizando 192.168.1.x ( muy común), el cliente no podrá comunicarse a través de la VPN. En ese caso, 192.168.1.x es la red local para el cliente en el punto de acceso, no la red remota a través de la VPN. Si el Dirección IP de la LAN debe ser cambiado, entrar en él aquí, junto con un nuevo Máscara de subred. Si se cambian estos ajustes, la dirección IP del ordenador utilizado para completar el asistente también debe cambiarse si está conectado a través de la LAN. Liberar / renovar su concesión DHCP, o llevar a cabo una “reparación” o “diagnosticar” en la interfaz de red cuando terminado con el asistente de configuración.
Fig 7.11:. Con fi guración LAN
Hacer clic
Siguiente continuar.
Configurar contraseña de administrador A continuación, cambiar la contraseña de administración para la WebGUI como se muestra en la figura Cambiar contraseña administrativa . Lo más recomendable es utilizar una contraseña fuerte y segura, pero no hay restricciones son aplicadas automáticamente. Introduzca la contraseña en el Clave de administrador y la caja de con fi rmación para asegurarse de que se ha introducido correctamente.
Hacer clic
Siguiente continuar.
Advertencia: No deje la contraseña establecida en el valor predeterminado pfSense. Si el acceso a la administración a través de cortafuego WebGUI o SSH está expuesto a Internet, intencional o accidentalmente, el cortafuego fácilmente podría verse comprometida si se sigue utilizando la contraseña predeterminada.
7.1. Asistente de configuración
69
El libro pfSense, Liberación
Fig 7.12:. Cambiar contraseña administrativa
Finalización del asistente de configuración Esto completa el asistente de configuración con fi guración. Hacer clic Recargar ( Figura Recargar pfSense WebGUI ) y WebGUI aplicará la configuración del asistente y volver a cargar los servicios modificados por el asistente.
Si la dirección IP de la LAN se cambió en el asistente y el asistente se ejecuta desde la LAN, ajuste la dirección IP del equipo cliente después de hacer clic en consecuencia Recargar. Propina:
Cuando se le pida que vuelva a iniciar sesión, introduzca la nueva contraseña. Los restos de nombre de usuario administración.
Fig. 7.13: Actualizar pfSense WebGUI
En este punto el cortafuego tendrá conectividad básica a Internet a través de la WAN y los clientes de la LAN será capaz de llegar a los sitios de Internet a través de este fi cortafuegos.
Si en algún momento esta con fi guración inicial se debe repetir, revisar el asistente en Sistema> SetupWizard desde dentro de la WebGUI.
Interfaz Con fi guración Aspectos básicos de la interfaz con fi guración se pueden realizar en la consola y en el asistente de configuración para empezar, pero los cambios también se pueden hacer después de la configuración inicial de las páginas que visitan en el marco del Interfaces menú. Algunas funciones básicas están cubiertas aquí, los detalles se pueden encontrar en Tipos de interfaz y con fi guración .
asignar las interfaces Interfaces adicionales añadidos después de la configuración inicial se pueden asignar papeles visitando Interfaces> (asignar). Hay numerosas pestañas en esa página utilizados para la asignación y la creación de diferentes tipos de interfaces. Las dos pestañas más comúnmente utilizados son asignación de las interfaces y VLAN.
70
Capítulo 7. Con fi guración
El libro pfSense, Liberación
Ver también:
VLAN con fi guración está cubierto de LAN virtuales (VLAN) . los asignación de las interfaces pestaña muestra una lista de todas las interfaces actualmente asignados: WAN, LAN, y cualquier OptX entradas con fi gura en el cortafuego. Al lado de cada interfaz es una lista desplegable de todas las interfaces de red / puertos que se encuentran en el sistema. Esta lista incluye las interfaces de hardware, así como interfaces VLAN y otros tipos de interfaces virtuales. La dirección MAC, etiqueta VLAN, o otra información de identificación se imprime a lo largo de lado el nombre de interfaz para ayudar en la identificación fi. Las otras pestañas, al igual que la VLAN pestaña, están ahí para crear interfaces adicionales que luego pueden ser asignados. Todos estos tipos de interfaz están cubiertos en Tipos de interfaz y con fi guración . Para cambiar una asignación de interfaz existente a otro puerto de red:
• Navegar a Interfaces> (asignar) • Busque la interfaz para cambiar en la lista • Seleccione el nuevo puerto de red de la lista desplegable en la fila para esa interfaz •
Hacer clic Salvar
Para añadir una nueva interfaz de la lista de puertos de red no utilizados:
• Navegar a Interfaces> (asignar) • Seleccione el puerto a utilizar en la lista desplegable llamada Puertos de red disponibles
•
Hacer clic
Añadir
Esta acción añadirá otra línea con una nueva interfaz OPT numerado más alto que cualquier interfaz OPT existente, o si esta es la primera interfaz adicional, OPT1.
Interfaz de Con fi guración Fundamentos Las interfaces se con fi gura por la elección de su entrada por debajo de la Interfaces menú. Por ejemplo, para con fi gurar el interfaz WAN, seleccione Interfaces> WAN. Casi todas las opciones que se encuentran bajo Interfaces> WAN son idénticos a los mencionados en la parte de WAN de la Asistente de configuración.
Cada interfaz es con fi gurado de la misma manera y cualquier interfaz puede ser con fi gurada como cualquier tipo de interfaz (estática, DHCP, PPPoE, etc). Además, el bloqueo de las redes privadas y redes Bogon se puede realizar en cualquier interfaz. Cada interfaz se puede cambiar, incluyendo WAN y LAN, a un nombre personalizado. Además, cada interfaz se puede activar y desactivar a voluntad, siempre y cuando un mínimo de una interfaz permanece habilitado. Ver también:
Para información detallada con fi guración de la interfaz, consulte Tipos de interfaz y con fi guración los Con IPv4 Tipo fi guración se puede cambiar entre IPv4 estática, DHCP, PPPoE, PPP, PPTP, L2TP, o Ninguna para salir de la interfaz sin una dirección IPv4. Cuando IPv4
estática se utiliza, una Dirección IPv4, máscara de subred y Aguas arriba de puerta de enlace IPv4 puede ser establecido. Si se elige una de las otras opciones, a continuación, escriba especí fi cos fi campos parecen con fi gura cada tipo. los Con IPv6 Tipo fi guración se puede configurar para IPv6 estática, DHCP6, SLAAC, Túnel
6rd, túnel 6to4, Track Interface,
o Ninguna dejar IPv6 fi gurada incond en la interfaz. Cuando se selecciona IPv6 estática, establecer una dirección IPv6, pre fi x longitud, y Aguas arriba IPv6 Gateway.
Si esto una interfaz inalámbrica, la página contendrá muchas opciones adicionales para con fi gurar la parte inalámbrica de la interfaz. Consultar Inalámbrico para detalles. Nota: Selección de una Puerta de la lista desplegable, o la adición de una nueva puerta de enlace y seleccionándolo, hará que pfSense para el tratamiento de dicha interfaz como una interfaz de tipo de WAN para NAT y funciones relacionadas. Esto no es deseable para la orientación interna
7.2. Interfaz Con fi guración
71
El libro pfSense, Liberación
interfaces, tales como LAN o una DMZ. Gateways todavía pueden ser utilizados en las interfaces a las rutas estáticas y otros fines sin la selección de una Puerta aquí en la página de interfaces.
Administración de listas en la GUI El pfSense WebGUI tiene un conjunto común de iconos que se utilizan para la gestión de listas y colecciones de objetos pasantes a cabo el cortafuego. No cada icono se utiliza en todas las páginas, pero sus significados son consistentes en función del contexto en el que se ven. Ejemplos de tales listas incluyen reglas fi cortafuego, las reglas de NAT, IPSec, OpenVPN, y certi fi cados.
Añadir un nuevo elemento a una lista
Añadir un elemento al principio de una lista
Añadir un elemento al final de una lista
Editar un artículo existente
Copiar un elemento (crear un nuevo elemento basado en el elemento seleccionado)
Desactivar un elemento activo
Habilitar un elemento deshabilitado
Eliminar un elemento
Se utiliza para mover las entradas después de seleccionar uno o más elementos. Haga clic para mover los elementos seleccionados por encima de esta fila. Mayús y haga clic para mover los elementos seleccionados por debajo de esta fila.
Las secciones pueden tener sus propios iconos especí fi cos para cada área. Consulte las secciones correspondientes de este libro para especi fi cs sobre los iconos que se encuentran en otras partes del cortafuego. Por ejemplo, para hallar el significado de los iconos utilizados sólo en la gestión de certi fi cado, busque en Gestión de certi fi cado
Propina: Para determinar qué acción llevar a cabo un icono, coloque el cursor sobre el icono con el puntero del ratón y un mensaje emergente mostrará una breve descripción del propósito del icono.
Navegar rápidamente a la interfaz gráfica de usuario con accesos directos Muchas áreas de la GUI tienen iconos de acceso directo presentes en la zona conocida como la “Breadcrumb Bar”, como se ve en la figura Ejemplo accesos directos . Estos iconos de acceso directo reducen la cantidad de caza necesario para localizar las páginas relacionadas, lo que permite a un administrador fi cortafuegos para navegar rápidamente entre las páginas de un servicio de estado, registros, y con fi guración. Los accesos directos para un tema determinado están presentes en todas las páginas relacionadas con ese tema. Por ejemplo, en la figura Ejemplo accesos directos , los accesos directos tienen los siguientes efectos:
Comienza el servicio Si se detiene el servicio, este icono permite iniciar el servicio.
Reiniciar servicio Si el servicio se está ejecutando, este icono se reinicia el servicio.
72
Capítulo 7. Con fi guración
El libro pfSense, Liberación
Fig. 7.14: Atajos Ejemplo
Parada de servicio Si el servicio se está ejecutando, este icono se detiene el servicio.
Los ajustes relacionados Cuando aparezca este icono, que navega a la página de configuración de esta sección.
Página de estado de enlace Un enlace a la página de estado de esta sección, si es que existe.
Página Registro de Enlace Si esta sección tiene una página de registro relacionadas, este icono enlaces allí.
Ayuda Enlace Carga un tema de ayuda relacionados para esta página. los Estado del servicio página ( Estado> Servicios) también tiene controles de acceso directo para páginas relacionadas con cada servicio, tal como se muestra en la figura Accesos directos en Estado del servicio . Los iconos tienen el mismo significado que en la sección anterior.
Fig. 7.15: Atajos de Estado del servicio
Opciones generales de Con fi guración Sistema> Configuración general contiene opciones que establecen los artículos con fi guración básicos para pfSense y la interfaz gráfica de usuario. Algunas de estas opciones también se encuentran en el Asistente de configuración .
nombre de host los nombre de host es el nombre corto para este fi cortafuegos, tales como firewall1, hq-fw, o sitio1.
El nombre debe comenzar con una letra y puede contener letras, números o un guión. Dominio Introducir el Dominio nombre para este fi cortafuegos, por ejemplo, example.com. Si esta red no tiene
un dominio, utilice < algo> .localdomain, donde < algo> es otro identi fi cador: a nombre de la empresa, apellido, apodo, etc. Por ejemplo, company.localdomain los nombre de host y Dominio nombre se combinan para componer el nombre completo de cali fi cado de dominio (FQDN) de esta fi cortafuegos. Por ejemplo, si el nombre de host es fw1 y el Dominio es example.com, entonces el FQDN es
fw1.example.com.
Configuración del servidor DNS
Las opciones en esta sección controlan cómo el cortafuego resuelve nombres de host mediante DNS.
Servidor DNS 1-4 Dirección Las direcciones IP de los servidores DNS pueden ser llenada en caso necesario y si son conocidos.
Estos servidores DNS se pueden dejar en blanco si el Resolver DNS se mantendrá activo usando Tings su conjunto- por defecto. El valor predeterminado pfSense con fi guración tiene el Resolver DNS activo en el modo de resolución (modo Warding no para-). Cuando se establece esta forma de resolución de DNS no necesita reenviar los servidores DNS, ya que
7.5. Opciones generales de Con fi guración
73
El libro pfSense, Liberación
se comunicará directamente con los servidores DNS raíz y otros servidores DNS autorizados. Para forzar el cortafuego de usar estos servidores DNS con fi gura, habilitar el modo de reenvío en el Resolver DNS o utilizar el DNS Forwarder.
Ver también: Para obtener más información acerca de con fi gurar el Resolver DNS, consulte de resolución de DNS
Si este fi cortafuegos tiene un tipo de WAN dinámica como DHCP, PPPoE PPTP o éstos pueden ser asignados automáticamente por el ISP y pueden dejarse en blanco.
Servidor DNS 1-4 puerta de enlace Además de sus direcciones IP, esta página proporciona una manera de fijar la entrada
utilizado para llegar a cada servidor DNS. Esto es especialmente útil en un escenario multi-WAN a la que, idealmente, el cortafuego tendrá al menos un servidor DNS con fi gurada por la WAN. Más información sobre DNS para Multi-WAN se puede encontrar en Los servidores DNS y
rutas estáticas . De modificación del servidor DNS Cuando se activa, una dinámica WAN ISP puede suministrar servidores DNS que override
los establecidos manualmente. Para forzar el uso de sólo los servidores DNS con fi gurar manualmente, desactive esta opción.
Desactivar DNS Forwarder Por defecto, pfSense consultará el Resolver DNS o DNS Forwarder en ejecución en este fi cortafuegos para resolver nombres de host por sí mismo. Esto se hace haciendo una lista de localhost ( 127.0.0.1) como su servidor DNS primero internamente. La activación de esta opción deshabilita este comportamiento, obligando al cortafuego de utilizar los servidores DNS con fi gura anterior en lugar de sí mismo.
Localización Las opciones de esta sección de control de visualización del reloj del cortafuego y del lenguaje.
Zona horaria Elija una zona geográfica llamada que se adapte mejor ubicación de este fi cortafuegos, o una comzona lun tales como UTC. El reloj cortafuego, entradas de registro, y otras áreas de la fi cortafuegos basan su tiempo en esta zona. Cambio de la zona puede requerir un reinicio para activar plenamente en todas las áreas del cortafuego. servidores de hora Un nombre de host del servidor Network Time Protocol (NTP) o la dirección IP. A menos que un c NTP específica
Se requiere servidor, como una en la LAN, lo mejor es dejar el servidores de hora valor en el valor predeterminado 0.pfsense.pool.ntp.org. Este valor se elige un servidor aleatorio de un grupo de conocidos buenos anfitriones NTP.
Para utilizar múltiples servidores de tiempo, añadirlos en la misma caja, separando cada servidor por un espacio. Por ejemplo, el uso de tres servidores NTP de la piscina, entre:
0.pfsense.pool.ntp.org 1.pfsense.pool.ntp.org 2.pfsense.pool.ntp.org
Esta numeración es especí fi ca a la forma. pool.ntp.org opera y asegura cada dirección se extrae de una piscina única de servidores NTP por lo que el mismo servidor no se acostumbra dos veces.
Idioma La interfaz gráfica de usuario pfSense ha sido traducida a otros dos idiomas además del defecto en-
ñol idioma. Los idiomas alternativos son Portugués (Brasil) y Turco.
WebCon fi gurator Las opciones en esta sección controlan varios aspectos del comportamiento de la interfaz gráfica de usuario.
Tema Cambiando el Tema controla la apariencia de la interfaz gráfica de usuario. Varios temas se incluyen en el
sistema de base, y que sólo hacen cambios no cosméticos funcionales a la WebGUI. Top Navigation Esta opción controla el comportamiento de la barra de menú en la parte superior de cada página. Hay dos
posibles opciones:
74
Capítulo 7. Con fi guración
El libro pfSense, Liberación
Se desplaza con la página El comportamiento por defecto. Cuando se desplaza a la página, la navegación sigue siendo en la parte superior de la página, por lo que cuando el desplazamiento hacia abajo ya no es visible, ya que se desplaza hacia la parte superior de la ventana. Esta es la mejor opción para la mayoría de las situaciones.
Fijo Cuando se selecciona, la navegación se mantiene fijo en la parte superior de la ventana, siempre visible y disponible para su uso. Este comportamiento puede ser conveniente, pero en pantallas más pequeñas, tales como tabletas y dispositivos móviles, menús largos se pueden cortar, dejando las opciones en la parte inferior inalcanzable.
Nombre de host en el menú Cuando se establece, la ficción de cortafuegos nombre de host o Nombre de dominio completo cali fi cado Estará en-
cluded en la barra de menú para referencia. Esto puede ayudar al mantenimiento de múltiples rewalls fi, lo que hace que sea más fácil distinguirlos sin mirar el título del navegador o de texto separado. Las columnas del tablero de instrumentos El tablero de instrumentos está limitada a 2 columnas de forma predeterminada. En pantallas más amplias, más
columnas se pueden agregar para hacer un mejor uso del espacio horizontal de la pantalla. El número máximo de columnas es 4.
Los paneles asociados Mostrar / Ocultar Unas pocas áreas de la interfaz gráfica de usuario pfSense contienen paneles plegables con ajustes.
Estos paneles ocupan espacio en la pantalla, por lo que están ocultos por defecto. Para los administradores de fi cortafuego que utilizan los paneles con frecuencia, esto puede ser lento y ineficiente, por lo que las opciones de este grupo permiten que los paneles se muestran por defecto en lugar de escondido. disponible Reproductores controla la disponible Reproductores panel en el tablero de instrumentos.
registro del filtro Controla el registro de ltrado fi (
)
Panel utiliza para buscar entradas de registro en virtud de
Estado> Registros del sistema.
de Log Controla los parámetros de cada registro en el De Log (
) Disponible para el panel
cada registro bajo Estado> Registros del sistema. Ajustes de vigilancia Controla el panel de opciones se utiliza para cambiar los gráficos en Estado>
Supervisión. Etiquetas de columna a la izquierda Cuando se activa, las etiquetas de opción en la columna de la izquierda se establecen para cambiar opciones cuando
se hace clic. Esto puede ser conveniente si el administrador fi cortafuegos se utiliza para el comportamiento, pero también puede ser problemático en el móvil o en casos cuando el comportamiento es inesperado. Período de actualización del tablero de instrumentos Controla el intervalo en el que se actualizan los datos salpicadero. Mucho de
widgets de actualizar dinámicamente el uso de AJAX. Con muchos widgets cargados, un intervalo de actualización rápida puede causar una carga alta en el cortafuego, dependiendo del hardware en uso. Lo que permite más tiempo entre actualizaciones reduciría la carga total.
Opciones avanzadas de Con fi guración Sistema> Avanzado contiene numerosas opciones de carácter avanzado. Pocas de estas opciones requieren un ajuste para el enrutamiento básico / NAT implementaciones, estas opciones pueden ayudar a personalizar la fi cortafuegos con fi guración de manera benéfico para los entornos más complejos.
Algunas de estas opciones se explica con más detalle en otras secciones del libro, donde la discusión es más actual o relevante, pero todos ellos son mencionados aquí con una breve descripción.
Administrador de acceso Tab Las opciones que se encuentran en el El acceso de administrador pestaña gobiernan los diversos métodos para administrar el cortafuego, incluyendo a través de la interfaz web, SSH, serial, y la consola física.
7.6. Opciones avanzadas de Con fi guración
75
El libro pfSense, Liberación
gurator WebCon fi (WebGUI) Protocolo
El Protocolo WebGUI puede fijarse en cualquiera HTTP o HTTPS. La mejor práctica es utilizar HTTPS para que tráfico c hacia y desde la WebGUI está cifrada.
SSL Certi fi cado
Si se elige HTTPS, un certificado también debe ser elegido de la SSL Certi fi cado la lista desplegable. El certi fi cado por defecto es una generada automáticamente certi fi cado autofirmado. Esa no es una situación ideal, pero es mejor que ningún cifrado en absoluto.
Propina: Para utilizar un certificado SSL fi cado y la clave firmada externamente, importarlos usando el Certi fi cado de Administrador, a continuación, seleccione el certi fi cado aquí.
La principal desventaja de usar un certificado generado por el mismo encargo es la falta de seguridad de la identidad de la máquina, ya que el certi fi cado no está firmado por una autoridad de certi fi cado de confianza para el navegador. Además, dado que la mayor parte de los usuarios de Internet a un inválido certi fi cado tal debe ser considerado un riesgo, los navegadores modernos se han tomando medidas enérgicas contra la forma en que se manejan. Firefox, por ejemplo, da una pantalla de advertencia y obliga al usuario a importar el certi fi cado y permitir una excepción permanente. Internet Explorer mostrará una pantalla de advertencia con un enlace a seguir, al igual que Chrome. Opera mostrará un diálogo de advertencia.
Propina: Para generar un nuevo certi fi cado autofirmado para la interfaz gráfica de usuario, conectarse a través de la consola o ssh y desde el intérprete de comandos, ejecute el siguiente comando:
pfSsh.php reproducción generateguicert
Puerto TCP
Al mover el WebGUI a un puerto alternativo es preferido por algunos administradores de seguridad por razones de la oscuridad, aunque tales prácticas no deben ser considerados como ofrecer cualquier bene fi cio de seguridad. Traslado de la interfaz gráfica de usuario a otro puerto va a liberar los puertos web estándar para su uso con puerto remite u otros servicios tales como un HAProxy. Por defecto, el WebGUI utiliza HTTPS en el puerto 443 con una redirección desde el puerto 80 para la mejor compatibilidad y facilidad de con fi guración inicial. Para cambiar el puerto, introduzca un nuevo número de puerto en el Puerto TCP campo.
Procesos Max
Si varios administradores ver la interfaz gráfica de usuario al mismo tiempo y las páginas están tomando demasiado tiempo para cargar, o en su defecto a la carga, a continuación, aumentar el Max procesos de valor. Por defecto se establece en 2, por lo que el cortafuego se ejecuta dos procesos de trabajo del servidor web.
WebGUI redirección
Por defecto, para facilitar el acceso y la compatibilidad, el cortafuego se ejecuta una redirección en el puerto 80 de manera que si un navegador intenta acceder al cortafuego con HTTP, el cortafuego aceptará la solicitud y luego redirigir el navegador a HTTPS en el puerto 443. Esta redirección se puede desactivar mediante la comprobación Desactivar WebCon fi regla gurator redirección. Desactivación de la redirección también permite que otro demonio para enlazar con el puerto 80.
76
Capítulo 7. Con fi guración
El libro pfSense, Liberación
WebGUI sesión de autocompletar
Por conveniencia, la forma de la conexión permite autocompletar por lo que los navegadores pueden guardar las credenciales de inicio de sesión. En entornos de alta seguridad, tales como los que deben adherirse a especí normas de cumplimiento de seguridad fi c, este comportamiento no es aceptable. Se puede desactivar mediante la comprobación Desactivar WebCon fi autocompletar gurator inicio de sesión. Esto sólo controles de autocompletar en el formulario de inicio de sesión.
Advertencia: Pocos navegadores respetan esta opción. Muchos de ellos siguen ofreciendo a guardar las contraseñas, incluso cuando el formulario se especí fi ca que no se debe permitir. Este comportamiento se debe controlar o cambiar usando las opciones del navegador.
WebGUI mensajes de inicio de sesión
inicios de sesión exitosos resultan en un mensaje que se está imprimiendo a la consola, y en algún hardware estos mensajes de la consola causan un “bip” a ser oído desde el dispositivo. Para detener este mensaje de registro (y la señal resultante), comprobar Deshabilitar el registro de WebCon fi gurator inicios de sesión con éxito.
Anti-bloqueo
El acceso al puerto y el puerto SSH WebGUI en la interfaz LAN está permitido por defecto independientemente de las reglas filtro Ned fi-de los usuarios, debido a la regla anti-bloqueo. Cuando dos o más interfaces están presentes, la regla de anti-bloqueo está activo en la interfaz de LAN; Si sólo hay una interfaz es con fi gurado, la regla anti-bloqueo estará activa en esa interfaz en su lugar. Comprobación Desactivar las reglas anti-bloqueo WebCon fi gurator elimina la regla automática de prevención de bloqueo. Con esa regla desactivada, es posible controlar las direcciones IP de la LAN pueden acceder a la WebGUI usando reglas fi cortafuego.
Advertencia: Las reglas de filtrado deben estar en su lugar para permitir el acceso GUI antes de habilitar esta opción! Si las reglas de LAN no permiten el acceso a la interfaz gráfica de usuario, la eliminación de la regla anti-bloqueo bloqueará el acceso a la interfaz gráfica de usuario, lo que podría dejar el administrador sin un medio para alcanzar el cortafuego.
Nota: Restablecimiento de la dirección IP de la LAN de la consola del sistema también se restablece la regla anti-bloqueo. Si el acceso administrativo está bloqueada después de habilitar esto, elija la opción de menú de la consola 2, luego optar por configurar la dirección IP de la LAN, y entrar en la misma dirección IP exacta y la información adjunta.
Comprobar DNS Rebind
Los bloques fi cortafuego privadas respuestas de direcciones IP de los servidores DNS configurada con fi por defecto, para prevenir ataques de revinculación DNS. Marque esta casilla para desactivar la protección de revinculación DNS si interfiere con WebCon Fi gurator o resolución de nombres.
Ver también:
Más detalles sobre los ataques de revinculación DNS puede encontrar en Wikipedia .
El caso más común para la desactivación de esto sería cuando el cortafuego está configurado para utilizar un servidor DNS interno que devolverá respuestas (RFC1918) privados de nombres de host. Al acceder al cortafuego por dirección IP, estos controles no se aplican porque el ataque sólo es relevante cuando se utiliza un nombre de host. Propina: En lugar de desactivar todas las protecciones de revinculación DNS, se puede desactivar de forma selectiva en función de cada dominio en el Resolver DNS o DNS Forwarder. Ver De resolución de DNS y DNS Protección Revinculación y DNS y DNS Forwarder Protección Revinculación .
7.6. Opciones avanzadas de Con fi guración
77
El libro pfSense, Liberación
HTTP_REFERER aplicación de navegador
La interfaz gráfica de usuario comprueba la URL de referencia cuando se accede a prevenir una forma en otro sitio de la presentación de una solicitud al cortafuego, el cambio de una opción cuando el administrador no tenía la intención de que eso ocurra. Esto también rompe algunos comportamientos deseables conveniencia, tales como tener una página que vincula a varios dispositivos de fi cortafuego. Para desactivar este comportamiento, compruebe Desactivar la comprobación de la aplicación de HTTP_REFERER.
Los nombres de host alternativos
Mantener Los cheques Vuelva a vincular DNS y Aplicación HTTP_REFERER activo, pero controlar su comportamiento ligeramente, llenar en Los nombres de host alternativos en el cuadro. Por defecto, el sistema permitirá el acceso a la fi nombre de host con gurado en el cortafuego y todas las direcciones IP con fi gura en el cortafuego. Adición de nombres de host en este campo permitirá a los nombres de host que se utilizarán para el acceso y la interfaz gráfica de usuario para hacer referencia propósitos URL.
Man-in-the-middle / advertencia
Si un navegador intenta acceder a la interfaz gráfica de usuario con una dirección IP que no está con fi gurado en el cortafuego, tal como un puerto hacia delante de otro fi cortafuegos, un mensaje será impreso que indica que el acceso al cortafuego puede verse comprometida debido a un Hombre-In -La-Middle (MITM) ataque.
Si un desvío de tales fue deliberadamente con fi gurada en el cortafuego o en un fi cortafuegos delante de éste, el mensaje puede ser ignorado. Si el acceso al cortafuego debería haber sido directa, a continuación, tener mucho cuidado antes de iniciar sesión para asegurar las credenciales de acceso no se enrutan a través de un sistema que no se confía. El acceso no está deshabilitada en este caso, sólo una advertencia, por lo que no hay ninguna opción para desactivar este comportamiento.
Ficha del examinador texto
Por defecto, el cortafuegos fi interfaz gráfica de usuario imprime el nombre de host fi cortafuegos primera en el título de la página / ficha, seguido del nombre de la página. Para revertir este comportamiento y mostrar el primer nombre de la página y segundo nombre de host, cheque la página de visualización del nombre en la primera pestaña del navegador.
Los administradores que tienen acceso a muchos rewalls fi al mismo tiempo en pestañas separadas tienden a preferir tener el primer nombre de host fi (por defecto). Los administradores que tienen acceso a un cortafuego con muchas páginas en pestañas separadas tienden a preferir tener el nombre de primera página.
Secure Shell (SSH) El servidor Secure Shell (SSH) se puede habilitar que permite acceso a la consola remota y gestión del archivo. Un usuario puede conectar con cualquier cliente SSH estándar, como el cliente de línea de comandos ssh OpenSSH, masilla, SecureCRT o iTerm. Para acceder a la cuenta de administrador, o bien el administración nombre de usuario o raíz cuenta puede ser utilizada, y ambos aceptan la contraseña de administrador WebGUI de inicio de sesión.
Los usuarios en el Administrador de usuarios que tienen el Usuario - sistema - acceso a la cuenta de Shell privilegio también se lowed al- iniciar sesión a través de ssh. Estos usuarios no tienen privilegios de acceso raíz, y no se imprimen en el menú al iniciar la sesión debido a que muchas de las opciones requieren privilegios de root.
Propina: Para conceder a los usuarios privilegios de concha adicionales, utilice el sudo paquete.
Las transferencias de archivos desde y hacia el fi cortafuegos pfSense también son posibles mediante el uso de un cliente de Secure Copy (SCP), como línea de comandos de OpenSSH SCP, FileZilla, WinSCP o Fugu. Para utilizar SCP, conecte como el raíz usuario, no administración. Si un usuario tiene la costumbre Usuario - sistema - Copiar archivos permiso, o todos los accesos, entonces ellos también pueden utilizar SCP.
78
Capítulo 7. Con fi guración
El libro pfSense, Liberación
Propina: clientes SSH deben mantenerse actualizados. Conforme pasa el tiempo, las normas de seguridad evolucionan y la configuración del servidor SSH utilizados por pfSense cambiarán. Los clientes que han sido superados pueden no ser capaces de conectarse a través de las claves de seguridad fuertes y algoritmos requeridos por sshd en pfSense. Si un cliente no se conecta, comprobar si hay una actualización del proveedor.
Activar Secure Shell
Para habilitar el demonio SSH, comprobar Activar Secure Shell. Después de guardar con esta opción activada, el cortafuego va a generar claves SSH si no están ya presentes y luego iniciar el demonio SSH.
método de autentificación
SSH puede ser con fi gurado a sólo permiten inicios de sesión basados en clave y no una contraseña. inicios de sesión basados en clave son una práctica mucho más seguro, aunque sí tener una mayor preparación para con fi gura. Para forzar la autenticación basada en claves, compruebe contraseña de inicio de sesión para deshabilitar Secure Shell.
Las claves de usuario de inicio de sesión basado en claves se agregan mediante la edición de los usuarios en el UserManager ( Gestión de usuarios y autenticación ). Al editar un usuario, pegue las claves públicas permitidos en el llaves autorizadas texto de campo por su cuenta.
Puerto SSH
Al mover el servidor SSH a un puerto alternativo proporciona una mejora insignificante de seguridad, y libera el puerto para otros usos. Para cambiar el puerto, escriba el nuevo puerto en el Puerto SSH caja.
Propina: escáneres de fuerza bruta SSH se centran en golpear el puerto TCP 22, pero si el demonio está abierto a Internet en otro puerto, con el tiempo serán encontrados y golpeados por los escáneres.
Las mejores prácticas para SSH
Si esto cortafuego se instala en un entorno que requiere dejando el acceso SSH sin restricciones por las reglas de cortafuego, lo cual es peligroso, se recomienda encarecidamente mover el servicio SSH a un puerto aleatorio alternativo y forzando la autenticación basada en clave. Pasando a un puerto alternativo evitará que ingrese el ruido de muchos, pero no todos, de fuerza bruta los intentos de inicio de sesión SSH y exploraciones ocasionales. Todavía se puede encontrar con un escaneo de puertos, por lo que el cambio a la autenticación basada en clave siempre debe hacerse en cada servidor SSH de acceso público para eliminar la posibilidad de éxito de los ataques de fuerza bruta. Múltiples intentos fallidos de acceso desde la misma dirección IP resultará en el bloqueo a cabo la dirección IP intentar autenticar, pero que por sí sola no se considera la protección su fi ciente.
Comunicaciones serie Si pfSense se ejecuta en hardware sin un monitor o si va a correr “sin cabeza” (sin teclado y vídeo adjunto), entonces la consola serie se puede habilitar para mantener el control físico, siempre que el hardware tiene un puerto serie (no USB ).
Si se detecta el hardware que no tiene un puerto VGA, la consola serie es forzado dentro y no se puede desactivar, y las opciones de serie están todos ocultado a excepción de la velocidad.
7.6. Opciones avanzadas de Con fi guración
79
El libro pfSense, Liberación
Terminal de serie
Cuando Terminal de serie se establece, la consola está habilitada en el puerto serie primero. Esta consola recibirá los mensajes de arranque del núcleo y un menú después de que el cortafuego tiene el arranque terminado. Esto no va a desactivar la consola del teclado y vídeo a bordo.
Para conectar a la consola serie, utilice un cable de módem nulo conectado a un puerto serie o el adaptador en otro PC o dispositivo serie.
Ver también:
Para obtener más información sobre la conexión a una consola serie, véase Conexión a una consola serie y Iniciar un cliente de serie .
Al realizar cualquier cambio en la consola serie, el cortafuego se debe reiniciar antes de que entren en vigor.
Serie velocidad de la consola
La velocidad de la consola en serie por defecto es 115200 bps y casi todo el hardware funciona bien a esa velocidad. En raros casos, puede ser necesaria una velocidad más lenta que se puede establecer aquí escogiendo la velocidad deseada de la velocidad de serie desplegable. Al actualizar desde una versión anterior, esta puede permanecer en un valor mayor como 9600 o 38400 para que coincida con el BIOS en hardware antiguo. El aumento de la velocidad de 115200 es casi siempre seguro y más útil que las velocidades más lentas.
Consola primaria
En el hardware tanto con la consola serie habilitado y un puerto VGA disponible, la Consola primaria selector elige cuál es la consola preferida, por lo que recibirá los mensajes de registro de arranque de pfSense. Otros mensajes del kernel del sistema operativo se mostrarán en todas las conexiones de la consola, y ambas consolas tendrán un menú utilizable. En los casos en que el arranque no puede completar, la consola preferida debe ser utilizado para resolver el problema, tales como interfaces de reasignación.
menú de la consola
Normalmente, el menú de la consola se muestra siempre en la consola del sistema, y el menú estará disponible siempre y cuando alguien tiene acceso físico a la consola. En entornos de alta seguridad esto no es deseable. Esta opción permite que la consola ser protegido por contraseña. El mismo nombre de usuario y contraseña se pueden usar aquí que se utiliza para la WebGUI. Después de configurar esta opción, el cortafuego se debe reiniciar antes de que entre en vigor.
Nota: Aunque esto va a dejar de oprimir accidentalmente una tecla y mantener alejados a los usuarios ocasionales, esto es de ninguna manera un método de seguridad perfecta. Una persona con conocimientos con acceso físico todavía puede restablecer las contraseñas (véase Contraseña olvidada con una consola Bloqueado ). Considerar otros métodos de seguridad física si la seguridad de la consola es un requisito.
Firewall / NAT Tab servidor de seguridad avanzada
compatibilidad IP Do-Not-Fragmento
Esta opción es una solución alternativa para los sistemas operativos que generan paquetes fragmentados con la no fragmentar (DF) conjunto de bits. Linux NFS (Network File System) es conocido por ello, así como algunos sistemas de VoIP.
80
Capítulo 7. Con fi guración
El libro pfSense, Liberación
Cuando esta opción está activada, el cortafuego no caerá estos paquetes mal formados, sino que la clara no fragmentar bits. El cortafuego también de forma aleatoria la IP identificación de campo de los paquetes salientes para compensar los sistemas operativos que establecen el bit DF, pero establecen una identificación de cabecera de campo cero IP.
la generación de IP ID aleatorio
Si Insertar un ID más fuerte en la cabecera IP de los paquetes que pasan a través del filtro se comprueba el cortafuego reemplaza el IP identificación campo de paquetes con valores aleatorios para compensar los sistemas operativos que usan valores predecibles. Esta opción sólo se aplica a los paquetes que no están fragmentados después del reensamblaje de paquetes opcional.
Opciones de optimización de firewall
El modo de optimización controla cómo el cortafuego expira entradas de la tabla de estado:
Normal El algoritmo de optimización estándar, que es óptimo para la mayoría de los entornos. Alta latencia Se utiliza para enlaces de alta latencia, tales como enlaces por satélite. Expira conexiones inactivas a más tardar
defecto. Agresivo Expira conexiones inactivas más rápido. Más e fi ciente el uso de CPU y memoria, pero puede caer legitimate conexiones antes de lo esperado. Esta opción también puede mejorar el rendimiento en las implementaciones de alta trá fi co con una gran cantidad de conexiones, tales como servicios web.
Conservador Trata de evitar la caída de las conexiones legítimas a expensas de un aumento de la memoria el uso y la utilización de la CPU. Puede ayudar en entornos que requieren conexiones UDP de larga vida, pero sobre todo de inactividad, tales como VoIP.
Desactivar el firewall
Cuando Desactivar todos fi ltrado de paquetes se establece, la fi cortafuegos pfSense se convierte en una plataforma de sólo enrutamiento. Esto se acompa- plished deshabilitando PF por completo, y como consecuencia, NAT está desactivado, ya que también está a cargo de pf.
Propina: Deshabilitar solamente NAT, no utilice esta opción. Consultar Desactivación de salida NAT para más información sobre el control del comportamiento de NAT saliente.
Desactivar Firewall Scrub
Cuando se establece, la opción de lavado en PF está desactivado. los fregar en la acción PF puede interferir con NFS, y en casos raros, con VoIP tráfico c también. Por defecto, utiliza el pfSense Vuelva a montar fragmento opción, que vuelve a ensamblar los paquetes fragmentados antes de enviarlos a su destino, cuando sea posible. Más información sobre el fregar característica de PF se pueden encontrar en la Documentación OpenBSD PF Scrub .
Nota: Desactivación fregar También desactiva otras características que dependen de fregar para funcionar, como compensación bit DF y la aleatorización ID. Desactivación fregar no desactive MSS de sujeción si está activo para VPNs, o cuando un valor de MSS es con fi gurado en una interfaz.
Tiempos de espera del servidor de seguridad adaptativos
Tiempos de espera de adaptación manejo en estado de control PF cuando la tabla de estado está casi llena. Usando estos tiempos de espera, un administrador de fi cortafuegos puede controlar cómo los estados han caducado o se purgan cuando hay poco o ningún espacio restante para almacenar nueva
7.6. Opciones avanzadas de Con fi guración
81
El libro pfSense, Liberación
estados de conexión. Tiempos de espera de adaptación están activadas por defecto y los valores por defecto se calcula automáticamente en función de la fi con gurado
Firewall Unidos Máxima valor. Inicio adaptativo escalamiento de adaptación se inicia una vez que la tabla de estado alcanza este nivel, expresado como un número
de los estados. Inicio adaptativo por defecto es 60% de Firewall Unidos máxima. Fin de adaptación Cuando el tamaño de la tabla de estado alcanza este valor, expresado como un número de tabla de estado entradas, todos los valores de tiempo de espera se supone que son cero, lo que hace que pf para purgar todas las entradas de estado inmediata- mente. Esta configuración define el factor de escala, que debe ser mayor que el número total de estados permitidos. Fin de adaptación por defecto es 120% de Firewall Unidos máxima.
Cuando el número de estados de conexión excede el umbral fijado por Adaptativo Inicio, Los valores de tiempo de espera se escalan linealmente con el factor basado en howmany se utilizan estados entre el inicio y el recuento de estado final. El factor de ajuste de tiempo de espera se calcula de la siguiente manera: (número de estados hasta que la Fin de adaptación valor que se alcanza) / (diferencia entre el Fin de adaptación y Inicio adaptativo valores).
Nota: Como ejemplo, considere un cortafuego con Inicio adaptativo ajustado a 600000, Fin de adaptación ajustado a 1200000 y Firewall Unidos Máxima ajustado a 1.000.000. En esta situación, cuando los tramos de tamaño de tabla de estado 900000 entradas de los tiempos de espera del estado serán escalados a 50% de sus valores normales.
(1.200.000 - 900.000) / (1.200.000 - 600.000) = 300.000 / 600.000 = 0,50, 50% Continuando con el ejemplo, cuando la tabla de estado es completo en 1.000.000 estados los valores de tiempo de espera se reducirán a un tercio de sus valores originales.
Firewall Unidos Máxima
Este valor es el número máximo de conexiones que el cortafuego puede albergar en su tabla de estados. El tamaño predeterminado se calcula sobre la base de 10% de RAM total. Este valor por defecto es su fi ciente para la mayoría de las instalaciones, pero se puede ajustar más o menos dependiendo de la carga y la memoria disponible.
Cada estado consume aproximadamente 1 KB de memoria RAM, o aproximadamente 1 MB de RAM por cada 1000 estados. El cortafuego debe tener memoria RAM libre adecuado para contener toda la tabla de estado antes de aumentar este valor. estados del servidor de seguridad se discuten en El filtrado stateful .
Propina: En un cortafuego con 8 GB de RAM la tabla de estado tendría un tamaño predeterminado de aproximadamente 800.000 estados. Una costumbre Firewall Unidos Máxima valor de 4.000.000 consumiría aproximadamente 4 GB de RAM, la mitad del total de 8 GB disponibles.
Firewall entradas de tabla de máximos
Este valor define el número máximo de entradas que pueden existir en el interior de las tablas de direcciones utilizadas por el cortafuego para las colecciones de direcciones como alias, registros ssh / GUI de bloqueo, los anfitriones bloqueados por alertas de Snort, y así sucesivamente. Por defecto es de 200.000 entradas. Si el cortafuego tiene características habilitadas que puede cargar grandes bloques de espacio de direcciones en alias como alias URL de tabla o el paquete pfBlocker, a continuación, aumentar este valor para cómodamente incluir al menos el doble de la cantidad total de entradas contenidas en todos los alias combinados.
Firewall máxima Fragmento entradas
Cuando se habilita fregar el cortafuego mantiene una tabla de fragmentos de paquete en espera de ser vuelto a montar. Por defecto esta tabla puede contener fragmentos de 5000. En casos raros una red puede tener una tasa inusualmente alta de paquetes fragmentados que
82
Capítulo 7. Con fi guración
El libro pfSense, Liberación
puede requerir más espacio en esta tabla. Cuando se alcanza este límite, el siguiente mensaje de registro aparecerá en el registro de sistema principal:
kernel: [Zona: entradas de fragmentación PF] entradas de fragmentación PF alcanzado el límite
Filtrado de rutas estáticas
los reglas fi cortafuego bypass para tráfico c en la misma interfaz opción se aplica si el cortafuego tiene una o más rutas estáticas de fi nido. Si esta opción está activada, trá fi co que entra y sale a través de la misma interfaz no se comprobará por el cortafuego. Esto puede ser necesario en situaciones en que varias subredes están conectadas a la misma interfaz, para evitar el bloqueo tráfico c que se pasa a través del cortafuego en una única dirección debido a enrutamiento asimétrico. Ver Derivación de reglas de firewall para trá fi co en una misma interfaz para una discusión más a fondo sobre ese tema.
Desactivar reglas VPN añadido Auto
Por defecto, cuando IPsec está habilitado reglas fi cortafuego se añaden automáticamente a la interfaz adecuada que permitirá el túnel de establecer. Cuando Desactivar reglas VPN añadido Auto está marcada, el cortafuego no añadirá automáticamente estas normas. Al desactivar estas reglas automáticas, el administrador fi cortafuegos tiene control sobre lo que se les permite dos direcciones para conectarse a una VPN. Para más información sobre estas reglas se puede encontrar en VPN y reglas del cortafuegos .
Responder a desactivar
En amulti-WAN con fi guración del cortafuego tiene un comportamiento por defecto fi benéfico que asegura trá fi co sale de la misma interfaz que llegó a través. Esto se logra usando la palabra clave PF responder a que se añade automáticamente a la interfaz reglas cortafuego pestaña fi para interfaces de tipo WAN. Cuando una conexión coincide con una regla responder a, el cortafuego recuerda el camino a través del cual se realizó la conexión y rutas fi respuesta el tráfico de nuevo a la puerta de entrada para esa interfaz c. Propina: las interfaces de tipo WAN son interfaces que tienen un conjunto de puerta de enlace en su Interfaces Menú de entrada de con fi guración, o interfaces que tienen una puerta de enlace dinámico, como DHCP, PPPoE, o asignado OpenVPN, GIF o interfaces de GRE.
En situaciones como puente, este comportamiento no es deseable si la dirección IP WAN puerta de entrada es diferente de la dirección de puerta de enlace IP de los hosts detrás de la interfaz de puente. Desactivación responder a permitirá a los clientes comunicarse con la pasarela adecuada.
Otro caso que tiene problemas con responder a implica el enrutamiento estático a otros sistemas en una subred más grande WAN. invalidante responder a en este caso sería ayudar a asegurar que las respuestas vuelven al router adecuado en lugar de ser redirigida hacia la puerta de entrada.
Este comportamiento también se puede desactivar en las reglas fi cortafuego individuales más que a nivel mundial el uso de esta opción.
Desactivar reglas Negate
En una multi-WAN con fi guración de trá fi co de redes conectadas directamente y redes VPN normalmente debe todavía fluir correctamente cuando se utiliza la política de enrutamiento. pfSense insertará reglas para pasar este tráfico VPN local y fi c sin una puerta de enlace específica ed, para mantener la conectividad. En algunos casos, estas reglas de negación pueden coincidir sobre-tra fi co y permitir que más de lo previsto.
Propina: Se recomienda crear reglas de negación manuales en la parte superior de las interfaces internas, tales como LAN. Estas reglas deben pasar a destinos locales y VPN sin una puerta de entrada fijado en la norma, en honor a la tabla de enrutamiento del sistema. Estas reglas no tienen que estar en la cima de las normas de interfaz, pero deben estar por encima de las reglas que tienen un conjunto de puerta de enlace.
7.6. Opciones avanzadas de Con fi guración
83
El libro pfSense, Liberación
Alias de nombres de host Resolver Intervalo
Esta opción controla la frecuencia con nombres de host en los alias se resuelven y actualizados por el filterdns demonio. Por defecto es 300 segundos (5 minutos). En Con fi guración con un pequeño número de nombres de host o un servidor DNS / baja carga rápida, disminuir este valor para recoger los cambios más rápido.
Compruebe Certi fi cado de direcciones URL Alias
Cuando Verificar HTTPS certi fi cados al descargar alias URL se establece, el cortafuego requerirá un HTTPS certi fi cado válido para los servidores web utilizados en los alias de tabla URL. Este comportamiento es más seguro, pero si el servidor web es privada y usa un certi fi cado autofirmado, puede ser más conveniente hacer caso omiso de la validez del certi fi cado y permitir que los datos sean descargados.
Advertencia: Siempre recomendamos el uso de un certi fi cado del servidor con una cadena válida de confianza para este tipo de papel, en lugar de debilitar la seguridad al permitir que un certificado autofirmado.
Bogon Redes los Frecuencia de actualización desplegable para Bogon Redes controla la frecuencia de actualización de estas listas. Más informa- ción en las redes Bogon puede encontrarse en redes de bloques Bogon .
Traducción de Direcciones de Red NAT La reflexión de puerto reenvía
los NAT Re modo de reflexión para los delanteros del puerto opción controla cómo se aplica NAT reflexión es manejado por el cortafuego. Estos NAT redirigir reglas permiten a los clientes acceder puerto remite utilizando las direcciones IP públicas sobre el cortafuego desde dentro de las redes internas locales.
Ver también:
Referirse a NAT La reflexión para una discusión sobre el fondo de NAT La reflexión cuando se compara con otras técnicas tales como DNS dividido.
Hay tres modos posibles de NAT La reflexión: Discapacitado El valor por defecto. Cuando se desactiva, puerto remite sólo son accesibles desde WAN y no de dentro de las redes locales.
pura NAT Este modo utiliza un conjunto de reglas de NAT para dirigir paquetes al destino del puerto hacia delante. tiene mejor escalabilidad, pero debe ser posible determinar con precisión la dirección de la interfaz y la puerta de enlace IP utilizado para la comunicación con el objetivo en el momento se cargan las reglas. No hay límites inherentes al número de puertos que no sean los límites de los protocolos. Todos los protocolos disponibles para los delanteros de puertos son compatibles.
Cuando se activa esta opción, Automático de salida NAT para la reflexión También debe habilitarse si los clientes y los servidores están en la misma red local. NAT + Proxy NAT + Proxy modo utiliza un programa de ayuda para enviar paquetes a la meta del puerto hacia delante.
La conexión es recibida por la re fl exión demonio y actúa como un proxy, creando una nueva conexión con el servidor local. Este comportamiento se pone una carga mayor en el cortafuego, pero es útil en configuraciones donde la interfaz y / o la dirección IP de la pasarela se utiliza para la comunicación con el objetivo no puede determinarse con precisión en el tiempo se cargan las reglas. NAT + Proxy re fl exión reglas no se crean para los rangos
84
Capítulo 7. Con fi guración
El libro pfSense, Liberación
mayor de 500 puertos y no será utilizado durante más de 1000 puertos en total entre todos los desvíos de puerto. Sólo hacia delante del puerto TCP son compatibles.
reglas NAT individuales tienen la opción de anular el NAT mundial reflexión con fi guración, por lo que pueden tener NAT reflexión forzado dentro o fuera sobre una base caso por caso.
Reflexión Tiempo de espera
los Reflexión Tiempo de espera ajuste de fuerza a un tiempo de espera en las conexiones realizadas al realizar NAT reflexión para los delanteros del puerto de NAT + Proxy modo. Si las conexiones se quedan abiertos y recursos que consumen, esta opción puede mitigar este problema.
NAT La reflexión de 1: 1 NAT
Cuando se activa, esta opción agrega re fl adicional normas exión que permiten el acceso a 1: 1 asignaciones de vestidos ad-IP externas de las redes internas. Esto proporciona la misma funcionalidad que ya existe para los delanteros del puerto, pero para 1: 1 NAT. Hay escenarios de enrutamiento complejas que pueden hacer que esta opción ineficaz. Esta opción sólo afecta a la entrante ruta de 1: 1 NAT, no saliente. El estilo regla subyacente es similar a la pura NAT Modo de puerto remite. Al igual que con puerto remite, hay opciones por entrada para anular este comportamiento.
Automático de salida NAT para la reflexión
Cuando se activa, esta opción crea automáticamente reglas NAT salientes que ayudan reglas reflexión que dirigen trá fi co de vuelta a la misma subred desde la que se originó. Estas reglas adicionales permiten puro NAT y 1: 1 NAT reflexión a funcionar plenamente cuando los clientes y los servidores están en la misma subred. En la mayoría de los casos, esta casilla debe estar marcada para NAT reflexión a trabajar.
Nota: Este comportamiento es necesario porque cuando los clientes y servidores se encuentran en la misma subred, la fuente c fi tráfico se debe cambiar para que la conexión parece originarse desde el cortafuego. De lo contrario, el retorno de trá fi co pasará por alto el cortafuego y la conexión no tendrá éxito.
TFTP Proxy
El built-in de proxy TFTP se pueden citar las conexiones del poder a los servidores TFTP fuera del cortafuego, de modo que las conexiones de clientes a servidores remotos TFTP. Ctrl-clic o shift-clic para seleccionar varias entradas de la lista. Si se eligen ninguna interfaz, el servicio TFTP proxy está desactivada.
Tiempos de espera estatales
los Tiempo de espera de estado sección permite definir un ajuste de los tiempos de espera de estado para varios protocolos. Estos son típicamente manejados automáticamente por el cortafuego y los valores son dictadas por el Opciones de optimización de firewall Opciones. En casos raros, estos tiempos de espera pueden necesitar ajustado hacia arriba o hacia abajo para dar cuenta de las irregularidades en el comportamiento del dispositivo o necesidades de sitio-específico. Todos los valores se expresan en segundos, y controlar la duración de una conexión en ese estado se retiene en la tabla de estado.
Ver también:
La información en las siguientes opciones Referencia condiciones de estado cortafuego como se describe en Interpretación Unidos . En primer lugar TCP El primer paquete de una conexión TCP.
7.6. Opciones avanzadas de Con fi guración
85
El libro pfSense, Liberación
Apertura TCP El estado antes de que el host de destino ha respondido (por ejemplo, SYN_SENT: CERRADO).
TCP establecida Una conexión TCP establecida en el que el enlace de tres vías se ha completado. Cierre TCP Un lado ha enviado un paquete TCP FIN.
TCP FINWait Ambas partes han intercambiado paquetes FIN y la conexión se está cerrando. Algunos servidores pueden continuar enviando paquetes durante este tiempo. TCP cerrada Un lado ha enviado un restablecimiento de conexión de paquetes (TCP RST).
En primer lugar UDP El paquete UDP primera de una conexión se ha recibido.
UDP individual El anfitrión fuente ha enviado un solo paquete pero el destino no ha respondido (por ejemplo, INDIVIDUAL: NO_TRAFFIC). múltiple UDP Ambas partes han enviado paquetes.
En primer lugar ICMP Un paquete ICMP se ha recibido.
ICMP de error Un error ICMP se ha recibido en respuesta a un paquete ICMP.
Otro Primero, otra individual, otra Múltiple Lo mismo que UDP, pero para otros protocolos.
pestaña redes Opciones IPv6 Permitir IPv6
Cuando el Permitir IPv6 opción no está marcada, todos IPv6 trá fi co será bloqueado.
Esta opción está activada de forma predeterminada en las nuevas configuraciones fi para que el cortafuego es capaz de transmitir y recibir tráfico IPv6 c si las reglas permiten que pase. Esta opción controla un conjunto de reglas de bloqueo que impiden IPv6 tráfico c de ser manejado por el cortafuego para permitir la compatibilidad con fi guraciones importados de o actualizado de versiones de pfSense mayores de 2,1.
Nota: Esta opción no desactiva las funciones IPv6 o evitar que sea con fi gurado, que sólo controla trá fi co flujo.
IPv6 sobre IPv4 de túnel
los Habilitar IPv4 NAT encapsulación de paquetes IPv6 opción permite protocolo IP 41 / RFC 2893 de reenvío a una dirección IPv4 especificados en el dirección IP campo. Cuando con fi gurado, este reenvía todas las llamadas entrantes protocolo 41 / IPv6 trá fi co a un host detrás de esta fi cortafuegos en vez de manejar de forma local.
Propina: La activación de esta opción no añadir reglas fi cortafuego para permitir el protocolo 41 de trá fi co. Una regla debe existir en la interfaz WAN para permitir que el tráfico pase a través de c para el host receptor local.
Prefiero IPv4 sobre IPv6
Cuando se establece, esta opción hará que el cortafuego sí mismo preferir el envío de trá fi co con direcciones IPv4 en lugar de IPv6 anfitriones cuando una consulta DNS devuelve los resultados para ambos.
86
Capítulo 7. Con fi guración
El libro pfSense, Liberación
En casos excepcionales cuando el cortafuego ha configurada parcialmente con fi, pero no totalmente enrutados, IPv6 esto puede permitir que el cortafuego para continuar llegando a los servidores de Internet a través de IPv4.
Nota: Esta opción controla el comportamiento de la ficción en sí, tales como cortafuegos cuando hay actualizaciones de votación, la instalación de paquetes, reglas de descarga, y traer otros datos. Que no puede influir en el comportamiento de los clientes detrás del cortafuego.
Interfaces de red sondeo dispositivo
Advertencia: polling dispositivo tiene un efecto perjudicial en el hardware moderno y es innecesario, disminuyendo Mance perfor- y causando varios problemas. La opción se ha quitado de pfSense partir de la versión 2.4.
sondeo dispositivo es una técnica que permite que el sistema periódicamente los dispositivos de red de la encuesta para los nuevos datos en lugar de depender de las interrupciones. Esto evita que el WebGUI cortafuego, SSH, etc. de ser inaccesible debido a interrumpir inundaciones cuando está bajo carga extrema, a costa de una mayor latencia. La necesidad de la votación ha sido prácticamente eliminado gracias a los avances del sistema operativo y los métodos más e fi ciente de tratamiento de interrupciones, tales como MSI / MSIX.
Nota: Con el sondeo activada, aparecerá el sistema para utilizar el 100% de la CPU. Esto es normal, ya que el subproceso de sondeo es el uso de la CPU para buscar paquetes. El hilo de votación se ejecuta con una prioridad inferior, de modo que si otros programas necesitan tiempo de CPU, será renunciar a ella, según sea necesario. El inconveniente es que esta opción hace que el gráfico de la CPU menos útil.
Hardware suma de comprobación del oading fl
Cuando se activa, esta opción deshabilita la suma de comprobación de hardware de oading fl en las tarjetas de red. Suma de comprobación de oading fl suele ser beneficioso, ya que permite la suma de comprobación que se calcula (saliente) o veri fi (entrante) en el hardware a un ritmo mucho más rápido de lo que podría ser manejado por software.
Nota: Cuando se habilita la suma de comprobación de oading fl, una captura de paquetes verá vacío (todo cero) o pabellón sumas de comprobación de paquetes incorrectos. Estos son usuales para la manipulación de suma de control está sucediendo en el hardware.
Suma de comprobación de oading fl se rompe en algún hardware, en especial tarjetas Realtek y tarjetas virtuales / emulados como los relativos a Xen / KVM. Los síntomas típicos de la suma de comprobación roto de oading fl incluyen paquetes y un rendimiento deficiente rendimiento dañados.
Propina: En los casos de virtualización como Xen / KVM puede ser necesario desactivar la suma de comprobación de oading fl en el host, así como la máquina virtual. Si el rendimiento es aún pobre o tiene errores en este tipo de máquinas virtuales, cambiar el tipo de tarjeta de red, si es posible.
TCP hardware segmentación de oading fl
Al activar esta opción desactivará el hardware TCP segmentación de fl oading (TSO, TSO4, TSO6). TSO hace que el NIC para manejar paquetes de separarse en trozos de tamaño MTU en lugar de la manipulación que a nivel de sistema operativo. Esto puede ser más rápido para servidores y aparatos, ya que permite que el sistema operativo de fl OAD esa tarea a un hardware dedicado, pero cuando actúa como un cortafuego o enrutador este comportamiento es altamente indeseable ya que en realidad aumenta la carga ya que esta tarea ya se ha realizado en otras partes de la red, rompiendo así el principio de extremo a extremo mediante la modificación de los paquetes que no se originaron en este host.
7.6. Opciones avanzadas de Con fi guración
87
El libro pfSense, Liberación
Advertencia: Esta opción no es deseable para los routers y rewalls fi, pero puede beneficiarse estaciones de trabajo y los electrodomésticos. Se está desactivado por defecto, y debe permanecer desactivado a menos que el cortafuego está actuando principalmente o exclusivamente en un papel Ance / punto final muy favorable.
No desactive esta opción a menos que lo indique expresamente por un representante de soporte. Este oading de fl se rompe en algunos controladores de hardware, y puede afectar negativamente al rendimiento de las tarjetas de red y las funciones afectadas.
Hardware grande de recepción del oading fl
Al activar esta opción desactivará hardware de gran reciben de oading FL (LRO). LRO es similar a TSO, pero por el camino de entrada en lugar de saliente. Se permite a la NIC recibir un gran número de paquetes más pequeños antes de pasarlos al sistema operativo como un trozo más grande. Esto puede ser más rápido para servidores y aparatos, ya que de fl OAD lo que normalmente sería una tarea de procesamiento pesado a la tarjeta de red. Cuando actúa como un cortafuego o enrutador esto es altamente indeseable ya que retrasa la recepción y envío de paquetes que no están destinados de este alojamiento, y que tendrá que ser dividido de nuevo otra vez en el camino de ida, el aumento de la carga de trabajo de forma significativa y romper el principio de extremo a extremo.
Advertencia: Esta opción no es deseable para los routers y rewalls fi, pero puede beneficiarse estaciones de trabajo y los electrodomésticos. Se está desactivado por defecto, y debe permanecer desactivado a menos que el cortafuego está actuando principalmente o exclusivamente en un papel Ance / punto final muy favorable.
No desactive esta opción a menos que lo indique expresamente por un representante de soporte. Este oading de fl se rompe en algunos controladores de hardware, y puede afectar negativamente al rendimiento de las tarjetas de red y las funciones afectadas.
Suprimir los mensajes ARP
El cortafuego hace una entrada de registro en el registro del sistema principal cuando aparece una dirección IP para cambiar a una dirección MAC diferente. Esta entrada de registro señala que el dispositivo se ha movido direcciones, y registra la dirección IP y las viejas y nuevas direcciones MAC.
Este evento puede ser un comportamiento completamente benigna (por ejemplo, la agrupación de NIC en un servidor de Microsoft, un dispositivo que está siendo sustituido) o un problema del cliente legítimo (por ejemplo, IP conflicto), y podría aparecer constantemente o rara vez o nunca. Todo depende del entorno de red.
Recomendamos permitir estos mensajes ARP a ser impresos para iniciar la sesión, ya que hay una posibilidad de que reportará un problema digno de la atención de un administrador de red. Sin embargo, si el entorno de red contiene sistemas que generan estos mensajes mientras se opera con normalidad, suprimiendo los errores pueden hacer que el registro del sistema más útil, ya que no va a estar atestado de mensajes de registro que no sean necesarios.
Ficha Varios El soporte de proxy
Si este fi cortafuegos reside en una red que requiere un proxy para acceder a Internet saliente, introduzca las opciones de proxy en esta sección para que las solicitudes del cortafuego para artículos tales como paquetes y actualizaciones se enviarán a través del proxy.
URL del proxy
Esta opción especi fi ca la ubicación del proxy para realizar las conexiones externas. Debe ser una dirección IP o un nombre de dominio totalmente calificado fi cado.
88
Capítulo 7. Con fi guración
El libro pfSense, Liberación
Puerto proxy
El puerto a usar cuando se conecta a la URL del proxy. Por defecto es el puerto 8080 para las direcciones URL de proxy HTTP, y 443 para las direcciones URL de proxy SSL. El puerto está determinada por el proxy, y puede ser un valor diferente del todo (por ejemplo, 3128). Consulte con el administrador del proxy para hallar el valor del puerto adecuado.
Nombre de usuario de proxy
Si es necesario, este es el nombre de usuario que se envía para la autenticación de proxy.
Contraseña de proxy
Si es necesario, esta es la contraseña asociada con el nombre de usuario establecido en la opción anterior.
Balanceo de carga Conexiones pegajosas
Cuando pfSense se dirige a realizar el equilibrio de carga, las conexiones sucesivas serán redirigidos de manera round-robin a un servidor web o puerta de enlace, el equilibrio de la carga en todos los servidores o caminos disponibles. Cuando Conexiones pegajosas está activo se cambia este comportamiento para que las conexiones de la misma fuente se envían al mismo servidor web o a través de la misma puerta de enlace, en lugar de ser enviado de una forma round-robin puramente.
Conexiones pegajosas afecta el equilibrio tanto de carga saliente (Multi-WAN), así como el equilibrio de carga de servidor cuando ES- abled. Esta asociación “pegajosa” existirá siempre que los estados están en la tabla para las conexiones desde una dirección de origen dado. Una vez que los estados para esa fuente de expirar, también lo hará la asociación pegajosa. Más conexiones desde que host de origen serán redirigidos al siguiente servidor web en la piscina o en la siguiente puerta de enlace disponible en el grupo. Para fi tráfico saliente c usando un grupo de puerta de enlace de equilibrio de carga, la asociación pegajosa es entre el usuario y una puerta de enlace. Mientras la dirección local tiene estados en la tabla de estado, todas sus conexiones fluirá fuera de una única puerta de enlace. Esto puede ayudar con protocolos como HTTPS y FTP, donde el servidor puede ser estrictos con todas las conexiones procedentes de la misma fuente, o cuando una conexión de entrada adicional debe ser recibido de la misma fuente. La desventaja de este comportamiento es que el equilibrio no es tan e fi ciente, un gran consumidor podría dominar una sola WAN en lugar de tener sus conexiones hacia fuera.
Para el equilibrio de carga del servidor, se describe adicionalmente en Servidor de equilibrio de carga , Conexiones adhesivas son deseables para aplicaciones que se basan en las mismas direcciones IP de los servidores que se mantiene a lo largo de un determinado período de sesiones para un usuario. aplicaciones web de los servidores pueden no ser lo suficientemente inteligente como para permitir una sesión de usuario que exista en varios servidores de back-end, al mismo tiempo, por lo que este permite al usuario alcanzar siempre el mismo servidor, siempre y cuando se navega por un sitio. Este comportamiento puede no ser necesaria dependiendo del contenido del servidor.
Propina: Para obtener más control sobre cómo las conexiones de usuario están asociados con los servidores en un escenario de equilibrio de carga, considere utilizar el paquete HAProxy en lugar de la incorporada en el relayd equilibrador de carga. HAProxy admite varios métodos de asegurando que los usuarios se dirigen adecuadamente a un servidor back-end.
los Tiempo de espera de seguimiento Fuente para los controles conexiones adhesivas cuánto tiempo se mantendrá la asociación pegajosa para un anfitrión después de la totalidad de los estados de acogida que expirará. El valor es especificado en segundos. Por defecto, no se establece este valor, por lo que la asociación se retira tan pronto como los estados expiran. Si las conexiones adhesivas parecen funcionar inicialmente, pero parecen detenerse por la mitad sesiones, aumentar este valor para mantener una asociación más tiempo. navegadores web a menudo tienen conexiones abiertas por un tiempo ya que los usuarios están en un sitio, pero si hay una gran cantidad de tiempo de inactividad, las conexiones pueden estar cerrados y los estados pueden caducar.
7.6. Opciones avanzadas de Con fi guración
89
El libro pfSense, Liberación
Puerta de enlace predeterminada de conmutación
Habilitar puerta de enlace predeterminada de conmutación permite a las puertas de enlace no predeterminadas adicionales para hacerse cargo de si el BE- puerta de enlace predeterminada viene inalcanzable. Este comportamiento está desactivado por defecto. Con múltiples redes WAN, conmutación de la puerta de enlace predeterminada auto- máticamente se asegurará de que el cortafuego siempre tiene una puerta de enlace predeterminada para que trá fi co de la ficción en sí cortafuegos puede salir a Internet para DNS, actualizaciones, paquetes y servicios añadidos como el calamar.
Propina: Cuando se utiliza el Resolver DNS en el modo de no reenvío por defecto, se requiere conmutación de entrada de defecto para Multi-WAN funcione correctamente. Si el cambio de puerta de enlace predeterminada no se puede utilizar, a continuación, considerar el uso de modo de reenvío en su lugar.
Hay casos donde la desconexión la puerta de enlace por defecto no es deseable, sin embargo, tales como cuando el cortafuego tiene puertas de enlace adicionales que no están conectadas a Internet. En el futuro esta opción se ampliará para que pueda ser controlado en función de cada puerta de enlace.
Advertencia: Esta opción se sabe que no funcione correctamente con un tipo PPP WAN (PPPoE, L2TP, etc) como una puerta de enlace predeterminada.
Ahorro de energía Cuando Habilitar PowerD está marcada, el powerd se inicia el demonio. Este demonio monitoriza el sistema y puede disminuir o aumentar la frecuencia de la CPU basado en la actividad del sistema. Si los procesos necesitan el poder, se aumentará la velocidad de la CPU, según sea necesario. Esta opción reducirá la cantidad de calor de una CPU genera, y también pueden disminuir el consumo de energía.
Nota: El comportamiento de esta opción depende en gran medida del hardware en uso. En algunos casos, la frecuencia de la CPU puede disminuir pero no tienen ningún efecto mensurable sobre el consumo de energía y / o calor, mientras que otros se enfriarán y utilizar menos energía considerablemente. Se considera seguro para funcionar, pero se deja desactivada de forma predeterminada a menos que se detecte el hardware soportado.
El modo de powerd también puede ser seleccionado para tres estados del sistema:
Alimentación de CA El funcionamiento normal conectado a la red. Energía de la batería Modo de usar cuando el cortafuego está funcionando con batería. Soporte para la detección de energía de la batería
varía según el hardware. Poder desconocido Modo utilizado cuando powerd no se puede determinar la fuente de alimentación. Existen cuatro modos de opciones para cada uno de estos estados:
Máximo Mantiene el rendimiento lo más alto posible en todo momento. Mínimo Mantiene el rendimiento en su nivel más bajo, para reducir el consumo de energía.
Adaptado Trata de equilibrar los ahorros por la disminución de rendimiento cuando el sistema está inactivo y el aumento cuando hay mucha gente.
Hiadaptive Similar a adaptativos pero afinado para mantener un alto rendimiento a costa de una mayor potencia de conel consumo. Eleva la frecuencia de la CPU más rápida y lo deja caer más lento. Este es el modo por defecto.
Nota: Algunos de hardware requiere powerd corriendo a funcionar a su máxima frecuencia de la CPU alcanzable. Si el dispositivo de fi cortafuegos no tiene powerd permitido pero siempre corre a lo que parece ser una baja frecuencia de la CPU, activar powerd y ponerlo a Máximo durante al menos el Alimentación de CA estado.
90
Capítulo 7. Con fi guración
El libro pfSense, Liberación
Perro guardián
Fi cierto hardware incluye un cortafuegos Perro guardián característica que puede restablecer el hardware cuando el daemon de vigilancia ya no puede interactuar con el hardware después de un tiempo de espera de fi cado. Esto puede aumentar la fiabilidad restableciendo una unidad cuando un bloqueo duro se encontró que de otro modo podrían requerir intervención manual.
La desventaja de cualquier vigilancia de hardware es que cualquier su fi cientemente sistema ocupado puede ser indistinguible de uno que ha sufrido un bloqueo duro.
Enable Watchdog Cuando se selecciona, el watchdogd daemon se ejecuta que intenta trabar sobre una SUPdispositivo de vigilancia de hardware portado.
Tiempo de espera de vigilancia El tiempo, en segundos, después de lo cual el dispositivo se restablecerá si no responde a una solicitud de vigilancia. Si un cortafuego regularmente tiene una carga alta y activa accidentalmente el organismo de control, aumente el tiempo de espera.
Criptográfica y Hardware térmica hardware criptográfico
Hay algunas opciones disponibles para acelerar las operaciones de cifrado a través de hardware. Algunos están construidos en el núcleo, y otros son módulos cargables. Un módulo opcional se puede seleccionar aquí: AES-NI ( Advanced Encryption Standard, New Instructions). Si AES-NI aceleración
basada CPU ( aesni) se elige, entonces su módulo del kernel se carga cuando se guarda, y en el arranque. los aesni módulo acelerar las operaciones de AES-GCM, disponible en IPsec. Soporte para AES-NI está integrada en muchos Intel reciente y algunos CPUs AMD. Consulte con el OEM para CPU fi co o soporte SoC.
Velocidades con AES-NI variar según el apoyo de software subyacente. Algunos programas de software basados en OpenSSL como OpenVPN puede llevar a cabo de manera diferente con AES-NI descargada desde OpenSSL ha incorporado soporte para AES-NI. apoyo IPsec será mucho mayor con cargado proporcionado AES-NI que se utiliza AES-GCM y correctamente con fi gurado. Estos controladores gancho en el crypto (9) marco en FreeBSD, por lo que muchos aspectos del sistema utilizará automáticamente la aceleración para cifrados soportados.
Hay otros dispositivos criptográficos compatibles, como hifn (4) y ubsec (4). En la mayoría de los casos, si se detecta un chip acelerador apoyado, se muestra en el Información del sistema widget en el tablero de instrumentos.
Los sensores térmicos
pfSense puede leer los datos de temperatura de unas pocas fuentes que se mostrará en el tablero de instrumentos. Si el cortafuego tiene una CPU compatible, la selección de un sensor térmico se carga el controlador apropiado para leer su temperatura. Los siguientes tipos de sensores son compatibles:
Ninguno / ACPI El cortafuego intentará leer la temperatura de una placa base compatible con ACPI sensor si uno está presente, de lo contrario no hay lecturas de los sensores están disponibles.
núcleo Intel Carga el coretemp módulo que soporta la lectura de los datos térmicos del núcleo de la serie Intel CPUs y otras CPU Intel moderna, utilizando sus sensores en el chip, incluyendo procesadores basados en Atom.
AMD K8, K10, K11 y Carga el amdtemp módulo que soporta la lectura de los datos térmicos de moCPUs AMD ern utilizando sus sensores en el chip. Si el cortafuego no tiene un chip sensor térmico soportado, esta opción no tendrá ningún efecto. Para descargar el módulo seleccionado, establezca esta opción Ninguno /
ACPI y luego reiniciar el sistema.
Nota: los coretemp y amdtemp módulos reportan datos térmicos directamente desde el núcleo de la CPU. Esto puede o no puede
7.6. Opciones avanzadas de Con fi guración
91
El libro pfSense, Liberación
ser indicativa de la temperatura en otras partes del sistema. temperaturas de caso pueden variar mucho de las temperaturas en el dado de la CPU.
horarios los No matar conexiones cuando expira horario opción controla si los Estados se borran cuando una regla ULed sched- transición a un estado que bloquearía trá fi co. Si no se controla, las conexiones se terminan cuando ha transcurrido el tiempo previsto. Si se selecciona, las conexiones se dejan solos y no se cerrarán automáticamente por el cortafuego.
Monitoreo de puerta de enlace
Claro Unidos Cuando una puerta de enlace es de Down
Cuando se utiliza multi-WAN, por defecto el proceso de supervisión no Enjuagar los estados fl cuando una puerta de entrada entra en un estado hacia abajo. estados de lavado para cada evento de puerta de enlace pueden ser perjudiciales en situaciones en las que una puerta de entrada es inestable. los Vaciar todos los estados cuando un gateway falla opción anula el comportamiento por defecto, la limpieza de los estados de todas conexiones existentes cuando alguna puerta de enlace falla. estados de compensación puede ayudar a redirigir tráfico c para conexiones de larga vida tales como VoIP registros de teléfono / tronco a otro WAN, pero también pueden interrumpir las conexiones en curso si una puerta de entrada Minoritarias es fl apping que todavía matar a todos los estados cuando falla. Más información sobre cómo este impactos multi-WAN se puede encontrar en Matar Estado / conmutación forzada .
Nota: Cuando esto se activa, toda la tabla de estado se borra. Esto es necesario porque no es posible matar a todos los estados de la WAN en su defecto y los estados del lado LAN asociadas con la WAN no. Extracción de los estados en el lado WAN sola no es efectiva, los estados de la LAN debe ser limpiado también.
Saltar Reglas Cuando Gateway es de Down
De manera predeterminada, cuando una regla tiene una puerta de entrada conjunto específico y esta pasarela se ha reducido, la puerta de entrada se omite de la regla y trá fi co se envía a través de la puerta de enlace predeterminada. los No crear reglas cuando la puerta de enlace se ha reducido opción anula ese comportamiento y toda la regla se omite en el conjunto de reglas cuando la pasarela está abajo. En lugar de fl debido a través de la puerta de enlace predeterminada, el trá fi co coincidirá con una regla diferente en su lugar. Esto es útil si trá fi co sólo se debe utilizar siempre una especificidad c WAN y nunca flujo por encima de cualquier otra WAN.
Propina: Cuando se utiliza esta opción, cree una regla de rechazo o bloque debajo de la regla de política de enrutamiento con los mismos coinciden con los criterios. Esto evitará que el tráfico c desde potencialmente búsqueda de otras reglas por debajo de ella en el conjunto de reglas, y teniendo un camino no intencionado.
Configuración del Disco RAM
Los / tmp y / var directorios se utilizan para la escritura de los archivos y el almacenamiento de datos que es temporal y / o volátil. El uso de un disco RAM puede reducir la cantidad de escritura que ocurre en los discos del cortafuego. Los SSD modernos no tienen preocupaciones de escritura en disco como unidades antiguas hicieron una vez, pero todavía pueden ser una preocupación cuando se ejecuta desde el almacenamiento de cenizas fl calidad inferior, tal como las memorias USB.
Este comportamiento tiene el beneficio de mantener la mayor parte de las escrituras fuera del disco en el sistema base, pero los paquetes todavía puede escribir con frecuencia en el disco duro. También requiere manipulación adicional para asegurar que los datos como gráficos RRD y concesiones DHCP se retienen en los reinicios. Los datos para los dos se guarda durante un apagado o reinicio adecuado, y también periódicamente si con fi gurado.
92
Capítulo 7. Con fi guración
El libro pfSense, Liberación
Utilice discos RAM Cuando se activa, un disco de memoria se crea en el momento del arranque de / tmp y / var / y el
estructura asociada se inicializa. Cuando se activa esta opción, se requiere un reinicio y obligó al guardar.
/ Tmp Tamaño Disco RAM El tamaño de la / tmp disco RAM, en MiB. El valor por defecto es 40, pero debe ser
fija más alto si hay RAM disponible. / Var Tamaño Disco RAM El tamaño de la / var disco RAM, en MiB. El valor por defecto es 60, pero debe ser fijan mucho mayor, especialmente si se utilizan paquetes. 512-1024 es un mejor punto de partida, dependiendo de la RAM fi cortafuegos disponibles. Periódica de copia de seguridad RRD El tiempo, en horas, entre copias de seguridad periódicas de los archivos RRD. Si el cortafuego es
reiniciado inesperadamente, la última copia de seguridad se restaura cuando se inicia el fi cortafuego copia de seguridad. Cuanto menor sea el valor, menos los datos que se perderán en ese caso, pero las copias de seguridad más frecuentes escribir más en el disco.
DHCP periódica Arrendamientos de copia de seguridad El tiempo, en horas, entre copias de seguridad periódicas de la concesión DHCP
bases de datos. Si el cortafuego se reinicia inesperadamente, la última copia de seguridad se restaura cuando se inicia el fi cortafuego copia de seguridad. Cuanto menor sea el valor, menos los datos que se perderán en ese caso, pero las copias de seguridad más frecuentes escribir más en el disco.
Advertencia: Aparte de los puntos mencionados anteriormente, hay varios elementos que tener cuidado con la hora de elegir si desea o no utilizar la opción de disco RAM. Se usa incorrectamente, esta opción puede conducir a la pérdida de datos o de otros fallos inesperados.
Los registros del sistema se llevan a cabo en / var pero no están respaldados como las bases de datos RRD y DHCP. Los registros se restablezca fresco en cada reinicio. Para los registros persistentes, utilizar syslog remoto para enviar los registros a otro dispositivo en la red.
Los paquetes no pueden explicar correctamente el uso de discos RAM, y pueden no funcionar adecuadamente en el arranque o en otras formas. Pruebe cada paquete, incluyendo si o no funciona inmediatamente después de un reinicio. Estos son los discos RAM, por lo que la cantidad de RAM disponible para otros programas serán reducidos por la cantidad de espacio utilizado por los discos RAM. Por ejemplo si el cortafuego tiene 2 GB de RAM, y tiene 512 MB para / var y 512 MB de / Tmp, entonces sólo 1 GB de RAM estará disponible para el sistema operativo para uso general.
Especial cuidado debe ser tomado al elegir un tamaño de disco, que se discute en la siguiente sección.
RAM tamaños de disco
Configuración de un tamaño demasiado pequeño para / tmp y / var puede realizar copias de fuego, especialmente cuando se trata de paquetes. Los tamaños sugeridos en la página son una mínimo absoluto y con frecuencia se requieren tamaños mucho más grandes. El fallo más común es que cuando se instala un paquete, y partes de los lugares paquete táctiles en tanto / tmp y / var y en última instancia, puede llenar el disco RAM y causar otros datos que se perdieron. Otro fallo común es la creación / var como un disco RAM y luego olvidarse de mover una caché de calamar a un lugar fuera de / var - si no se controla, será llenar el disco RAM. Por / tmp, un mínimo de 40 Se requiere MiB. Por / var un mínimo de 60 Se requiere MiB. Para determinar el tamaño adecuado, comprobar el uso actual de la / tmp y / var directorios antes de hacer un cambio. Comprobar el uso de varias veces en el transcurso de unos pocos días, así que no se detecta en un punto bajo. Viendo el uso durante una instalación del paquete añade otro punto de datos útiles.
Tab optimizables del sistema los sistema optimizables lengüeta debajo Sistema> Avanzado proporciona un medio para establecer en tiempo de ejecución tunables sistema FreeBSD, también conocido como sysctl OID. En casi todos los casos, se recomienda dejar estos sintonizables en sus valores por defecto. los administradores de cortafuegos familiarizadas con FreeBSD, o los usuarios Si lo hace, bajo la dirección de un representante desarrollador o de apoyo, pueden querer ajustar o agregar valores en esta página para que se establecerán como se inicia el sistema.
7.6. Opciones avanzadas de Con fi guración
93
El libro pfSense, Liberación
Nota: Los sintonizables en esta página son diferentes de Cargador de optimizables. cargador de optimizables son de sólo lectura valora una vez que el sistema ha arrancado, y esos valores se debe establecer en / boot / loader.conf.local.
Creación y edición de optimizables
.
Para editar una sintonizable existente, haga clic
Para crear un nuevo sintonizable, haga clic
Nuevo Al inicio de la lista.
Al editar o crear un sintonizable, los siguientes campos están disponibles: sintonizable los sysctl OID para establecer
Valor El valor al que el sintonizable se establecerá. Nota: Algunos valores tienen requisitos de formato. Debido a la gran cantidad de OID sysctl, la interfaz gráfica de usuario no valida que el dado Valor trabajará para el elegido Sintonizable.
Descripción Una descripción opcional para la referencia. Hacer clic Salvar cuando el formulario se ha completado.
OID sintonizables y Valores Hay muchas posibles OID de sysctl, algunos de ellos pueden cambiarse, algunos son de sólo lectura salidas, y otros deben establecer antes de que arranque el sistema como cargador optimizables. La lista completa de los OID y sus posibles valores está fuera del alcance de este libro, pero para aquellos interesados en cavar un poco más profundo, el sysctl página del manual de FreeBSD contiene instrucciones detalladas e información.
noti fi caciones pfSense notifica al administrador de eventos y errores importantes al mostrar una alerta en la barra de menús, indicado por
el
icono. pfSense también puede enviar estas noti fi caciones de forma remota a través de correos electrónicos utilizando SMTP o vía Growl.
El correo electrónico SMTP
E-mail noti fi caciones son entregados por una conexión SMTP directa a un servidor de correo. El servidor debe ser con fi gurada para permitir la retransmisión desde el cortafuego o aceptar conexiones SMTP autenticadas.
Desactivar SMTP Cuando se activa, no se enviarán SMTP noti fi caciones. Esto es útil a los cationes fi silencio NotI mientras se mantiene la configuración de SMTP en su lugar para su uso por otros fines, tales como paquetes que utilizan el correo electrónico.
servidor de correo electrónico El nombre de host o IP del servidor de correo electrónico a través del cual las noti fi caciones será expedido.
Puerto SMTP del servidor de correo electrónico El puerto para la comunicación con el servidor SMTP. la mayor parte puertos comunes son 25 y 587. En muchos casos, 25 no funcionará a menos que sea a un servidor de correo local o interna. Proveedores de frecuencia bloquean las conexiones de salida en el puerto 25, a fin de utilizar 587 (el puerto de Envío) cuando sea posible.
Tiempo de espera de conexión al servidor de correo electrónico La cantidad de tiempo, en segundos, que el cortafuego esperará para una
conexión SMTP para completar.
94
Capítulo 7. Con fi guración
El libro pfSense, Liberación
Conexión segura SMTP Cuando se establece, el cortafuego intentará una conexión SSL / TLS para enviar correo electrónico. El servidor debe tener un certificado SSL válido fi cado y aceptar conexiones SSL / TLS.
De la dirección de correo electrónico La dirección de correo electrónico que se utilizará en el De: cabecera, que especi fi ca la
fuente del mensaje. Algunos servidores SMTP intento de validar esta dirección por lo que la mejor práctica es utilizar una dirección real en este campo. Esto se establece habitualmente a la misma dirección que Notificación de E-mail.
Notificación E-mail La dirección de correo electrónico para el A: encabezado del mensaje, que es el DESnación en la que los correos electrónicos de noti fi cación serán entregados por el cortafuego. Notificación por correo electrónico de autenticación Nombre de usuario Opcional. Si el servidor de correo requiere un nombre de usuario y la contraseña para
autenticación, introduzca el nombre de usuario aquí. Notificación por correo electrónico de autenticación de contraseña Opcional. Si el servidor de correo requiere un nombre de usuario y la contraseña para
autenticación, introduzca la contraseña aquí y en la confirmación de campo. Notificación de correo electrónico Mecanismo de autenticación Este campo específico es el mecanismo de autenticación requerido por el servidor de correo. La mayoría de los servidores de correo electrónico trabajan con LLANURA autentificación, otros, como Microsoft Exchange pueden requerir INICIAR
SESIÓN autentificación estilo.
Hacer clic
Hacer clic
Salvar para almacenar la configuración antes de proceder.
Configuración SMTP prueba para generar una fi cación NotI prueba y enviarlo a través de SMTP utilizando la previamente almacenada
ajustes. Guardar las opciones antes de hacer clic en este botón.
Puesta en marcha / sonido Shutdown
Si el hardware fi cortafuegos tiene un altavoz de PC pfSense se reproduzca un sonido cuando se inicie acabados y otra vez cuando se inicia una parada. Comprobar Deshabilitar el inicio / parada pitido para evitar que el cortafuego de jugar estos sonidos.
Gruñido
Growl proporciona un método discreto de la entrega de cationes fi caciones escritorio. Estas noti fi caciones pop-up en un escritorio y luego ocultar o desaparecer. Growl está disponible en la tienda de aplicaciones para Mac OS X , Y está disponible en ventanas y FreeBSD / Linux así como. Desactivar fi caciones Growl Noti Cuando se selecciona, el cortafuego no enviará Growl noti fi caciones.
Nombre de registro El nombre del servicio del cortafuego utilizará para registrarse en el servidor de Growl. Por defecto
esto es pfSense-Growl. Considere esto como el tipo de NotI fi cación como se ve por el servidor Growl.
Notificación Nombre El nombre del sistema que produce cationes fi caciones. El valor por defecto de pfSense rugido de alerta puede ser su fi ciente, o personalizarlo con el nombre de host fi cortafuegos o cualquier otro valor para que sea distinta.
Dirección IP La dirección IP a la que el cortafuego enviará Growl Noti fi caciones. Contraseña La contraseña requerida por el servidor de Growl.
Hacer clic
Salvar para almacenar la configuración antes de proceder.
Hacer clic
Ajustes de prueba Growl enviar una noti fi cación de prueba a través de Growl utilizando la configuración guardada anteriormente. Guardar antes de intentar una prueba.
7.6. Opciones avanzadas de Con fi guración
95
El libro pfSense, Liberación
Información básica del menú de la consola tareas básicas con fi guración y mantenimiento se pueden realizar desde la consola del sistema. La consola está disponible utilizando un teclado y un monitor, consola serie, o mediante el uso de SSH. Los métodos de acceso varían dependiendo del hardware. A continuación se muestra un ejemplo de lo que el menú de la consola se verá así, pero puede variar ligeramente dependiendo de la versión y de la plataforma:
Bienvenido a pfSense 2.4.0-RELEASE (amd64) en pfSense ***
* * *
WAN (wan)
- > vmx0
- >
v4 / DHCP4: 198.51.100.6/24 v6 / DHCP6: 2001: db8 :: 20c: 29ff: fe78: 6e4e / 64
LAN (LAN)
- > vmx1
- >
v4: 10.6.0.1/24 v6 / t6: 2001: db8: 1: eea0: 20c: 29ff: fe78: 6e58 / 64
0) Salir (sólo SSH)
9) pfTop
1) Interfaces Asignar
10) Los registros de filtro
2) la interfaz conjunto (s) dirección IP
11) de reinicio webConfigurator
3) Cambiar contraseña webConfigurator
12) herramientas de shell PHP + pfSense
4) Restablecer los valores predeterminados de fábrica
13) Actualización de la consola
5) Sistema de reinicio
14) Disable Secure Shell (sshd)
6) Sistema de Halt
15) Restaurar configuración reciente
7) anfitrión Ping
16) de reinicio PHP-FPM
8) Shell
asignar Interfaces Esta opción reinicia el Asignación de interfaz tarea, que se cubre en detalle en asignar Interfaces y La asignación manual de Interfaces . Esta opción de menú puede crear interfaces VLAN, reasignar las interfaces existentes, o asignar nuevos.
la interfaz conjunto (s) dirección IP La secuencia de comandos para configurar una dirección IP de la interfaz puede establecer WAN, LAN, o direcciones IP de interfaz OPT, pero también hay otras características útiles de este script:
• El cortafuego le pide para activar o desactivar el servicio DHCP para una interfaz, y para establecer el rango de direcciones IP de DHCP si está activado.
•
Si la interfaz gráfica de usuario fi cortafuegos es con fi gurado para HTTPS, las indicaciones del menú para cambiar a HTTP. Esto ayuda en casos en que la con fi guración SSL no está funcionando correctamente.
•
Si la regla anti-bloqueo de LAN ha sido desactivado, la secuencia de comandos permite a la regla anti-bloqueo en caso de que el usuario ha sido bloqueada de la interfaz gráfica de usuario.
Restablecer la contraseña WebCon fi gurator Esta opción de menú activa una secuencia de comandos para restablecer el administración contraseña de la cuenta y el estado. La contraseña se restablece en el valor predeterminado de pfSense.
El guión también tiene algunas otras acciones para ayudar a recuperar la entrada en el cortafuego:
• Si la fuente de autenticación interfaz gráfica de usuario se establece en un servidor remoto como RADIUS o LDAP, se le solicita a devolver la fuente de autenticación a la base de datos local.
• Si el administración la cuenta se ha eliminado, el guión vuelve a crear la cuenta. • Si el administración cuenta está deshabilitada, el guión vuelve a activar la cuenta.
96
Capítulo 7. Con fi guración
El libro pfSense, Liberación
Restablecer los valores predeterminados de fábrica Esta opción del menú restaura la con fi guración del sistema a los valores predeterminados de fábrica. También intentará eliminarán los paquetes instalados.
Nota: Esta acción no se hará ningún otro cambio en el sistema de ficheros fi. Si el sistema de archivos se han dañado o alterado de una manera no deseada, lo mejor es hacer una copia de seguridad, y volver a instalar desde medios de instalación.
Esta acción también está disponible en WebGUI en Diagnóstico> valores predeterminados de fábrica
Reiniciar el sistema Esta opción del menú se limpia apagar el cortafuegos fi pfSense y reiniciar el sistema operativo. Unas pocas opciones avanzadas también pueden aparecer en esta página, dependiendo de soporte de hardware:
reinicie normalmente Realiza un reinicio normal en el modo tradicional. Reroot Esta opción no realiza un reinicio completo, pero una bota estilo “reroot”. Todos los procesos que se están ejecutando matado, todos los sistemas de ficheros fi se vuelven a montar, y luego la secuencia de inicio del sistema se ejecuta de nuevo. Este tipo de reinicio es mucho más rápido, ya que no se reinicia el hardware, vuelva a cargar el kernel, o la necesidad de pasar por el proceso de detección de hardware.
Reiniciar en modo de usuario único Esto reiniciará el cortafuego en modo de usuario único para PUR de diagnóstico plantea. El cortafuego no puede recuperarse automáticamente de este estado, se requiere acceso a la consola para utilizar el modo de usuario único y reinicie el cortafuego. Esta opción de menú no está disponible en SG-1000.
Advertencia: En el modo de usuario único, y otros sistemas de ficheros fi no están montados los valores por defecto de raíz fi sistema de ficheros de sólo lectura. El cortafuego también no tiene una conexión de red activa. Esta opción sólo debe utilizarse bajo la supervisión de un representante de soporte o un usuario con conocimientos avanzados de FreeBSD.
Reiniciar el sistema y realizar una verificación de fi sistema de ficheros Esto reinicia el cortafuego y obliga a un control de sistema de archivos utilizando fi fsck,
corren cinco veces. Esta operación se suele cuestiones correctas con el sistema de ficheros fi en el cortafuego. Esta opción de menú no está disponible en SG-1000.
Nota: Las opciones de comprobación de modo de usuario único y sistema de ficheros fi requieren una letra mayúscula para ser introducida para confirmar la acción. Esto es necesario para evitar activar las opciones de forma accidental. Las opciones de reinicio y reroot pueden introducirse en mayúsculas o minúsculas.
Esta acción también está disponible en WebGUI en Diagnóstico> Reiniciar
sistema de interrupción Esta opción del menú se cierra limpiamente el cortafuego y, o bien se detiene o se apaga, en función del soporte de hardware. Advertencia: Desaconsejamos totalmente el corte de alimentación de un sistema en funcionamiento. Detener antes de quitar el poder es siempre la opción más segura.
Esta acción también está disponible en WebGUI en Diagnóstico> Sistema Halt
7.7. Información básica del menú de la consola
97
El libro pfSense, Liberación
anfitrión Ping Esta opción de menú se ejecuta un guión que intenta ponerse en contacto con un anfitrión para confirmar si es accesible a través de una red conectada. La secuencia de comandos solicita al usuario una dirección IP, y luego envía el host de destino que tres peticiones de eco ICMP. La secuencia de comandos muestra la salida de la prueba, incluyendo el número de paquetes recibidos, números de secuencia, tiempos de respuesta, y el porcentaje de pérdida de paquetes. El script usa silbido cuando se le da una dirección IPv4 o un nombre de host, y ping6 cuando se le da una dirección IPv6.
Cáscara Esta opción del menú se inicia un shell de línea de comandos. Una cáscara es muy útil y muy potente, pero también tiene el potencial de ser muy peligroso.
Nota: La mayoría de los usuarios pfSense no necesita tocar la concha, o siquiera sabe que existe.
tareas con fi guración complejos pueden requerir trabajar en la cáscara, y algunas tareas de resolución de problemas son más fáciles de lograr a partir de la cáscara, pero siempre hay una posibilidad de causar un daño irreparable al sistema.
usuarios de FreeBSD veteranos pueden sentir un poco como en casa, pero hay muchos comandos que no están presentes en un sistema pfSense ya que las partes innecesarias del sistema operativo se eliminarán de las restricciones de seguridad y tamaño. Una concha de iniciarse en este usos Manner tcsh, y la única otra shell disponible es sh. Si bien es posible instalar otros proyectiles para la comodidad de los usuarios, no recomendamos ni apoyamos el uso de otras conchas.
pfTop Esta opción de menú activa pftop que muestra una vista en tiempo real de los estados fi cortafuego, y la cantidad de datos que se han enviado y recibido. Puede ayudar a las sesiones en forma de puntos que actualmente utilizan grandes cantidades de ancho de banda, y también puede ayudar a diagnosticar otros problemas de conexión a la red.
Ver también:
Ver Estados visualización con pfTop para más información sobre cómo utilizar pfTop.
Registros de filtro los Registros de filtro opción de menú muestra las entradas del registro fi cortafuego, en tiempo real, en su forma cruda. Los registros primas contienen mucha más información por línea de la vista del registro en el WebGUI ( Estado> Registros del sistema, pestaña Firewall), pero no toda esta información es fácil de leer.
Propina: Para una fi ed vista de la consola simplificada de los registros en tiempo real con bajo detalle, utilizar este comando shell:
obstruir - F / var / Iniciar sesión / filtrar . Iniciar sesión | filterparser . php
Reinicio WebCon fi gurator Al reiniciar el gurator WebCon fi reiniciará el proceso del sistema que ejecuta el WebGUI ( nginx). En casos extremadamente raros, el proceso puede haber detenido, y al reiniciarse se restaurar el acceso a la interfaz gráfica de usuario. Si la interfaz gráfica de usuario no responde y esta opción no restaura el acceso, opción de menú 16 para invocar Reinicio PHP-FPM después de usar esta opción de menú.
98
Capítulo 7. Con fi guración
El libro pfSense, Liberación
herramientas PHP shell + pfSense La cáscara PHP es una utilidad de gran alcance que ejecuta código PHP en el contexto del sistema en ejecución. Al igual que con la cáscara normal, también es potencialmente peligroso de usar. Esto se utiliza principalmente por los desarrolladores y los usuarios experimentados que están íntimamente familiarizado con PHP y la base de código pfSense.
Secuencias de comandos de reproducción
Hay varios guiones de reproducción para el Shell PHP que automatizan tareas simples o permiten el acceso a la interfaz gráfica de usuario. Estas secuencias de comandos se ejecutan desde dentro de la cáscara de PHP, así:
pfSense shell: scriptname reproducción También se pueden ejecutar desde la línea de comandos:
#
pfSsh.php reproducción scriptname
Cambia la contraseña
Este script cambia la contraseña de un usuario, y también solicita para restablecer las propiedades de la cuenta si está deshabilitado o caducado.
disablecarp / enablecarp
Estos scripts desactivar y activar las funciones de alta disponibilidad carpa, y se desactivarán las direcciones IP virtuales de tipo CARP. Esta acción no persiste en los reinicios.
disablecarpmaint / enablecarpmaint
Estos scripts desactivar y activar el modo de mantenimiento CARP, lo que deja CARP activo, pero degrada esta unidad para que el otro nodo puede asumir el control. Este modo de mantenimiento persistirá en los reinicios.
disabledhcpd
Esta secuencia de comandos elimina todo con DHCP fi guración del cortafuego, desactivando efectivamente el servicio DHCP y eliminar por completo todos sus ajustes.
disablereferercheck
Este script deshabilita el HTTP_REFERER cheque mencionado en HTTP_REFERER aplicación de navegador . Esto puede ayudar a obtener acceso a la interfaz gráfica de usuario si una sesión del navegador está provocando esta protección.
enableallowallwan
Este script agrega una regla de permitir que todos para IPv4 e IPv6 a la interfaz WAN. Advertencia: Tenga mucho cuidado con esta opción, que está destinado a ser una temporal medir para obtener acceso a los servicios en la interfaz WAN del cortafuego en situaciones en las que la LAN no es utilizable. Una vez que las reglas de acceso adecuadas se ponen en marcha, retire las reglas añadidas por este script.
7.7. Información básica del menú de la consola
99
El libro pfSense, Liberación
enablesshd
Este script permite que el daemon SSH, lo mismo que la opción de menú de la consola o la opción de interfaz gráfica de usuario.
externalcon fi glocator
Este script buscará una config.xml fi l en un dispositivo externo, como una unidad flash USB, y se moverá en su lugar para su uso por el cortafuego.
gatewaystatus
Este script muestra el estado de la pasarela actual y estadísticas. También acepta un parámetro opcional breve que se imprime sólo el nombre de la pasarela y el estado, omitiendo las direcciones y datos estadísticos.
generateguicert
Este script crea un nuevo certi fi cado autofirmado para el cortafuego y lo activa para su uso en la interfaz gráfica de usuario. Esto es útil en los casos en que el anterior certi fi cado es válido o de otro modo no utilizable. También fi LLS en los detalles de certi fi cado utilizando el nombre de host fi cortafuegos y otra información personalizada, para identificar mejor el anfitrión.
gitsync
Esta escritura compleja sincroniza el PHP y otras fuentes de secuencias de comandos con los archivos del repositorio GitHub pfSense. Es más útil en las instantáneas de desarrollo para recoger los cambios de cambios más recientes.
Advertencia: Este script puede ser peligroso para su uso en otras circunstancias. Sólo utilice esta bajo la dirección de un desarrollador o soporte representante bien informado.
Si el script se ejecuta sin ningún parámetro se imprimirá un mensaje de ayuda delineando su uso. Más información se puede encontrar en la pfSense Doc Wiki .
installpkg / listpkg / uninstallpkg
Estos scripts interfaz con el sistema de paquetes pfSense de una manera similar a la interfaz gráfica de usuario. Estos se utilizan principalmente para los problemas del paquete de depuración, la comparación de la información en config.xml en comparación con la base de datos de paquetes.
pfanchordrill
Este script busca de forma recursiva a través PF anclajes e imprime cualquier regla de cortafuego NAT o fi que fi NDS. Esto puede ayudar a localizar a un comportamiento inesperado en áreas tales como la relayd equilibrador de carga que se basan en normas de anclas que no son otra cosa visible en la interfaz gráfica de usuario.
pftabledrill
Este script muestra el contenido de todos PF tablas, que contienen direcciones utilizadas en los alias fi cortafuego, así como las tablas del sistema incorporadas para funciones como el bloqueo de red Bogon, resoplido, y la interfaz gráfica de usuario / bloqueo SSH. Este script es útil para comprobar si un especí fi co dirección IP se encuentra en cualquier mesa, en lugar de buscar de forma individual.
100
Capítulo 7. Con fi guración
El libro pfSense, Liberación
removepkgcon fi g
Esta secuencia de comandos elimina todo rastro de datos de paquete con fi guración de la ejecución config.xml. Esto puede ser útil si un paquete ha corrompido la configuración o ha dejado de otro modo los paquetes en un estado incoherente.
removeshaper
Este script elimina altq tráfico c talladora configuración, que puede ser útil si el conformador con fi guración es la prevención de las reglas de carga o es de otra manera incorrecta y evitando el funcionamiento adecuado del cortafuego.
resetwebgui
Este script se restablece la configuración de la GUI para los widgets, columnas del tablero de instrumentos, el tema y otros ajustes relacionados con la GUI. Se puede devolver la interfaz gráfica de usuario, especialmente el tablero de instrumentos, a un estado estable si no está funcionando correctamente.
restartdhcpd
Este script se detiene y reinicia el proceso de DHCP.
restartipsec
Este script vuelve a escribir y recarga la IPsec con fi guración de strongSwan.
SVC
Este script le da control sobre los servicios que se ejecutan en el cortafuego, similar a la interacción con los servicios en Estado> Servicios.
La forma general del comando es: la reproducción SVC [opciones específicas del servicio]
los acción puede ser detener, iniciar, o reiniciar. los Nombre del Servicio es el nombre de los servicios que se encuentran bajo Estado> Servicios. Si el nombre incluye un espacio, escriba el nombre entre comillas. los opciones de servicio especí fi cos varían en función del servicio, que se utilizan para identificar de forma única servicios con varias instancias, como entradas OpenVPN o portal cautivo. Ejemplos:
• Deja de miniupnpd: pfSsh.php detener la reproducción SVC miniupnpd
• Reiniciar cliente OpenVPN con ID 2: pfSsh.php reproducción SVC cliente openvpn reinicio 2
• Iniciar el proceso de Poral cautivo para la zona “Mi Zona”:
7.7. Información básica del menú de la consola
101
El libro pfSense, Liberación
la reproducción se inicia pfSsh.php svc Mi Zona portal cautivo
Actualización de la consola Esta opción de menú se ejecuta el pfSense-actualización script para actualizar el cortafuego a la última versión disponible. Esta es operativamente idéntica a la ejecución de una actualización de la interfaz gráfica de usuario y requiere una conexión de red de trabajo para alcanzar el servidor de actualizaciones.
Este método de actualización se cubre con más detalle en La actualización mediante la consola .
Activar / Desactivar el Secure Shell (sshd) Esta opción cambia el estado del daemon de shell seguro, sshd. Esta opción funciona igual que la opción de la WebGUI para activar o desactivar SSH, pero se puede acceder desde la consola.
Restaurar reciente con fi guración Esta opción de menú se inicia una secuencia de comandos que enumera y restaura copias de seguridad desde la historia con fi guración. Esto es similar al acceso a la historia con fi guración de la interfaz gráfica de usuario en Diagnóstico> Backup / Restore sobre el Con fi g Historia lengüeta. Este script puede mostrar los últimos pocos con fi guración fi les, junto con una marca de tiempo y la descripción del cambio realizado en la con fi guración, el usuario y la dirección IP que ha realizado el cambio, y la con fi g revisión. Esto es especialmente útil si un error reciente con fi guración accidentalmente eliminado el acceso a la interfaz gráfica de usuario.
Reinicio PHP-FPM Esta opción de menú se detiene y reinicia el proceso que se ocupa de los procesos PHP para nginx. Si el proceso del servidor web interfaz gráfica de usuario está funcionando pero no puede ejecutar scripts PHP, invocar esta opción. Ejecutar esta opción junto con Reinicio WebCon fi gurator para el mejor resultado.
tiempo de sincronización problemas de tiempo y el reloj son relativamente comunes en el hardware, sino en fi rewalls son críticos, especialmente si el cortafuego está llevando a cabo las tareas que implican la validación de los certi fi cados como parte de una infraestructura de PKI.
Correcta sincronización de tiempo es una necesidad absoluta en sistemas embebidos, algunos de los cuales no tienen una batería a bordo para conservar su configuración de fecha y hora cuando se desconecta la alimentación. No sólo va a conseguir todo esto en la línea de ayuda con las tareas críticas del sistema, sino que también asegura que el registro de archivos en el cortafuego son adecuadamente sellos de tiempo, que ayuda con la solución de problemas, mantenimiento de registros, y la dirección general del sistema.
Tiempo de mantenimiento Problemas El hardware puede tener signi fi cativos problemas de tiempo de mantenimiento, aunque este tipo de problemas se aíslan generalmente para el hardware más antiguo, de baja calidad. Todos los relojes de PC a la deriva en cierta medida, pero un poco de hardware pueden desplazarse tanto como un minuto por cada par de minutos que pasan rápidamente y perder la sincronización. NTP está diseñado para actualizar periódicamente la hora del sistema para dar cuenta de la deriva de lo normal. No puede relojes razonablemente correctas que se desplazan de forma significativa. Esto es muy raro, pero hay algunos métodos que potencialmente pueden evitar estos problemas.
102
Capítulo 7. Con fi guración
El libro pfSense, Liberación
La mejor manera de evitar problemas de tiempo de mantenimiento es el uso de hardware de calidad que ha sido probado y no experimenta estos problemas, tales como el hardware que se encuentran en el pfSense tienda . Hay cuatro elementos para comprobar si el hardware tiene fi cativos problemas de mantenimiento de tiempo significantes.
Network Time Protocol Por defecto, pfSense intenta sincronizar su tiempo utilizando el conjunto de servidores ntp.org Network Time Protocol (NTP). Esto asegura una fecha y la hora exacta en el cortafuego, y se adaptará a la deriva del reloj normal. Si la fecha y la hora cortafuego son incorrectos, garantizar la sincronización NTP está funcionando. El problema más común la prevención de la sincronización es la falta de adecuada con fi guración de DNS en el cortafuego. Si el cortafuego no puede resolver nombres de host, la sincronización NTP fallará. Los resultados de la sincronización se muestran en el arranque en el registro del sistema, y el estado de la sincronización del reloj NTP se pueden consultar en Estado> NTP. los NTP Estado Reproductor para el salpicadero también ofrece información básica sobre el servidor NTP seleccionado para su uso por el cortafuego.
Las actualizaciones de BIOS
Hemos visto hardware antiguo que corría definir por años en Windows encontrará con grandes problemas de cronometraje vez redefinir pleados en FreeBSD (y por consecuencia, pfSense). Los sistemas se ejecuta una versión del BIOS varias revisiones fuera de fecha. Una de las revisiones refiere a una cuestión de cronometraje que aparentemente nunca se ve afectada de Windows. La aplicación de la actualización del BIOS fi ja el problema. El primero que fi para comprobar es asegurarse de que el hardware en cuestión tiene el BIOS más reciente disponible.
configuración PNP OS en la BIOS
Otro hardware podría tener tiempo de mantenimiento de di fi cultades en FreeBSD y pfSense menos PNP OS en el BIOS se fijó a
No. Si el BIOS no tiene una PNP OS opción de configuración fi Con, buscar una OS Ajuste y ajuste a Otro.
Desactivar ACPI
Unos pocos proveedores de BIOS han producido ACPI (Advanced con guración fi e interfaz de energía) implementaciones que son, en el mejor cochecito y peligroso en el peor. En más de una ocasión nos hemos encontrado con el hardware que no arranca o no funciona correctamente, mientras que el soporte ACPI está activo.
Mientras que el soporte ACPI se puede desactivar en el BIOS, y en el sistema operativo, no se recomienda el uso de hardware que requiere este tipo de cambios.
Ajuste TimeCounter Hardware Configuración
En los sistemas raros, la kern.timecounter.hardware puede ser necesario cambiar el valor sysctl para corregir un reloj inexacta. Esto es conocido por ser un problema con las versiones anteriores de VMware ESX tales como 5,0 en combinación con una imagen FreeBSD pfSense basado amd64- o. Ese caso especial fue un error en el hipervisor que es fijo en ESX 5.1 y posteriores. En estos sistemas, el timeCounter por defecto con el tiempo se detendrá el reloj de relojería, causando problemas con Cryption es-, VPNs, y servicios en general. En otros sistemas, el reloj puede sesgar por grandes cantidades con el timeCounter mal.
Para cambiar el timeCounter, vaya a Sistema> Opciones avanzadas, sobre el sistema optimizables pestaña y añadir una entrada para definir
kern.timecounter.hardware a i8254 Esto hará que el sistema utilice el chip timeCounter i8254, que normalmente mantiene buen tiempo, pero no puede ser tan rápido como otros métodos. Las otras opciones TimeCounter se explicarán más adelante en esta sección.
7.8. tiempo de sincronización
103
El libro pfSense, Liberación
Si el sistema mantiene la hora después de hacer este cambio, deje la entrada sintonizable en su lugar para hacer este cambio permanente. Si el cambio no ayudó, retire la sintonizable o tratar de otro valor. Dependiendo de la plataforma y el hardware, también puede haber otras timecounters apetitosas. Para una lista de tros timecoun- disponibles se encuentran en un cortafuego, ejecute el siguiente comando:
#
sysctl kern.timecounter.choice
El cortafuego se imprimirá una lista de timecounters disponibles y su “calidad” según lo informado por FreeBSD:
kern.timecounter.choice: TSC-bajo (1000) ACPI-safe (850) i8254 (0) ficticia (-1.000.000)
Pruebe cualquiera de esos cuatro valores para la sysctl kern.timecounter.hardware ajuste. En términos de “calidad” en este listado, cuanto mayor sea el número, mejor, pero la facilidad de uso real varía de un sistema a otro. TSC Un contador en la CPU, pero está ligada a la velocidad de reloj y no puede ser leído por otras CPU. Puede ser usado en sistemas SMP metal desnudo pero requiere que TSCs en todas las CPU estar sincronizados. No se puede utilizar de forma fiable en sistemas con una CPU de velocidad variable o un sistema virtualizado con varias CPU. i8254 Un chip de reloj encontrado en la mayoría del hardware, que tiende a ser seguro, pero puede tener inconvenientes de rendimiento.
ACPI-safe Si está bien soportado por el hardware, esto es una buena elección, ya que no sufre de las limitaciones de rendimiento de i8254, pero en la práctica su precisión y velocidad varían ampliamente dependiendo de la aplicación.
ACPI-rápido Una ejecución más rápida de la timeCounter ACPI disponibles en el hardware que no sufre de problemas de ACPI conocidos.
HPET Alta precisión evento de temporizador disponible en algún hardware. Cuando esté disponible, generalmente es consi-
Ered una buena fuente de conteo de tiempo exacto.
Esto y más información sobre FreeBSD Timecounters se puede encontrar en el documento Timecounters: Ef fi ciente y cronometraje preciso en núcleos SMP por Poul-Henning Kamp del Proyecto FreeBSD, y en el código fuente de FreeBSD.
Ajustar la frecuencia del núcleo del temporizador
En casos raros ajuste de la frecuencia del núcleo, o temporizador kern.hz sintonizable núcleo, puede mejorar el rendimiento o la estabilidad. Esto es especialmente cierto en entornos virtualizados. El valor por defecto es 1000, pero en algunos casos 100, 50, o incluso 10 será un mejor valor en función del sistema. Cuando se instala en pfSense VMware, lo detecta y configura automáticamente este sintonizable a 100, los cuales deben trabajar definen en casi todos los casos con los productos de VMware. Para ajustar esta configuración, añadir una línea a / boot / loader.conf.local con el nuevo valor:
Kern . hz = 100
Sincronización de tiempo GPS Para ayudar en el mantenimiento de un reloj de precisión, sincronización de tiempo de GPS también es proporcionada por pfSense en el hardware compatible. Ciertos dispositivos GPS serie o USB son compatibles, y en combinación con los servidores de tiempo externos, que pueden ayudar a mantener el reloj de precisión. Para más detalles, véase NTPD .
Solución de problemas los Asistente de configuración y tareas relacionadas con fi guración funcionarán para la mayoría de las situaciones, pero puede haber problemas para conseguir conexio- nes a fluir normalmente en sus direcciones previstos. Algunos de estos problemas pueden ser únicos en un entorno particular o con fi guración, pero se puede trabajar a través de la resolución de problemas básicos.
104
Capítulo 7. Con fi guración
El libro pfSense, Liberación
No se puede acceder a internet desde WebGUI Si el WebGUI no es accesible desde la LAN, la primera cosa a comprobar es el cableado. Si el cable es un cable hecho a mano o _shorter_ de 3 pies (un metro), pruebe con otro cable. Si el PC cliente está conectado directamente a un dispositivo de red del cortafuego, un cable cruzado puede ser necesaria en hardware antiguo que no tiene el apoyo Auto-MDIX en sus tarjetas de red. Esta no es una preocupación de gigabit o hardware más rápido.
Una vez que hay una luz de enlace en tanto la tarjeta de red del cliente y la interfaz LAN inalámbrica cortafuegos, compruebe la con fi ración TCP / IP gu- en el PC cliente. Si el servidor DHCP está activado en el cortafuego, ya que es por defecto, asegurarse de que el cliente también está configurado para DHCP. Si DHCP está deshabilitado en el cortafuego, codificar una dirección IP en el cliente que reside en la misma subred que la dirección IP de la LAN inalámbrica cortafuegos, con la misma máscara de subred, y el uso de la dirección IP de la LAN inalámbrica cortafuegos como el servidor de puerta de enlace y DNS.
Si la configuración del cableado y la red es correcta, el cliente podrá hacer ping a la dirección IP LAN del cortafuego. Si el PC cliente puede hacer ping, pero no acceder a la WebGUI, todavía hay unas cuantas cosas para probar. En primer lugar, si el error en el PC cliente es un reset o fallo de conexión, a continuación, ya sea el demonio del servidor que ejecuta el WebGUI no se está ejecutando o el cliente está intentando utilizar el puerto incorrecto. Si el error es en cambio un tiempo de espera de conexión, que apunta más hacia una regla fi cortafuegos. Si el cliente recibe un tiempo de espera de conexión, consulte ¿Qué hacer cuando cerró la puerta de los WebGUI . Con una conexión de red configurada correctamente con fi, esto no debería ocurrir, y que el artículo ofrece formas de solucionar los problemas fi reglas de cortafuegos. a comprobar que la WAN y LAN no están en la misma subred. Si WAN está configurado para DHCP y está enchufado detrás de otro router NAT, sino que también puede ser el uso de 192.168.1.1. Si la misma subred está presente en la WAN y LAN, resultados impredecibles pueden ocurrir, incluso no ser capaz de ruta trá fi co o acceder a la WebGUI. En caso de duda, desconecte el cable WAN, reinicie el cortafuegos fi pfSense, y vuelve a intentarlo.
Si el cliente recibe un restablecimiento de conexión, primero intenta reiniciar proceso del servidor theWebGUI desde la consola del sistema, por lo general la opción 11, seguido por la opción 16 para reiniciar PHP-FPM. Si eso no ayuda, iniciar una cáscara de la consola (opción 8), y el tipo:
#
sockstat | grep nginx
El cortafuego devolverá una lista de todos corriendo nginx procesos y el puerto sobre el que se está escuchando, como este: raíz
nginx
41948 5 tcp4 *: 443
*: *
raíz
nginx
41948 6 tcp6 *: 443
*: *
raíz
nginx
41948 7 tcp4 *: 80
*: *
raíz
nginx
41948 8 tcp6 *: 80
*: *
En esa salida, muestra que el proceso está escuchando en el puerto 443 de cada interfaz en IPv4 e IPv6, así como el puerto 80 para la redirección, pero que puede variar basado en la fi cortafuegos con fi guración.
Intente conectarse a la dirección IP de la LAN inalámbrica cortafuegos mediante el uso de ese puerto directamente, y con HTTP y HTTPS. Por ejem- plo, si la dirección IP de LAN era 192.168.1.1, y se escucha en el puerto 82, tratar http://192.168.1.1:82
y https://192.168.1.1:82.
Sin Internet desde la LAN Si el PC cliente es capaz de llegar a la WebGUI pero no el Internet, hay varias cosas a considerar. La interfaz WAN puede no ser adecuadamente con fi gura, la resolución de DNS puede no estar funcionando, podría haber un problema con las reglas fi cortafuego, las reglas de NAT, o incluso algo tan simple como un problema de puerta de enlace local.
Problemas de interfaz WAN
En primer lugar, comprobar la interfaz WAN para asegurarse de que está en funcionamiento. Vaya a Estado> Interfaces y mirar el PÁLIDO
estado de la interfaz allí. Si la interfaz está funcionando adecuadamente el estado se mostrará como “arriba”. Si se muestra “ninguna compañía” o “abajo”, vuelva a revisar el cableado y la configuración WAN bajo Interfaces> WAN.
7.9. Solución de problemas
105
El libro pfSense, Liberación
Si la interfaz está utilizando PPPoE o PPTP para el tipo de WAN, hay una línea de estado adicional que indica si el PPP conexión está activa. Si se trata de abajo, intente presionar el
Conectar botón. Si eso no funciona, doble Vea toda la
configuración de la interfaz de Interfaces> WAN, comprobar o reiniciar el ISP CPE (módem cable / DSL, etc.), y tal vez consultar con el ISP para obtener ayuda con respecto a la configuración y el estado del circuito.
Resolución de Problemas de DNS
Dentro de la WebGUI, vaya a Diagnóstico> Ping y entrar en la dirección de puerta de enlace ISP. La dirección de la pasarela está en la lista de Estado> Interfaces para la interfaz WAN y bajo Estado> Gateways. Si la puerta de entrada es desconocido, intente otra dirección válida conocida como 8.8.8.8. Si el cortafuego es capaz de hacer ping esa dirección y recibir una respuesta, y luego repetir la misma prueba de ping desde el PC cliente. Abra un símbolo del sistema o en la ventana de terminal y de ping esa misma dirección IP.
Si el cliente puede hacer ping por dirección IP, a continuación, intente hacer ping a un sitio web por su nombre como por ejemplo www.google.com. Inténtelo de la interfaz gráfica de usuario fi cortafuegos y desde el PC cliente. Si la prueba de ping IP funciona, pero el nombre test falla, entonces hay un problema con la resolución de DNS. Ver figura Conectividad de pruebas para Bogon
Actualizaciones para un ejemplo.
Si la resolución de DNS no funciona en el cortafuego, primer cheque que el servicio DNS está habilitado en el cortafuego y cómo es con fi gurado. Por defecto, un cortafuegos fi pfSense es con fi gurado para usar la resolución DNS en un modo que no requiere ningún servidor DNS fi cas. Consulta los servidores raíz y otros servidores autorizados directamente. Antiguas instalaciones e instalaciones mejoradas por defecto a la Forwarder DNS, que requiere servidores DNS que debe inscribirse en Sistema> Configuración general o ser adquirido a partir de una dinámica WAN como DHCP o PPPoE. La resolución DNS también puede operar en este modo si Habilitar el modo de reenvío se activa en su configuración.
Si la resolución DNS está activo pero el cortafuego no puede resolver nombres de host, el problema suele ser la falta de trabajo conectividad WAN. Aparte de eso, una posibilidad es que la WAN o equipos de red aguas arriba no pasa correctamente el tráfico DNS fi co de una manera que sea compatible con DNSSEC. DNSSEC desactivar en las opciones Resolver para ver si se permite la resolución de funcionar. También es posible que la fi ISP filtros de solicitudes de DNS y requiere el uso de servidores DNS c especí fi. En ese caso, con fi gura servidores DNS y luego activar el modo de reenvío o cambiar a la Forwarder DNS. La configuración del servidor DNS fi cortafuegos están bajo Sistema> Configuración general, y también son visibles en Estado> Interfaces.
Consulte con ping para estar seguro de estos servidores DNS son accesibles. Si el cortafuego puede llegar a la dirección de la pasarela en el ISP, pero no los servidores DNS, póngase en contacto con el ISP y comprueba los valores. Si se obtienen los servidores DNS a través de DHCP o PPPoE y el cortafuego no puede llegar a ellos, póngase en contacto con el ISP. Si todo lo demás falla, considere el uso de DNS público de Google (8.8.8.8, 8.8.4.4) servidores de nombres en la fi cortafuegos en lugar de los proporcionados por el ISP.
Si el DNS funciona desde el fi cortafuegos pfSense pero no desde un PC cliente, que podría ser el Resolver DNS o Forwarder con fi guración en el cortafuego, el aire cliente fi guración, o las reglas cortafuego. Fuera de la caja, el Resolver DNS se encarga de las consultas DNS para los clientes detrás del cortafuego. Si el PC cliente son con fi gurada con DHCP, recibirán la dirección IP de la interfaz fi cortafuegos al que están conectados como un servidor DNS, a menos que se cambie manualmente. Por ejemplo, si un PC está en la interfaz LAN y la fi cortafuegos dirección IP LAN es 192.168.1.1, a continuación, el servidor DNS del cliente también debe ser 192.168.1.1. Si la resolución de DNS y DNS Forwarder son discapacitados, ajustar los servidores DNS, que se asignan a los clientes DHCP bajo Servicios> Servidor DHCP. Normalmente, cuando el Resolver DNS y DNS Forwarder están desactivados, los servidores DNS del sistema se asignan directamente a los clientes, pero si ese no es el caso en la práctica de esta configuración, definen en la configuración de DHCP. Si el PC cliente no está con fi gurado para DHCP, asegúrese de que tiene los servidores DNS apropiados establecidos: la dirección IP LAN del cortafuegos fi pfSense o un conjunto alternativo de trabajar servidores DNS internos o externos.
Otra posibilidad para el DNS de trabajo de la fi cortafuegos pfSense pero no un cliente local es una norma demasiado estricta fi cortafuegos de la LAN. Comprobar Registros de Estado> del sistema, sobre el firewall lengüeta. Si las conexiones bloqueadas aparecen en el registro del cliente local tratando de llegar a un servidor DNS, a continuación, añadir una regla fi cortafuegos en la parte superior de la LAN reglas para esa interfaz que permitirá conexiones a los servidores DNS de TCP y UDP Puerto 53.
106
Capítulo 7. Con fi guración
El libro pfSense, Liberación
Client Gateway Edición Para que un pfSense fi cortafuegos para enrutar correctamente el tráfico de Internet fi co para la PC del cliente, que debe ser su puerta de entrada. Si los PC cliente son con fi gurado con el servidor DHCP integrado en pfSense rewalls fi, este se ajustará automáticamente. Sin embargo, si los clientes reciben información de DHCP desde un servidor DHCP alternativo o sus direcciones IP se han introducido manualmente, vuelva a comprobar que su puerta de entrada está ajustado para la dirección IP de la interfaz a la que se conectan en la fi cortafuegos pfSense. Por ejemplo, si los clientes están en la interfaz de pfSense LAN y la dirección IP de la interfaz LAN es 192.168.1.1,
a continuación, la dirección de puerta de enlace en el PC cliente debe establecer en 192.168.1.1.
Problemas de reglas de cortafuegos
Si el valor por defecto “LAN a ninguna” regla ha sido cambiado o eliminado de la interfaz LAN, trá fi co de intentar acceder a Internet desde ordenadores cliente a través del cortafuegos fi pfSense puede ser bloqueado. Esto es fácilmente confirmada por la navegación a Estado
> Registros del sistema y mirando a la firewall lengüeta. Si hay entradas bloqueado ahí que muestran las conexiones de LAN PC que intentan llegar a los servidores de Internet, revisar el conjunto de reglas en LAN Firewall> Reglas, sobre el LAN pestaña para hacer los ajustes necesarios para permitir que el trá fi co. Consultar firewall para obtener información más detallada sobre la edición o creación de reglas adicionales. Si funciona desde el lado de la LAN, pero no de una interfaz OPT, asegúrese de que el cortafuego tiene reglas en su lugar para permitir que el tráfico pase a c. Regla no se crea de forma predeterminada en las interfaces OPT.
Regla NAT Cuestiones
Si las reglas NAT salientes han sido cambiados de los valores predeterminados, trá fi co de intentar acceder a Internet pueden no tener NAT aplica correctamente. Navegar a Firewall> NAT, Saliente lengüeta. En la mayoría de los casos, el ajuste debe estar en generación de reglas NAT saliente automática. Si no es así, cambiar a la configuración, haga clic Salvar y Aplicar cambios, y luego tratar de acceder a Internet desde un PC cliente nuevo. Si eso no ayuda de un PC en la LAN para salir, entonces el problema es probable que en otros lugares.
Si NAT de salida se establece en generación de reglas NAT de salida Manual y las obras de acceso a Internet de LAN, pero no de una interfaz OPT, añaden manualmente reglas que coincide con tra fi co procedente de la interfaz de TPO. Mira las reglas existentes para LAN y ajustar en consecuencia, o se refieren a NAT salientes para obtener más información sobre cómo crear reglas NAT salientes.
Lo mismo se aplica para el trá fi co viene usuarios fromVPN: OpenVPN, IPsec, etc. Si estos usuarios necesitan acceder a Internet a través de este fi cortafuegos pfSense, necesitarán reglas NAT salientes para sus subredes. Ver NAT salientes para más información.
pfSense XML Con fi guración del archivo pfSense rewalls fi almacenar toda su configuración en un formato XML con fi guración fi l. Todos los ajustes con fi guración incluidos los ajustes de paquetes se llevan a cabo en este archivo. Todos los demás con fi guración fi les de los servicios y el comportamiento del sistema se generan dinámicamente en tiempo de ejecución en base a los ajustes conservados dentro del XML con fi guración fi l. Quienes están familiarizados con FreeBSD y sistemas operativos relacionados han encontrado esto de la manera difícil, cuando sus cambios en el sistema con fi guración archivos se sobreescriben en repetidas ocasiones por el cortafuego antes de llegar a entender que pfSense se encarga de todo de forma automática.
La mayoría de la gente nunca va a necesitar saber dónde está la con fi guración fi l reside, pero como referencia se encuentra en /cf/conf/config.xml. Típicamente, / conf / es un enlace simbólico a / cf / conf, por lo que también puede ser accesible directamente desde / conf / config.xml, pero esto varía según la plataforma y el diseño fi sistema de ficheros.
7.10. pfSense XML Con fi guración del archivo
107
El libro pfSense, Liberación
Edición manual de la con fi guración Unas pocas opciones con fi guración sólo están disponibles mediante la edición manual de la con fi guración fi l, aunque esto no es necesario en la gran mayoría de las implementaciones. Algunas de estas opciones se tratan en otras partes de este libro.
Advertencia: Incluso para los administradores experimentados todavía es fácil de editar incorrectamente la con fi guración fi l. Siempre mantenga copias de seguridad y ser conscientes de que romper la con fi guración dará lugar a consecuencias no deseadas.
El método más seguro y más fácil de editar la con fi guración fi l es hacer una copia de seguridad de Diagnóstico> Backup / Restore, guardar el expediente a un PC, edite el expediente y realizar los cambios necesarios, a continuación, restaurar la alterado con fi g- URACIÓN fi l para el cortafuego. Utilice un editor que entiende correctamente los finales de línea de UNIX, y preferiblemente un editor que tiene un manejo especial para XML como resaltado de sintaxis. No utilice notepad.exe en Windows. Para los administradores familiarizados con el vi redactor, el viconfig comando editar el funcionamiento con fi guración en vivo, y después de guardar y salir del editor, el cortafuego eliminará la con fi guración de caché / tmp / config.cache
y luego los cambios serán visibles en la interfaz gráfica de usuario. Los cambios no estarán activos hasta que la próxima vez que el servicio correspondiente a la parte editada de la con fi g se reinicia / Reloaded.
¿Qué hacer cuando cerró la puerta de los WebGUI Bajo ciertas circunstancias, un administrador puede ser bloqueado fuera de la WebGUI. No tenga miedo si esto sucede; hay una serie de maneras de recuperar el control. Algunos métodos son un poco complicado, pero es casi siempre posible recuperar el acceso. Los peores escenarios requieren acceso físico, ya que cualquiera con acceso físico puede pasar por alto las medidas de seguridad. Advertencia: Deje que las tácticas de esta sección sea una lección. La seguridad física de un cortafuego es crítica, especialmente en ambientes donde el cortafuego se encuentra físicamente en un área común accesible a personas que no sean administradores autorizados.
Antes de tomar cualquiera de estos pasos, intente las credenciales predeterminadas: Nombre de usuario administración
Contraseña pfSense
Contraseña olvidada La contraseña de administrador fi cortafuegos se puede restablecer fácilmente utilizando la consola fi cortafuegos si se ha perdido. Acceder a la consola física (de serie o teclado / monitor) y la opción de utilizar 3 para restablecer la contraseña WebGUI. Esta opción también puede restablecer la cuenta de administrador si se ha desactivado o expirado. Después de restablecer la contraseña, el administración el usuario puede iniciar sesión con la contraseña por defecto pfSense.
Contraseña olvidada con una consola Bloqueado Si la consola está protegida por contraseña, no todo está perdido. Se necesitan dos reinicios de lograr, pero la contraseña se puede restablecer con acceso físico a la consola:
• Reiniciar el cortafuegos fi pfSense • Elegir el Bota de usuario único opción ( 2) desde el menú del gestor (el que tiene el logotipo de pfSense ASCII) • prensa entrar cuando se le solicite para iniciar / bin / sh •
108
Volver a montar todas las particiones como regrabable:
Capítulo 7. Con fi guración
El libro pfSense, Liberación
#
•
Ejecute el comando integrado de restablecimiento de contraseña:
#
•
/ Sbin / mount -a -t UFS
/etc/rc.initial.password
Siga las instrucciones para restablecer la contraseña
• Reiniciar Cuando el cortafuego se reinicia, el administración el usuario puede iniciar sesión con la contraseña por defecto pfSense.
HTTP vs Confusión HTTPS Asegúrese de que el cliente se conecta con el protocolo adecuado, HTTP o HTTPS. Si uno no funciona, intente con el otro. Si la interfaz gráfica de usuario no ha sido con fi gurado correctamente, el cortafuego puede estar ejecutando el GUI en una inesperada combinación de puerto y protocolo, tales como:
• http: // pfsensebox: 443 • https: // pfsensebox: 80 Para restablecer esto desde la consola, restablezca la dirección IP de la interfaz LAN, introduzca la misma dirección IP, y el guión pedirá para restablecer el WebGUI volver a HTTP.
El acceso bloqueado con las reglas del cortafuegos
Si un administrador remoto pierde el acceso a la WebGUI debido a un cambio en las reglas fi cortafuegos, a continuación, el acceso todavía puede ser obtenida del lado de la LAN. Las normas de LAN no pueden impedir el acceso a la interfaz gráfica de usuario a menos que la regla anti-bloqueo se desactiva. La regla anti-bloqueo asegura que los hosts en la LAN son capaces de acceder a la WebGUI en todo momento, independientemente de las otras reglas en el bloque de interfaz LAN.
Tener que caminar a alguien en el lugar a través de fi jar la regla de la LAN es mejor que perder todo o tener que hacer un viaje a la ubicación fi cortafuegos!
Remotamente Circumvent Firewall de bloqueo con las Reglas Hay fewways para manipular el comportamiento cortafuego en el shell para recuperar el acceso a la interfaz gráfica de usuario fi cortafuegos. Las siguientes tácticas se enumeran en el orden de lo fácil que es y cuánto impacto que tienen en el sistema en funcionamiento.
Añadir una regla con EasyRule La forma más fácil, asumiendo el administrador conoce la dirección IP de un PC cliente remoto que necesita acceso, es el uso de la
easyrule shell script para añadir una nueva regla de cortafuegos fi. En el siguiente ejemplo, el easyrule guión permitirá el acceso a la interfaz WAN, desde xxxx ( la dirección IP del cliente) a aaaa ( presumiblemente, la dirección IP WAN) en el puerto TCP 443:
#
pase easyrule wan tcp xxxx aaaa 443
Una vez el easyrule script agrega la regla, el cliente podrá acceder a la interfaz gráfica de usuario de la dirección de origen fi cado.
7.11. ¿Qué hacer cuando cerró la puerta de los WebGUI
109
El libro pfSense, Liberación
Agregar una regla de permitir que todos WAN de la concha
Otra táctica es activar temporalmente un “permitir todo” regla de la WAN para permitir que un cliente en.
Advertencia: Una regla de estilo “permitir todo” es peligroso tener en una interfaz WAN conectado a Internet. No olvide quitar la regla añadida por este script
Para añadir una regla de “permitir todo” a la interfaz WAN, ejecute el siguiente comando en el intérprete de comandos:
#
pfSsh.php reproducción enableallowallwan
Una vez que el administrador de acceso y recupera fi xes la emisión original evitando que lleguen a la interfaz gráfica de usuario, eliminar el “Permitir todo dominio” en la WAN.
Desactivar el cortafuegos
Un administrador puede (muy temporalmente) desactivar reglas fi cortafuego utilizando la consola física o SSH. Advertencia: Esto desactiva completamente PF que deshabilita reglas cortafuego y NAT. Si la red a cargo de esta fi cortafuegos NAT depende de funcionar, lo que la mayoría, a continuación, ejecutar este comando interrumpirá la conectividad de la red local a Internet.
Para desactivar el cortafuego, conectarse a la consola o ssh física y la opción de uso 8 para iniciar una concha, y escriba:
#
pfctl -d
Este comando desactivará el cortafuego, incluyendo todas las funciones de NAT. El acceso a la WebGUI es ahora posible desde cualquier lugar, por lo menos por fewminutes o hasta que un proceso en el fi cortafuegos hace que el conjunto de reglas que volver a cargar (que es casi todas las páginas guardar o Aplicar cambios acción). Una vez que el administrador ha ajustado las reglas y recuperó el acceso necesario, girar el cortafuego de nuevo escribiendo:
#
pfctl -e
Manual de conjuntos de reglas de edición
El conjunto de reglas cargado se retiene en / tmp / rules.debug. Si el administrador está familiarizado con la sintaxis PF conjunto de reglas, que pueden editar que fi l fi a veces el problema de conectividad y volver a cargar esas reglas:
#
pfctl -f /tmp/rules.debug
Después de volver a meterse en la WebGUI con ese temporal fi x, el administrador debe realizar cualquier trabajo es re quired en el WebGUI para hacer la fi x permanente. Cuando las reglas se guardan en la WebGUI, la edición temporal para
/tmp/rules.debug será sobrescrito.
Remotamente Circumvent Firewall de bloqueo y de túnel SSH Si el acceso remoto a la WebGUI es bloqueado por el cortafuego, pero se permite el acceso SSH, entonces no es una forma relativamente fácil de conseguir en: túnel SSH.
Si el WebGUI es en el puerto 80, configurar el cliente SSH para redirigir el puerto local 443 ( o 4443, u otro puerto) a puerto remoto localhost: 443. Si el WebGUI fi cortafuegos está en otro puerto, usar eso como el objetivo en su lugar. A continuación, señalar que el navegador https: // localhost. Añadir el puerto hasta el final de la URL si es diferente de la predeterminada 443, por ejemplo, https: // localhost: 4443. Si la interfaz gráfica de usuario está utilizando HTTP, cambie el protocolo de la URL para http: //.
110
Capítulo 7. Con fi guración
El libro pfSense, Liberación
Fig. 7.16: Configuración de un túnel del puerto 80 en la masilla SSH
7.11. ¿Qué hacer cuando cerró la puerta de los WebGUI
111
El libro pfSense, Liberación
Llenar las opciones como se muestra en la figura Configuración de un túnel del puerto 80 en la masilla SSH , a continuación, haga clic Añadir.
Una vez que el cliente se conecta y se autentica, WebGUI es accesible desde el puerto local redirigida.
Bloqueó debido a Calamar Con fi guración de error Si un administrador fi cortafuegos accidentalmente estafadores figuras Squid para utilizar el mismo puerto que el WebGUI, puede causar una condición de carrera para el control del puerto, dependiendo del servicio (re) comienza en un momento determinado. Si calamar logra hacerse con el control del puerto que WebGUI quiere, entonces el WebGUI no será accesible a fi jar la con fi guración. El siguiente procedimiento puede ayudar a recuperar el control.
• Conectarse a la consola pfSense fi cortafuegos con SSH o el acceso físico •
Iniciar una concha, la opción 8 desde la consola.
• Terminar el proceso de calamar: #
parada /usr/local/etc/rc.d/squid.sh
Si eso no funciona, pruebe este comando: #
killall -9 calamar
o: #
apagado -k calamar
Una vez que el proceso de calamar está totalmente terminada, la opción de menú de la consola utilizar 11 para reiniciar el proceso WebGUI, y luego intentar acceder a la WebGUI de nuevo.
Nota: Trabajar de forma rápida o repetir el comando de apagado, como el calamar puede reiniciarse automáticamente por sus guiones Toring moni- internos en función del método utilizado para detener el proceso.
La mayoría pfSense con fi guración se realiza utilizando el fi gurator interfaz gráfica de usuario basada en web con (WebCon fi gurator), o WebGUI para abreviar. Hay algunas tareas que también se pueden realizar desde la consola, ya sea un monitor y un teclado, más de un puerto serie, o a través de SSH.
Conexión a la WebGUI Con el fin de llegar a la WebGUI, conectar con un navegador web desde un ordenador conectado a la LAN. Este ordenador puede estar conectado directamente con un cable de red o conectado al mismo conmutador como la interfaz LAN del cortafuego. Por defecto, la dirección IP de la LAN de un nuevo sistema de pfSense es 192.168.1.1 con un / 24 máscara ( 255.255.255.0), y también hay un servidor DHCP en funcionamiento. Si el equipo está configurado para utilizar DHCP, debe obtener una dirección en la subred LAN de forma automática. A continuación, abra un navegador y vaya a https://192.168.1.1 .
Advertencia: Si la subred LAN por defecto conflictos con la subred de la WAN, la subred LAN debe ser cambiado antes de conectarlo al resto de la red.
La dirección IP de la LAN puede ser cambiado y DHCP puede ser desactivada mediante la consola:
• Abra la consola (VGA, serial, o el uso de SSH de otra interfaz) • la opción 2 en el menú de la consola elegir • Introduzca la nueva dirección IP de la LAN, máscara de subred, y especificar si se activa o no DHCP.
112
Capítulo 7. Con fi guración
El libro pfSense, Liberación
• Introduzca la dirección de inicio y el final de la piscina DHCP si DHCP está activado. Esto puede ser cualquier intervalo dentro de la subred determinada.
Nota: Al asignar una nueva dirección IP LAN, no puede estar en la misma subred que el WAN o cualquier otra interfaz activa. Si hay otros dispositivos que ya están presentes en la subred LAN, sino que también no se puede ajustar a la misma dirección IP como un host existente.
Si el servidor DHCP está desactivado, los equipos cliente de la LAN debe tener una dirección IP en la subred LAN pfSense estáticamente con fi gura, tales como 192.168.1.5, con una máscara de subred que coincide con la dada a pfSense, tales como
255.255.255.0. Una vez que el ordenador está conectado a la misma LAN que pfSense, navegar hacia la dirección IP de la LAN inalámbrica cortafuegos. La interfaz gráfica de usuario escucha en HTTPS por defecto, pero si el navegador intenta conectarse a través de HTTP, se redirigir el fi cortafuegos al puerto HTTPS en lugar. Para acceder a la interfaz gráfica de usuario directamente sin la redirección, el uso https://192.168.1.1 . Al cargar el WebGUI, la fi cortafuegos primera presenta una página de acceso. En esta página, introduzca las credenciales predeterminadas: nombre de usuario administración
contraseña pfSense
7.12. Conexión a la WebGUI
113
El libro pfSense, Liberación
114
Capítulo 7. Con fi guración
CAPÍTULO
OCHO
Tipos de interfaces y CONFIGURACIÓN
Grupos de interfaz A diferencia de las otras interfaces en este capítulo, una Interface Group no es un tipo de interfaz que se puede asignar. grupos de interfaces se utilizan para aplicar cortafuego o reglas NAT a un conjunto de interfaces en una pestaña común. Si este concepto es desconocida, considerar cómo las reglas fi cortafuego para OpenVPN, el servidor PPPoE, o el trabajo del servidor L2TP. Existen múltiples interfaces en el sistema operativo subyacente, pero las reglas para todos ellos son gestionados en una única ficha para cada tipo. Si muchas interfaces de una función similar están presentes en el cortafuego que necesitan reglas prácticamente idénticos, un grupo interfaz puede ser creado para añadir reglas a todas las interfaces al mismo tiempo. Interfaces todavía pueden tener sus propias reglas individuales, que se procesan después de que las reglas del grupo. Para crear un grupo de interfaces:
• Navegar a Interfaces> (asignar), Grupos de interfaz lengüeta
•
Hacer clic
Añadir para crear un nuevo grupo
• Entrar a Nombre del grupo. Este nombre puede contener sólo letras mayúsculas y minúsculas, no hay números, espacios o caracteres especiales
• Entrar a Descripción del Grupo ( Opcional) • Añadir como interfaces Miembros del grupo ctrl-clic para seleccionar las entradas de la lista de interfaces •
Hacer clic Salvar
grupos de interfaz tienen cada uno una pestaña debajo Cortafuegos> Reglas para gestionar sus reglas. Figura Grupo interfaz Tab reglas del cortafuegos Muestra la pestaña regla fi cortafuegos para el grupo de fi nido en la fi gura Agregar grupo Interfaz Ver también: Con fi gurar reglas de cortafuego para obtener información sobre la gestión de reglas fi cortafuego.
Grupo de reglas de procesamiento de pedidos
El orden de procesamiento de reglas para las reglas de usuario es:
• flotante reglas •
las reglas del grupo Interfaz
•
Normas sobre la interfaz directamente
Por ejemplo, si una regla en la ficha grupo coincide con una conexión, no serán consultadas las reglas de la ficha interfaz. Del mismo modo, si una regla flotante con Rápido conjunto combinado de una conexión, no serán consultadas las reglas del grupo interfaz.
115
El libro pfSense, Liberación
Fig. 8.1: Agregar grupo Interfaz
Fig. 8.2: Interfaz Grupo Firewall Reglas Tab
116
Capítulo 8. Tipos de interfaz y con fi guración
El libro pfSense, Liberación
El orden de procesamiento evita una combinación de reglas que de otro modo podría ser una buena fi cio. Por ejemplo, si una regla de bloqueo en general está presente en el grupo, no puede ser anulado por una regla en una interfaz específica. Lo mismo con una regla de pase, una norma de interfaz fi co no puede bloquear el tráfico c transmite una regla ficha de grupo.
Utilizar con interfaces WAN No recomendamos el uso de grupos de interfaces con múltiples redes WAN. Si lo hace, puede parecer conveniente, pero las reglas del grupo no reciben el mismo tratamiento que las reglas actuales de la ficha WAN. Por ejemplo, las normas sobre una pestaña para una interfaz de tipo WAN (puerta de enlace seleccionado en la interfaz con fi guración) recibirá responder a que permite PF para volver trá fi co hacia atrás a través de la interfaz desde la que entró. normas ficha de grupo no reciben responder a lo que efectivamente significa que el grupo gobierna única función como se esperaba en la WAN con la entrada de defecto.
Inalámbrico los Inalámbrico lengüeta debajo Interfaces> (asignar) es para la creación y gestión de interfaces adicionales punto de acceso virtual (VAP). El uso de los VAP permite que múltiples redes con SSID inalámbrico único que se funcionan con una sola tarjeta, si esa función es compatible con el hardware y el controlador está en uso. Un VAP se crea en el Inalámbrico ficha, a continuación, asigna en el asignación de las interfaces lengüeta. En profundidad información sobre esta característica se puede encontrar en Inalámbrico .
VLAN VLAN etiquetada las interfaces, o interfaces de etiquetado 802.1Q, se encuentran en el VLAN lengüeta debajo Interfaces> (asignar). instancias de VLAN permiten que el sistema para hacer frente a tráfico c etiquetados por un 802.1Q interruptor capaz por separado como si cada etiqueta eran su propia interfaz distinta. Una VLAN se crea en esta ficha, a continuación, asigna en el asignación de las interfaces lengüeta. En profundidad información sobre esta característica se puede encontrar en LAN virtuales (VLAN) .
QinQs La pestaña QinQs bajo Interfaces> (asignar) permite la creación de una interfaz compatible 802.1ad que también se conoce como VLAN apiladas. Esta característica permite que múltiples etiquetas VLAN a estar contenidos en un único paquete. Esto puede ayudar en la realización de VLAN-etiquetados tráfico c para otras redes a través de una red intermedia usando una etiqueta diferente o superpuestos. En profundidad información sobre esta característica se puede encontrar en pfSense QinQ Con fi guración .
puentes Puentes de interfaz, o múltiples interfaces atados juntos en un dominio de difusión común compartida capa 2, se crean y administran en el puentes lengüeta debajo Interfaces> (asignar). Más información sobre el cierre, incluyendo la forma de crear y administrar los puentes, se encuentra en Bridging .
OpenVPN Después de que se crea una instancia de OpenVPN, puede ser asignado bajo Interfaces> (asignar). Asignación de una interfaz OpenVPN permite reglas de interfaz-específico, y permite que el interfaz que se utiliza en otras partes de la interfaz gráfica de usuario que requiere una interfaz asignada. Esto también provoca la creación de una puerta de enlace dinámico. Esta puerta de enlace puede ser utilizado para el encaminamiento de política, o en un grupo de puerta de entrada para Multi-WAN. Ver Asignación de OpenVPN Interfaces para más información.
8.2. Inalámbrico
117
El libro pfSense, Liberación
PPP Hay cuatro tipos de interfaces PPP: •
Llanura PPP para 3G / 4G y dispositivos de módem
• PPPoE para DSL o conexiones similares • PPTP y L2TP para los ISP que les exigen para la autenticación. En la mayoría de los casos éstos se gestionan desde los parámetros de la interfaz directa, pero también pueden ser editados bajo Interfaces> (asignar) sobre el PPP lengüeta.
Multi-Link PPP (MLPPP) Edición de una instancia PPP también permite Multi-Link PPP (MLPPP) con fi gurado para los proveedores compatibles. bonos MLPPP múltiples enlaces PPP en un solo canal agregado más grande. A diferencia de otras técnicas multi-WAN, con MLPPP es posible utilizar el ancho de banda completo de todos los eslabones de una sola conexión, y las preocupaciones habituales sobre el equilibrio de carga y conmutación por error no se aplican. El enlace MLPPP se presenta como una interfaz con una dirección IP, y si un enlace falla, las funciones de conexión lo mismo pero con capacidad reducida. Para obtener más información sobre MLPPP, véase Las conexiones WAN múltiples .
PPP (Point-to-Point Protocol) Tipos de interfaces Añadir o editar una entrada de PPP de la siguiente manera:
• Navegar a Interfaces> (asignar) sobre el PPP lengüeta
•
Hacer clic
para editar una entrada existente o
añadir una nueva entrada
• Establecer el tipo de enlace, que cambia las opciones restantes de la página. Los tipos de enlace se explican a lo largo del resto de esta sección.
PPP (3G / 4G, Modem) los PPP Tipo de enlace se utiliza para hablar con un módem a través de un dispositivo serie. Esto puede ser cualquier cosa de una red 3G / 4G USB dongle para acceder a una red celular a un módem de hardware de edad para el acceso telefónico. Al seleccionar la PPP Tipo de enlace, el Link Interface (s) lista se rellena con dispositivos de serie que pueden utilizarse para comunicarse con un módem. Haga clic en una entrada específico para seleccionarlo para su uso. Después de seleccionar la interfaz, introducir opcionalmente un Descripción para la entrada PPP.
Nota: El dispositivo en serie para un módem no se detecta automáticamente. Algunos módems presentan como varios dispositivos, y el subdispositivo para la línea PPP pueden ser cualquiera de las opciones disponibles, pero comenzar con el último dispositivo, vuelva a intentar la primera, y luego otros en entre si ninguno de los función.
Cuando con fi gurar una red 3G / 4G, el Proveedor de servicio Opciones pre-llenar otros campos relevantes en la página.
• Seleccione un País, como Estados Unidos, para activar el Proveedor desplegable con los proveedores de celulares conocidos en ese país
• Seleccione un Proveedor de la lista, como T-Mobile, para activar el Plan desplegable. • Seleccione un Plan y los campos restantes serán llenada con valores conocidos para ese Proveedor y Plan
118
Capítulo 8. Tipos de interfaz y con fi guración
El libro pfSense, Liberación
los Proveedor de servicio opciones pueden ser con fi gurar manualmente si se necesitan otros valores, o cuando se utiliza un proveedor que no está en la lista:
Nombre de usuario y contraseña Las credenciales utilizadas para el inicio de sesión PPP.
Número de teléfono El número a marcar en el ISP para obtener acceso. Para 3G / 4G esto tiende a ser un número tal como 99 # o # 777, y de acceso telefónico esto es por lo general un número de teléfono de telefonía tradicional. Nombre de punto de acceso (APN) Este campo es requerido por algunos proveedores de Internet para identificar el servicio al que el cliente
conecta. Algunos proveedores utilizan esto para distinguir entre los planes de consumo y de negocios, o redes heredadas.
Número de APN ajuste opcional. Por defecto es 1 si el APN está establecido, y se ignoran cuando APN no está definido.
PIN de la SIM Código de seguridad de la tarjeta SIM para evitar el uso no autorizado de la tarjeta. No escriba nada aquí
Si la tarjeta SIM no tiene un PIN. SIM PINWait Número de segundos de espera para SIM para descubrir la red después de que el PIN se envía a la tarjeta SIM. Si el retraso no es lo suficientemente largo, la SIMmay no tiene tiempo para inicializar correctamente después de desbloquear.
cadena de inicialización La cadena de inicialización del módem, si es necesario. No incluye A al comienzo de la mando. La mayoría de los módems modernos no requieren una cadena de inicialización personalizado. El tiempo de conexión expiro Tiempo de espera para un intento de conexión para tener éxito, en cuestión de segundos. Por defecto es 45 sec
onds. el tiempo de actividad de registro Cuando se activa, el tiempo de funcionamiento de la conexión se realiza un seguimiento y se muestra en Estado>
Interfaces.
PPPoE (Point-to-Point Protocol over Ethernet) PPPoE es un método popular de la autenticación y el acceso a una red ISP, encuentra más comúnmente en las redes DSL.
Para con fi gurar un enlace PPPoE, comenzar por establecer Tipo de enlace a PPPoE y completar el resto de la configuración de la siguiente manera:
Link Interface (s) Las interfaces de la lista de redes que pueden ser utilizados para PPPoE. Estos son típicamente física las interfaces, pero también puede trabajar sobre algunos otros tipos de interfaces, tales como VLAN. Seleccione uno para PPPoE normal o múltiple para MLPPP.
Descripción Una descripción de texto opcional de la entrada PPP
Nombre de usuario y contraseña Las credenciales para este circuito PPPoE.
Estos serán proporcionados por
el ISP, y el nombre de usuario es típicamente en la forma de una dirección de correo electrónico, tales como
[email protected]. Nombre del Servicio Se deja en blanco para la mayoría de los ISP, algunos requieren que esto se establece en un valor específico. Póngase en contacto con el ISP
para confirmar el valor si la conexión no funciona cuando se deja en blanco. Con fi gura Nombre del servicio NULL Algunos ISP requieren NULO ser enviado en lugar de un nombre de servicio en blanco. Marque esta opción cuando el ISP considera que este comportamiento es necesario.
Restablecer periódica Con fi guras un tiempo preestablecido cuando la conexión se cayó y se reinicia. Esto es rara vez es necesaria, pero en ciertos casos puede manejar mejor las reconexiones cuando un ISP ha forzado reconexiones diarias o comportamiento peculiar similar.
PPTP (Point-to-Point Tunneling Protocol) No debe confundirse con una VPN PPTP, este tipo de interfaz PPTP está destinado a conectarse a un ISP y autenticar, lo mismo que funciona PPPoE. Las opciones para una WAN PPTP son idénticas a las opciones PPPoE del mismo nombre. Consulte la sección anterior para obtener información con fi guración.
8.7. PPP
119
El libro pfSense, Liberación
L2TP (Layer 2 Tunneling Protocol) L2TP, ya que es con fi gurado aquí, se utiliza para la conexión a un ISP que lo requiere para la autenticación como un tipo de red WAN. L2TP funciona de forma idéntica a PPTP. Consulte las secciones anteriores para obtener información con fi guración.
Opciones avanzadas de PPP Todos los tipos de APP tienen varias opciones avanzadas en común que puede ser editado en sus entradas aquí. En la mayoría de los casos éstos
configuración no es necesario modificar. Para mostrar estas opciones, haga clic
Mostrar avanzada.
Marque cuando lo desee El comportamiento por defecto de un enlace PPP es conectar de inmediato y lo hará de inmediato intentará volver a conectarse cuando se pierde un enlace. Este comportamiento se describe como Siempre. Marque cuando lo desee
retrasará este intento de conexión. Cuando se establece, el cortafuego esperará hasta que un paquete intenta salir de la interfaz a través de este, y luego se conectará. Una vez conectado, no se desconectará automáticamente. Tiempo de inactividad Una conexión PPP se llevará a cabo abierto inde fi nidamente por defecto. Un valor en Tiempo de inactividad,
especificados en segundos, hará que el cortafuego para supervisar la línea para la actividad. Si no hay trá fi co en el enlace para la cantidad de tiempo determinado, se desconectará el enlace. Si Marque cuando lo desee También se ha establecido, el cortafuego volverá a marcar bajo demanda modo.
Nota: pfSense llevará a cabo la vigilancia de puerta de enlace por defecto que generará dos pings ICMP por segundo en la interfaz. Tiempo de inactividad no funcionará en este caso. Esto se puede evitar mediante la edición de la puerta de entrada para este enlace PPP, y la comprobación Desactivar la puerta de enlace de Seguimiento.
Compresión (vjcomp) Esta opción controla si o no la compresión de cabeceras Van Jacobson TCP ser usado. Por defecto se negociará con los pares durante el registro, por lo que si ambas partes admiten la función se va a utilizar. Comprobación Desactivar vjcomp hará que la función para siempre estar desactivado. normal- mente esta característica es beneficiosa, ya que ahorra varios bytes por paquete de datos TCP. La opción casi siempre debe permanecer habilitado. Esta compresión es ineficaz para las conexiones TCP con extensiones modernas habilitados como de fecha y hora o un saco, que modifican las opciones de TCP entre paquetes secuenciales.
TCP MSS Fix La opción tcpmss fi x hace que el demonio PPP para ajustar entrante y saliente TCP SYN segmentos de manera que el tamaño de segmento máximo solicitado (MSS) no es mayor que la cantidad permitida por la interfaz de MTU. Esto es necesario en la mayoría de los casos para evitar problemas causados por los routers que la caída de los mensajes ICMP de datagramas de “demasiado grande”. Sin estos mensajes, la máquina de origen envía datos, pasa el router pícaro continuación, golpea una máquina que tiene una MTU que no es lo suficientemente grande para los datos. Debido a que la IP “no fragmentar” opción está activada, esta máquina envía un mensaje ICMP “de Datagrama demasiado grande” de nuevo al autor y descarta el paquete. El router pícaro descarta el mensaje ICMP y el autor nunca llega a descubrir que se debe reducir el tamaño de los fragmentos o dejar caer el PI opción de sus datos salientes No fragmentar. Si este comportamiento no es deseable, comprobar Desactivar tcpmss fi x.
Nota: Los valores de MTU y del SMS para la interfaz también se pueden ajustar en la página ración gu- con fi de la interfaz bajo la Interfaces menú, como Interfaces> WAN.
Secuencia corta (ShortSeq) Esta opción sólo tiene sentido si se negocia MLPPP. Se proscribe más corto multibrazo cabeceras de fragmentos, el ahorro de dos bytes en cada cuadro. No es necesario deshabilitar esto para conexiones que no son multi-link. Si MLPPP está activa y esta función debe ser desactivada, compruebe shortseq Desactivar.
Dirección de control de compresión Field (AFCComp) Esta opción sólo se aplica a tipos de enlaces asíncronos. Se ahorra dos bytes por trama. Para desactivar esto, compruebe Desactivar ACF compresión.
120
Capítulo 8. Tipos de interfaz y con fi guración
El libro pfSense, Liberación
Compresión de Campo del Protocolo (ProtoComp) Esta opción guarda un byte por cuadro para la mayoría de los marcos. A desactivar esto, compruebe Desactivar Protocolo de Compresión.
GRE (Generic Routing Encapsulation) Generic Routing Encapsulation (GRE) es un método de construcción de túneles tráfico c entre dos routers sin cifrado. Se puede utilizar para enrutar paquetes entre dos lugares que no están conectados directamente, que no requieren cifrado. También se puede combinar con un método de cifrado que no realiza su propio túnel. IPsec en transporte modo se puede utilizar para GRE túnel encriptado tráfico c de una manera que permite el encaminamiento tradicional o el uso de los protocolos de enrutamiento. El protocolo GRE fue diseñado originalmente por Cisco, y es el modo de túnel por defecto en muchos de sus dispositivos. Para crear o administrar una interfaz GRE:
• Navegar a Interfaces> (asignar), GRE lengüeta
•
Hacer clic
•
Completar la configuración de la siguiente manera:
Añadir para crear una nueva instancia de GRE, o haga clic
para editar una interfaz existente.
interfaz de padres La interfaz sobre la cual terminará el túnel GRE. A menudo, esto será WAN o una conexión de tipo WAN.
GRE dirección remota La dirección del par remoto. Esta es la dirección donde los paquetes GRE será enviada por este fi cortafuegos; La dirección externa enrutable en el otro extremo del túnel.
túnel GRE dirección local La dirección interna para el final del túnel en este fi cortafuegos. La re fi pared utilizará esta dirección para su propio tráfico c en el túnel, y tunelizado tráfico remoto fi c sería enviado a esta dirección por el par remoto.
dirección remota túnel GRE La dirección utilizada por el cortafuego interior del túnel para llegar a la otra fin. Traf fi c destinada para el otro extremo del túnel debe utilizar esta dirección como una puerta de enlace para fines de enrutamiento.
GRE túnel de subred La máscara de subred de la dirección de la interfaz GRE.
Descripción Una breve descripción de este túnel GRE para fines de documentación.
•
Hacer clic Salvar
GIF (interfaz de túnel Generic) Un túnel Generic Interface (GIF) es similar a GRE; Ambos protocolos son un medio para el tráfico túnel fi c entre dos anfitriones sin cifrado. Además de un túnel IPv4 o IPv6 directamente, GIF se puede usar para IPv6 túnel a través de redes IPv4 y viceversa. túneles GIF se utilizan comúnmente para obtener conectividad IPv6 a los corredores de túnel, tales como Hurricane Electric y SixXS en lugares donde la conectividad IPv6 no está disponible.
Ver también:
Ver Conexión con un túnel de Service Broker para obtener información sobre la conexión a un servicio tunnelbroker. interfaces de GIF llevan más información a través del túnel que se puede hacer con GRE, pero GIF no se admite la forma más amplia. Por ejemplo, un túnel GIF es capaz de capa de puenteo 2 entre dos regiones, en tanto GRE no puede. Para crear o administrar una interfaz GIF:
• Navegar a Interfaces> (asignar), GIF lengüeta
8.8. GRE (Generic Routing Encapsulation)
121
El libro pfSense, Liberación
•
Hacer clic
•
Completar la configuración de la siguiente manera:
Añadir para crear una nueva instancia GIF, o haga clic
para editar una interfaz existente.
interfaz de padres La interfaz sobre la cual terminará el túnel GIF. A menudo, esto será WAN o una conexión de tipo WAN.
GIF dirección remota La dirección del par remoto. Esta es la dirección donde los paquetes GIF será enviada por este fi cortafuegos; La dirección externa enrutable en el otro extremo del túnel. Por ejemplo, en un túnel IPv6-en-IPv4 a Hurricane Electric, este sería el dirección IPv4 del servidor de túnel, tales como 209.51.181.2.
túnel GIF dirección local La dirección interna para el final del túnel en este fi cortafuegos. El cortafuego utilizará esta dirección para su propio trá fi co en el túnel y túnel tráfico remoto fi co serían enviados a esta dirección por el par remoto. Por ejemplo, cuando un túnel IPv6-en-IPv4 a través de Hurricane Electric, se refieren a esto como el Dirección IPv6 cliente. dirección remota túnel GIF La dirección utilizada por el cortafuego interior del túnel para llegar a la otra
fin. Traf fi c destinada para el otro extremo del túnel debe utilizar esta dirección como una puerta de enlace para fines de enrutamiento. Por ejemplo, cuando un túnel IPv6-en-IPv4 a través de Hurricane Electric, se refieren a esto como el Dirección IPv6 del servidor. GIF túnel de subred La máscara de subred o pre longitud fi x para la dirección de interfaz. En este ejemplo,
sería 64. El almacenamiento en caché de rutas La opción de almacenamiento en caché de la ruta activa o desactiva la ruta hacia el extremo remoto
se almacena en caché. Si la ruta a la distancia entre pares es estático, el establecimiento de esto puede evitar una búsqueda de rutas por paquete. Sin embargo, si el camino hasta el otro lado puede cambiar, esta opción podría resultar en la GIF tráfico no fluya cuando los cambios de ruta c.
Comportamiento ECN friendly La opción de un comportamiento respetuoso con ECN controla si o no la explícita Congestión Noti fi cación (ECN) práctica -Friendly de copiar el bit TOS en / fuera del tráfico túnel fi c se realiza por el cortafuego. Por defecto, el cortafuego borra el bit TOS en los paquetes o ajustarlo en el 0, dependiendo de la dirección del tráfico c. Con este conjunto de opciones, el bit se copia según sea necesario entre los paquetes de interior y exterior para ser más amigable con los routers intermedios que pueden realizar tráfico c conformación. Este comportamiento se rompe RFC 2893 por lo que sólo se debe utilizar cuando ambos compañeros están de acuerdo para activar la opción.
Descripción Una breve descripción de este túnel GIF para fines de documentación.
•
Hacer clic Salvar
Nota: Si la interfaz GIF se asigna bajo Interfaces> (asignar), selecciona el Con IPv4 Tipo fi guración y Con IPv6 Tipo fi guración a Ninguna. El cortafuego creará automáticamente una puerta de enlace dinámico en esta situación.
LAGG (Link Aggregation) La agregación de enlaces es manejado por lagg (4) interfaces de tipo (LAGG) en pfSense. LAGG combina múltiples interfaces físicas juntos como una interfaz lógica. Hay varias maneras en que esto puede funcionar, ya sea para la obtención de ancho de banda adicional, redundancia, o alguna combinación de los dos. Para crear o administrar las interfaces LAGG:
• Navegar a Interfaces> (asignar), LAGGs lengüeta
•
122
Hacer clic
Añadir para crear un nuevo LAGG, o haga clic
para editar una instancia existente.
Capítulo 8. Tipos de interfaz y con fi guración
El libro pfSense, Liberación
•
Completar la configuración de la siguiente manera:
Interfaces de padres Esta lista contiene todas las interfaces no asignados actualmente y miembros de la corriente
LAGG interfaz al editar una instancia existente. Para añadir interfaces para esta LAGG, seleccione una o más interfaces en esta lista.
Nota: Una interfaz sólo puede añadir a un grupo LAGG si no se asigna. Si una interfaz no está presente en la lista, es probable que ya asignado como una interfaz.
Protocolo LAGG Actualmente hay seis modos de funcionamiento diferentes para las interfaces LAGG: LACP, de conmutación por error,
Equilibrar la carga, FEC, Round Robin, y Ninguno. LACP El protocolo LAGG más comúnmente utilizado. Este modo es compatible con IEEE 802.3ad Protocolo de Control de agregación de enlaces (LACP) y el Protocolo de marcador. En el modo LACP, la negociación se lleva a cabo con el interruptor - que también debe ser compatible con LACP - para formar un grupo de puertos que están activos al mismo tiempo. Esto es lo conocido como Grupo de agregación de enlace, o el LAG. La velocidad y la MTU de cada puerto en un LAG deben ser idénticos y los puertos también deben ejecutar en duplex completo. Si el enlace se pierde a un puerto en el GAL, GAL sigue funcionando, pero con una capacidad reducida. De esta manera, un haz LACP LAGG puede ganar tanto la redundancia y mayor ancho de banda.
Tra fi co está equilibrado entre todos los puertos en el LAG, sin embargo, para la comunicación entre dos máquinas individuales sólo utilizará un único puerto a la vez debido a que el cliente sólo hablará con una dirección MAC a la vez. Para múltiples conexiones a través de múltiples dispositivos, esta limitación se convierte efectivamente irrelevante. También la limitación no es relevante para la conmutación por error.
Además de con fi gurar esta opción en pfSense, el interruptor debe habilitar LACP en estos puertos o tienen los puertos agrupados en un grupo GAL. Ambas partes deben estar de acuerdo en la con fi guración con el fin de que funcione correctamente. conmutación por error Cuando se utiliza la conmutación por error LAGG protocolo de tráfico c sólo será enviado en el primario
interfaz del grupo. Si la interfaz principal falla, entonces trá fi co usará la siguiente interfaz disponible. La interfaz principal es la interfaz primer seleccionado en la lista, y continuará en orden hasta que llega al final de las interfaces seleccionadas. Nota: Por defecto, tráfico c solamente puede ser recibido en la interfaz activa. Crear un sistema para sintonizable net.link.lagg.failover_rx_all con un valor de 1 para permitir tráfico c para ser recibido en cada interfaz miembro.
Equilibrio de carga el modo de equilibrio de carga acepta tráfico entrante fi co en cualquier puerto del grupo LAGG
y los saldos de salida trá fi co en cualquiera de los puertos activos en el grupo LAGG. Se trata de una configuración estática que no supervisa el estado del enlace ni negociar con el interruptor. Salida tráfico c es equilibra la carga sobre la base de todos los puertos activos en el LAGG utilizando un hash calculado utilizando varios factores, tales como la dirección de origen y destino IP, la dirección MAC, y la etiqueta de VLAN.
FEC modo FEC soporta Cisco EtherChannel y es un alias para el modo de equilibrio de carga.
round Robin Este modo acepta tráfico entrante fi co en cualquier puerto del grupo y LAGG envía saliente tráfico c utilizando un algoritmo de programación robin ronda. Normalmente, esto significa que tráfico c será enviado en secuencia, usando cada interfaz en el grupo a su vez.
Ninguna Este modo desactiva tráfico c en la interfaz LAGG sin desactivar la interfaz sí mismo. El sistema operativo todavía creen que la interfaz está funcionando y utilizable, pero sin trá fi co será enviado o recibido en el grupo.
Descripción Una breve nota sobre el propósito de esta instancia LAGG.
8.10. LAGG (Link Aggregation)
123
El libro pfSense, Liberación
•
Hacer clic Salvar
Después de crear una interfaz LAGG, funciona como cualquier otra interfaz física. Asignar la interfaz lagg bajo Interfaces
> (asignar) y darle una dirección IP, o construir otras cosas en la parte superior de la misma, tales como VLAN. Debido a las limitaciones en FreeBSD, lagg (4) no soporta altq (4) lo que no es posible utilizar el fi c talladora de tráfico en LAGG interactúa directamente. VLAN (4) soporte de interfaces altq (4) y las VLAN se pueden utilizar en la parte superior de interfaces LAGG, por lo que usan las VLAN pueden solucionar el problema. Como solución alternativa, limitadores puede controlar el uso de ancho de banda en las interfaces LAGG.
Interfaz Con fi guración Para asignar una nueva interfaz:
• Navegar a Interfaces> (asignar) • Recoger la nueva interfaz de la puertos de red disponibles lista
•
Hacer clic
Añadir
La nueva interfaz de asignación se mostrará en la lista. La nueva interfaz tendrá un nombre predeterminado asignado por el cortafuego como OPT1 o OPT2, con el número cada vez mayor en función de su orden de asignación. Las dos primeras interfaces de forma predeterminada a los nombres de WAN y LAN, sino que puede ser renombrado. Estos nombres aparecen bajo el OptX Interfaces menú, como Interfaces> OPT1. Al seleccionar la opción de menú de la interfaz se abrirá la página de con fi guración para esa interfaz.
Las siguientes opciones están disponibles para todos los tipos de interfaz.
Descripción El nombre de la interfaz. Esto va a cambiar el nombre de la interfaz en el Interfaces menú, en los registros bajo Firewall> Reglas, debajo Servicios> DHCP, y en otros lugares a lo largo de la GUI. Los nombres de interfaces pueden contener sólo letras, números y el único carácter especial que se permite es un guión bajo ( “_”). El uso de un nombre personalizado hace que sea más fácil de recordar el propósito de una interfaz y para identificar una interfaz para añadir reglas fi cortafuego o elegir otras funcionalidades por interfaz.
Con IPv4 Tipo fi guración Con fi guras los valores de IPv4 para la interfaz. Los detalles de esta opción se encuentran en la siguiente sección, Tipos de WAN IPv4 .
Con IPv6 Tipo fi guración Con fi guras los parámetros de IPv6 para la interfaz. Los detalles de esta opción están en Tipos IPv6 WAN .
Dirección MAC La dirección MAC de una interfaz se puede cambiar ( “falso”) para imitar una pieza anterior de los equipos. Advertencia: Se recomienda evitar esta práctica. El viejo MAC generalmente se aclararía por restablecer el equipo al que se conecta este fi cortafuegos, o en la limpieza de la tabla ARP, o en espera de las antiguas entradas ARP de expirar. Se trata de una solución a largo plazo para un problema temporal.
124
Capítulo 8. Tipos de interfaz y con fi guración
El libro pfSense, Liberación
Spoo fi ng de la dirección MAC de la anterior cortafuego puede permitir una transición suave de un viejo router a un nuevo router, por lo que almacena en caché ARP en los dispositivos y routers aguas arriba no son una preocupación. También se puede utilizar para engañar a una parte del equipo en la creencia de que está hablando con el mismo dispositivo que estaba hablando antes, al igual que en los casos en que un determinado enrutador de red está utilizando ARP estática o filtros de otra manera Fi basado en dirección MAC. Esto es común en los módems de cable, en los que pueden requerir la dirección MAC para ser registrada si cambia.
Una desventaja de SPOO fi ng de la dirección MAC es que a menos que la vieja pieza de equipo se retiró de forma permanente, se corre el riesgo de tener más adelante una dirección MAC conflicto en la red, que puede conducir a problemas de conectividad. problemas de caché ARP tienden a ser muy temporal, resolviendo de forma automática en cuestión de minutos o apagando y encendiendo otro equipo. Si la antigua dirección MAC debe ser restaurada, esta opción debe ser descargada y entonces el cortafuego debe ser reiniciado. Como alternativa, introduzca la dirección MAC original de la tarjeta de red y guardar / aplicar, a continuación, vaciar el valor nuevo.
MTU (Maximum Transmission Unit) La unidad de transmisión máxima ( MTU) tamaño de campo por lo general puede ser dejado en blanco, pero se puede cambiar cuando sea necesario. Algunas situaciones pueden requerir una MTU inferior para asegurar los paquetes están dimensionados adecuadamente para una conexión a Internet. En la mayoría de los casos, el valor por defecto asume valores para el tipo de conexión WAN funcionarán correctamente. Se puede aumentar para aquellos que utilizan tramas gigantes en su red.
En una red Ethernet de estilo típico, el valor predeterminado es de 1500, pero el valor real puede variar dependiendo de la interfaz con fi guración.
MSS (tamaño máximo de segmento) Al igual que en el campo MTU, el MSS campo “abrazadera” el tamaño máximo de segmento (MSS) de conexiones TCP con el tamaño fi cado con el fin de evitar problemas con Path MTU Discovery.
Velocidad y dúplex El valor predeterminado de velocidad de enlace y dúplex es dejar que el cortafuego decidir qué es lo mejor. Esa opción por defecto es típicamente
Selección automática, el que negocia las mejores configuraciones de velocidad y dúplex posibles con los pares, típicamente un interruptor. El ajuste de velocidad y dúplex en una interfaz debe coincidir con el dispositivo al que está conectado. Por ejemplo, cuando el cortafuego se establece en Selección automática, El interruptor también debe ser con fi gurada para Selección
automática. Si el interruptor u otro dispositivo tiene una velocidad fi específico y duplex forzada, debe ser emparejado por el cortafuego.
Bloque Redes Privadas Cuando Bloquear las redes privadas está activo pfSense inserta automáticamente una regla que impide cualquier RFC 1918 redes ( 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16) y de bucle de retroceso ( 127.0.0.0/8) de la comunicación en esa interfaz. Esta opción es por lo general sólo es deseable en interfaces de tipo WAN para evitar la posibilidad de numeración privado fi c tráfico que entra a través de una interfaz pública.
redes de bloques Bogon Cuando redes de bloques Bogon pfSense es activa bloqueará trá fi co de una lista de redes no asignados y reservados. Esta lista se actualiza periódicamente por el cortafuego de forma automática. Ahora que todo el espacio IPv4 ha sido asignado, esta lista es bastante pequeño, que contiene la mayoría de las redes que se han reservado de alguna manera por la IANA. Estas subredes nunca deben estar en uso activo en una red, especialmente uno frente a la Internet, por lo que es una buena práctica para habilitar esta opción en interfaces de tipo WAN. Para IPv6, la lista es bastante grande,
8.11. Interfaz Con fi guración
125
El libro pfSense, Liberación
que contiene trozos considerables de la posible espacio IPv6 que todavía tiene que ser asignado. En los sistemas con bajas cantidades de memoria RAM, esta lista puede ser demasiado grande, o el valor por defecto de Firewall entradas de tabla de máximos puede ser demasiado pequeña. Ese valor se puede ajustar bajo Sistema> Avanzado sobre el Cortafuegos y NAT lengüeta.
Tipos de WAN IPv4 Una vez que se ha asignado una interfaz, en la mayoría de los casos se requerirá una dirección IP. Para las conexiones IPv4, las siguientes opciones están disponibles: IPv4 estática, DHCP, PPP, PPPoE, PPTP y L2TP. Estas opciones son seleccionadas usando la Con IPv4 Tipo fi guración selector en una página de la interfaz (por ejemplo, Interfaces> WAN).
Ninguna Cuando Con IPv4 Tipo fi guración se establece en Ninguna, IPv4 está desactivada en la interfaz. Esto es útil si la interfaz no tiene conectividad IPv4 o si la dirección IP en la interfaz está siendo manejado de alguna otra forma, como por ejemplo para una interfaz de OpenVPN o GIF.
IPv4 estática Con IPv4 estática, La interfaz contiene una dirección IP fi gurada con forma manual. Cuando elegido, tres campos adicionales están disponibles en la pantalla de interfaz con fi guración: Dirección IPv4, un selector de máscara de subred CIDR, y el Aguas arriba de puerta de enlace IPv4 campo.
Para con fi gura la interfaz para IPv4 estática en una interfaz interna (por ejemplo, LAN, DMZ):
• Seleccionar IPv4 estática debajo Con IPv4 Tipo fi guración • Introduzca la dirección IPv4 para la interfaz en el dirección IPv4 caja •
Seleccione la máscara de subred adecuada desde el desplegable CIDR después de que el cuadro de dirección
•
No seleccione una Aguas arriba de puerta de enlace IPv4
Para con fi gurar la interfaz para IPv4 estática en una interfaz de tipo de WAN:
• Seleccionar IPv4 estática debajo Con IPv4 Tipo fi guración • Introduzca la dirección IPv4 para la interfaz en el dirección IPv4 caja •
Seleccione la máscara de subred adecuada desde el desplegable CIDR después de que el cuadro de dirección
• Realice una de las siguientes para utilizar una puerta de enlace en la interfaz: -
Seleccione una Aguas arriba de puerta de enlace IPv4 de la lista, O
-
Hacer clic
Agregar una nueva puerta de enlace para crear una nueva puerta de enlace si no existe ya. Al hacer clic en ese botón muestra un formulario
modal para agregar la puerta de entrada sin salir de esta página. Rellenar los datos solicitados en el formulario nuevo:
Puerta de enlace predeterminada Si este es el único WAN o será un nuevo valor predeterminado WAN, marque esta casilla. los
por defecto puertas de enlace IPv4 e IPv6 de forma independiente el uno del otro. Los dos no tiene por qué ser en el mismo circuito. Cambio de la puerta de enlace predeterminada IPv4 tiene ningún efecto sobre la puerta de entrada de IPv6, y viceversa.
Nombre de puerta de enlace El nombre utilizado para referirse a la pasarela internamente, así como en lugares como Gate-
Grupos manera, los gráficos de calidad, y en otros lugares.
126
Capítulo 8. Tipos de interfaz y con fi guración
El libro pfSense, Liberación
gateway IPv4 La dirección IP de la pasarela. Esta dirección debe estar dentro de la misma subred como la dirección estática IPv4 cuando se utiliza este formulario.
Descripción Un poco de texto para indicar el fin de la pasarela.
Añadir
* Haga clic
Nota: Selección de una Aguas arriba de puerta de enlace IPv4 de la lista desplegable o la adición y la selección de una nueva puerta de entrada hará que pfSense tratar esta interfaz como una interfaz de tipo de WAN para NAT y funciones relacionadas. Esto no es deseable para las interfaces internas tales como LAN o una DMZ. Gateways todavía se pueden usar en las interfaces internas con el propósito de rutas estáticas sin seleccionar una Aguas arriba de puerta de enlace IPv4 aquí en la pantalla de interfaces.
DHCP Cuando una interfaz se establece en DHCP, pfSense intentará automática IPv4 con fi guración de esta interfaz a través de DHCP. Esta opción también activa varios campos adicionales en la página. Bajo estas circunstancias, la mayoría de los campos adicionales pueden dejarse en blanco.
nombre de host Algunos ISP requieren la nombre de host para el cliente de identi fi cación. El valor en el nombre de host campo
se envía como el cliente DHCP identi fi cador y el nombre de host al solicitar una concesión DHCP.
Alias de direcciones IPv4 Este valor se utiliza como un alias de dirección IPv4 fijado por el cliente DHCP desde un típico IP
Alias VIP no se puede utilizar con DHCP. Esto puede ser útil para acceder a una pieza de equipo en una red separada, numeradas estáticamente fuera del ámbito DHCP. Un ejemplo sería para llegar a una dirección IP de administración módem de cable.
Rechazar alquila a Una dirección IPv4 de un servidor DHCP que debe ser ignorado. Por ejemplo, un cable módem que reparte las direcciones IP privadas cuando el cable de sincronización se ha perdido. Introduzca la dirección IP privada del módem aquí, por ejemplo, 192.168.100.1 y el cortafuego nunca va a recoger o tratar de utilizar una dirección IP de un servidor suministrado por el fi cado. Con fi guración avanzada Permite opciones para controlar la sincronización de protocolo. En la gran mayoría de los casos
esto debe ser dejado sin control y las opciones dentro sin cambios. Timing Protocol Los campos en esta área dan fi de control de grano fino sobre el momento utilizado por
dhclient en la gestión de una dirección en esta interfaz. Estas opciones son casi siempre dejarse en sus valores por defecto. Para más detalles sobre lo que controla cada campo, consulte la página del manual de dhclient preajustes Tiene varias opciones para valores de tiempo de protocolo preestablecido. Estos son útiles como una partida
punto de ajustes personalizados o para su uso cuando los valores se necesita restablecer los valores por defecto.
Con fi guración de anulación Permite un campo de usar una costumbre dhclient con fi guración fi l. La ruta completa se debe dar. El uso de un encargo fi l rara vez es necesaria, pero algunos ISP requieren campos DHCP u opciones que no son compatibles con la interfaz gráfica de usuario pfSense.
Tipos de PPP Los diferentes tipos de conexiones basadas en PPP como PPP, PPPoE, PPTP y L2TP están todos cubiertos en detalle anteriormente en este capítulo ( PPP ). Cuando uno de estos tipos se selecciona aquí en la pantalla de las interfaces, sus opciones básicas se pueden cambiar como se describe. Para acceder a las opciones avanzadas, siga el enlace de esta página o navegar hasta Interfaces> (asignar) sobre el PPP pestaña, encuentre la entrada, y editarlo allí.
8.12. Tipos de WAN IPv4
127
El libro pfSense, Liberación
Tipos IPv6 WAN Al igual que en IPv4, la Con IPv6 Tipo fi guración controla si y cómo una dirección IPv6 se asigna a una interfaz. Hay varias maneras diferentes de con fi gura IPv6 y el método exacto depende de la red a la que está conectado el cortafuego y la forma en que el ISP ha desplegado IPv6.
Ver también:
Para obtener más información sobre IPv6, incluyendo una introducción básica, consulte IPv6 .
Ninguna Cuando Con IPv6 Tipo fi guración se establece en Ninguna, IPv6 está deshabilitado en la interfaz. Esto es útil si la interfaz no tiene conectividad IPv6 o si la dirección IP en la interfaz está siendo manejado de alguna otra forma, como por ejemplo para una interfaz de OpenVPN o GIF.
IPv6 estática Los controles IPv6 estáticas funcionan de forma idéntica a la configuración estática IPv4. Ver IPv4 estática para detalles. Con IPv6 estática, la interfaz contiene una dirección IPv6 manualmente con fi gurado. Cuando elegido, tres campos adicionales están disponibles en la pantalla de interfaz con fi guración: Dirección IPv6, un pre fi selector x longitud, y el Aguas arriba de puerta de enlace IPv6 campo.
Las puertas de enlace IPv4 e IPv6 por defecto funcionan independientemente uno del otro. Los dos no tiene por qué ser en el mismo circuito. Cambio de la puerta de enlace predeterminada IPv4 tiene ningún efecto sobre la puerta de entrada de IPv6, y viceversa.
DHCP6 DHCP6 con cifras pfSense para intentar automática IPv6 con fi guración de esta interfaz a través de DHCPv6. DHCPv6 se con fi gura la interfaz con una dirección IP, pre longitud fi x, servidores DNS, etc., pero no una puerta de enlace. La puerta de enlace se obtiene a través de avisos de encaminador, por lo que esta interfaz se puede configurar para aceptar avisos de encaminador. Esta es una opción de diseño como parte del IPv6 especí fi cación, no una limitación de pfSense. Para obtener más información sobre los anuncios de enrutador, consulte anuncios de enrutador .
Varios campos adicionales están disponibles para IPv6 DHCP que no existen para IPv4 DHCP: Utilizar IPv4 como Conectividad Interfaz de Padres Cuando se establece, la solicitud DHCP IPv6 se envía utilizando IPv4 en esta
interfaz, en lugar de utilizar IPv6 nativo. Esto sólo es necesario en casos especiales cuando el ISP requiere este tipo de con fi guración.
Solicitud sólo IPv6 Prefijo x Cuando se establece, el cliente DHCPv6 no solicita una dirección para la interfaz en sí, sólo se solicita una pre fi x delegado. DHCPv6 Pre fi x Tamaño Delegación Si el ISP suministra una red IPv6 encaminado a través de pre fi x delegación, que
publicará el tamaño delegación, que se puede seleccionar aquí. Por lo general es un valor en algún lugar BE- Tween 48 y 64. Para obtener más información sobre howDHCPv6 trabaja pre fi x delegación, consulte DHCP6 Pre fi x Delegación . Para utilizar esta delegación, otra interfaz interna debe ajustarse a una Con IPv6 Tipo fi guración de Track Interface ( Track Interface ) de modo que pueda utilizar las direcciones delegadas por el servidor DHCPv6 aguas arriba.
Enviar IPv6 Prefijo x Indirecta Cuando se establece, la DHCPv6 Pre fi x Tamaño Delegación se envía junto con la solicitud de informar al servidor de aguas arriba qué tan grande de una delegación se desea por esta fi cortafuegos. Si un proveedor de Internet permite la elección, y el tamaño elegido está dentro de su rango permitido, el tamaño solicitado se le dará en lugar del tamaño predeterminado.
128
Capítulo 8. Tipos de interfaz y con fi guración
El libro pfSense, Liberación
Depurar Cuando se establece, el cliente DHCPv6 se inicia en modo de depuración.
Con fi guración avanzada Permite una amplia gama de parámetros de ajuste avanzadas para el cliente DHCPv6.
Estas opciones se usan muy poco, y cuando se le pide, los valores son dictadas por el ISP o administrador de red. ver el página del manual dhcp6c.conf para detalles. Con fi guración de anulación Permite un campo de usar una costumbre con fi guración fi l. La ruta completa debe ser dada. El uso de un encargo fi l rara vez es necesaria, pero algunos ISP requieren campos DHCP u opciones que no son compatibles con la interfaz gráfica de usuario pfSense.
SLAAC Dirección estado AutoCon fi guración ( SLAAC) como el tipo IPv6 hace pfSense intento de con fi gura la dirección IPv6 para la interfaz de anuncios de enrutador (RA) que anuncian la información relacionada pre fi x y. Tenga en cuenta que el DNS no se proporciona normalmente a través de la AR, por lo pfSense todavía intentará obtener los servidores DNS a través de DHCPv6 cuando se utiliza SLAAC. En el futuro, las extensiones RDNSS al proceso de RA pueden permitir que los servidores DNS que se obtienen a partir de RA. Para obtener más información sobre los anuncios de enrutador, consulte anuncios de enrutador .
6RD túnel 6RD es una tecnología de tunelización IPv6 empleado por algunos proveedores de Internet para permitir rápidamente soporte IPv6 para sus redes, pasando los paquetes IPv4 IPv6 tráfico c dentro especialmente diseñados entre y el router del usuario final y el relé de ISP. Se relaciona con 6a4, pero está destinado a ser utilizado dentro de la red del ISP, utilizando las direcciones IPv6 desde el ISP para el tráfico de clientes fi co. Para utilizar 6RD, el ISP debe proporcionar tres piezas de información: El 6RD pre fi x, el relé Border 6RD, y la fi x longitud 6RD IPv4 Pre.
6RD Pre fi x La fi pre 6RD IPv6 x asignado por el ISP, como 2001: db8 :: / 32. Relevo de la frontera 6RD La dirección IPv4 del relé ISP 6RD. 6RD IPv4 Pre fi x Altura Controla la cantidad de la dirección IPv4 usuario final está codificada dentro de la 6RD pre fi x. Este se suministra normalmente por el ISP. Un valor de 0 significa toda la dirección IPv4 se incrusta dentro de la 6RD pre fi x. Este valor permite a los ISP ruta direcciones IPv6 con eficacia más a los clientes mediante la eliminación de información redundante si IPv4 una asignación ISP es totalmente dentro de la misma subred más grande.
6a4 túnel Al igual que en 6RD, 6a4 es otro método de tunelización IPv6 tráfico dentro de IPv4 c. A diferencia de 6RD, sin embargo, 6a4 utiliza constantes prefijos y relés. Como tal no hay configuraciones ajustables por el usuario para el uso de la 6a4 opción. El pre fi 6a4 x es siempre
2002 :: / 16. Cualquier dirección dentro de la 2002 :: / 16 pre fi x se considera una dirección 6to4 en lugar de una dirección IPv6 nativo. También a diferencia de 6RD, un túnel 6to4 se puede interrumpir en cualquier lugar en Internet, no sólo en el usuario final ISP, por lo que la calidad de la conexión entre el usuario y el relé 6a4 puede variar ampliamente. túneles 6to4 siempre terminan en la dirección IPv4 192.88.99.1. Esta dirección IPv4 se anycasted, lo que significa que aunque la dirección IPv4 es el mismo en todas partes, puede ser encaminada hacia un nodo regional cerca del usuario. Otra deficiencia de de 6a4 es que se basa en otros routers para retransmitir trá fi co entre la red 6to4 y el resto de la red IPv6. Hay una posibilidad de que algunos compañeros IPv6 pueden no tener conectividad a la red 6a4, y por lo tanto estos serían inalcanzables por los clientes que se conectan a los relés 6a4, y esto también podría variar dependiendo del nodo 6a4 a la que el usuario está realmente conectado.
8.13. Tipos IPv6 WAN
129
El libro pfSense, Liberación
Track Interface los Track Interface elección trabaja en conjunto con otra interfaz de IPv6 usando DHCPv6 Pre fi x Delegación. Cuando se recibe una delegación de la ISP, esta opción designa qué interfaz se le asignará las direcciones IPv6 delegadas por el ISP y en casos donde se obtiene una delegación más grande, que se utiliza pre fi x dentro de la delegación. la interfaz IPv6 Una lista de todas las interfaces del sistema actualmente establecido para este tipo de WAN IPv6 dinámicas que ofrecen
pre fi x delegación (DHCPv6, PPPoE, 6rd, etc.). Seleccione la interfaz de la lista que recibirá la información de subred delegada por el ISP. IPv6 Pre fi x ID Si el ISP ha delegado más de un pre fi jo a través de DHCPv6, los controles de identidad fi x IPv6 Pre ¿cuál de las delegadas / 64 subredes serán utilizados en esta interfaz. Este valor es especificados en adecimal hex-. Por ejemplo, si un / 60 delegación es suministrada por el ISP que significa 16 / 64 las redes están disponibles, por lo que pre fi x identificadores de 0 mediante F puede ser usado. Para obtener más información sobre cómo funciona pre fi x delegación, consulte DHCP6 Pre fi x Delegación .
pfSense compatible con numerosos tipos de interfaces de red, ya sea usando directamente o mediante el empleo de otros protocolos como PPP o VLANs interfaces físicas.
asignación de las interfaces y la creación de nuevas interfaces virtuales se manejan bajo Interfaces> (asignar).
Interfaces físicas y virtuales La mayoría de las interfaces discutidas en este capítulo se pueden asignar como WAN, LAN o una interfaz OPT bajo Interfaces> (asignar). Toda la actualidad de fi nidas y detecta las interfaces se enumeran directamente en Interfaces> (asignar) o en la lista de interfaces disponibles para asignación. Por defecto, la lista incluye sólo las interfaces físicas, pero las otras pestañas bajo Interfaces> (asignar) puede crear interfaces virtuales que luego pueden ser asignados.
Interfaces en pfSense soportan varias combinaciones de opciones sobre las mismas interfaces. También pueden soportar múltiples redes y protocolos en una única interfaz, o múltiples interfaces pueden ser unidas entre sí en una mayor capacidad o de la interfaz virtual redundante.
Todas las interfaces son tratados por igual; Cada interfaz puede ser con fi gurada para cualquier tipo de conectividad o de papel. Las interfaces WAN y LAN por defecto pueden ser renombrados y utilizados en otras formas.
interfaces físicas y las interfaces virtuales son tratados de la misma una vez asignado, y tienen las mismas capacidades. Por ejemplo, una interfaz de VLAN puede tener el mismo tipo de con fi guración que una interfaz física puede tener. Algunos tipos de interfaces reciben un tratamiento especial una vez asignado, que se tratan en sus respectivas secciones de este capítulo. Esta sección cubre los diversos tipos de interfaces que se pueden crear, asignar y gestionar.
130
Capítulo 8. Tipos de interfaz y con fi guración
CAPÍTULO
NUEVE
GESTIÓN y autenticación de usuarios
Gestión de usuarios El Administrador de usuarios se encuentra en Sistema> Administrador de usuarios. A partir de ahí, los grupos de usuarios, los servidores pueden ser gestionados y valores que rigen el comportamiento del Administrador de usuarios pueden ser cambiados.
privilegios Administración de privilegios para usuarios y grupos se realiza de manera similar, por lo tanto serán cubiertos aquí en lugar de duplicar el esfuerzo. Si se gestiona un usuario o grupo, la entrada debe ser creado y guardado primera antes se pueden añadir privilegios
a la cuenta o grupo. Para agregar privilegios, cuando se edita el usuario o grupo existente, haga clic
Añadir en el asignado
privilegios o Los privilegios eficaces sección. Se presenta una lista de todos los privilegios disponibles. Los privilegios pueden ser añadidos uno a la vez mediante la selección de una sola entrada, o de selección múltiple utilizando ctrl-clic. Si otros privilegios ya están presentes en el usuario o grupo, que se ocultan de esta lista por lo que no se pueden añadir dos veces. Para buscar un privilegio específico por su nombre, introduzca el término de búsqueda en el Filtrar caja y hacer clic
Filtrar.
Selección de un privilegio mostrará una breve descripción de su propósito en el área del bloque de información en virtud de la lista de permisos y botones de acción. La mayor parte de los privilegios son fáciles de entender en base a sus nombres, pero algunos permisos notables son:
WebCFG - Todas las páginas Permite al usuario acceder cualquier página de la interfaz gráfica de usuario
WebCFG - Tablero de instrumentos (todos) Permite al usuario acceder a la página de panel y todas sus funciones asociadas
(Widgets, gráficos, etc.) WebCFG - Sistema Administrador de contraseñas de usuario Página: Si el usuario sólo tiene acceso a esta página, pueden iniciar sesión a la interfaz gráfica de usuario para configurar su propia contraseña, pero no hacer nada más.
Usuario - VPN - IPSec xauth Dialin Permite al usuario conectarse y autenticarse para IPsec xauth Usuario - Con fi g - Denegar Con fi g Comentario No permite al usuario realizar cambios en el cortafuegos con fi fi g ( estafa-
g.xml fi). Tenga en cuenta que esto no impide que el usuario pueda tomar otras acciones que no implican por escrito a la con fi g.
Usuario - sistema - acceso a la cuenta de Shell Da al usuario la posibilidad de acceder a través de ssh, aunque el usuario se no tiene acceso a nivel de raíz por lo que la funcionalidad es limitada. Un paquete para sudo está disponible para mejorar esta función.
Después de entrar, el cortafuego intentará mostrar el tablero de instrumentos. Si el usuario no tiene acceso al panel de control, serán remitidos a la primera página en su lista de privilegio que tienen permiso de acceso.
131
El libro pfSense, Liberación
Menús en el cortafuego sólo contienen entradas para las que existen privilegios en una cuenta de usuario. Por ejemplo, si la única página nostics diagnosticar las que un usuario tiene acceso a es Diagnóstico> Ping entonces no hay otros elementos se muestran en el Diagnóstico
menú.
Añadir / editar usuarios
los usuarios lengüeta debajo Sistema> Administrador de usuarios es donde los usuarios individuales se gestionan. Para añadir un nuevo usuario, haga clic
Añadir, para editar un usuario existente, haga clic
.
Antes de permisos se pueden añadir a un usuario, primero debe ser creado, por lo que el primer paso es siempre para agregar el usuario y guardar. Si varios usuarios necesitan los mismos permisos, es más fácil para añadir un grupo y luego añadir usuarios al grupo.
Para agregar un usuario, haga clic
Añadir y aparecerá la nueva pantalla del usuario.
Discapacitado Esta casilla de verificación controla si este usuario estará activo. Si esta cuenta debe ser desactivado, marque esta casilla. Nombre de usuario Establece el nombre de inicio de sesión para el usuario. Se requiere este campo, debe ser de 16 caracteres o menos y pueden
Sólo puede contener letras, números y un punto, guión o guión bajo. Contraseña y La confirmación También son obligatorios. Las contraseñas se almacenan en la configuración pfSense como con fi hashes. Asegúrese de que el partido de dos campos para confirmar la contraseña. Nombre completo campo opcional que puede ser utilizado para introducir un nombre más largo o una descripción para una cuenta de usuario.
Fecha de caducidad También puede definirse si se desea para desactivar el usuario de forma automática cuando la fecha tiene
ha alcanzado. La fecha debe introducirse en MM / DD / YYYY formato. Miembro de los Grupos Si los grupos ya han sido de fi nido, este control se puede utilizar para agregar el usuario como una
miembro. Para añadir un grupo para este usuario, encontramos que en el No miembro de columna, selecciónela y haga clic para moverlo a la Miembro de columna. Para eliminar un usuario del grupo, selecciónelo de la Miembro de columna y haga clic
para moverlo a la No miembro de columna. Los privilegios eficaces Aparece cuando se edita un usuario existente, no cuando se añade un usuario. Ver privilegios para
información sobre la gestión de privilegios. Si el usuario es parte de un grupo, los permisos del grupo se muestran en esta lista pero esos permisos no se pueden editar, pueden añadirse permisos sin embargo adicionales.
Certi fi cado Comportamiento de esta sección cambia dependiendo de si se añade o edita un usuario. Cuando la adición de un usuario, para crear un cheque certi fi cado Haga clic para crear un certi fi cado de usuario para mostrar el formulario para crear un certificado. Rellene el Nombre descriptivo, escoge un Autoridad certi fi cado, seleccione un Código de longitud, e introducir una Toda la vida. Para obtener más información sobre estos parámetros, consulte Crear un certi fi cado interno . Si la edición de un usuario, esta sección de la página en lugar se convierte en una lista de certi fi cados de usuario. De
aquí, haga clic
Añadir para agregar un certificado al usuario. La configuración de página que son idénticos a Crear
un certi fi cado interno excepto aún más de los datos es pre- fi llena con el nombre de usuario. Si el certi fi cado ya existe, seleccione Elija un Certi fi cado existente y luego recoger una Existente certi fi cado de la lista.
llaves autorizadas claves públicas SSH se pueden introducir para la cáscara u otro acceso SSH. Para agregar una clave, pasta o introducir en los datos clave.
IPsec Pre-Shared Key Se utiliza para una configuración de IPsec no xauth Pre-Shared Key móvil. Si una IPsec PreLlave compartida Aquí se introduce el nombre de usuario se utiliza como el er fi cación. El PSK también se muestra bajo VPN> IPsec sobre el Pre Shared Keys lengüeta. Si sólo se utilizará móvil IPsec con xauth, este campo puede dejarse en blanco.
132
Capítulo 9. Gestión de usuarios y autenticación
El libro pfSense, Liberación
Después de guardar el usuario, haga clic
en la fila del usuario para editar la entrada si es necesario.
Instalación de grupos / Edición Los grupos son una gran manera de manejar conjuntos de permisos para dar a los usuarios para que no necesitan ser mantenidos individualmente en cada cuenta de usuario. Por ejemplo, un grupo podría ser utilizado para los usuarios IPsec xauth, o un grupo que puede acceder el salpicadero del cortafuego, un grupo de administradores fi cortafuego, o muchos otros escenarios posibles utilizando cualquier combinación de privilegios.
Al igual que con los usuarios, un grupo primero debe crearse antes se pueden añadir privilegios. Después de guardar el grupo, editar el grupo para agregar privilegios.
Los grupos se manejan bajo Sistema> Administrador de usuarios sobre el grupos lengüeta. Para añadir un nuevo grupo desde esta pantalla, haga clic
Añadir. Para editar un grupo existente, haga clic
junto a su entrada en la lista.
.. note :: Cuando se trabaja con LDAP y RADIUS, deben existir grupos locales para que coincida con el grupos de los usuarios son miembros en el servidor. Por ejemplo, si existe un grupo LDAP llamado “rewall_admins Fi” entonces pfSense también debe contener un grupo denominado de forma idéntica, “rewall_admins Fi”, con los privilegios deseados. grupos remotos con nombres largos o nombres que contengan espacios u otros caracteres especiales deben ser con fi gurada para una Remoto Alcance.
Iniciar el proceso de añadir un grupo haciendo clic
Añadir y la pantalla para añadir aparecerá un nuevo grupo.
Nombre del grupo Esta configuración tiene las mismas restricciones que un nombre de usuario: Debe ser de 16 caracteres o menos y
Sólo puede contener letras, números y un punto, guión o guión bajo. Esto puede sentirse algo limitado cuando se trabaja con grupos de LDAP, por ejemplo, pero por lo general es más fácil de crear o cambiar el nombre de un grupo con el nombre apropiado en el servidor de autenticación en lugar de tratar de hacer que el partido del grupo cortafuego.
Alcance Se puede ajustar Local para grupos en la fi sí cortafuegos (tales como aquellos para uso en el shell), o Remoto para relajar las restricciones de nombre de grupo y para evitar que el nombre del grupo de ser expuestos al sistema operativo base. Por ejemplo, Remoto nombres de grupos alcance pueden ser más largos, y pueden contener espacios.
Descripción Opcional texto de formato libre para referencia y para identificar mejor el propósito del grupo en caso el Nombre del grupo no es su fi ciente. Miembro de los Grupos Este conjunto de controles de fi ca el que los usuarios existentes serán miembros del nuevo grupo. los usuarios del servidor de seguridad se enumeran en el que no son miembros columnas de forma predeterminada. Para agregar un usuario a este grupo, nd fi
en el que no son miembros columna, seleccionarlo, y haga clic
para moverlo a la miembros columna. A
eliminar un usuario del grupo, selecciónelo de la miembros columna y haga clic
para moverlo a la
que no son miembros columna.
Los privilegios asignados Sólo aparece cuando se edita un grupo existente. Esta sección permite la adición de privilegios al grupo. Ver privilegios anteriormente en este para obtener información sobre la gestión de privilegios.
ajustes los ajustes ficha en el Administrador de usuarios controla dos cosas: ¿Por cuánto tiempo una sesión de inicio de sesión es válida, y donde los nombres de usuario GUI preferirá estar autenticado.
Hora de término de la sesión Este campo específico es el tiempo que una sesión de interfaz gráfica de usuario de inicio de sesión tendrá una duración cuando ocioso. Este valor es especificados en minutos, y el valor predeterminado es de cuatro horas (240 minutos). Un valor de 0 Se pueden introducir desactivar la caducidad de sesión, por lo que las sesiones de inicio de sesión válido para siempre. Un tiempo de espera más corto es mejor,
9.1. Gestión de usuarios
133
El libro pfSense, Liberación
a pesar de que sea tiempo suficiente para que un administrador activa no se cerrará la sesión involuntariamente al hacer cambios.
Advertencia: Permitiendo una sesión para permanecer válida cuando está inactivo durante largos períodos de tiempo es inseguro. Si un administrador deja desatendida terminal con una ventana del navegador abierta y conectado, alguien o algo más podrían beneficiarse de la sesión abierta.
La autenticación del servidor Este selector elige la fuente de autenticación principal para los usuarios iniciar sesión en la interfaz gráfica de usuario. Esto puede ser un servidor RADIUS o LDAP, o el valor por defecto Base de datos local. Si el servidor RADIUS o LDAP es inalcanzable por alguna razón, la autenticación se caerá de nuevo a Base de datos local
incluso si se elige otro método. Cuando se utiliza un servidor RADIUS o LDAP, los usuarios y / o pertenencia a grupos todavía deben definirse en el cortafuego con el fin de asignar adecuadamente los permisos, ya que no hay todavía un método para obtener permisos dinámicamente a partir de un servidor de autenticación.
Participación en el grupo funcione correctamente, pfSense debe ser capaz de reconocer los grupos expuestos por el servidor authentica- ción. Esto requiere dos cosas: 1. Los grupos locales deben existir con nombres idénticos.
2. pfSense debe ser capaz de localizar o recibir una lista de grupos del servidor de autenticación. Ver Servidores de autenticación para más detalles especí fi co para cada tipo de servidor de autenticación.
Servidores de autenticación Utilizando el Servidores de autenticación lengüeta debajo Sistema> Administrador de usuarios, RADIUS y servidores LDAP pueden definirse como fuentes de autenticación. Ver A lo
largo de apoyo pfSense para obtener información sobre dónde estos servidores pueden ser utilizados en Añadir. Para editar un servidor existente, haga clic
pfSense actualmente. Para añadir un nuevo servidor desde esta pantalla, haga clic
su entrada. Ver también:
Los clientes con una pfSense Suscripción Oro puede acceder al Hangouts Archivo para ver el Hangout de agosto de 2015 sobre RADIUS y LDAP.
RADIO Para añadir un nuevo servidor RADIUS:
• Asegúrese de que el servidor RADIUS tiene la fi cortafuegos define como un cliente antes de proceder. •
Navegar a Sistema> Administrador de usuarios, Servidores de autenticación lengüeta.
•
Hacer clic
Añadir.
• Selecciona el Tipo selector para RADIO. Los ajustes del servidor RADIUS se mostrará. •
Complete los campos tal como se describe a continuación:
Nombre descriptivo El nombre de este servidor RADIUS. Este nombre se utiliza para identificar el servidor a lo largo de la interfaz gráfica de pfSense.
Nombre de host o dirección IP La dirección del servidor RADIUS. Esto puede ser un nombre de dominio totalmente calificado fi cado,
o una dirección IP IPv4.
134
Capítulo 9. Gestión de usuarios y autenticación
cerca de
El libro pfSense, Liberación
Secreto compartido La contraseña establecida para este fi cortafuegos en el servidor RADIUS software.
Servicios ofrecidos Este conjunto selector que los servicios son ofrecidos por este servidor RADIUS. Autenticación y Contabilidad , Autenticación solamente, o Contabilidad solamente. Autenticación utilizará este servidor RADIUS para autenticar a los usuarios. Contabilidad enviará inicio RADIUS / parada de contabilidad de paquetes de datos para las sesiones de inicio de sesión si es compatible en la zona donde se utiliza.
puerto de autenticación Sólo aparece si se elige un modo de autenticación. Establece el puerto UDP donde RAtendrá lugar la autenticación DIUS. El puerto por defecto es la autenticación RADIUS 1812.
puerto de cuenta Sólo aparece si se elige un modo de contabilidad. Establece el puerto UDP donde RADIUS se producirá la contabilidad. El puerto predeterminado de RADIUS es lo que representa 1813.
Tiempo de espera de la autenticación Controla el tiempo, en segundos, que el servidor RADIUS puede tomar para responder a una solicitud de autenticación. Si se deja en blanco, el valor predeterminado es de 5 segundos. Si un sistema de autenticación de dos factores interactiva está en uso, aumentar este tiempo de espera para tener en cuenta el tiempo que llevará al usuario a recibir e ingresar una ficha, que puede ser de 60-120 segundos o más si se tiene que esperar a que una acción externa, como una llamada telefónica, mensaje SMS, etc.
•
Hacer clic Salvar para crear el servidor.
• Visitar Diagnóstico> Autenticación para probar el servidor RADIUS utilizando una cuenta válida. Para los grupos de RADIUS, el servidor RADIUS debe devolver una lista de grupos de la Clase RADIUS responde atributo como una cadena. Varios grupos deben estar separados por un punto y coma.
Por ejemplo, en FreeRADIUS, para devolver los “administradores” y “VPNUsers” grupos, la siguiente respuesta-artículo RADIUS Atributo sería utilizado:
Clase: = "administradores; VPNUsers" Si el servidor RADIUS devuelve la lista de grupos adecuada para un usuario, y existen los grupos a nivel local, a continuación, los grupos serán listados en los resultados cuando se utiliza el Diagnóstico> Autenticación Página para poner a prueba una cuenta. Si los grupos no se muestran, asegurar que existen en pfSense con nombres que coinciden y que el servidor está devolviendo el atributo de clase como una cadena, no binario.
LDAP Para añadir un nuevo servidor LDAP:
• Asegúrese de que el servidor LDAP puede ser alcanzado por el cortafuego. • Si se usa SSL, importar la Autoridad Certi fi cado que utiliza el servidor LDAP en pfSense antes de proceder. Ver Certi fi cado de Gestión de la autoridad para más información sobre cómo crear o importar las entidades emisoras.
•
Navegar a Sistema> Administrador de usuarios, servidores lengüeta.
•
Hacer clic
Añadir.
• Selecciona el Tipo selector para LDAP. Se mostrarán los ajustes del servidor LDAP. •
Complete los campos tal como se describe a continuación:
Nombre de host o dirección IP La dirección del servidor LDAP. Esto puede ser un nombre de dominio totalmente calificado fi cado,
una dirección IP IPv4, IPv6 o una dirección IP. Nota: Si se usa SSL, un nombre de host debe ser especi fi cado aquí y el nombre de host debe coincidir con el Nombre común
de la certi fi cado del servidor presentado por el servidor LDAP y el nombre de host que debe resolverse en la dirección IP del servidor LDAP, por ejemplo, CN =
ldap.example.com, y ldap.example.com es 192.168.1.5. La única excepción a esto es si la dirección IP del servidor también pasa a ser el CN del servidor de su certi fi cado.
9.2. Servidores de autenticación
135
El libro pfSense, Liberación
Esto se puede evitar en algunos casos mediante la creación de una anulación de host DNS Forwarder para hacer que el certi fi cado del servidor CN resuelve a la dirección IP correcta si no coinciden en esta infraestructura de red y no pueden ser fácilmente fijo.
valor de puerto Este establecimiento de especificidad ca el puerto en el que el servidor LDAP está escuchando las consultas LDAP. los
el puerto TCP por defecto es 389, y 636 para SSL. Este campo se actualiza automáticamente con el valor predeterminado apropiado basado en el seleccionado Transporte.
Nota: Cuando se utiliza el puerto 636 para SSL, utiliza un pfSense ldaps: // URL, que no soporta STARTTLS. Asegúrese de que el servidor LDAP está escuchando en el puerto correcto con el modo correcto.
Transporte Este controles de ajuste que método de transporte serán utilizados para comunicarse con el LDAP servidor. El primero, y por defecto, la selección se TCP - Estándar que utiliza conexiones TCP en el puerto de civil
389. Una opción más segura, si el servidor LDAP soporta, es SSL - encriptado en el puerto 636. La elección SSL codificará las consultas LDAP realizados en el servidor, lo cual es especialmente importante si el servidor LDAP no está en un segmento de red local.
Nota: Se recomienda siempre usar SSL cuando sea posible, aunque TCP llano es más fácil de configurar y diagnosticar ya que una captura de paquetes mostraría el contenido de las preguntas y las respuestas.
Peer Autoridad Certi fi cado Si SSL - encriptado fue elegido para el Transporte, a continuación, el valor de este SElector se utiliza para validar el certi fi cado del servidor LDAP. El CA seleccionada debe coincidir con el fi CA con gurado en el servidor LDAP, de lo contrario surgirán problemas. Ver Certi fi cado de Autoridad Manage- ment para más información sobre cómo crear o importar las entidades emisoras.
versión del protocolo Elige que se emplea versión del protocolo LDAP por el servidor LDAP, ya sean 2 o 3, típicamente 3. ámbito de búsqueda Determina dónde y qué tan profundo, una búsqueda irá por un partido.
Nivel Escoger entre Un nivel o subárbol entero para controlar la profundidad de la búsqueda irá. subárbol entero
es la mejor opción cuando la decisión no es cierto, y casi siempre se requiere para Active Directory con fi guraciones.
Base DN Controla donde la búsqueda se iniciará. Típicamente se establece en la “raíz” de la estructura de LDAP, por ejemplo,
DC = ejemplo, DC = com contenedores de autenticación Una lista separada por comas de los lugares de la cuenta potenciales o contenedores. Estos contenedores se le antepondrá a la búsqueda de DN base por encima o especificar una ruta de contenedor completo aquí y deje en blanco el DN base. Si el servidor LDAP soporta, y los ajustes se unen son correctos, haga clic en el Seleccionar botón para examinar los contenedores servidor LDAP y seleccionar allí. Algunos ejemplos de estos contenedores son:
• CN = Users; DC = ejemplo; DC = com Esto sería buscar usuarios en el interior del componente de dominio example.com, una sintaxis común para ver para Active Directory
• CN = Users, DC = ejemplo, DC = com; OU = OtherUsers, DC = ejemplo, DC = com Esto sería buscar en dos lugares diferentes, la segunda de las cuales se restringe a la OtherUsers unidad organizacional. consulta extendida Especí fi ca una restricción adicional a la consulta después de que el nombre de usuario, lo que permite Miembro-grupo
barco para ser utilizado como un filtro. Para establecer una consulta de extendido, comprobar la caja y fi ll en el valor con un filtro, tales como:
miembro de = CN = VPNUsers, CN = Usuarios DC = ejemplo, DC = com
credenciales de enlace Controla cómo este cliente LDAP intentará enlazar con el servidor. Por defecto, el Utilizar Anonymous se une a resolver los nombres distinguidos casilla está marcada para realizar un enlace anónimo. Si el servidor requiere autenticación para unirse y realizar una consulta, desactive esa casilla y especifique una DN de usuario y Contraseña para ser utilizado para el enlace.
136
Capítulo 9. Gestión de usuarios y autenticación
El libro pfSense, Liberación
Nota: Active Directory normalmente requiere el uso de credenciales de enlace y puede necesitar una cuenta de servicio o administrador- equivalente dependiendo de la con fi guración del servidor. Consulte la documentación de Windows para determinar que es necesario en un entorno específico.
Plantilla inicial Pre fi LLS las opciones restantes de la página con los valores predeterminados comunes para un tipo determinado de
servidor LDAP. Las opciones incluyen OpenLDAP, Microsoft AD, y Novell eDirectory. atributo de nombre de usuario El atributo utilizado para identificar el nombre de un usuario, más comúnmente cn o samAccountNombre.
atributo de nombre de grupo El atributo utilizado para identificar un grupo, tal como cn.
atributo de miembro de grupo El atributo de un usuario que signi fi ca que es el miembro de un grupo, tal como
miembro, memberUid, memberOf, o uniqueMember. Grupos rfc2307 Especí fi ca de cómo se organiza la pertenencia a grupos en el servidor LDAP. Cuando no se controla, Se utiliza la pertenencia al grupo de estilo de Active Directory donde los grupos se muestran como un atributo del objeto de usuario. Cuando se selecciona, se utiliza el RFC 2307 pertenencia a un grupo estilo, donde los usuarios se muestran como miembros en el objeto de grupo.
Nota: Cuando se utiliza, el atributo de miembro de grupo puede también necesitar cambiado, por lo general sería ajustado a memberUid en este caso, pero puede variar según el esquema LDAP.
Clase de objeto grupo Se utiliza con grupos de estilo RFC 2307, se especi fi ca la clase de objeto del grupo, normalmente, un
camente posixGroup pero puede variar según el esquema LDAP. No es necesario para grupos de estilo de Active Directory.
Codificar UTF8 Cuando se activa, las consultas al servidor LDAP serán UTF8 codificada y las respuestas se ser UTF8-decodificada. Apoyo varía en función del servidor LDAP. En general, sólo es necesario si los nombres de usuario, grupos, contraseñas y otros atributos contienen caracteres no tradicionales. Nombre de usuario Alteraciones Cuando no está marcada, un nombre de usuario da como usuario @ nombre de host tendrá la @hostname porción pelada de modo que sólo el nombre de usuario se envía en la solicitud de enlace LDAP. Cuando se activa, el nombre de usuario se envía en su totalidad.
•
Hacer clic Salvar para crear el servidor.
• Visitar Diagnóstico> Autenticación para probar el servidor LDAP utilizando una cuenta válida. Si la consulta LDAP devuelve la lista de grupos adecuada para un usuario, y existen los grupos a nivel local, a continuación, los grupos serán listados en los resultados cuando se utiliza el Diagnóstico> Autenticación Página para poner a prueba una cuenta. Si los grupos no se muestran, asegurarse de que existen en pfSense con nombres que coinciden y que se selecciona la estructura de grupo adecuado (por ejemplo RFC 2703 grupos pueden necesitar ser seleccionado.)
Ejemplos de autenticación externos Hay innumerables maneras para con fi gurar el gestor de usuarios para conectarse a un servidor RADIUS o LDAP externo, pero hay algunos métodos comunes que pueden ser útiles para su uso como una guía. Los siguientes son todos probados / ejemplos de trabajo, pero la configuración del servidor probablemente variará del ejemplo.
Ejemplo servidor RADIUS Este ejemplo se preparó contra FreeRADIUS pero hacer lo mismo para Windows Server sería idéntica. Ver Autenticación RADIUS con Windows Server para obtener información sobre la configuración de un servidor de Windows para RADIUS.
9.3. Ejemplos de autenticación externos
137
El libro pfSense, Liberación
Esto supone que el servidor RADIUS ya ha sido con fi gurado para aceptar consultas de este fi cortafuegos como un cliente con un secreto compartido.
Nombre descriptivo ExCoRADIUS
Tipo Radio Nombre de host o dirección IP 192.2.0.5
Secreto compartido secretsecret Servicios ofrecidos Autenticación y Contabilidad Puerto de autenticación 1812 Puerto de contabilidad 1813 Tiempo de espera de la autenticación 10
Ejemplo OpenLDAP En este ejemplo, pfSense está configurado para conectarse de nuevo a un servidor OpenLDAP para la empresa.
Nombre descriptivo ExCoLDAP
Tipo LDAP Nombre de host o dirección IP ldap.example.com Puerto 636
Transporte SSL - encriptado
Peer Autoridad Certi fi cado CoEj CA Protocol Version 3 Ámbito de búsqueda Subárbol entero, dc = pfsense, dc = org
Contenedores de autenticación CN = pfsgroup; ou = personas, dc = pfsense, dc = org credenciales de enlace enlaces anónimos Comprobado
Plantilla inicial OpenLDAP Atributo de nombres de usuario cn
Grupo de nombres de atributo cn
Grupo de atributos miembro memberUid Grupos rfc2307 Comprobado
Clase de objeto grupo posixGroup Codificar UTF8 Comprobado Nombre de usuario Alteraciones Desenfrenado
Ejemplo de Active Directory LDAP En este ejemplo, pfSense está configurado para conectarse a una estructura de Active Directory con el fin de autenticar a los usuarios de una VPN. Los resultados se limitan a la VPNUsers grupo. omitir el consulta extendida a aceptar cualquier usuario.
Nombre descriptivo ExCoADVPN
138
Capítulo 9. Gestión de usuarios y autenticación
El libro pfSense, Liberación
Tipo LDAP Nombre de host o dirección IP 192.0.2.230 Puerto 389
Transporte TCP - Estándar
Protocol Version 3 Ámbito de búsqueda Subárbol entero, DC = dominio, DC = local
Contenedores de autenticación CN = Users, DC = dominio, DC = local consulta extendida memberOf = CN = VPNUsers, CN = Users, DC = ejemplo, DC = com credenciales de enlace enlaces anónimos Desenfrenado
DN de usuario CN = binduser, CN = Users, DC = dominio, DC = locales
Contraseña secretsecret Plantilla inicial microsoft AD Atributo de nombres de usuario samAccountName Grupo de nombres de atributo cn
Grupo de atributos miembro miembro de En este ejemplo se utiliza TCP normal, pero si el Certi fi cado de Autoridad para la estructura de AD ha sido importada bajo el Administrador de Certi fi cado de pfSense, SSL puede ser utilizado también seleccionando esa opción y la elección de la CA apropiado de la Peer Autoridad Certi fi cado desplegable y ajuste de la nombre de host con el nombre común del certificado de servidor fi cado.
Solución de problemas Prueba de servidores de autenticación es posible utilizando la herramienta situada en Diagnóstico> Autenticación. Desde esa página, poniendo a prueba un usuario es simple:
• Navegar a Diagnóstico> Autenticación •
Seleccione una La autenticación del servidor
•
Entrar a Nombre de usuario
• Entrar a Contraseña •
Haga clic en el Prueba botón.
El cortafuego intentará autenticar al usuario dado contra el servidor fi cado y devolverá el resultado. Por lo general, la mejor manera de probar al menos una vez antes de intentar utilizar el servidor. Si el servidor devuelve un conjunto de grupos para el usuario, y existen los grupos a nivel local con el mismo nombre, los grupos se imprimen en los resultados de la prueba.
Si se recibe un error al probar la autenticación, el doble comprobar las credenciales y la configuración del servidor, a continuación, hacer los ajustes necesarios y vuelva a intentarlo.
Los errores LDAP de Active Directory El error más común con acceso LDAP para Active Directory no está especificando un usuario de enlace adecuado en el formato correcto. Si el nombre de usuario por sí sola no funciona, introduzca el nombre completo (DN) para el usuario de enlace, tales como
CN = binduser, CN = Users, DC = dominio, DC = local.
9.4. Solución de problemas
139
El libro pfSense, Liberación
Si el DN completo del usuario es desconocido, se puede encontrar mediante la navegación al usuario en Edición de ADSI encontrado en Herramientas administrativas en el servidor Windows.
Otro error común con la pertenencia al grupo no está especificando subárbol entero para el Buscar nivel de ámbito.
Miembro Activo Directorio de Grupo Dependiendo de cómo se hicieron los grupos de Active Directory, la forma en que se especi fi cado puede ser diferente para cosas como la autenticación de envases y / o consultas extendido. Por ejemplo, un grupo de usuarios tradicional en AD se expone de manera diferente a LDAP que una unidad organizativa independiente. Edición de ADSI se encuentra en Herramientas administrativas en el servidor de Windows se puede utilizar para determinar cuál es el DN para un grupo dado será.
consulta extendida El error más común con consulta extendida es que la directiva dada no incluye tanto el elemento que se debe buscar, así como la forma, como por ejemplo: miembro de = CN = VPNUsers, CN = Usuarios DC = ejemplo, DC = com
Tenga en cuenta que en el ejemplo anterior el DN del grupo se administra junto con la restricción ( memberOf =)
Solución de problemas a través de los registros del servidor
Los errores de autenticación normalmente se registran por el servidor de destino (FreeRADIUS, Windows el Visor de sucesos, etc.), asumiendo que la solicitud es lo que hace todo el camino hasta el host de autenticación. Compruebe los registros del servidor para una explicación detallada por las que una solicitud ha fallado. El registro del sistema en pfSense ( Estado> Registros del sistema) También puede contener algún detalle que hace alusión a una resolución.
Solución de problemas a través de capturas de paquetes capturas de paquetes puede ser muy valiosa para el diagnóstico de errores también. Si un método no cifrado (RADIUS, LDAP sin SSL) está en uso, la contraseña real que se utiliza puede no ser visible pero suficiente del protocolo de intercambio se puede observar para determinar por qué una solicitud está fallando en completarse. Esto es especialmente cierto cuando una captura se carga en Wireshark, que pueda interpretar las respuestas para que, como se ve en la figura LDAP muestra de fallo de captura . Para obtener más información sobre las capturas de paquetes, consulte La captura de paquetes .
Fig 9.1:. LDAP Muestra fallo de captura
El Administrador de usuarios en pfSense proporciona la capacidad de crear y gestionar múltiples cuentas de usuario. Estas cuentas se pueden utilizar para acceder a la interfaz gráfica de usuario, utilice los servicios de VPN como OpenVPN e IPsec, y el uso del portal cautivo. El Administrador de usuarios también se puede utilizar para definir las fuentes de autenticación externos tales como RADIUS y LDAP. Ver también:
Los clientes con una pfSense Suscripción Oro puede acceder al Hangouts Archivo para ver FEBRERO Hangout el año 2015 en la gestión de usuarios y privilegios, y la conversación de agosto de 2015 sobre RADIUS y LDAP.
140
Capítulo 9. Gestión de usuarios y autenticación
El libro pfSense, Liberación
A lo largo de apoyo pfSense Al escribir estas líneas, no todas las áreas de pfSense enganchan de nuevo en el Administrador de usuarios.
GUI pfSense Es compatible con los usuarios en el Administrador de usuarios, ya través de RADIUS o LDAP. Grupos o usuarios de
RADIUS o LDAP requieren de fi niciones en el Administrador de usuarios local para gestionar sus permisos de acceso. OpenVPN Es compatible con los usuarios en el Administrador de usuarios, RADIUS o LDAP a través de Administrador de usuarios. IPsec Es compatible con los usuarios en el Administrador de usuarios, RADIUS o LDAP a través de Administrador de usuarios para Xauth, y RADIUS
para IKEv2 con EAP-RADIUS. portal cautivo Apoyar a los usuarios locales en el Administrador de usuarios, y los usuarios de RADIUS a través de ajustes en el Cautivo página del portal. L2TP Es compatible con los usuarios en la configuración de L2TP, ya través de RADIUS en la configuración de L2TP. PPPoE del servidor Es compatible con los usuarios en la configuración de PPPoE, y por medio de RADIUS en la configuración PPPoE.
9.5. A lo largo de apoyo pfSense
141
El libro pfSense, Liberación
142
Capítulo 9. Gestión de usuarios y autenticación
CAPÍTULO
DIEZ
CERTIFICADO DE GESTIÓN
Certi fi cado de Gestión de la autoridad Autoridades certi fi cado (CA) se gestionan desde Sistema> Cert Manager, sobre el CA lengüeta. Desde esta pantalla CA puede añadir, editar, exportados o eliminado.
Crear una nueva Autoridad Certi fi cado Para crear una nueva CA, iniciar el proceso de la siguiente manera:
•
Navegar a Sistema> Administrador de Cert sobre el CA lengüeta.
•
Hacer clic Añadir para crear un nuevo una CA.
•
Entrar a Nombre descriptivo para la CA. Esto se utiliza como una etiqueta para esta entidad emisora en toda la interfaz gráfica de usuario.
• Selecciona el Método que mejor se adapte a la forma en que se genere el CA. Estas opciones y más instrucciones están en las secciones correspondientes a continuación:
-
Crear una autoridad de certi fi cado interno
-
Importar una Autoridad Certi fi cado existente
-
Crear una Autoridad de Certificación Intermedio fi cado
Crear una autoridad de certi fi cado interno Los más comunes Método utilizado de aquí es Crear una autoridad de certi fi cado interno. Esto hará que una nueva entidad de certificación raíz basándose en la información introducida en esta página.
•
Selecciona el longitud de la clave para elegir la forma “fuerte” de la CA es en términos de cifrado. Cuanto más larga sea la clave, más segura es. Sin embargo, las claves más largas pueden tomar más tiempo de CPU para procesar, lo que no siempre es aconsejable utilizar el valor máximo. El valor por defecto de 2048 Es un buen equilibrio.
• Seleccione un digest Algorithm de la lista suministrada. La mejor práctica actual es utilizar un algoritmo SHA1 más fuerte que sea posible. SHA256 es una buena opción. Nota: Algunos equipos más antiguos o menos sofisticados, como los teléfonos VoIP compatibles con VPN sólo se puede apoyar SHA1 para el Digest Algorithm. Consulte la documentación del dispositivo para especi fi cs.
• Introduzca un valor para Toda la vida para especificar el número de días en que el CAwill sea válida. La duración depende de las preferencias personales y las políticas del sitio. Cambio de la CA con frecuencia es más seguro, pero también es un dolor de cabeza gestión, ya que requeriría volver a emitir nuevas certi fi cados cuando la CA caduca. Por defecto, la interfaz gráfica de usuario sugiere el uso de 3650 días, que es de aproximadamente 10 años.
143
El libro pfSense, Liberación
• Introduzca los valores de la Nombre distinguido la sección de parámetros personalizados en la CA. Estos suelen ser llenada con la información de una organización, o en el caso de un individuo, la información personal. Esta informa- ción es principalmente cosméticos, y se utiliza para verificar la exactitud de la CA, y para distinguir una CA de otra. Puntuación y caracteres especiales no deben ser utilizados.
-
Selecciona el Código de país de la lista. Este es el código de país ISO-reconocido, no es un dominio de nivel superior nombre de host.
-
Introducir el Estado o Provincia totalmente explicado, no abreviada.
-
Introducir el Ciudad.
-
Introducir el Organización nombrar, por lo general el nombre de la empresa.
-
Introduzca una valida Dirección de correo electrónico.
-
Introducir el Nombre común ( CN). Este campo es el nombre interno que identi fi ca la CA. A diferencia de un certificado, el CN para una CA no tiene por qué ser el nombre de host, o cualquier cosa específica. Por ejemplo, podría ser llamado
VPNCA o Mi ca. Nota: Aunque es técnicamente válida, evitar el uso de espacios en el CN.
•
Hacer clic Salvar
Si se informa de errores, tales como caracteres no válidos u otros problemas de entrada, que se describirán en la pantalla. Corregir los errores, y el intento de salvar de nuevo.
Importar una Autoridad Certi fi cado existente Si una entidad de certificación existentes de una fuente externa necesita ser importada, se puede hacer seleccionando la Método de Importar un Certi fi cado existente Autoridad. Esto puede ser útil de dos maneras: una, de las CA realiza mediante otro sistema, y dos, para las entidades emisoras de otros fabricantes debe ser de confianza.
• Introducir el datos de certi fi cado para la CA. Para confiar en una CA de otra fuente, sólo se requiere los datos de certi fi cado para el CA. Por lo general está contenida en un expediente que termina con. crt o. PEM. Sería texto plano, y encerrado en un bloque, tales como:
- - - - - BEGIN CERTIFICATE ----[Un manojo de aspecto al azar de datos codificado en base 64] - - - - - END CERTIFICATE -----
•
Introducir el Certi fi cado de clave privada si la importación de una CA externa personalizada o una CA que es capaz de generar sus propios certi fi cados y las listas de revocación de certi fi cado. Esto es por lo general en un expediente que termina en. llave. Sería de datos de texto sin formato encerrados en un bloque, tales como:
- - - - - COMENZAR la clave privada RSA ----[Un manojo de aspecto al azar de datos codificado en base 64] - - - - - FIN clave privada RSA -----
• Introducir el De serie para el próximo certi fi cado si se ha introducido la clave privada. Esto es esencial. Una CA creará certi fi cados cada uno con un número de serie único en secuencia. Este valor controla lo que la serie será para la próxima certi fi cado generado a partir de esta CA. Es esencial que cada certi fi cado tiene una serie único, o no habrá problemas en el futuro con la revocación de certi fi cado. Si la siguiente serie es desconocido, intento de estimar el número de certi fi cados se han hecho de la CA, y luego establecer el número suficientemente alto de una colisión sería poco probable.
•
Hacer clic Salvar
Si se informa de errores, tales como caracteres no válidos u otros problemas de entrada, que se describirán en la pantalla. Corregir los errores, y el intento de salvar de nuevo.
144
Capítulo 10. Gestión de Certi fi cado
El libro pfSense, Liberación
Importación de una Autoridad fi cado de cadena lineal o anidada Certi
Si la CA ha sido firmado por un intermediario y no directamente por una entidad de certificación raíz, puede ser necesario importar tanto la raíz y la CA intermedia juntos en una entrada, tales como: - - - - - BEGIN CERTIFICATE ----[/ CA intermedia de texto subordinado certificado] - - - - - END CERTIFICATE ----- - - - - BEGIN CERTIFICATE ---- [Root CA texto del certificado] - - - - - END CERTIFICATE -----
Crear una Autoridad de Certificación Intermedio fi cado
Un intermedio CA creará un nuevo CA que es capaz de generar certi fi cados, sin embargo, depende de otro CA superior por encima de ella. Para crear uno, seleccione Crear
una Autoridad de Certificación Intermedio fi cado desde el Método desplegable.
Nota: La entidad de nivel superior debe existir en pfSense (creado o importado)
•
Seleccione la entidad de nivel superior para firmar esta CA mediante el La firma de la Autoridad Certi fi cado desplegable. Sólo las CA con claves privadas presentes se mostrará, ya que esto es necesario para firmar adecuadamente esta nueva CA.
• Rellene el resto de parámetros idénticos a los de Crear una autoridad de certi fi cado interno .
Editar una Autoridad Certi fi cado Después de una CA se ha añadido, se puede editar de la lista de entidades de certificación que se encuentra en Sistema> Administrador de Cert sobre el CA lengüeta.
Para editar una CA, haga clic en el
icono en la parte final de su fila. La pantalla presentada permite la edición de los campos como si la CA eran
siendo importado. Para obtener información sobre los campos de esta pantalla, consulte Importar una Autoridad Certi fi cado existente . En la mayoría de los casos, el objetivo de esta pantalla es la corrección de la De serie de la CA si es necesario, o para agregar una clave a una CA importados por lo que se puede utilizar para crear y firmar certificados y CRL.
Exportación de una Autoridad Certi fi cado En la lista de las CA en Sistema> Administrador de Cert sobre el CA pestaña, el certi fi cado y / o clave privada de una CA se puede exportar. En la mayoría de los casos, la clave privada de una CA no se exporta, a menos que la CA se está moviendo a una nueva ubicación o se está realizando una copia de seguridad. Cuando se utiliza el CA para una VPN o la mayoría de los otros propósitos, solamente exportar el certi fi cado para la CA.
Advertencia: Si la clave privada de una CA se pone en las manos equivocadas, la otra parte podría generar nuevas certi fi cados que serían considerados válidos en contra de la CA.
Para exportar el certi fi cado de una CA, haga clic en el
icono de la izquierda. Para exportar la clave privada de la entidad emisora, haga clic en el
icono de la derecho. Pase el puntero del ratón sobre el icono y un mensaje emergente mostrará la acción a realizar para facilitar la con fi rmación. Los archivos que se descarga con el nombre descriptivo de la CA como el nombre de archivo, con la extensión. crt para la certi fi cado, y. llave para la clave privada.
10.1. Certi fi cado de Gestión de la autoridad
145
El libro pfSense, Liberación
Eliminar una Autoridad Certi fi cado Para eliminar una CA, primero se debe retirar de su uso activo.
• Compruebe áreas que pueden utilizar una CA, como OpenVPN, IPsec y paquetes. • Eliminar entradas que utilizan la CA o seleccionar una CA diferente •
Navegar a Sistema> Administrador de Cert sobre el CA lengüeta.
•
Encuentra la CA para eliminar de la lista.
•
Hacer clic
•
Haga clic en OK en el cuadro de diálogo confirmación.
al final de la fila de la CA.
Si aparece un error, siga las instrucciones que aparecen en pantalla para corregir el problema y vuelva a intentarlo.
Gestión de certi fi cado certi fi cados se gestionan desde Sistema> Cert Manager, sobre el certi fi cados lengüeta. Desde esta pantalla Certi fi cados se pueden añadir, editar, exportar o eliminar.
Crear un nuevo Certi fi cado Para crear un nuevo certi fi cado, iniciar el proceso de la siguiente manera:
•
Navegar a Sistema> Administrador de Cert sobre el certi fi cados lengüeta.
•
Hacer clic Añadir para crear un nuevo certi fi cado.
• Entrar a Nombre descriptivo para la certi fi cado. Esto se utiliza como una etiqueta para este certi fi cado de todo el GUI. • Selecciona el Método que mejor se adapte a la forma en que se genere el certi fi cado. Estas opciones y más instrucciones están en las secciones correspondientes a continuación:
-
Importar un Certi fi cado existente
-
Crear un certi fi cado interno
-
Crear un Certi fi cado de Solicitud de firma
Importar un Certi fi cado existente Si un certi fi cado existente desde una fuente externa necesita ser importada, se puede hacer seleccionando la Método de
Importar un Certi fi cado existente. Esto puede ser útil para certi fi cados que se han hecho utilizando otro sistema o para la certi fi cados que han sido proporcionados por un tercero.
• Introducir el los datos de certi fi cado Esto es requerido. Por lo general está contenida en un expediente que termina con. CRT. Sería texto plano, y encerrado en un bloque, tales como:
- - - - - BEGIN CERTIFICATE ----[Un manojo de aspecto al azar de datos codificado en base 64] - - - - - END CERTIFICATE -----
•
Introducir el datos clave privada que también se requiere. Esto es por lo general en un expediente que termina en. llave. Sería de datos de texto sin formato encerrados en un bloque, tales como:
146
Capítulo 10. Gestión de Certi fi cado
El libro pfSense, Liberación
- - - - - COMENZAR la clave privada RSA ----[Un manojo de aspecto al azar de datos codificado en base 64] - - - - - FIN clave privada RSA -----
•
Haga clic en Guardar a fi nal del proceso de importación.
Si se encuentran errores, siga las instrucciones que aparecen en pantalla para resolverlos. El error más común no está pegando en la parte derecha de la certi fi cado o de clave privada. Asegúrese de incluir el bloque entero, incluyendo la cabecera que comienza y termina el pie alrededor de los datos codificados.
Crear un certi fi cado interno Los más comunes Método es Crear un certi fi cado interno. Esto hará que un nuevo certi fi cado usando una de las Autoridades certi fi cado existentes.
• Selecciona el Autoridad certi fi cado por el cual se firmará este certi fi cado. Sólo una CA que tiene una clave privada presente puede estar en esta lista, ya que se requiere la clave privada para que el CA para firmar un certificado.
• Selecciona el longitud de la clave para elegir la forma “fuerte” el certi fi cado es en términos de cifrado. Cuanto más larga sea la clave, más segura es. Sin embargo, las claves más largas pueden tomar más tiempo de CPU para procesar, lo que no siempre es aconsejable utilizar el valor máximo. El valor por defecto de 2048 Es un buen equilibrio.
• Seleccione un digest Algorithm de la lista suministrada. La mejor práctica actual es utilizar un algoritmo SHA1 más fuerte que sea posible. SHA256 es una buena opción. Nota: Algunos equipos más antiguos o menos sofisticados, como los teléfonos VoIP compatibles con VPN sólo se puede apoyar SHA1 para el Digest Algorithm. Consulte la documentación del dispositivo para especi fi cs.
• Seleccione un Certi fi cado de Tipo que coincide con el propósito de este certi fi cado. -
Escoger Servidor de Certi fi cado si el certi fi cado será utilizado en un servidor VPN o HTTPS. Esto indica dentro de la certi fi cado que se puede utilizar en una función de servidor, y ningún otro. Nota: tipo de servidor certi fi cados incluyen atributos extendidos de uso de clave que indica que pueden usarse para la autenticación del servidor, así como el OID 1.3.6.1.5.5.8.2.2 que se utiliza por Microsoft para signi fi y que un certificado puede ser utilizado como un IKE intermedia. Estos son necesarios para Windows 7 y más tarde para confiar en el servidor certi fi cado para su uso con determinados tipos de VPN. También están marcados con una restricción indicando que no son una CA, y tienen nsCertType establece en “servidor”.
-
Escoger Certi fi cado de usuario si el certi fi cado se puede utilizar en calidad de usuario final, tales como cliente VPN, pero no se puede utilizar como un servidor. Esto evita que un usuario utilice su propio certi fi cado de hacerse pasar por un servidor.
Nota: Tipo de Usuario certi fi cados incluyen atributos extendidos de uso de claves que indica que se pueden utilizar para la autenticación de cliente. También están marcados con una restricción que indica que ellos no son una CA.
-
Escoger Autoridad certi fi cado para crear un CA. intermedio Un certificado generado de esta manera estará subordinado a la CA. elegido Se puede crear sus propios certi fi cados, pero la entidad emisora raíz también debe ser incluida cuando se utiliza. Esto también se conoce como “encadenamiento”.
• Introduzca un valor para Toda la vida para especificar el número de días en que el certi fi cado será válida. La duración depende de las preferencias personales y las políticas del sitio. Cambio de la certi fi cado con frecuencia es más seguro, pero también es un dolor de cabeza gestión, ya que requiere volver a emitir nuevas certi fi cados cuando expiran. Por defecto, la interfaz gráfica de usuario sugiere el uso de 3650 días, que es de aproximadamente 10 años.
• Introduzca los valores de la Nombre distinguido la sección de parámetros personalizados en el certi fi cado. La mayoría de estos campos se rellena previamente con datos de la CA. Estos suelen ser llenada con la información de una organización, o en el caso de un individuo, la información personal. Esta información es principalmente cosméticos, y se utiliza para
10.2. Gestión de certi fi cado
147
El libro pfSense, Liberación
verificar la exactitud de la certi fi cado, y para distinguir un certi fi cado de otro. Puntuación y caracteres especiales no deben ser utilizados.
-
Selecciona el Código de país de la lista. Este es el código de país ISO-reconocido, no es un dominio de nivel superior nombre de host.
-
Introducir el Estado o Provincia totalmente explicado, no abreviada.
-
Introducir el Ciudad.
-
Introducir el Organización nombrar, por lo general el nombre de la empresa.
-
Introduzca una valida Dirección de correo electrónico.
-
Introducir el Nombre común ( CN). Este campo es el nombre interno que identi fi ca el certi fi cado. A diferencia de una CA, el CN de un certificado debe ser un nombre de usuario o nombre de host. Por ejemplo, podría ser llamado VPNCert, usuario01, o vpnrouter.example.com.
Nota: Aunque es técnicamente válida, evitar el uso de espacios en el CN.
•
Hacer clic
Añadir añadir Nombres alternativos si se le pide. Nombres alternativos permiten que el certi fi cado de
especificar varios nombres que son todas válidas para la CN, como dos nombres de host diferentes, una dirección IP adicional, una dirección URL o una dirección de correo electrónico. Este campo se puede dejar en blanco si no se requiere o con el objeto no está claro.
•
-
Entrar a Tipo por el nombre alternativo. Este debe contener uno de DNS ( FQDN o nombre de host), IP ( Dirección IP), URI, o correo electrónico .
-
Entrar a Valor por el nombre alternativo. Este campo debe contener un valor con el formato correcto en base al tipo introducido.
-
Hacer clic
-
Repita este proceso para cada uno adicional Nombre alternativo.
Borrar al final de la fila correspondiente a un nombre alternativo que no sean necesarios.
Hacer clic Salvar.
Si se informa de errores, tales como caracteres no válidos u otros problemas de entrada, que se describirán en la pantalla. Corregir los errores, y el intento de salvar de nuevo.
Crear un Certi fi cado de Solicitud de firma la elección de una Método de Certi fi cado de Solicitud de firma crea una nueva solicitud de expediente que se pueden enviar en un tercer partido de CA para ser firmado. Esto se usaría para obtener un certificado de una autoridad de certi fi cado raíz de confianza. Una vez que esto Método
ha sido elegido, el resto de parámetros para la creación de este certi fi cado son idénticos a los de Crear un certi fi cado interno .
Exportación de un certi fi cado En la lista de los certi fi cados en Sistema> Administrador de Cert sobre el certi fi cados pestaña, un certificado y / o su clave privada puede ser exportado.
Para exportar el certi fi cado, haga clic en el
icono. Para exportar la clave privada para el certi fi cado, haga clic en el
icono. Exportar
la fi cado CA cado, certi fi cado y la clave privada para el certi fi cado juntos en un archivo PKCS # 12 fi l, haga clic en el
confirmar la correcta fi le está siendo exportado, pase el puntero del ratón sobre el icono y un mensaje emergente mostrará la acción a realizar.
148
Capítulo 10. Gestión de Certi fi cado
icono. A
El libro pfSense, Liberación
Los archivos que se descarga con el nombre descriptivo de la certi fi cado como el nombre de archivo y la extensión. crt para la certi fi cado y. llave para la clave privada, o. p12 para un PKCS # 12 fi l.
Retirar un certi fi cado Para eliminar un certificado, en primer lugar se debe retirar de su uso activo.
• Compruebe áreas que pueden utilizar un certificado, tales como las opciones webgui, OpenVPN, IPsec y paquetes. • Eliminar entradas mediante el certi fi cado, o elegir otro certi fi cado. •
Navegar a Sistema> Administrador de Cert sobre el certi fi cados lengüeta.
• Busque el certi fi cado a eliminar de la lista •
Hacer clic
al final de la fila de la certi fi cado.
•
Haga clic en OK en el cuadro de diálogo confirmación.
Si aparece un error, siga las instrucciones que aparecen en pantalla para corregir el problema y vuelva a intentarlo.
Certificados de usuario fi
Si una VPN está siendo utilizado por el usuario que requiere certi fi cados, que se pueden crear en una de varias maneras. El método exacto depende del lugar donde se realiza la autenticación de la VPN y si el certi fi cado ya existe.
Sin autenticación o la autenticación externa Si no hay ninguna autenticación de usuario, o si la autenticación del usuario se realiza en un servidor externo (RADIUS, LDAP, etc.) y luego hacer un usuario certi fi cado como cualquier otro certi fi cado descrito anteriormente. Asegurarse de que Certi fi cado de usuario se selecciona para el Certi fi cado de Tipo y establecer el Nombre común ser el nombre del usuario.
Autenticación local / Crear Certi fi cado al crear un usuario Si la autenticación de usuario se está realizando en pfSense, el usuario certi fi cado se puede hacer dentro del Administrador de usuarios.
•
Navegar a Sistema> Administrador de usuarios
• Crear un usuario. Ver Gestión de usuarios y autenticación para detalles. •
Rellene el Nombre de usuario y Contraseña
• Seleccionar Haga clic para crear un certi fi cado de usuario en el usuario Certi fi cates sección, que mostrará una forma simple para crear un usuario certi fi cado.
-
Introducir una breve Nombre descriptivo, que puede ser el nombre de usuario o algo como El acceso remoto VPN de Bob Cert.
-
Elegir el correcto Autoridad certi fi cado para la VPN.
-
Ajustar el Longitud de la clave y Toda la vida Si es deseado.
•
Terminar cualesquiera otros datos de usuario necesarios.
•
Hacer clic Salvar
10.2. Gestión de certi fi cado
149
El libro pfSense, Liberación
Autenticación local / Agregar un certificado a un usuario existente Para agregar un certificado a un usuario existente:
•
Navegar a Sistema> Administrador de usuarios
•
Hacer clic
para editar el usuario
•
Hacer clic
Añadir bajo usuario Certificados fi.
• Elegir opciones disponibles según sea necesario en el proceso de creación de certi fi cado se describe en Crear un nuevo Certi fi cado , o seleccione Elija un certi fi cado existente y luego seleccione una de las Certi fi cados existentes Para obtener más información acerca de agregar y administrar usuarios, consulte Gestión de usuarios y autenticación .
Cado de gestión de lista de revocación de fi cado Listas de Revocación de certi fi cado (CRL) son una parte del sistema X.509 que publican listas de certi fi cados que ya no se debe confiar. Estos certi fi cados pueden haber sido comprometidos o no necesitar ser invalidado. Una aplicación que utiliza una CA, como OpenVPN puede utilizar opcionalmente una CRL para que pueda verificar la conexión de cliente certi fi cados. Una CRL es generado y firmado en contra de una CA utilizando su clave privada, por lo que con el fin de crear o agregar certi fi cados a una CRL en la interfaz gráfica de usuario, la clave privada de la CA debe estar presente. Si la CA es administrado externamente y la clave privada de la CA no está en el cortafuego, una CRL todavía se puede generar fuera del cortafuego y de importación.
La forma tradicional de usar una CRL es tener sólo una CRL por CA y sólo añadir certi fi cados no válidos para que el CRL. En pfSense, sin embargo, múltiples CRL pueden ser creados por un solo CA. En OpenVPN, diferentes CRLs pueden ser elegidos para las instancias de VPN separadas. Esto podría ser utilizado, por ejemplo, para evitar que un específico certi fi cado se conecte a una instancia al tiempo que permite que se conecte a otro. Para IPsec, todas las CRL son consultados y no hay una selección como la que existe actualmente con OpenVPN.
Listas de Revocación de certi fi cado se gestionan desde Sistema> Cert Manager, sobre el Certi fi cado de Revocación lengüeta. Desde esta pantalla entradas de CRL se pueden añadir, editar, exportar o eliminar. La lista mostrará todas las autoridades de certi fi cado y una opción para agregar una CRL. La pantalla también indica si la CRL es interno o externo (importado), y muestra un recuento de la cantidad de certi fi cados han sido revocados en cada CRL.
Nota: CRL genera utilizando pfSense 2.2.4-RELEASE y posteriores incluyen adecuadamente el atributo fi cador authorityKeyIdenti para permitir funcionamiento correcto con strongSwan para su uso con IPsec.
Crear una nueva lista de revocación de Certi fi cado Para crear una nueva CRL:
• Navegar a Sistema> Cert Manager, sobre el Certi fi cado de Revocación lengüeta. • Encuentra la fila con la CA que se creará al LCR en. •
Hacer clic
Agregar o Importar CRL al final de la fila para crear una nueva CRL.
• Escoger Crear una lista de revocación de Certi fi cado interno para el Método. • Entrar a Nombre descriptivo para la CRL, que se utiliza para identificar esta CRL en las listas de todo el GUI. Por lo general es mejor para incluir una referencia al nombre de la entidad y / o el propósito de la CRL.
• Seleccione la CA adecuada del Autoridad certi fi cado Menú desplegable.
150
Capítulo 10. Gestión de Certi fi cado
El libro pfSense, Liberación
• Introduzca el número de días en que la CRL debe ser válido en el Toda la vida caja. El valor por defecto es 9999 días o años casi 27 y medio. •
Hacer clic Salvar
El navegador será el retorno a la lista CRL, y la nueva entrada se muestra allí.
Importar una lista de revocación de Certi fi cado existente Para importar una CRL de una fuente externa:
• Navegar a Sistema> Cert Manager, sobre el Certi fi cado de Revocación lengüeta • Encuentra la fila con la CA que la CRL se importará para.
•
Hacer clic
Agregar o Importar CRL al final de la fila para crear una nueva CRL.
• Escoger Importar una lista de revocación de Certi fi cado existente para el Método. • Entrar a Nombre descriptivo para la CRL, que se utiliza para identificar esta CRL en las listas de todo el GUI. Por lo general es mejor para incluir una referencia al nombre de la entidad y / o el propósito de la CRL.
• Seleccione la CA adecuada del Autoridad certi fi cado Menú desplegable. •
Introducir el los datos de CRL. Esto es por lo general en un expediente que termina en. CRL. Sería de datos de texto sin formato encerrados en un bloque, tales como:
- - - - - COMENZAR X509 CRL ----[Un manojo de aspecto al azar de datos codificado en base 64] - - - - - FIN X509 CRL -----
•
Hacer clic Salvar al fi nal del proceso de importación.
Si aparece un error, siga las instrucciones que aparecen en pantalla para corregir el problema y vuelva a intentarlo. El error más común no está pegando en la parte derecha de los datos de CRL. Asegúrese de introducir el bloque entero, incluyendo la cabecera que comienza y termina el pie alrededor de los datos codificados.
Exportar una lista de revocación de Certi fi cado En la lista de CRL en Sistema> Administrador de Cert sobre el Certi fi cado de Revocación pestaña, una CRL también puede ser exportado. Para exportar la CRL, haga clic en el
icono. El expediente se descargará con el nombre descriptivo de la CRL como el fi l nombre,
y la extensión. CRL.
Eliminar una lista de revocación cado Certi fi •
Compruebe áreas que pueden utilizar una CRL, como OpenVPN.
• Eliminar entradas utilizando el CRL, o elegir otro lugar CRL. •
Navegar a Sistema> Administrador de Cert sobre el Certi fi cado de Revocación lengüeta.
• Busque la CRL a eliminar de la lista •
Haga clic en el
icono al final de la fila de la CRL.
•
Haga clic en OK en el cuadro de diálogo confirmación.
Si aparece un error, siga las instrucciones que aparecen en pantalla para corregir el problema y vuelva a intentarlo.
10.3. Cado de gestión de lista de revocación de fi cado
151
El libro pfSense, Liberación
Revocar una certi fi cado Una CRL no es muy útil a menos que contenga revocado certi fi cados. Un certificado se revoca añadiendo el certi fi cado a una CRL:
•
Navegar a Sistema> Administrador de Cert sobre el Certi fi cado de Revocación lengüeta.
• Busque la CRL a editar en la lista •
Haga clic en el
icono al final de la fila de la CRL. Una pantalla se presenta el detalle de las revocada actualmente
certi fi cados, y un control para agregar otros nuevos.
• Seleccione el certi fi cado de la Elija un certificado a revocar lista. • Seleccione un Razón de la lista desplegable para indicar por qué el certi fi cado está siendo revocada. Esta información no afecta a la validez del certi fi cado es meramente de naturaleza informativa. Esta opción se puede dejar en el valor predeterminado.
• Hacer clic Añadir y el certi fi cado se añadirá a la CRL. Certi fi cados pueden ser retirados de la CRL utilizando esta pantalla, así:
•
Navegar a Sistema> Administrador de Cert sobre el Certi fi cado de Revocación lengüeta.
• Busque la CRL a editar en la lista •
Haga clic en el
icono al final de la fila de la CRL.
• Encuentra el certi fi cado en la lista y haga clic en el •
icono para eliminarlo de la CRL.
Hacer clic DE ACUERDO en el diálogo de confirmación.
Después de añadir o retirar un certificado, la CRL se re-escrito si está actualmente en uso por todas las instancias de VPN para que los cambios CRL serán inmediatamente activo.
Actualización de una lista de revocación de Certi fi cado Importado Para actualizar una CRL importados:
•
Navegar a Sistema> Administrador de Cert sobre el Certi fi cado de Revocación lengüeta.
• Busque la CRL a editar en la lista •
Haga clic en el
icono al final de la fila de la CRL.
• Borrar el contenido pegado en el CRL datos caja y reemplazarlo con el contenido de la nueva CRL •
Hacer clic Salvar.
Después de la actualización de la CRL importada, será re-escrito si está actualmente en uso por cualquier instancia de VPN para que los cambios CRL serán inmediatamente activa.
Introducción básica a X.509 Public Key Infrastructure Una de las opciones de autenticación para redes VPN es utilizar claves X.509. Una discusión a fondo de X.509 y tura de clave pública Infrastructure (PKI) está fuera del alcance de este libro, y es el tema de una serie de libros enteros para los interesados en los detalles. En este capítulo se proporciona la comprensión muy básica necesaria para la creación y gestión de los certi fi cados en pfSense.
152
Capítulo 10. Gestión de Certi fi cado
El libro pfSense, Liberación
Con PKI, primero se crea un fi cado fi cado Autoridad (CA). Esta CA firma entonces todos los certi fi cados individuales en la PKI. El certi fi cado de la CA se utiliza en servidores y clientes VPN para verificar la autenticidad de Cates servidor y el cliente fi cado utilizados. El certi fi cado para el CA puede ser utilizado para verificar la firma de certi fi cados, pero no firmar certi fi cados. La firma de certi fi cados requiere la clave privada de la CA. El secreto de la clave privada de la CA es lo que garantiza la seguridad de una PKI. Cualquier persona con acceso a la clave privada de la CA puede generar certi fi cados para ser utilizado en una PKI, por lo que debe mantenerse segura. Esta clave no se distribuye a los clientes o servidores.
Advertencia: Nunca copiar más archivos a los clientes que son necesarios, ya que esto podría poner en peligro la seguridad de la PKI.
Un certificado se considera válido si ha sido confiado por una CA dada En este caso de las VPN, esto significa que un certificado hecho de una especi fi co CA sería considerado válido para cualquier VPN usando esa CA. Por eso la mejor práctica es crear una CA único para cada VPN que tiene un diferente nivel de seguridad. Por ejemplo, si hay dos VPNs de acceso móvil con el mismo acceso de seguridad, utilizando la misma CA para aquellos VPN está bien. Sin embargo, si una VPN es para los usuarios y otra VPN es para la administración remota, cada uno con diferentes restricciones, a continuación, una CA único para cada VPN se debe utilizar.
Listas de Revocación de certi fi cado (CRL) son listas de certi fi cados que han sido comprometidos o no necesitarán ser invalidado. La revocación de un certificado hará que se puede considerar que no se confía, siempre y cuando la aplicación utilizando el CA también utiliza una CRL. CRL se generan y firmaron contra una CA utilizando su clave privada, por lo que con el fin de crear o agregar certi fi cados a una CRL en la GUI de la clave privada de una CA debe estar presente.
10.4. Introducción básica a X.509 Public Key Infrastructure
153
El libro pfSense, Liberación
154
Capítulo 10. Gestión de Certi fi cado
CAPÍTULO
ONCE
COPIA DE SEGURIDAD Y RECUPERACIÓN
Hacer copias de seguridad en los WebGUI Hacer una copia de seguridad en el WebGUI es simple.
• Navegar a Diagnóstico> Copia de Seguridad •
Selecciona el Área de copia de seguridad a TODAS ( la opción por defecto)
• Establecer otras opciones deseadas, tales como Saltar RRD y encriptación •
Hacer clic Descarga Con fi guración como XML ( Figura WebGUI de copia de seguridad ).
Fig. 11.1: WebGUI de copia de seguridad
El navegador web que le preguntará por salvar el expediente en alguna parte del ordenador que esté utilizando para ver la WebGUI. Se llamará config - .xml, sino que pueden ser cambiados antes de guardar el archivo.
Usando el paquete fi AutoCon gBackup pfSense Suscripción Oro los usuarios tienen acceso al servicio de copia de seguridad automática Con fi guración a través de la AutoCon fi g- de copia de seguridad paquete. La información más actualizada sobre AutoCon fi gBackup se pueden encontrar en la página de documentación para el pfSense AutoCon fi paquete gBackup .
155
El libro pfSense, Liberación
Funcionalidad y Bene fi cios Cuando se hace un cambio con fi guración fi cortafuegos, se cifra automáticamente con la contraseña introducida en el paquete con fi guración y subido a través de HTTPS a los servidores gBackup fi AutoCon. Sólo fi guraciones cifrada se retienen en los servidores gBackup fi AutoCon. Esto da instantáneo y seguro de copia de seguridad fuera de las instalaciones de fi cortafuegos con fi guración de archivos sin intervención del usuario una vez que el paquete está con fi gurado.
pfSense Compatibilidad de la versión los AutoCon fi gBackup paquete funciona con todas las versiones compatibles de pfSense, y muchas versiones anteriores también.
Con fi guración de la instalación y Para instalar el paquete:
• Navegar a Sistema> Gestor de paquetes, Paquetes disponibles lengüeta • Localizar AutoCon fi gBackup en la lista • Hacer clic Instalar al final de la entrada AutoCon fi gBackup • Hacer clic Con fi rm para confirmar la instalación El cortafuego A continuación, descargar e instalar el paquete. Una vez instalado, el paquete se puede encontrar en el menú bajo
Diagnóstico> AutoCon fi gBackup
Ajuste del nombre de host Asegúrese de con fi gura un nombre de host único y dominio en Sistema> Configuración general. Las entradas con fi guración en AutoCon fi gBackup se almacenan por FQDN (Quali fi ed totalmente de nombres de dominio, es decir, nombre de host + dominio), por lo que cada cortafuego ser respaldado debe tener un FQDN único, de lo contrario el sistema no puede diferenciar entre múltiples instalaciones.
Con fi guración fi AutoCon gBackup El paquete está con fi gurado bajo Diagnóstico> AutoCon fi gBackup. Sobre el ajustes pestaña, llenar en la configuración de la siguiente manera:
Nombre de usuario de suscripción El nombre de usuario para el pfSense Suscripción Oro cuenta
Suscripción Contraseña / Con fi rm La contraseña para el pfSense Suscripción Oro cuenta Cifrado de la contraseña / Con fi rm Una frase de contraseña arbitraria utiliza para cifrar la configuración con fi antes UP-
cargando. Esto debe ser una contraseña larga y compleja para garantizar la seguridad de la con fi guración. Los servidores fi gBackup AutoCon sólo tienen copias cifradas, que son inútiles sin este El cifrado de contraseñas Advertencia: Es importante que el El cifrado de contraseñas ser recordado o almacenan de forma segura fuera del cortafuego. Sin el Contraseña de cifrado, la con fi guración fi l no se puede recuperar y el El cifrado de contraseñas No se almacena en el servidor fuera de la con fi guración fi l.
La funcionalidad de copia de seguridad de pruebas
Hacer un cambio para forzar una copia de seguridad con fi guración, tales como editar y guardar un cortafuego o regla de NAT, a continuación, en Aplicar cambios. Visitar Diagnóstico> AutoCon fi gBackup, restauración pestaña, que enumerará las copias de seguridad disponibles junto con la página que realiza el cambio (si está disponible).
156
Capítulo 11. Copias de seguridad y recuperación
El libro pfSense, Liberación
Copia de seguridad manual de las
Copias de seguridad manuales deben hacerse antes de una actualización o una serie de cambios significativos, ya que almacenará un fi camente específico de copia de seguridad que muestra la razón, que a su vez hace que sea fácil de restaurar si es necesario. Debido a que cada cambio con fi guración desencadena una nueva copia de seguridad, cuando se realiza una serie de cambios que puede ser difícil saber dónde se inició el proceso. Para forzar una copia de seguridad manual de la con fi guración:
• Navegar a Diagnóstico> AutoCon fi gBackup •
Haga clic en el Copia ahora pestaña en la parte superior
• Entrar a Razón de respaldo • Hacer clic Apoyo
La restauración de una con fi guración
Para restaurar una con fi guración:
• Navegar a Diagnóstico> AutoCon fi gBackup •
Haga clic en el Restaurar pestaña en la parte superior
•
Busque la copia de seguridad deseada en la lista
•
Hacer clic
a la derecha de la fila guración fi con
El cortafuego descargará la con fi guración especí fi cado desde el servidor AutoCon fi gBackup, descifrarlo con la En- contraseña Cryption, y restaurarlo. Por defecto, el paquete no lo hará iniciar un reinicio. Dependiendo de la con fi guración de los elementos restaurados, un reinicio puede no ser necesario. Por ejemplo, fi cortafuegos y reglas NAT se vuelven a cargar de forma automática después de restaurar una configuración con fi. Después de la restauración, se solicita al usuario si desea reiniciar. Si el restaurado con fi guración cambia otra cosa que las reglas de NAT y cortafuego, seleccione Sí y permitir que el cortafuego para reiniciar.
Restauración de metal desnudo Si el disco en el cortafuego falla, a partir de ahora se requiere el siguiente procedimiento para recuperar en una instalación nueva.
•
Reemplazar el disco que ha fallado
• Instalar pfSense en el nuevo disco • Con fi gura LAN y WAN, y asignar el nombre de host y de dominio exactamente el mismo que el anterior con fi gurar • instalar el AutoCon fi gBackup paquete • Con fi gura el paquete AutoCon fi gBackup como se ha descrito anteriormente, utilizando la misma cuenta de portal y la misma El cifrado de contraseñas utilizada anteriormente.
•
Visita el Restaurar lengüeta
• Seleccione la con fi guración para restaurar •
Cuando se le pida que reinicie después de la restauración, que lo hagan
Una vez que el cortafuego ha sido reiniciado, se va a correr con la con fi guración copia de seguridad antes de la falla.
11.2. Usando el paquete fi AutoCon gBackup
157
El libro pfSense, Liberación
Comprobación del estado de AutoCon fi gBackup El estado de una AutoCon fi gBackup carrera cayo comprobarse mediante la revisión de la lista de copias de seguridad se muestra en la Restaurar lengüeta. Esta lista se extrae de los servidores gBackup fi AutoCon. Si la copia de seguridad está en la lista, que se ha creado correctamente. Si una copia de seguridad falla, una alerta se registra, y será visible como un aviso en el WebGUI.
Técnicas alternas copia de seguridad remota Las siguientes técnicas también pueden utilizarse para realizar copias de seguridad de forma remota, pero cada método tiene sus propios problemas de seguridad que se puedan descartar su uso en muchos lugares. Para empezar, estas técnicas no cifran la con fi guración, que puede contener información sensible. Esto puede dar lugar a la con fi guración que se transmite sobre un enlace sin cifrar, no es de confianza. Si es necesario utilizar una de estas técnicas, lo mejor es hacerlo desde un enlace no WAN (red LAN, DMZ, etc.) oa través de una VPN. El acceso a los medios de almacenamiento que llevan a cabo la copia de seguridad también debe ser controlada, si no cifrada. los AutoCon fi g- de copia de seguridad paquete, disponible con una pfSense Suscripción Oro , Es un medio mucho más fácil y más seguro de la automatización de copias de seguridad remotas.
Tire con wget La configuración con fi puede ser recuperada desde un sistema remoto mediante el uso de wget, y este proceso puede ser escrito con cron o por otros medios. Incluso cuando se utiliza HTTPS, esto no es un modo de transporte realmente segura desde certi fi cado de comprobación está deshabilitada para dar cabida a los certi fi cados de firma propia, lo que permite ataques man-in-the-middle. Cuando se ejecuta con las copias de seguridad
wget a través de redes no seguras, utilice HTTPS con un certificado que puede ser verificable ed por wget.
En pfSense 2.2.6 y posteriores, el comando wget debe dividirse en múltiples pasos para manejar el procedimiento de conexión y descarga de copia de seguridad a la vez que representa el CSRF la verificación.
Para un cortafuego corriendo HTTPS con un certi fi cado autofirmado, el comando sería el siguiente:
• Buscar el formulario de acceso y guardar las galletas y token CSRF: $ Wget -qO- --keep-sesión-cookies --save-cookies cookies.txt \ - - sin comprobar en certificados https://192.168.1.1/diag_backup.php \ | grep "name = '__ csrf_magic'" | 'Valor /.* s = "\ (. * \)". * / \ 1 /' SED> csrf.txt
• Envíe el formulario de acceso junto con el primer CSRF token y guardar el segundo token CSRF: $ wget -qO- --keep-Session-cookies --load-cookies cookies.txt \ - - save-galletas cookies.txt --no-check-certificado \ - - post-data "login = Entrar y usernamefld = admin y passwordfld = pfSense y __ csrf_magic = $ (cat csrf.txt)" \ https://192.168.1.1/diag_backup.php | grep "name = '__ csrf_magic'" \ | 'Valor /.* s = "\ (. * \)". * / \ 1 /' SED> csrf2.txt
• Ahora el guión está conectado y puede tomar acciones. Presentar el formulario de descarga junto con el segundo token CSRF para guardar una copia de config.xml:
$ wget --keep-sesión-cookies --load-cookies cookies.txt --no certificado-verificar-\ - - post-datos "submit = descarga y donotbackuprrd = yes y __ csrf_magic = $ (cabeza -n 1 csrf2.txt)" \ https://192.168.1.1/diag_backup.php -O config de enrutador `date +% Y% m%% d H % M% S`.xml Vuelva a colocar el nombre de usuario y una contraseña con las credenciales para el cortafuego, y la dirección IP sería lo que la dirección IP es alcanzable desde el sistema de la realización de la copia de seguridad, y el uso de HTTP o HTTPS para que coincida con la interfaz gráfica de usuario fi cortafuegos. Al respaldo la RRD archivos, y omita el donotbackuprrd = yes parámetro desde el último comando.
158
Capítulo 11. Copias de seguridad y recuperación
El libro pfSense, Liberación
El sistema de la realización de la copia de seguridad también tendrá acceso a la WebGUI, por lo que ajustar las reglas fi cortafuego en consecuencia. No se recomienda realizar esta través de la WAN. Como mínimo, utilice HTTPS y restringir el acceso a la WebGUI a un conjunto de confianza de direcciones IP públicas. Es preferible hacer esto localmente oa través de una VPN.
Empujar con SCP La con fi guración fi le también puede ser empujado desde el fi cortafuegos pfSense a otro sistema UNIX con SCP. Utilizando SCP para empujar una copia de seguridad de una sola vez con la mano puede ser útil, pero usarlo de una manera automática conlleva algunos riesgos. La línea de comandos para SCP variará dependiendo de la con fi guración del sistema, pero estará cerca de los siguientes:
#
SCP /cf/conf/config.xml \ usuario @ backuphost: backups / config-`hostname`-`date +% Y% m% d% H% M% S`.xml
Con el fin de empujar el con fi guración de una manera automatizada, generar una clave de SSH sin una frase de contraseña. Debido a la naturaleza insegura de una llave sin una frase de paso, la generación de una clave de este tipo se deja como ejercicio para el lector. Esto añade riesgo debido al hecho de que cualquier persona con acceso a ese expediente tiene acceso a la cuenta designada, sin embargo porque la clave se mantiene en el cortafuego que se restringe el acceso, no es un riesgo considerable en la mayoría de los escenarios. Si se hace esto, asegúrese de que el usuario remoto está aislada y tiene poco o nada de privilegios en el sistema de destino. Un chrooted SCP medio ambiente puede ser deseable en este caso. los scponly shell está disponible para la mayoría de las plataformas UNIX que permite SCP fi l copias pero se lo niega capacidades de login interactivos. Algunas versiones de OpenSSH tienen soporte incorporado para chroot SFTP (Secure FTP). Estas medidas limitan en gran medida el riesgo de compromiso en relación con el servidor remoto, pero todavía dejan los datos de copia de seguridad en riesgo. Una vez que el acceso es con fi gurado, una entrada cron podría añadirse al sistema de pfSense para invocar SCP. Para más detalles visita la Wiki de documentación pfSense o buscar en los foros.
copia de seguridad SSH básica
Similar a SCP copia de seguridad, hay otro método que funcione de un sistema UNIX a otro. Este método no invoca la capa SCP / SFTP, que en algunos casos puede no funcionar correctamente si un sistema que ya está en un estado fallido:
$ Cat ssh [email protected] /cf/conf/config.xml> backup.xml Cuando se ejecuta, esta orden dará lugar a una fi l llama backup.xml en el directorio de trabajo actual que contiene el pfSense remota fi cortafuegos con fi guración. La automatización de este método utilizando cron también es posible, pero este método requiere una clave SSH sin contraseña como en el host que realiza la copia de seguridad. Esta tecla le permitirá el acceso administrativo al cortafuego, así que debe ser estrictamente controlada. (Ver Secure Shell (SSH) para detalles.)
La restauración de copias de seguridad Las copias de seguridad no son útiles sin un medio para recuperar estos datos, y por extensión, a prueba. pfSense ofrece varios medios para restaurar la con fi guraciones. Algunos son más complejas que otras, pero cada uno tendrá el mismo resultado final: un sistema en funcionamiento idéntico al que se realizó la copia de seguridad.
La restauración de las WebGUI La forma más fácil para la mayoría de los usuarios restaurar una con fi guración es mediante el uso de la WebGUI:
• Navegar a Diagnóstico> Copia de Seguridad • localizar el Restaurar la con fi guración sección (figura WebGUI Restaurar ). •
Seleccionar el área a restaurar (típicamente TODAS )
11.4. La restauración de copias de seguridad
159
El libro pfSense, Liberación
•
Haga clic en Examinar
• Busque la copia de seguridad fi l en el PC local • Hacer clic Restaurar Con fi guración La con fi guración se aplicará, y el cortafuego se reiniciará con los valores obtenidos a partir de la copia de seguridad archivo.
Fig. 11.2: WebGUI Restaurar
Mientras que es fácil trabajar con él, este método tiene algunos requisitos previos cuando se trata de una restauración completa a un nuevo sistema. En primer lugar, tendría que ser hecho después de que el nuevo sistema de destino está completamente instalado y funcionando. En segundo lugar, se requiere un PC adicional conectado a una red de trabajo o cable cruzado detrás del cortafuegos fi pfSense siendo restaurado.
La restauración de la Con fi g Historia Para problemas menores, utilizando una de las copias de seguridad internas en la fi cortafuegos pfSense es la forma más fácil de retroceder un cambio. En instalaciones completas, las configuraciones anteriores fi 30 estafadores se almacenan en el Con fi guración de la historia, junto con la corriente de funcionamiento con fi guración. En NanoBSD, 5 configuraciones se almacenan fi. Cada fila muestra la fecha en que la con fi guración fi l fue hecho, la versión con fi guración, el usuario y la dirección IP de una persona haciendo un cambio en la interfaz gráfica de usuario, la página que ha realizado el cambio, y en algunos casos, una breve descripción del cambio que se hizo. Los botones de acción a la derecha de cada fila mostrará una descripción de lo que hacen cuando el puntero del ratón sobre el botón. Para restaurar una con fi guración de la historia:
• Navegar a Diagnóstico> Copia de Seguridad •
Haga clic en el Con fi g Historia pestaña (figura Con fi guración de la historia ).
•
Busque la copia de seguridad deseada en la lista
•
Hacer clic
para restaurar esa con fi guración fi l
La con fi guración será restaurado, pero un reinicio no es automático cuando sea necesario. Los cambios menores no requieren un reinicio, aunque revertir algunos cambios importantes voluntad. Si un cambio se hizo sólo en una sección especí fi ca, tales como reglas cortafuego, desencadenar una actualización en esa zona de la interfaz gráfica de usuario para activar los cambios. Para las reglas de cortafuego, una recarga de filtro podría ser suficiente. Para OpenVPN, editar y guardar la instancia VPN sería suficiente. Las acciones necesarias para llevar depende de lo que ha cambiado en la con fi g, pero la mejor manera de asegurar que la con fi guración completa está activo sería un reinicio. Si es necesario, reinicie el cortafuego con la nueva con fi guración por ir a Diagnóstico> Reiniciar sistema y haga clic Sí.
160
Capítulo 11. Copias de seguridad y recuperación
El libro pfSense, Liberación
La figura 11.3:. Con fi guración de la historia
fi guraciones previamente guardados se pueden eliminar haciendo clic
, pero no los elimine por ahorrar espacio en la mano; el viejo
copias de seguridad con fi guración se eliminan automáticamente cuando se crean otras nuevas. Es deseable eliminar una copia de seguridad de una con fi guración cambio de malos conocidos para asegurarse de que no se restaura de forma accidental.
Una copia de la anterior con fi guración puede ser descargado haciendo clic
.
Con fi g Ajustes de historia La cantidad de copias de seguridad almacenadas en la con fi guración de la historia se puede cambiar si es necesario.
• Navegar a Diagnóstico> Copia de Seguridad •
Haga clic en el Con fi g Historia lengüeta
•
Hacer clic
•
Introduzca el nuevo número de configuraciones para retener fi
•
Hacer clic Salvar
en el extremo derecho de la Guardados con fi guraciones bar para expandir la configuración.
Junto con el recuento de con fi guración, también se muestra la cantidad de espacio consumido por las copias de seguridad actuales.
Con fi g Historia Dif Las diferencias entre cualesquiera dos con fi guración archivos pueden ser vistos en el Con fi g Historia lengüeta. A la izquierda de la con fi guración fi l de la lista hay dos columnas de botones de radio. Utilice la columna de la izquierda para seleccionar el mayor de los dos con fi guración de archivos, y luego usar la columna de la derecha para seleccionar el más
nuevo de los dos archivos. Una vez que ambos archivos han sido seleccionados, haga clic diff en la parte superior o inferior de la columna.
Con la consola Historia fi guración La historia con fi guración también está disponible desde el menú de la consola como opción 15, Restaurar recientes con fi guración. La selección del menú, aparecerá una lista con fi guración reciente archivos y permitir que sean restaurados. Esto es útil si un cambio reciente ha bloqueado administradores de la interfaz gráfica de usuario o tomado el sistema fuera de la red.
11.4. La restauración de copias de seguridad
161
El libro pfSense, Liberación
La restauración montando el disco Este método es popular entre los usuarios incorporados. Cuando el CF o disco de la fi cortafuegos pfSense se une a un equipo que ejecuta FreeBSD, la unidad se puede montar y una nueva con fi guración se puede copiar directamente en el sistema instalado, o una con fi g de un sistema fallido puede ser copiado fuera.
Nota: Esto también se puede realizar en una separada pfSense fi cortafuegos en lugar de un equipo que ejecuta FreeBSD, pero no use un cortafuegos producción Fi activa para este propósito. En su lugar, utilizar un cortafuego de repuesto o de prueba.
los config.xml fi le se mantiene en / cf / conf / tanto para NanoBSD y la instalación completa, pero la diferencia está en la ubicación donde reside este directorio. Para NanoBSD instala, esto es en un segmento independiente, tal como ad0s3 si la unidad está ad0. Gracias a GEOM (marco de almacenamiento modular) etiquetas de versiones recientes de FreeBSD y en uso en sistemas de ficheros fi integrados basados en NanoBSD, esta rebanada se puede acceder también independientemente del nombre de dispositivo mediante el uso de la etiqueta / dev / UFS / cf. Para las instalaciones nuevas, es parte de la raíz rebanada (típicamente ad0s1a). Los nombres de las unidades variarán dependiendo del tipo y posición en el sistema.
Ejemplo NanoBSD En primer lugar, conectar el CF a un lector de tarjetas USB en un sistema FreeBSD u otro sistema de pfSense inactiva (véase la nota en la sección anterior). Para la mayoría, se mostrará como da0. mensajes de la consola también se imprimirá lo que refleja el nombre del dispositivo, y las etiquetas GEOM recientemente disponibles. Ahora montar la partición con fi g:
#
mount -t UFS / DEF / UFS / cf / mnt
Si por alguna razón las etiquetas GEOM no son utilizables, utilice el dispositivo directamente como / dev / da0s3. Ahora, copiar una con fi g en la tarjeta:
#
cp /usr/backups/pfSense/config-alix.example.com-20090606185703.xml \ /mnt/conf/config.xml
A continuación, asegúrese de desmontar la partición con fi g:
#
umount / mnt
Desconecte la tarjeta, vuelva a introducirla en el cortafuego, y volver a encenderla. El cortafuego ahora se ejecuta con el anterior con fi guración.
Para copiar la con fi guración de la tarjeta, el proceso es el mismo, pero los argumentos de la cp comando se invierten.
Los archivos de copia de seguridad y directorios con el paquete de copia de seguridad los Apoyo paquete permite a cualquier conjunto dado de archivos / carpetas en el sistema para hacer copia de seguridad y restauración. Para la mayoría, esto no es necesario, pero puede ser útil para realizar copias de seguridad de datos RRD o paquetes que podrían configurar los archivos que no se mantienen en con fi g.xml. Para instalar el paquete:
• Navegar a Sistema> Paquetes • Localizar Apoyo en la lista • Hacer clic Instalar al final de su entrada •
162
Hacer clic Con fi rm para comenzar la instalación
Capítulo 11. Copias de seguridad y recuperación
El libro pfSense, Liberación
Una vez instalado, el paquete está disponible en Diagnóstico> Copia de seguridad de archivos y / o Direct. Es bastante simple de usar, como se muestra en el siguiente ejemplo.
Realizar copias de seguridad de datos RRD
El uso de este paquete de copia de seguridad es bastante fácil de hacer una copia de seguridad de los datos del gráfico RRD fuera del método con fi g.xml. Ver también:
Gráficos de seguimiento
•
Navegar a Diagnóstico> Copia de seguridad de archivos y / o Direct
•
Hacer clic Añadir para añadir una nueva ubicación para el grupo de respaldo
•
Entrar Los archivos RRD en el Nombre campo
• Entrar / var / db / RRD en el Camino campo • Ajuste Activado a Cierto
• Entrar RRD archivos de datos Gráfico en el Descripción •
Hacer clic Salvar
• Haga clic en el Apoyo botón para descargar el archivo de respaldo, que contiene la fi gura con archivos y directorios para el grupo de respaldo.
• Guarde el expediente en un lugar seguro y considerar mantener múltiples copias si los datos son importantes.
Restauración de datos RRD
•
Navegar a Diagnóstico> Copia de seguridad de archivos y / o Direct
•
Hacer clic Vistazo
• Localice y seleccione el archivo de respaldo fi le descargó previamente • Hacer clic Subir para restaurar la fi les Para este ejemplo, debido a que la RRD archivos solamente se tocan cuando se actualiza una vez cada 60 segundos, no es necesario reiniciar o reiniciar los servicios una vez que la fi les son restaurados.
Salvedades y Gotchas Mientras que la con fi guración fi l XML guardado por pfSense incluye todos los ajustes, que no incluye ningún cambio que pueda haber sido realizados en el sistema a mano, tales como cationes manuales modi fi de código fuente. Además, algunos paquetes requieren métodos de copia de seguridad adicional para sus datos.
La con fi guración fi l puede contener información confidencial, como claves VPN o certi fi cados y contraseñas (excepto la contraseña de administrador) en texto plano en algunos casos. Algunas contraseñas deben estar disponibles en formato de texto en tiempo de ejecución, haciendo hash seguro de esas contraseñas imposibles. Cualquier ofuscación sería trivial para revertir para cualquier persona con acceso al código fuente, es decir todos. Una decisión consciente de diseño se hizo en m0n0wall, y continuó en pfSense, dejar esas contraseñas en claro para que sea muy claro que el expediente contiene contenido sensible y debe ser protegido como tal. De ahí que las copias de seguridad de estos archivos también deben estar protegidos de alguna manera. Si se almacenan en un medio extraíble, tenga cuidado con la seguridad física de que los medios de comunicación y / o cifrar la unidad.
11.6. Salvedades y Gotchas
163
El libro pfSense, Liberación
Si el WebGUI debe ser utilizado por la red WAN sin una conexión VPN, por lo menos usar HTTPS. De lo contrario, una copia de seguridad se transmite sin cifrar, incluyendo cualquier información sensible dentro de esa copia de seguridad de archivo. Es muy recomendable utilizar una red de confianza o una conexión cifrada.
Gracias a la contra basado en XML fi guración fi l utilizado por pfSense, las copias de seguridad son una brisa. Todos los ajustes del sistema se llevan a cabo en un solo archivo (ver pfSense XML Con fi guración del archivo ). En la gran mayoría de los casos, éste fi l se puede utilizar para restaurar un sistema a un estado totalmente funcional idéntico a lo que estaba previamente en marcha. No hay necesidad de hacer una copia de seguridad de todo el sistema, como el sistema de base de los archivos no se modi fi cada por una corriente, normal del sistema,.
Nota: En casos raros, los paquetes pueden almacenar archivos fuera de con fi g.xml, compruebe la documentación del paquete de información adicional y sugerencias de copia de seguridad.
Estrategias de respaldo La mejor práctica es hacer una copia de seguridad después de cada cambio de menor importancia, y tanto antes como después de cada cambio importante o una serie de cambios. Típicamente, una copia de seguridad inicial se toma en caso de que el cambio que se está hecho tiene efectos indeseables. Una copia de seguridad después de hecho-el-se toma después de evaluar el cambio y asegurando que tenía el resultado deseado. copias de seguridad periódicas son también ser útiles, independientemente de los cambios, especialmente en los casos en que una copia de seguridad manual se puede perder por una razón u otra. pfSense hace una copia de seguridad interna en cada cambio, por lo que recomendamos la descarga de una copia de seguridad manual también. Las copias de seguridad automáticas realizadas en cada cambio son útiles para volver a con fi guraciones anteriores después de los cambios han demostrado ser perjudiciales, pero no son buenos para la recuperación de desastres, ya que son en el propio sistema y no mantienen externamente. Ya que es un proceso bastante simple y sin dolor, los administradores deben hacer un hábito de descargar una copia de seguridad de vez en cuando y mantenerlo en un lugar seguro. Si una pfSense Suscripción Oro está disponible, las copias de seguridad se pueden manejar fácilmente y de forma automática mediante el AutoCon fi gBackup paquete.
Si se han realizado cambios al sistema de archivos, tales como parches personalizados o alteraciones de código, los cambios deben ser respaldados de forma manual o con el paquete de copia de seguridad se describe en Los archivos de copia de seguridad y directorios con el paquete de copia de seguridad , Ya que no se realizará una copia de seguridad o restauración por el sistema de copia de seguridad incorporado. Esto incluye alteraciones en el sistema fi les menciona en otra parte en el libro, como / boot / device.hints, /boot/loader.conf.local, y otros.
Nota: parches personalizados deben ser manejados mediante el Los parches del sistema paquete, que está respaldado por la con fi g.xml, en lugar de guardar un parche manualmente los archivos.
Además de hacer copias de seguridad, copias de seguridad también deben ser probados. Antes de colocar un sistema en producción, la copia de seguridad con fi guración, limpie el disco y, a continuación, intentar algunas de las diferentes técnicas de restauración en este capítulo. También se recomienda encarecidamente copias de seguridad periódicamente pruebas en una máquina no sea de producción o máquina virtual. La única cosa peor que una copia de seguridad que falta es una copia de seguridad inutilizable!
datos del gráfico RRD opcionalmente se pueden mantener en el XML con fi guración fi le copia de seguridad. Este comportamiento está desactivado por defecto debido al tamaño resultante de la copia de seguridad de archivo. También hay otras maneras de asegurar los datos se copian de forma segura. Ver Los archivos de copia de seguridad y directorios con el paquete de copia de seguridad más adelante en este capítulo.
164
Capítulo 11. Copias de seguridad y recuperación
CAPÍTULO
DOCE
CORTAFUEGOS
Fundamentos de cortafuegos Esta sección trata principalmente con conceptos cortafuego introductoria fi y sienta las bases para entender c omo con reglas fi gurar cortafuego utilizando pfSense.
Terminología básica Regla y conjunto de reglas son dos términos se utilizan en este capítulo: Regla Se refiere a una sola entrada en el Cortafuegos> Reglas pantalla. Una regla instruye al fi cortafuegos cómo hacer coincidir
o manejar red tráfico c. conjunto de reglas Se refiere a un grupo de reglas colectivamente. Ya sea todas reglas fi cortafuego en su conjunto, o un conjunto de reglas en una
contexto c especificidad tales como las normas de una pestaña de interfaz. El conjunto de reglas completa fi cortafuegos es la suma de todas las reglas configurada y añadidos automáticamente con el usuario fi, que están cubiertos más largo de este capítulo. Los conjuntos de reglas en el Interfaz lengüetas se evalúan en una primer partido de fi base por pfSense. Esto significa que la lectura del conjunto de reglas para una interfaz de arriba a abajo, la primera regla que coincide con fi será la utilizada por el cortafuego. Evaluación se detiene después de alcanzar este partido y luego el cortafuego toma la acción especí fi cado por esa regla. Siempre que tenga esto en cuenta al crear nuevas reglas, especialmente cuando la elaboración de normas para restringir el tráfico c. Las reglas más permisivas deben estar hacia la parte inferior de la lista, por lo que las restricciones o excepciones se pueden hacer por encima de ellos.
Nota: los Flotante pestaña es la única excepción a esta regla lógica de procesamiento. Se trata en una sección posterior de este capítulo.
El filtrado stateful pfSense es un cortafuego de estado, lo que significa que recuerda la información acerca de las conexiones fl debido a través del cortafuego de modo que la respuesta de trá fi co se puede permitir de forma automática. Estos datos se retiene en el Tabla de Estado. La información de conexión en la tabla de estado incluye el origen, destino, protocolo, puertos, y más: suficiente para identificar de forma única una conexión específica.
El uso de este mecanismo, trá fi co sólo necesita ser permitida en la interfaz donde entra el cortafuego. Cuando una conexión coincide con una regla pase el cortafuego crea una entrada en la tabla de estado. Responder tráfico c a las conexiones se permite automáticamente de nuevo a través del cortafuego, haciendo coincidir contra la tabla de estado en lugar de tener que comprobar que contra las reglas en ambas direcciones. Esto incluye cualquier fi tráfico relacionados C usando un protocolo diferente, como los mensajes de control ICMP que se puede proporcionar en respuesta a una TCP, UDP, u otra conexión.
Ver también: Ver servidor de seguridad avanzada y Tipo Estado Para obtener más información acerca de las opciones de estado y tipos.
165
El libro pfSense, Liberación
tamaño de la tabla Estado
La tabla de estados fi cortafuegos tiene un tamaño máximo para evitar el agotamiento de memoria. Cada estado tiene aproximadamente 1 KB de memoria RAM. El tamaño de la tabla estado predeterminado en pfSense se calcula teniendo aproximadamente el 10% de la RAM disponible en la fi cortafuegos por defecto. En un cortafuego con 1 GB de RAM, el tamaño de la tabla estado predeterminado puede contener aproximadamente 100.000 entradas. Ver también: Ver Tablas de estado grandes para más información sobre el tamaño y la tabla de estado de uso de memoria RAM.
Cada conexión de usuario consiste típicamente en dos estados: uno creado a medida que entra el cortafuego, y uno ya que deja el cortafuego. Por lo tanto, con un tamaño de tabla de estados de 1.000.000, el cortafuego puede manejar aproximadamente 500.000 atravesar las sesiones de usuario activa el cortafuego antes de que se cayeron las conexiones adicionales. Este límite se puede aumentar según sea necesario con tal de que no sea superior a la cantidad disponible de memoria RAM en el cortafuego. Para aumentar el tamaño de la tabla de estado:
• Navegar a Sistema> Avanzado sobre el Cortafuegos y NAT lengüeta • Introduzca el número deseado para Firewall máxima Unidos, o dejar en blanco la casilla para el valor por defecto calculado. Ver figura El aumento de tamaño tabla de estado a 2.000.000
•
Hacer clic Salvar
Fig. 12.1: Aumento de la tabla de estado de Tamaño a 2.000.000
el uso de la tabla de estado histórico es rastreado por el cortafuego. Para ver el gráfico:
• Navegar a Estado> Monitoreo
•
Hacer clic
para ampliar las opciones de gráficos
• Ajuste Categoría para el Eje izquierdo a Sistema
•
Selecciona el Grafico para el Eje izquierdo a Unidos
•
Hacer clic
actualización de gráficos
Bloque vs Rechazar Hay dos maneras de no permitir trá fi co utilizando reglas fi cortafuego en pfSense: Bloquear y rechazar.
Un conjunto de reglas a bloquear se silenciosamente caer tráfico c. Un cliente bloqueado no recibirá ninguna respuesta y por lo tanto va a esperar hasta que sus tiempos intento de conexión. Este es el comportamiento por defecto de la regla de rechazo en pfSense. Un conjunto de reglas a rechazar responderá de nuevo al cliente para TCP y UDP negado trá fi co, para que éste sepa que se ha rechazado la conexión. Rechazado TCP trá fi co recibe un TCP RST (reset) en respuesta, y rechazó tráfico UDP c recibe un mensaje de ICMP inalcanzable en respuesta. Aunque rechazan es una opción válida para cualquier regla de cortafuegos fi, protocolos IP distintos de TCP y UDP no son capaces de ser rechazado; Estas reglas se bajan en silencio otros protocolos IP, porque no existe un estándar para rechazar otros protocolos.
166
Capítulo 12. Cortafuegos
El libro pfSense, Liberación
Decidir entre el bloque y Rechazar Ha habido mucho debate entre los profesionales de la seguridad en los últimos años en cuanto al valor del bloque vs rechazan. Algunos argumentan que el uso de bloques tiene más sentido, afirmando que “ralentiza” atacantes exploración de Internet. Cuando una regla está configurado para rechazar, una respuesta se envía de nuevo inmediatamente que el puerto está cerrado, mientras que el bloque silencio cae el trá fi co, causando escáner de puertos del atacante a esperar una respuesta. Ese argumento no se sostiene, porque todo buen escáner de puertos puede escanear cientos o miles de servidores de forma simultánea, y el escáner no se haya instalado la espera de una respuesta por parte de los puertos cerrados. Hay una diferencia mínima en el consumo de recursos y la velocidad de exploración, pero tan leve que no debe ser una consideración.
Si los bloques cortafuego todas de trá fi co de Internet, hay una diferencia notable entre el bloque y rechazar: Nadie conoce el cortafuego está en línea. Si incluso un solo puerto está abierto, el valor de esa capacidad es mínima debido a que el atacante puede determinar fácilmente que el anfitrión es en línea y también sabrá qué puertos están abiertos o no las conexiones bloqueadas han sido rechazadas por el cortafuego. Si bien no hay valor significativo en el bloque sobre rechazar, le recomendamos el uso de bloques de reglas WAN. Hay algo de valor en forma activa no entregar información a los potenciales atacantes, y también es una mala práctica para responder automáticamente a una solicitud externa innecesariamente.
Para las reglas sobre las interfaces internas se recomienda utilizar rechazo en la mayoría de las situaciones. Cuando un host intenta acceder a un recurso que no está permitido por las reglas de cortafuego, la aplicación para acceder a él se puede bloquear hasta que los tiempos de conexión hacia fuera o el programa cliente deja de intentar acceder al servicio. Con rechazar la conexión se rechaza inmediatamente y el cliente evita estos bloqueos. Generalmente no es nada más que una molestia, pero todavía generalmente recomienda el uso de rechazar para evitar posibles problemas de aplicación inducidas por la caída en silencio trá fi co dentro de una red.
Ingress Filtering Ingress fi ltrado se refiere al concepto de fi rewalling tráfico c entrar en una red desde una fuente externa tal como Internet. En implementaciones con múltiples WAN, el cortafuego tiene múltiples puntos de ingreso. La política de entrada por defecto en pfSense es bloquear todo el tráfico c ya que no se permitirá que las normas sobre la WAN en el conjunto de reglas por defecto. Respuestas a TRAF fi c iniciada desde dentro de la red local se permite automáticamente para volver a través del cortafuego de la tabla de estado.
Filtrado de egreso Egreso fi ltrado se refiere al concepto de fi rewalling tráfico c iniciada dentro de la red local, con destino a una red remota, tal como Internet. pfSense, al igual que las soluciones comerciales y de código abierto casi todas similares, viene con una regla de LAN que permite todo, desde la LAN a Internet. Esta no es la mejor manera de operar, sin embargo. Se ha convertido en el valor por defecto de hecho en la mayoría de las soluciones de fi cortafuego porque es lo que la mayoría de la gente espera. El error común es “cualquier cosa en la red interna es 'confiable', ¿por qué preocuparse fi ltrado”?
¿Por qué emplear la salida fi ltrado? A partir de nuestra experiencia en el trabajo con un sinnúmero de rewalls fi de numerosos vendedores a través de muchas organizaciones diferentes, la mayoría pequeñas empresas y las redes domésticas no emplean egreso fi ltrado. Se puede aumentar la carga administrativa, ya que cada nueva aplicación o servicio puede requerir la apertura de puertos o protocolos adicionales en el cortafuego. En algunos entornos, es difícil porque los administradores no saben por completo lo que está sucediendo en la red, y que no se atreven a romper cosas. En otros entornos, es imposible por razones de política del lugar de trabajo. Lo más recomendable es que los administradores con fi gura el cortafuego para permitir sólo el mínimo requerido de trá fi co para dejar una red donde sea posible. Tight fi ltrado de salida es importante por varias razones:
12.2. Ingress Filtering
167
El libro pfSense, Liberación
Limitar el impacto de un sistema comprometido Egreso fi ltrado limita el impacto de un sistema comprometido. Malware utiliza comúnmente puertos y protocolos que no son necesarios en la mayoría de las redes empresariales. Algunos bots se basan en conexiones IRC para llamar a casa y recibir instrucciones. Algunos utilizarán los puertos más comunes, tales como el puerto TCP 80 (normalmente HTTP) para evadir la salida fi ltrado, pero muchos no lo hacen. Si el acceso al puerto TCP 6667, el puerto de IRC de costumbre, no está permitido por el cortafuego, los robots que se basan en el IRC a la función pueden ser paralizados por el fi ltrado.
Otro ejemplo es un caso estábamos involucrados en donde la interfaz dentro de una instalación de pfSense estaba viendo 50-60 Mbps de tráfico c mientras que la WAN tenía menos de 1 Mbps de rendimiento. No había otras interfaces en el cortafuego. Algunos investigación demostró la causa como un sistema comprometido en la LAN que ejecuta un bot participar en una denegación de servicio distribuido (DDoS) contra un sitio de juego web en chino. El ataque utiliza el puerto UDP 80, y en esta red de puertos UDP 80 no fue permitido por el conjunto de reglas de salida por lo que todo el DDoS estaba logrando estaba enfatizando la interfaz dentro del cortafuego con tráfico c que estaba siendo cayó. En esta situación, el cortafuego se chugging feliz a lo largo sin degradación del rendimiento y el administrador de la red no sabía lo que estaba ocurriendo hasta que fue descubierto por accidente.
El ataque descrito en el párrafo anterior probable utiliza el puerto UDP 80 por dos razones principales:
• UDP permite que grandes paquetes sean enviados por el cliente sin completar un apretón de manos TCP. Con fi rewalls con estado que es la norma, grandes paquetes TCP no pasará hasta que el apretón de manos se completa con éxito, y esto limita la eficacia de los ataques DDoS.
• Los que lo hacen emplear egreso fi ltrado son habitualmente demasiado permisiva, permitiendo TCP y UDP en el que sólo se requiere TCP, como en el caso de HTTP.
Este tipo de ataques son lanzados comúnmente de servidores web comprometidos. Con un conjunto de reglas de salida de par en par, el trá fi co saldrá a Internet, y tiene el potencial de desborde la tabla de estado en el cortafuego, cuesta dinero en el uso de ancho de banda, y / o degradar el rendimiento de todo en la conexión a Internet. SMTP saliente es otro ejemplo. Sólo permiten SMTP (puerto TCP 25) a salir de cualquier red desde un servidor de correo. O si un servidor de correo está alojado externamente, sólo se permitirá a los sistemas internos a hablar con ese específico fuera del sistema en el puerto TCP 25. Esto evita que cualquier otro sistema en la red local de ser utilizado como un robot de spam, ya que será dado de baja su SMTP trá fi co. Muchos proveedores de correo se han trasladado a la presentación utilizando sólo la autenticación de los clientes utilizando el puerto TCP
587, por lo que los clientes no deberían tener acceso al puerto 25. Esto tiene el obvio beneficio de la limitación de correo no deseado, y también evita la red se agreguen a numerosas listas negras a través de Internet que evitará sitio desde el envío de correo electrónico legítimo a muchos servidores de correo. Esto también puede evitar que el ISP para ese sitio se apague su conexión a Internet debido al abuso.
La solución ideal es evitar que este tipo de cosas sucedan en el primer lugar fi, pero la salida fi ltrado proporciona otra capa que puede ayudar a limitar el impacto si fallan otras medidas.
Prevenir un compromiso Egreso fi ltrado puede evitar un compromiso en algunas circunstancias. Algunos exploits y gusanos requieren el acceso de salida para tener éxito. Un ejemplo más antiguo, pero buena de esto es el gusano Code Red desde 2001. La vulnerabilidad causada sistemas afectados para tirar de un ejecutable fi l a través de TFTP (Trivial File Transfer Protocol) y luego ejecutarlo. Un servidor web es casi seguro que no es necesario para utilizar el protocolo TFTP, TFTP y el bloqueo de la salida a través de fi ltrado prevenir la infección con el Código Rojo, incluso en servidores sin parches. Esto es en gran parte sólo es útil para detener los ataques de gusanos y completamente automatizados como un verdadero atacante humana será hallar todos los agujeros que hay en la salida fi ltrado y utilizarlos para su propio beneficio. Una vez más, la solución correcta para evitar un compromiso de este tipo es a FI x las vulnerabilidades de red utilizados como un vector de ataque, sin embargo la salida fi ltrado puede ayudar.
168
Capítulo 12. Cortafuegos
El libro pfSense, Liberación
Limitar el uso de aplicaciones no autorizadas Muchas aplicaciones tales como clientes VPN, software peer-to-peer, mensajería instantánea, y más confían en los puertos o protocolos para funcionar atípicos. Mientras que un número creciente de-peer-to-peer y aplicaciones de mensajería instantánea será puerto hop hasta hallazgo de un puerto que se deja fuera de la red local, muchos se le impida que funcionen por un conjunto de reglas de salida restrictiva, y esto es un medio eficaz de limitar muchos tipos de conectividad VPN.
Prevent IP Spoo fi ng Esta es una razón comúnmente citada para el empleo de egreso ltrado fi, pero pfSense bloquea automáticamente falsa tráfico c vía PF antispoof funcionalidad, por lo que no es aplicable en este caso. La prevención de IP Spoo fi ng significa que los clientes maliciosos no pueden enviar trá fi co con direcciones de origen fi cado obviamente falsi.
Prevenir fugas de información
Ciertos protocolos Nunca se debe permitir salir de una red local. ejemplos especıficos de tales protocolos varían de un entorno a otro, pero algunos ejemplos comunes son: • Microsoft RPC (Remote Procedure Call) en el puerto TCP 135 • NetBIOS en TCP y UDP 137 a través de 139 • SMB / CIFS (Server Message Block System / archivos común de Internet) en el puerto TCP y UDP 445. La suspensión de estos protocolos puede evitar que la información sobre la red interna de fugas en Internet, e impedirá que los sistemas locales de iniciar los intentos de autenticación con ordenadores conectados a Internet. Estos protocolos también caen bajo Limitar el impacto de un sistema comprometido como se indicó anteriormente, ya que muchos gusanos se han basado en estos protocolos para funcionar. Otros protocolos que pueden ser relevantes son syslog, trampas SNMP y SNMP. La restricción de este trá fi co impedirá que los dispositivos de red configurada Miscon el fuego desde el envío de la tala y otra información potencialmente sensible a Internet. En lugar de preocuparse por lo que los protocolos se pueden filtrar información de una red local y deben ser bloqueados, lo mejor es permitir que sólo el trá fi co que se requiere.
Enfoques para implementar la salida fi ltrado En una red que históricamente no ha empleado la salida fi ltrado, puede ser difícil saber lo que es absolutamente necesario trá fi co. En esta sección se describen algunos enfoques para la identificación de trá fi co y la aplicación de egreso fi ltrado.
Permitir que lo que se conoce, bloquear el resto, y trabajar a través de la lluvia
Un método consiste en agregar reglas de cortafuego para el conocido requerida trá fi co que se permita. Comience con hacer una lista de cosas que sabe que son necesarios, tales como en la tabla La salida trá fi co Requerido .
Tabla 12.1: Egreso Traf fi c Requerido
Descripción
Fuente
HTTP y HTTPS desde todos los hosts
Red LAN Cualquier
SMTP del servidor de correo
Servidor de correo
consultas DNS de los servidores DNS internos servidores DNS
Puerto de destino de destino TCP 80 y 443 Alguna
TCP 25
Alguna
TCP y UDP 53
Después de hacer la lista, con fi gurar fi reglas de cortafuego para pasar sólo eso trá fi co y dejar todo lo demás golpeó la denegación predeterminada regla.
12.3. Filtrado de egreso
169
El libro pfSense, Liberación
Entrar Traf fi c y analizar los registros
Otra alternativa es la de habilitar el registro en todas las reglas de paso y enviar los registros a un servidor syslog. Los registros pueden ser analizados por el servidor syslog para ver lo c fi tráfico abandona la red. pfSense utiliza un formato de registro personalizado, por lo que los registros normalmente necesita ser analizado por un script personalizado a menos que el servidor tiene algún conocimiento del formato del registro de filtro pfSense. El análisis de los registros ayudará a construir el conjunto de reglas requerida con menos consecuencias, ya que dará lugar a una mejor idea de lo que es necesario trá fi co en la red local.
Introducción a la pantalla de las reglas del cortafuegos En esta sección se proporciona una introducción y una visión general de la pantalla de las reglas del cortafuegos se encuentra en Cortafuegos> Reglas. Esta página muestra el conjunto de reglas WAN para empezar, que por defecto no tiene entradas que no sean los de Bloquear las redes privadas
y redes de bloques Bogon si esas opciones están activas en la interfaz WAN, como se muestra en la figura Reglas WAN por defecto .
Propina: Hacer clic
el de la derecha de la Bloquear las redes privadas o redes de bloques Bogon reglas para llegar a la WAN
Página fi guración interfaz de aire, donde estas opciones pueden ser activadas o desactivadas. (Ver Bloque Redes Privadas y Bloque Bogon Redes para más detalles.)
Fig. 12.2: Por defecto Reglas WAN
Haga clic en el LAN pestaña para ver las reglas de LAN. Por defecto, las únicas entradas son la Por defecto permitir a cualquier LAN reglas para IPv4 y IPv6 como se ve en la figura Reglas predeterminadas de LAN , y el Regla anti-bloqueo si está activo. La regla anti-bloqueo
al lado de
está diseñado para evitar que los administradores queden atrapados fuera de la interfaz gráfica de usuario. Hacer clic de las reglas anti-bloqueo para llegar a la página en esta regla se puede desactivar. Ver también:
Para obtener más información sobre cómo la regla anti-bloqueo funciona y cómo deshabilitar la regla, véase Regla anti-bloqueo y
Anti-bloqueo . Para mostrar las reglas para otras interfaces, haga clic en sus respectivas pestañas. interfaces de OPT aparecerán con sus nombres descriptivos, así que si la interfaz OPT1 se renombró DMZ, a continuación, en la ficha de sus reglas también dirá DMZ.
A la izquierda de cada regla es un icono indicador que muestra la acción de la regla: pase ( el registro está habilitado para la regla,
) , Bloque (
) , O rechazar (
) . Si
se muestra en la misma zona. Si la regla no tiene ninguna opción avanzada habilitada, una
También se muestra el icono. Al pasar el cursor del ratón sobre cualquiera de estos iconos se mostrará texto que explica su significado. Los mismos iconos se muestran para las normas de movilidad reducida, excepto el icono y el Estado son un tono más claro de su color original.
170
Capítulo 12. Cortafuegos
El libro pfSense, Liberación
Fig. 12.3: Reglas predeterminadas de LAN
Adición de una regla de cortafuego
Para añadir una regla a la parte superior de la lista, haga clic
Añadir.
Para añadir una regla a la parte inferior de la lista, haga clic
Para crear una nueva regla que es similar a una regla existente, haga clic
Añadir.
a la derecha de la regla existente. La pantalla de edición se
aparecerá con la configuración de la regla preexistente LLED fi, listo para ser ajustado. Al duplicar una regla existente, se añade la nueva regla directamente abajo la regla original. Para obtener más información acerca de cómo con fi gurar la nueva regla, véase Con fi gurar reglas de cortafuego .
Las reglas del cortafuegos de edición
Para editar una regla de cortafuego, haga clic
a la derecha de la regla, o hacer doble clic en cualquier lugar de la línea.
La página de edición para esa regla se carga, y desde allí los ajustes son posibles. Ver Con fi gurar reglas de cortafuego para más información sobre las opciones disponibles cuando se edita una regla.
Mover las reglas del cortafuegos Las reglas pueden ser reordenadas de dos maneras diferentes: arrastrar y soltar, y el uso de selección y hacer clic. Para mover reglas usando el método de arrastrar y soltar:
• Mover el puntero del ratón sobre la regla de cortafuego para mover el cursor cambiará para indicar el movimiento es posible. •
Haga clic y mantenga pulsado el botón del ratón
• Arrastrar el ratón a la ubicación deseada para la regla • Suelte el botón del ratón •
Hacer clic
Salvar para almacenar el nuevo orden de las reglas
Advertencia: El intento de navegar fuera de la página después de mover una regla, pero antes de guardar la regla, dará lugar a la presentación de un navegador con fi rma de error si o no para salir de la página. Si el navegador se desplaza fuera de la página sin guardar, la norma todavía estará en su ubicación original.
Para mover las reglas en la lista de grupos o seleccionándolos primero, utilice el método de selección y hacer clic:
12.4. Introducción a la pantalla de las reglas del cortafuegos
171
El libro pfSense, Liberación
• Marque la casilla junto a la izquierda de las reglas que deben ser movido, o de un solo clic en la regla. Cuando se selecciona la regla, que va a cambiar de color.
•
Hacer clic
en la fila abajo donde la regla debe ser movido.
para mover la regla debajo de la regla seleccionada en lugar de arriba.
Propina: Sostener Cambio antes de hacer clic con el ratón en
Al mover reglas utilizando el método de selección y hacer clic, el nuevo orden se almacena automáticamente.
Eliminación de reglas de firewall
Para eliminar una sola regla, haga clic
a la derecha de la regla. El cortafuego presentará una pronta confirmación antes
eliminar la regla.
Borrar
Para eliminar varias reglas, marque la casilla al comienzo de las filas que deben ser eliminados, a continuación, haga clic en el botón en la parte inferior de la lista. Las reglas también pueden ser seleccionados por un solo clic en cualquier lugar de su línea.
Activación y desactivación de las reglas del cortafuegos
Para desactivar una regla, haga clic
que está desactivada y el
al final de su fila. La aparición de la regla cambia a un tono más claro para indicar icono cambia a
.
Para habilitar una regla que fue desactivado previamente, haga clic
al final de su fila. La aparición de la regla volverá
al icono normal y la activación / desactivación volverá a la original
.
Una regla también se puede activar o desactivar mediante la edición de la regla y alternar el Discapacitado caja.
Separadores de reglas De reglas de cortafuegos separadores se barras en el conjunto de reglas que contiene un pequeño fragmento de texto en color, pero no tome ninguna acción de trá fi co. Son útiles para separar visualmente o añadir notas a partes especiales del conjunto de reglas. Figura Firewall Regla Separadores Ejemplo muestra cómo se pueden utilizar para agrupar y documentar el conjunto de reglas. Para crear un nuevo separador de la Regla:
• Abrir la pestaña regla de cortafuego, donde la regla de separación residirá
•
Hacer clic
Separador
•
Introduzca la descripción de texto de la Regla Separador
• Elegir el color de la regla de separación haciendo clic en el
icono del color deseado
• Haga clic y arrastre el separador de Regla a su nueva ubicación
•
172
Hacer clic
Salvar en el interior del separador de la Regla para almacenar su contenido
Capítulo 12. Cortafuegos
El libro pfSense, Liberación
Fig. 12.4: Firewall Regla Separadores Ejemplo
•
Hacer clic
Salvar en la parte inferior de la lista de reglas
Para mover un separador Regla:
•
Abrir la pestaña regla fi cortafuegos que contiene la regla de separación
• Haga clic y arrastre el separador de Regla a su nueva ubicación
•
Hacer clic
Salvar en la parte inferior de la lista de reglas
Para eliminar una regla de separación:
•
Abrir la pestaña regla fi cortafuegos que contiene la regla de separación
•
Hacer clic
en el interior del separador de la regla en el lado derecho
•
Hacer clic
Salvar en la parte inferior de la lista de reglas
Separadores de reglas no se pueden editar. Si se requiere un cambio en el texto o el color, crear un nuevo separador de Regla y eliminar la entrada existente.
Los cambios de seguimiento de reglas de cortafuegos
Cuando se crea o actualiza una regla del cortafuego registra el nombre de inicio de sesión del usuario, la dirección IP, y una marca de tiempo en la regla para realizar un seguimiento que añade y / o cambió por última vez la norma en cuestión. Si el fi cortafuegos crea automáticamente la regla, es decir también señaló. Esto se hace para las reglas fi cortafuego, así como hacia delante y reglas de puerto de salida NAT. Un ejemplo de una actualización de regla de seguimiento de bloques se muestra en la figura Sellos de reglas de cortafuegos Tiempo , que es visible al editar una regla de cortafuego en la parte inferior de la pantalla de edición de reglas.
12.4. Introducción a la pantalla de las reglas del cortafuegos
173
El libro pfSense, Liberación
Fig. 12.5: Sellos de reglas de cortafuegos Tiempo
alias Alias definen un grupo de puertos, hosts o redes. Alias puede hacer referencia a las normas fi cortafuego, puerto remite, reglas NAT saliente, y otros lugares de la interfaz gráfica de usuario fi cortafuegos. El uso de alias da lugar significativamente más corto, auto-documentado, y conjuntos de reglas más manejables.
Nota: No se debe confundir Alias en este contexto con los alias IP de interfaz, que son un medio de añadir direcciones IP adicionales para una interfaz de red.
Fundamentos de alias Los alias se encuentran en Cortafuegos> Alias. La página está dividida en pestañas separadas para cada tipo de alias: IP, puertos, direcciones URL, y el Todas pestaña que muestra todos los alias en una lista grande. Al crear un alias, añadirlo a cualquier pestaña y se ordenará a la ubicación correcta en función del tipo elegido. Los siguientes tipos de alias se pueden crear:
Anfitrión Alias contienen direcciones IP individuales o nombres de host
Red Alias que contienen listas CIDR-enmascarado de redes, nombres de host, intervalos de direcciones IP, o solo IP direcciones
Puerto Estos alias contienen listas de números de puerto o intervalos de puertos para TCP o UDP.
URL El alias se construye a partir de la fi l en la URL especi fi cado, pero sólo se lee una sola vez, y luego se vuelve
una red normal o tipo de puerto alias. Tabla URL El alias se construye a partir de la fi l en la URL especi fi cado, pero se actualiza por ir a buscar la lista de
la URL periódicamente.
Cada tipo de alias se describe con más detalle en esta sección.
Los alias de anidación La mayoría de los alias se pueden anidar dentro de otros alias tanto tiempo, ya que son del mismo tipo. Por ejemplo, un alias puede anidar un alias que contiene servidores web, un alias que contiene los servidores de correo, servidores y un alias que contiene tanto el alias Web y servidor de correo todos juntos en un mayor servidores alias. Los alias de tabla de URL no se pueden anidar.
El uso de nombres de host en Alias Nombres de host también puede ser utilizado en alias. Cualquier nombre de host se pueden introducir en un alias de host o de la red y el mismo será resuelto y actualizado por el cortafuego periódicamente. Si un nombre de host devuelve varias direcciones IP, todos los de la IP devuelta
174
Capítulo 12. Cortafuegos
El libro pfSense, Liberación
direcciones se añaden al alias. Esto es útil para el seguimiento de las entradas de DNS dinámico para que los usuarios especí fi cos en los servicios de direcciones IP dinámicas.
Nota: Esta característica es no útil para permitir o impedir que los usuarios grandes sitios web públicos. Los sitios grandes y ocupadas tienden a tener constante rotación o respuestas aleatorias a las consultas DNS por lo que los contenidos de los alias no necesariamente coinciden con la respuesta de un usuario recibirá cuando intentan resolver el mismo nombre del sitio. Puede trabajar para sitios más pequeños que tienen sólo unos pocos servidores y no incluyen juegos incompletos de direcciones en sus respuestas DNS.
Mezcla direcciones IPv4 e IPv6 en Alias direcciones IPv4 e IPv6 se pueden mezclar en el interior de un alias. El cortafuego utilizará el tipo apropiado de direcciones cuando se hace referencia al alias en una regla específica.
Las preocupaciones alias Dimensionamiento El tamaño total de todas las tablas debe encajar en más o menos mitad la cantidad de Firewall Máximos entradas de la tabla, que por defecto es de 200.000. Si el número máximo de entradas de la tabla no es lo suficientemente grande como para contener todas las entradas, las reglas pueden no se pueden cargar. Ver Firewall entradas de tabla de máximos para obtener información sobre cómo cambiar ese valor. Los alias deben encajar en dos veces en el área total debido a la forma alias se cargan y se vuelven a cargar; La nueva lista se carga junto con la lista de edad y luego se retira el viejo.
Este valor se puede aumentar tanto sea necesario, siempre y cuando el cortafuego contiene su fi ciente memoria RAM para mantener las entradas. El uso de la RAM es similar, pero menos, la tabla de estado, pero todavía es seguro asumir 1K por la entrada a ser conservador.
Con fi gurar Alias Para agregar un alias:
• Navegar a Cortafuegos> Alias
•
Hacer clic
Añadir
• Entrar a Nombre para el alias. El nombre puede consistir solamente de los personajes az, AZ, 0-9 y _. • Entrar a Descripción para el propio alias • Selecciona el Tipo para el alias. Los distintos tipos se presentan a lo largo de esta sección. •
Introduzca la información de tipo-específico, según sea necesario. Cada tipo tiene un campo de datos y una descripción de campo para cada entrada.
Para añadir nuevos miembros a un alias, haga clic
Para eliminar miembros de un alias, haga clic
Añadir en la parte inferior de la lista de entradas.
Borrar al final de la fila de eliminar.
Cuando el alias se haya completado, haga clic Salvar para almacenar el contenido de alias.
Cada alias introducido manualmente se limita a 5.000 miembros, pero algunos navegadores tienen problemas para mostrar o usar la página con más de alrededor de 3.000 entradas. Para un gran número de entradas, utilice una Tabla URL tipo de alias que es capaz de manejar listas más grandes.
12.5. alias
175
El libro pfSense, Liberación
Alias de host de tipo host alias contienen grupos de direcciones IP. Figura Ejemplo Hosts Alias muestra un ejemplo de un alias de tipo huésped utilizadas para contener una lista de servidores web públicos.
Fig. 12.6: Ejemplo Hosts Alias
Otros alias de tipo de acogida se pueden anidar dentro de esta entrada. Nombres de host también puede utilizarse como entradas, como se explicó anteriormente.
Los alias de red tipo de red alias contienen grupos de redes o intervalos de direcciones IP. anfitriones individuales también pueden ser incluidos en los alias de red mediante la selección de un / 32 máscara de red para las direcciones IPv4 o una / 128 pre fi x longitud para direcciones IPv6. Figura Ejemplo Red de Alias muestra un ejemplo de un alias de red que se utiliza más adelante en este capítulo.
Fig. 12.7: Ejemplo de red Alias
176
Capítulo 12. Cortafuegos
El libro pfSense, Liberación
Otros alias de sistema principal o de red se pueden anidar dentro de esta entrada. Nombres de host también puede utilizarse como entradas, como se explicó anteriormente.
Cuando una entrada de alias contiene una gama de IPv4 se traduce automáticamente por el cortafuego a un conjunto equivalente de las redes IPv4 CIDR que contendrá exactamente el rango previsto. Como se muestra en la figura Ejemplo Rango IP Después , la gama se amplía cuando se guarda el alias y la lista resultante de las redes IPv4 CIDR coincidirá exactamente el rango solicitado, nada más y nada menos.
Fig. 12.8: Ejemplo Rango IP Antes
Fig. 12.9: Ejemplo Rango IP Después
Alias puerto Tipo de puerto alias contienen grupos de puertos y rangos de puertos. El protocolo no es especificados en el alias; La regla de cortafuego, donde se utiliza el alias de definir el protocolo como TCP, UDP, o ambos. Figura Ejemplo Puertos Alias muestra un ejemplo de un alias de tipo de puerto.
Fig. 12.10: Ejemplo Puertos Alias
Introduzca otro nombre de alias de tipo de puerto en el Puerto de campo para anidar otros alias de tipo puerto- dentro de este alias.
12.5. alias
177
El libro pfSense, Liberación
URL Alias Con un alias de tipo URL, una dirección URL se establece que apunta a un texto fi l que contiene una lista de entradas. Se pueden introducir varias direcciones URL. Cuando Salvar se hace clic, hasta 3.000 entradas de cada URL se leen del expediente e importados a un alias de tipo de red. Si Tus labios) es seleccionado, entonces las URL deben contener la dirección IP o entradas de red CIDR enmascarado, y el cortafuego crea un alias de tipo de red a partir de los contenidos. Si URL (Puertos) es seleccionado, entonces el URL debe contener números de puerto sólo o rangos, y el cortafuego crea un alias de tipo de puerto de los contenidos.
URL alias de tabla Un alias de URL Tabla comporta de una manera diferente signi fi cativamente el alias de URL. Para empezar, no importa el contenido del expediente en un alias normal. Es capaz de descargar el contenido del expediente en un lugar especial en el cortafuego y utiliza el contenido de lo que se llama una persistir mesa, también conocido como alias basado en le fi. Los contenidos completos de los alias no se pueden editar directamente en la interfaz gráfica, pero se pueden ver en el Mesas visor (Ver Ver el contenido de las tablas ). Para un alias de URL tabla, la lista desplegable después de que el / controles de cuántos días deben pasar antes de que el contenido del alias son re-descargue de la URL almacenada por el cortafuego. Cuando llegue el momento, el contenido de alias se actualizarán durante la noche mediante un script que re-obtiene los datos.
Los alias de tabla de URL pueden ser bastante grandes, que contiene muchos miles de entradas. Algunos clientes los utilizan para mantener las listas de todos los bloques de IP en un país o región determinada, que puede fácilmente superar 40.000 entradas. El paquete pfBlocker utiliza este tipo de alias al manipular las listas de países y otras acciones similares. Actualmente, los alias de URL tabla no son capaces de ser anidado. Si Tabla URL (direcciones IP) es seleccionado, entonces las URL deben contener la dirección IP o entradas de red CIDR enmascarado, y el cortafuego crea un alias de tipo de red a partir de los contenidos. Si Tabla URL (Puertos) es seleccionado, entonces el URL debe contener números de puerto sólo o rangos, y el cortafuego crea un alias de tipo de puerto de los contenidos.
Bulk Alias importadores Otro método de importación de múltiples entradas en un alias es utilizar la función de importación a granel. Para utilizar la función de importación:
• Navegar a Cortafuegos> Alias
•
Hacer clic
Importar
• Rellene el Apodo y Descripción • Introduzca el contenido de alias en el Alias para importar área de texto, una entrada por línea. •
Hacer clic Salvar
ejemplos de uso comunes para esta página incluyen listas de direcciones IP, redes y listas negras. La lista puede contener direcciones IP, redes enmascarados CIDR, rangos de IP o números de puerto. El cortafuego intentará determinar el tipo de alias de destino automáticamente.
El cortafuego importa elementos en un alias de lo normal que puede ser editado posteriormente.
178
Capítulo 12. Cortafuegos
El libro pfSense, Liberación
Utilización de alias Cuando se escribe una letra en un campo de entrada que soporta alias, se muestra una lista de alias coincidentes. Seleccione el alias que desee de la lista o escriba su nombre por completo. Nota: Alias terminación automática no es sensible pero está restringida por tipo. Por ejemplo, un tipo de red o host alias se enumeran en función de autocompletar para un campo de red, pero un alias de puerto no; Un alias de puerto puede ser usado en un campo de puerto de ficción, sino un alias de red no estará en la lista.
Figura Terminación automática de los ejércitos Alias muestra cómo el webservers alias, con fi gurada como se muestra en la figura Ejemplo Hosts Alias , se puede utilizar en el Destino campo al añadir o editar una regla fi cortafuegos.
•
Editar la regla de cortafuego
•
Seleccionar Un único host o alias
•
A continuación, escriba la primera letra de los alias deseados: Introduzca W y el alias aparece como se muestra.
Fig. 12.11: Autocompletado de los ejércitos Alias Figura Terminación automática de puertos Alias muestra la terminación automática de la fi puertos alias con gurado como se muestra en la figura
Ejemplo Puertos Alias . Si varios alias se corresponde con la letra introducida, se enumeran todos los alias que emparejan del tipo apropiado. Haga clic en el alias deseado para seleccionarlo.
Fig. 12.12: Autocompletado de Puertos Alias
Figura Ejemplo Regla Utilización de alias muestra la regla creada mediante el webservers y webports alias. Esta regla está en la WAN, y permite que cualquier fuente de las direcciones IP se define en el webservers alias cuando se utilizan los puertos se define en el webports alias.
Fig. 12.13: Ejemplo Regla Utilización de alias
Al pasar el cursor del ratón sobre un alias en el Cortafuegos> Reglas página muestra la información sobre herramientas que muestra el contenido del alias con las descripciones incluidas en el alias. Figura Suspendido en el aire Muestra aloja contenido muestra esto para el webservers alias y la figura Suspendido en el aire Muestra Contenido Puertos para el alias de puertos.
12.5. alias
179
El libro pfSense, Liberación
Fig. 12.14: Muestra de cernido aloja contenido
Fig. 12.15: Muestra de cernido Puertos Contenido
180
Capítulo 12. Cortafuegos
El libro pfSense, Liberación
De reglas de cortafuegos Buenas Prácticas En esta sección se tratan las recomendaciones generales para la regla de cortafuegos fi con fi guración.
Denegar por defecto
Hay dos filosofías básicas de seguridad informática relacionados con el control de acceso: Por defecto permitir y negar por defecto. Una denegación predeterminada estrategia de reglas fi cortafuego es la mejor práctica. los administradores de cortafuegos deben estafar reglas fi gurar para permitir sólo el desnudo mínimo requerido trá fi co para las necesidades de una red, y dejar que la caída c tráfico restante con la denegación predeterminada regla integrada en pfSense. En el seguimiento de esta metodología, el número de reglas negar en un conjunto de reglas será mínimo. Ellos todavía tienen un lugar para algunos usos, pero se reducirán al mínimo en la mayoría de los entornos, siguiendo una estrategia de denegación predeterminada. En un defecto de dos interfaz LAN y WAN con fi guración, pfSense utiliza denegación predeterminada en la WAN y permite por defecto en la LAN. Todo entrantes de Internet es negada, y todo está permitido a Internet desde la LAN. Todos los routers de grado hogar uso de esta metodología, al igual que todos los proyectos de código abierto similares y las ofertas comerciales más similares. Es lo que la mayoría de la gente espera fuera de la caja, por lo tanto es la con fi guración por defecto. Dicho esto, si bien es una manera conveniente para empezar, no es el medio recomendado de operación a largo plazo. pfSense usuarios a menudo pregunta “¿Qué cosas malas deben bloquear Me?”, sino que es la pregunta equivocada, ya que se aplica a un defecto permitir metodología. Seguridad señaló profesional Marcus Ranum incluye por defecto en su permiso pfSense usuarios a menudo pregunta “¿Qué cosas malas deben bloquear Me?”, sino que es la pregunta equivocada, ya que se aplica a un defecto permitir metodología. Seguridad señaló profesional Marcus Ranum incluye por defecto en su permiso pfSense usuarios a menudo pregunta “¿Qué cosas malas deben bloquear Me?”, sino que es la pregunta equivocada, ya que se aplica a un defecto permitir metodología. Seguridad señaló profesional Marcus Ranum incluye por defecto en su permiso “Seis ideas más mudos de la seguridad informática” de papel, que se recomienda la lectura para cualquier profesional de la seguridad. Permitir sólo lo que requiere una red y evitar dejar el valor por defecto permiten todo dominio de la LAN y la adición de reglas de bloqueo de “cosas malas” por encima de la norma permitida.
Que sea breve Cuanto más corto es un conjunto de reglas, más fácil es de manejar. conjuntos de reglas largas son difíciles de trabajar, aumentar las posibilidades de error humano, tienden a ser excesivamente permisiva, y son significativamente más difíciles de auditar. Utilizar alias para mantener el conjunto de reglas lo más corto posible.
Revisar las reglas del cortafuegos Se recomienda una revisión manual de las reglas de cortafuego y NAT con fi guración de forma periódica para asegurarse de que todavía se ajustan a los requisitos mínimos del entorno de red actual. La frecuencia recomendada de estas revisiones varía de un entorno a otro. En las redes que no cambian con frecuencia, con un pequeño número de administradores cortafuego y buenos procedimientos de control de cambios, trimestral o semestralmente es generalmente adecuada. Para que cambia rápidamente entornos o aquellos con un mal control de cambio y varias personas con acceso inalámbrico a cortafuegos, revise la con fi guración al menos una vez al mes.
Muy a menudo la hora de revisar las reglas con los clientes nos preguntamos acerca de las reglas especí fi cas y responden con “Hemos eliminado ese servidor hace seis meses.” Si hay algo más habría hecho cargo de la misma dirección IP interna del servidor anterior, a continuación, trá fi co se le habría permitido a el nuevo servidor que pueden no haber sido previsto.
El Documento Con fi guración En todos menos en las redes más pequeñas, puede ser difícil recordar lo que es con fi gurado dónde y por qué. Siempre recomendamos el uso de la Descripción de campo en las reglas de NAT fi cortafuegos y para documentar el propósito de las reglas. En las implementaciones de complejos más grandes o más, crear y mantener un documento con fi guración más detallada que describe todo el fi guración pfSense Con. Al revisar la fi cortafuegos con fi guración en el futuro, esto le ayudará a determinar qué normas son necesarias y por qué están allí. Esto también se aplica a cualquier otra zona de la con fi guración.
12.6. De reglas de cortafuegos Buenas Prácticas
181
El libro pfSense, Liberación
También es importante mantener este documento hasta la fecha. Al realizar periódicas con fi guración críticas, también revisar este documento para asegurar que permanece hasta al día con la corriente con fi guración. Asegúrese de este documento se actualiza cada vez que se realizan cambios con fi guración.
La reducción de ruido de registro Por defecto, pfSense registrará paquetes bloqueados por la denegación predeterminada regla. Esto significa que todo el ruido de conseguir bloqueado y se registrará Internet. A veces, no habrá mucho ruido en los registros, pero en muchos entornos inevitablemente habrá algo incesantemente los registros de envío de correo basura.
En redes que utilizan grandes dominios de difusión - una práctica comúnmente empleado por los ISP de cable - esto es lo más a menudo difusiones NetBIOS de clue-de individuos fi cientes que se conectan las máquinas de Windows directamente a sus conexio- nes de banda ancha. Estas máquinas bombear constantemente peticiones de difusión para navegar por la red, entre otras cosas. paquetes de protocolo de enrutamiento de ISP también pueden ser visibles, o protocolos de redundancia enrutador tales como VRRP o HSRP. En entornos de co-localización, tales como centros de datos, una combinación de todas estas cosas puede estar presente.
Debido a que no hay ningún valor en saber que el cortafuego bloqueado 14 millones de NetBIOS transmisiones en el último día, y que el ruido puede ser encubrimiento de registros que son importantes, es una buena idea añadir una regla de bloqueo en la interfaz WAN para el ruido repetido trá fi co . Mediante la adición de una regla de bloqueo sin registro activado en la interfaz WAN, este tráfico c todavía será bloqueado, pero ya no fi ll los registros. La regla se muestra en la figura Regla de cortafuegos
para evitar la tala difusiones es con fi gurado en un sistema de prueba donde el “WAN” está en una LAN interna detrás de un cortafuegos borde fi. Para deshacerse del ruido de registro para ver las cosas de interés, hemos añadido esta regla para bloquear - pero no ingrese - nada con el destino de la dirección de difusión de esa subred.
Fig. 12.16: regla de cortafuegos para evitar la tala difusiones
Se recomienda agregar reglas similares, coincidiendo con el específico de ningún de registro de ruido observado en un entorno. Compruebe los registros fi cortafuego bajo Estado> Registros del sistema, Firewall pestaña para ver qué tipo de trá fi co del cortafuego está bloqueando, y revisar la frecuencia con que aparece en el registro. Si algún particular, trá fi co constantemente se está registrando más de 5 veces por minuto, y el trá fi co no es malicioso o digno de mención, añadir una regla de bloqueo para que pueda reducir el ruido de registro.
prácticas de tala Fuera de la caja, pfSense no registra ninguna fi tráfico pasado C y registra todo el tráfico se redujo c. Este es el comportamiento por defecto típico de casi todos los de código abierto y cortafuego comercial. Es el más práctico, como conectarse todos pasaron trá fi co rara vez es deseable debido a la carga y los niveles de registro generados. Esta metodología es un poco hacia atrás, sin embargo, desde una perspectiva de seguridad. Bloqueado trá fi co no puede dañar a una red por lo que su valor de registro está limitado para que tra fi co que se pasa podría ser información de registro muy importante contar con un sistema si se ve comprometida. Después de eliminar cualquier ruido de bloque inútil como se describe en la sección anterior, el resto es de algún valor para los propósitos de análisis de tendencias. Si se observa más o menos volumen registro de lo habitual de forma significativa, es probable que sea buena para investigar la naturaleza del tráfico registrado c. OSSEC , Un sistema de detección de intrusiones basado en host de código abierto (IDS), es un sistema que puede reunir los registros de pfSense a través de syslog y alerta basado en anomalías de volumen de registro.
182
Capítulo 12. Cortafuegos
El libro pfSense, Liberación
Metodología regla En pfSense, las normas sobre las pestañas de la interfaz se aplican sobre una base por interfaz, siempre en la dirección entrante en esa interfaz. Esto significa tráfico c iniciada desde la LAN se filtra utilizando las reglas de interfaz de LAN. Tra fi co iniciada a través de Internet se filtró con las normas de interfaz WAN. Debido a que todas las reglas de pfSense son con estado de forma predeterminada, se crea una entrada de la tabla de estado cuando trá fi co coincide con una regla de permiso. Todo respuesta trá fi co se permite automáticamente por esta entrada de la tabla de estado. La excepción a esto es flotante reglas ( Reglas flotante ), Que puede actuar en cualquier interfaz usando la entrada, de salida, o ambas direcciones. Nunca se requieren reglas de salida, debido a fi ltrado se aplica en la dirección de entrada de todas las interfaces. En algunas circunstancias limitadas, como un cortafuego con numerosas interfaces internas, teniendo a disposición puede reducir significativamente el número de reglas cortafuego requeridos. En tal caso, se aplican reglas de salida para tráfico Internet fi c como reglas de salida en la WAN para evitar tener que duplicar ellos para cada interfaz interna. El uso de entrante y saliente ltrado fi realiza una con fi guración más compleja y más propensa a error del usuario, pero puede ser deseable en aplicaciones específicas.
Grupos de interfaz grupos interfaz, discutidos en Grupos de interfaz , Son un método para colocar normas sobre múltiples interfaces al mismo tiempo. Esto puede simplificar algunas con fi guraciones regla si se requieren normas similares en muchas interfaces de la misma manera. reglas del grupo de la interfaz, como reglas de interfaz, se procesan sólo en la dirección entrante. Las fichas VPN para OpenVPN, L2TP, y el servidor PPPoE son todos los grupos de interfaces especiales que se crean automáticamente detrás de las escenas. Por ejemplo, un grupo puede ser utilizado para una colección de interfaces incluidas todas LAN o interfaces de tipo DMZ, o para un grupo de VLAN.
Nota: grupos de interfaces no son eficaces con Multi-WAN porque las reglas del grupo no pueden manejar adecuadamente responder a. Debido a que la deficiencia, trá fi co que coincide con una regla de grupo en una red WAN que no tiene la puerta de enlace predeterminada volverá a cabo la WAN con la puerta de enlace predeterminada, y no a través de la interfaz de la que entró.
Regla de procesamiento de pedidos Hasta ahora hemos hablado de cómo las reglas se procesan en una pestaña de interfaz, pero hay tres clases principales de reglas: reglas de interfaz regulares, normas y reglas flotantes, el grupo de interfaces (incluidas las normas de la ficha VPN). El orden del proceso de este tipo es significativo, y funciona de esta manera:
1. Reglas Flotantes 2. Reglas grupo de interfaces
3. Reglas de interfaz Las reglas están ordenados de esa manera en el conjunto de reglas reales, tener esto en cuenta cuando se formulan las reglas. Por ejemplo, si un grupo de interfaz contiene una regla para bloquear el tráfico c, que la regla no puede ser anulado con una regla de pestaña de interfaz debido a que el tráfico c ya se ha actuado sobre por la regla de grupo, que fue igualada primera en el conjunto de reglas. Las reglas se procesan hasta que se encuentra una coincidencia, sin embargo, por lo que si un paquete es no emparejado en las reglas del grupo, que todavía puede ser igualada por una regla de interfaz.
Otro lugar significativo esto entra en juego es con interfaces OpenVPN asignados. Si aparece una “permitir todo” regla está en su lugar en la ficha OpenVPN, que se corresponde con las reglas del grupo. Esto significa que no se aplicarán las reglas de la ficha interfaz. Esto puede ser un problema si las reglas de OpenVPN necesita tener responder a con el fin de garantizar cierta trá fi co sale de nuevo a través de la VPN. Ver también:
Ver Ordenamiento de NAT y Firewall de procesamiento para un análisis más detallado de procesamiento de reglas y de flujo a través del cortafuego, incluyendo las reglas NAT cómo entrar en juego.
12.7. Metodología regla
183
El libro pfSense, Liberación
Añadido automáticamente reglas de firewall pfSense añade automáticamente la normativa fi cortafuego internos para una variedad de razones. Esta sección describe las reglas que se agregan automáticamente y su propósito.
Regla anti-bloqueo Para evitar el bloqueo a un administrador de la interfaz web, pfSense permite a una de las reglas anti-bloqueo por defecto. Esto es con fi gurable en el Sistema> Avanzado página bajo Anti-bloqueo. Esta regla añadida automáticamente permite tráfico c de cualquier fuente dentro de la red que contiene la regla, a cualquier protocolo de administración fi cortafuegos que escucha en la dirección IP LAN. Por ejemplo, se concede acceso al puerto TCP 443 para WebGUI, el puerto TCP 80 para la redirección interfaz gráfica de usuario, y el puerto TCP 22 si se habilita SSH. Si el puerto WebGUI ha cambiado, el puerto con fi gurada es la permitida por la norma anti-bloqueo.
En entornos preocupados por la seguridad, la mejor práctica es desactivar esta regla y con fi gurar la LAN rige por lo que sólo un alias de hosts de confianza puede tener acceso a las interfaces de administración del cortafuego. Una mejor práctica sin embargo, es no permitir el acceso de la LAN, pero sólo a partir de una red aislada gestión administrativa.
La restricción del acceso a la interfaz de administración de LAN
En primer lugar, para con fi gurar las reglas fi cortafuego como se desee para restringir el acceso a la interfaz (s) de gestión necesaria. En este ejemplo típico caso de uso, tanto SSH y HTTPS se utilizan para la gestión, por lo que crean una ManagementPorts alias que contienen estos puertos (Figura Alias de Puertos de gestión ).
Fig. 12.17: Alias de Puertos de gestión
A continuación, crear un alias para hosts y / o redes que tendrán acceso a las interfaces de gestión (Figura Alias para hosts de Gestión ).
Los alias resultantes se muestran en la figura Lista de alias . A continuación, las reglas fi cortafuego LAN debe ser con fi gurada para permitir el acceso de los anfitriones previamente de fi nido, y denegar el acceso a todo lo demás. Hay numerosas maneras de lograr esto, dependiendo de especi fi cs del medio ambiente y la forma en la salida fi ltrado se maneja. Figura Ejemplo Reglas LAN Administración
restringido muestran dos ejemplos. El primero permite consultas DNS a la dirección IP de la LAN, la cual es necesaria si el Resolver DNS o DNS Forwarder están habilitadas, y también permite a los hosts de la LAN para hacer ping a la dirección IP de la LAN. A continuación, rechaza todos los demás trá fi co. El segundo ejemplo permite el acceso de los anfitriones de gestión a los puertos de administración, entonces rechaza todos los demás tráfico c a los puertos de administración. Elegir la metodología que
184
Capítulo 12. Cortafuegos
El libro pfSense, Liberación
Fig. 12.18: Alias para hosts de Gestión
Fig. 12.19: Lista de Alias
que funciona mejor para el entorno de red en cuestión. Recuerde que el puerto de origen no es el mismo que el puerto de destino.
Fig. 12.20: Ejemplo restringidos Reglas LAN Gestión
Una vez que las reglas fi cortafuego son con fi gura, desactivar la regla anti-bloqueo en el webgui Sistema> Avanzado página (figura Anti-bloqueo de la Regla de movilidad reducida ). Marque la casilla y haga clic Salvar.
Nota: Si la interfaz de gestión ya no se puede acceder después de desactivar la regla anti-bloqueo, las reglas fi cortafuego no eran con fi gurada adecuadamente. Vuelva a habilitar la regla anti-bloqueo mediante el uso de la Ajustar interface (s) dirección IP opción en el menú de la consola, a continuación, elija para restablecer la dirección IP de la LAN. Configurarlo para que su dirección IP actual y automáticamente se vuelve a habilitar la regla.
12.7. Metodología regla
185
El libro pfSense, Liberación
Fig. 12.21: Reglas de LAN de Administración restringido ejemplo alternativo
Fig 12.22:. Anti-Bloqueo Regla discapacitados
Reglas fi ng Anti-spoo pfSense utiliza la característica antispoof en PF para bloquear spoofed tráfico c. Esto proporciona Forwarding funcionalidad ruta inversa de unidifusión (uRPF) tal como se define en RFC 3704 . La fi cortafuegos comprueba cada paquete contra su tabla de enrutamiento, y si un intento de conexión proviene de una dirección IP de origen en una interfaz donde el cortafuego sabe que la red no reside, se deja caer. Por ejemplo, un paquete que viene en WAN con una dirección IP de origen de una red interna se deja caer. Cualquier cosa iniciada en la red interna con una dirección IP de origen que no reside en la red interna se deja caer.
Bloque Redes Privadas los Bloquear las redes privadas opción en la interfaz WAN pone automáticamente en una regla de bloqueo para RFC 1918 subredes. A menos que el espacio IP privada está en uso en la red WAN, activar esta opción. Esto sólo se aplica a trá fi co iniciada en el lado WAN. clientes locales todavía pueden llegar a los hosts en las redes privadas desde el interior del cortafuego. Esta opción está disponible para cualquier interfaz, pero por lo general sólo se utiliza en interfaces de tipo WAN. Una norma similar se puede crear manualmente para bloquear redes privadas en las interfaces mediante la creación de un alias que contiene el RFC 1918 subredes y añadiendo una regla de cortafuego a la parte superior de las reglas de interfaz para bloquear tráfico c con una fuente de juego que alias. (Ver Las direcciones IP privadas Para obtener más información acerca de las direcciones IP privadas).
Bloque Bogon Redes Bogon redes son aquellos que nunca debe ser visto en Internet, incluyendo el espacio de direcciones IP reservada y sin asignar. La presencia de trá fi co de estas redes podría indicar ya sea falsificada trá fi co o una subred no utilizado que ha sido secuestrado por el uso malicioso. pfSense ofrece dos listas bogons que se actualizan según sea necesario, uno para redes IPv4 Bogon y uno para redes IPv6 Bogon. Si redes de bloques Bogon está activada, el cortafuego buscará una lista actualizada bogons en el primer día de cada mes de files.pfsense.org. El script se ejecuta a las 3:00 am, hora local, y tiene capacidad para una cantidad aleatoria de tiempo hasta 12 horas antes de realizar la actualización. Esta lista no cambia con mucha frecuencia, y las nuevas asignaciones de direcciones IP se eliminan de los meses de lista bogons antes de que se utilizan realmente, por lo que una actualización mensual es adecuada. Si la lista se debe actualizar con mayor frecuencia, cambiar la Frecuencia de actualización para bogons menores Sistema> Avanzado sobre el Cortafuegos y NAT lengüeta.
Nota: La lista bogons para IPv6 es bastante grande, y puede que no se carga si no hay suficiente memoria en el sistema, o si el número máximo de entradas de la tabla no es lo suficientemente grande para contenerlo. Ver Firewall entradas de tabla de máximos para obtener información sobre cómo cambiar ese valor.
186
Capítulo 12. Cortafuegos
El libro pfSense, Liberación
Asegúrese de que el cortafuego puede resolver nombres de host DNS, de lo contrario la actualización fallará. Para garantizar la resolución DNS fi cortafuegos, vaya a Diagnóstico> búsqueda de DNS, y tratar de resolver files.pfsense.org. Si funciona, entonces ir a Diagnóstico> puerto de prueba y tratar de conectarse a files.pfsense.org en el puerto 80 como se demuestra en la figura fi gura de pruebas de conectividad para la Bogon actualizaciones.
Fig. 12.23: Pruebas de Conectividad Bogon Actualizaciones
Forzar una actualización bogons
Con los cambios relativamente infrecuentes a la lista bogons, y avisos anticipados de nuevas asignaciones de IP pública, una actualización mensual bogons es adecuada. Sin embargo, puede haber situaciones en que una actualización de Bogon manual puede ayudar, como si las actualizaciones Bogon han estado fallando debido a un DNS con fi guración incorrecta. Ejecutar una actualización a través de la web fi cortafuegos interfaz en Diagnóstico> Tablas, seleccionando bogons o bogonsv6 a continuación, haga clic
Actualizar.
IPsec Cuando un sitio para localizar la conexión IPsec está habilitado, las reglas son añade automáticamente permitiendo el acceso remoto dirección IP punto final del túnel a los puertos UDP 500 y 4500, y el protocolo ESP en la dirección WAN IP que se utiliza para la conexión. Cuando IPsec para clientes móviles está activado se permite que la misma trá fi co, pero a partir de una fuente de alguna, en lugar de una dirección de origen fi específico.
Debido a las obras de encaminamiento de política modo, cualquier trá fi co que coincide con una regla que especifica una puerta de entrada se verá obligado a Internet y pasará por alto el procesamiento IPsec. Las reglas se añade automáticamente para negar la política de enrutamiento de trá fi co destinado a subredes VPN remotos, pero no siempre tienen el efecto deseado. Para desactivar las reglas de negación automáticos, consulte
Desactivar reglas Negate y añadir una regla de cortafuegos en la fi parte superior de las normas sobre la interfaz interna para pasar tráfico c a la VPN sin un conjunto de puerta de enlace. Ver también:
Automáticamente añaden reglas de IPsec se discuten en más profundidad en IPsec .
12.7. Metodología regla
187
El libro pfSense, Liberación
Predeterminado regla de denegación
Normas que no coinciden con las reglas de fi nidas-de usuario ni ninguna de las otras reglas se agregan automáticamente en silencio bloqueadas por la regla de denegación predeterminada (como se discutió en Denegar por defecto ).
Con fi gurar reglas de cortafuego Cuando con fi gurar reglas fi cortafuego bajo Cortafuegos> Reglas hay muchas opciones disponibles para controlar la forma c fi tráfico está adaptada y controlada. Cada una de estas opciones se enumeran en esta sección.
Acción Esta opción especificidad es si la regla pasar, bloque, o rechazar tráfico c. Pasar Un paquete de búsqueda de esta regla se le permitirá pasar a través del cortafuego. Si se habilita el seguimiento del estado
para la regla, una entrada de tabla de estado se crea que permite el retorno relacionada trá fi co para pasar de nuevo a través. Ver El filtrado stateful para más información. Bloquear Un paquete de búsqueda de esta regla será descartado.
Rechazar Un paquete de búsqueda de esta regla se desecha y para los protocolos soportados, se enviará un mensaje
de nuevo al autor lo que indica que se ha rechazado la conexión. Ver también:
Ver Bloque vs Rechazar para una descripción más profunda de las opciones y de ayuda para decidir entre el bloque y Rechazar.
Discapacitado Para desactivar una regla sin eliminarla de la lista de reglas, marque esta casilla. Todavía se mostrará en la pantalla de reglas fi cortafuego, pero la regla aparecerá en gris para indicar el estado desactivado.
Interfaz los Interfaz desplegable especificidad es la interfaz que recibe tráfico c a ser controlado por esta regla. Recuerde que en las reglas de interfaz y ficha de grupo, trá fi co sólo se filtra en la interfaz donde el trá fi co es iniciado. Tra fi co iniciada desde la LAN con destino a la Internet o cualquier otra interfaz en el cortafuego se filtró por la LAN conjunto de reglas.
TCP / IP versión Indica a la regla para solicitar IPv4, IPv6, o ambos IPv4 + IPv6 tráfico c. Las reglas sólo igualará y actuar sobre los paquetes que concuerden el protocolo correcto. Los alias se pueden utilizar los que contienen ambos tipos de direcciones IP y el Estado sólo coincidirá con las direcciones del protocolo correcto.
Protocolo El protocolo de esta regla coincidirá. La mayoría de estas opciones se explican por sí. TCP / UDP coincidirá tanto TCP y UDP tráfico c. Especificación ICMP mostrará una caída adicional cuadro de abajo para seleccionar el Tipo de ICMP. Varios otros protocolos comunes también están disponibles.
188
Capítulo 12. Cortafuegos
El libro pfSense, Liberación
Nota: Este campo por defecto TCP para una nueva regla, ya que es un defecto común y se mostrará los campos esperados para ese protocolo. Para hacer que la regla se aplica a cualquier protocolo, cambie este campo a alguna. Uno de los errores más comunes en la creación de nuevas normas es la creación de una regla de forma accidental TCP y luego no ser capaz de pasar a otra no TCP trá fi co como ping, DNS, etc.
Tipo ICMP Cuando ICMP se selecciona como el protocolo, este desplegable contiene todos los tipos posibles de ICMP a juego. Al pasar ICMP, la mejor práctica es sólo para pasar los tipos requeridos cuando sea posible. El caso de uso más común es pasar solamente un tipo de Echo Request lo que permitirá un ICMP ping a pasar.
Propina: Históricamente, ICMP tiene una mala reputación, pero por lo general es beneficioso y no merece la reputación en las redes modernas. Permitir que un tipo de ICMP de alguna es típicamente aceptable al permitir ICMP.
Fuente Este campo específico es la dirección IP de origen, subred, o alias que se ajuste a esta regla. El cuadro desplegable de fuente permite varios tipos de pre-de fi nido de diferentes fuentes: Alguna Hace coincidir cualquier dirección.
Un único host o alias Encaja en una única dirección IP o el nombre de alias. Cuando esto está activo, un nombre de alias puede ser escrito en el Dirección de la fuente campo.
Red Utiliza una dirección IP y la máscara de subred para que coincida con un rango de direcciones.
Los clientes PPPoE Una macro que coincidirá con trá fi co de la gama de direcciones de cliente para el servidor PPPoE si el servidor PPPoE está activada.
Los clientes L2TP Una macro que coincidirá con trá fi co de la gama de direcciones de cliente para el servidor L2TP si el servidor L2TP está activado.
interfaz de Red Una entrada en esta lista está presente para cada interfaz en el cortafuego. Estas macros especifican
la subred para esa interfaz exactitud, incluidas las subredes IP de alias VIP que difieren de la de fi nida interfaz de subred.
interfaz Dirección Una entrada en esta lista está presente para cada interfaz en el cortafuego. Estas macros especifican
la dirección IP con fi gurado en esa interfaz. Advertencia: los WAN Red opción para el origen o el destino significa la subred de sólo la interfaz WAN. Esto no significa que “Internet” o cualquier host remoto.
Para las reglas TCP a juego y / o UDP, el puerto de origen también puede ser indicado por clic en el
Mostrar avanzada.
El puerto de origen se oculta detrás de la mostrar avanzada Botón porque normalmente el puerto de origen debe permanecer ajustado a
alguna, como conexiones TCP y UDP se obtienen de un puerto aleatorio en el intervalo de puertos efímeros (entre 1024 a través 65535, la gama exacta usada varía dependiendo del sistema operativo y versión del sistema operativo que está iniciando la conexión). El puerto de origen casi nunca es el mismo que el puerto de destino, y nunca debe ser con fi gurado como tal a menos que la aplicación en uso se conoce el empleo de este comportamiento atípico. También es seguro para definir un puerto de origen como una amplia gama de 1024 a 65535.
Selección Invertir Partido negará el partido para que todos trá fi co, excepto este valor fuente se disparará la regla.
12.8. Con fi gurar reglas de cortafuego
189
El libro pfSense, Liberación
Destino Este campo específico es la dirección IP de destino, subred, o alias que se ajuste a esta regla. Ver la descripción de la Fuente opción Fuente para más detalles. Para las reglas especificando TCP y / o UDP, el puerto de destino, rango de puertos, o alias es también especi fi aquí. A diferencia de origen, se requiere con fi gurar un puerto de destino, en muchos casos, ya que es más seguro que usar alguna y por lo general el puerto de destino se conoce de antemano basado en el protocolo. Muchos valores de puerto común están disponibles en las listas desplegables, o seleccionar ( otro) para introducir un valor manualmente o utilizar un alias de puerto.
Propina: Para especificar un rango continuo de puertos, introduzca el puerto inferior en el De sección y el valor del puerto superior en el
A sección.
Iniciar sesión
Este cuadro determina si los paquetes que cumplen esta regla se registrarán en el registro de fi cortafuegos. Logging se discute en más detalle en prácticas de
tala .
Descripción Introduzca una descripción aquí por referencia. Esto es opcional, y no afecta a la funcionalidad de la regla. La mejor práctica es introducir el texto que describe el propósito de la regla. La longitud máxima es de 52 caracteres.
Opciones avanzadas Opciones que son menos probable que se requiera o que tienen una funcionalidad confuso para los nuevos usuarios se han escondido en esta sección de la página. Hacer clic
mostrar avanzada para mostrar todas las opciones avanzadas. Si una opción en este
sección de la página se ha establecido, entonces aparecerá cuando la regla se carga en el futuro.
fuente OS Una de las características más singulares de PF y por lo tanto pfSense es la capacidad de filtro por el sistema operativo iniciar una conexión. Para las reglas del PCT, pf permite sistema operativo pasivo fi toma de huellas digitales ( “p0f”) que permite a las reglas de coincidencia basados en el sistema operativo inicia la conexión TCP. La característica p0f de pf determina el OS en uso mediante la comparación de características del paquete TCP SYN que inicia conexiones TCP con un fi huellas digitales le. Tenga en cuenta que es posible cambiar la huella digital fi de un sistema operativo para parecerse a otro sistema operativo, en especial con los sistemas operativos de código abierto tales como los BSD y Linux. Esto no es fácil, pero si contiene una red de usuarios técnicamente pro fi ciente con el administrador o el nivel de raíz el acceso a los sistemas, es posible.
Punto Código Diffserv Punto de código de servicios diferenciados es una manera para aplicaciones que indican si el interior de los paquetes de la forma en que preferirían los routers para tratar su trá fi co, ya que se transmitió a lo largo de su trayectoria. El uso más común de esto es por la calidad de los propósitos c conformación de servicio o de tráfico. El nombre largo es a menudo reducido a Punto Código Diffserv o abreviado como DSCP y, a veces referido como el TOS campo.
El programa o dispositivo de generación de los paquetes, por ejemplo a través de su Asterisk tos_sip y tos_audio parámetros con fi guración, fijará el campo DSCP en los paquetes y entonces es hasta el cortafuego y otros routers intermedios para igualar y cola o actuar sobre los paquetes.
190
Capítulo 12. Cortafuegos
El libro pfSense, Liberación
Para que coincida con estos parámetros en el cortafuego, utilice el Punto Código Diffserv desplegable entrada que coincida con el valor establecido por el dispositivo de origen. Existen numerosas opciones, cada una con un significado especial específico para el tipo de trá fi co. Consulte la documentación para el dispositivo que origina el tráfico c para más detalle sobre el que deben coincidir los valores. La desventaja de DSCP es que asume el apoyo routers o actuar en el campo, que puede o no puede ser el caso. Diferentes routers pueden tratar el mismo valor de DSCP en forma no intencionada o no coincidentes. Peor aún, algunos routers se borrará el campo DSCP en los paquetes del todo, ya que las envía. Además, la forma PF coincide con tra fi co, el valor de DSCP se debe establecer en el primer paquete de una conexión a la creación de un estado, ya que cada paquete no se inspecciona de forma individual una vez al estado ha sido creado.
Nota: Esta opción sólo lee y coincide con el valor de DSCP. No establece un valor en paquetes.
Opciones IP Al marcar esta casilla permitirá que los paquetes con las opciones IP de fi nidas a pasar. Por defecto, todos los bloques pf paquetes que tienen opciones de IP establecidos con el fin de disuadir a fi OS toma de huellas digitales, entre otras razones. Marque esta casilla para pasar IGMP u otras opciones IP tráfico de multidifusión que contienen fi co.
Responder a desactivar
El cortafuego añade el responder a de palabras clave a las normas sobre interfaces de tipo WAN por defecto para asegurar que tra fi co que entra en una WAN también dejará a través de la misma red WAN. En ciertos casos este comportamiento no es deseable, tal como cuando algunos tráfico c se enruta a través de un fi cortafuegos / enrutador por separado en la interfaz WAN. En estos casos, compruebe esta opción para desactivar responder a sólo para trá fi co coincidiendo esta regla, en lugar de la desactivación responder a a nivel mundial.
Etiqueta y la etiqueta
los Etiqueta y etiquetado campos son útiles en concierto con reglas flotantes, por lo que el cortafuego puede marcar un paquete con una cadena específica medida que entra en una interfaz, y luego actuar de manera diferente en un paquete emparejado en el camino de salida con una regla flotante. Ver
Marcado y Matching Para más información sobre este tema.
Máximo de entradas de estado esta regla pueden crear
Esta opción limita el número máximo de conexiones, total, que pueden ser permitidos por esta norma. Si hay más conexiones coinciden con esta regla mientras está en su límite de conexión, esta regla se omitirá en la evaluación de las reglas. Si una norma posterior coincide, el trá fi co tiene la acción de esa norma se aplica, de lo contrario golpea la denegación predeterminada regla. Una vez que el número de conexiones permitidas por esta regla cae por debajo de este límite de conexión, trá fi co pueda volver a coincidir con esta regla.
número máximo de hosts de origen únicas Esta opción especi fi ca el número total de direcciones IP de origen pueden conectarse simultáneamente a esta regla. Cada dirección IP de origen se permite un número ilimitado de conexiones, pero el número total de direcciones IP de origen distinto permitido se limita a este valor.
número máximo de conexiones establecidas por host Para limitar el acceso basado en conexiones por host, utilice este ajuste. Este valor puede limitar una regla a un número c especificidad de conexiones por host de origen (por ejemplo, 10), en lugar de una conexión total global específico. Esta opción controla cuántos se les permite plenamente establecidas (apretón de manos) completado las conexiones por host que coincidan con la regla. Esta opción sólo está disponible para su uso con conexiones TCP.
12.8. Con fi gurar reglas de cortafuego
191
El libro pfSense, Liberación
Máximo de entradas de estado por host
Esta configuración funciona de forma similar a la cuenta establecida anteriormente, pero comprueba si hay entradas de estado solos en lugar de seguimiento si se realiza una conexión exitosa.
nuevas conexiones máximas / por segundo Este método de limitación de velocidad ayuda a asegurar que una velocidad de conexión de alta TCP no sobrecargar un servidor o la tabla de estado en el cortafuego. Por ejemplo, los límites se pueden colocar en las conexiones entrantes a un servidor de correo, lo que reduce la carga de la sobrecarga de spam. También se puede utilizar en reglas de trá fi co de salida para establecer los límites que impidan cualquier máquina única de la carga hasta la tabla de estado en el cortafuego o hacer demasiadas conexiones rápidas, comportamientos que son comunes con los virus. Una cantidad conexión y un número de segundos para el período de tiempo pueden ser con fi gurada para la regla. Cualquier dirección IP exceder el número ed especificidad de conexiones dentro del marco de tiempo dado será bloqueado por el cortafuego durante una hora. Detrás de las escenas, esto es manejado por el virusprot mesa, llamado así por su típica propósito de protección contra virus. Esta opción sólo está disponible para su uso con conexiones TCP.
tiempo de espera en segundos Estado
Usando este campo, un tiempo de espera para el estado de trá fi co sean iguales a esta regla puede ser de fi nido, anulando el tiempo de espera de estado por defecto. Las conexiones inactivas serán cerradas cuando la conexión ha estado inactivo durante este período de tiempo. El tiempo de espera de estado por defecto depende del algoritmo de optimización fi cortafuegos en uso. Las opciones de optimización están cubiertas de Opciones de optimización de firewall
Nota: Esta opción sólo controla el trá fi co en la dirección entrante, por lo que no es muy útil por sí misma. Salida trá fi co para una conexión correspondiente todavía tendrá el tiempo de espera estado predeterminado. Para utilizar este ajuste adecuadamente, se requiere también una regla flotando coincidente en el camino de ida tomada por el trá fi co con un ajuste de tiempo de espera de estado similar.
Indicadores TCP
Por defecto, las nuevas reglas de pase para TCP sólo verifican para el pabellón TCP SYN que desea ajustar, de un posible conjunto de SYN y ACK. Para dar cuenta de escenarios más complejos, tales como trabajar enrutamiento alrededor asimétrica o otras combinaciones no tradicionales de tráfico c flujo, utilizar este conjunto de controles para cambiar la forma de los ags fl son igualados por la regla fi cortafuegos. Los controles de primera fila, que fl ags deben configurarse para que coincida con la regla. La segunda fila define la lista de AGS fl, que será consultada en el paquete para buscar una coincidencia. Los significados de las banderas fl más utilizados son:
SYN Sincronizar los números de secuencia. Indica un nuevo intento de conexión. ACK Indica reconocimiento de datos. Estas son las respuestas a dejar que el remitente saber los datos fue recibido DE ACUERDO.
ALETA Indica que no hay más datos del remitente, el cierre de una conexión. RST Reajuste de conexion. Este pabellón se fija al responder a una solicitud para abrir una conexión en un puerto que no tiene demonio de escucha. También se puede ajustar por el software de cortafuegos fi a alejarse conexiones no deseadas.
PSH Indica que los datos deben ser empujados o barrió, incluyendo los datos en este paquete, haciendo pasar los datos hasta
a la aplicación. URG Indica que el campo urgente es significativo, y este paquete debe ser enviado antes de los datos que no es urgente. Para permitir TCP con cualquier conjunto AGS fl, cheque Cualquier Banderas.
192
Capítulo 12. Cortafuegos
El libro pfSense, Liberación
Tipo Estado Hay tres opciones para el seguimiento del estado en pfSense que puede ser especi fi cado en una base por regla:
Guardar Cuando elegido, el cortafuego va a crear y mantener una entrada de la tabla de estado permitida trá fi co. Esto es el valor por defecto, y la mejor opción en la mayoría de las situaciones.
Estado descuidado Sloppy es un medio menos estrictos de mantenimiento de estado que se pretende para escenarios con asimétrica enrutamiento. Cuando el cortafuego puede ver solamente la mitad del trá fi co de una conexión, las comprobaciones de validez del mantenimiento de estado por defecto fallarán y trá fi co serán bloqueados. Mecanismos de PF que impiden que ciertos tipos de ataques no entrará en funcionamiento durante un control de estado descuidado.
synproxy Esta opción hace que pfSense a las conexiones TCP entrantes proxy. conexiones TCP comienzan con un apretón de manos de tres vías. El primer paquete de una conexión TCP es un SYN de la fuente, lo que provoca una respuesta SYN ACK desde el destino, entonces un ACK en retorno desde la fuente hasta completar el protocolo de enlace. Normalmente el anfitrión detrás del cortafuego se encargará de esto por sí solo, pero el estado synproxy tiene la fi cortafuegos completar este apretón de manos en su lugar. Esto ayuda a proteger contra un tipo de ataque de denegación de servicio, SYN inundaciones. Esto se utiliza normalmente sólo con las normas sobre interfaces WAN. Este tipo de ataque se maneja mejor a nivel de sistema operativo de destino de hoy, ya que cada sistema operativo moderno incluye capacidades de manejo de este por su cuenta. Debido a que el cortafuego no puede saber qué TCP extensiones de los soportes de acogida de back-end, cuando se utiliza el estado synproxy, que anuncia no hay extensiones TCP compatibles. Esto significa que las conexiones creadas con el estado synproxy no va a usar el ajuste de ventanas, Saco, ni marcas de tiempo que conducirán a reducirse significativamente el rendimiento en la mayoría de los casos. Puede ser útil cuando la apertura de los puertos TCP a los hosts que no manejan bien el abuso de la red, donde el máximo rendimiento no es una preocupación.
Ninguna Esta opción no mantener el estado de esta regla. Esto sólo es necesario en algunos altamente especializado escenarios avanzados, ninguno de los cuales están cubiertos en este libro, ya que son muy poco frecuentes.
Nota: Ajuste Ninguna aquí sólo afecta trá fi co en la dirección entrante, por lo que no es muy útil por sí misma ya que aún se creará un estado en la dirección de salida. Se debe estar emparejado con una regla flotante en dirección de salida, que también tiene la misma opción elegida.
Sin sincronización XML-RPC
Al marcar esta casilla previene esta regla de sincronización con otros miembros del clúster de alta disponibilidad a través de XMLRPC. Esto se trata en Alta disponibilidad . Esto no impide que una regla en un nodo secundario que se sobrescriba por el primario.
De prioridad de VLAN (Match and Set)
802.1p, también conocido como IEEE 802.1p prioridad o Punto de código, es una manera de igualar y etiquetar paquetes con una calidad específico de prioridad de servicio. A diferencia de DSCP, 802.1p opera en la capa 2 con VLAN. Sin embargo, como DSCP, el enrutador de aguas arriba debe también apoyan 802.1p para que sea útil.
Hay dos opciones de esta sección. La primera coincidirá con un campo 802.1p por lo que el cortafuego puede actuar sobre ella. El segundo inyectará una etiqueta 802.1p en un paquete a medida que pasa a través de este fi cortafuegos. Algunos ISP pueden requerir una etiqueta 802.1p que debían mantenerse en ciertas áreas, como Francia, con el fin de manejar adecuadamente voz / vídeo / datos sobre las VLAN segregadas en la prioridad correcta para asegurar la calidad.
Hay ocho niveles de prioridad de 802.1p, y cada uno tiene un código de dos letras en la GUI. Con el fin de prioridad más baja a la más alta, que son:
BK Fondo SER Mejor esfuerzo
12.8. Con fi gurar reglas de cortafuego
193
El libro pfSense, Liberación
EE excelente Esfuerzo California Las aplicaciones críticas
VI Vídeo VO Voz IC internetwork control CAROLINA DEL NORTE control de red
Programar Esta opción con fi guras un horario especificando los días y horas para la regla de estar en vigor. Al seleccionar “ninguno” significa el gobierno siempre estará habilitado. Para más información, ver Reglas basada en el tiempo más adelante en este capítulo.
Puerta Esta opción estafadores cifras de pasarela o puerta de enlace de grupo para ser utilizados por trá fi co coincidiendo esta regla. Esto se trata en la política de enrutamiento .
Entrada / Salida de tuberías (limitadores)
Estos limitadores nidos lista de selecciones de fi para aplicar un límite de ancho de banda para el tráfico fi c entrar en esta interfaz (A) y dejando esta interfaz (Out). Más detalles sobre limitadores se puede encontrar en limitadores .
Ackqueue / cola Estas opciones de fi ne que ALTQ tráfico c talladora colas se aplican a C Introducción tráfico y salen de esta interfaz. Para obtener más información acerca de trá fi co conformación, ver Traf fi c Shaper .
Reglas flotante Reglas flotante son un tipo especial de reglas avanzadas que puede realizar acciones complicadas que no son posibles con las normas sobre las pestañas de la interfaz o de grupo. reglas flotantes pueden actuar en múltiples interfaces de la entrada, de salida, o ambas direcciones. El uso de entrante y saliente ltrado fi hace que diseñar las reglas más complejo y propenso a errores del usuario, pero puede ser deseable en aplicaciones específicas.
La mayoría de las configuraciones de cortafuegos fi fi estafadores nunca tendrán reglas flotantes, o sólo tienen ellos de la talladora de trá fi co.
Precauciones / Advertencias reglas flotantes pueden ser mucho más potente que otras reglas, pero también más confuso, y es más fácil cometer un error que podría tener consecuencias no deseadas, de paso, o el bloqueo de trá fi co. Flotante reglas en la dirección entrante, aplicada a múltiples redes WAN, no conseguirá responder a agregado como lo harían con las normas de interfaz individuales, por lo que existe el mismo problema que existe con los grupos de interfaz: El trá fi co siempre saldrá de la WAN con la puerta de enlace predeterminada, y no volver a cabo adecuadamente la WAN que entró.
Dado el relativo desconocimiento de muchos usuarios con reglas flotantes, es posible que no ocurriría buscar allí para mantener reglas cuando el cortafuego. Como tales, pueden ser un poco más culto di fi para la administración, ya que no puede ser un lugar obvio para buscar reglas.
194
Capítulo 12. Cortafuegos
El libro pfSense, Liberación
Tenga cuidado cuando se considera el origen y destino de los paquetes en función de la dirección entrante y saliente. Por ejemplo, las reglas en la dirección de salida en una WAN tendrían una fuente local de la cortafuego (después de NAT) y de destino remoto.
Los usos potenciales El uso más común de reglas flotantes es para ALTQ tráfico c conformación. Flotantes reglas de lengüeta son el único tipo de reglas que pueden coincidir y la cola de tráfico c sin pasar explícitamente el tráfico c. Otra forma de utilizar las reglas flotantes es el control de trá fi co que sale de la misma fi cortafuegos. reglas flotantes pueden evitar que el cortafuego llegue a direcciones IP c especí fi, puertos, y así sucesivamente.
Otros usos comunes son para garantizar que no trá fi co puede salir de otros caminos en una red segura, no importa lo que existen normas sobre otras interfaces. Mediante el bloqueo de salida hacia una red segura de todos menos los lugares aprobados, la probabilidad de accidente más adelante permitiendo trá fi co a través de alguna otra ruta no deseada se reduce. Del mismo modo, pueden ser usados para prevenir trá fi co destinado a redes privadas de salir de una interfaz WAN, VPN para evitar trá fi co se escape.
Como se mencionó anteriormente en las reglas de interfaz, también pueden promulgar efectivamente los tiempos de espera del estado, las operaciones de la etiqueta / de los partidos, reglas “ningún estado”, y reglas “estado descuidado” para enrutamiento asimétrico.
Orden de procesamiento En la dirección entrante, reglas flotando trabajan esencialmente el mismo que las reglas de interfaz o de grupo, excepto que se procesan primero. En la dirección saliente, sin embargo, las cosas se ponen un poco más confuso. Las reglas de firewall se procesan después de reglas NAT, por lo que las reglas en la dirección de salida en una WAN pueden nunca coinciden con una dirección de origen lo- cal / privada IP si NAT saliente está activo en esa interfaz. En el momento en que llega la regla, la dirección de origen del paquete es ahora la dirección IP de la interfaz WAN. En la mayoría de los casos esto se puede evitar mediante el uso de las opciones de identificación para etiquetar un paquete en la LAN de la manera en juego y luego esa etiqueta en la salida del cortafuego. reglas flotantes se procesan antes que las reglas del grupo interfaz y las reglas de interfaz, de modo que también deben ser tenidas en consideración.
Acción del partido los partido la acción es exclusivo de reglas flotantes. Una regla con el partido acción no pasará o bloquear un paquete, pero sólo coincidir para los propósitos de la asignación de tráfico c a colas o limitadores para la conformación de tráfico c. reglas de coincidencia no funcionan con Rápido
habilitado.
Rápido Rápido controla si el procesamiento de reglas se detiene cuando se compara una regla. los Rápido comportamiento se añade a todas las reglas de la ficha interfaz de forma automática, pero en reglas flotando es opcional. Sin Rápido se marca, la regla sólo tendrá efecto si no hay otras normas que coincida con el trá fi co. Se invierte el comportamiento de los “fi victorias primer match” a ser “los últimos partidos ganados”. El uso de este mecanismo, una acción predeterminada de clases puede hacer a mano que se hará efectiva sólo cuando no hay otras reglas son iguales, similares a las reglas de bloqueo por defecto en las redes WAN. En la mayoría de las situaciones, se aconseja tener Rápido seleccionado. Hay ciertas situaciones especí fi cas donde dejar Rápido
sin control es necesario, pero son pocos y distantes entre sí. Para la mayoría de los escenarios, las únicas reglas que tendrían sin rápida seleccionados son partido Reglas del tráfico c talladora.
12.9. Reglas flotante
195
El libro pfSense, Liberación
Interfaz los Interfaz selección de reglas flotando es diferente de la otra para reglas de interfaz normales: Es una caja de selección múltiple por lo que uno, múltiples o todas las interfaces posibles se pueden seleccionar. Ctrl + clic en las interfaces para seleccionar uno por uno, o utilizar otras combinaciones de clic / arrastre o shift-clic para seleccionar múltiples interfaces.
Dirección reglas flotantes no se limitan a la dirección entrante como reglas de interfaz. También pueden actuar en la dirección de salida seleccionando fuera aquí, o en ambas direcciones seleccionando alguna. los en dirección también está disponible. los fuera dirección es útil para fi ltrado tráfico c de la fi cortafuegos en sí, para hacer coincidir otro tráfico indeseable fi c tratando de salir de una interfaz, o para completamente con fi gurar reglas “estado descuidado”, reglas “ningún estado”, o los tiempos de espera del estado alternos.
Marcado y Matching Utilizando el Etiqueta y etiquetado campos, una conexión pueden estar marcados por una regla pestaña de interfaz y luego emparejados en la dirección de salida en una regla flotante. Esta es una forma útil para actuar en WAN saliente tráfico c de un host interno fi específico que otro modo no podrían ser igualada debido a NAT enmascarar la fuente. También se puede usar de manera similar para la aplicación de saliente de conformación en WAN de tráfico c específicamente etiquetados en el camino hacia el cortafuego. Por ejemplo, en una regla de LAN, utilice una cadena corta en el Etiqueta campo para marcar un paquete desde una fuente de 10.3.0.56. A continuación, en una regla flotando, rápida, saliente en la WAN, el uso etiquetado con la misma cadena de actuar sobre el trá fi co reconocidos por la regla de LAN.
Métodos de uso de direcciones IP públicas adicionales Los métodos de despliegue de direcciones IP públicas adicionales varían dependiendo de cómo se delegan las direcciones, el tamaño de la asignación, y las metas para el entorno de red especí fi co. Para utilizar las direcciones IP públicas adicionales con NAT, por ejemplo, el cortafuego necesitará Las direcciones IP virtuales .
Hay dos opciones para asignar direcciones IP públicas directamente a los hosts: enrutados subredes IP públicas y de puente.
El elegir entre rutas, puentes, y NAT direcciones IP públicas adicionales pueden ser objeto de un uso mediante la asignación directa de ellos en los sistemas que van a utilizar, o mediante el uso de NAT. Las opciones disponibles dependen de cómo las direcciones se asignan por el ISP.
direcciones IP estáticas adicionales Métodos de uso de direcciones IP públicas estáticas adicionales varían dependiendo del tipo de tarea. Cada uno de los escenarios más comunes que se describe aquí.
Subred IP única en la WAN
Con una sola subred IP pública en la WAN, una de las direcciones IP públicas habrá en el router aguas arriba, comúnmente perteneciente al ISP, y otra de las direcciones IP se asigna como dirección IP WAN en pfSense. Las direcciones IP restantes se pueden utilizar ya sea con NAT, puente o una combinación de los dos. Para utilizar las direcciones con NAT, añada Proxy ARP, IP alias o Carp Tipo de direcciones IP virtual.
196
Capítulo 12. Cortafuegos
El libro pfSense, Liberación
Para asignar direcciones IP públicas directamente a los hosts detrás del cortafuego, una interfaz dedicada para los anfitriones debe ser superada a la WAN. Cuando se utiliza con puente, los hosts con las direcciones IP públicas asignadas directamente deben usar la misma puerta de enlace predeterminada como la WAN del cortafuego: el router ISP aguas arriba. Esto creará di fi cultades si los hosts con direcciones IP públicas necesitan para iniciar conexiones a hosts detrás de otras interfaces del cortafuego, ya que la puerta de enlace ISP no enrutará trá fi co para las subredes internas de vuelta al cortafuego. Figura Varias direcciones IP públicas en la subred IP
Uso Individual muestra un ejemplo del uso de varias direcciones IP públicas en un solo bloque con una combinación de NAT y de puente.
Fig. 12.24: múltiples direcciones IP públicas en la subred IP Uso Individual
Ver también:
Para obtener información sobre la con fi guración, NAT se discute más adelante en Traducción de Direcciones de Red Y en el puente Bridging .
Pequeño WAN IP de subred con el más grande de subred IP de la LAN
Algunos ISP asignará una pequeña subred IP que el “lado WAN” asignación, a veces se llama una red de transporte o de interconexión, y la vía de una mayor subred “dentro” del cortafuego. Comúnmente se trata de un / 30 en el lado WAN y A / 29 o más grande para su uso en el interior del cortafuego. El router proveedor de servicios se le asigna un extremo de la / 30, normalmente la dirección IP más baja, y el cortafuego se asigna la dirección IP más alta. El proveedor entonces encamina la segunda subred de la dirección IP WAN del cortafuego. La subred IP adicional puede ser utilizada por el cortafuego en una interfaz LAN o OPT transfieran en público
12.10. Métodos de uso de direcciones IP públicas adicionales
197
El libro pfSense, Liberación
Direcciones IP directamente asignada a hosts, con NAT usando Otros VIPs tipo, o una combinación de los dos. Dado que las direcciones IP se encaminan al cortafuego, ARP no es necesario para las entradas VIP no son necesarios para su uso con NAT. Debido a pfSense es la puerta de entrada en el segmento local, el encaminamiento de los anfitriones locales públicos de subred a la LAN es mucho más fácil que en el escenario de un puente necesaria cuando se utiliza una sola subred IP pública. Figura Múltiples
direcciones IP públicas utilizando dos subredes IP muestra un ejemplo que combina una subred enrutado IP y NAT. Enrutamiento de direcciones IP públicas se cubre en Las direcciones de enrutamiento IP públicas Y en NAT Traducción de Direcciones de Red .
Fig 12.25:. Múltiples direcciones IP públicas utilizando dos subredes IP
Si el cortafuego es parte de un clúster de alta disponibilidad mediante la carpa, la subred de la WAN tendrá que ser un / 29 por lo que cada cortafuego tiene su propia dirección IP WAN más un VIP CARP. El proveedor de direccionará la más grande dentro de la subred de la WAN VIP CARP en este tipo de con fi guración. La subred IP en el interior debe ser enviada a una dirección IP que está siempre disponible, independientemente de la fi cortafuegos se ha terminado, y el más pequeño de subred utilizable con la carpa es un / 29. una configuración de este tipo con CARP es el mismo que el ilustrado anteriormente, con la puerta de enlace OPT1 ser un VIP CARP, y el proveedor de enrutamiento a un VIP CARP en lugar de la dirección IP WAN. CARP está cubierto de Alta disponibilidad .
múltiples subredes IP
En otros casos, un sitio puede asignar varias subredes IP desde el ISP. Por lo general, cuando esto sucede, el sitio comenzó con una de las dos disposiciones anteriormente descritas, y más tarde, cuando se solicite IP adicional se dirige al sitio fue dotado de una subred IP adicional. Idealmente, esta subred adicional se encamina al cortafuego por el ISP, ya sea
198
Capítulo 12. Cortafuegos
El libro pfSense, Liberación
a su dirección IP WAN en el caso de un solo cortafuego, o para un VIP CARP cuando se utiliza HA. Si el proveedor se niega a encaminar la subred IP al cortafuego, sino más bien lo encamina a su router y utiliza una de las direcciones IP de la subred como dirección de puerta de enlace IP, el cortafuego tendrá que utilizar proxy ARP VIP, IP Alias VIP, o una combinación de IP Alias y VIPs carpa para la subred adicional. Si es posible, el proveedor debe encaminar la subred IP al cortafuego, ya que hace que sea más fácil trabajar con independencia del cortafuego que se utilice. También elimina la necesidad de quemar 3 direcciones IP en la subred adicional, una para las direcciones de red y de broadcast y uno para la dirección de puerta de enlace IP. Con una subred enrutado, toda la subred se puede utilizar en combinación con NAT. Cuando la subred IP se enruta al cortafuego, el escenario descrito en Pequeño WAN IP de subred con el más grande de
subred IP de la LAN Aplica para una subred interna adicional. La subred se puede asignar a una nueva interfaz de TPO, utilizado con NAT, o una combinación de los dos.
Las direcciones IP adicionales a través de DHCP
Algunos ISP requieren IP adicional se dirige a obtener a través de DHCP. Este no es un buen medio para obtener múltiples direcciones IP públicas, y debe evitarse en cualquier red grave. Una conexión de clase de negocios no debe exigir esto. pfSense es uno de los pocos rewalls fi que pueden ser utilizados en cualquier capacidad con direcciones IP adicionales de DHCP. Esto ofrece flexibilidad limitada en lo que el cortafuego puede hacer con estas direcciones, dejando sólo dos opciones viables.
Bridging
Si las direcciones IP adicionales de DHCP deben ser asignados directamente a los sistemas que van a utilizar, puente es la única opción. Utilizar una interfaz OPT puente con WAN para estos sistemas y los sistemas deben ser con fi gurada para obtener sus direcciones mediante DHCP.
Pseudo WAN múltiples
La única opción para tener la fi cortafuegos tirar de estas direcciones DHCP como arrendamiento es un despliegue de pseudo multi-WAN. Instalar una interfaz de red por cada dirección IP pública, y con fi gurar cada uno para DHCP. Conecte todas las interfaces en un interruptor entre el cortafuego y el módem o router. Dado que el cortafuego tendrá múltiples interfaces que comparten un único dominio de difusión, permitir Suprimir los mensajes ARP en Sistema> Opciones avanzadas, Redes pestaña para eliminar las advertencias de ARP en el registro del sistema, que son normales en este tipo de despliegue.
El único uso de múltiples direcciones IP públicas asignadas de esta manera es para el reenvío de puertos. redirecciones de puertos se pueden utilizar en cada interfaz WAN que utiliza una dirección IP asignada a la interfaz por el servidor DHCP del ISP. NAT salientes a los TPO WAN no funcionará debido a la limitación de que cada uno de WAN debe tener una dirección IP única puerta de entrada para dirigir adecuadamente trá fi co de esa WAN. Esto se discute más en Las conexiones WAN múltiples .
Las direcciones IP virtuales pfSense permite el uso de múltiples direcciones IP en combinación con NAT o servicios locales a través de direcciones IP virtuales (VIP). Hay cuatro tipos de direcciones IP virtuales disponibles en pfSense: IP Alias, la carpa, el Proxy ARP, y Otro. Cada uno es útil en diferentes situaciones. En la mayoría de las circunstancias, pfSense tendrá que responder a una petición ARP VIP que significa que los alias IP, ARP proxy o CARP se deben utilizar. En situaciones donde no se requiere ARP, como cuando las direcciones IP públicas adicionales se encaminan por un proveedor de servicios para la dirección IP WAN en el cortafuego, utilizar otros VIPs tipo. pfSense no responderá a los pings destinados a Proxy ARP y otras personalidades de tipo independientemente de fi cortafuegos con la regla fi guración. Con Proxy ARP y Otros VIPs, NAT debe estar presente en el cortafuego, reenvío de tráfico c a un host interno para el ping a la función. Ver Traducción de Direcciones de Red para más información.
12.11. Las direcciones IP virtuales
199
El libro pfSense, Liberación
IP Alias Alias IP funcionan como cualquier otra dirección IP en una interfaz, tal como la dirección IP de la interfaz real. Ellos responderán a la capa 2 (ARP) y se pueden utilizar como direcciones vinculante de los servicios en el cortafuego. También se pueden utilizar para manejar varias subredes en la misma interfaz. pfSense responderá a ping en un alias IP, y servicios en el cortafuego que se unen a todas las interfaces también responderá en IP Alias VIPs a menos que el VIP se utiliza para reenviar esos puertos en a otro dispositivo (por ejemplo, 1: 1 NAT).
VIPs IP alias puede utilizar localhost como su interfaz va a emplear los servicios que utilizan direcciones IP de un bloque de direcciones sin enrutados específicamente la asignación de las direcciones IP a una interfaz. Esto es principalmente útil en HA con escenarios de carpa de modo que las direcciones IP no necesitan ser consumidos por una configuración de CARP (un IP cada por nodo, entonces el resto como la carpa VIPs) cuando existe la subred sólo dentro del cortafuego (por ejemplo, NAT o fi cortafuegos servicios tales como VPNs). Los alias IP en su propio no se sincronizan con XMLRPC de Con fi guración de sincronización compañeros porque eso daría lugar a una dirección IP conflicto. Una excepción a esto es VIPs IP de alias utilizando un VIP CARP “interfaz” para su interfaz. Los que no dan lugar a un conflicto para que se sincronizarán. Otra excepción es VIPs IP Alias unidos a localhost como su interfaz. Debido a que estos no son activos fuera de la misma fi cortafuegos,
Proxy ARP Proxy ARP VIPs función estrictamente en la capa 2, proporcionando respuestas ARP para la dirección IP o CIDR fi ed rango específico de direcciones IP. Esto permite pfSense para aceptar trá fi co dirigido a aquellas direcciones dentro de una subred compartida. Por ejemplo, pfSense puede reenviar tráfico c enviado a una dirección adicional dentro de su subred WAN de acuerdo con su NAT con fi guración. La dirección o rango de direcciones no están asignados a ninguna interfaz de pfSense, porque no tienen que ser. Esto significa que no hay servicios en sí pfSense puede responder a estas direcciones IP.
Proxy ARP VIP no se sincronizan con XML-RPC con fi guración de sincronización compañeros, ya que hacerlo podría causar una dirección IP conflicto.
CARPA VIPs CARP se utilizan principalmente con las implementaciones de alta disponibilidad redundantes que utilizan CARP. VIPs CARP cada uno tiene su propia dirección MAC única deriva de su VHID, que puede ser útil incluso fuera de una implementación de alta disponibilidad.
Ver también: Para obtener información sobre el uso de los VIPs CARP, véase Alta disponibilidad .
VIPs CARP también se pueden usar con una sola cortafuego. Esto se hace típicamente en los casos en que el despliegue pfSense finalmente se convertirá en un nodo de clúster HA, o al tener una única dirección MAC es un requisito. En casos raros un proveedor requiere que cada dirección IP única en un segmento de WAN para tener una dirección distinta MAC, que VIPs CARP proporcionan.
Carpa VIP y VIP IP Alias se pueden combinar de dos maneras:
• Para reducir la cantidad de latidos CARP apilando IP Alias VIP VIP en carpa. Ver Utilización de alias IP para reducir el latido del corazón de trá fi co .
• Para utilizar VIPs la carpa en varias subredes en una única interfaz. Ver Interfaz .
Otro Otro escriba VIPs definir las direcciones IP de adicionales para su uso cuando respuestas ARP para la dirección IP no son obligatorios. La única función de la adición de una Otro tipo VIP está haciendo que la dirección disponible en los selectores desplegables con fi guración NAT.
200
Capítulo 12. Cortafuegos
El libro pfSense, Liberación
Esto es conveniente cuando el cortafuego tiene un bloque de IP pública encaminada a su dirección IP WAN, IP Alias, o un VIP CARP.
Reglas basada en el tiempo reglas basadas tiempo permiten reglas cortafuego para activar durante días fi cados y / o intervalos de tiempo. normas basadas en el tiempo es igual que en cualquier otra regla, excepto que efectivamente no están presentes en el conjunto de reglas fuera de sus horarios programados.
Tiempo basado en reglas de lógica Cuando se trata de normas basadas en el tiempo, el programa determina cuándo aplicar la acción especificados en la regla fi cortafuegos. Cuando la hora o la fecha actual no está regulado por el horario, el cortafuego actúa como si la regla no está allí. Por ejemplo, una regla que pasa trá fi co únicamente los sábados lo bloqueará en otros días si existe una regla de bloqueo separada por debajo de ella. Las reglas se procesan desde la parte superior hacia abajo, al igual que otras reglas fi cortafuego. Se utiliza el primer partido, y una vez que se encuentra una coincidencia, se tomen las medidas si la regla está en horario, y no se evalúan otras reglas.
Propina: Recuerde que cuando se utiliza la regla de horarios que tendrá sin efecto fuera de sus horarios programados. La regla no lo hará tiene su acción invierte debido a que la hora actual no está dentro del tiempo programado. El no poder dar cuenta de este comportamiento podría resultar en dar a los clientes el acceso no deseado fuera del tiempo de fi nida oscila en un horario.
Con fi gurar Horarios de reglas basadas en el tiempo Los horarios deben definirse antes de que puedan ser utilizados en las reglas fi cortafuego. Los horarios se definen en virtud de Cortafuegos> EGLAS Sched-, y cada programa puede contener múltiples rangos de tiempo. En el siguiente ejemplo, una empresa quiere negar el acceso a HTTP en horario de oficina, y permitir que todos los otros momentos del día.
De fi nir Times por una programación
Para añadir una programación:
• Navegar a Cortafuegos> Horarios
•
Hacer clic
Añadir para que aparezca la pantalla de edición de programación, como se ve en la figura La adición de un rango de tiempo .
• Entrar a Nombre horario. Este es el nombre que aparecerá en la lista de selección para su uso en las reglas de cortafuego. Al igual que los nombres de alias, este nombre sólo puede contener letras y dígitos, sin espacios. Por ejemplo: Horas de trabajo
• Entrar a Descripción de este horario, tal como Horario comercial habitual. • De fi ne uno o más rangos de tiempo: -
Selecciona el Mes mediante la selección de un mes y días especí fi co, o haciendo clic en el día de la cabecera de la semana para los horarios semanales recurrentes.
-
Escoge un Hora de inicio y Para el tiempo que controlan cuando la regla está activa en los días seleccionados. El tiempo no puede cruzar la medianoche en un día cualquiera. Un día completo es 0:00 a 23:59.
-
Introduzca una opcional Intervalo de tiempo Descripción para este rango de c especificidad, por ejemplo, Semana de trabajo
-
Hacer clic
-
Repetir Mes, tiempo, y
Agregar tiempo añadir la elección como una gama
12.12. Reglas basada en el tiempo
pasos para rangos adicionales
201
El libro pfSense, Liberación
•
Hacer clic Salvar
Un programa puede aplicarse a día especí fi cos, tales como el 2 de septiembre de, 2016, o en días de la semana, como de lunes a miércoles. Para seleccionar un día cualquiera en el próximo año, elegir el Mes de la lista desplegable y, a continuación, haga clic en los números de día o al día especí fi cos en el calendario. Para seleccionar un día de la semana, haga clic en su nombre en los títulos de las columnas. Para este ejemplo, haga clic en L, M, X, J, y Vie. Esto hará que el programa activo para cualquier lunes a viernes, independientemente del mes. Ahora selecciona el tiempo para esta programación esté activa, en formato de 24 horas. El horario para este ejemplo son los negocios 09:00 a 17:00 ( 17:00). Todos los tiempos se dan en la zona horaria local.
Fig. 12.26: Adición de un rango de tiempo
Una vez que el intervalo de tiempo ha sido de fi nido, aparecerá en la lista en la parte inferior de la pantalla de edición de programación, como en la figura
Agregado rango de tiempo .
Fig. 12.27: Intervalo de tiempo añadido
Para ampliar esta configuración, puede haber un medio día del sábado para definir, o tal vez la tienda abre a última hora del lunes. En ese caso, de fi ne un rango de tiempo para los días idénticos, y luego otro rango para cada día con diferentes intervalos de tiempo. Esta colección de intervalos de tiempo será el calendario completo.
Una vez que la entrada de la programación se ha guardado, el navegador vuelve a la lista de programación, como en la figura Lista de programación después de agregar . Este horario estará disponible para su uso en las reglas de cortafuego.
202
Capítulo 12. Cortafuegos
El libro pfSense, Liberación
Fig. 12.28: Lista de programación después de agregar
El uso de la Lista de que una regla de firewall
Para crear una regla de cortafuegos fi empleando este calendario, crear una nueva regla en la interfaz deseada. Ver Adición de una regla de cortafuego
y Con fi gurar reglas de cortafuego para obtener más información sobre cómo agregar y reglas de edición. Para este ejemplo, añadir una regla para rechazar TCP trá fi co en la interfaz LAN de la subred LAN a cualquier destino en el puerto HTTP. En las opciones avanzadas para la regla, localice la Programar establecer y elegir el Horas
de trabajo programar, como en la figura La elección de un calendario para una regla de firewall .
Fig. 12.29: La elección de un calendario para una regla de firewall
Después de guardar la regla, el programa le aparecerá en la lista de reglas fi cortafuegos junto con una indicación del estado activo de la programación. Como se muestra en la figura Listado de reglas de firewall con el Anexo , esta es una regla de rechazo, y la columna de la programación indica que la regla se encuentra en su estado de bloqueo activo, ya que se está viendo en un momento dentro del rango programado. Si el cursor del ratón pasa sobre el indicador de estado de programación, un texto de ayuda se visualiza por el cortafuego que muestra cómo se comportará la regla en el momento actual. Dado que esto se está viendo en el interior de la veces se define en el horario businesshours, esto va a decir “Traf fi c juego se le niega la actualidad esta regla”. Si hay una regla de pase que coincida con el trá fi co a cabo en el puerto 80 de la red LAN después de esta regla, entonces sería permitida fuera de las horas programadas.
Fig. 12.30: Firewall Listado de reglas con el Anexo
Ahora que la regla es de fi nido, probarlo tanto dentro como fuera de las horas precisas para asegurar que se promulgó el comportamiento deseado.
Propina: Por defecto, los estados se borran para las conexiones activas permitidas por una regla programada cuando expira el calendario. Esto cancela el acceso para cualquier persona permitido por la regla mientras estaba activo. Para permitir estas conexiones permanezcan abiertas, cheque No matar conexiones cuando expira horario debajo Sistema> Avanzado sobre el Diverso lengüeta.
Visualización de la Registros de firewall El cortafuego crea entradas de registro para cada fi gurada con regla para registrar y para la denegación predeterminada regla. Hay varias maneras de ver estas entradas de registro, cada una con diferentes niveles de detalle. No hay un método claro “mejor” ya que depende de las preferencias y nivel de habilidad de los administradores fi cortafuego, aunque utilizando la GUI es el método más fácil.
12.13. Visualización de la Registros de firewall
203
El libro pfSense, Liberación
Propina: El comportamiento de registro de la denegación predeterminada reglas y otras reglas internas puede ser controlado usando el ajustes lengüeta debajo Estado> Registros del sistema. Ver Cambio
de Configuración de registro para detalles.
Al igual que otros registros en pfSense, los registros fi cortafuego sólo mantienen un cierto número de registros utilizando el formato de registro circular binario,
obstruir. Si las necesidades de una organización requieren un registro permanente de los registros fi cortafuego por un período de tiempo más largo, consulte Registros del sistema para obtener información sobre la copia de estas entradas de registro a un servidor syslog a medida que ocurren.
Viendo en los WebGUI Los registros de fi cortafuego son visibles en la WebGUI en Registros de Estado> del sistema, sobre el firewall lengüeta. A partir de ahí, los registros pueden ser vistos como un registro analizada, lo que es más fácil de leer, o como un registro bruto, que contiene más detalles. También hay una opción para mostrar estas entradas en orden normal o inverso. Si la orden que se muestran las entradas del registro es desconocido, compruebe la fecha y hora de la primera y la última línea, o cheque Cambio de Configuración de registro para obtener información sobre cómo ver y cambiar estos valores.
Los registros webgui analizados, visto en la figura Ejemplo de entradas de registro se ve desde el WebGUI , están en 6 columnas: Tiempo de acción, Interfaz, Fuente, Destino, y Protocolo. Acción Muestra lo que sucedió con el paquete que generó la entrada del registro (por ejemplo, pasar o bloquear)
Hora El momento en que llegó el paquete.
Interfaz Cuando el paquete entró en el cortafuego. Fuente La dirección IP de origen y el puerto.
Destino La dirección IP y puerto de destino. Protocolo El protocolo del paquete, por ejemplo, ICMP, TCP, UDP, etc.
Fig. 12.31: Ejemplo entradas de registro se ve desde el WebGUI los Acción icono es un enlace que las operaciones de búsqueda y mostrar la regla que provocó la entrada de registro. Más a menudo que no, esto dice “Default Deny Regla”, pero la hora de solucionar emite norma que puede ayudar a reducir los sospechosos.
Propina: Sobre el ajustes lengüeta debajo Registros de Estado> del sistema, esta descripción de la regla puede ser con fi gurada para mostrar en las entradas del registro directamente. El cortafuego puede mostrar la descripción en una columna separada o una fila separada. Ver Cambio de Configuración de registro para detalles.
Al lado de las direcciones IP de origen y de destino es
. Cuando se hace clic en este icono del cortafuego llevará a cabo un DNS
las operaciones de búsqueda de la dirección IP. Si la dirección tiene un nombre de host válido, se mostrará debajo de la dirección IP en todas las instancias de esa dirección en la página.
Las entradas de registro para paquetes TCP tienen información extra añadido al campo de protocolo TCP mostrando fi fl ags presente en el paquete. Estas banderas fl indican diversos estados de conexión o atributos de paquetes. AGS fl comunes incluyen:
S - SYN Sincronizar los números de secuencia. Indica un nuevo intento de conexión cuando se establece sólo SYN.
A - ACK Indica reconocimiento de datos. Estas son las respuestas a dejar que el remitente saber los datos fue recibido DE ACUERDO.
204
Capítulo 12. Cortafuegos
El libro pfSense, Liberación
F - FIN Indica que no hay más datos del remitente, el cierre de una conexión. R - RST Reajuste de conexion. Este pabellón se fija al responder a una solicitud para abrir una conexión en un puerto que no tiene ningún demonio de escucha. También se puede ajustar por el software de cortafuegos fi a alejarse conexiones no deseadas.
Ver también:
Hay varias otras banderas fl y sus significados se describen en muchos materiales en el protocolo TCP. los artículo de Wikipedia sobre TCP tiene más información. La salida del registro se muestra en la GUI puede filtró a fi nd entradas específicas, siempre que existan en el registro actual. Hacer clic para mostrar las opciones de fi ltrado. Ver Filtrado de entradas del registro para más información.
Adición de reglas del cortafuegos del registro de Vista (Regla Fácil)
Regla fácil hace que sea sencillo para añadir reglas fi cortafuego rápidamente de la vista del registro fi cortafuegos.
los
icono situado junto a la dirección IP de origen añade una bloquear gobernar para esa dirección IP en la interfaz. Para ser más precisos, se crea o se suma a un
alias que contiene las direcciones IP adicionales de Easy Regla y los bloquea en la interfaz seleccionada.
los
Funciona de manera similar a la acción de bloqueo icono situado junto a la dirección IP de destino, pero añade una más precisa pasar regla. Esta pasar regla
permite trá fi co en la interfaz, sino que debe coincidir con el mismo protocolo, dirección IP de origen, dirección IP de destino y puerto de destino.
El uso de la Regla Fácil de agregar reglas de cortafuego de la concha
La versión de la cáscara de la Regla Fácil, easyrule, se puede utilizar para añadir una regla fi cortafuegos desde el intérprete de comandos. Cuando el
easyrule comando se ejecuta sin parámetros, el mensaje se imprime un uso para explicar su sintaxis. La forma en que se añade una regla de bloqueo usando un alias, o una regla de pase preciso especificar el protocolo, el origen y el destino, un trabajo similar a la versión de interfaz gráfica de usuario. Por ejemplo, para agregar una regla de bloqueo, ejecute:
#
bloque easyrule wan 1.2.3.4
Una regla de pase debe ser más precisos:
#
pase easyrule wan tcp 1.2.3.4 192.168.0.4 80
Se muestran desde el menú de la consola Los registros crudos pueden ser vistos y seguidos en tiempo real desde el filter.log fi l utilizando la opción 10 desde el menú de la consola. Un ejemplo sencillo es una entrada de registro como la observada anteriormente en la figura Ejemplo de entradas de registro se ve desde el WebGUI :
Aug 3 08:59:02 maestro filterlog: 5,16777216,, 1000000103, igb1, partido, bloque, en, 4,0x10,, 128,0,0, ninguno, 17, UDP, 328,198.51.100.1,198.51.100.2, 67,68,308 Esto demuestra que el ID de regla 1000000103 fue emparejado, que resultó en una acción de bloqueo en el igb1 interfaz. Las direcciones IP de origen y de destino se muestran cerca del final de la entrada del registro, seguido por el puerto de origen y destino. Los paquetes de otros protocolos pueden mostrar significativamente más datos. Ver también:
los formato del filtro log fi l se describe en detalle en la documentación wiki pfSense.
12.13. Visualización de la Registros de firewall
205
El libro pfSense, Liberación
Para ver imágenes de la Shell Cuando se utiliza la carcasa, ya sea desde SSH o desde la consola, hay numerosas opciones disponibles para ver los registros filtrantes.
Al visualizar directamente el contenido de la obstrucción fi le, las entradas de registro pueden ser bastante complejos y detallado.
Visualización de los contenidos actuales del registro fi l
El registro de filtro está contenida en un fichero cíclico binario herramientas tradicionales como por lo gato, grep, y así sucesivamente, no puede ser utilizado en el expediente directamente. El registro deberá realizar la lectura con el obstruir programa, y luego puede ser conducido a través de otro programa. Para ver todo el contenido del registro de archivo, ejecute el siguiente comando:
#
obstruir /var/log/filter.log
Para restringir la salida del registro de las últimas líneas, canalizarla a través de la cola:
#
obstruir /var/log/filter.log | cola
Tras la salida de registro en tiempo real “Seguir” a la salida del registro de archivo, utilice el - F parámetro para obstruir. Este es el equivalente de tail-f para aquellos acostumbrados a trabajar con normalidad registrar archivos en sistemas UNIX:
#
estorbo -f /var/log/filter.log
Esta es la salida de todo el contenido del registro de expediente, pero no se cierra después. En su lugar, va a esperar para más entradas e imprimirlos a medida que ocurren. Esta salida también puede ser conducido a otros comandos, según sea necesario.
Viendo el resultado de registro analizado en la cáscara
No es un simple analizador de registro escrito en PHP que puede ser utilizado de la cáscara para producir una salida reducida en lugar del registro de prima completa. Para ver los contenidos analizados del registro actual, ejecute:
#
obstruir /var/log/filter.log | filterparser.php
La una salida de entradas de registro por línea, con una producción simplificada:
Aug 3 08:59:02 bloque igb1 UDP 198.51.100.1:67 198.51.100.2:68
Encontrar la regla que causó una entrada de registro
Al visualizar uno de los formatos de registro bruto, se muestra el número de identificación para una entrada. Esta regla número se puede utilizar para hallar la regla que causó el partido. En el siguiente ejemplo, qué regla con id 1000000103: #
pfctl -vvsr | grep 1000000103
@ 5 (1000000103) gota bloque en inet registro de todos etiqueta "denegación predeterminada regla IPv4" Como se muestra en la salida anterior, esta era la regla de denegación predeterminada para IPv4.
206
Capítulo 12. Cortafuegos
El libro pfSense, Liberación
¿Por qué hay bloquearon las entradas de registro para las conexiones legítimas? A veces, las entradas de registro que están presentes, mientras que la etiqueta con la regla de “denegación predeterminada”, parece como si pertenecen a las conexiones legítimas. El ejemplo más común es ver a una conexión bloqueada que implica un servidor web. Esto es probable que ocurra cuando un paquete TCP FIN, que normalmente cerrar la conexión, llega después de estado de la conexión se ha eliminado o cuando un ACK se recibe fuera de la ventana de tiempo aceptable. Esto sucede porque, en ocasiones, un paquete se pierde o se retrasa y las retransmisiones será bloqueada debido a que el cortafuego ya ha cerrado la conexión.
Estas entradas de registro son inofensivos y no indican una conexión bloqueada real. Todos rewalls fi con estado hacen esto, aunque algunos no generan mensajes de registro para esta bloqueado trá fi co incluso cuando se registra todo bloqueado trá fi co. Este comportamiento estará presente en ocasiones incluso si “permiten que todos los” existen reglas de estilo en todas las interfaces fi cortafuego porque un conjunto de reglas para “permitir todo” para las conexiones TCP sólo permite paquetes TCP SYN para crear un estado. Todos los demás TCP trá fi co o bien formar parte de un Estado existente en la tabla de estado, o sea con paquetes TCP falsificada o de otro modo no válido fl ags. Una variante especial de esta que poder indican problemas es cuando existe enrutamiento asimétrico en una red. En esos casos las entradas de registro estarán presentes mostrando TCP: SA ( SYN + ACK) paquetes que están siendo bloqueados en lugar de FIN o RST. Ver Derivación de reglas de firewall para trá fi co en una misma interfaz y Filtrado de rutas estáticas para obtener información sobre cómo manejar el enrutamiento asimétrico.
¿Cómo bloqueo el acceso a un sitio Web? Una pregunta que me preguntan muy a menudo es “¿Cómo se bloquea el acceso a un sitio web?”, O para ser más preciso: “¿Cómo se bloquea el acceso a Facebook?” Y no siempre es una pregunta fácil de responder. Hay varias tácticas posibles para lograr el objetivo, algunos se discuten en otras partes del libro.
El uso de DNS Si el construido en la resolución de DNS o Forwarder están activas una anulación se puede introducir allí para resolver el sitio web no deseado a una dirección IP no válida como 127.0.0.1.
El uso de reglas de firewall Si un sitio web no suele cambiar las direcciones IP, el acceso a la misma puede ser bloqueado usando un alias que contiene sus direcciones IP y luego usar este alias en reglas fi cortafuego. Esto no es una solución viable para los sitios que devuelven TTL de baja y repartir la carga a través de muchos servidores y / o centros de datos, tales como Google y sitios de gran tamaño similares. La mayoría de pequeñas sitios web de tamaño medio se puede bloquear de manera efectiva el uso de este método, ya que rara vez cambian las direcciones IP.
Un nombre de host también puede estar dentro de un alias de red. El nombre de host se resolverá periódicamente y actualiza según sea necesario. Esto es más eficaz que buscar manualmente las direcciones IP, pero aún están a la altura si el sitio devuelve registros DNS de una manera que cambia rápidamente o aleatoriamente resultados de un grupo de servidores en cada consulta, que es común para los sitios grandes.
Otra opción es hallazgo todas las asignaciones de subred IP de un sitio, la creación de un alias con esas redes, y el bloqueo de trá fi co a esos destinos. Esto es especialmente útil con sitios como Facebook que se propagan a grandes cantidades de espacio IP, pero se ven limitados a unas pocas manzanas netos. El uso de sitios de registro regionales como ARIN puede ayudar a localizar a esas redes. Por ejemplo, todas las redes utilizadas por Facebook en la región cubierta por ARIN se puede encontrar en http://whois.arin.net/rest/org/THEFA-3.html en “Redes relacionados”. Las empresas pueden tener otras direcciones en diferentes regiones, a fin de comprobar otros sitios regionales, así, como RIPE, APNIC, etc.
12.14. ¿Cómo bloqueo el acceso a un sitio Web?
207
El libro pfSense, Liberación
Como alternativa a levantar los bloques de IP manualmente, localizar el número de la empresa objetivo BGP Sistema Autónomo (AS) haciendo una quien es búsqueda en una de sus direcciones IP, a continuación, utilizar que para hallar la totalidad de sus asignaciones. Por ejemplo, el número de AS de Facebook es AS32934:
#
whois -h whois.radb.net - 'AS32934 origen -i' | awk '/ ^ ruta: / {print $ 2;}' | especie | uniq
Copiar los resultados de ese comando en un nuevo alias y cubrirá la totalidad de sus redes actualmente asignados. Comprobar los resultados periódicamente si hay actualizaciones.
El paquete pfBlocker ofrece mecanismos que pueden ser útiles en esta área, tales como DNSBL, bloqueo de direcciones IP geográfica, y la automatización del proceso en su búsqueda.
El uso de un proxy Si Web trá fi co fluye a través de un servidor proxy, servidor proxy puede que es probable que se utiliza para evitar el acceso a dichos sitios. Por ejemplo, calamar tiene una llamada SquidGuard add-on que permite el bloqueo de sitios web por URL u otros criterios similares. Hay una muy breve introducción a calamar y SquidGuard que se encuentran en Una breve introducción a proxies web y presentación de informes: calamar, SquidGuard y Lightsquid .
Restricciones prevenir Anulación Con cualquiera de los métodos anteriores, hay muchas maneras de conseguir alrededor de los bloques de fi nidas. La forma más fácil y probablemente más frecuente es el uso de cualquier número de sitios web proxy. La búsqueda y el bloqueo de todos estos de forma individual y mantener la lista actualizada es imposible. La mejor manera de asegurar que estos sitios no son accesibles está utilizando un proxy externo o contenido de fi ltrado capaz de bloquear por categoría.
Para mantener un control adicional, utilizar un conjunto de reglas de salida restrictiva y sólo permiten tráfico c a servicios y / o hosts fi cas. Por ejemplo, sólo permiten el acceso DNS para el cortafuego o los servidores DNS específicamente utilizado para clientes de LAN. Además, si un proxy está en uso en la red, asegúrese de no permitir el acceso directo a HTTP y HTTPS a través del cortafuego y sólo permitir el trá fi co hacia y / o desde el servidor proxy.
Solución de problemas de las reglas del cortafuegos Esta sección proporciona una guía para solucionar problemas con las reglas fi cortafuego.
Compruebe el servidor de seguridad de registros
El primer paso para solucionar problemas de sospecha bloqueado tráfico c es comprobar los registros de fi cortafuego ( Registros de Estado> del sistema, sobre el firewall lengüeta).
Por defecto pfSense guardara todo el tráfico se redujo cy no registrará ningún pasado trá fi co. A menos que existan bloques o rechazar las reglas de
el conjunto de reglas que no utilizan el registro, se registra todo el tráfico bloqueado fi co. Si no hay entradas de registro con un rojo
en
los registros fi cortafuego que concuerden con el trá fi co de que se trate, pfSense no es probable que sea dejando caer el trá fi co.
Compruebe la tabla de estado Intentar una conexión y comprobar inmediatamente la tabla de estado en Diagnóstico> Estados y filtro de la fuente o nación DES- para ver si existe un estado. Si una entrada de tabla de estado está presente, el cortafuego ha pasado el tráfico c. Si la regla en cuestión es una regla de pase, la entrada de la tabla de estado significa que el cortafuego pasó el trá fi co a través y el problema puede estar en otro lugar y no en el cortafuego.
208
Capítulo 12. Cortafuegos
El libro pfSense, Liberación
Si la regla es una regla de bloqueo y hay una entrada de la tabla de estado, la conexión abierta se no ser interrumpido. Para ver un efecto inmediato de una nueva regla de bloqueo, los estados deben ser desactivados. Ver firewall Unidos para más información.
Los parámetros de la regla opinión Editar la regla en cuestión y revisar los parámetros para cada campo. Para TCP y UDP trá fi co, recuerda el puerto de origen casi nunca es el mismo que el puerto de destino, y por lo general debe ser ajustado a alguna. Si la denegación predeterminada regla es la culpa, diseñar una nueva regla de pase que coincidirá con el trá fi co que se le permita. Si el tráfico c todavía está bloqueado, puede haber algún otro aspecto especial de los paquetes que requieren un tratamiento adicional en el aire regla fi guración. Por ejemplo, ciertos multicast tráfico c puede necesitar tener Permitir opciones IP habilitados, o las entradas de registro pueden ser debido a enrutamiento asimétrico, o los paquetes pueden tener una combinación no válida de parámetros tales como un paquete fragmentado con “No Fragmento” situada en el interior.
Ver también:
Ver Derivación de reglas de firewall para trá fi co en una misma interfaz y Filtrado de rutas estáticas para obtener información sobre cómo manejar el enrutamiento asimétrico.
En tales casos avanzados, la ejecución de una captura de paquetes para el trá fi co en cuestión puede ayudar a diagnosticar el problema. Referirse a
La captura de paquetes para obtener más información sobre cómo capturar y analizar paquetes.
Ordenando Regla opinión Recuerde que para las reglas de la ficha de interfaz, la primera regla coincidente fi gana - no se evalúan más reglas.
Normas e interfaces Asegúrese de reglas están en la interfaz correcta para la función como se pretende. Traf fi c se filtra sólo por la fi conjunto de reglas con gurado en la interfaz donde el tráfico c es iniciado. Traf fi c procedente de un sistema en la LAN con destino a un sistema en cualquier otra interfaz se filtra por solamente las normas de LAN. Lo mismo es cierto para todas las demás interfaces.
Habilitar el registro de la Regla Determinar la regla es vincular el trá fi co en cuestión. Los contadores de visitas en la lista de reglas pueden ayudar con esto hasta cierto punto. Habilitando el registro en las reglas de paso, los registros fi cortafuego mostrarán una entrada específicamente individuo para determinar la regla pasó la conexión.
Solución de problemas con capturas de paquetes capturas de paquetes pueden ser de gran valor para la solución de problemas y la depuración de trá fi co. Con una captura de paquetes, es fácil saber si el trá fi co está llegando a la interfaz exterior o salir de una interfaz en el interior, entre muchos otros usos. Ver La captura de paquetes para más detalles sobre la solución de problemas con las capturas de paquetes.
Nuevas reglas no se aplican Si no aparece una nueva regla a aplicar, hay un par de posibles explicaciones. En primer lugar, si la regla es una regla de bloqueo y hay una entrada de la tabla de estado, la conexión abierta se no ser interrumpido. Ver Compruebe la tabla de estado .
12.15. Solución de problemas de las reglas del cortafuegos
209
El libro pfSense, Liberación
En segundo lugar, el conjunto de reglas no puede ser recargando correctamente. Comprobar Estado> Actualizar Filtrar para ver si se muestra un error. Hacer clic
el
Filtro de recarga botón en esa página para forzar una nueva recarga de filtro. Si aparece un error, resuelva el problema según sea necesario. Si la causa no es
evidente, consultar los recursos de apoyo para la asistencia.
Si ninguna de las causas anteriores son los culpables, es posible que la regla no coincide en absoluto, así que revise el trá fi co y el Estado de nuevo.
otras causas Hay otras trampas en las reglas fi cortafuego, NAT, enrutamiento y diseño de redes que pueden interferir con la conectividad. Véase el artículo wiki en doc Solución de problemas de conectividad para más sugerencias. Ver también:
Los clientes con una pfSense Suscripción Oro puede acceder al Hangouts Archivo para ver el lugar de reunión de junio de 2016 Conectividad de solución de problemas que contiene procedimientos mucho más detallada de solución de problemas. Una de las funciones principales realizadas por pfSense es fi ltrado tráfico c. Este capítulo trata sobre los fundamentos de fi rewalling, mejores prácticas, y requiere información necesaria para con fi gurar fi reglas de cortafuego.
210
Capítulo 12. Cortafuegos
CAPÍTULO
TRECE
TRADUCCIÓN DE DIRECCIONES DE RED
puerto reenvía Puerto reenvía permitir el acceso a un puerto especí fi co, puerto o rango de protocolo en un dispositivo de direccionamiento privado red interna. El nombre de “puerto hacia adelante” fue elegido porque es lo que la mayoría de la gente entiende en este contexto, y que pasó a llamarse desde el más técnicamente apropiado “de entrada NAT” después de innumerables quejas de los usuarios confundidos. funcio- nalidad similar también se llama “Destination NAT” en otros productos. Sin embargo, “Port Forward”, un nombre inapropiado, ya que las normas del puerto hacia delante puede redirigir los protocolos de GRE y ESP, además de los puertos TCP y UDP, y puede ser utilizado para diversos tipos de trá fi co, así como la redirección de puertos delanteros tradicionales. Esto es más comúnmente utilizado cuando se alojan los servidores, o el uso de aplicaciones que requieren conexiones entrantes de Internet.
Ver también:
Los clientes con una pfSense Suscripción Oro puede acceder al Hangouts Archivo para ver el Hangouts se pueden 2016 para NAT en pfSense 2.3, el lugar de reunión de junio de 2016 Conectividad de solución de problemas, y la conversación de diciembre de 2013 en Port Forward Solución de problemas, entre otros.
Los riesgos de reenvío de puertos En un con fi guración por defecto, pfSense no permite en ningún trá fi co iniciada desde servidores en Internet. Esto proporciona protección frente a cualquier exploración de la Internet en busca de sistemas para atacar. Cuando existe una norma de elaboración puerto, pfSense permitirá ningún tráfico fi c juego la regla fi cortafuegos correspondiente. No conoce la diferencia entre un paquete con una carga maliciosa y uno que es benigno. Si la conexión coincide con la regla fi cortafuegos, está permitido. controles basado en host deben ser utilizados por el sistema de destino para asegurar cualquier servicios permitidos a través del cortafuego.
Reenvío de puertos y servicios locales Puerto delanteros tienen prioridad sobre cualquiera de los servicios que se ejecutan localmente en el cortafuego, tales como la interfaz web, SSH, y así sucesivamente. Por ejemplo esto significa que si se permite el acceso remoto interfaz web desde la WAN a través de HTTPS en el puerto TCP
443, un puerto WAN para avanzar en TCP 443 tendrá prioridad y la interfaz web ya no será accesible desde la WAN. Esto no afecta al acceso de otras interfaces, sólo la interfaz que contiene el puerto hacia adelante.
Reenvío de puertos y 1: 1 NAT Puertos delanteros también tienen prioridad sobre 1: 1 NAT. Si un delantero puerto se define en una sola dirección IP externa reenvío de un puerto a un anfitrión, y una 1: entrada NAT 1 es también definida en la misma dirección IP externa reenviar todo en un host diferente, entonces el puerto hacia adelante permanece activa y continúa el avance para el host original.
211
El libro pfSense, Liberación
Añadiendo puerto reenvía Reenvía los puertos son gestionados a Firewall> NAT, sobre el port Forward lengüeta. Las reglas de esta indicación se gestionan de la misma manera que las reglas fi cortafuego (véase Introducción a la pantalla de las reglas del cortafuegos ).
Para empezar a añadir una entrada hacia adelante puerto, haga clic
Añadir botón para llegar a la port Forward pantalla de edición. El seguimiento
opciones están disponibles para los delanteros de puerto: Inhabilitar Una casilla de verificación para opcionalmente Disable este puerto NAT hacia adelante. Para desactivar la regla, marque esta casilla.
Sin RDR (NO) Niega el significado de este puerto hacia adelante, lo que indica que no redirección debe ser performada si se compara esta regla. La mayoría de las configuraciones fi no utilizarán este campo. Esto se usaría para anular una acción de reenvío, que puede ser necesaria en algunos casos para permitir el acceso a un servicio en el cortafuego en una IP que se utiliza para el 1: 1 NAT, o en otro escenario avanzado similar.
Interfaz La interfaz donde el delantero puerto estará activo. En la mayoría de los casos esto será WAN. por enlaces adicionales WAN o redirecciones locales esto puede ser interfaz diferente. los Interfaz es la ubicación en el cortafuego en el trá fi co para este puerto entra hacia adelante. Protocolo los Protocolo del tráfico entrante para que coincida c. Esto se debe ajustar para que coincida con el tipo de servicio
reenviarse, si es TCP, UDP, u otra opción disponible. servicios más comunes están remitiendo será TCP o UDP, pero consulte la documentación para el servicio o incluso una búsqueda rápida en la web para confirmar la respuesta. los TCP /
UDP reenvía opción TCP y UDP juntos en una sola regla.
Fuente Estas opciones se ocultan detrás de una Avanzado botón de forma predeterminada, y se puso a alguna fuente. los Fuente Opciones restringen qué direcciones IP de origen y los puertos pueden tener acceso a este puerto de entrada hacia adelante. Estos no suelen ser necesarios. Si el puerto hacia delante debe ser accesible desde cualquier lugar en Internet, la fuente debe ser alguna. Para los servicios de acceso restringido, utilizar un alias aquí tan sólo un conjunto limitado de direcciones IP puede acceder al puerto hacia adelante. A menos que el servicio requiere absolutamente un puerto de origen especí fi co, el puerto de origen deben dejarse como alguna ya que casi todos los clientes utilizarán los puertos de origen aleatorios.
Destino La dirección IP donde el tráfico c que se remitirá está destinado inicialmente. Para el puerto hacia delante en WAN, en la mayoría de los casos esto es Dirección WAN. Cuando múltiples direcciones IP públicas están disponibles, puede ser una dirección IP virtual (ver Las direcciones IP virtuales ) En la WAN.
rango de puerto de destino El puerto de destino original del trá fi co, ya que está entrando a través de Internet, antes de que sea redirigido a la específica ed host de destino. Si la transmisión de un solo puerto, introducirla en el desde el puerto caja y dejar el Hacia el puerto cuadro en blanco. Una lista de los servicios comunes está disponible para elegir en los cuadros desplegables en este grupo. alias puertos también se pueden utilizar aquí para enviar un conjunto de servicios. Si se utiliza un alias aquí, el mismo alias debe ser utilizado como el Redirigir puerto de destino. Redirigir destino IP La dirección IP donde se enviará trá fi co, o técnicamente redirigido. un alias
aquí, pero el alias debe contener solamente una dirección única. Si el alias contiene varias direcciones, el puerto será enviada a cada host, alternativamente, que no es lo que la mayoría de la gente quiere. Para la carga de configuración de equilibrio para un puerto a varios servidores internos, véase Servidor de equilibrio de carga . Redirigir puerto de destino Cuando el rango de puertos remitido comenzará. Si se reenvía un intervalo de puertos, por ejemplo,
19000 a 19100, sólo el punto de partida local es específico ed ya que el número de puertos debe coincidir con uno-a-uno.
Este campo permite abrir un puerto diferente en el exterior que el anfitrión en el interior está escuchando. Por ejemplo puerto externo 8888 puede remitir a puerto local 80 para HTTP en un servidor interno. Una lista de los servicios comunes está disponible para elegir en el cuadro desplegable. alias puertos también se pueden utilizar aquí para enviar un conjunto de servicios. Si se utiliza un alias aquí, el mismo alias debe ser utilizado como el intervalo de puertos de destino.
212
Capítulo Traducción de Direcciones de Red 13.
El libro pfSense, Liberación
Descripción Al igual que en otras partes de pfSense, este campo está disponible para una corta acerca de lo que el puerto hacia adelante hace o por qué existe.
Sin sincronización XML-RPC Esta opción sólo es relevante si una con fi guración HA Cluster está en uso, y debe
omitir lo contrario. Cuando se utiliza un clúster de HA con la sincronización con fi guración, comprobando de esta caja evitará que la regla de ser sincronizado con los otros miembros de un clúster (ver Alta disponibilidad ). Normalmente todas las reglas deben sincronizar, sin embargo. Esta opción sólo es eficaz en nodos maestros, lo hace no prevenir una regla que se sobrescriba en los nodos esclavos. NAT La reflexión Este tema se trata con más detalle más adelante en este capítulo ( NAT La reflexión ). Esta opción permite la reflexión a activar o desactivar una base por regla para reemplazar el valor predeterminado global. Las opciones de este campo se explican con más detalle en NAT La reflexión .
Filtro Asociación Regla Esta opción final es muy importante. Una entrada hacia adelante sólo puerto de fi ne el cual tra fi co será redirigido, se requiere una regla de cortafuegos a fi pasar cualquier tráfico c a través de esa redirección. Por defecto, Añadir regla de filtro
asociado se selecciona. Las opciones disponibles son: Ninguna Si esto se elige, no se creará una regla de cortafuego.
Añadir regla de filtro asociado Esta opción crea una regla fi cortafuegos que está vinculado a esta NAT puerto norma de elaboración. Los cambios realizados en la regla de NAT se actualizan en la regla de cortafuego automáticamente. Esta es la mejor opción para la mayoría de los casos de uso. Si se elige esta opción, después de que la regla se guarda un vínculo se coloca aquí, que conduce a la regla de cortafuegos fi asociado.
Añadir regla de filtro no asociado fi Esta opción crea una regla fi cortafuegos que se separan de esta puertos NAT hacia adelante. Los cambios realizados en la regla NAT debe cambiarse manualmente en la regla fi cortafuegos. Esto puede ser útil si otras opciones o restricciones deben estar establecidas en la regla fi cortafuegos y no la regla NAT.
Pasar Esta opción utiliza una palabra clave PF especial en la norma de elaboración de puertos NAT que causa trá fi co
para pasar a través sin la necesidad de una regla fi cortafuegos. Debido a que no existe una regla fi cortafuegos separado, cualquier fi tráfico c búsqueda de esta regla se reenvía en el sistema de destino.
Nota: utilizando reglas Pasar sólo funcionará en la interfaz que contiene la puerta de enlace predeterminada para el cortafuego, por lo que no trabajar eficazmente con Multi-WAN.
•
Hacer clic Salvar
• Hacer clic Aplicar cambios Figura Port Forward Ejemplo contiene un ejemplo de la edición de avance fi puerto de pantalla llena con la configuración adecuada de entrada para reenviar HTTP en WAN destinado a la dirección IP de la WAN al sistema interno en 10.3.0.15. después de hacer clic Salvar, la lista hacia adelante puerto se muestra de nuevo, y la entrada recién creada estará presente en la lista, como en la figura Lista de reenvío de puerto .
Vuelva a comprobar la regla de cortafuego, como se ve en virtud Cortafuegos> Reglas en la pestaña de la interfaz sobre la que se creó hacia adelante el puerto. La regla mostrará que tráfico c se permite en la dirección IP interna en el puerto adecuado, como se muestra en la figura
Regla Port Forward Firewall . los Fuente de la regla generada automáticamente debe restringirse cuando sea posible. Para cosas tales como servidores de correo y web, que por lo general tienen que ser ampliamente accesible, esto no es práctico, pero para los servicios de gestión remota como SSH, RDP y otros, no es probable que sólo un pequeño número de hosts que debe ser capaz de conectarse utilizando los protocolos en un servidor de todo el Internet. Una práctica mucho más seguro es crear un alias de ordenadores autorizados, y a continuación, cambiar la fuente de la alguna al alias. De lo contrario, el servidor está muy abierto a la totalidad de Internet. Pruebe el puerto hacia adelante primero con la fuente sin restricciones, y después de comprobar que funciona, restringir la fuente si lo deseas. Si todo está correcto, el delantero puerto funcionará cuando se prueba fuera de la red. Si algo salió mal, ver Port Forward Solución de problemas más adelante en este capítulo.
13.1. puerto reenvía
213
El libro pfSense, Liberación
Fig. 13.1: Port Forward Ejemplo
Fig. 13.2: Port Forward Listado
La figura 13.3:. Regla Port Forward Firewall
214
Capítulo Traducción de Direcciones de Red 13.
El libro pfSense, Liberación
Seguimiento de los cambios a puerto reenvía Como se ha mencionado en la figura Sellos de reglas de cortafuegos Tiempo para las reglas de cortafuego, se añade una marca de tiempo a un puerto de entrada hacia adelante cuando se crea o se editó por última vez, para mostrar lo que el usuario crea la regla, y la última persona que editar la regla. Las reglas de firewall creadas automáticamente por reglas NAT asociados también están marcadas como tales en la fecha y hora de creación de fi regla de cortafuegos asociado.
Port Forward Limitaciones Un solo puerto sólo puede ser enviada a un host interno para cada dirección IP pública disponible. Por ejemplo, si una única dirección IP pública está disponible, un servidor web interno que utiliza el puerto TCP 80 para servir de trá fi co Web puede ser con fi gurado. Servidores adicionales deben utilizar puertos alternativos tales como 8080. Si cinco direcciones IP públicas disponibles son con fi gurada como direcciones IP virtuales, a continuación, cinco servidores web internos que utilizan el puerto 80 puede ser con fi gurado. Ver Las direcciones IP virtuales para más información sobre direcciones IP virtuales.
Hay una excepción poco común pero a veces aplicable a esta regla. Si un puerto en particular debe ser enviada a un host interno fi específico sólo para determinadas direcciones IP de origen, y que mismo puerto se puede reenviar a un host diferente para otras direcciones IP de origen, que es posible mediante la especificación de la dirección de origen en las entradas de remitir el puerto, tal como en la figura Ejemplo remitir el puerto con diferentes fuentes .
Fig. 13.4: Ejemplo remitir el puerto con diferentes fuentes
Con el fin de redirecciones de puertos WAN en direcciones que se puede acceder por medio de su dirección IP WAN respectiva, interna de las interfaces que enfrenta, NAT reflexión debe estar habilitado, que se describe en NAT La reflexión . Siempre pruebe puerto remite a un sistema en otra conexión a Internet, y no desde dentro de la red. Probando desde un dispositivo móvil de 3G / 4G es una manera rápida y fácil para confirmar la conectividad externa.
Servicio de Auto-Con fi guración Con UPnP o NAT-PMP Algunos programas apoyan Universal Plug-and-Play (UPnP) o protocolo de asignación de puertos NAT (NAT-PMP) de forma automática con fi gura puerto remite NAT y reglas fi cortafuego. Incluso más problemas de seguridad se aplican allí, pero en el hogar uso de los beneficios a menudo superan cualquier preocupación potencial. Ver UPnP y NAT-PMP para más información sobre la con fi guración y el uso de UPnP y NAT-PMP.
fi co redirección de tráfico con el puerto reenvía Otro uso de los delanteros puerto es para la reorientación de forma transparente tráfico c de una red interna. puerto remite especificando el LAN interfaz u otra interfaz interna se redirigir tráfico c que coincide con el interés el destino fi cado. Esto es más comúnmente utilizado para hacer proxy transparente tráfico HTTP fi ca a un servidor proxy, o redirige todo el DNS saliente a un servidor.
Las entradas NAT mostrados en la figura Ejemplo de redireccionamiento Port Forward son un ejemplo de una con fi guración que redirigir todo el tráfico HTTP c entrada en la interfaz de LAN a calamar (puerto 3128) en el host 10.3.0.10, pero no va a redirigir el tráfico c procedente de la propia proxy squid real. Deben estar en el orden correcto en la lista de delanteros del puerto: La primera regla negate, entonces la redirección.
13.1. puerto reenvía
215
El libro pfSense, Liberación
Fig. 13.5: Ejemplo de redireccionamiento Port Forward (negación)
Fig. 13.6: Ejemplo de redireccionamiento Port Forward
216
Capítulo Traducción de Direcciones de Red 13.
El libro pfSense, Liberación
1: 1 NAT 1: 1 NAT (pronunciado “NAT uno-a-uno”) mapea una dirección IPv4 externa (por lo general pública) a una dirección IPv4 interna (por lo general privado). Todo el trá fi co procedente de esa dirección IPv4 privada va a la Internet se asignará por 1: 1 NAT para la dirección IPv4 pública se define en la entrada, anulando la salida NAT con fi guración. Todo el tráfico c iniciada en Internet destinado a la especificidad ed dirección IPv4 pública en la asignación será traducido a la dirección IPv4 privada, entonces evaluada en el conjunto de reglas fi cortafuegos WAN. Si la comparación de trá fi co es permitido por las reglas fi cortafuego a un objetivo de la dirección IPv4 privada, se pasa al host interno.
1: 1 NAT también se puede traducir subredes enteras, así como las direcciones individuales, siempre que sean del mismo tamaño y se alinean en los límites apropiados de subred.
Los puertos en una conexión permanecen constantes con 1: 1 NAT; Para las conexiones de salida, los puertos de origen usados por el sistema local se conservan, similar al uso de puerto estático en las reglas de NAT salientes.
Los riesgos de 1: 1 NAT Los riesgos de 1: 1 NAT son en gran parte la misma que hacia delante de puerto, si las reglas fi cortafuego WAN permiten tráfico c. Cualquier regla de tiempo permiten trá fi co, potencialmente dañino trá fi co puede ser admitido en la red local. Hay un ligero riesgo añadido cuando se utiliza 1: 1 NAT en el que los errores de reglas fi cortafuegos puede tener consecuencias nefastas más. Con entradas remitir el puerto, trá fi co está limitada por restricciones dentro de la regla de NAT y el estado fi cortafuegos. Si el puerto TCP 80 se abre hacia delante por una regla de puerto, entonces una regla de permitir que todos en la WAN pueda todavía sólo permitir TCP 80 en ese host interno. Si 1: 1 reglas NAT están en su lugar y un permiten que existe en toda regla de la WAN, todo en ese host interno será accesible desde Internet. Miscon configuraciones fi son siempre un peligro potencial, y esto por lo general no deben considerarse como una razón para evitar 1: 1 NAT. Mantenga esto en mente cuando con fi gurar reglas fi cortafuego,
Con fi gurar 1: 1 NAT Para con fi gura 1: 1 NAT:
•
Añadir una dirección IP virtual para la dirección IP pública que se utilizará para el 1: 1 entrada NAT como se describe en Las direcciones IP virtuales
• Navegar a Firewall> NAT, 1: 1 lengüeta
•
Hacer clic
•
Con fi gura el 1: 1 entrada NAT de la siguiente manera:
Añadir para crear un nuevo 1: 1 de entrada en la parte superior de la lista
Discapacitado Controla si este 1: entrada 1 NAT está activa.
Interfaz La interfaz donde el 1: se llevará a cabo la traducción NAT 1, por lo general un tipo de inter WAN
cara.
subred IP externa La dirección IPv4 a la que el IP interna dirección será traducido a medida que entra
o sale de la Interfaz. Esto es típicamente una dirección IP virtual en IPv4 Interfaz, o una dirección IP encamina al cortafuego a través Interfaz. IP interna La dirección IPv4 detrás del cortafuego que se traduce a la subred IP externa
dirección. Esto es típicamente una dirección IPv4 detrás de esta fi cortafuegos. El dispositivo con esta dirección debe utilizar este cortafuego como puerta de enlace directamente (adjunto) o indirectamente (a través de ruta estática). Especificación de una máscara de subred aquí se traducirá toda la red de adaptación de la máscara de subred. Por ejemplo, usando
xxx0 / 24 se traducirá nada en esa subred a su equivalente en la subred externa. Destino Opcional, una restricción de red que limita el 1: entrada NAT 1. Cuando un valor está presente,
el 1: 1 NAT sólo tendrá efecto cuando trá fi co va desde el IP interna frente a la
13.2. 1: 1 NAT
217
El libro pfSense, Liberación
Destino frente a la salida, o de la Destino frente a la subred IP externa abordar en el camino en el cortafuego. El campo de destino fi apoya el uso de alias. Descripción Una descripción de texto opcional para explicar el propósito de esta entrada.
NAT reflexión Un reemplazo para las opciones globales NAT reflexión. el uso del sistema por defecto respetará
el NAT mundial re fl exión configuración, habilitar se realice siempre NAT reflexión para esta entrada, y inhabilitar Nunca va a hacer NAT reflexión para esta entrada. Para obtener más información sobre NAT La reflexión, véase NAT La reflexión .
•
Hacer clic Salvar
• Hacer clic Aplicar cambios
Dirección IP única Ejemplo 1: 1 con fi guración En esta sección se muestra cómo con fi gura una relación 1: 1 entrada NAT con una única dirección IP interna y externa. En este ejemplo, 198.51.100.210 es una dirección IP virtual en la interfaz WAN. En la mayoría de los casos este será susti- tuido con direcciones IP públicas que trabajan. El servidor de correo en este mapeo reside en un segmento de DMZ usando la dirección IP interna 10.3.1.15. El 1: entrada 1 NAT para mapear 198.51.100.210 a 10.3.1.15 se muestra en la figura 1: 1 Entrada NAT .
Fig 13.7:. 1: 1 Entrada NAT
Intervalo de direcciones IP de ejemplo 1: 1 con fi guración
1: 1 NAT puede ser con fi gurada para múltiples direcciones IP públicas mediante el uso de rangos CIDR. En este ejemplo, 1: 1 NAT es con fi gurado para una gama / 30 CIDR de IPs. Ver también:
Ver Recapitulación CIDR para más información sobre que resume las redes o grupos de direcciones IP dentro de una subred más grande, utilizando la notación CIDR.
218
Capítulo Traducción de Direcciones de Red 13.
El libro pfSense, Liberación
Tabla 13.1:
/ 30 Mapping CIDR
Coincidencia de octeto final
IP externa
IP interna
198.51.100.64/30 10.3.1.64/30 198.51.100.64
10.3.1.64
198.51.100.65
10.3.1.65
198.51.100.66
10.3.1.66
198.51.100.67
10.3.1.67
El último octeto de las direcciones IP no tiene por qué ser la misma en el interior y el exterior, pero al hacerlo hace que sea lógicamente más simple de seguir. Por ejemplo, la tabla / 30 CIDR Mapping no coincidentes octeto final También es válido.
Tabla 13.2: / 30 CIDR Mapping no correspondiente octeto final
IP externa
IP interna
198.51.100.64/30 10.3.1.200/30 198.51.100.64
10.3.1.200
198.51.100.65
10.3.1.201
198.51.100.66
10.3.1.202
198.51.100.67
10.3.1.203
La elección de un esquema de direccionamiento, donde los partidos último octeto hace el diseño más fácil de entender y por lo tanto mantener. Figura 1: 1 entrada NAT
para / 30 CIDR gama muestra cómo con fi gura 1: 1 NAT para lograr el mapeo enumerados en la Tabla / 30 CIDR Mapeo Coincidencia octeto final .
Fig 13.8:. 1: 1 de entrada NAT para / 30 CIDR gama
13.2. 1: 1 NAT
219
El libro pfSense, Liberación
1: 1 NAT en el IP WAN, también conocido como “zona de distensión” en Linksys Algunos routers de consumo, tales como los de Cisco / Linksys tienen lo que llaman una característica de “zona de distensión” que reenviará todos los puertos y protocolos destinados a la dirección IP de la WAN a un sistema en el LAN. En efecto, esto es de 1: 1 NAT entre la dirección WAN IP y la dirección IP del sistema interno. “DMZ” en ese contexto, sin embargo, no tiene nada que ver con lo que una red DMZ real es en la terminología de redes reales. De hecho, es casi lo opuesto. Un anfitrión en un verdadero DMZ está en una red aislada lejos de los otros anfitriones LAN, asegurado lejos de la Internet y LAN acoge por igual. Por el contrario, un anfitrión “zona de distensión” en el sentido de Linksys no es sólo sobre la misma red que los anfitriones LAN, pero completamente expuesta al tráfico entrante c sin protección.
En pfSense, 1: 1 NAT puede estar activo en la dirección IP WAN, con la advertencia de que dejará a todos los servicios que se ejecutan en el cortafuego sí inaccesible externamente. Así 1: 1 NAT no se puede utilizar en la dirección IP WAN en los casos en que se habilitan las VPN de cualquier tipo, u otros servicios locales en el cortafuego debe ser accesible externamente. En algunos casos, esta limitación puede ser mitigado por un delantero de puerto para los servicios alojados localmente.
Ordenamiento de NAT y Firewall de procesamiento Comprender el orden en el que se produce fi rewalling y NAT es importante cuando las reglas de con fi guración de NAT y cortafuego. El orden lógico básico se ilustra en la figura Ordenamiento de NAT y Firewall de procesamiento . En la figura se representa también en donde los lazos de tcpdump, ya que su uso como herramienta de solución de problemas se describe más adelante en este libro en La captura de paquetes . Cada capa no siempre es golpeado en configuraciones típicas fi, pero el uso de reglas flotando o NAT saliente manual u otras con fi guraciones más complicados puede golpear cada capa en ambas direcciones. El diagrama sólo cubre escenarios básicos para entrante y saliente tráfico c.
Traf fi c de LAN a WAN se procesa como se describe en la siguiente lista más detallada. Si un tipo de normas no existen o no son iguales, que se pasan por alto.
• Puerto hacia delante o 1: 1 NAT en la interfaz de LAN (por ejemplo proxy o DNS redirige) •
Las reglas de firewall para la interfaz LAN: reglas flotantes entrante on LAN, entonces las reglas para los grupos de interfaces, incluyendo la interfaz LAN, entonces las reglas pestaña LAN.
• 1: 1 NAT o NAT saliente normas sobre la WAN • reglas flotantes que coinciden salientes en la WAN En este caso, no se aplican las reglas de puerto remite pestaña fi cortafuego WAN y WAN. Para tráfico c iniciado en la WAN, el orden es el mismo pero la dirección se invierte:
• puerto remite o 1: 1 NAT en la interfaz WAN (por ejemplo, servicios públicos) •
Las reglas de firewall para la interfaz WAN: reglas flotantes entrante en WAN, entonces las reglas para los grupos de interfaz incluyendo la interfaz WAN, entonces las reglas de la ficha WAN.
• 1: 1 NAT o NAT saliente normas sobre LAN • reglas flotantes que coinciden salientes on LAN tcpdump es siempre la primera y la última cosa para ver trá fi co, dependiendo de la dirección. En primer lugar, en la interfaz entrante antes de cualquier procesamiento NAT y cortafuegos fi, y por último en la interfaz de salida. Se muestra lo que es en el cable. (Ver La captura de paquetes )
Ver también: Ver Regla de procesamiento de pedidos para obtener más información sobre el orden de procesamiento de reglas fi cortafuegos.
220
Capítulo Traducción de Direcciones de Red 13.
El libro pfSense, Liberación
Fig. 13.9: Orden de NAT y Firewall Processing
13.3. Ordenamiento de NAT y Firewall de procesamiento
221
El libro pfSense, Liberación
Extrapolando a interfaces adicionales El diagrama anterior y las listas solamente ilustran una implementación básica LAN y WAN dos interfaz. Cuando se trabaja con interfaces adicionales, se aplican las mismas reglas. Trá fi co entre dos interfaces internas se comporta igual que LAN a WAN trá fi co, aunque las reglas NAT defecto no se traducirán trá fi co entre las interfaces internas por lo que la capa de NAT no hace nada en esos casos. Si existen reglas de salida NAT ese partido trá fi co entre las interfaces internas, se aplicará como se muestra.
Reglas para NAT En el camino hacia una interfaz, NAT se aplica antes que las reglas fi cortafuego, así que si el destino se traduce en el camino en adelante (por ejemplo, portuarias o 1: 1 NAT en la WAN), entonces las reglas cortafuego debe coincidir con el destino traducida. En el caso típico de un puerto de reenvío a la WAN, esto significa que la regla debe coincidir con un destino de la dirección IP privada de destino en la LAN. Por ejemplo, con un puerto hacia delante para el puerto TCP 80 en WAN con una regla de cortafuego añadido de forma automática, la figura Regla de firewall para Port Forward al anfitrión LAN Muestra la regla cortafuego resultante sobre la WAN. La dirección IP interna en el puerto hacia adelante es 10.3.0.15. Si el uso de puerto remite o 1: 1 NAT, reglas de cortafuego en todas las interfaces WAN deben utilizar la dirección IP interna como destino.
Fig. 13.10: reglas de firewall para Port Forward a Host LAN
A la salida de una interfaz, de salida NAT se aplica antes que las reglas fi cortafuego, por lo que cualquier regla flotantes juego de salida en una interfaz debe coincidir con la fuente después de que ha sido traducido por NAT saliente o 1: 1 NAT.
NAT La reflexión NAT reflexión se refiere a la capacidad de acceder a servicios externos de la red interna utilizando la dirección IP externa (normalmente público), lo mismo que si el cliente estuviera en Internet. Muchos rewalls fi comerciales y de código abierto no son compatibles con esta funcionalidad en absoluto. Cuando sea posible, la división de DNS es el medio preferido para acceder a los recursos para que el cortafuego no está involucrado en el acceso a los servicios internos internamente. pfSense tiene un buen soporte para NAT reflexión, aunque algunos entornos requieren una infraestructura DNS dividido para dar cabida a esta funcionalidad. Dividir el DNS está cubierta al final de esta sección en DNS dividido .
Con fi gurar NAT reflexión Para activar NAT La reflexión a nivel mundial:
• Navegar a Sistema> Avanzado sobre el Cortafuegos y NAT • localizar el Traducción de Direcciones de Red sección de la página •
Con fi gura las opciones de reflexión NAT Re de la siguiente manera:
NAT Re modo de reflexión para el puerto reenvía Hay tres opciones disponibles para el modo de reflexión NAT Re para los delanteros del puerto, que son:
Inhabilitar no se realizará NAT La reflexión, pero puede ser activada en función de cada regla. NAT + Proxy Permite NAT La reflexión usando un programa de ayuda para enviar paquetes a la meta del puerto hacia delante. Esto es útil en configuraciones donde la interfaz y / o la dirección IP de la pasarela se utiliza para la comunicación con el objetivo no puede determinarse con precisión en el
222
Capítulo Traducción de Direcciones de Red 13.
El libro pfSense, Liberación
tiempo las normas se cargan. Re no se crean reglas fl exión para su uso con el proxy para los rangos de más de 500 puertos y no serán utilizados por más de 1000 puertos en total entre todos los desvíos de puerto. Este modo no funciona con UDP, sólo que con TCP. Debido a que este es un proxy, la dirección de origen del trá fi co, como se ve por el servidor, es la dirección IP fi cortafuegos más cercano al servidor.
pura NAT Permite NAT La reflexión usando reglas sólo NAT en pf dirigir paquetes a la objetivo del puerto hacia delante. Tiene mejor escalabilidad, pero debe ser posible determinar con precisión la dirección de la interfaz y la puerta de enlace IP utilizado para la comunicación con el objetivo en el momento se cargan las reglas. No hay límites inherentes al número de puertos que no sean los límites de los protocolos. Todos los protocolos disponibles para los delanteros cuentan con el apoyo de puerto. Si los servidores están en la misma subred que los clientes, la Habilitar NAT saliente automático para la reflexión opción enmascarar el origen del trá fi co por lo que fluye correctamente a través del cortafuego.
Reflexión Tiempo de espera Esta opción sólo es relevante para NAT + Proxy de modo, y controla el tiempo que la NAT daemon proxy transcurrir antes de cerrar una conexión. Especificar el valor en cuestión de segundos.
Habilitar NAT La reflexión de 1: 1 NAT Esta opción permite a los clientes en las redes internas para alcanzar localmente
servicios alojados mediante la conexión a la dirección IP externa de un 1: 1 entrada NAT. Para activar plenamente la función, compruebe tanto Habilitar NAT La reflexión de 1: 1 NAT y Habilitar NAT saliente automático para la reflexión. Esta última opción sólo es necesario si los clientes y servidores se encuentran en la misma subred.
Habilitar NAT saliente automático para la reflexión Cuando está activada, esta opción activa NAT adicional reglas para el 1: 1 NAT reflexión y puro fl exión NATmode NAT Re para los delanteros del puerto. Estas reglas adicionales enmascaran la dirección de origen del cliente asegurarse de respuesta de trá fi co fluye de vuelta a través del cortafuego. Sin esto, las conexiones entre el cliente y el servidor se producirá un error que el servidor responderá directamente de vuelta al cliente utilizando su dirección IP interna. El cliente va a interrumpir la conexión, ya que espera una respuesta de la dirección IP pública.
•
Hacer clic Salvar para activar las nuevas opciones de NAT reflexión
NAT Re Advertencias reflexión
NAT reflexión es un truco, ya que los bucles de trá fi co a través del cortafuego cuando no es necesario. Debido a las limitadas opciones PF prevé la adaptación de estos escenarios, hay algunas limitaciones en el pfSense NAT + Proxy reflexión aplicación. Intervalos de puertos de más de 500 puertos NAT no tienen reflejo activado en modo NAT + proxy, y que el modo está también limitada a trabajar sólo con TCP. Los otros modos requieren NAT adicional a suceder si los clientes y los servidores están conectados a la misma interfaz del cortafuego. Este NAT adicional oculta la dirección de origen del cliente, haciendo que el trá fi co parece originarse en el cortafuego en su lugar, por lo que la conexión se puede establecer correctamente.
Dividir el DNS es la mejor manera de acomodar grandes rangos de puertos y 1: 1 NAT. El mantenimiento de una infraestructura de DNS dividido es requerido por muchos fi comercial rewalls incluso, y por lo general no es un problema.
DNS dividido Una alternativa preferible a NAT reflexión está desplegando una infraestructura DNS dividida. Dividir el DNS se refiere a un DNS con fi guración donde, por un nombre de host dado, DNS de Internet público resuelve a la dirección IP pública, y DNS en la red interna se resuelve a la dirección IP interna y privada. Los medios para conseguir esto puede variar dependiendo de la especificación CS de la infraestructura DNS de una organización, pero el resultado final es el mismo. NAT reflexión no es necesario ya que los nombres de host a resolver las direcciones IP privadas dentro de la red y los clientes pueden llegar a los servidores directamente. Dividir el DNS permite a los servidores de ver la verdadera dirección IP del cliente, y las conexiones entre servidores y clientes en la misma subred irá directamente, en lugar de la participación innecesariamente el cortafuego.
13.4. NAT La reflexión
223
El libro pfSense, Liberación
El único caso que no funciona correctamente con la división de DNS es cuando los números de los puertos externos e internos son diferentes. Con la división de DNS, el número de puerto tiene que ser el mismo en ambos lugares.
De resolución de DNS Forwarder / anulaciones
Si pfSense está actuando como el servidor DNS para los hosts internos, a continuación, el anfitrión de las anulaciones en el Resolver DNS o promotor de DNS puede proporcionar la funcionalidad de DNS dividido. Para agregar una anulación de la resolución DNS:
• Navegar a Servicios> Resolución DNS
•
Hacer clic
•
Con fi gura la anulación de acogida, según sea necesario, utilizando la dirección IP interna del servidor. Ver anulaciones de acogida . Figura
lo de abajo anulaciones de acogida para llegar a la página de opciones del host Override
Añadir resolución de DNS de anulación para example.com muestra un ejemplo de una anulación de DNS para example.com y
www.example.com. •
Hacer clic Salvar
• Hacer clic Aplicar cambios
Fig. 13.11: Añadir resolución de DNS de anulación para example.com
El DNS Forwarder funciona de forma idéntica en este sentido. Si el Forwarder DNS está activado en lugar de la resolución DNS, agregue las anulaciones de allí.
Se requiere un reemplazo para cada nombre de host en uso detrás del cortafuego.
Los servidores DNS internos
Cuando se utiliza un servidor DNS independiente en una red interna, tales como Microsoft Active Directory, las zonas deben ser creados por el administrador del servidor DNS para todos los dominios alojados dentro de la red, junto con todos los demás registros de los
224
Capítulo Traducción de Direcciones de Red 13.
El libro pfSense, Liberación
dominios (A, CNAME, MX, etc.). En entornos que ejecutan el servidor DNS BIND en el DNS público está alojado en el mismo servidor que el DNS privada, vistas de BIND característica se utiliza para resolver DNS diferente para hosts internos que las externas. Otros servidores DNS pueden apoyar una funcionalidad similar. Comprobar su documentación para obtener información.
NAT salientes De salida NAT, también conocido como Fuente NAT, pfSense controla cómo se traducirá la dirección de origen y los puertos de trá fi co dejando una interfaz. Para con fi gura de salida NAT, vaya a Firewall> NAT, sobre el saliente lengüeta. Hay cuatro posibles modos para la salida de NAT:
Automático de salida NAT La opción por defecto, que realiza automáticamente NAT de inter interna caras, tales como LAN, a las interfaces externas, tales como WAN. Híbrido de salida NAT Utiliza las reglas manuales mientras que también el uso de reglas automáticas para tráfico c No corresponde
por reglas introducidas manualmente. Este modo es el más flexible y fácil de usar para los administradores que necesitan un poco de control adicional, pero no quieren para gestionar toda la lista manualmente.
Manual de salida NAT Logros las reglas introducidas manualmente, y nada más. Ofrece la mayor parte control, pero puede ser difícil de manejar y los cambios realizados en las interfaces internas o WAN deben tenerse en cuenta en las reglas de la mano. Si la lista está vacía cuando se cambia de automático a manual, la lista se rellena con normas equivalentes al conjunto generado automáticamente.
Desactivar la salida NAT Desactiva todos los NAT saliente. Es útil si el cortafuego contiene sólo ad- enrutable vestidos (por ejemplo, direcciones IP públicas) en todas las redes LAN y WAN. Al cambiar el Modo Valor, haga clic en el Salvar botón para almacenar el nuevo valor.
En redes con una única dirección IP pública por la WAN, por lo general hay ninguna razón para activar NAT saliente manual. Si algún control manual es necesario, el modo híbrido es la mejor opción. En los entornos con múltiples direcciones IP públicas y requisitos complejos NAT, de salida manual de NAT ofrece más fi el control de grano fino sobre todos los aspectos de la traducción. Para entornos de alta disponibilidad utilizando con la carpa, es importante NAT trá fi co de salida a una dirección CARP VIP, como se discutió en Alta disponibilidad . Esto se puede lograr en cualquier híbrido o el modo manual. Al igual que con otras reglas de pfSense, reglas NAT salientes son considerados desde la parte superior de la lista de abajo, y se usa el primer partido de fi. Incluso si las reglas están presentes en la pantalla de salida NAT, que no serán aceptadas a menos que el Modo se establece en
Híbrido de salida NAT o NAT de salida manual. Nota: NAT saliente sólo controla lo que ocurre con trá fi co ya que deja una interfaz. Lo hace no controlar la interfaz a través del cual tráfico c saldrá del cortafuego. Eso está en manos de la tabla de enrutamiento ( Rutas estáticas ) O encaminamiento de políticas ( la política de enrutamiento ).
Por defecto Reglas de salida NAT Cuando se establece en el valor por defecto Automático de salida NAT modo, pfSense mantiene un conjunto de reglas de NAT para traducir tráfico c dejar cualquier red interna a la dirección IP de la interfaz WAN que las fi c hojas TRAF. redes de rutas estáticas y las redes VPN de acceso remoto también se incluyen en las reglas NAT automáticas. Cuando saliente NAT es con fi gurado para Automático o Híbrido modos, las reglas automáticas se presentan en la sección inferior de la pantalla con la etiqueta Reglas automáticas.
Si la lista de reglas de salida NAT está vacía, el cambio a Manual de salida NAT y el ahorro va a generar un conjunto completo de normas equivalentes a las reglas automáticas.
13.5. NAT salientes
225
El libro pfSense, Liberación
puerto estático Por defecto, pfSense reescribe el puerto de origen en todas las conexiones salientes, excepto para el puerto UDP 500 (IKE para VPN trá fi co). Algunos sistemas operativos hacen un mal trabajo de la aleatorización de puerto de origen, si lo hacen en absoluto. Esto hace que la dirección IP spoo fi ng fácil y hace que sea posible fi huella digital alberga detrás del cortafuego de su salida trá fi co. Reescribir el puerto de origen elimina estos potenciales (aunque improbable) vulnerabilidades de seguridad. reglas NAT salientes, incluyendo el reglas automáticas, mostrarán
en el puerto estático columna de reglas establecidas para aleatorizar el puerto de origen.
puerto de origen aleatorización rompe algunas aplicaciones raras. El valor por defecto de salida automática NAT conjunto de reglas desactiva el puerto aleatorización fuente de UDP 500, ya que casi siempre se rompe por reescribir el puerto de origen. saliente reglas NAT que preservan el puerto fuente original se denominan puerto estático reglas y tienen
en el estado en el Estático
Puerto columna. Todos los demás trá fi co tiene el puerto de origen reescrito por defecto.
Otros protocolos, como los utilizados por las consolas de juegos, pueden no funcionar correctamente cuando se reescribe el puerto de origen. Para desactivar esta funcionalidad, utilice el puerto estático opción. Para añadir una regla para un dispositivo que requiere puertos de origen estáticas:
• Navegar a Firewall> NAT, Saliente lengüeta • Seleccionar Híbrido de salida NAT generación de reglas •
Hacer clic Salvar
•
Hacer clic
para añadir una nueva regla de NAT a la parte superior de la lista
• Con fi gura la regla para que coincida con el trá fi co que requiere puerto estático, como una dirección de origen de un PBX o una consola de juegos (Ver Trabajar con Manual salientes reglas NAT abajo)
• Comprobar puerto estático en el Traducción sección de la página •
Hacer clic Salvar
• Hacer clic Aplicar cambios Después de hacer ese cambio, se conservará el puerto de origen en el tráfico saliente fi c juego la regla. La mejor práctica es utilizar reglas estrictas cuando se utiliza el puerto estático para evitar cualquier posible conflicto si dos anfitriones locales utilizan el mismo puerto de origen para hablar con el mismo servidor remoto y el puerto utilizando la misma dirección IP externa.
Desactivación de salida NAT Si se utilizan direcciones IP públicas en las interfaces locales, y por lo tanto no se requiere NAT para pasar trá fi co a través del cortafuego, desactivar NAT para enrutar la subred. Esto se puede lograr de varias maneras:
• Si NAT no es necesario para cualquier interfaz, establecer el modo NAT saliente a Inhabilitar •
El uso de híbridos de salida NAT, con un conjunto de reglas No hacer NAT puede desactivar NAT para hacer coincidir tráfico c
•
Utilizar el manual de salida NAT, eliminar (o no crean) cualesquiera reglas NAT que coinciden con las subredes que puedan establecerse rutas en cualquiera de los casos anteriores,
de salida NAT ya no estarán activas para aquellas direcciones IP de origen y pfSense direccionará entonces direcciones IP públicas sin necesidad de traducción.
Trabajar con Manual salientes reglas NAT reglas NAT salientes son muy flexibles y son capaces de traducir trá fi co de muchas maneras.
226
Capítulo Traducción de Direcciones de Red 13.
El libro pfSense, Liberación
Las reglas NAT se muestran en una sola página y la Interfaz columna es una fuente de confusión para algunos; Como tráfico c deja una interfaz, sólo las reglas NAT salientes fijados para que específica Interfaz son consultados.
Hacer clic
desde la página de salida NAT para añadir una regla a la parte superior de la lista. Hacer clic
añadir una regla a la parte inferior.
Coloque normas especí fi cas en la parte superior, y las reglas más generales en la parte inferior. Las reglas son procesadas por el cortafuego a partir de la parte superior de la lista y trabajando hacia abajo, y la primera regla fi para que coincida se utiliza. Las reglas pueden ser reordenados para que coincida con la forma deseada.
Las opciones para cada regla de salida NAT son:
Discapacitado Alterna si esta regla está activa. No hacer NAT Al activar esta opción hace que los paquetes que coincidan con la regla no NAT tiene que aplicar como salir. Esto es necesario si el trá fi co de otro modo que coincida con una regla de NAT, pero no debe tener NAT AP- ejercía. Un uso común para esto es agregar una excepción de la regla de manera que las direcciones IP fi cortafuego no reciben NAT aplicados, especialmente en el caso de la carpa, donde tales NAT romper la comunicación por Internet desde un nodo secundario mientras está en el modo de copia de seguridad.
Interfaz La interfaz donde se aplicará esta regla cuando NAT trá fi co se va a través de esta interfaz. Típicamente
este Iswan o un OPTWAN, pero en algunos casos especiales que podrían ser LAN u otra interfaz interna. Protocolo En la mayoría de los casos, de salida NAT se aplicará a alguna protocolo, pero a veces es necesario
restringir el protocolo sobre el cual el NAT actuará. Por ejemplo, sólo para realizar puerto estático NAT para UDP tráfico c de un PBX.
Fuente La Fuente es la red local que se habrá traducido su dirección ya que deja el seleccionado Interfaz. Esto es típicamente una subred LAN, DMZ, o VPN. El puerto de origen casi siempre se deja en blanco para que coincida con todos los puertos. Este campo es compatible con el uso de alias si el Tipo se establece en Red.
Nota: Evitar el uso de una dirección de origen de alguna como que también coincidirá con trá fi co de la fi cortafuegos en sí. Esto causará problemas con vigilancia de puerta de enlace y otra fi cortafuegos iniciada tráfico c.
Destino En la mayoría de los casos, el Destino permanece establecido a alguna de manera que tra fi co ir a ninguna parte de
esta Interfaz serán traducidos, pero el destino puede ser restringido, según sea necesario. Por ejemplo, para traducir de una manera determinada cuando se va a un destino específico, por ejemplo, sólo haciendo puerto estático NAT para direcciones SIP tronco. Este campo es compatible con el uso de alias si el Tipo se establece en Red.
Traducción los Dirección campo interior de la Traducción sección controla lo que ocurre con la fuente dirección del tráfico coincidiendo esta regla c. Por lo general, esto se establece en interfaz Dirección por lo que el trá fi co se traduce a la dirección IP Interfaz, por ejemplo, la dirección IP WAN. los Dirección desplegable también contiene todas las direcciones IP de fi ne virtuales, alias de host, y otra
subred para introducir manualmente una subred para la traducción.
Nota: Un alias que contiene subredes no se puede utilizar para la traducción. Sólo el anfitrión de alias o una sola subred introducida manualmente puede ser utilizado.
El uso de un alias de host o subred introducida manualmente, una regla de NAT saliente puede traducir a un grupo de direcciones. Esto puede ayudar en grandes implementaciones NAT o en áreas donde se requiere puerto estático para varios clientes. Cuando se traduce a un alias de host o subred, una Opciones de la piscina desplegable está disponible con varias opciones. Solamente round Robin tipos trabajan con los alias de host. Cualquier tipo se puede utilizar con una subred.
Defecto ¿No definen ningún algoritmo específico para la selección de una dirección de la traducción piscina.
round Robin Recorre cada dirección de traducción potencial en el alias o subred en giro.
13.5. NAT salientes
227
El libro pfSense, Liberación
Round Robin con pegajoso Dirección Funciona igual que round Robin pero mantiene la misma dirección de traducción de una dirección de origen determinado, siempre y cuando los estados de la fuente de acogida existen.
Aleatorio Selecciona una dirección de traducción para el uso de la subred de forma aleatoria.
Al azar con pegajoso Dirección Selecciona una dirección al azar, pero mantiene la misma Traducción de direcciones de una dirección de origen determinado, siempre y cuando los estados de la fuente de acogida existen.
fuente Hash Utiliza un hash de la dirección de origen para determinar la dirección de la traducción, ensuring que la dirección traducida es siempre el mismo para una dirección IP determinada fuente.
máscara de bits Se aplica la máscara de subred y mantiene la última porción idéntica. Por ejemplo si el
dirección de origen es 10.10.10.50 y la subred traducción es 192.2.0.0/24, la regla va a cambiar la dirección de 192.2.0.50. Esto funciona de manera similar a 1: 1 NAT, pero sólo en la dirección de salida.
Puerto Especi fi ca un específico fuente puerto para la traducción. Esto casi siempre se deja en blanco, pero podría ser necesario si el cliente selecciona un puerto de origen al azar, pero el servidor requiere un puerto de origen especí fi co.
puerto estático Hace que el puerto de la fuente original del trá fi co cliente que se mantiene después de la dirección IP de origen
ha sido traducido. Algunos protocolos requieren esto, como IPsec sin NAT-T, y algunos protocolos se comportan mejor con esto, como SIP y RTP. Al activar esta opción desactiva la Puerto cuadro de entrada. Sin sincronización XML-RPC Esta opción sólo es relevante si una con fi guración HA Cluster está en uso, y debe
omitir lo contrario. Cuando se utiliza un clúster de HA con la sincronización con fi guración, comprobando de esta caja evitará que la regla de ser sincronizado con los otros miembros de un clúster (ver Alta disponibilidad ). Normalmente todas las reglas deben sincronizar, sin embargo. Esta opción sólo es eficaz en nodos maestros, lo hace no prevenir una regla que se sobrescriba en los nodos esclavos. Descripción Una referencia de texto opcional para explicar el propósito de esta regla. Estas reglas pueden acomodar a casi cualquier escenario NAT, grande o pequeña.
Seguimiento de los cambios a las reglas de NAT salientes Como se ha mencionado en la figura Sellos de reglas de cortafuegos Tiempo para las reglas de cortafuego, se añade una marca de tiempo a un saliente de entrada NAT que indica cuándo se creó o modificados por última vez. Esta marca de tiempo muestra el usuario que creó la regla, y la última persona que editar la regla. Cuando se cambia de modo automático de salida NAT para el modo NAT de salida manual, las reglas creadas se marcan como ser creado por ese proceso.
La elección de una fi guración Con NAT La mejor fi guración NAT con un despliegue determinado depende principalmente del número de direcciones IP públicas disponibles y el número de servicios locales que requieren acceso entrante desde Internet.
Única dirección IP pública por la WAN Cuando sólo una única IP pública por la WAN está disponible, las opciones de NAT son limitadas. 1: 1 reglas NAT se puede utilizar con direcciones IP WAN, pero que pueden tener inconvenientes. En este caso, sólo se recomienda el uso de redirecciones de puertos.
228
Capítulo Traducción de Direcciones de Red 13.
El libro pfSense, Liberación
Múltiples direcciones IP públicas por la WAN Cuando varias direcciones IP públicas están disponibles por la WAN, numerosas opciones están disponibles para la entrada y salida de NAT con fi guración. Puerto hacia delante, 1: 1 NAT, y el híbrido o Manual de salida NAT puede todo ser deseable, dependiendo de las necesidades del sitio.
NAT y Protocolo de compatibilidad Algunos protocolos no funcionan bien con NAT y otros no van a funcionar. protocolos problemáticas incrustar direcciones IP y / o números de puerto dentro de los paquetes (por ejemplo, SIP y FTP), algunos no funcionan correctamente si se reescribe el puerto de origen (SIP desde una PBX, IPsec), y algunos son difíciles debido a las limitaciones de pf (PPTP ). Esta sección cubre una muestra de protocolos que tienen di fi cultades con NAT en pfSense, y cómo evitar estos problemas cuando sea posible.
FTP FTP plantea problemas con ambos rewalls NAT y fi Debido al diseño del protocolo. FTP fue diseñado inicialmente en la década de 1970, y la corriente estándar de fi nir las especificaciones del protocolo fue escrito en 1985. Desde FTP fue creado más de una década antes de la NAT, y mucho antes de rewalls fi eran comunes, actúa de maneras que son muy antipáticos hacia NAT y rewalls fi.
pfSense no incluye un proxy FTP por defecto, pero hay un proxy cliente disponible como un paquete adicional.
Limitaciones FTP Debido PF carece de la capacidad para manejar adecuadamente FTP trá fi co sin un proxy, y la implementación de paquetes de proxy FTP es un poco deficiente, hay algunas restricciones en el uso de FTP.
servidores FTP detrás de NAT
Para los servidores FTP detrás de NAT, todos los puertos correspondientes deben ser enviados de forma manual en el servidor y se dejan en las reglas fi cortafuego. O en el caso de 1: 1 NAT, sólo las normas de cortafuego son necesarios. Dependiendo del modo de FTP, software de servidor y software del cliente, también puede ser necesaria alguna con fi guración del servidor.
modos de FTP
FTP puede actuar en múltiples modos que cambian el comportamiento del cliente y el servidor, y de qué lado está escuchando las conexiones entrantes. Las complicaciones de la NAT y reglas de cortafuego dependen de estos modos y si un cliente remoto está intentando llegar a un servidor detrás de pfSense, o si un cliente detrás pfSense está intentando llegar a un servidor remoto.
Modo activo
Con el modo activo de FTP, cuando se solicita una transferencia de archivo, el cliente escucha en un puerto local y luego le dice al servidor la dirección IP del cliente y el puerto. El servidor se conectará de nuevo a esa dirección IP y el puerto con el fin de transferir los datos. Esto es un problema para rewalls fi debido a que el puerto suele ser aleatoria, aunque los clientes modernos permiten la limitación de la gama que se utiliza. En el caso de un cliente detrás de NAT, la dirección IP dada sería una dirección local, inalcanzable desde el servidor. No sólo eso, sino que tendría que ser añadido junto con un puerto hacia adelante permitiendo trá fi co en este puerto una regla de cortafuego.
13.7. NAT y Protocolo de compatibilidad
229
El libro pfSense, Liberación
Cuando el paquete proxy FTP está en uso y un cliente está detrás de pfSense se conecta a un servidor remoto, el proxy intenta hacer tres cosas importantes: En primer lugar, se volverá a escribir el comando FTP PORT de modo que la dirección IP es la dirección IP WAN del cortafuego, y un puerto elegido al azar en esa dirección IP. A continuación, se añade un puerto hacia adelante que conecta la dirección IP traducida y puerto a la dirección IP original y el puerto especi fi cado por el cliente FTP. Por último, permite trá fi co desde el servidor FTP para conectarse a ese puerto “público”. Con Multi-WAN, el representante sólo funcionará en la WAN que contiene la puerta de enlace predeterminada.
Cuando todo está funcionando correctamente, todo esto ocurre de forma transparente. El servidor nunca sabe que está hablando con un cliente detrás de NAT, y el cliente no sabe que el servidor no se conecta directamente.
En el caso de un servidor detrás de NAT, modo activo no suele ser un problema, ya que el servidor sólo estará escuchando las conexiones en los puertos FTP estándar y luego hacer las conexiones de salida de nuevo a los clientes. Las reglas fi cortafuego salientes deben permitir que el servidor para hacer las conexiones de salida arbitrarias, y las normas no deben ruta política de esas conexiones fuera de una WAN que no sea el que acepta la conexión FTP entrante.
Modo pasivo
El modo pasivo (PASV) actúa un poco a la inversa. Para los clientes, es más NAT y cortafuegos fi amigable ya que el servidor escucha en un puerto cuando se solicita una transferencia de archivo, no el cliente. Por lo general, el modo PASV funcionará para los clientes FTP detrás de NAT sin utilizar ningún proxy o un tratamiento especial en absoluto.
Similar a la situación en el apartado anterior, cuando un cliente solicita modo PASV el servidor va a proporcionar al cliente su dirección IP y un puerto aleatorio al que el cliente puede intentar conectarse. Dado que el servidor está en una red privada, tendrán que ser traducido y permitido a través del cortafuego que la dirección IP y el puerto. Ver Los servidores FTP y el puerto hacia adelante a continuación los requisitos de la regla. El servidor FTP debe proporcionar la dirección IP pública a la que se conectan los clientes, pero algunos clientes como Filezilla son lo suficientemente inteligentes como para ignorar una determinada dirección IP si es privada, y se conectará a la dirección IP original del servidor en su lugar.
Modo pasivo extendido
Extended modo pasivo (EPSV) funciona de forma similar al modo PASV pero hace que las asignaciones para el uso de IPv6. Cuando un cliente solicita una transferencia, el servidor responderá con el puerto al que el cliente debe conectarse. Las mismas advertencias para los servidores en modo PASV se aplican aquí.
Los servidores FTP y el puerto hacia adelante
Para los servidores FTP que proporcionan a los clientes el modo pasivo, la con fi guración del servidor FTP debe de definir un rango de puertos pasiva y también debe establecer la dirección NAT externa, normalmente la dirección IP WAN del cortafuego. Los medios de establecer estos valores varían dependiendo de la implementación del software de servidor FTP. Consulte la documentación del servidor FTP para obtener más información. En el cortafuego, el rango de puertos pasiva debe ser enviada con puerto remite junto con el puerto TCP 21. Para los servidores FTP modo activo que proporcionan a los clientes, un delantero de puerto sólo se requiere para el puerto TCP 21.
Servidores FTP y 1: 1 NAT Con 1: 1 NAT, las reglas de cortafuego deben permitir el puerto 21 y el rango de puertos pasiva.
TFTP TCP estándar y UDP tráfico c iniciados conexiones a hosts remotos usando un puerto de origen aleatorio en el intervalo de puertos efímeros, que varía según el sistema operativo, pero cae dentro de 1024-65535, y el puerto de destino del protocolo en uso.
230
Capítulo Traducción de Direcciones de Red 13.
El libro pfSense, Liberación
Respuestas del servidor al cliente inversa que: El puerto de origen es el puerto de destino del cliente, y el puerto de destino es el puerto de origen del cliente. Esta es la forma asociados pf La respuesta de trá fi co con conexiones iniciadas desde el interior de una red. TFTP (Trivial File Transfer Protocol) no se sigue esta convención, sin embargo. El estándar de fi nir TFTP, RFC 1350, especi fi que la respuesta del servidor TFTP al cliente se obtiene de un número de puerto pseudo-aleatorio. El cliente TFTP puede elegir un puerto de origen 10325 (como ejemplo) y utilizar el puerto de destino para TFTP, puerto 69. El servidor para otros protocolos enviará entonces la respuesta a través de puerto de origen y puerto de destino 69 10325. Desde TFTP en su lugar utiliza una puerto de origen seudo-aleatoria, la respuesta de trá fi co no coincidirá con el PF estado ha creado para este trá fi co. De ahí que las respuestas serán bloqueados, ya que parecen ser solicitado trá fi co de Internet.
TFTP no es un protocolo que se utiliza comúnmente a través de Internet. La única situación que en ocasiones llega hasta donde esto es un problema es con algunos teléfonos IP que se conectan a los proveedores de VoIP externos en Internet a través de TFTP para tirar con guración fi y otra información. La mayoría de los proveedores de VoIP no requieren esto.
Si TFTP tráfico c debe pasar a través del cortafuego, un proxy TFTP está disponible, que es con fi gurado bajo Sistema> Ad avanzadas sobre el Cortafuegos y NAT lengüeta. Ver TFTP Proxy para más información.
PPTP / GRE Las limitaciones con PPTP en pfSense son causados por limitaciones en la capacidad de PF a NAT el protocolo GRE. Como tal, las limitaciones se aplican a cualquier uso del protocolo GRE, sin embargo PPTP ha sido el uso más común de GRE en la naturaleza.
El código de seguimiento del estado en pf para el protocolo GRE sólo puede realizar un seguimiento de una única sesión por dirección IP pública por un servidor externo. Esto significa que si una conexión PPTP VPN está en su lugar, sólo una máquina interna puede conectar simultáneamente a la misma un servidor PPTP en Internet. Mil máquinas pueden conectarse simultáneamente a un millar de servidores PPTP diferentes, pero sólo uno a la vez a un solo servidor. Un solo cliente también puede conectarse a un número ilimitado de servidores PPTP fuera.
El único trabajo disponible todo es utilizar varias direcciones IP públicas en el cortafuego, uno por cada cliente a través de salida o 1: 1 NAT, o utilizar varias direcciones IP públicas en el servidor PPTP externa. Esto no es un problema con otros tipos de conexiones VPN.
Debido a la seguridad impresionado extremadamente fl en PPTP (Ver Advertencia PPTP ), incluyendo un compromiso completo de todo el protocolo, su uso debe interrumpirse tan pronto como sea posible, por lo que este tema no es relevante dadas las normas de seguridad actuales.
Juegos en línea Juegos normalmente son NATs, aparte de un par de advertencias. Esta sección se refiere tanto a los juegos de PC y sistemas de juegos de consola con capacidades en línea. Esta sección proporciona una visión general de las experiencias de numerosos usuarios pfSense. Visita el tablero de juego en el pfSense foro de encontrar más información.
puerto estático
Algunos juegos no funcionan correctamente a menos puerto estático está activado en las reglas de NAT salientes. Si un juego tiene problemas para establecer una conexión, el mejor que se puede tratar primero está permitiendo puerto estático para el trá fi co de una consola. Ver
puerto estático para más información.
Múltiples jugadores o dispositivos detrás de un dispositivo NAT
Algunos juegos tienen temas en los que varios jugadores o dispositivos están detrás de un único dispositivo NAT. Estos problemas parecen ser específico para NAT, no pfSense, ya que los usuarios que han probado otros rewalls fi experimentan los mismos problemas con ellos también.
13.7. NAT y Protocolo de compatibilidad
231
El libro pfSense, Liberación
Buscar en el tablero de juego en el pfSense foro para el juego o el sistema de información fi nd de otras personas con experiencias similares.
Superar los problemas de NAT con UPnP
Muchos sistemas de juego actuales son compatibles con Universal Plug-and-Play (UPnP) para con fi gurar automáticamente cualquier puerto remite NAT requeridas y las normas fi cortafuego. Activación de UPnP en pfSense normalmente permitirá juegos para trabajar con poca o ninguna intervención. Ver UPnP y NAT-PMP para más información sobre la con fi guración y el uso de UPnP, y para obtener información acerca de los posibles problemas de seguridad.
IPv6 Red Pre fi x Traducción (TNP) Red Pre fi x traducción, o NPT por sus siglas, funciona de manera similar a 1: 1 NAT, pero opera en direcciones IPv6 en su lugar. NPT puede encontrarse en Firewall> NAT sobre el NPT lengüeta. NPT
realiza una pre fi x y la traduce
a otro.
Asi que 2001: db8: 1111: 2222 :: / 64 se convierte
2001: db8: 3333: 4444 :: / 64 y aunque los pre fi x cambia, el resto de la dirección será identi cal para un equipo dado en esa subred.
Hay unos cuantos fines de NPT, pero muchos cuestionan su utilidad real. Con TNP, el espacio de IPv6 “privado” ( FC00 :: / 7) puede ser utilizado en una LAN y puede ser traducido por TNP a un público, enrutado, IPv6 prefijo x como viene y pasa a través de una WAN. La utilidad de esto es discutible. Un uso es para evitar la renumeración de la LAN si los proveedores externos cambian, sin embargo, ya que cualquier cosa externa que buscó el pre fi edad x también debe ser ajustada, la utilidad de que puede pasar cualquier cosa, especialmente cuando la con fi guración debe tener en cuenta para evitar colisiones en el FC00 :: / 7 espacio para túneles VPN.
NPT tiene mucho sentido para las implementaciones IPv6 SOHO Multi-WAN. La probabilidad de que un hogar o el usuario final de la pequeña empresa tendrán su propio espacio IPv6 independientes del proveedor y una alimentación BGP es muy pequeño. En estos casos, el cortafuego puede utilizar un pre fi x enrutado desde múltiples redes WAN a funcionar de manera similar a Multi-WAN en IPv4. Como trá fi co deja la segunda WAN procedente de la subred LAN, NPT lo traducirá a la dirección IP equivalente en la subred enviado para que la WAN. La LAN se puede utilizar ya sea uno de los prefijos enrutados y hacer NPT en las otras redes WAN, o utilizar las direcciones de FC00 :: / 7 y hacer NPT en todas las redes WAN. Se recomienda evitar el uso de la FC00 :: / 7 espacio para esta tarea. Para obtener más información sobre Multi-WAN con IPv6, consulte Multi-WAN para IPv6 . Cuando añada una entrada NPT, hay pocas opciones a considerar como TNP es bastante básico:
Discapacitado Alterna si esta regla se utiliza activamente. Interfaz Selecciona la interfaz donde esta regla TNP entre en vigor a las salidas de trá fi co.
Interna IPv6 Prefijo x El local (por ejemplo LAN) de subred IPv6 y pre longitud fi x, típicamente el / 64 en LAN o
otra red interna. Destino IPv6 Prefijo x La subred IPv6 externo enrutado y pre longitud fi x a la que los IPv6 internos será traducido pre fi jo. Esto es NO el pre fi x de la propia WAN. Debe ser una red enrutada a este fi cortafuegos a través Descripción de la interfaz Una breve descripción de la finalidad para esta entrada. Figura Ejemplo TNP muestra una regla TNP en la subred LAN IPv6 2001: db8: 1111: 2222 :: / 64 se RELAClONADAS trans a 2001: db8: 3333: 4444 :: / 64 ya que deja la interfaz HENETV6DSL.
232
Capítulo Traducción de Direcciones de Red 13.
El libro pfSense, Liberación
Fig. 13.12: NPT Ejemplo
13.8. IPv6 Red Pre fi x Traducción (TNP)
233
El libro pfSense, Liberación
Solución de problemas NAT puede ser un animal complejo y en todo menos en los entornos más básicas no están obligados a haber problemas obteniendo un buen trabajo con fi guración. Esta sección repasará algunos problemas comunes y sugerencias sobre la forma en que potencialmente pueden ser resueltos.
Ver también:
Los clientes con una pfSense Suscripción Oro puede acceder al Hangouts Archivo para ver el Hangouts se pueden 2016 para NAT en pfSense 2.3, el lugar de reunión de junio de 2016 Conectividad de solución de problemas, y la conversación de diciembre de 2013 en Port Forward Solución de problemas, entre otros.
Port Forward Solución de problemas Puertos Delanteros en particular, puede ser complicado, ya que hay muchas cosas que van mal, muchos de los cuales podrían estar en la con fi guración del cliente y no pfSense. La mayoría de los problemas que encuentran los usuarios no han sido resueltos por una o más de las siguientes sugerencias.
Puerto de entrada hacia adelante incorrectos
Antes de cualquier otra tarea de resolución de problemas, verificar los ajustes para el puerto hacia adelante. Ir sobre el proceso de Añadiendo puerto reenvía de nuevo, y vuelve a comprobar que los valores son correctos. Recuerde, si se cambian la dirección IP NAT o los puertos, la regla de cortafuego también puede ser necesario ajustar si no se eligió una regla de cortafuegos fi vinculado. cosas comunes para verificar si hay:
• interfaz correcta: Por lo general, WAN, o donde trá fi co entrará en el cortafuego. • Corregir NAT IP: La dirección IP debe ser accesible desde una interfaz en el cortafuego. • rango de puerto correcto: Debe corresponder al servicio está remitiendo. • puerto de origen y la fuente casi siempre se debe establecer en alguna.
regla de cortafuegos que falta o incorrecta fi
Después de comprobar la configuración de reenvío de puerto, verifique que la regla fi cortafuegos tiene la configuración adecuada. Una regla de cortafuegos fi incorrecto también sería evidente mediante la visualización de los registros de fi cortafuego ( Visualización de la Registros de firewall ). Recuerde, el destino de la regla fi cortafuegos es la dirección IP interna del sistema de destino y no la dirección de la interfaz que contiene el puerto hacia adelante. Ver Reglas para NAT para más detalles.
Firewall está habilitado en el equipo de destino Otra cosa a considerar es que pfSense puede reenviando el puerto correctamente, pero un cortafuego en la máquina destino puede estar bloqueando el tráfico c. Si hay un cortafuego en el sistema de destino, comprobar sus registros y ajustes para confirmar si o no el tráfico c está siendo bloqueado en ese punto.
pfSense no es la puerta de enlace de sistema de destino
Con el fin de pfSense que transmita adecuadamente un puerto para un sistema local, pfSense debe ser la puerta de enlace predeterminada para el sistema de destino. Si pfSense no es la puerta de entrada, el objetivo systemwill intenta enviar respuestas redirigir puertos de trá fi co a cabo cualquier sistema es la puerta de entrada, y luego una de dos cosas sucederá: Se dejó caer en ese punto ya no habría estado de conexión correspondiente router o que hubiera NAT aplicada por ese router y luego se dejó caer por el
234
Capítulo Traducción de Direcciones de Red 13.
El libro pfSense, Liberación
sistema que origina la solicitud ya que la respuesta es de una dirección IP diferente de aquella a la que se envió la petición inicialmente.
sistema de destino no tiene una puerta de entrada o no puede usar pfSense como puerta de enlace
Un subconjunto del problema más amplio de la pasarela de máquina de destino es cuando el dispositivo no tiene ninguna puerta de enlace, o es incapaz de tener una puerta de enlace. En estos casos, el trabajo en torno a ese problema cambiando al híbrido o Manual de salida NAT y la elaboración de una norma en la LAN u otra interfaz interna hacia el dispositivo local. Esta regla se traduciría trá fi co de cualquier fuente que va al sistema de destino en el puerto de destino.
Por ejemplo, si hay un servidor fi l que no admite una pasarela situada en 10.3.0.6, cambie al híbrido de salida NAT y crear una regla como la figura Manual
de salida Regla NAT para el dispositivo de LAN con la falta de puerta de enlace para llegar a él desde fuera de la red. El servidor fi l verá la dirección IP LAN del cortafuego como la fuente del trá fi co, y ya que es “local” al servidor, responderá correctamente.
Fig. 13.13: Manual de Regla NAT de salida para el dispositivo de LAN con la falta de puerta de enlace
equipo de destino no está escuchando en el puerto reenviado Si la solicitud es rechazada en lugar de tiempo de espera cuando se prueba la conexión, con toda probabilidad pfSense es el reenvío de la conexión correctamente y la conexión es rechazada por el sistema de destino. Esto puede ocurrir cuando el sistema de destino no tiene servicio de escucha en el puerto en cuestión, o si el puerto está remitiendo no coincide con el puerto en el que el sistema de destino está escuchando.
Por ejemplo, si el sistema de destino se supone que escuchar las conexiones SSH, pero el puerto hacia adelante se ha introducido para el puerto 23 en lugar de 22, la petición más probable sería rechazado por el servidor. La diferencia por lo general puede ser detectado por intentar conectar con el puerto en cuestión utilizando netcat o telnet. Un mensaje como “Conexión rechazada” indica algo, con frecuencia el anfitrión en el interior, está rechazando la conexión activa. Utilizando Diagnóstico> puerto de prueba También puede ayudar, consulte Prueba de un puerto TCP .
13.9. Solución de problemas
235
El libro pfSense, Liberación
ISP está bloqueando el puerto
Algunos ISPs filtro de entrada de trá fi co a los puertos bien conocidos. Compruebe los Términos de Servicio (TOS) desde el ISP para ver si hay una cláusula sobre el funcionamiento de los servidores. Estas restricciones son más comunes en las conexiones residenciales que las conexiones comerciales. En caso de duda, una llamada al ISP puede aclarar el asunto.
Si los puertos están siendo filtrada por el ISP, moviendo los servicios a un puerto diferente puede evitar la restricción. Por ejemplo, si el ISP no permite servidores en el puerto 80, intente 8080 o 18080. Antes de intentar solucionar un filtro, consulte el ISP ToS para garantizar que la ejecución de un servidor no es una violación de sus reglas.
Probando desde dentro de la red en lugar de fuera Por defecto, puerto remite sólo funcionarán cuando las conexiones se realizan desde fuera de la red local. Esto es un error muy común cuando se prueba delante del puerto. Si no se necesitan puerto remite a trabajar internamente, véase NAT La reflexión . Sin embargo, Split DNS ( DNS dividido ) es una solución más adecuada y elegante a este problema sin tener que depender de NAT reflexión o el puerto hacia delante, y que valdría la pena el tiempo para poner en práctica en su lugar.
Incluso con NAT reflexión, la prueba desde el interior de la red no es necesariamente indicativa de si va a trabajar a través de Internet. restricciones de ISP, restricciones en los dispositivos aguas arriba del cortafuego, entre otras posibilidades no son posibles de ver cuando se prueba desde dentro de la red.
dirección IP virtual incorrecta o faltante Al utilizar las direcciones IP que no son las direcciones IP reales asignados a una interfaz, una dirección IP virtual debe utilizarse (VIP, ver Las direcciones IP virtuales ). Si un puerto de reenvío a una dirección IP alternativa no funciona, puede ser necesario un tipo diferente de VIP. Por ejemplo, puede ser necesario un tipo Proxy ARP en lugar de un “otro” tipo VIP. Cuando se prueba, también asegurarse de que el cliente se conecta al VIP adecuado.
pfSense no es el / router de borde fronterizo En algunos escenarios pfSense es un enrutador interno y hay otros routers entre él y el Internet también realizar NAT. En tal caso, un puerto hacia adelante también debe ser introducido en el router de borde de reenviar el puerto de pfSense, que luego utilizar otro puerto hacia delante para conseguir que el sistema local.
Reenvío de puertos a un sistema detrás de portal cautivo Reenvío de puertos a un host detrás de un portal cautivo necesita una consideración especial. Ver Puerto hacia delante a detrás de los ejércitos portal sólo funcionan cuando el
sistema de destino se registra en para detalles.
La prueba adicional necesaria
Si ninguna de estas soluciones resultan en un puerto de trabajo hacia adelante, consulte firewall Unidos para buscar estados de NAT que indican que la conexión se ha hecho a través del cortafuego, o La captura de paquetes para obtener información sobre el uso de capturas de paquetes para diagnosticar problemas de reenvío de puertos.
236
Capítulo Traducción de Direcciones de Red 13.
El libro pfSense, Liberación
Solución de problemas de NAT Re fl exión NAT La reflexión ( NAT La reflexión ) Es compleja, y como tal puede no funcionar en algunos escenarios avanzados. Recomendamos el uso de DNS dividido en su lugar (ver DNS
dividido ) en la mayoría de los casos. Sin embargo, NAT reflexión sobre las emisiones actuales pfSense funciona razonablemente bien para casi todos los escenarios, y cualquier problema suelen ser un error con fi guración. Asegúrese de que se ha activado la manera correcta, y asegúrese de que una amplia gama de puertos que no se está remitiendo innecesariamente. reglas NAT reflexión Re también se duplican para cada interfaz presente en el sistema, por lo que si una gran cantidad de delanteros de puertos e interfaces están en uso, el número de reflectores puede fácilmente sobrepasar los límites del sistema. Si esto sucede, una entrada se imprime en los registros del sistema. Compruebe los registros del sistema por cualquier error o información.
Acceso web se rompe con NAT La reflexión Habilitado Si una disposición inadecuada especi fi cada NAT Port Forward está presente en el cortafuego, puede causar problemas cuando se habilita NAT reflexión. La forma más común surge este problema es con un servidor web local, y el puerto 80 es enviada allí con una especi fi cado indebidamente Dirección externa.
Si NAT reflexión está activada y el Dirección externa se establece en alguna , cualquier conexión realizada en el cortafuego aparece como el servidor web local. Para fi jar, edite el Port Forward para el puerto infractor, y el cambio Dirección externa a interfaz Dirección en lugar. Si una dirección externa de alguna se requiere, entonces NAT reflexión no va a funcionar, y de Split DNS debe ser utilizado en su lugar.
Solución de problemas de salida NAT Cuando NAT saliente manual está activado y hay varias subredes locales, se requiere una entrada de NAT de salida para cada uno. Esto se aplica especialmente si tráfico c debe salir con NAT después de entrar en el router pfSense través de una conexión VPN como OpenVPN.
Un indicio de una regla NAT saliente faltante sería ver los paquetes salen theWAN interfaz con una dirección de origen de una red privada. Ver La captura de paquetes para más detalles sobre la obtención y la interpretación de capturas de paquetes. En su uso más común, Network Address Translation (NAT) permite que varios ordenadores que utilizan IPv4 a estar conectados a Internet a través de una única dirección IPv4 pública. pfSense permite a estas implementaciones sencillas, pero también acomoda mucho más configuraciones NAT fi estafadores avanzadas y complejas requeridas en redes con múltiples direcciones IP públicas. NAT es con fi gurado en dos direcciones: entrante y saliente. NAT saliente de fi ne la forma de trá fi co que salen de una red local con destino a una red remota, tal como se traduce Internet. Entrante NAT se refiere a tráfico c entrar en una red desde una red remota. El tipo más común de NAT entrante es puerto remite, que es también el tipo de muchos administradores están más familiarizados.
Nota: En general, con la excepción de Red Pre fi x Traducción (TNP), NAT en IPv6 no es compatible en pfSense. Hay más discusión sobre el tema en IPv6 y NAT . A menos que se indique lo contrario, este capítulo está discutiendo NAT con IPv4.
Ver también:
Los clientes con una pfSense Suscripción Oro puede acceder al Hangouts Archivo para ver el Hangouts se pueden 2016 NAT con pfSense 2.3 y cuanto antes de agosto de 2014 Hangout de traducción de direcciones de red.
Predeterminado NAT Con fi guración En esta sección se describe la configuración por defecto NAT con fi presentes en pfSense. La configuración fi NAT con más apropiado que puede ser determinado se genera automáticamente. En algunos entornos, esta con fi guración puede no ser adecuado, y
13.10. Predeterminado NAT Con fi guración
237
El libro pfSense, Liberación
pfSense permite cambiarlo totalmente desde la interfaz web. Esto es un contraste de muchas otras distribuciones cortafuego de código abierto, que no permiten las capacidades requeridas comúnmente en todas las redes, pero pequeñas, simples.
Salida predeterminado NAT Con fi guración En una configuración de dos pfSense interfaz típica con LAN y WAN, el valor predeterminado NAT con fi guración se traduce automáticamente a Internet ligado trá fi co a la dirección IP WAN. Cuando múltiples interfaces WAN son con fi gurado, tráfico c dejar cualquier interfaz WAN está traducido automáticamente a la dirección de la interfaz WAN que se utiliza. puerto estático es automáticamente con fi gurada para IKE (parte de IPsec). puerto estático se trata con más detalle en NAT salientes
acerca de salida NAT. Para la detección de las interfaces de tipo WAN para su uso con NAT, pfSense busca la presencia de una puerta de entrada seleccionada en la configuración de interfaz con fi si tiene una dirección IP estática, o pfSense asume la interfaz es una WAN si es un tipo dinámico como PPPoE o DHCP.
Por defecto de entrada NAT Con fi guración Por defecto, no está permitido en de Internet en la interfaz WAN. Si trá fi co iniciado en Internet se debe permitir llegar a un host en la red interna, puerto remite o 1: 1 Se requiere NAT. Esto se trata en las próximas secciones.
238
Capítulo Traducción de Direcciones de Red 13.
CAPÍTULO
CATORCE
RUTA
gateways Gateways son la clave de encaminamiento; Se trata de sistemas a través del cual se pueden alcanzar otras redes. El tipo de puerta de enlace de la mayoría de la gente está familiarizada con una defecto puerta de entrada, que es el router a través del cual un sistema se conectará a Internet o cualquier otra red que no tiene una ruta fi co más específico de alcanzar. Gateways también se utilizan para el enrutamiento estático, donde otras redes deben llegar a través de fi c enrutadores locales específicas. En la mayoría de las redes normales, las pasarelas siempre residen en la misma subred que una de las interfaces de un sistema. Por ejemplo, si un cortafuego tiene una dirección IP
192.168.22.5/24, a continuación, una puerta de entrada a otra red tendría que ser en algún lugar dentro de 192.168.22.x Si la otra red es accesible a través de esa interfaz. Una notable excepción a esto es interfaces de punto a punto, como los utilizados en los protocolos basados en la PPA, que a menudo tienen direcciones IP de puerta de enlace en otra subred, ya que no se utilizan de la misma manera.
Dirección de pasarela Familias (IPv4 e IPv6) Cuando se trabaja con el enrutamiento y puertas de enlace, la funcionalidad y los procedimientos son los mismos para las direcciones IPv4 e IPv6, sin embargo todas las direcciones para una ruta determinada debe involucrar a las direcciones de la misma familia. Por ejemplo, una red IPv6 debe ser enrutado usando un IPv6 gateway / router. Una ruta no puede ser creado por una red IPv6 con una dirección de puerta de enlace IPv4. Cuando se trabaja con grupos de puerta de enlace, se aplica la misma restricción; Todas las puertas de enlace en un grupo de puerta de enlace deben ser de la misma familia de direcciones.
La gestión de pasarelas Antes de una puerta de enlace puede ser utilizado para cualquier propósito, debe ser añadido a la fi cortafuegos con fi guración. Si se utiliza una puerta de entrada para una interfaz de tipo WAN, se puede añadir en la página de con fi guración para esa interfaz (Ver
Interfaz de Con fi guración Fundamentos ), o se puede añadir primero manualmente y luego seleccionado de la lista desplegable en la interfaz con fi guración.
tipos de interfaz dinámicos como DHCP y PPPoE reciben una puerta de enlace automático que se observa como Dinámica en la lista de puerta de enlace. Los parámetros para este tipo de puertas de enlace se pueden ajustar los mismos que los parámetros para una puerta de enlace estático, sino una puerta de enlace dinámico no se pueden eliminar. Para agregar o es propietario de pasarelas:
• Navegar a Sistema> Enrutamiento •
Haga clic en el gateways lengüeta
•
Hacer clic
Añadir en la parte superior o inferior de la lista para crear una nueva puerta de enlace
239
El libro pfSense, Liberación
•
Hacer clic
junto a una entrada para editar una puerta de enlace existente
•
Hacer clic
junto a una entrada para eliminar una puerta de enlace
•
Hacer clic
desactivar una pasarela activa
•
Hacer clic
para permitir que una puerta de enlace con discapacidad
Las opciones individuales para puertas de enlace se discuten en detalle en la siguiente sección.
Configuración de puerta de enlace Al agregar o editar una puerta de entrada, una pantalla que se presenta una lista de todas las opciones para controlar el comportamiento de la puerta de enlace. Los ajustes sólo son necesarios la Interfaz, el Nombre, y el gateway ( Dirección IP).
Interfaz La interfaz a través de la que se alcanza la puerta de entrada. Por ejemplo, si se trata de una puerta de enlace local en la subred LAN, elija el LAN interconectar aquí.
dirección familiar Ya sea IPv4 o IPv6, dependiendo del tipo de dirección de esta pasarela.
Nombre los Nombre para la puerta de enlace, como se indica en la lista de puerta de enlace, y varios desplegable y otros selectores para puertas de enlace. Sólo puede contener caracteres alfanuméricos, o un guión bajo, pero no espacios. Por ejemplo: WANGW, GW_WAN, y
WanGate son válidas, pero WAN GW No se permite.
Puerta La dirección IP de la pasarela. Como se mencionó anteriormente, esto debe residir en una subred directamente con fi gurada en el seleccionado
Interfaz.
Puerta de enlace predeterminada
Cuando se selecciona, esta pasarela es tratado como la entrada de defecto para el sistema. La puerta de enlace predeterminada es el gateway de último recurso. Se utiliza cuando no hay otras más rutas específicas. El cortafuego puede tener una puerta de enlace predeterminada IPv4 e IPv6 una puerta de enlace predeterminada.
240
Capítulo 14. Encaminamiento
El libro pfSense, Liberación
Desactivar la puerta de enlace de Monitoreo
Por defecto, el sistema ping a cada puerta de enlace una vez por segundo para monitorizar la pérdida de latencia y de paquetes para tráfico c a la dirección IP supervisada. Estos datos son utilizados para la información de estado de puerta de enlace y también para dibujar el gráfico de calidad RRD. Si este control no es deseable por cualquier razón, puede ser desactivada mediante la comprobación Desactivar la puerta de enlace de Seguimiento. Tenga en cuenta que si el estado de la pasarela no se controla, entonces Multi-WAN no funcionará correctamente ya que no puede detectar los fallos.
monitor de IP los monitor de IP opción de dirección con fi guras la dirección IP utilizada para determinar el estado de la pasarela. Por defecto el sistema ping a la dirección IP de la pasarela. Esto no siempre es deseable, especialmente en el caso en que la dirección de puerta de enlace IP es local, tal como en un módem o DSL CPE Cable. En casos como el que tiene más sentido para hacer ping a algo más lejos río arriba, como un servidor DNS del ISP o un servidor en Internet. Otro caso es cuando un ISP es propenso a fallas aguas arriba, de modo ping hacia una máquina en Internet es una prueba más precisa para determinar si una WAN se puede utilizar en lugar de probar el propio enlace. Algunas opciones populares incluyen servidores DNS público de Google, o de los sitios web más populares como Google o Yahoo. Si la dirección IP especificada en este cuadro no está conectado directamente, se añade una ruta estática para asegurar que tráfico c a la monitor de IP dirección de las hojas a través de la puerta de entrada esperada. Cada puerta de enlace debe tener una dirección IP única monitor. El estado de una puerta de enlace como la percibe el cortafuego se puede comprobar visitando Estado> Gateways o mediante el uso de la
gateways widget en el tablero de instrumentos. Si en la pantalla de puerta de enlace En línea, a continuación, la dirección IP del monitor está regresando con éxito los pings.
Estado vigor Cuando Marcar como puerta de enlace de Down está marcada, la puerta de entrada será siempre considerado abajo, incluso cuando los pings se devuelven desde la dirección IP del monitor. Esto es útil para los casos cuando una WAN se está comportando de forma inconsistente y las transiciones de puerta de enlace están causando la interrupción. La puerta de enlace puede ser forzado en una abajo estado para que otras puertas de enlace pueden ser preferidos hasta que se estabiliza.
Descripción un opcional Descripción de la entrada de puerta de enlace para la referencia. Una breve nota sobre la puerta de enlace o interfaz se utiliza para puede ser útil, o puede ser dejado en blanco.
Avanzado Varios parámetros pueden ser modificados para controlar cómo se controla o se trata en un escenario Multi-WAN una puerta de enlace. Más los usuarios no tendrán que modificar estos valores. Para acceder a las opciones avanzadas, haga clic en el
mostrar avanzada botón. Si
cualquiera de las opciones avanzadas se establecen, en esta sección se expande automáticamente. Para obtener más información sobre el uso de múltiples conexiones WAN, consulte Las conexiones WAN múltiples .
Peso Cuando se utiliza multi-WAN, si dos redes WAN tienen diferentes cantidades de ancho de banda, Peso parámetro ajusta la ración a la que se utilizan las redes WAN. Por ejemplo, si WAN1 tiene 5 Mbit / s y WAN2 tiene 10Mbit / s, el peso WAN1 como 1 y como WAN2 2. A continuación, por cada tres conexiones que salen, se utilizará la WAN y dos usará WAN2. Usando este método, las conexiones se distribuyen de una manera que es más probable para utilizar mejor el ancho de banda disponible. peso de 1 a 30 puede ser elegido.
14.2. Configuración de puerta de enlace
241
El libro pfSense, Liberación
Los datos de carga útil
Para conservar el ancho de banda, dpinger daemon envía un ping con un tamaño de carga útil de 0 por defecto, así que no hay datos está contenida en la solicitud de eco ICMP. Sin embargo, en raras circunstancias un CPE, router ISP, o hop intermedio pueden caer o rechazar los paquetes ICMP sin una carga útil. En estos casos, establecer el tamaño de la carga útil por encima de 0. Por lo general, un tamaño de 1 es suficiente para satisfacer equipo afectado.
Los umbrales de latencia
los Los umbrales de latencia campos controlan la cantidad de latencia que se considera normal para esta puerta de enlace. Este valor se expresa en milisegundos (ms). El valor en el De campo es el límite inferior en el que la puerta de entrada sería considerado en un estado de alerta, pero no hacia abajo. Si la latencia excede el valor en el A campo, se considera abajo y puesto fuera de servicio. Los valores adecuados en estos campos pueden variar dependiendo de qué tipo de conexión está en uso, y qué ISP o el equipo es entre el cortafuego y la dirección IP del monitor. Los valores por defecto son De 300 yA
500. Algunas otras situaciones comunes pueden requerir el ajuste de estos valores. Por ejemplo, algunas líneas DSL están fi ne incluso a una mayor latencia, por lo que el aumento de la A parámetro para 700 o más sería reducir el número de veces que la puerta de entrada sería considerado hacia abajo cuando, de hecho, estaba operando aceptablemente. Otro ejemplo es un túnel GIF a un proveedor de tales he.net como para IPv6. Debido a la naturaleza de túneles GIF y carga de los servidores de túnel, el túnel podría estar trabajando aceptablemente incluso con latencia tan alto como 900 ms según lo informado por las respuestas de ping ICMP.
Los umbrales de pérdida de paquetes
Similar a Los umbrales de latencia, el Los umbrales de pérdida de paquetes controlar la cantidad de pérdida de paquetes a una dirección IP del monitor antes de que sería considerado inutilizable. Este valor se expresa como un porcentaje, 0 siendo sin pérdida y 100 siendo la pérdida total. El valor en el De campo es el límite inferior en el que la puerta de entrada sería considerado en un estado de alerta, pero no hacia abajo. Si la cantidad de pérdida de paquetes excede el valor en el A campo, se considera abajo y puesto fuera de servicio. Los valores adecuados en estos campos pueden variar dependiendo de qué tipo de conexión está en uso, y qué ISP o el equipo es entre el cortafuego y la dirección IP del monitor. Los valores por defecto son De 10 y A 20.
Al igual que con la latencia, las conexiones pueden ser propensos a diferentes cantidades de pérdida de paquetes y todavía funcionar de una manera utilizable, especialmente si la ruta de acceso a una dirección IP monitor de gotas o retrasa ICMP a favor de otro tráfico c. Hemos observado conexiones inutilizables con pequeñas cantidades de pérdida, y algunos que son utilizables incluso cuando muestra la pérdida de 45%. Si se producen alarmas de pérdida en una puerta de enlace WAN que funciona normalmente, introduzca los valores más altos en el De y A se consigue campos hasta un buen equilibrio para el circuito.
sonda de intervalo
El valor en el sonda de intervalo campo controla la frecuencia con que se envía un ping a la dirección IP del monitor, en milisegundos. El valor predeterminado es hacer ping a dos veces por segundo ( 500 Sra). En algunas situaciones, tales como enlaces que necesitan monitorizado, pero que tienen altos cargos de datos, incluso una pequeña mesa de ping cada segundo puede sumar. Este valor se puede aumentar de forma segura, siempre y cuando sea menor o igual a la alerta de intervalo y también no viola la restricción en el Periodo de tiempo se enumeran a continuación. Los valores más bajos de ping con más frecuencia y ser más precisos, pero consumen más recursos. Los valores más altos serán menos sensibles a un comportamiento errático y consumir menos recursos, a costa de precisión.
Nota: El gráfico de la calidad se promedia en segundos, no intervalos, así como el sonda de intervalo se incrementa la exactitud de la gráfica de la calidad se reduce.
242
Capítulo 14. Encaminamiento
El libro pfSense, Liberación
pérdida de intervalo
Tiempo en milisegundos antes que los paquetes son tratados como perdido. El valor por defecto es 2000 ms (2 segundos). Debe ser mayor que o igual a la Alto umbral de latencia. Si un circuito es conocido por tener una alta latencia mientras opera normalmente, esto puede ser aumentado para compensar.
Periodo de tiempo
La cantidad de tiempo, en milisegundos, sobre el cual se promedian los resultados de ping. El valor por defecto es 60000 ( 60 segundos, un minuto). Una más larga Periodo de tiempo tomará más tiempo para la latencia o pérdida para activar una alarma, pero es menos propenso a ser afectado por un comportamiento errático en los resultados de ping. los Periodo de tiempo debe ser mayor que dos veces la suma de las sonda de intervalo y Pérdida de intervalo, de lo contrario puede que no haya al menos una sonda completado.
alerta de intervalo
El intervalo de tiempo, en milisegundos, en el que los controles demonio para una condición de alerta. El valor por defecto es 1000 ( 1 segundo). Este valor debe ser mayor que o igual a la Sonda de intervalo, porque una alerta no podría ocurrir entre sondas.
Usar puerta de enlace no local
los Usar puerta de enlace no local a través de la interfaz específica ruta opción permite una configuración con fi no estándar cuando existe una dirección IP de la pasarela fuera de una subred de interfaz. Algunos proveedores que tratan de raspar el fondo del barril IPv4 han recurrido a esto con el fin de no poner una puerta de entrada a cada subred del cliente. No active esta opción a menos que sea requerido por el proveedor de aguas arriba.
Grupos de puerta de enlace Grupos de puerta de enlace de conjuntos de fi ne de pasarelas que se utilizará para la conmutación por error o el balanceo de carga. Grupos de puerta de enlace también se puede utilizar como Interfaz valores en algunas zonas de la interfaz gráfica de usuario para la conmutación por error de servicio, como OpenVPN, IPsec y DNS dinámico. Para obtener información sobre la configuración de estas características, consulte Las conexiones WAN múltiples .
Rutas estáticas Las rutas estáticas se utilizan cuando hosts o redes son accesibles a través de un router que no sea la entrada de defecto. pfSense sabe acerca de las redes unidos directamente a la misma, y llega a todas las demás redes según las indicaciones de su tabla de enrutamiento. En las redes donde un enrutador interno conecta subredes internas adicionales, una ruta estática debe ser definido para esa red para ser alcanzable. Los routers por los que se alcanzan estas otras redes deben primero ser añadidos como puertas de enlace. Ver gateways para obtener información sobre la adición de puertas de enlace. Las rutas estáticas se encuentran bajo Sistema> Enrutamiento sobre el rutas lengüeta.
14.3. Grupos de puerta de enlace
243
El libro pfSense, Liberación
La gestión de rutas estáticas Para añadir una ruta:
• Navegar a Sistema> Enrutamiento sobre el rutas lengüeta
•
Hacer clic
•
Complete la con fi guración de la siguiente manera:
Añadir para crear una nueva ruta estática
Red de destino Especí fi ca de la máscara de subred de la red y que es accesible mediante esta ruta.
Puerta De define el router a través de la que se alcanza esta red. Discapacitado Compruebe si la ruta estática no debe ser utilizado, sólo se de fi nido.
Descripción Algunos texto para describir la ruta, su propósito, etc.
•
Hacer clic Salvar
• Hacer clic Aplicar cambios Para gestionar las rutas existentes:
• Navegar a Sistema> Enrutamiento sobre el rutas lengüeta
•
Hacer clic
junto a una entrada para editar una ruta existente
•
Hacer clic
junto a una entrada para eliminar una ruta
•
Hacer clic
desactivar una ruta activa
•
Hacer clic
para permitir una ruta discapacitados
• Hacer clic Aplicar cambios
Ejemplo ruta estática Figura Rutas estáticas ilustra un escenario en el que se requiere una ruta estática.
Fig. 14.1: rutas estáticas
Debido a que la red 192.168.2.0/24 en la figura Rutas estáticas No está en una interfaz conectada directamente a pfSense, se necesita una ruta estática por lo que el cortafuego sabe cómo llegar a esa red. Figura Estática Con fi guración de la ruta muestra la ruta estática adecuada para el diagrama de arriba. Como se mencionó anteriormente, antes de que se puede añadir una ruta estática una puerta de enlace primero debe ser de fi nido.
También pueden ser necesarios ajustes de reglas de firewall. Si se utilizan reglas de LAN personalizados, deben permitir trá fi co para pasar de una fuente de las redes alcanzables a través de rutas estáticas en LAN.
244
Capítulo 14. Encaminamiento
El libro pfSense, Liberación
Fig 14.2:. Ruta estática Con fi guración
Derivación de reglas de firewall para trá fi co en una misma interfaz En muchas situaciones en las que el uso de rutas estáticas, trá fi co termina enrutamiento de forma asimétrica. Esto significa que el tráfico c seguirá una trayectoria diferente en una dirección que en el tráfico c fl debido en la dirección opuesta. tome la figura enrutamiento asimétrico por ejemplo.
Fig. 14.3: enrutamiento asimétrico
Traf fi c de PC1 a PC2 va a ir a través de pfSense ya que es la puerta de enlace por defecto para PC1, pero tráfico c en la dirección opuesta irá directamente desde el router al PC1. Desde pfSense es un cortafuego con estado, tiene que ver trá fi co de toda la conexión sea capaz de filtro de trá fi co correctamente. Con el enrutamiento asimétrico como este ejemplo, cualquier cortafuego stateful caerá legítima trá fi co, ya que no puede mantener adecuadamente el estado sin ver trá fi co en ambas direcciones. En general, esto sólo afecta a TCP, ya que otros protocolos no tienen una conexión formal apretón de manos del cortafuego puede reconocer para su uso en el seguimiento de estado.
En los escenarios de enrutamiento asimétrico, hay una opción que puede usarse para prevenir legítimo tráfico c sea caído. La opción añade reglas fi cortafuego que permiten a todos los tra fi co entre las redes se define en las rutas estáticas utilizando un conjunto más permisiva de opciones de la regla y el manejo del Estado. Para activar esta opción:
• Hacer clic Sistema> Avanzado •
Haga clic en el Firewall / NAT lengüeta
14.4. Rutas estáticas
245
El libro pfSense, Liberación
• Comprobar reglas fi cortafuego bypass para tráfico c en la misma interfaz •
Hacer clic Salvar
Alternativamente, las reglas de cortafuego se pueden añadir manualmente para permitir similares tráfico c. Se necesitan dos reglas, uno en la ficha interfaz donde el tráfico c entra (por ejemplo LAN) y otro en el Flotante lengüeta:
• Navegar a Cortafuegos> Reglas • Haga clic en la pestaña de la interfaz donde el trá fi co entrará (por ejemplo, LAN)
•
Hacer clic
Añadir añadir una nueva regla a la parte superior de la lista
• Utilice los siguientes parámetros: Protocolo TCP Fuente Los sistemas locales que utilizan la ruta estática (por ejemplo, LAN neto)
Destino La red en el otro extremo de la ruta Indicadores TCP Comprobar Cualquier AGS (fl Debajo Características avanzadas) Tipo Estado Estado
descuidado ( Debajo Características avanzadas)
•
Hacer clic Salvar
•
Haga clic en el Flotante lengüeta
•
Hacer clic
Añadir añadir una nueva regla a la parte superior de la lista
• Utilice los siguientes parámetros: Interfaz La interfaz donde el tráfico c originó (por ejemplo, LAN) Dirección Fuera
Protocolo TCP Fuente Los sistemas locales que utilizan la ruta estática (por ejemplo, LAN neto)
Destino La red en el otro extremo de la ruta Indicadores TCP Comprobar Cualquier AGS (fl Debajo Características avanzadas) Tipo Estado Estado
descuidado ( Debajo Características avanzadas)
•
Hacer clic Salvar
Si se muestra adicional de trá fi co de otras fuentes o destinos como bloqueado en los registros de fi cortafuego con TCP fl ags como “TCP: SA” o “TCP: PA”, las reglas pueden ser ajustados o copiados para que coincida con tra fi co también.
Nota: Si se requiere fi ltrado de trá fi co entre subredes enrutadas de forma estática, hay que hacerlo en el router y no el cortafuego ya que el cortafuego no está en una posición en la red donde se puede controlar con eficacia que tra fi co.
ICMP redirecciones Cuando un dispositivo envía un paquete a su puerta de enlace predeterminada, y la puerta de entrada sabe que el emisor puede alcanzar la red de destino a través de una ruta más directa, se enviará un mensaje de redirección ICMP en respuesta y reenviar el paquete con fi g- ured. La redirección ICMP provoca una ruta para ese destino que se añade temporalmente a la tabla de enrutamiento del dispositivo emisor y el dispositivo utilizará posteriormente que la ruta más directa para llegar a ese destino. Esto sólo funcionará si el sistema operativo cliente está con fi gurada para permitir ICMP redirecciones, que suele ser el caso por defecto.
246
Capítulo 14. Encaminamiento
El libro pfSense, Liberación
redirecciones ICMP son comunes cuando están presentes que apuntan a un enrutador en la misma interfaz que PCs cliente y otros dispositivos de red rutas estáticas. El diagrama de enrutamiento asimétrico de la sección anterior es un ejemplo de esto. Redirecciones ICMP tiene una mala reputación inmerecida sobre todo de algunos miembros de la comunidad de seguridad, ya que permiten modi fi cación de una tabla de enrutamiento cliente. Sin embargo no son el riesgo de que algunos implican, como para ser aceptado, el mensaje de redirección ICMP debe incluir el primer 8 bytes de datos del datagrama original. Un anfitrión en una posición para ver que los datos y por lo tanto sea capaz de forjar con éxito ilícito ICMP redirige está en una posición para conseguir el mismo resultado final en múltiples otras maneras.
Las direcciones de enrutamiento IP públicas Esta sección cubre el enrutamiento de direcciones IP públicas, donde se le asigna una subred IP pública a una interfaz interna en un solo despliegue fi cortafuegos.
Ver también:
Si un cluster de alta disponibilidad está en uso, véase Proporcionar redundancia Sin NAT .
Las asignaciones IP Al menos dos subredes IP públicas deben ser asignados por el ISP. Uno es para la WAN del cortafuego, y una para la interfaz en el interior. Esto es comúnmente una subred / 30 para la WAN, con una segunda subred asignada para la interfaz interna. En este ejemplo se utilizará un / 30 sobre la WAN tal como se muestra en la Tabla Bloquear IP WAN y una subred / 29 pública en una interfaz OPT interna como se muestra en la Tabla Dentro de direcciones IP bloqueadas .
Tabla 14.1: WAN IP bloqueadas
198.51.100.64/30 Dirección IP
Asignado a
198.51.100.65
router ISP (puerta de enlace predeterminada pfSense)
198.51.100.66 pfSense WAN dirección IP de interfaz Tabla 14.2: Dentro de direcciones IP bloqueadas
192.0.2.128/29 Dirección IP asignada 192.0.2.129 interfaz OPT pfSense 192.0.2.130 192.0.2.131 192.0.2.132
hosts internos
192.0.2.133 192.0.2.134
Interfaz Con fi guración En primer lugar con fi gura la WAN y las interfaces OPT. La interfaz LAN también se puede utilizar para las direcciones IP públicas si se desea. En este ejemplo, LAN es una subred IP privada y OPT1 es la subred IP pública.
Con fi gura WAN Agregue la dirección IP y la puerta de enlace en consecuencia. Figura WAN IP y Gateway con guración fi muestra la fi con WAN gurada como se muestra en la Tabla Bloquear IP
WAN .
14.5. Las direcciones de enrutamiento IP públicas
247
El libro pfSense, Liberación
Fig. 14.4: IP WAN y Gateway Con fi guración
Con fi gura OPT1 Ahora permitir OPT1, opcionalmente cambiar su nombre, y con fi gura la dirección IP y la máscara de subred. Figura Enrutamiento OPT1 interfaz con fi guración muestra OPT1 con fi gurado como se muestra en la Tabla Dentro de direcciones IP bloqueadas .
Fig 14.5:. Routing OPT1 Interface Con fi guración
La figura 14.6:. Dirección Con fi guración de enrutamiento IP OPT1
NAT Con fi guración El valor por defecto de la traducción interna trá fi co a la IP WAN debe ser anulado cuando se utilizan direcciones IP públicas en una interfaz interna.
• Vaya a Firewall> NAT •
Haga clic en la pestaña de salida
• Seleccionar generación de reglas de salida NAT híbrido •
248
Hacer clic Salvar
Capítulo 14. Encaminamiento
El libro pfSense, Liberación
•
Hacer clic
añadir una nueva regla a la parte superior de la lista con la siguiente configuración:
No hacer NAT Cuadros, de manera que NAT se desactivará
Interfaz PÁLIDO Protocolo Alguna
Fuente Red, introduzca la subred IP pública local, 192.0.2.128/29 Destino Alguna •
Hacer clic Salvar
Esto anulará las reglas predeterminadas automáticas que se traducen todas de trá fi co de interfaces locales que salen de la interfaz WAN a la dirección IP WAN. Traf fi c proviene de la red OPT1 192.0.2.128/29 no se traduce debido a la regla añadida manualmente excluyéndolo de NAT. Esta con fi guración mantiene el comportamiento automático para otras interfaces internas, por lo que las ventajas de las reglas de NAT salientes automática no se pierden. Esta configuración con fi se muestra en la figura
NAT saliente Con fi guración . Si se utilizan en direcciones IP públicas todas interfaces locales, a continuación, establezca Desactivar la salida NAT en lugar de utilizar el modo híbrido.
Fig 14.7:. Salida NAT Con fi guración
De reglas de cortafuegos con fi guración El NAT y la dirección IP con fi guración se ha completado. tendrán que ser añadido para permitir la salida como de entrada de trá fi co reglas de firewall. Figura Las reglas
del cortafuegos OPT1 muestra una DMZ-como con fi guración, donde se rechazó todas de trá fi co destinado a la subred LAN, se permiten DNS y los pings a la dirección IP de la interfaz OPT1, y se permite HTTP saliente. Para permitir trá fi co de la Internet para las direcciones IP públicas sobre una interfaz interna, añadir reglas de la WAN utilizando las direcciones IP públicas como el Destino. Figura Las reglas del cortafuegos de WAN muestra una regla que permita HTTP a 192.0.2.130, una de las direcciones IP públicas en la interfaz interna como se muestra en la tabla Dentro de direcciones IP bloqueadas .
Después de con fi gurar las reglas fi cortafuego según se desee, la configuración se ha completado.
Nota: Tra fi co fluirá de LAN a esta subred pública por defecto y sin NAT. Si no se desea este comportamiento, ajuste
14.5. Las direcciones de enrutamiento IP públicas
249
El libro pfSense, Liberación
Fig. 14.8: OPT1 reglas del cortafuegos
Fig. 14.9: WAN reglas del cortafuegos
la fi cortafuegos y NAT LAN normas en consecuencia. Además, puede necesitar ser pasado por alto para permitir de LAN a esta interfaz política de enrutamiento.
Los protocolos de enrutamiento En el momento de escribir estas líneas, tres protocolos de enrutamiento son compatibles con pfSense:
• RIP (Routing Information Protocol) • BGP (Border Gateway Protocol) • OSPF (Open Shortest Path primero). Esta sección es la luz en los detalles, y supone la comprensión de los protocolos de enrutamiento como un requisito previo. Una discusión a fondo de los protocolos de enrutamiento está fuera del alcance de este libro.
q.e.p.d. RIP es parte del paquete enrutado. Para instalarlo:
• Navegar a Sistema> Gestor de paquetes • Hacer clic Paquetes disponibles • Localizar enrutada en la lista, o búsquelo •
Haga clic en el
•
Hacer clic
Instalar a la derecha de la enrutada entrada paquete.
Con fi rm
• Esperar a que se complete la instalación • Navegar a Servicios> RIP Para con fi gurar RIP:
250
Capítulo 14. Encaminamiento
El libro pfSense, Liberación
• Comprobar el habilitar RIP caja •
Elegir el Interfaces RIP va a escuchar y enviar actualizaciones de enrutamiento de
• Selecciona el RIP versión • Entrar a contraseña RIPv2 si RIPv2 está en uso y requiere una contraseña de la red. •
Hacer clic Salvar
RIP pondrá en marcha inmediatamente y comenzar a enviar y recibir actualizaciones de enrutamiento en las interfaces especí fi cos.
BGP Un paquete BGP usando openbgpd de OpenBSD está disponible. Para instalarlo:
• Navegar a Sistema> Gestor de paquetes • Hacer clic Paquetes disponibles • Localizar openbgpd en la lista, o búsquelo
•
Haga clic en el
•
Hacer clic
Instalar a la derecha de la openbgpd entrada paquete.
Con fi rm
• Esperar a que se complete la instalación • Navegar a Servicios> openbgpd BGP es una bestia compleja, y describir en detalle está fuera del alcance de este libro. Con fi guración de openbgpd en pfSense es recta hacia adelante para aquellos con conocimiento de BGP. Durante el desarrollo de este paquete, que se basó en
BGP libro de O'Reilly y recomendaría a cualquiera que quiera desplegar BGP. La forma general de la con fi guración para el paquete openbgpd es:
• Con fi gura un grupo en el Grupo pestaña con el AS remoto • Con fi gura uno o más vecinos de la vecinos pestaña como miembros de la de fi nidas Grupo • Con fi gura la ajustes pestaña como se desee para el AS y redes para anunciar local.
OSPF Un paquete OSPF mediante el quagga demonio de encaminamiento también está disponible. Al igual que con BGP, para instalarlo:
• Navegar a Sistema> Gestor de paquetes • Hacer clic Paquetes disponibles • Localizar Quagga_OSPF en la lista, o búsquelo
•
Haga clic en el
•
Hacer clic
Instalar a la derecha de la Quagga_OSPF entrada paquete.
Con fi rm
• Esperar a que se complete la instalación • Navegar a Servicios> Quagga OSPF
14.6. Los protocolos de enrutamiento
251
El libro pfSense, Liberación
OSPF es un protocolo de enrutamiento también bastante complejo, aunque no tan compleja como para configurar BGP puede ser. Los detalles de con fi gurar ospfd también están fuera del alcance de este libro, aunque para alguien acostumbrado a OSPF las opciones de con fi guración que se encuentran en la interfaz gráfica de usuario estarán familiarizados.
La forma general de la con fi guración para el paquete Quagga OSPF es:
•
Añadir las interfaces según sea necesario, con las subredes locales de interfaz siendo marcados pasiva, y los condenados a otros enrutadores OSPF como activa.
•
Con fi gura la configuración general según sea necesario con el router ID, ID de área, y así sucesivamente.
Ver también:
OpenVPN de sitio a sitio con Multi-WAN y OSPF contiene una fi guración ejemplo con de OSPF.
Solución de problemas de rutas Cuando el diagnóstico de trá fi co cuestiones flujo, una de las primeras cosas que debe comprobar es la vías conocidas por pfSense.
Visualización de rutas
Hay dos formas de ver las rutas: A través de la WebGUI, ya través de la línea de comandos. Para ver las rutas en la WebGUI, vaya a Diagnóstico> Rutas y de salida se muestra similar a la figura Visualización de la ruta .
Fig 14.10:. Visualización de la ruta
La salida de la línea de comandos es similar a la observada en el WebGUI: #
netstat tablas de
enrutamiento -rWn Internet: Destino Puerta
banderas
defecto
198.51.100.1
UGS
10.2.0.0/24
el enlace # 2
T
10.2.0.1
el enlace # 2
UHS
127.0.0.1
el enlace # 11
UH
198.51.100.0/24
el enlace # 3
T
198.51.100.1
00: 08: A2: 09: 95: UHS b6
198.51.100.2
el enlace # 3
UHS
Utilizar
1822 1500 0 1500 0 16384 204 16384
MTU
netif caducar igb1 igb0 lo0 lo0
1181 1500
igb1
2789 1500
igb1
0 16384
lo0
Las columnas que se muestran en estas pantallas indican diversas propiedades de las rutas, y se explican más adelante en esta sección.
252
Capítulo 14. Encaminamiento
El libro pfSense, Liberación
Destino Esta columna contiene el host de destino o de la red. La ruta por defecto para el sistema simplemente se muestra como defecto. De lo contrario, los anfitriones se enumeran como por la dirección IP y redes aparecen con una dirección IP y la máscara de subred CIDR.
Puerta Una puerta de enlace es el router a través del cual los paquetes que van a un destino específico son enviados. Si esta columna muestra un enlace, tales como el enlace # 1, entonces que la red es directamente accesible por esa interfaz y no de encaminamiento especial es necesario. Si un host es visible con una dirección MAC, entonces es un anfitrión local accesible con una entrada en la tabla ARP, y los paquetes se envían directamente a ésta.
banderas
Hay un buen número de banderas fl, todos los cuales están cubiertos en la página del manual de FreeBSD para netstat (1), reproducido en la Tabla
Banderas tabla de rutas y significados con algunas modificaciones.
Tabla 14.3: Banderas tabla de rutas y significados
Carta
Bandera
Sentido
1
RTF_PROTO1
Protocolo específico de enrutamiento fl ag # 1
2
RTF_PROTO2
Protocolo específico de enrutamiento fl ag # 2
3
RTF_PROTO3
Protocolo específico de enrutamiento fl ag # 3
segundo
paquetes RTF_BLACKHOLE Descartar durante las actualizaciones b
RTF_BROADCAST Representa una dirección de difusión D
RTF_DYNAMIC
Creado dinámicamente por redirección
GRAMO
RTF_GATEWAY
Destino requiere reenvío por intermediario
MARIDO
RTF_HOST
entrada de host (neto de otra manera)
L
RTF_LLINFO
protocolo válido para la traducción de direcciones de enlace
METRO
RTF_MODIFIED Modi fi ed dinámicamente (por redirección) R
RTF_REJECT
Host o red inalcanzable
S
RTF_STATIC
añadido manualmente
T
RTF_UP
ruta utilizable
x
RTF_XRESOLVE
daemon externo se traduce a proto dirección del enlace
Por ejemplo, una ruta fl agged como UGS es una ruta utilizable, los paquetes se envían a través de la puerta de entrada en la lista, y es una ruta estática.
refs Esta columna cuenta el número actual de usos activos de una ruta determinada.
Utilizar
Este contador es el número total de paquetes enviados a través de esta ruta. Esto es útil para determinar si en realidad se está utilizando una ruta, ya que continuamente se incremente en forma de paquetes utilizan la ruta.
netif La interfaz de red utilizada para esta ruta.
14.7. Solución de problemas de rutas
253
El libro pfSense, Liberación
Expirar Para las entradas dinámicas, este campo muestra el tiempo hasta que esta ruta se extingue si no se utiliza de nuevo.
utilizando traceroute Traceroute es una herramienta útil para la comprobación y verificación de rutas y la funcionalidad multi-WAN, entre otros usos. Se muestra cada “salto” a lo largo de la ruta de un paquete viaja de un extremo al otro, junto con la latencia encontrado en llegar a ese punto intermedio. En pfSense, un traceroute se puede realizar mediante la navegación a Diagnóstico> Traceroute, o mediante el uso de traceroute en la línea de comandos. De los clientes que ejecutan Windows, el programa está disponible bajo el nombre
tracert. Cada paquete IP contiene un tiempo-a-live (TTL). Cuando un router pasa un paquete, decrementa el TTL por uno. Cuando un router recibe un paquete con un TTL de 1 y el destino no es una red conectada de forma local, el router devuelve un mensaje de error ICMP “Time-to-live superado” y descarta el paquete. Esto es para limitar el impacto de los bucles de enrutamiento, que de otro modo causarían cada paquete para inde bucle infinitamente.
Traceroute utiliza esta TTL a su ventaja para trazar la ruta a un destino de red c específico. Se inicia mediante el envío del primer paquete de ficción con un TTL de 1. El primer enrutador (por lo general la puerta de enlace predeterminada) devolverá un error ICMP-tiempo de vida superado. El tiempo entre el envío del paquete y recibir el error ICMP es la hora que se muestra, aparece junto con la dirección IP que envía el error y su DNS inversa, si los hay. Después de enviar tres paquetes con un TTL de 1 y mostrando sus tiempos de respuesta, se incrementará el TTL a 2 y envía tres paquetes más, teniendo en cuenta la misma información para el segundo salto. Traceroute incrementa el TTL y repite el proceso hasta que alcanza el destino fi cado, o excede el número máximo de saltos.
funciones de seguimiento de ruta ligeramente diferente en Windows y sistemas operativos basados en Unix (BSD, Linux, Mac OS X, Unix, etc.). Windows utiliza ICMP paquetes de petición de eco (pings) mientras que los sistemas Unix utilizan paquetes UDP por defecto. ICMP y UDP son capa 4 protocolos, y traceroute se realiza en la capa 3, por lo que el protocolo utilizado es en gran medida irrelevante excepto cuando se considera un encaminamiento de política con fi guración. Trazado de los clientes de Windows será la política enruta basa en la regla que permite peticiones de eco ICMP, mientras que los clientes Unix serán enviados por la regla que coincide con los puertos UDP en uso. En este ejemplo, traceroute se utiliza para ver la ruta hacia www.google.com:
#
traceroute www.google.com
traceroute: Advertencia: www.google.com tiene varias direcciones; usando 74.125.95.99 traceroute a www.l.google.com (74.125.95.99), 64 lúpulo max, 40 paquetes de byte 1 de núcleo (172.17.23.1) 1.450 ms 1.901 ms 2.213 ms 2 172.17.25.21 (172.17.25.21) 4,852 ms 3.698 ms 3.120 ms 3 bb1-g4-0-2.ipltin.ameritech.net (151.164.42.156) 3.275 ms 3.210 ms 3.215 ms 4 151.164.93.49 (151.164.93.49) 8,791 ms 8.593 ms 8.891 ms 5 74.125.48.117 (74.125.48.117) 8.460 ms 39.941 ms 8.551 ms 6 209.85.254.120 (209.85.254.120) 10.376 ms 8.904 ms 8.765 ms 7 209.85.241.22 (209.85.241.22) 19,479 ms 20.058 ms 19.550 ms 8 209.85.241.29 (209.85.241.29) 20.547 ms 19.761 ms 209.85.241.27 (209.85.241.27) 20.131 ms 9 209.85.240.49 (209.85.240.49) 30.184 ms 72.14.239.189 (72.14.239.189) 21.337 ms 21.756 ms 10 iw-in-f99.google.com (74.125.95.99) 19.793 ms 19.665 ms 20.603 ms
El resultado muestra que tardó 10 saltos para llegar allí, y la latencia generalmente aumenta con cada salto, que se espera. Nota: Cuando se utiliza la política de enrutamiento, como withmulti-WAN, la fi cortafuegos en sí no puede aparecer como un salto en traceroute. Cuando se emplea encaminamiento de política, pf no disminuye la TTL al reenviar paquetes, por lo traceroute no puede detectar como un enrutador intermedio.
254
Capítulo 14. Encaminamiento
El libro pfSense, Liberación
Rutas y VPNs Dependiendo de la VPN se utiliza, una ruta no se muestre en la tabla para el otro lado. IPsec no utiliza la tabla de enrutamiento, en su lugar se maneja internamente en el núcleo usando entradas de la base política de seguridad IPsec (SPD). Las rutas estáticas no causarán trá fi co a ser dirigido a través de una conexión IPsec. OpenVPN utiliza la tabla de enrutamiento del sistema y como tales entradas están presentes para las redes alcanzables a través de un túnel OpenVPN, como en el siguiente ejemplo:
# netstat tablas de enrutamiento -rWn Internet: Destino Puerta
banderas
defecto
198.51.100.1
UGS
10.6.0.0/16
10.6.203.1
UGS
0 1500
ovpnc2
10.6.203.0/24
10.6.203.2
UGS
0 1500
ovpnc2
10.6.203.1
el enlace # 9
UH
0 1500
ovpnc2
10.6.203.2
el enlace # 9
UHS
0 16384
10.7.0.0/24
el enlace # 2
T
10.7.0.1
el enlace # 2
UHS
127.0.0.1
el enlace # 7
UH
198.51.100.0/24
el enlace # 1
T
198.51.100.7
el enlace # 1
UHS
Utilizar
MTU
92421 1500
1260771 1500 0 16384 866 16384 1251477 1500 0 16384
netif caducar em0
lo0 em1 lo0 lo0 em0 lo0
La interfaz OpenVPN es 10.6.203.2, con una puerta de enlace de 10.6.203.1 y la interfaz es ovpnc2. La red alcanzable usando OpenVPN en este ejemplo es 10.6.0.0/16. Con IPsec, traceroute no es tan útil como con configuraciones enrutadas como OpenVPN, porque el propio túnel IPsec no tiene direcciones IP. Cuando se ejecuta traceroute a un destino a través de IPsec, un tiempo de espera se mostrará para el salto que es el túnel IPsec.
Una de las funciones principales de un cortafuego es el enrutamiento tráfico c. Este capítulo trata sobre diversos temas relacionados con el enrutamiento, incluyendo pasarelas, las rutas estáticas, los protocolos de enrutamiento, el enrutamiento de direcciones IP públicas, y mostrar la información de enrutamiento.
14.7. Solución de problemas de rutas
255
El libro pfSense, Liberación
256
Capítulo 14. Encaminamiento
CAPÍTULO
QUINCE
PUENTE
La creación de un puente En pfSense, se añaden puentes y removidos en Interfaces> (asignar) sobre el puentes lengüeta. El uso de puentes, cualquier número de puertos puede unirse entre sí con facilidad. Cada puente creado en la interfaz gráfica de usuario también creará una nueva interfaz de puente en el sistema operativo, llamado bridgeX dónde x comienza en 0 y se incrementa en uno para cada nuevo puente. Estas interfaces pueden ser asignados y utilizados como la mayoría de otras interfaces, que se discute más adelante en este capítulo. Para crear un puente:
• Navegar a Interfaces> (asignar) sobre el puentes lengüeta. •
Hacer clic Añadir para crear un nuevo puente.
• Seleccione al menos una entrada de Interfaces miembros. Seleccione las que sea necesario el uso de Ctrl hacer clic. •
Agrega un Descripción Si es deseado.
•
Hacer clic Mostrar opciones avanzadas para revisar los parámetros de con fi guración restantes según sea necesario. Para la mayoría de los casos son innecesarios.
•
Hacer clic Salvar para completar el puente.
Nota: Un puente puede consistir en una única interfaz de miembro, que puede ayudar con la migración a una con fi guración con un puente asignado, o para hacer un simple puerto SPAN / espejo.
Opciones avanzadas Bridge Existen numerosas opciones avanzadas para un puente y sus miembros. Algunos de estos parámetros son un poco complicado, por lo que se discute en esta sección.
(Rapid) Spanning Tree Opciones Spanning Tree es un protocolo que ayuda a los interruptores y dispositivos de determinar si hay un lazo y lo cortaron según sea necesario para evitar que el bucle de dañar la red. Hay bastantes opciones que controlan cómo se comporta abarca los árboles que permiten ciertos supuestos para ser hechas sobre los puertos mercantiles o para asegurar que ciertos puentes tienen prioridad en el caso de un bucle o enlaces redundantes. Más información sobre STP se puede encontrar en el FreeBSD ifcon fi g (8) página hombre, y en Wikipedia .
257
El libro pfSense, Liberación
Protocolo
los Protocolo controla si el puente utilizará el protocolo de árbol de expansión IEEE 802.1D ( STP) o Rapid Spanning Tree Protocol IEEE 802.1wy ( RSTP). RSTP es un protocolo nuevo, y como su nombre indica opera mucho más rápido que el STP, pero es compatible con versiones anteriores. El estándar 802.1D-2004 IEEE nuevo se basa en RSTP y STP hace obsoleta.
Seleccionar STP sólo cuando más viejos aparatos de conexión está en uso que no se comporta bien con RSTP.
STP Interfaces los STP Interfaces Lista re fl eja los miembros de puente sobre el cual se habilita STP. Ctrl haga clic para seleccionar elementos de puente para su uso con STP.
Tiempo valido
Selecciona el Tiempo valido para una con fi guración Protocolo de árbol de expansión. El valor por defecto es 20 segundos. El mínimo es 6 segundo y el máximo es de 40 segundos.
Tiempo hacia adelante
los Tiempo hacia adelante opción establece el tiempo que debe transcurrir antes de que comience una interfaz de reenvío de paquetes cuando el árbol de expansión está activado. El valor por defecto es 15 segundos. El mínimo es 4 segundo y el máximo es de 30 segundos.
Nota: Un retardo más largo será notado por los clientes conectados directamente, ya que no serán capaces de pasar tráfico c, incluso para obtener una dirección IP a través de DHCP, hasta que su interfaz pasa modo de reenvío.
Hello Time los Hello Time opción establece el tiempo entre la emisión de mensajes con fi guración Spanning Tree Protocol. los Hello Time sólo puede ser cambiado cuando se opera en el modo tradicional de STP. El valor por defecto es 2 segundos. El mínimo es 1
segundo y el máximo es 2 segundos.
prioridad del puente
los prioridad del puente para Árbol de expansión controla si o no este puente sería seleccionado para el primer caso de detectarse un bucle de bloqueo. El valor por defecto es 32768. El mínimo es 0 y el máximo es 61440. Los valores deben ser un múltiplo de 4096. prioridades más bajas se dan precedencia, y valores inferiores a 32768 indicar condiciones para ser un puente raíz.
la cuenta mantenida
la transmisión la cuenta mantenida para Spanning Tree es el número de paquetes transmitidos antes de ser tasa limitada. El valor por defecto es 6. El mínimo es 1 y el máximo es 10.
258
Capítulo 15. Bridging
El libro pfSense, Liberación
Prioridades de puerto
los Prioridad campos establecen la prioridad del árbol extensible para cada interfaz miembro de puente. prioridades más bajas se dan la preferencia al momento de decidir qué puertos para bloquear y que permanecen expedición. prioridad por defecto es 128, y debe estar entre
0 y 240.
costes de ruta
los Path Cost campos establece el coste de la ruta del árbol de expansión para cada miembro de puente. El valor por defecto se calcula a partir de la velocidad del enlace. Para cambiar un costo de ruta previamente seleccionada de nuevo a automático, establecer el costo de 0. El mínimo es 1 y el máximo es 200000000. caminos de menor costo se prefieren al tomar una decisión sobre qué puertos para bloquear y los que deben permanecer expedición.
Configuración de caché Tamaño del caché establece el tamaño máximo de la memoria caché de direcciones puente, similar al MAC o tabla CAM en un interruptor. El valor por defecto es 100 entradas. Si va a haber un gran número de dispositivos que se comunican a través del puente, ajuste este superior. entrada de caché de tiempo de expiración controla el tiempo de espera de entradas de caché de direcciones en cuestión de segundos. Si se establece en 0, entonces no se venció entradas de caché de direcciones. El valor por defecto es 240 segundos (cuatro minutos).
Puerto Span Selección de una interfaz como la puerto Span en el puente transmitirá una copia de cada trama recibida por el puente a la interfaz seleccionada. Esto es muy útil para husmear una red con puentes de forma pasiva en otro host conectado a los puertos de luz del puente con algo como Snort, tcpdump, etc. El puerto rango seleccionado no puede ser miembro de un puerto en el puente.
Edge Puertos / Puertos automáticas Edge Si una interfaz se configura como una puerto de borde, se supone siempre para ser conectado a un dispositivo final, y Nunca a un conmutador; Se asume que el puerto no puede crear un bucle de capa 2. Sólo establecer esto en un puerto cuando nunca estará conectado a otro switch. Por puertos predeterminados detectar automáticamente el estado del borde, y pueden seleccionarse en Auto Edge puertos a inhabilitar este comportamiento detección automática de bordes.
PTP Puertos / Puertos automático PTP Si una interfaz se configura como una puerto PTP, siempre se supone que está conectado a un conmutador, y no a un dispositivo de usuario final; Se supone que el puerto potencialmente puede crear un bucle de capa 2. Sólo debe estar habilitado en los puertos que están conectados a otros conmutadores habilitados para RSTP. Por puertos predeterminados detectar automáticamente el estado de PTP, y pueden seleccionarse en Auto puertos PTP a inhabilitar este comportamiento automático de detección de PTP.
Puertos pegajosas Una interfaz seleccionada en Puertos pegajosas tendrá sus direcciones aprendidas dinámicamente caché como si fueran estática vez que entran en la memoria caché. entradas pegajosas no se eliminan de la memoria caché de direcciones, incluso si aparecen en una interfaz diferente. Esto se podría utilizar una medida de seguridad para garantizar que los dispositivos no se pueden mover entre los puertos de forma arbitraria.
15.2. Opciones avanzadas Bridge
259
El libro pfSense, Liberación
Puertos privados Una interfaz marcado como Puerto privado No se comunicará con cualquier otro puerto marcado como Puerto Privado. Esto puede ser usado para aislar a los usuarios finales o secciones de una red entre sí si están conectados a los puertos de puente separados marcados de esta manera. Funciona de manera similar a “VLAN privada” o aislamiento del cliente en un punto de acceso inalámbrico.
Bridging e Interfaces Una interfaz de puente (por ejemplo, bridge0) en sí puede ser asignado como interfaz. Esto permite que el puente de actuar como una interfaz normal y tener una dirección IP que se le imponga en lugar de una interfaz de miembro.
Con fi gurar la dirección IP en el puente en sí es mejor en casi todos los casos. La razón principal de esto es debido al hecho de que los puentes son dependientes del estado de la interfaz sobre la que se asigna la dirección IP. Si la dirección IP para el puente es con fi gurado en una interfaz de miembro y que la interfaz está abajo, todo el puente será hacia abajo y ya no pasa de trá fi co. El caso más común de esto es una interfaz inalámbrica puenteada a una red LAN Ethernet NIC. Si la tarjeta de red LAN está desconectado, la radio estaría muerto a menos que la dirección IP se ha con fi gurado en la interfaz de puente y no LAN. Otra razón es que si limitadores deben ser utilizados para el control de trá fi co, entonces tiene que haber una dirección IP en la interfaz de puente para que funcionen correctamente. Igualmente,
El intercambio de misiones de interfaz Antes de entrar demasiado en hablar de moverse asignación de las interfaces puente, hay que señalar que estos cambios deben hacerse desde un puerto que está no involucrado en el puente. Por ejemplo, si la reducción de WLAN para LAN, realizar el cambio de WAN u otro puerto OPT. Alternativamente, descarga una copia de seguridad config.xml y hacer los cambios manualmente. El intento de hacer cambios a un puerto mientras que la gestión del cortafuego de ese puerto lo más probable es la pérdida resultado del acceso a la interfaz gráfica de usuario, dejando el cortafuego inalcanzable.
Fácil Método: Mover la configuración a la nueva interfaz La forma más fácil, aunque no la más rápida, ruta en la interfaz gráfica de usuario es eliminar la configuración de la interfaz LAN de forma individual (dirección IP, DHCP, etc) y luego activarlos en la interfaz de puente recién asignado.
Rápido, pero difícil: Reasignar el puente como LAN Aunque este método es un poco más complicado que mover los ajustes, puede ser mucho más rápido, especialmente en los casos en los que hay un montón de reglas fi cortafuego en LAN o un complejo con fi guración DHCP. En este método, se requiere algún aro de salto, pero en última instancia el puente termina como la interfaz LAN, y se conserva la dirección IP de la LAN, todas las reglas fi cortafuego antiguos, DHCP, y la otra interfaz con fi guración.
• Asignar y con fi gurar los miembros de puente que aún no han sido manipulados. Revisar los pasos a continuación para asegurar los ajustes de la interfaz son correctas, incluso si las interfaces ya han sido asignados y con fi gurada.
260
-
Navegar a Interfaces> (asignar)
-
Elegir la interfaz de la puertos de red disponibles lista
-
Hacer clic Añadir
-
Navegar a la página nueva configuración con fi interfaz, por ejemplo, Interfaces> OPT2
-
Comprobar Habilitar
-
Entrar a Descripción como WiredLAN2
Capítulo 15. Bridging
El libro pfSense, Liberación
-
establecer tanto Con IPv4 Tipo fi guración y Con IPv6 Tipo fi guración a Ninguna
-
desactive tanto Bloquear las redes privadas y redes de bloques Bogon Si está marcada
-
Hacer clic Salvar
-
Hacer clic Aplicar cambios
-
Repita para miembros de puente futuras adicionales sin asignar
• Crear el nuevo puente -
Navegar a Interfaces> (asignar) sobre el puentes lengüeta
-
Hacer clic Añadir para crear un nuevo puente
-
Entrar a Descripción, como Puente de LAN
-
Seleccione todos los nuevos miembros de puente EXCEPTO el LAN interfaz en el interfaces de miembros lista
-
Clic en Guardar
• Cambiar el fi ltrado puente sistema sintonizable desactivar miembro de interfaz fi ltrado -
Navegar a Sistema> Opciones avanzadas, sistema optimizables lengüeta
-
Busque la entrada de net.link.bridge.p l_member fi o crear una nueva entrada si no existe uno, usando ese nombre para el sintonizable
-
Hacer clic
-
Entrar 0 en el Valor campo
-
Hacer clic Salvar
para editar una entrada existente
• Navegar a Interfaces> (asignar) • Cambiar la asignación de LAN a bridge0 •
Hacer clic Salvar
•
Asignar y con fi gura la interfaz LAN de edad como se describió anteriormente, el establecimiento de sus tipos con fi guración IP para Ninguna
y nombrarlo WiredLAN • Editar el puente y seleccionar el recién asignado WiredLAN como un elemento de puente • Cambiar el fi ltrado puente sistema sintonizable para permitir que el puente interfaz de fi ltrado -
Usar el procedimiento descrito anteriormente, pero establecer net.link.bridge.p l_bridge fi a 1
Ahora la antigua interfaz LAN, junto con los nuevos miembros de puente, son todos en una capa común 2 con el puente asignado como LAN junto con los otros con fi guración.
Más rápida pero más di fi culto: Mano Editar con fi g.xml edición de la mano config.xml puede ser muy rápido para aquellos que están familiarizados con el formato de con fi guración en XML. Este método es fácil equivocarse, sin embargo, así que asegúrese de tener copias de seguridad y el soporte de instalación de cerca por si se comete un error. Cuando la edición de la mano config.xml para llevar a cabo esta tarea, haga lo siguiente:
• Asignar los miembros de puente adicionales y establecer sus tipos con fi guración IP para Ninguna • Crear el puente, incluyendo LAN y LAN2 y otros miembros de puente • Asignar el puente (por ejemplo, como OPT2) y permitir que, también con un con IP tipo fi guración de Ninguna • Descargar una copia de seguridad de config.xml de Diagnóstico> Backup / Restore
15.3. Bridging e Interfaces
261
El libro pfSense, Liberación
• Abierto config.xml en un editor de texto que comprende los finales de línea UNIX • Cambiar el LAN asignación a bridge0 • Cambiar la antigua LAN asignación a lo que solía ser el puente (por ejemplo, OPT2) • Editar el puente definición para referirse a OPT2 y no LAN • Guardar los cambios • Restaurar el editada config.xml de Diagnóstico> Backup / Restore El cortafuego se reiniciará con la configuración deseada. Monitorear la consola para asegurar los ajustes se aplicaron correctamente y que no se encuentran errores durante la secuencia de arranque.
Las direcciones MAC asignadas puente y de Windows La dirección MAC de un puente se determina al azar cuando se crea el puente, ya sea en el momento de arranque o cuando se crea un nuevo puente. Esto significa que en cada reinicio, la dirección MAC se puede cambiar. En muchos casos esto no importa, pero Windows Vista, 7, 8, 10 y utilice la dirección MAC de la puerta de entrada para determinar si están en una red específica. Si el MAC cambia, la identidad de red va a cambiar y su condición de organizaciones públicas, privadas, etc., puede ser necesario corregir. Para solucionar este problema, introducir una dirección MAC de la interfaz del puente asignado a la simulan. A continuación, los clientes siempre verán la misma MAC para la dirección de puerta de enlace IP.
Puente y fi rewalling Filtrado con funciones similares a las interfaces con puente interfaces de ruta, pero hay algunas opciones de con fi guración de alterar exactamente cómo se comporta el fi ltrado. Por defecto, las normas fi cortafuego se aplican en cada interfaz miembro del puente sobre una base de entrada, al igual que cualquier otra interfaz de enrutado.
Es posible decidir si el fi ltrado ocurre en las interfaces miembro de puente, o en la propia interfaz de puente. Esto es controlado por dos valores en Sistema> Avanzado sobre el sistema optimizables pestaña, como se ve en la figura Puente de filtrado optimizables . los net.link.bridge.p l_member fi controles ajustables o no las reglas serán honrados en las interfaces miembros de puente. Por defecto, este es el ( 1). los net.link.bridge.p l_bridge fi controles ajustables o no las reglas serán honrados en la propia interfaz de puente. Por defecto, este está apagado ( 0). Al menos uno de ellos debe establecerse en 1.
Fig. 15.1: Puente de Filtrado optimizables
Cuando fi ltrado en la propia interfaz de puente, trá fi co llegará a las reglas a medida que entra desde cualquier interfaz miembro. Las reglas siguen siendo considerados “de entrada” como cualquier otra norma de interfaz, pero funcionan más como un grupo de interfaces ya que las mismas reglas se aplican a cada interfaz miembro.
Macros de reglas de cortafuegos Sólo una interfaz de un puente tendrá un conjunto de direcciones IP, los otros no tienen ninguno. Por estas interfaces, sus macros fi cortafuego como dirección OPT1 y neta
OPT1 son inde fi nida ya que la interfaz no tiene una dirección y por lo tanto no subred. Si fi ltrado se realiza en elementos de puente, tenga en cuenta este hecho cuando la elaboración de reglas y una relación explícita de la subred o utilizar las macros para el interfaz donde reside la dirección IP.
262
Capítulo 15. Bridging
El libro pfSense, Liberación
Un puente entre dos redes internas Cuando puente entre dos redes internas como se describe en Puentes internos hay algunas consideraciones especiales para poder tomar por ciertos servicios en el cortafuego.
Nota: Hay requisitos y restricciones adicionales cuando la reducción de las interfaces inalámbricas debido a la forma 802.11 funciones. Ver Bridging e inalámbrico para más información.
DHCP y puentes internos Cuando la reducción de una red interna a otra, dos cosas deben hacerse. En primer lugar, asegúrese de que DHCP está funcionando solamente en la interfaz que contiene la dirección IP y no los miembros de puente sin una dirección. En segundo lugar, una regla adicional cortafuego puede ser necesario en la parte superior de las normas sobre las interfaces de miembros para permitir el tráfico DHCP fi co.
Nota: Esto sólo se aplica a fi ltrado que se realiza en las interfaces miembros, no fi ltrado realizado en el puente. Al crear una regla para permitir tráfico c en una interfaz, normalmente la fuente es específico ed similar a OPT1 subred de modo que sólo tráfico c de esa subred se deja fuera de ese segmento. Con DHCP, eso no es suficiente. Debido a que un cliente todavía no tiene una dirección IP, una solicitud de DHCP se realiza como una emisión. Para dar cabida a estas peticiones, crear una regla en las interfaces miembro de puente con los siguientes ajustes:
• Navegar a Cortafuegos> Reglas en la ficha para el miembro de puente
•
Hacer clic
Añadir añadir una nueva regla a la parte superior de la lista
• Protocolo: UDP • Fuente: 0.0.0.0 • Puerto de origen: 68 • Destino: 255.255.255.255 • Puerto de destino: 67 • Descripción que indica esta voluntad Permitir DHCP • Hacer clic Salvar y Aplicar cambios La regla se parecerá a la figura De reglas de cortafuegos para permitir DHCP .
Fig. 15.2: reglas de cortafuegos para permitir DHCP
Después de añadir la regla, los clientes en el segmento de puente será capaz de realizar con éxito las solicitudes al proceso de DHCP escucha en la interfaz a la que se tiende un puente.
15.5. Un puente entre dos redes internas
263
El libro pfSense, Liberación
DHCPv6 es un poco más complicado para permitir ya que se comunica hacia y desde ambas direcciones IPv6 de enlace local y multicast. Ver figura Regla
de cortafuegos para permitir tanto DHCP y DHCPv6 para la lista de reglas requeridas. Estos pueden ser simplificarse con alias en una o dos reglas que contienen la red fuente adecuada, red de destino, y los puertos.
Fig. 15.3: reglas de firewall para permitir que tanto DHCP y DHCPv6
interoperabilidad puente las interfaces con puente son diferentes de las interfaces normales en algunos aspectos, por lo tanto, hay algunas características que son incom- ble con el puente, y otros donde se deben realizar consideraciones adicionales para acomodar puente. Esta sección cubre características que funcionan de manera diferente con el puente que con las interfaces sin puente.
portal cautivo portal cautivo ( portal cautivo ) No es compatible con puente transparente, ya que requiere un IP en la interfaz siendo puenteado, que se utiliza para servir a los contenidos del portal, y que IP debe ser la puerta de entrada para los clientes. Esto significa que no es posible, por ejemplo, para tender un puente LAN y WAN y la esperanza de captar clientes con el portal. Esto puede funcionar cuando se enlaza múltiples local interfaces a todo ruta a través de pfSense (por ejemplo, LAN1, LAN2, LAN3, etc). Se trabajará si se asigna la interfaz de puente, la interfaz de puente tiene una dirección IP, y que la dirección IP se utiliza como puerta de entrada por los clientes en el puente. Ver El intercambio de misiones de interfaz para un procedimiento para colocar la dirección IP en una interfaz de puente asignado.
Alta disponibilidad Alta disponibilidad ( Alta disponibilidad ) No se recomienda con el puente en este momento. Algunos han tenido un éxito relativo con la combinación de los dos en el pasado, pero el gran cuidado se debe tomar para manejar bucles de Capa 2, que son inevitables en un escenario puente HA +. Cuando se puentean dos segmentos de red, que son, en efecto, fusionado en una sola red de mayor tamaño, como se ha discutido anteriormente en este capítulo. Cuando se añade HA en la mezcla, que significa que habrá dos caminos entre los interruptores para cada interfaz respectiva, creando un bucle.
switches gestionados pueden manejar esto con Spanning Tree Protocol (STP), pero switches no tienen defensas contra bucle. Si no se controla, un bucle traerá una red de rodillas y hacer que sea imposible pasar cualquier trá fi co. STP puede ser con fi gurada en los puentes para ayudar, aunque todavía puede haber resultados inesperados.
264
Capítulo 15. Bridging
El libro pfSense, Liberación
Multi-WAN puente transparente, por su naturaleza es incompatible con multi-WAN en muchos de sus usos. Cuando se utiliza de puente entre una WAN y una interfaz de LAN / OPT, comúnmente algo distinto de pfSense será la puerta de enlace por defecto para los hosts en la interfaz de puente, y que router es el único dispositivo que puede dirigir tráfico c de estos equipos. Esto no impide multi-WAN de ser utilizado con otras interfaces en el mismo cortafuego que no están puenteados, que sólo afecta a los anfitriones en las interfaces de puente donde utilizan algo más que pfSense como su puerta de enlace predeterminada. Si múltiples interfaces internas están puenteados juntos y pfSense es la puerta de enlace por defecto para los anfitriones en las interfaces con puente, a continuación, multi-WAN se puede utilizar el mismo que con interfaces no puenteado.
limitadores Para limitadores para funcionar con puente, el puente en sí debe ser asignado y la interfaz de puente deben tener la dirección IP y no una interfaz de miembro.
LAN NAT y proxies transparentes Por delante del puerto de la LAN, o proxies transparentes que utilizan redirecciones de puertos de LAN para capturar trá fi co, para funcionar en un escenario de puente, la situación es la misma que portal cautivo: Sólo funcionará para LAN bridges y no puentes WAN / LAN, la dirección IP debe estar en la interfaz de puente asignado, y que la dirección IP debe ser utilizado como puerta de entrada para los clientes locales.
Esto significa que un paquete como calamar no puede trabajar en un escenario fi cortafuegos transparente, donde se tiende un puente de LAN a una WAN.
Normalmente cada interfaz en pfSense representa su propio dominio de difusión con una subred IP única. En algunas circunstancias es deseable o necesario combinar múltiples interfaces en un único dominio de difusión, donde dos puertos en el cortafuego actuará como si están en el mismo interruptor, excepto tráfico c entre las interfaces pueden ser controlados con reglas fi cortafuego. Normalmente esto se hace para múltiples interfaces actúan como si estuvieran en la misma FL en red utilizando la misma subred IP y para que los clientes toda la difusión y multidifusión cuota de trá fi co.
Ciertas aplicaciones y dispositivos se basan en las emisiones a la función, pero estos se encuentran más comúnmente en entornos domésticos que los entornos corporativos. Para una discusión práctica, véase Bridging e inalámbrico . Para los servicios que se ejecutan en el cortafuego, puente puede ser problemático. Características tales como limitadores, portal cautivo, y proxies transparentes requieren especial con fi guración y gastos de envío para trabajar en redes con puentes. Específicamente, el puente en sí debe ser asignado y la única interfaz en el puente con una dirección IP debe ser el puente asignado. Además, a fin de que estas funciones trabajen, la dirección IP en el puente debe ser la dirección utilizada por los clientes como su puerta de enlace. Estas cuestiones se analizan más en profundidad en interoperabilidad puente .
Tipos de puentes Hay dos tipos distintos de puentes: puentes internos y puentes interna / externa. puentes internos se conectan dos interfaces locales tales como dos interfaces LAN o una interfaz LAN y una interfaz inalámbrica. puentes internos / externos se conectan una red LAN a una WAN dando lugar a lo que comúnmente se llama un “fi cortafuegos transparente”.
Puentes internos Con un puente de tipo interno, puertos en el cortafuego están vinculadas de tal manera que se comportan de manera similar a los puertos de conmutación, aunque con la capacidad de filtro de trá fi co en los puertos o puente y con un rendimiento mucho más bajo que un interruptor. El propio cortafuego es todavía visible a los clientes conectados locales y actúa como puerta de entrada, y tal vez de DNS y servidor DHCP. Los clientes de los segmentos de puente pueden incluso no saben que hay un cortafuego entre ellos.
15.7. Tipos de puentes
265
El libro pfSense, Liberación
Este tipo de con fi guración se elige comúnmente por los administradores para aislar y controlar una parte de la red, tal como un segmento inalámbrico, o para hacer uso de los puertos adicionales en el cortafuego en lugar de un interruptor adecuado, donde la instalación de un interruptor, no sería práctico. Aunque no se recomienda, este tipo de puente también se puede utilizar para unir dos redes remotas a través de ciertos tipos de conexiones VPN.
Ver también:
Los clientes con una pfSense Suscripción Oro puede acceder al Hangouts Archivo para ver el Hangouts se pueden 2015 sobre puntos de acceso inalámbricos que incluyen ejemplos prácticos de puentes de tipo interno.
Puentes internos / externos Un puente de tipo interno / externo, también conocido como un “fi cortafuegos transparente”, se utiliza para insertar un cortafuego entre dos segmentos sin alterar los otros dispositivos. Más comúnmente esto se utiliza para tender un puente sobre una WAN a una red interna de modo que la subred WAN se puede usar “dentro” del cortafuego, o internamente entre los segmentos locales como un filtro en línea. Otro uso común es para dispositivos detrás del cortafuego para obtener direcciones IP a través de DHCP desde un servidor ascendente en la WAN.
En una fi transparente cortafuegos con fi guración el cortafuego no recibe la fi tráfico C directamente o actuar como una puerta de enlace, simplemente inspecciona el tráfico c a medida que pasa a través del cortafuego.
Nota: Los dispositivos en el lado interno de este puente debe seguir utilizando la puerta de enlace ascendente como su propia puerta de enlace. No establecer cualquier dirección IP en el cortafuego como puerta de entrada para dispositivos en un puente transparente.
NAT no es posible con este tipo de puente porque NAT requiere ser dirigida a la dirección MAC del cortafuego directamente con el fin de entrar en vigor el trá fi co. Dado que el cortafuego no es la puerta de entrada, esto no sucede. Como tal, las reglas para capturar tráfico c tales como los utilizados por un proxy transparente no funcionan.
Puenteo y bucles de Capa 2 Cuando puente, se debe tener cuidado para evitar bucles de Capa 2, o un interruptor con fi guración debe estar en el lugar que se ocupa de bucles. Un bucle de capa 2 es cuando, ya sea directa o indirectamente, el conmutador tiene una conexión de nuevo a sí mismo. Si un cortafuego corriendo pfSense tiene interfaces puenteados juntos, y dos interfaces están conectados en el mismo interruptor en la misma VLAN, un bucle de capa 2 se ha creado. La conexión de dos cables de conexión entre dos interruptores también lo hace. switches gestionados emplean Spanning Tree Protocol (STP) para manejar este tipo de situaciones, ya que a menudo es deseable tener múltiples enlaces entre conmutadores, y la red no deben ser expuestos para completar colapso por alguien de conectar un puerto de red en otro puerto de red. STP no está activado por defecto en todos los switches gestionados, y casi nunca es disponible con switches no gestionados. Sin STP, el resultado de un bucle de capa 2 es marcos en la red dará la vuelta sin fin y la red cesarán completamente de funcionar hasta que se retira el bucle. Compruebe el interruptor de con fi guración para asegurar la función está habilitada y debidamente con fi gura.
pfSense permite STP en interfaces de puente para ayudar con bucles, pero todavía puede dar lugar a situaciones inesperadas. Por ejemplo, uno de los puertos de puente que cerraría sí mismo hacia abajo para detener el bucle, que podría causar tráfico c para detener fl debido inesperadamente o pasar por alto el cortafuego por completo.
En pocas palabras, puente tiene el potencial para fundir completamente la red a menos que se conecta a nadie dispositivos en el interruptor es cuidadoso.
266
Capítulo 15. Bridging
CAPÍTULO
DIECISÉIS
LAN virtuales (VLAN)
Terminología En esta sección se define la terminología necesaria para implementar correctamente las VLAN.
Canalizaciones Trunking se refiere a un medio de llevar a varias VLAN en el mismo puerto del conmutador físico. los marcos que salen de un puerto troncal están marcados con una etiqueta 802.1Q en la cabecera, lo que permite al dispositivo conectado a diferenciar entre varias VLAN. puertos troncales se utilizan para conectar múltiples conmutadores y para conectar todos los dispositivos que son capaces de etiquetado 802.1Q y que requieren el acceso a varias VLAN. Esto está limitado comúnmente para el cortafuego o enrutador que proporciona conectividad entre las VLAN, en este caso, pfSense, así como cualquier conexión a otros conmutadores que contienen múltiples VLANs.
ID de VLAN Cada VLAN tiene un número fi er identi (ID) para distinguir etiquetado tráfico c. Se trata de una serie
Entre 1 y 4094. La VLAN por defecto en los interruptores es VLAN 1, y esta VLAN no se debe usar al implementar VLAN trunking. Esto se discute más en VLAN y Seguridad . Además de evitar el uso de VLAN 1, números de VLAN se pueden elegir a voluntad. Algunos diseños comienzan con la VLAN 2 y el incremento por uno hasta que se alcanza el número necesario de VLAN. Otro diseño común es utilizar el tercer octeto en la subred de la VLAN como el ID de VLAN. Por ejemplo, si se utilizan 10.0.10.0/24, 10.0.20.0/24 y 10.0.30.0/24, es lógico utilizar VLAN 10, 20, y 30 respectivamente. Elegir un esquema de asignación de VLAN ID que tenga sentido para un diseño de red dada.
interfaz de padres La interfaz física donde una VLAN reside se conoce como su Interfaz padres. por ejemplo, igb0 o em0. Cuando las VLAN son fi con gurado en pfSense, cada uno se le asigna una interfaz virtual. El nombre de la interfaz virtual se hace a mano mediante la combinación del nombre de la interfaz parental más el ID de VLAN. Por ejemplo, para la VLAN 20 en igb0, es el nombre de interfaz igb0_vlan20.
Nota: La única función de la interfaz de los padres es, idealmente, para ser el padre de las VLAN definida de no utilizar directamente. En algunas situaciones esto va a funcionar, pero puede causar di fi cultades con interruptor de con fi guración, y requiere el uso de la VLAN por defecto en el puerto de enlace troncal, lo que es mejor evitar como se analiza en VLAN y Seguridad .
Puerto de acceso Un puerto de acceso se refiere a un puerto de switch que proporciona acceso a una única VLAN, donde los marcos
no están etiquetados con una cabecera 802.1Q. Los dispositivos de tipo cliente normales están conectados a los puertos de acceso, que comprenderán la mayoría de los puertos de los dispositivos de conmutación de puertos de acceso no es necesario el conocimiento de las VLAN o etiquetado. Ellos ven la red en su puerto de la misma como lo harían con un detector sin VLAN.
Doble etiquetado (QinQ) QinQ se refiere a la doble etiquetado de tráfico c, utilizando tanto un exterior e interior etiqueta 802.1Q. Esto puede ser útil en grandes entornos de ISP, otras redes muy grandes, o redes que deben llevar múltiples VLANs a través de un enlace que sólo admite una única etiqueta VLAN. Triple etiquetado también es posible. pfSense apoya QinQ, aunque no es una característica muy utilizada. Estos tipos de ambientes en general, necesitan el tipo de poder de enrutamiento que sólo un enrutador de gama alta ASIC-basa
267
El libro pfSense, Liberación
puede soportar, y QinQ añade un nivel de complejidad que es innecesario en la mayoría de los entornos. Para obtener más información acerca de con fi gurar QinQ en pfSense, véase pfSense QinQ Con fi guración .
VLAN privada (PVLAN) PVLAN, a veces llamado El aislamiento del puerto, se refiere a las capacidades de algunos cambia a hosts segmento dentro de una única VLAN. alberga normalmente dentro de una única función VLAN el mismo que el de los alojamientos de un único conmutador sin VLANs con fi gurada. PVLAN proporciona un medio de hosts ING prevenibles en una VLAN de hablar con cualquier otro host en esa VLAN, sólo se permite la comunicación entre ese anfitrión y su pasarela por defecto. Esto no es directamente relevante para pfSense, pero es una pregunta común. funcionalidad de switch como esta es la única manera de evitar la comunicación entre los hosts de la misma subred. Sin una función como PVLAN, ninguna red inalámbrica cortafuegos puede controlar trá fi co dentro de una subred, ya que nunca toca la puerta de enlace predeterminada.
VLAN y Seguridad Las VLAN son una gran manera de segmentar una red y aíslan subredes, pero hay problemas de seguridad que deben tenerse en cuenta al diseñar e implementar una solución que implica VLAN. VLAN no son inherentemente insegura, pero Miscon fi guración pueden dejar una red vulnerable. También ha habido problemas de seguridad en las implementaciones anteriores interruptor de proveedores de VLAN.
Zonas confían segregantes Debido a la posibilidad de Miscon fi guración, las redes de considerablemente diferentes niveles de confianza deben estar en conmutadores físicos separados. Por ejemplo, mientras que el mismo interruptor técnicamente podría ser utilizado con VLANs para todas las redes internas, así como la red fuera de las rewalls fi, que debe evitarse como una simple configuración Miscon fi del interruptor podría conducir a la ONU filtra el tráfico de Internet fi entrar en la red interna c. Como mínimo, utilizar dos interruptores en tales escenarios: uno para fuera del cortafuego y uno dentro del cortafuego. En muchos entornos, los segmentos de DMZ también se tratan por separado, en un tercer interruptor además de los interruptores de WAN y LAN. En otros, el lado WAN está en su propio interruptor, mientras que todas las redes detrás del cortafuego están en los mismos interruptores utilizando las VLAN.
El uso de la VLAN 1 por defecto Debido a la VLAN 1 es el valor predeterminado ( “nativa”) VLAN, puede ser utilizado de manera inesperada por el interruptor. Es similar al uso de una política predeterminada-permitir el cortafuego reglas en lugar de denegación predeterminada y seleccionar lo que se necesita. El uso de una VLAN diferente es siempre mejor, y asegurarse de que sólo los puertos se seleccionan que debe estar en esa VLAN, para un mejor acceso límite. Interruptores enviarán protocolos internos tales como STP (Spanning Tree Protocol), VTP (VLAN Trunking Protocol), y CDP (Cisco Protocolo Discover) no marcados sobre la VLAN nativa, donde los interruptores utilizan estos protocolos. En general, es mejor para mantener que interna tráfico c aislado de tráfico de datos fi c.
Si es necesario utilizar VLAN 1, tener mucho cuidado para asignar cada puerto en cada cambio a una VLAN diferente, excepto aquellos que deben estar en la VLAN 1, y no crean una interfaz de gestión para el cambio en la VLAN 1. La VLAN nativa de la grupo de interruptores también se debe cambiar a otro, sin uso, VLAN. Algunos conmutadores pueden no apoyan ninguna de estas soluciones, y por eso es por lo general más fácil de mover datos a una VLAN diferente en lugar de quejarse con la fabricación de la VLAN 1 disponible. Con VLAN ID 2 a 4094 para elegir, es sin duda mejor ignorar la VLAN 1 hora de diseñar un nuevo esquema de VLAN.
El uso de VLAN por defecto de un puerto troncal
Cuando VLAN etiquetada trá fi co se envía a través de un tronco en la VLAN nativa, las etiquetas en los paquetes que coincidan con la VLAN nativa pueden ser despojados por el interruptor para mantener la compatibilidad con las redes más antiguas. Peor aún, los paquetes que se doble etiquetados
268
Capítulo 16. LAN virtuales (VLAN)
El libro pfSense, Liberación
con la VLAN nativa y una VLAN diferente sólo tendrá la etiqueta VLAN nativa elimina cuando trunking de esta manera y cuando se procesa más tarde, que tráfico c puede terminar en una VLAN diferente. Esto también se llama “salto de VLAN”. Como se mencionó en la sección anterior, se asumirá ningún tráfico sin etiquetar c en un puerto troncal ser la VLAN nativa, lo que también podría solaparse con una interfaz VLAN asignada. Dependiendo de cómo maneja el interruptor de tales tra fi co y cómo es visto por pfSense, utilizando la interfaz directa podría dar lugar a dos interfaces de estar en la misma VLAN.
Limitar el acceso a los puertos troncales Debido a un puerto troncal puede hablar con cualquier VLAN en un grupo de interruptores de concentración de enlaces, posiblemente, incluso los que no están presentes en el interruptor de corriente en función de las configuraciones fi interruptor de la estafa, es importante que los puertos troncales físicamente seguro. También asegúrese de que no hay puertos con fi gurado para canalización de cableado que quedan desenchufado y permitieron que alguien podría enganchar en una sola, accidentalmente o no. Dependiendo del interruptor, puede apoyar la negociación dinámica de concentración de enlaces. Asegurarse de que esta funcionalidad está deshabilitado o adecuadamente restringido.
Otros problemas con los interruptores A través de los años ha habido informes de casos raros en los conmutadores basados en VLAN se han filtrado a través de trá fi co VLAN mientras que bajo cargas pesadas, o si una dirección MAC de un PC en una VLAN que se ve en otra VLAN. Estos problemas tienden a ser mayores con interruptores en obsoleta fi rmware o interruptores de muy baja calidad administrado. Estos tipos de problemas se resolvieron en gran medida hace muchos años, cuando este tipo de problemas de seguridad eran comunes. No importa qué interruptor fromwhat marca se utiliza para una red, la investigación para ver si se ha sometido a ningún tipo de pruebas de seguridad, y garantizar la última fi rmware se carga en el interruptor. Si bien estas cuestiones son un problema con el interruptor, y no pfSense, que son parte de la seguridad general de la red.
Muchos de los artículos aquí son específico a las marcas y modelos de interruptores particulares. Las consideraciones de seguridad difieren según el interruptor está utilizando en una red. Consulte la documentación para obtener recomendaciones sobre la seguridad de VLAN.
pfSense VLAN Con fi guración En esta sección se explica cómo las VLAN para con fi gurar en pfSense.
Consola de VLAN con fi guración Las VLAN pueden ser con fi gurada en la consola mediante el asignar Interfaces función. El siguiente ejemplo muestra cómo con fi gura dos VLAN, ID 10 y 20, con igb0 como la interfaz de los padres. Las interfaces VLAN se asignan como OPT1 y OPT2:
0) Salir (sólo SSH)
9) pfTop
1) Interfaces Asignar
10) Los registros de filtro
2) la interfaz conjunto (s) dirección IP
11) de reinicio webConfigurator
3) Cambiar contraseña webConfigurator
12) pfSense la consola de desarrollo
4) Restablecer los valores predeterminados de fábrica
13) Actualización de la consola
5) Sistema de reinicio
14) Disable Secure Shell (sshd)
6) Sistema de Halt
15) Restaurar configuración reciente
7) anfitrión Ping
16) de reinicio PHP-FPM
8) Shell
Introduzca una opción: 1 interfaces válidas son:
16.3. pfSense VLAN Con fi guración
269
El libro pfSense, Liberación
igb0
00: 08: A2: 09: 95: b5
(Arriba) de Intel (R) PRO / 1000 Conexión de red, Versión -
igb1
00: 08: A2: 09: 95: b6
(Arriba) de Intel (R) PRO / 1000 Conexión de red, Versión -
igb2
00: 08: A2: 09: 95: b1 (hacia abajo) de Intel (R) PRO / 1000 Conexión de red, Versión iGb3 00: 08: A2: 09: 95: B2 (hacia abajo) de Intel (R) PRO / 1000 Conexión de red, Versión iGb4 00: 08: A2: 09: 95: B3 (hacia abajo) de Intel (R) PRO / 1000 Conexión de red, Versión igb5 00: 08: A2: 09: 95: B3 (hacia abajo) de Intel (R) PRO / 1000 Conexión de red, Versión -
VLAN hacen necesario establecer primero? Si no va a utilizar VLAN, o sólo para interfaces opcionales, es típico que decir que no aquí y utilizar el webConfigurator para configurar las VLAN después, si es necesario. VLAN deben establecerse ahora [y | n]? y ADVERTENCIA: todas las VLAN existentes se borrarán si continúa! ¿Desea proceder [y | n]? y Capaz interfaces de VLAN: igb0
00: 08: A2: 09: 95: b5
(arriba)
igb1
00: 08: A2: 09: 95: b6
(arriba)
igb2
00: 08: A2: 09: 95: b1
iGb3
00: 08: A2: 09: 95: b2
iGb4
00: 08: A2: 09: 95: b3
(arriba)
igb5
00: 08: A2: 09: 95: b3
(arriba)
Introduzca el nombre de la interfaz principal para la nueva VLAN (o nada si ha terminado): igb2 introducir la etiqueta de VLAN (1-4094): 10
Capaz interfaces de VLAN: igb0
00: 08: A2: 09: 95: b5
(arriba)
igb1
00: 08: A2: 09: 95: b6
(arriba)
igb2
00: 08: A2: 09: 95: b1
iGb3
00: 08: A2: 09: 95: b2
iGb4
00: 08: A2: 09: 95: b3
(arriba)
igb5
00: 08: A2: 09: 95: b3
(arriba)
Introduzca el nombre de la interfaz principal para la nueva VLAN (o nada si ha terminado): igb2 introducir la etiqueta de VLAN (1-4094): 20
Capaz interfaces de VLAN: igb0
00: 08: A2: 09: 95: b5
(arriba)
igb1
00: 08: A2: 09: 95: b6
(arriba)
igb2
00: 08: A2: 09: 95: b1
iGb3
00: 08: A2: 09: 95: b2
iGb4
00: 08: A2: 09: 95: b3
(arriba)
igb5
00: 08: A2: 09: 95: b3
(arriba)
Introduzca el nombre de la interfaz principal para la nueva VLAN (o nada si terminó): interfaces VLAN: igb2_vlan10
etiqueta VLAN 10, la interfaz padres igb2
igb2_vlan20
etiqueta VLAN 20, la interfaz padres igb2
Si no se conocen los nombres de las interfaces, la detección automática puede
270
Capítulo 16. LAN virtuales (VLAN)
El libro pfSense, Liberación
utilizar en su lugar. Para utilizar la detección automática, desconecte todas las interfaces antes de pulsar 'A' para comenzar el proceso. Introducir el nombre de la interfaz WAN o 'a' para la detección automática (igb0 igb1 igb2 iGb3 iGb4 igb5 igb2_vlan10 igb2_vlan20 o a): igb1 Introduzca el nombre de la interfaz LAN o 'a' para la detección automática NOTA: esto permite que el modo completo cortafuegos / NAT. (Igb0 igb2 iGb3 iGb4 igb5 igb2_vlan10 igb2_vlan20 una o nada si ha terminado): igb0 Introducir el nombre de la interfaz 1 Opcional o 'a' para la detección automática (Igb2 iGb3 iGb4 igb5 igb2_vlan10 igb2_vlan20 una o nada si ha terminado): igb2_vlan10 Introduzca el nombre de la interfaz opcional de 2 o 'a' para la detección automática (igb2 iGb3 iGb4 igb5 igb2_vlan20 una o nada si terminó): igb2_vlan20 Introduzca el nombre de la interfaz opcional de 3 o 'a' para la detección automática (igb2 iGb3 iGb4 igb5 una o nada si terminó): Las interfaces serán asignados de la siguiente manera: WAN -> igb1 LAN -> igb0 OPT1 -> igb2_vlan10 OPT2 -> igb2_vlan20 ¿Desea proceder [y | n]? y configuración de la escritura ... hecho. En un momento, mientras que los ajustes se RECARGANDO ... hecho! Después de unos segundos, los ajustes fi cortafuego se recarga y el menú de la consola se vuelva a cargar.
Web interfaz VLAN con fi guración En el sistema utilizado para este ejemplo, WAN y LAN son asignados como igb1 y igb0 respectivamente. También hay una igb2
interfaz que se utiliza como la interfaz VLAN padres. Para con fi gurar las VLAN en la interfaz web pfSense:
• Navegar a Interfaces> (asignar) para ver la lista de interfaces. •
Haga clic en el VLAN lengüeta.
•
Hacer clic
Añadir para agregar una nueva VLAN
• Con fi gura la VLAN como se muestra en la figura Editar VLAN . Interfaz de padres La interfaz física sobre la cual se utilizará esta etiqueta VLAN. En este caso, igb2 etiqueta VLAN El número de VLAN ID, en este caso, 10 prioridad VLAN Deje el valor predeterminado, en blanco Descripción Parte del texto para identificar el propósito de la VLAN, tales como DMZ
• Hacer clic Salvar para volver a la lista de VLAN, que ahora incluye la VLAN que acaba de agregar 10. • Repetir el proceso para agregar VLANs adicionales, tales como VLAN 20. Éstos se pueden ver en la figura lista de VLAN Para asignar las VLAN a las interfaces:
16.3. pfSense VLAN Con fi guración
271
El libro pfSense, Liberación
Fig. 16.1: Editar VLAN
Fig. 16.2: Lista de VLAN
272
Capítulo 16. LAN virtuales (VLAN)
El libro pfSense, Liberación
• Navegar a Interfaces> (asignar) •
Haga clic en el Las asignaciones de interfaz lengüeta
• Seleccione la VLAN para añadir de la Puertos de red disponibles lista, como VLAN 10 en igb2 (DMZ)
•
Hacer clic
Añadir para asignar el puerto de red
• Repita los dos últimos pasos para asignar VLAN 20 en igb2 (Móviles) Cuando terminado, las interfaces se verá como la figura Lista de las interfaces con las VLAN
Fig. 16.3: Lista de los Interfaces con VLANs
Las interfaces OPT basada en VLAN se comportan como cualquier otra interfaz OPT hacen, lo que significa que deben estar habilitadas, con fi gura, tener reglas fi cortafuego añadido, y servicios como el servidor DHCP tendrán que ser con fi gurar si es necesario. Ver Interfaz de Con fi guración Fundamentos para más información sobre la con fi gurar las interfaces opcionales.
Cambiar la VLAN con fi guración En esta sección se proporciona orientación sobre la con fi gurar unas pocas variedades de interruptores para su uso con las VLAN. Esto ofrece orientaciones genéricas que se aplicará a la mayoría si no todos los interruptores 802.1Q capaces, a continuación, va a cubrir con fi guración en los interruptores fi cas de Cisco, HP, Netgear, y Dell. Tenga en cuenta que esto es lo mínimo con fi guración necesaria para la VLAN a la función, y que no muestra necesariamente el interruptor con guración fi seguro ideal para cualquier entorno específico. Una discusión a fondo de la seguridad del conmutador está fuera del alcance de este libro.
vista general con fi guración del interruptor Por lo general tres o cuatro cosas deben ser con fi gurada en los interruptores capaces de VLAN:
1. Añadir / definen las VLAN La mayoría de los interruptores tienen un medio de de fi nir una lista de con fi gurado VLAN, y deben ser añadidos antes de que puedan ser con fi gurada en cualquier puerto.
2. Con fi gura el puerto de enlace troncal
El puerto al que se conecta pfSense debe ser con fi gura como un puerto de enlace troncal, etiquetar todas las VLAN posibles en la interfaz.
16.4. Cambiar la VLAN con fi guración
273
El libro pfSense, Liberación
3. Con fi gura los puertos de acceso puertos con fi gurar para hosts internos como puertos de acceso en las redes VLAN se desea, con sin etiquetar VLAN.
4. Con fi gura el ID de VLAN de puerto (PVID) Algunos conmutadores requieren con fi gurar el PVID de los puertos de acceso. Este especí fi ca qué VLAN se utilizarán para el C Introducción tráfico que puerto del switch. Para algunos interruptores que este es un proceso de un solo paso, por con fi gurar el puerto como un puerto de acceso en una VLAN particular, se etiqueta automáticamente trá fi co que entra en ese puerto. Otros interruptores requieren que se trata de ficción con gurado en uno o dos lugares. Compruebe la documentación del conmutador para obtener más información si no es uno detallada en este capítulo.
conmutadores basados en Cisco IOS Con fi guración y el uso de VLAN en los switches de Cisco IOS es con un proceso bastante sencillo, teniendo sólo unos pocos comandos para crear y utilizar las VLAN, puertos troncales, y la asignación de puertos a las VLAN. Muchos interruptores de otros fabricantes se comportan de manera similar a IOS, y utilizarán casi la misma sintaxis si no es idéntico para con fi guración.
crear las VLAN VLAN se pueden crear de forma independiente, o el uso de protocolos de VLAN Trunk (VTP). El uso de VTP puede ser más conveniente, ya que se propagará automáticamente a la VLAN con fi guración a todos los interruptores en un dominio VTP, aunque también puede crear sus propios problemas de seguridad y abrir posibilidades para inadvertidamente acabando con la VLAN con fi guración. Con VTP, para agregar otra VLAN que sólo tiene que ser con fi gurada en un solo interruptor, y luego todos los demás interruptores de concentración de enlaces en el grupo pueden asignar puertos a esa VLAN. Si VLAN son con fi gurado de forma independiente, deben ser añadidos a cada interruptor con la mano. Consulte la documentación de Cisco en VTP para asegurar una utilización con fi guración de seguridad utilizado, y que no es propenso a la destrucción accidental. En una red con sólo unos pocos interruptores donde las VLAN no cambian con frecuencia,
VLAN independiente
Para crear las VLAN independientes: SO # base de datos de VLAN
sw (VLAN) # VLAN 10 de nombre "Servidores DMZ" sw (VLAN) # VLAN 20 de nombre "Teléfonos" sw (VLAN) # salida
VTP VLAN
Para configurar un interruptor para VTP y VLAN, crear una base de datos VTP en el interruptor principal y luego crear dos VLAN: SO # base de datos de VLAN
sw (VLAN) # servidor VTP sw (VLAN) # dominio VTP example.com sw (VLAN) # VTP SuperSecret contraseña sw (VLAN) # VLAN 10 de nombre "Servidores DMZ" sw (VLAN) # VLAN 20 de nombre "Teléfonos" sw (VLAN) # salida
274
Capítulo 16. LAN virtuales (VLAN)
El libro pfSense, Liberación
Con fi gura puerto de enlace troncal
Para pfSense, un puerto de switch no sólo tiene que estar en modo de enlace troncal, sino que también debe utilizar el etiquetado 802.1Q. Esto se puede hacer de esta manera:
SW # configure terminal sw (config) # interface FastEthernet 0/24 sw (config-if) # switchport modo del tronco sw (config-if) # switchport tronco encapsulación dot1q
Nota: En algunos interruptores nuevos Cisco IOS, el método de encapsulación ISL VLAN Cisco-propietario es obsoleto y ya no es compatible. Si un interruptor no permite la dot1q encapsulación opción con fi guración, sólo es compatible 802.1Q y la encapsulación no tiene por qué ser especi fi cado.
Agregar puertos a la VLAN Para agregar puertos a estas VLAN, para transferirlo como sigue:
SW # configure terminal sw (config) # interface FastEthernet 0/12 sw (config-if) el modo de acceso # switchport sw (config-if) acceso # switchport vlan 10
conmutadores basados Cisco CatOS La creación de VLAN en CatOS es un poco diferente, aunque la terminología es lo mismo que usar VLAN bajo IOS. VLAN independientes y VTP son posibles para mantener la base de datos de VLAN: #
servidor modo de ejemplo de dominio de VTP
#
establecer SuperSecret passwd VTP
#
configurar la VLAN 10 Nombre DMZ
#
configurar la VLAN 20 teléfonos de nombre
A continuación, con fi gurar un puerto troncal para manejar automáticamente cada VLAN:
#
establecer tronco 5/24 en dot1q 1-4094
A continuación, añadir los puertos a la VLAN:
#
establecer VLAN 10 5 / 1-8
#
establecer VLAN 20 5 / 9-15
HP ProCurve cambia HP ProCurve interruptores sólo admiten enlaces troncales 802.1Q, por lo que no se necesita con fi guración para la encapsulación. En primer lugar, SSH o Telnet en el interruptor y abrir el menú de gestión.
Habilitar el soporte de VLAN
En primer lugar, soporte VLAN se debe activar el interruptor, si no lo está ya:
1. Elegir Conmutar con fi guración 2. Elija Características avanzadas
16.4. Cambiar la VLAN con fi guración
275
El libro pfSense, Liberación
3. Elegir VLAN Menú ... 4. Elegir Soporte VLAN 5. Conjunto Habilitar VLAN a Sí si no lo es ya, y elegir un número de VLAN. Cada vez que se cambia este valor el interruptor debe ser reiniciado, por lo que asegurarse de que es lo suficientemente grande como para soportar la mayor cantidad de VLAN, según sea necesario.
6. Reinicie el interruptor para aplicar los cambios.
crear las VLAN Antes de las VLAN se pueden asignar a los puertos, se deben crear las VLAN. En el menú fi guración del interruptor con:
1. Elegir Conmutar con fi guración 2. Elija Características avanzadas
3. Elegir VLAN Menú ... 4. Elegir Nombres de VLAN
5. Elija Añadir 6. Introducir el VLAN ID, 10 7. Introduzca el nombre, DMZ
8. Elegir Salvar 9. Repita los pasos de Añadir a Salvar para cualquier VLAN restantes
Asignación de puertos a las VLAN Trunk
A continuación, con fi gurar el puerto de enlace troncal para el cortafuego, así como los puertos troncales que van a otros interruptores que contienen múltiples VLANs.
1. Elegir Conmutar con fi guración
2. Elija VLAN Menú ... 3. Elegir Asignación de puertos de VLAN
4. Elegir Editar 5. Encuentre el puerto para asignar
6. Prensa espacio en la VLAN por defecto hasta que muestre No
7. Mover a la columna para cada una de las VLAN en este puerto de enlace troncal, y Prensa espacio hasta que muestre Etiquetado. Cada VLAN en uso debe ser tocado en el puerto de enlace troncal.
Asignación de puertos de acceso a las VLAN
1. Elegir Conmutar con fi guración
2. Elija VLAN Menú ... 3. Elegir Asignación de puertos de VLAN
4. Elegir Editar 5. Encuentre el puerto para asignar
6. Prensa espacio en VLAN por defecto hasta que muestre No
276
Capítulo 16. LAN virtuales (VLAN)
El libro pfSense, Liberación
7. Mover a la columna para la VLAN a la que se le asignará este puerto 8. Prensa espacio hasta que muestre Sin etiquetar.
Los interruptores de Netgear Gestionados Este ejemplo es sobre una GS108Tv1, pero otros modelos de NETGEAR son todos muy similares, si no idénticas. También hay varios otros proveedores, incluyendo Zyxel que venden interruptores hechas por el mismo fabricante, utilizando la misma interfaz web con un logotipo diferente. Iniciar sesión en la interfaz web del interruptor para comenzar.
La planificación de la VLAN con fi guración
Antes de con fi gurar el interruptor, se requieren varios elementos:
1. El número de VLAN para con fi gurar 2. Los ID a utilizar para la VLAN 3. ¿necesita cada puerto del switch con fi gurar Para este ejemplo, se utiliza un orificio de 8 GS108Tv1, y será con fi gurada como se muestra en mesa Netgear GS108T Con fi guración de VLAN .
Tabla 16.1: Netgear GS108T VLAN Con fi guración puerto del switch
modo VLAN VLAN asignada
1
el maletero
10 y 20, etiquetado
2
acceso
10 sin etiquetar
3
acceso
10 sin etiquetar
4
acceso
10 sin etiquetar
5
acceso
20 sin etiquetar
6
acceso
20 sin etiquetar
7
acceso
20 sin etiquetar
8
acceso
20 sin etiquetar
Habilitar VLAN 802.1Q Para con fi gurar el interruptor de utilizar VLAN trunking 802.1Q:
• Navegue hasta la Sistema menú de la parte izquierda de la página • Hacer clic Ajuste Grupo de VLAN, como se indica en la figura Grupo VLAN Configuración .
Fig 16.4:. Grupo VLAN Marco
• Seleccionar IEEE 802.1Q VLAN (Figura Habilitar VLAN 802.1Q ). •
Hacer clic DE ACUERDO para confirmar el cambio a trunking 802.1Q, como se muestra en la figura Con fi rm a cambio de VLAN 802.1Q .
Después de hacer clic en OK, la página se actualizará con el 802.1Q VLAN con fi guración como se muestra en la figura Predeterminado 802.1Q Con fi guración .
16.4. Cambiar la VLAN con fi guración
277
El libro pfSense, Liberación
Fig. 16.5: Activar 802.1Q VLANs
Fig. 16.6: Con cambio fi rm a 802.1Q VLAN
Fig. 16.7: 802.1Q predeterminado Con fi guración
278
Capítulo 16. LAN virtuales (VLAN)
El libro pfSense, Liberación
Añadir VLAN Para este ejemplo, dos VLAN se añaden con IDs 10 y 20. Para agregar una VLAN:
• Haga clic en el Gestión de VLAN desplegable •
Hacer clic Añadir nueva VLAN como se muestra en la figura Añadir nueva VLAN .
Fig. 16.8: Añadir nueva VLAN
• Introduzca el ID de VLAN para esta nueva VLAN, tales como 10 • Hacer clic Aplicar. La pantalla de VLAN está ahora listo para con fi gurar VLAN 10 ( Figura Añadir VLAN 10 ). •
Hacer clic Añadir nueva VLAN de nuevo como se muestra en la figura Añadir nueva VLAN para agregar VLAN 20 ( Figura Añadir VLAN 20 ).
Fig. 16.9: Añadir VLAN 10
Añadir tantas VLAN, según sea necesario, y luego continuar a la siguiente sección.
Con fi gura el etiquetado VLAN
Cuando una VLAN se selecciona del Gestión de VLAN desplegable, que muestra la forma en que VLAN es con fi gura en cada puerto:
• UN blanco caja significa que el puerto no es un miembro de la VLAN seleccionada.
• Una caja que contiene T significa la VLAN se envía en ese puerto con la etiqueta 802.1Q. • T indica que el puerto es un miembro de esa VLAN y que deja el puerto sin etiquetar.
16.4. Cambiar la VLAN con fi guración
279
El libro pfSense, Liberación
Fig. 16.10: Añadir VLAN 20
El puerto de enlace troncal debe tener ambas VLAN agregan y etiquetados.
Advertencia: No cambie la con fi guración del puerto que se utiliza para acceder a la interfaz web del interruptor! Esto bloqueará el administrador del interruptor. El único medio de recuperación en el GS108Tv2 está utilizando la restablecer los valores de fábrica botón, ya que no tiene una consola serie. Para los interruptores que tienen consolas de serie, llevar un cable de módem nulo útil en la conectividad de red con el caso se pierde el interruptor. Con fi gurar la VLAN de administración se expone más adelante en esta sección.
Haga clic en las casillas de debajo el número de puerto como se muestra en la Figura ref: fi gura-toggle-VLAN-pertenencia para alternar entre las tres opciones de VLAN.
Fig. 16.11: Toggle VLAN Membership
Con fi gura la VLAN 10 de miembro
Figura Con fi gura la VLAN 10 Membresía muestra VLAN 10 con fi gurada como se indica en la tabla tabla-NETGEAR-GS108T-vlancon fi guración. Los puertos de acceso en esta VLAN se establecen en sin etiquetar mientras que el puerto de enlace troncal se pone a etiquetadas.
Con fi gura la VLAN 20 de miembro
Seleccionar 20 desde la administración VLAN desplegable para con fi gurar la pertenencia a la VLAN de puerto para 20.
280
Capítulo 16. LAN virtuales (VLAN)
El libro pfSense, Liberación
Fig. 16.12: Con fi gura la VLAN 10 Membresía
Fig. 16.13: Con fi gura VLAN 20 Membership
cambio PVID
En los interruptores de Netgear, además del anteriormente con fi gura el etiquetado de los ajustes, el PVID también debe ser con fi gurado para especificar la VLAN se utiliza para las tramas que entran en un puerto:
• Seleccionar PVID de la Gestión de VLAN desplegable como se muestra en la figura Ajuste PVID .
Fig. 16.14: PVID Marco
El ajuste por defecto es PVID VLAN 1 para todos los puertos, como se muestra en la figura PVID predeterminado Con fi guración .
•
Cambiar el PVID para cada puerto de acceso, pero dejar el puerto de enlace troncal y el puerto utilizado para acceder a la interfaz de gestión interruptor en la posición 1.
Figura VLAN 10 y 20 PVID Con fi guración muestra el PVID con fi guración coincidir las asignaciones de puertos muestra en la Tabla Netgear GS108T VLAN
Con fi guración , con el puerto 8 que se utiliza para acceder a la interfaz de administración del conmutador.
16.4. Cambiar la VLAN con fi guración
281
El libro pfSense, Liberación
Fig. 16.15: Defecto PVID Con fi guración
Fig. 16.16: VLAN 10 y 20 PVID Con fi guración
• Aplicar cambios cuando terminado
Retire la VLAN 1 con fi guración
Por defecto, todos los puertos son miembros de la VLAN 1 con las tramas de salida sin etiquetar. Para eliminar la VLAN 1 de los otros puertos:
• Seleccionar 1 (Default) desde el Gestión de VLAN desplegable • Retire la VLAN 1 de todos los puertos excepto el utilizado para administrar el conmutador y el puerto de enlace troncal, para evitar ser desconectado.
En este ejemplo, el puerto 8 se utiliza para gestionar el cambio. Cuando terminado, la pantalla se verá como la figura Retire la VLAN 1 Membresía .
Fig. 16.17: Eliminar VLAN 1 Membership
• Aplicar cambios cuando terminado
Comprobar la funcionalidad de VLAN
Estafadores VLAN fi gurar en pfSense, incluido el servidor DHCP en las interfaces VLAN si es necesario. sistemas de enchufe en la fi gura puertos con acceso y conectividad de prueba. Si todo funciona como se desea, continúe con el siguiente paso. Si las cosas no funcionan como se pretende, revisa el etiquetado y PVID con fi guración en el interruptor, y la VLAN con fi guración y la asignación de las interfaces de pfSense.
282
Capítulo 16. LAN virtuales (VLAN)
El libro pfSense, Liberación
Dell PowerConnect switches gestionados La interfaz de administración de conmutadores Dell varía ligeramente entre los modelos, pero el procedimiento siguiente adecuarlas a la mayoría de los modelos. La con fi guración es bastante similar en estilo a Cisco IOS. En primer lugar, crear las VLAN:
consola # config (config) # base de datos de VLAN (config - VLAN) # VLAN 10 nombre de los medios de Ethernet DMZ (config - VLAN) # VLAN 20 teléfonos nombre ethernet medios (config - VLAN) # salida A continuación, configurar un puerto de enlace troncal:
(config) # interface Ethernet 1/1 (config-if) # switchport mode trunk (config-if) # switchport vlan permitido añadir 1-4094 etiquetados (config-if) # exit
Por último, añadir los puertos a las VLAN:
Ethernet (config) # interface 1/15 (config-if) # switchport vlan permitido añadir 10 consola sin etiquetar (config-if) # exit
pfSense QinQ Con fi guración QinQ, también conocido como IEEE 802.1ad o VLANs apilados, es un medio de VLAN de anidación etiquetada tráfico c dentro de paquetes que ya están VLAN Tagged, o “doble etiquetado” el tráfico c. QinQ se utiliza para mover grupos de VLAN a través de un único enlace que contiene una etiqueta exterior, como se puede encontrar en algunos ISP, Metro Ethernet, o enlaces de centros de datos entre localizaciones. Puede ser una forma rápida / fácil de trunking VLAN en lugares sin tener una conexión troncal con capacidad entre los sitios, siempre y cuando la infraestructura entre los lugares no elimina las etiquetas de los paquetes.
Configuración de interfaces de QinQ en pfSense es bastante simple:
• Navegar a Interfaces> (asignar) •
Haga clic en el QinQ lengüeta
•
Hacer clic
•
Con fi gura la entrada QinQ de la siguiente manera:
Añadir añadir una nueva entrada QinQ
Interfaz de padres La interfaz que llevará el QinQ trá fi co. etiqueta de primer nivel El ID de VLAN exterior en la interfaz QinQ, o el ID de VLAN dada por el proveedor para el enlace de sitio a sitio.
Añade interfaz para grupos de interfaz QinQ Cuando se activa, se creará un nuevo grupo de interfaces llamado QinQ que se puede utilizar para filtro de todas las subinterfaces QinQ a la vez. Cuando cientos o posiblemente miles de etiquetas QinQ están presentes, lo que reduce en gran medida la cantidad de trabajo necesario para utilizar las interfaces QinQ
Descripción Texto opcional para referencia, que se utiliza para identificar la entrada
16.5. pfSense QinQ Con fi guración
283
El libro pfSense, Liberación
Miembro (s) ID de VLAN para QinQ miembro de etiquetado. Esto se puede introducir una por fila haciendo clic Añadir etiqueta, o en rangos tales como 100-150
• Hacer clic Salvar para completar la interfaz En el siguiente ejemplo (Figura QinQ ejemplo básico ), una interfaz QinQ es con fi gurado para llevar etiquetada tráfico c para las VLAN 10 y 20 a través del enlace de iGb3 con una etiqueta de nivel primero de 2000.
Fig. 16.18: QinQ ejemplo básico
En figura Lista QinQ , esta entrada se muestra en la lista de resumen pestaña QinQ.
Fig. 16.19: Lista QinQ
El grupo automática de interfaz, que se muestra en la figura Grupo interfaz QinQ , no debe ser modificado manualmente. Debido a que estas interfaces no son asignados, no es posible realizar modificaciones en el grupo sin romperlo. Para volver a crear el grupo, eliminarlo de la lista y luego editar y guardar la instancia QinQ de nuevo para volver a agregarlo. Las reglas pueden ser añadidos a la QinQ lengüeta debajo Cortafuegos> Reglas para pasar tráfico c en ambas direcciones a través de los enlaces QinQ.
284
Capítulo 16. LAN virtuales (VLAN)
El libro pfSense, Liberación
Fig. 16.20: QinQ Grupo Interface
A partir de aquí, cómo se utilizan las interfaces QinQ es en su mayoría a las necesidades de la red. Lo más probable, las interfaces resultantes pueden ser asignados y luego con fi gurado de alguna manera, o puenteados a sus VLANs equivalentes locales (por ejemplo, tender un puente sobre un igb2_vlan10 asignado a igb3_2000_10 y así sucesivamente).
El QinQ con fi guración será más o menos igual en ambos extremos de la configuración. Por ejemplo, si ambos lados utilizan idénticas configuraciones de interfaz con fi, entonces tráfico c que deja sitio a cabo en igb3_2000_10 pasará a través de VLAN 2000 en iGb3, sale por el otro lado en la VLAN 2000 en iGb3 en el sitio B, y luego en igb3_2000_10 en el sitio B. VLANs permiten un interruptor para transportar múltiples dominios de difusión discretas, lo que permite un único interruptor para funcionar como si se tratara de múltiples interruptores. VLAN se utilizan comúnmente para la segmentación de la red de la misma manera que múltiples conmutadores pueden utilizarse: Para colocar hosts en un segmento c especificidad, aislado de otros segmentos. Cuando se emplea trunking entre conmutadores, dispositivos en el mismo segmento no tienen que residen en el mismo interruptor. Los dispositivos que admiten enlaces troncales también pueden comunicarse en múltiples VLAN a través de un solo puerto físico.
requisitos Hay dos requisitos, los cuales se deben cumplir para implementar VLAN. 1. conmutador con capacidad de VLAN 802.1Q
Cada switch gestionado decente fabricado en los últimos 15 años es compatible con 802.1Q VLAN trunking. Advertencia: VLAN no poder ser utilizado con un conmutador no administrado.
2. adaptador de red capaz de etiquetado VLAN Se requiere una tarjeta de red que soporta el hardware etiquetado VLAN o tiene un apoyo a largo marco. Cada trama de VLAN tiene una etiqueta de 802.1Q 4 byte añadido en la cabecera, por lo que el tamaño del marco puede ser de hasta 1522 bytes. Un etiquetado VLAN soporte de hardware NIC o marcos largos se requiere debido a que otros adaptadores no funcionarán con los marcos más grandes de lo normal 1.518 bytes máximorendimiento 1500 MTU de Ethernet. Esto causará grandes marcos que se cayó, lo que provoca problemas de rendimiento y estancamiento conexión.
Nota: Si un adaptador aparece como teniendo un apoyo a largo marco no garantiza la implementación específico de ese chipset NIC soporta adecuadamente los marcos largos. Realtek rl (4) NIC son los mayores infractores. Muchos trabajarán definir, pero algunos no apoyar adecuadamente marcos largos, y algunos no aceptará 802.1Q tramas etiquetadas en absoluto. Si se encuentran problemas usando una de las NIC que figuran en la ayuda del marco de largo, se recomienda tratar una interfaz con el hardware de etiquetado VLAN de apoyo en su lugar. No tenemos conocimiento de ningún problemas similares con tarjetas de red que figuran en el soporte de hardware VLAN.
interfaces Ethernet con soporte de hardware de VLAN:
16.6. requisitos
285
El libro pfSense, Liberación
ae (4), la edad (4), alc (4), ale (4), bce (4), bge (4), BXE (4), cxgb (4), cxgbe (4), em (4), igb (4), ixgb (4), ixgbe (4), jme (4), msk (4), mxge (4), nxge (4), ESN (4), Re (4), sge (4), Stge (4), Ti (4), TXP (4), vge (4). interfaces Ethernet con la ayuda del marco de largo: ax (4), bfe (4), CAS (4), dc (4), et (4), fwe (4), fxp (4), gema (4), HME (4), le (4), NFE (4), NVE (4), rl (4), sf (4), sis (4), sk (4), ste (4), tl (4), tx (4), vr (4), TEV (4), xl (4).
286
Capítulo 16. LAN virtuales (VLAN)
CAPÍTULO
DE DIECISIETE
Conexiones WAN MÚLTIPLES
Multi-WAN Terminología y conceptos Esta sección cubre la terminología y los conceptos necesarios para comprender desplegar múltiples WAN con pfSense.
De tipo WAN Interface Una interfaz de tipo WAN es una interfaz a través del cual se puede llegar a la Internet, directa o indirectamente. La fi cortafuegos trata cualquier interfaz con una puerta de enlace seleccionado en su Interfaces página del menú como una WAN. Por ejemplo, con una dirección IP estática de la WAN, Interfaces> WAN ha seleccionado una puerta de enlace, tal como WAN_GW. Si esta selección de puerta de enlace no está presente, entonces la interfaz será tratada como una interfaz local. No seleccione una puerta de entrada en el Interfaces entrada del menú para las interfaces locales. interfaces de dirección IP dinámica como DHCP y PPPoE reciben una puerta de enlace dinámico de forma automática y se tratan siempre como WAN.
La presencia de una puerta de enlace en la interfaz con fi guración cambia el comportamiento cortafuego en tales interfaces de varias maneras. Por ejemplo, las interfaces con un conjunto de puerta de enlace tienen responder a en sus reglas de cortafuego, que se utilizan como interfaces de salida para salida automática y híbrido NAT, y se tratan como WANs por el asistente de tráfico c talladora.
Nota: interfaces locales y otras pueden tener una puerta de entrada definida bajo Sistema> Routing, mientras que la puerta de enlace no se elige bajo su interfaz con fi guración, por ejemplo en Interfaces> LAN.
la política de enrutamiento Política de encaminamiento se refiere a un medio de encaminamiento de tráfico c por más que la dirección IP de destino del tráfico c, como se hace con la tabla de enrutamiento en la mayoría de sistemas operativos y routers. Esto se logra mediante el uso de una política de algún tipo, por lo general fi cortafuegos reglas o una lista de control de acceso. En pfSense, la Puerta campo disponible al editar o añadir reglas fi cortafuego permite el uso de la política de enrutamiento. los Puerta campo contiene todas las pasarelas de fi nido en el cortafuego bajo Sistema
>
enrutamiento, más cualquier grupos de puerta de enlace.
Política de encaminamiento ofrece un medio poderoso de dirigir tráfico c a la interfaz WAN apropiado o otra puerta de enlace, ya que permite a juego nada una regla fi cortafuegos puede igualar. Caciones hosts fi c, subredes, protocolos y más se pueden utilizar para dirigir tráfico c.
Nota: Recuerde que todas las reglas fi cortafuego incluyendo las reglas de políticas de encaminamiento se procesan en orden de arriba hacia abajo, y el primer partido de fi gana.
287
El libro pfSense, Liberación
Grupos de puerta de enlace
grupos de puerta de enlace definen cómo un conjunto seleccionado de pasarelas proporcionan una funcionalidad de conmutación por error de equilibrio y / o carga. Se con fi gurado bajo Sistema> Routing, sobre el Grupos de puerta de enlace lengüeta.
conmutación por error conmutación por error se refiere a la capacidad de utilizar sólo una conexión WAN, pero cambiar a otra WAN si falla la conexión preferida. Esto es útil para situaciones en cierta trá fi co, todas de trá fi co, debe utilizar uno especí fi co conexión WAN a menos que no esté disponible.
Ver también:
Al fracaso de una fi cortafuegos a otro, en lugar de uno PÁLIDO a otro, consulte Alta disponibilidad .
Balanceo de carga los Balanceo de carga funcionalidad en pfSense permite tráfico c a ser distribuido a través de múltiples conexiones WAN de un modo round-robin. Esto se realiza en una conexión per- base. Si una puerta de enlace que forma parte de un grupo de equilibrio de carga de falla, la interfaz se marca como hacia abajo y se retira de todos los grupos hasta que se recupere.
Supervisar las direcciones IP Cuando con fi gurar conmutación por error o el balanceo de carga, cada puerta de enlace está asociado con una dirección IP del monitor ( monitor de IP ). En un típico con fi guración, pfSense ping a esta dirección IP y si deja de responder, la interfaz está marcado como hacia abajo. Opciones en el grupo de puerta de enlace se pueden seleccionar diferentes factores desencadenantes de fallo, además de la pérdida de paquetes. Los otros factores desencadenantes son de alta latencia, una combinación de cualquiera de pérdida de paquetes o de alta latencia, o cuando el circuito está abajo.
Lo que constituye un fracaso? El tema es un poco más complejo que “si hace ping a la IP del monitor fallan, la interfaz se marca como hacia abajo.” Los criterios actuales para un fracaso dependen de las opciones elegidas al crear el grupo de puerta de enlace y los ajustes individuales en una puerta de enlace.
Los ajustes para cada puerta de enlace que controlan cuándo se considera arriba y hacia abajo se discuten en todos Avanzado . Los umbrales para la pérdida de paquetes, latencia, el tiempo de inactividad, e incluso el intervalo de sondeo de la puerta de entrada son todos individualmente con- fi gurable.
Matar Estado / conmutación forzada Cuando una puerta de enlace ha fallado, pfSense, opcionalmente, puede ras todos los estados para obligar a los clientes a volver a conectar, y al hacerlo, se utilizará una puerta de entrada que está en línea en lugar de una puerta de enlace que está abajo. Actualmente esto sólo funciona en un solo sentido, lo que significa que puede mover las conexiones fuera de una puerta de enlace en su defecto, pero no puede obligarlos a volver si la puerta de entrada original, viene de nuevo en línea.
Este es un comportamiento opcional, activado por defecto. Para obtener información sobre cómo cambiar este ajuste, consulte Monitoreo de puerta de enlace .
288
Capítulo 17. Las conexiones WAN múltiples
El libro pfSense, Liberación
Puerta de enlace predeterminada de conmutación Traf fi que sale de la fi cortafuegos en sí se utilice la entrada de defecto a menos que una ruta estática envía el paquete a lo largo de un camino diferente c. Si la puerta de enlace predeterminada está en una WAN que está abajo, demonios en el cortafuego serán incapaces de realizar conexiones salientes, dependiendo de las capacidades del demonio y su con fi guración. Cuando Puerta de enlace predeterminada de conmutación ( Puerta de enlace predeterminada de conmutación ) está activada, la puerta de enlace predeterminada para el cortafuego se cambiará a la siguiente puerta de enlace disponible si falla la puerta de enlace predeterminada normal, y luego cambió de nuevo cuando esa WAN se recupere.
Política de Enrutamiento, equilibrio de carga y conmutación por error Estrategias En esta sección se proporciona orientación sobre objetivos comunes Multi-WAN y cómo se logra con pfSense.
La agregación de ancho de banda Uno de los deseos primarios con multi-WAN es la agregación de ancho de banda. Con equilibrio de carga, pfSense puede ayudar plish acompa- este objetivo. Hay, sin embargo, una advertencia: Si el cortafuego tiene dos circuitos de 5 Mbps WAN, no se puede obtener 10 Mbps de rendimiento con una soltero conexión del cliente. Cada conexión individual debe estar atado a una sola especificidad c WAN. Esto es cierto para cualquier solución multi-WAN que no sea MLPPP. El ancho de banda de dos conexiones de Internet diferentes no puede ser agregado en una única gran “tubo” sin la participación del ISP. Con el equilibrio de carga, ya que las conexiones individuales están equilibrados de manera round-robin, 10 Mbps de rendimiento sólo puede lograrse usando dos 5 Mbps circui- tos cuando se trata de múltiples conexiones. Las aplicaciones que utilizan múltiples conexiones, como muchos aceleradores de descarga, serán capaces de conseguir la capacidad de producción combinada de los dos o más conexiones.
Nota: Multi-Link PPPoE (MLPPP) es el único tipo de WAN que puede alcanzar un ancho de banda agregado total de todos los circuitos en un paquete, sino que requiere un apoyo especial del ISP. Para más información sobre MLPPP, véase Multi-Link PPPoE (MLPPP)
En redes con numerosas máquinas internas acceder a Internet, balanceo de carga llegará a velocidades cercanas a la puerta de rendimiento agregada mediante el equilibrio de las muchas conexiones internas a cabo todas las interfaces WAN.
La segregación de los servicios prioritarios
En algunas situaciones, un sitio puede tener una conexión a Internet fiable y de alta calidad que ofrece un ancho de banda bajo o alto costo para las transferencias excesivas, y otra conexión que es rápido pero de menor calidad (mayor latencia, jitter más o menos fiables). En estas situaciones, los servicios pueden ser segregada entre las dos conexiones de Internet por su prioridad. servicios de alta prioridad pueden incluir VoIP, trá fi co destinado a una red especí fi co, como un proveedor externo aplicación o protocolos especí fi cos utilizados por las aplicaciones críticas, entre otras opciones. Baja prioridad trá fi co comúnmente incluye cualquier fi tráfico permitido c que no coincide con la lista de alta prioridad trá fi co. reglas de encaminamiento de política puede ser configurado para dirigir la alta prioridad trá fi co a cabo la conexión a Internet de alta calidad, y el menor tráfico de prioridad fi co a cabo la conexión de menor calidad.
Sólo conmutación por error Hay escenarios donde sólo el uso de conmutación por error es la mejor práctica. Algunos usuarios pfSense tienen una conexión a Internet de respaldo secundario con un límite de ancho de banda bajo, como un módem 3G, y sólo quieren utilizar esa conexión si su conexión primaria falla, grupos de puerta de enlace con fi gurado para la conmutación por error se pueden lograr este objetivo.
Otro uso para la conmutación por error es garantizar un determinado protocolo o de destino siempre se utiliza sólo una WAN a menos que se pone.
17.2. Política de Enrutamiento, equilibrio de carga y conmutación por error Estrategias
289
El libro pfSense, Liberación
Costo desigual equilibrio de carga pfSense puede lograr el equilibrio de carga coste desigual mediante el establecimiento de los pesos apropiados en las puertas de enlace como se discute en Peso . Mediante el establecimiento de un peso en una puerta de enlace, se utiliza más a menudo en un grupo de puerta de enlace. Los pesos se pueden ajustar desde 1 a 30, permitiendo
Tabla 17.1: Coste de equilibrio de carga desigual
WAN_GW peso peso WAN2_GW WAN carga WAN2 carga 3
2
60%
40%
2
1
67%
33%
3
1
75%
25%
4
1
80%
20%
5
1
83%
17%
5
1
83%
17%
30
1
97%
3%
Tenga en cuenta que esta distribución es el equilibrio estrictamente el número de conexiones, que no toma en cuenta el rendimiento de interfaz. Esto significa que el uso de ancho de banda no será necesaria se distribuye por igual, aunque en la mayoría de los ambientes que se resuelve a ser distribuidos más o menos como con fi gurado con el tiempo. Esto también significa que si una interfaz se carga a su capacidad con una sola conexión de alto rendimiento, conexiones adicionales todavía serán dirigidos a esa interfaz.
Multi-WAN Advertencias y consideraciones Esta sección contiene la advertencias y consideraciones específica a la multi-WAN en pfSense.
Las WAN múltiples que comparten una única puerta de enlace IP Debido a la forma pf maneja las conexiones multi-WAN, tráfico c sólo puede ser dirigido utilizando la dirección IP de la pasarela de un circuito, que es ne fi para la mayoría de escenarios. Si el cortafuego tiene múltiples conexiones en el mismo ISP utilizando la misma subred y la dirección IP de puerta de enlace, como es común cuando se utilizan varios módems de cable, un dispositivo NAT intermedio debe ser utilizado en todos menos uno de ellos para que pfSense ve cada WAN puerta de entrada como dirección IP única. Cuando se utiliza el dispositivo NAT, puede ser con fi gurada para reenviar todo el trá fi co de nuevo a pfSense que puede ayudar con el uso de la WAN que para otros servicios. Sin embargo, algunos protocolos, tales como VoIP, tendrán problemas si utilizan una WAN con NAT en un ejemplo con fi guración.
Si es posible, póngase en contacto con el ISP y ellos tienen con fi gurar los circuitos WAN de tal manera que se encuentran en diferentes subredes que utilizan pasarelas.
Una excepción a esto es un tipo PPP WAN tales como PPPoE. PPP tipo WANs son capaces de tener la misma puerta de enlace en múltiples interfaces, pero cada entrada de puerta de enlace debe ser con fi gurada para utilizar una dirección IP del monitor diferente (véase monitor de IP ).
Múltiples WAN PPPoE Cuando múltiples líneas de PPPoE en el mismo ISP están presentes y el ISP apoya Multi-Link PPPoE (MLPPP), puede ser posible unir las líneas en un solo enlace agregado. Este enlace unido tiene el ancho de banda total de todas las líneas juntas en una sola WAN como se ve por pfSense. Con fi guración de MLPPP está cubierto de Multi-Link PPPoE (MLPPP) .
290
Capítulo 17. Las conexiones WAN múltiples
El libro pfSense, Liberación
Servicios locales y multi-WAN Hay algunas consideraciones con los servicios locales y multi-WAN, ya que cualquier trá fi co iniciada desde el fi cortafuegos en sí no se verán afectados por la política de enrutamiento con fi gurada en reglas interfaz interna. Trá fi co de la misma fi cortafuegos siempre sigue a la tabla de enrutamiento del sistema. Por lo tanto rutas estáticas se requieren en algunas circunstancias cuando se utiliza interfaces adicionales WAN, de lo contrario sólo la interfaz WAN con la entrada de defecto sería utilizado. En el caso de trá fi co iniciado en Internet con destino a cualquier interfaz WAN, pfSense utiliza automáticamente PF responder a
Directiva en todas las normas de interfaz de tipo WAN, lo que asegura la respuesta de trá fi co se envía de vuelta a la interfaz WAN correcta.
de resolución de DNS
La configuración predeterminada para la resolución DNS requieren Puerta de enlace predeterminada de conmutación para trabajar correctamente con Multi-WAN. Ver Puerta de enlace
predeterminada de conmutación para detalles. Como una alternativa al uso de conmutación de puerta de enlace por defecto, algunos cambios pueden ser hechos para hacer el Resolver DNS más complaciente a Multi-WAN, incluyendo la activación del modo de reenvío. Los detalles se describen más adelante en este capítulo.
DNS Forwarder Los servidores DNS utilizados por el promotor de DNS deben tener puertas de enlace de fi ne si utilizan una interfaz WAN OPT, tal como se describe más adelante en este capítulo. No hay otras advertencias al promotor de DNS en entornos multi-WAN.
DynDNS entradas DynDNS se pueden ajustar mediante un grupo puerta de entrada para su interfaz. Esto moverá una entrada de DynDNS entre las WAN en el modo de conmutación por error, lo que permite un nombre de host público a cambio de una WAN a otro en caso de fallo.
IPsec IPsec es totalmente compatible con multi-WAN. Una ruta estática se añade automáticamente para la dirección de pares de túnel remoto que apunta a la fi ed puerta de enlace WAN específico para garantizar el cortafuego envía tráfico c a cabo la ruta correcta cuando se inicia una conexión. Para las conexiones móviles, el cliente siempre inicia la conexión, y la respuesta de trá fi co se encamina correctamente por la tabla de estado.
Un túnel IPsec también se puede ajustar utilizando un grupo de puerta de enlace como su interfaz de conmutación por error. Esto se discute más en
Multi-WAN Entornos .
OpenVPN OpenVPN capacidades multi-WAN se describen en OpenVPN y Multi-WAN . Como IPsec, se puede utilizar cualquier red WAN o un grupo de puerta de enlace.
CARP y multi-WAN CARP es multi-WAN capaces, siempre y cuando todos los interfaces WAN utilizan direcciones IP estáticas y hay al menos tres direcciones IP públicas disponibles por la WAN. Esto se trata en Multi-WAN con HA .
17.3. Multi-WAN Advertencias y consideraciones
291
El libro pfSense, Liberación
IPv6 y Multi-WAN IPv6 también es capaz de realizar en una capacidad multi-WAN, pero por lo general requieren Red Pre fi x Traducción (TNP) en una o más redes WAN. Esto se explica con más detalle en Multi-WAN para IPv6 .
Resumen de los requisitos Multi-WAN Antes de cubrir la mayor parte de multi-WAN específica cs, aquí es un breve resumen de los requisitos para hacer una configuración multi-WAN mentado plenamente imple-:
•
Crear un grupo de puerta de enlace bajo Sistema> Enrutamiento sobre el grupos lengüeta
• Con fi gura el Resolver DNS o Forwarder para Multi-WAN, empezando por el establecimiento de al menos un servidor DNS único para cada puerta de enlace WAN bajo Sistema> Configuración general
•
Utilice el grupo puerta de enlace en reglas fi cortafuego LAN
Equilibrio de carga y conmutación por error con los Grupos de puerta de enlace Un grupo de puerta de enlace es necesario configurar un equilibrio de carga o de conmutación por error con fi guración. El grupo en sí no causa ninguna acción a tomar, pero cuando el grupo se utiliza más adelante, como en las reglas de enrutamiento fi cortafuego de política, que la define cómo los elementos que utilizan el grupo se comportará.
La misma puerta de enlace puede estar incluida en múltiples grupos, de modo que varios escenarios diferentes pueden ser con fi gurada al mismo tiempo. Por ejemplo, algunos tráfico c puede equilibrar la carga, y otra tráfico c puede utilizar conmutación por error, y la misma WAN puede ser utilizado en ambas capacidades mediante el uso de diferentes grupos de puerta de enlace.
Un ejemplo de configuración muy común que un cortafuegos de dos fi WAN contiene tres grupos:
• LoadBalance - Gateways para WAN1 y WAN2 tanto en el Nivel 1 • PreferWAN1 - Gateway para WAN1 en el Nivel 1 y Nivel 2 en WAN2 • PreferWAN2 - Gateway para WAN1 en el Nivel 2, y en el Nivel 1 WAN2
Con fi gurar un grupo de puerta de enlace para el equilibrio de carga o de conmutación por error
Para crear un grupo de puerta de enlace para el equilibrio de carga o de conmutación por error:
•
Navegar a Sistema> Grupos de enrutamiento, lengüeta
•
Hacer clic
•
Rellene las opciones de la página según sea necesario:
Añadir para crear un nuevo grupo de puerta de enlace
Nombre del grupo Un nombre para el grupo de puerta de enlace. El nombre debe tener menos de 32 caracteres de longitud, y
Sólo puede contener letras az, los dígitos 0-9, y un guión bajo. Este será el nombre utilizado para referirse a este grupo de puerta de enlace en el Puerta campo en las reglas fi cortafuego. Se requiere este campo. Nivel Elija la prioridad para puertas de enlace dentro del grupo. Dentro de los grupos de puerta de enlace, puertas de enlace están dispuestos en
Niveles. Niveles se numeran 1 mediante 5, y inferior se utilizan números primero. Por ejemplo, puertas de enlace en Tier 1 se utilizan antes de puertas de enlace en El nivel 2, y así. Vea las siguientes secciones para obtener más información sobre cómo utilizar las gradas.
292
Capítulo 17. Las conexiones WAN múltiples
El libro pfSense, Liberación
IP virtual Opcionalmente especí fi ca una dirección IP virtual para utilizar para una interfaz, si es que existe. Esta opción es utiliza para características tales como OpenVPN, lo que permite una dirección virtual fi específico a ser elegida, en lugar de utilizar sólo la dirección de interfaz directamente cuando una puerta de enlace específico está activo en el grupo. En la mayoría de los casos, esto se deja en el valor por defecto Dirección
interfaz. Nivel de disparo Decide cuándo marcar una puerta de enlace como hacia abajo. abajo miembro Marca la puerta de enlace como abajo sólo cuando está completamente hacia abajo, más allá de uno o
tanto de la mayor umbrales con fi gurado para la puerta de enlace. Esto llama la peor clase de fallos, cuando la puerta de entrada es totalmente insensible, pero puede pasar por alto cuestiones más sutiles con el circuito que pueden hacer inutilizable mucho antes de que la puerta de entrada llega a ese nivel.
Paquete perdido Marca la puerta de enlace como hacia abajo cuando la pérdida de paquetes cruza el umbral de alerta inferior edad (Véase Los umbrales de pérdida de paquetes ).
Alta latencia Marca la puerta de enlace como hacia abajo cuando la latencia cruza el umbral de alerta inferior
(Ver Los umbrales de latencia ). La pérdida de paquetes o de alta latencia Marca la puerta de enlace como hacia abajo para cualquier tipo de alerta.
Descripción Texto que describe el propósito de este grupo puerta de enlace.
•
Hacer clic Salvar
Balanceo de carga Cualquier par de puertas de enlace en el mismo nivel están carga equilibrada. Por ejemplo, si Puerta de enlace A, puerta de enlace B, y Puerta de enlace C son todos de nivel 1, las conexiones se equilibraría entre ellos. Gateways que son de carga equilibrada conmutación por error automáticamente entre sí. Cuando una puerta de enlace no se elimina del grupo, por lo que en este caso si uno cualquiera de A, B, o C descendieron, el cortafuego sería equilibrar la carga entre las puertas de enlace en línea restantes.
Equilibrio ponderada
Si dos redes WAN tienen que equilibrarse de manera ponderada debido a las diferentes cantidades de ancho de banda entre ellos, que pueden ser acomodados mediante el ajuste de la Peso parámetro en la puerta de enlace como se describe en Costo desigual equilibrio de carga
y Peso .
conmutación por error
Puertas de enlace en una inferior se prefieren número del nivel, y si están hacia abajo y luego las puertas de enlace de un nivel de número más alto se utilizan. Por ejemplo, si Una puerta de
enlace está en el Nivel 1, gateway B está en Tier 2, y Puerta de enlace C está en el nivel 3, a continuación, Una puerta de enlace se utilizaría primero. Si Una puerta de enlace se cae, entonces gateway B se utilizaría. Si ambos Una puerta de enlace y gateway B están abajo, a continuación, Puerta de enlace C se utilizaría.
Escenarios complejo / combinado Al extender los conceptos anteriores para el equilibrio de carga y conmutación por error, muchos escenarios complicados son posibles que combinan tanto el equilibrio de carga y conmutación por error. Por ejemplo, si Una puerta de enlace está en el Nivel 1, y gateway B y Puerta de enlace C están en Tier 2, a continuación, puerta de entrada D en el Nivel 3, el comportamiento siguiente: Una
puerta de enlace se prefiere por su propia cuenta. Si Una puerta de enlace
es hacia abajo, entonces tráfico c sería carga equilibrada entre gateway B y Puerta de enlace C. Si una de las gateway B o Puerta de enlace C bajar, la puerta de acceso en línea que queda en ese nivel aún sería utilizado. Si Puerta de enlace A, puerta de enlace B, y Puerta de enlace C
son todos abajo, trá fi co fallaría a Puerta de enlace D. Cualquier otra combinación de los anteriores se puede utilizar, con tal de que se puede disponer dentro del límite de 5 gradas.
17.5. Equilibrio de carga y conmutación por error con los Grupos de puerta de enlace
293
El libro pfSense, Liberación
Los problemas con el equilibrio de carga Algunos sitios Web almacenan información de sesión que incluye la dirección IP del cliente, y si una conexión posterior a ese sitio se encamina a cabo una interfaz WAN diferente utilizando una dirección IP pública diferente, el sitio no funcionará correctamente. Esto es cada vez más común con los bancos y otros sitios de mente de seguridad. Los medios sugeridos de trabajar alrededor de esto es crear un grupo de migración y tráfico directo fi co destinado a estos sitios para el grupo de conmutación por error en lugar de un grupo de equilibrio de carga. Como alternativa, realice la conmutación por error para todos HTTPS trá fi co.
La función de las conexiones adhesivas de PF tiene la intención de resolver este problema, pero ha sido históricamente problemático. Es seguro de usar, y debe aliviar este, pero también hay una desventaja de usar la opción pegajosa. Cuando se utilizan conexiones adhesivas, una asociación se mantiene entre la dirección IP
del cliente y un hecho puerta, no se basa en la de destino. Cuando la opción de conexiones pegajoso está activado, cualquier cliente dado no sería equilibrar la carga de conexiones entre sus múltiples redes WAN, pero estaría asociado con cualquier pasarela pasó a utilizar para su conexión primero. Una vez que todos los estados clientes han expirado, el cliente puede salir de una WAN diferente para su próxima conexión, lo que resulta en un nuevo emparejamiento de puerta de enlace.
Interfaz y DNS Con fi guración Los primeros dos artículos para con fi gura para Multi-WAN son Interfaces y DNS.
Interfaz Con fi guración Configuración de la WAN primaria como se describió previamente en Asistente de configuración . Entonces, para las interfaces WAN adicionales, realizar las siguientes tareas:
• Asignar las interfaces si aún no existen • Visita la entrada del menú para cada Interfaces WAN adicional (por ejemplo, Interfaces> OPT1) • Habilitar la interfaz •
Introduzca un nombre adecuado, tal como WAN2
• Seleccione el tipo deseado de la dirección IP con fi guración dependiendo del tipo de conexión a Internet. • Introduzca los detalles restantes para el tipo de WAN. Por ejemplo, en conexiones IP estática, llenar la dirección IP, máscara de subred, y añadir o seleccionar una puerta de enlace.
Servidor DNS Con fi guración Si el DNS Forwarder está en uso, o si la resolución DNS se utiliza en expedición el modo, pfSense debe ser con fi gurada con los servidores DNS de cada conexión WAN para asegurar que siempre es capaz de resolver de DNS. Esto es especialmente importante si la red interna utiliza el cortafuego para la resolución DNS. Si se utilizan los servidores DNS de un solo WAN, una interrupción de la conexión WAN que dará lugar a una interrupción completa de Internet, independientemente de la política de enrutamiento con fi guración desde el DNS ya no funcionará.
De resolución de DNS Con fi guración La resolución DNS puede trabajar con Multi-WAN sino todo lo con fi guración depende del comportamiento deseado y la configuración actual.
294
Capítulo 17. Las conexiones WAN múltiples
El libro pfSense, Liberación
Si DNSSEC debe ser utilizada y los servidores DNS con fi gura no son compatibles con DNSSEC, a continuación, el modo de expedición no se puede activar. Esto todavía puede funcionar con Multi-WAN pero requiere Puerta de enlace predeterminada de conmutación. Ver Puerta de enlace predeterminada de conmutación .
Si DNSSEC no es un requisito para este fi cortafuegos, o la DNSSEC apoyo servidores DNS con fi gurada, a continuación, el siguiente procedimiento puede llevarse a cabo en su lugar:
•
Establecer al menos un servidor DNS por debajo de la WAN Sistema> Configuración general, como se describe en la siguiente sección.
• Comprobar Habilitar el modo de reenvío debajo Servicios> Resolución DNS • Deseleccionar Habilitar el soporte DNSSEC Si la con fi gurado servidores DNS aguas arriba no son compatibles con DNSSEC
Los servidores DNS y rutas estáticas Cuando se utiliza el Forwarder DNS o de resolución de DNS en el modo de reenvío, pfSense utiliza su tabla de enrutamiento para llegar a los servidores DNS con fi gurado. Esto significa sin ningún tipo de rutas estáticas con fi gura, que se utilice únicamente la conexión primaryWAN para llegar a los servidores DNS. Puertas de enlace deben ser seleccionados para cada servidor DNS se ha definido en el cortafuego así que pfSense utilizará la interfaz WAN correcta para llegar a ese servidor DNS. Los servidores DNS que vienen de pasarelas dinámicas se enrutan automáticamente el camino correcto. Al menos una puerta de enlace de cada WAN debe seleccionarse cuando sea posible. Para con fi gurar las puertas de enlace del servidor DNS:
• Navegar a Sistema> Configuración general • De fi ne al menos una único servidor DNS para cada WAN (hasta cuatro). •
Para cada servidor de DNS, seleccionar una pasarela adecuada por lo que utiliza una especificidad c interfaz WAN
Nota: El mismo servidor DNS no se puede introducir más de una vez. Cada entrada debe ser único.
Selección de puertas de enlace para los servidores DNS es necesario por varias razones. Uno, la mayoría de los ISPs prohíben consultas recursivas de hosts fuera de su red, de ahí el cortafuego debe utilizar la interfaz WAN correcta cuando se accede a servidores de DNS para un ISP específico. En segundo lugar, si la WAN primaria falla y el cortafuego no tiene una puerta de entrada elegido para uno de los otros servidores DNS, el cortafuego perderá toda capacidad de resolución de DNS de la misma fi cortafuegos. El acceso a DNS se pierde en esa situación porque todos los servidores DNS serán inalcanzables cuando la puerta de enlace predeterminada es inalcanzable. Si se utiliza pfSense como un servidor DNS para la red local, esto se traducirá en un fracaso completo de DNS. Cuando se utiliza la resolución DNS con el modo de reenvío deshabilitado, la sin consolidar demonio habla directamente a los servidores DNS raíz y otros servidores DNS con autoridad, lo que hace que el uso de tales rutas estáticas y las asignaciones de puerta de enlace imposible. En ese caso, Puerta de enlace predeterminada de conmutación que se requiere para que el sin consolidar daemon puede mantener la conectividad de salida.
Escalar a un gran número de interfaces WAN Hay numerosos usuarios pfSense que despliegan 6-12 conexiones de Internet en una sola instalación. Un usuario pfSense tiene 10 líneas DSL porque en su país, es significativamente más barato conseguir diez conexiones 256 Kb de lo que es un 2,5 Mb conexión. Que el cliente utiliza pfSense para equilibrar la carga de un gran número de máquinas internas a cabo 10 conexiones diferentes. Para obtener más información sobre esta escala de implementación, consulte Multi-WAN en un palo más adelante en este capítulo.
Multi-WAN y NAT Las reglas NAT por defecto generados por pfSense se traducirán cualquier fi c tráfico dejando una interfaz de tipo WAN a esa dirección IP de la interfaz. En una interfaz de dos LAN y WAN con fi guración por defecto, se pfSense NAT Todo el trá fi co de la subred LAN salir de la interfaz WAN a la dirección IP WAN. Adición de más interfaces de tipo WAN extiende esta a NAT cualquier tráfico c
17.7. Multi-WAN y NAT
295
El libro pfSense, Liberación
dejando una interfaz de tipo WAN a esa dirección IP de la interfaz. Todo esto se realiza automáticamente a menos Manual de salida NAT está habilitado.
reglas fi cortafuego política de encaminamiento directo del trá fi co a la interfaz WAN usado y la salida y 1: 1 reglas NAT especifican cómo se traduce el trá fi co, ya que deja que la WAN.
Multi-WAN y Manual de salida NAT Si Manual de salida NAT debe ser utilizado con multi-WAN, aseguran reglas NAT son con fi gurada para todo tipo de WAN con interfaces.
Multi-WAN y el reenvío de puertos Cada puerto hacia adelante se aplica a una única interfaz WAN. Un puerto dado se puede abrir en múltiples interfaces WAN mediante el uso de entradas de avance múltiples puertos, una por la interfaz WAN. La forma más sencilla de lograr esto es:
•
Añadir un puerto de reenvío a la conexión WAN primera como de costumbre
•
Hacer clic
a la derecha de esa entrada para agregar otro puerto hacia adelante sobre la base de la seleccionada
• Cambiar el Interfaz a la WAN deseado •
Hacer clic Salvar
los responder a palabra clave en PF, que se utiliza en las reglas de interfaz de tipo WAN, asegura que cuando trá fi co viene en más de una especificidad c interfaz WAN, el retorno de trá fi co volverá a cabo la forma en que entró en el cortafuego. Así puerto remite se pueden utilizar de forma activa en todas las interfaces WAN en cualquier momento, independientemente de cualquier conmutación por error con fi guración que pueda estar presente. Esto es especialmente útil para servidores de correo, como una dirección en una WAN secundario puede ser utilizado como un MX de copia de seguridad, permitiendo que el sitio para recibir el correo, incluso cuando la línea principal está abajo. Este comportamiento es con fi gurable, para obtener información sobre esta configuración, consulte Responder a desactivar .
Multi-WAN y 1: 1 NAT 1: 1 entradas NAT son específica a una única interfaz WAN y, como saliente NAT, sólo controla lo que ocurre con tráfico c, ya que deja una interfaz. sistemas internos pueden ser con fi gurada con un 1: entrada NAT 1 en cada interfaz WAN o una relación 1: 1 de entrada en una o más interfaces WAN y utilizar el NAT de salida predeterminado en otros. Donde 1: 1 entradas son con fi gurado, que siempre tienen prioridad sobre cualquier otra de salida NAT con fi guración para esa interfaz específica. Si un dispositivo local siempre debe utilizar un 1: entrada NAT 1 en una especificidad c WAN, a continuación, tráfico c de ese dispositivo debe ser obligado a usar esa especificidad c puerta de enlace WAN.
Política de enrutamiento con fi guración En este punto, el cortafuego está preparado para Multi-WAN, pero aún no se utilizará. Traf fi c no fallará por encima o el equilibrio de carga sin reglas fi cortafuego de políticas de encaminamiento en su lugar.
Nota: Una posible excepción es si Puerta de enlace predeterminada de conmutación está habilitado ( Puerta de enlace predeterminada de conmutación ), en cuyo caso la conmutación por error todavía podría funcionar sin la política de enrutamiento.
296
Capítulo 17. Las conexiones WAN múltiples
El libro pfSense, Liberación
Con fi gurar reglas de firewall para la Política de Enrutamiento el establecimiento de un Puerta en una regla de cortafuego causará tráfico c búsqueda de la regla a usar la puerta de enlace o grupo elegido, siguiendo el comportamiento gurada con fi del grupo. La forma más fácil para con fi gura un cortafuego para el encaminamiento de política consiste en modificar la regla pase por defecto existente para la LAN y seleccione el grupo de puerta de enlace allí. Con ese conjunto, cualquier tráfico que coincida con el pase regla por defecto en la LAN c utilizará la pasarela o el grupo elegido. Para hacer que la edición:
• Navegar a Firewall> Reglas, LAN lengüeta
•
Hacer clic
en la fila con la regla pase por defecto
•
Hacer clic
mostrar avanzada debajo Opciones adicionales
• Seleccione el grupo de puerta de enlace deseado de la Puerta la lista desplegable •
Hacer clic Salvar
• Hacer clic Aplicar cambios Sólo la más básica de las implementaciones habrá satisfecho con que la con fi guración, la mayoría de las configuraciones fi son más complejas. Seguir leyendo para más factores que pueden requerir adicional con fi guración.
Sin pasar Política de Enrutamiento Si hay otras interfaces locales, redes privadas virtuales, interfaces MPLS, o tra fi co que de otra forma debe seguir la tabla de enrutamiento del sistema, a continuación, que tra fi co debe ser con fi gurado para omitir la política de enrutamiento. Esto es fácil de hacer por hacer una regla para que coincida con el trá fi co en cuestión y luego colocar esa regla encima las reglas que tienen una fi puerta de entrada con gurado, debido a que la primera regla fi para que coincida es el que se utiliza.
Esto se puede generalizar al hacer un alias para cualquier RFC1918 trá fi co que cubriría todas las redes privadas, y luego usar esa en una regla. El alias contiene 192.168.0.0/16, 172.16.0.0/12, y 10.0.0.0/8. En figura Política de enrutamiento Ejemplo reglas de omisión , tráfico c bypasses encaminamiento de política local y VPN, HTTPS tráfico c prefiere WAN2, y todo otro tráfico c es equilibrio de carga:
Fig. 17.1: Bypass política de enrutamiento Ejemplo Reglas
Mezcla de conmutación por error y equilibrio de carga Como se muestra en la figura Política de enrutamiento Ejemplo reglas de omisión , conmutación por error y equilibrio de carga se pueden utilizar al mismo tiempo ordenando cuidadosamente las reglas en una interfaz. Las reglas se procesan de arriba hacia abajo y los partidos ganados primeros. Por
17.8. Política de enrutamiento con fi guración
297
El libro pfSense, Liberación
la colocación de más reglas mercantiles cerca de la parte superior de la lista, y el “partido todos los” general de reglas de estilo en la parte inferior, son posibles cualquier número de diferentes combinaciones con reglas usando diferentes pasarelas o grupos.
La aplicación de puerta de enlace de Uso
Hay situaciones en las que tra fi co sólo se debe utilizar siempre una puerta de enlace y nunca equilibrar la carga o la conmutación por error. En este ejemplo, un dispositivo debe única salida a través de una WAN especí fi co y perder toda la conectividad WAN que cuando falla. En primer lugar, establecer el Puerta en una fi cortafuegos coincidente regla tráfico c de este dispositivo a una especificidad c WAN Gateway. Si la puerta de enlace que está abajo, la regla actuará como si la puerta no se ha establecido en absoluto, por lo que hay que tener un par de pasos más allá. Añadir una regla inmediatamente debajo de la regla que coincide con el trá fi co, pero ajustado a rechazar o bloquear en su lugar. Esta regla no debe tener un conjunto de puerta de enlace.
A continuación, con fi gura el cortafuego de omitir reglas para puertas de enlace que están abajo ( Monitoreo de puerta de enlace ):
• Navegar a Sistema> Avanzado sobre el Diverso lengüeta •
Comprobar No crear reglas cuando la puerta de enlace se ha reducido
•
Hacer clic Salvar
Con esta opción activada, la regla primera se omite por completo, cayendo a la siguiente regla de coincidencia. De esta manera, cuando la primera regla se omite automáticamente, trá fi co será detenido por la regla de bloqueo.
Funcionalidad verificar Una vez multi-WAN ha sido con fi gurado, la mejor práctica es entonces para probar su funcionalidad para verificar que funciona como se esperaba. Las siguientes secciones describen cómo probar cada parte de un multi-WAN con fi guración.
Pruebas de fallos Testing Multi-WAN de una manera controlada inmediatamente después con fi guración es un paso clave en el proceso. No cometa el error de esperar hasta una conexión a Internet falla, naturalmente, para la prueba primero, sólo para descubrir problemas cuando son mucho más di fi culto y estresante para fi x. En primer lugar, vaya a Estado> Gateways y asegurar que todas las puertas de enlace WAN son como espectáculo En línea debajo Estado, así como en el Grupos de puerta de enlace lengüeta. Si no lo hacen, verificar que una dirección IP correcta del monitor se usa como se indica en monitor de IP .
La creación de un fracaso de la WAN
Hay un número de maneras para simular un fallo de la WAN en función del tipo de conexión a Internet que se utiliza. Para cualquier tipo, en primer lugar tratar de desconectar el cable de interfaz Ethernet WAN objetivo del cortafuego.
Para las conexiones de cable y DSL, trate de apagar el módem / CPE, y en un ensayo separado, desconecte la línea coaxial o telefónico desde el módem. Para fi bra, sin cables, y otros tipos de conexiones con un router fuera de pfSense, intente desconectar la conexión a Internet desde el router, y también de apagar el propio router. Todos los escenarios de prueba descritos probablemente terminará con el mismo resultado. Sin embargo, hay algunas circunstancias en las que tratan todas estas cosas de forma individual será encontrar una falla que de otro modo no se han dado cuenta hasta que un fallo real. Uno de los más comunes es sin saberlo, utilizando una dirección IP del monitor asignado al módem DSL o por cable. De ahí que cuando se desconecta el cable coaxial o línea telefónica, simulando una falla proveedor en lugar de un fallo de Ethernet o módem, el ping monitor todavía tiene éxito, ya que se ping al módem. De lo que se le dijo pfSense para controlar, la conexión está todavía, por lo que no se producirá un error incluso en el caso de la conexión en sentido ascendente es realmente abajo. Hay otros tipos de
298
Capítulo 17. Las conexiones WAN múltiples
El libro pfSense, Liberación
fracaso que sólo puede similarmente ser detectado por la prueba todas las posibilidades individuales para el fracaso. La dirección IP del monitor se puede editar en la entrada de puerta de enlace como cubiertos en monitor de IP .
Verificación de estado de interfaz
Después de la creación de un fallo de la WAN, refrescar Estado> Gateways para comprobar el estado actual. A medida que el demonio de monitorización de puerta de enlace se da cuenta de la pérdida, la pérdida será finalmente dejar atrás los fi gurada umbrales de alarma estafadores y se marcan como no.
Comprobación de la funcionalidad de equilibrio de carga En esta sección se describe cómo verificar la funcionalidad de un balanceo de carga con fi guración.
Verificación de equilibrio de carga HTTP
La forma más fácil para verificar el equilibrio de carga HTTP es visitar un sitio web que muestra la dirección IP pública del cliente que se utiliza para acceder al sitio. Una página en el sitio pfSense está disponible para este propósito Y un sinnúmero de otros sitios ofrecen la misma funcionalidad. Búsqueda de “¿Cuál es mi dirección IP” y numerosos sitios web se devuelven que mostrará la dirección IP pública que realiza la solicitud HTTP. Muchos de estos sitios tienden a estar lleno de anuncios de spam, por lo que ofrecen un par de sitios que simplemente reportan la dirección IP del cliente:
• http://www.pfsense.org/ip.php • https://www.pfsense.org/ip.php • https://portal.pfsense.org/ip.php Los navegadores tienen un hábito de mantener las conexiones de servidor y almacenamiento en caché de resultados abierta, por lo que la mejor prueba basada en navegador es o bien cargar múltiples sitios, o para cerrar la ventana del navegador entre los intentos de cargar un sitio. Durante cada intento de conexión, una dirección IP diferente se debe mostrar si el equilibrio de carga está funcionando correctamente. Si otra trá fi co está presente en la red, la dirección IP no puede parecer que cambiar en cada carga de página. Repetir la prueba varias veces y la dirección IP debe cambiar al menos un par de veces.
Si la dirección IP no cambia nunca, intente varios sitios diferentes, y asegúrese de que el navegador realmente está solicitando la página de nuevo, y no devolver algo de su caché o el uso de una conexión permanente con el servidor. borrar manualmente la caché, cerrar y volver a abrir el navegador, y tratando de varios navegadores web son cosas buenas para intentar antes de solucionar el equilibrador de carga con fi guración más. Uso de enrollamiento como se describe en Verificación de
equilibrio de carga es una prueba mejor, ya que asegura caché y las conexiones persistentes no tendrá ningún impacto en los resultados.
pruebas de carga que balancea con traceroute
los traceroute utilidad (o tracert en Windows) muestra la ruta de la red llevado a un destino determinado. Ver utilizando traceroute para obtener más información sobre el uso traceroute. Con equilibrio de carga, la ejecución de un traceroute desde un sistema cliente detrás del cortafuego debe mostrar un camino diferente que se da por cada intento. Debido a la forma traceroute
funciones, espere al menos un minuto después de parar un traceroute antes de comenzar otra prueba para que los estados van a expirar, o probar diferentes destinos en cada intento.
Uso de Gráficos tráfico c Los gráficos de tráfico en tiempo real en virtud de c Estado> Traf fi c Gráfico y en la fi Traf c widget de panel gráficas son útiles para mostrar el rendimiento en tiempo real sobre interfaces WAN. Sólo un gráfico que a la vez puede ser mostrado por la ventana del navegador cuando se utiliza Estado> Traf fi c Gráfico, pero las ventanas o pestañas adicionales se pueden abrir en el navegador para ver toda la WAN
17.9. Funcionalidad verificar
299
El libro pfSense, Liberación
las interfaces simultáneamente. La fi tráfico flash gráficos c para el salpicadero permite la visualización simultánea de múltiples gráficos tráfico c en una sola página para simplificar este proceso. Si el equilibrio de carga está funcionando correctamente, se observó actividad en todas las interfaces WAN. Los gráficos RRD tráfico C bajo Estado> Monitoreo son útiles para más largo plazo y la evaluación histórica de la utilización de la WAN.
Nota: el uso de ancho de banda no puede ser exactamente igual distribuido, ya que las conexiones están simplemente dirigidas sobre una base de operación por turnos sin tener en cuenta el ancho de banda.
Solución de problemas En esta sección se describen algunos de los problemas más comunes con multi-WAN y cómo resolverlas.
Verificar las reglas de firewall con fi guración El error más común cuando se con fi gurar multi-WAN es reglas fi cortafuego indebidos. Recuerde, las victorias regla coincidente primeros y se ignoran cualesquiera otras normas. Si una regla de política de enrutamiento está por debajo de la norma de LAN predeterminada en la lista, sin trá fi co será nunca coincide con la regla, ya que coincidirá con el valor por defecto de LAN primera regla. revisión Política de enrutamiento con fi guración y verificar las reglas son correctas.
Si la norma imperativa y con fi guración parece correcta, puede ayudar a habilitar el registro en las reglas. Ver Solución de problemas de las reglas del cortafuegos para más información. Asegúrese de que la regla de encaminamiento de política apropiada está pasando el tráfico c.
la política de enrutamiento no funciona para todos los tra fi co trá fi co o Web Cuando un paquete de proxy transparente que puede capturar tráfico HTTP C se utiliza, como el calamar, anula las rutas de políticas que se definen para el tráfico de clientes fi co en ese puerto. Así que no importa qué puerta de enlace se establece en las reglas de cortafuego, trá fi co para HTTP (puerto TCP 80) todavía ir a través de calamares y seguir la ruta por defecto del cortafuego.
Conmutación por error no trabaja Si los problemas se producen cuando falla una conexión a Internet, por lo general es debido a que la dirección IP del monitor todavía está respondiendo, por lo que el cortafuego piensa que la conexión está disponible. Comprobar Estado> Gateways para verificar. Una dirección IP del módem se puede utilizar como un monitor de dirección de IP, que seguirán siendo accesibles incluso si la conexión a Internet está caída.
Balanceo de carga no funciona •
Compruebe que el Grupo Gateway es adecuadamente con fi gurada para el equilibrio de carga, con al menos dos puertas de enlace en el mismo nivel.
•
Comprobar que las normas fi cortafuego ser emparejado directo tráfico c al grupo de puerta de enlace de equilibrio de carga correcto.
• Compruebe que todas las puertas de enlace en la muestra colectiva como en línea bajo Estado> Gateways. No se utilizarán conexiones marcadas como de ine fi.
• Compruebe la metodología de prueba. En lugar de probar con un navegador web, intente probar con rizo como se describe en Verificación de equilibrio de carga .
• Compruebe que el trá fi co no está usando un proxy o de lo contrario se inicia a partir de un demonio en la misma fi cortafuegos.
300
Capítulo 17. Las conexiones WAN múltiples
El libro pfSense, Liberación
Una puerta de enlace no está marcado correctamente de ine fi
Si una puerta de entrada está catalogado como de ine fi, pero la WAN es realmente para arriba, varias cosas pueden estar en falta:
• En primer lugar, la prueba para ver si la dirección IP del monitor responde a un ping desde un dispositivo cliente en la LAN, y de nuevo de Diagnóstico> Ping. • Si el dispositivo con la dirección IP del monitor u otro salto intermedio desciende paquetes de solicitud de eco ICMP y sin una carga útil, pings manuales funcionarían, pero la vigilancia de puerta de enlace fallarían. Ver Los datos de carga útil y fijar la carga útil a un valor de 1 o mas alto.
• Si la dirección de puerta de enlace IP o el monitor no responde a las peticiones de eco ICMP, introduzca una dirección IP diferente monitor de usar en su lugar.
• Si la dirección IP del monitor es con fi gura como un servidor DNS para un diferente WAN, las rutas estáticas podría estar causando un con fl icto y las peticiones de eco a la puerta de enlace no puede estar siguiendo la trayectoria esperada. Establecer una dirección no conflictivos monitor de IP en la puerta de entrada.
• Si hay una regla NAT saliente en la WAN con una Fuente de alguna, puede causar problemas con tráfico c en el cortafuego, incluyendo el monitoreo tráfico c, porque eso también NAT tráfico c de la fi sí cortafuegos. Esto puede ser especialmente problemático si la dirección de origen se cambia a un VIP CARP. Fijar el saliente NAT. Si todo lo demás falla, es posible que el circuito es muy baja, pero la metodología de prueba parece mostrar hacia arriba. Comprobar la configuración de la interfaz y la puerta de enlace y ejecute la prueba de nuevo, y tratar traceroute para asegurarse de que el trá fi co se va utilizando la trayectoria esperada.
Ping funciona mediante la dirección IP, pero no la navegación web En este caso, la causa más probable es el DNS. Si la configuración de DNS fi cortafuego no coinciden con los de Interfaz y DNS Con fi guración , Los clientes pueden no ser capaces de resolver DNS cuando una WAN se ha reducido. Revise la configuración y fi x ningún problema en que se encuentran.
Multi-WAN en un palo En el mundo del router, Cisco y otros se refieren a un router de VLAN como un “router en un palo”, ya que puede ser un enrutador que funciona con sólo una conexión de red física. pfSense puede ser con fi gurado de esta manera, así, utilizando las VLAN y un conmutador administrado capaz de enlace troncal 802.1q. La mayoría de las implementaciones que se ejecutan más de 5 WAN utilizan esta metodología para limitar el número de interfaces físicas requeridas en el cortafuego. En una implementación de este tipo, las interfaces WAN todos residen en una interfaz física en el cortafuego, con la red interna (s) en las interfaces físicas adicionales. Figura Multi-WAN en un palo ilustra este tipo de implementación.
Multi-WAN para IPv6 Multi-WAN puede utilizarse con IPv6 siempre que el cortafuego está conectado a múltiples ISPs o túneles con direcciones estáticas.
Ver también:
Ver Conexión con un túnel de Service Broker de ayuda para configurar un túnel. Grupos de puerta de enlace funcionan de la misma para IPv6 como lo hacen para IPv4, pero las familias de dirección no se pueden mezclar dentro de un grupo. Un grupo debe contener solamente puertas de enlace IPv4, o solamente puertas de enlace IPv6.
A lo largo de esta sección “Segundo WAN” se refiere a la segunda o adicional interfaz con conectividad IPv6. Puede ser una interfaz real que tiene conectividad nativa, o una interfaz de túnel cuando se utiliza un agente de túnel.
17.11. Multi-WAN en un palo
301
El libro pfSense, Liberación
Fig. 17.2: Multi-WAN en un palo
advertencias En la mayoría de los casos, NAT no se utiliza con IPv6 en cualquier capacidad, ya que todo se encamina. Que es grande para la conectividad y para las empresas o lugares que pueden permitirse el espacio Proveedor Independiente (PI) y la dirección de un intercambio de BGP, pero no funciona en la práctica para usuarios de pequeñas empresas y el hogar.
Red Pre fi x Traducción (TNP) permite una subred a utilizar para LAN que tiene conectividad completa a través de su WAN nativa, sino que también se ha traducido en la conectividad de las redes WAN adicionales por lo que parece que se origina allí. Si bien no es cierto conectividad para la subred LAN a través de los caminos alternativos, es mejor que no tener conectividad en absoluto si la WAN principal está suspendido.
Advertencia: Esto no funciona para este tipo de IPv6 dinámicos donde la subred no es estática, como DHCP6-PD.
requisitos Para configurar Multi-WAN para IPv6 del cortafuego debe tener:
• conectividad IPv6 con direcciones estáticas en dos o más redes WAN • Gateways añadió a Sistema> Enrutamiento tanto para IPv6 WAN, y la conectividad con fi rmados en ambos. • A enrutado / 64 de cada proveedor / ruta •
LAN mediante un enrutamiento estático / 64 o similar,
Preparar La configuración para IPv6 Multi-WAN está muy cerca de la configuración de IPv4. La principal diferencia es que utiliza TNP en lugar de NAT.
302
Capítulo 17. Las conexiones WAN múltiples
El libro pfSense, Liberación
En primer lugar, en virtud de Sistema> Enrutamiento sobre el Grupos de puerta de enlace pestaña, añadir grupos puerta de enlace para las puertas de enlace IPv6, con la configuración de los niveles lo deseas. Esto funciona de forma idéntica a IPv4. A continuación, vaya a Sistema> General y establecer un conjunto servidor IPv6 DNS para cada WAN IPv6, también de forma idéntica a IPv4. Ahora añadir una entrada NPT bajo Firewall> NAT sobre el NPT pestaña, con la siguiente configuración:
Interfaz WAN secundaria (o túnel si se utiliza un broker)
Interna IPv6 Prefijo x los LAN subred IPv6
Destino IPv6 Prefijo x La segunda subred IPv6 WAN enrutada Nota: Esto es no el / 64 de la propia interfaz WAN - es el / 64 encamina al cortafuego en que WAN por el de aguas arriba.
Lo que esto hace es semejante a 1: 1 NAT para IPv4, sino para toda la subred. Como trá fi co deja la segunda WAN, si está viniendo de la subred LAN, será traducido a la dirección IP equivalente en la otra subred. Por ejemplo, si el cortafuego tiene 2001: xxx: yyy :: / 64 on LAN, y 2001: aaa: bbb :: / 64 en la segunda WAN, a continuación, 2001: xxx: yyy :: 5 aparecería como 2001: aaa: bbb :: 5 si el trá fi co se va por la segunda WAN. Para obtener más información sobre NPT, consulte IPv6 Red Pre fi x Traducción (TNP) .
Al igual que con IPv4, los Grupos de puerta de enlace debe ser utilizado en las reglas fi cortafuego LAN. Editar las reglas de LAN para IPv6 trá fi co y los puso a utilizar el grupo de puerta de enlace, asegurándose de tener reglas para subredes conectadas directamente / VPN sin establecer una puerta de entrada para que no sean enrutados política.
Las tácticas alternas Algunos usuarios prefieren para con fi gura LAN con una subred IPv6 “privado” de la FC00 :: / 7 el espacio y la configuración del TNP para ambas redes WAN.
Multi-Link PPPoE (MLPPP) Multi-Link PPPoE (MLPPP) es una opción única WAN que pueden unir entre sí varias líneas de PPPoE desde el mismo ISP para formar una más grande circuito virtual. Esto significa que un cortafuego puede obtener el verdadero ancho de banda agregado de todos los circuitos en el haz. Por ejemplo, si un cortafuego tiene tres líneas DSL / s 5 Mbit en un paquete, podría obtener potencialmente 15Mbit / s desde una sola conexión.
requisitos El mayor obstáculo para MLPPP es que el ISP debe apoyar en los circuitos conectados al cortafuego. Pocos ISPs están dispuestos a apoyar MLPPP, por lo que si un ISP está disponible que hace, sería digno de tomar ventaja de este hecho. Además, cada línea debe estar en una interfaz independiente conectado a pfSense.
Preparar
Configuración para MLPPP es muy simple:
• Con fi gura una WAN para una sola línea con las credenciales correctas • Navegar a Interfaces> Asignar, las APP lengüeta
•
Hacer clic
para editar la entrada para la WAN PPPoE
17.13. Multi-Link PPPoE (MLPPP)
303
El libro pfSense, Liberación
• Ctrl-clic para seleccionar las otras interfaces físicas que pertenecen al mismo conjunto de MLPPP •
Hacer clic Salvar
pfSense intentará entonces para unir las líneas utilizando MLPPP.
advertencias Una desventaja de usar MLPPP es que la resolución de problemas es mucho más di fi culto. Estadísticas y el estado no están disponibles para las líneas individuales. Para determinar el estado, leer el registro de PPP, ya que aún no es una forma de consultar las líneas por separado. En algunos casos es obvio que si una línea está abajo, ya que puede haber un problema notable en el módem (fuera de sincronización) o que el ancho de banda máximo alcanzable se reduce.
Las capacidades de WAN múltiples (multi-WAN) de pfSense permiten un cortafuego para utilizar múltiples conexiones a Internet para lograr la conectividad más fiable y una mayor capacidad de producción. Antes de proceder con un multi-WAN con fi guración, el cortafuego debe tener una interfaz de dos funcional (LAN y WAN) con fi guración. pfSense es capaz de manejar muchos interfaces WAN, con múltiples implementaciones usando 10-12 WANs en la producción. Será escala aún mayor que eso, aunque nosotros no tenemos conocimiento de ninguna instalaciones que utilizan más de 12 redes WAN.
Todas las interfaces de tipo WAN son tratados idénticamente en la GUI. Todo lo que se puede hacer con la WAN primaria también se puede hacer con una interfaz adicional OPT WAN. No existen diferencias significativas entre la WAN primaria y WAN adicionales.
Este capítulo comienza relativas a los puntos a tener en cuenta en la aplicación de alguna solución multi-WAN, a continuación, cubre múltiples WAN-con fi guración con pfSense.
La elección de la conectividad a Internet La opción ideal de conectividad a Internet dependerá en gran medida de las opciones disponibles en un lugar determinado, pero hay algunos factores adicionales a tener en cuenta.
Caminos de cable Hablando desde la experiencia de aquellos que han visto primera mano los efectos de múltiples cables retroexcavadoras buscando, así como los ladrones de cobre nefastos, es muy importante hacer opciones de conectividad seguro para un despliegue multi-WAN utilice rutas de cableado dispares. En muchos lugares, las conexiones DSL, así como cualesquiera otros que utilizan pares de cobre se realizan en un solo cable sujeto a la misma corte de cable, y otros de la misma compañía de telecomunicaciones tales como los circuitos de fi bra pueden correr a lo largo de los mismos polos o conductos.
Si una conexión se presenta en más de par de cobre (DSL), elegir una conexión secundaria que utiliza un tipo diferente y la ruta de cableado. conexiones de los cables suelen ser la opción más ampliamente disponibles que no están sujetos a la misma interrupción de los servicios de cobre. Otras opciones incluyen servicio de fibra o fija inalámbrica que entra en un camino diferente al de los servicios de cobre. Dos conexiones del mismo tipo no se puede confiar para proporcionar redundancia en la mayoría de los casos. Una interrupción o corte de cable ISP serán comúnmente acabar con todas las conexiones del mismo tipo. Algunos usuarios pfSense utilizan múltiples líneas DSL o varios módems de cable, aunque la única redundancia que ofrece típicamente está aislando a un sitio desde un módem u otro CPE (Customer Premise Equipment) fracaso. Considere múltiples conexiones desde el mismo proveedor como una solución única para el ancho de banda adicional,
Rutas de acceso a Internet Otra consideración al seleccionar la conexión a Internet de un sitio es la ruta desde la propia conexión a Internet. Para fines de redundancia, múltiples conexiones a Internet desde el mismo proveedor, en especial del mismo tipo,
304
Capítulo 17. Las conexiones WAN múltiples
El libro pfSense, Liberación
No debe confiarse en ella como todos ellos podrían fallar simultáneamente.
Con los proveedores más grandes, dos tipos diferentes de conexiones, tales como una línea de fibra y DSL generalmente atravesar signifi- icantly diferentes redes hasta llegar a partes centrales de la red. Estos componentes de la red básica se diseñan generalmente con una alta redundancia y los problemas se abordan de forma rápida, ya que tienen efectos generalizados. Por ello, esa conectividad está aislado de la mayoría de los problemas de ISP, pero ya que habitualmente utilizan el mismo camino por cable, que todavía deja un sitio vulnerable a interrupciones prolongadas de cortes de cables.
Mejor redundancia, más ancho de banda, menos dinero En el pasado, los servicios de telecomunicaciones de alta calidad, tales como circuitos DS1 o DS3 eran la opción para entornos con altos requerimientos disponi- bilidad. Generalmente los Acuerdos de Nivel de Servicio (SLA) que se ofrecen en las conexiones DS1 y DS3 eran mejores que otros tipos de conectividad, y esos circuitos fueron vistos generalmente como más fiable. Los usuarios finales han dejado en gran medida detrás de tales circuitos, sin embargo, debido a que son demasiado lento o demasiado costoso para los estándares de hoy en día. Con las capacidades multi-WAN sobre pfSense, un sitio puede tener más ancho de banda y la redundancia mejor por menos dinero en muchos casos. servicios de fibra son cada vez más generalizada, sacudir este concepto, proporcionando extremadamente grandes cantidades de ancho de banda para un costo relativamente bajo, aunque tales servicios pueden todavía tener un SLA menos que deseables para la respuesta de interrupción. La mayoría de las organizaciones que requieren conexiones a Internet de alta disponibilidad no quieren depender de DSL, cable u otras conexiones de banda ancha de Internet “menos de clase”. Mientras que por lo general son significativamente más rápido y más barato, menor SLA es suficiente para que muchas empresas se quedan con DS1 o DS3 conectividad. En las zonas donde se dispone de múltiples opciones de banda ancha de menor costo, tales como DSL y cable, la combinación de pfSense y dos conexiones de bajo costo de Internet ofrece más ancho de banda y mejor redundancia a un menor costo. La probabilidad de que dos conexiones de banda ancha diferentes bajando al mismo tiempo es significativamente menor que la probabilidad de que cualquier interrupción del servicio individual. Adición de un cable o DSL línea de copia de seguridad para complementar una línea de fibra mucho más rápido asegura la conectividad continuará cuando se produce una interrupción en la línea de fibras, incluso si es un caso raro.
17.14. La elección de la conectividad a Internet
305
El libro pfSense, Liberación
306
Capítulo 17. Las conexiones WAN múltiples
CAPÍTULO
DIECIOCHO
Las redes privadas virtuales
La elección de una solución VPN Cada solución VPN tiene pros y contras. Esta sección cubrirá las principales consideraciones en la elección de una solución VPN, proporcionando la información necesaria para elegir la mejor solución para un entorno determinado.
interoperabilidad Para interoperar con un cortafuego o enrutador producto de otro proveedor, IPsec es generalmente la mejor opción, ya que se incluye con casi todos los dispositivos VPN con capacidad. También evita que estar encerrado en cualquier cortafuego en particular o solución VPN. Para la conectividad interoperable de sitio a sitio, IPsec es generalmente la única opción. OpenVPN es interoperable con algunas otras soluciones de envasado fi cortafuegos / VPN, pero no muchos. Interoperabilidad en este sentido no es aplicable a otros tipos de VPN, ya que no están destinados a aplicaciones de sitio a sitio.
consideraciones sobre la autentificación En las versiones actuales de pfSense, todos los tipos de VPN compatibles con la autenticación de usuario. IPsec y OpenVPN también pueden trabajar con claves compartidas o certi fi cados. OpenVPN es un poco más flexible en este sentido, ya que puede trabajar sólo con certi fi cados, claves compartidas única, sólo la autenticación de usuario, o una combinación de éstos. Usando OpenVPN con certi fi cados, TLS nológica autenti-, y la autenticación de usuario es el método más seguro. OpenVPN certi fi cados también pueden ser protegidos con contraseña, en cuyo caso un fi cado comprometida cate sí sola no es adecuada para conectar a una VPN si está configurado para utilizar solamente certi fi cados. La falta de autenticación adicional puede ser un riesgo para la seguridad de que un sistema de pérdida, robo, o comprometida que contiene un certi tecla o certi fi significa el que tiene acceso al dispositivo puede conectarse a una VPN hasta que la pérdida es descubierto y el certi fi cado revocada.
Si bien no es ideal, una falta de nombre de usuario y la contraseña de autenticación en una VPN no es un riesgo tan grande como puede parecer. Un sistema comprometido puede fácilmente tener instalado un capturador de teclado para capturar la información de nombre de usuario y contraseña y derrota fácilmente que la protección. En el caso de sistemas perdidos o robados que contienen claves, si el disco duro no está encriptado, las teclas se pueden utilizar para conectar. Sin embargo la adición de autenticación de contraseña no es de gran ayuda allí tampoco, como suele ser el mismo nombre de usuario y contraseña se utilizarán para iniciar sesión en el ordenador, y la mayoría de las contraseñas son manipulable en cuestión de minutos utilizando el hardware moderno, cuando un atacante tiene acceso a una unidad sin cifrar. seguridad de las contraseñas es también frecuentemente comprometida por los usuarios con notas sobre su ordenador portátil o en su caja del ordenador portátil con su clave escrito. Al igual que con cualquier implementación de seguridad, las capas más utilizados,
Facilidad de con fi guración Ninguna de las opciones de VPN disponibles son extremadamente difíciles de con fi gura, pero hay diferencias entre las opciones:
• IPsec tiene numerosas opciones estafadores fi guración y puede ser difícil para los no iniciados.
307
El libro pfSense, Liberación
• OpenVPN requiere el uso de certi fi cados para el acceso remoto en la mayoría de entornos, que viene con su propia curva de aprendizaje y puede ser un poco difícil de manejar. pfSense incluye un asistente para manejar las configuraciones de acceso remoto más comunes fi OpenVPN y los paquetes de exportación cliente OpenVPN facilita el proceso de obtención de los clientes en funcionamiento.
IPsec y OpenVPN son opciones preferibles en muchos escenarios para otras razones que se discuten en este capítulo.
Multi-WAN capaces Si los usuarios requieren la capacidad de conectarse a múltiples redes WAN, tanto IPsec y OpenVPN son capaces de manejar este tipo de con fi guraciones.
la disponibilidad del cliente El software de cliente VPN es un programa que se encarga de conectar a la VPN y gastos de cualesquiera otras tareas relacionadas, como la autenticación, cifrado, enrutamiento, etc Para VPN de acceso remoto, la disponibilidad de software de cliente VPN es una consideración primordial. Todas las opciones son multiplataforma compatible con muchos sistemas operativos diferentes, pero algunos requieren la instalación de los clientes de terceros. IPsec en modo EAP-MSCHAPv2, IPsec en modo EAP-TLS, e IPsec en modo Xauth son las únicas opciones con soporte de cliente de escritorio integrado en algunos popular y sistemas operativos móviles. Otros sistemas operativos varían y pueden incluir más o menos modos de IPsec o incluso pueden incluir OpenVPN, como es el caso de muchas distribuciones de Linux. Si el uso de clientes incorporadas es una necesidad, consulte la documentación del sistema operativo para todas las plataformas de cliente necesarios para ver si es una opción común está disponible y luego comprobar pfSense para ver si ese modo es posible. En algunos casos múltiples VPN de acceso remoto pueden ser necesarios para dar cabida a todos los clientes. Por ejemplo, se podría utilizar IPsec para algunos y para otros OpenVPN. Algunas organizaciones prefieren mantener la coherencia, por lo que es una solución de compromiso que hacerse sino por el bien de la compatibilidad puede valer la pena ofrecer múltiples opciones.
IPsec clientes IPsec están disponibles para Windows, Mac OS X, BSD, Linux, y otros. Aunque los clientes nativos sólo admiten ciertos modos fi cas y con fi guraciones. De uso general clientes IPsec no están incluidos en el sistema operativo a excepción de algunas distribuciones de Linux y BSD. Una buena opción gratuita para Windows es el cliente domada suave . Mac OS X incluye soporte tanto IKEv2 y Cisco (xauth) de IPsec. Hay opciones libres y comerciales disponibles con una interfaz gráfica de usuario fácil de usar. OSX 10.11, junto con Windows 7 y más tarde incluyen soporte para IPsec en los modos de fi cos utilizando IKEv2: EAP-TLS y EAP-MSCHAPv2. Ambas opciones son compatibles con pfSense y están cubiertos en IPsec .
El cliente IPsec al estilo de Cisco incluye con OS X y dispositivos IOS es totalmente compatible con pfSense IPsec usando xauth. Con fi guración para el cliente iOS está cubierto de IOS 9 IKEv2 Cliente Con fi guración . Muchos teléfonos Android también incluye un cliente compatible con IPsec, que se discute en Android strongSwan IKEv2 Cliente Con fi guración .
OpenVPN OpenVPN tiene clientes disponibles para Windows, Mac OS X, todos los BSD, Linux, Solaris y Windows Mobile, pero el cliente no viene pre-instalado en cualquiera de estos sistemas operativos. 4.x Android y dispositivos posteriores pueden utilizar un cliente OpenVPN libre acceso que funciona bien y que no requiere de enraizamiento del dispositivo. Que el cliente está cubierto de 4.x y más tarde Android . Las versiones anteriores de Android también pueden ser capaces de utilizar OpenVPN través de un cliente alternativo. Hay otras opciones disponibles si el dispositivo tiene sus raíces, pero que está más allá del alcance de este libro.
iOS también tiene un cliente OpenVPN nativa. Para más información, ver iOS .
308
Capítulo 18. Redes Privadas Virtuales
El libro pfSense, Liberación
amabilidad cortafuegos protocolos VPN pueden causar di fi cultades para muchos rewalls fi y dispositivos NAT. Esto es principalmente relevante para la conectividad ac- ceso remoto, donde los usuarios van a estar detrás de un gran número de fi rewalls controlado mayormente por parte de terceros con diferentes configuraciones y capacidades fi.
IPsec IPsec utiliza tanto el puerto UDP 500 y el protocolo ESP para funcionar. Algunos rewalls fi no manejan ESP trá fi co pozo donde NAT está involucrado, ya que el protocolo no tiene números de puerto TCP y UDP, como que hacen que sea fácilmente rastreable por dispositivos NAT. clientes IPsec detrás de NAT pueden requerir NAT para funcionar, que encapsula el ESP trá fi co a través del puerto UDP 4500.
OpenVPN OpenVPN es el más fi cortafuegos ambiente de las opciones de VPN. Puesto que utiliza TCP o UDP y no es afectado por cualquiera de las funciones de NAT mon com- tales como la reescritura de los puertos de origen, es raro encontrar un cortafuego que no funcionará con OpenVPN. La única posible di fi cultad es si el protocolo y puerto en uso está bloqueado. Algunos administradores utilizan un puerto común, como UDP 53 (por lo general DNS), o TCP 80 (normalmente HTTP) o TCP 443 (por lo general HTTPS) o para evadir más fi ltrado de salida.
criptográficamente seguro Una de las funciones críticas de una VPN es asegurar la confidencialidad de los datos transmitidos. IPsec usando claves pre-compartidas puede romperse si se utiliza una clave débil. Utilizar una clave fuerte, al menos 10 caracteres de longitud que con- tienen una mezcla de letras mayúsculas y minúsculas, números y símbolos. Se prefiere el uso de certi fi cados, aunque algo más complicado de implementar.
OpenVPN cifrado se ve comprometida si se dan a conocer la PKI o claves compartidas, aunque el uso de múltiples factores tales como la autenticación TLS en la parte superior de la PKI puede mitigar algunos de los peligros.
Resumen Mesa Funciones y características según el tipo de VPN muestra una visión general de las consideraciones proporcionadas en esta sección.
Tabla 18.1: Funciones y características según el tipo de VPN Tipo de
Cliente incluido en la mayoría
ampliamente
VPN
de los sistemas operativos
interoperables
IPsec
Varía según el modo de
Sí
abierto
No
No
multi-WAN
criptográficamente
firewall
seguro
amigable
Sí
Sí
No (sin NAT-T)
Sí
Sí
Sí
VPN
VPN y reglas del cortafuegos VPN y reglas fi cortafuego se manejan un tanto incoherente en pfSense. En esta sección se describe cómo se manejan las reglas cortafuego para cada una de las opciones de VPN individuales. Para las reglas añadidas automáticamente discutidos aquí, la adición de estas reglas puede ser desactivada mediante la comprobación Desactivar todas las reglas VPN auto-añadido debajo Sistema> Avanzado sobre el Firewall / NAT lengüeta.
18.2. VPN y reglas del cortafuegos
309
El libro pfSense, Liberación
IPsec IPsec tráfico c que viene en la interfaz WAN específica ed se permite automáticamente como se describe en IPsec . Traf fi c en- encapsulado dentro de una conexión activa IPsec está controlado a través de reglas definidas por el usuario de Fi en la IPsec lengüeta debajo Cortafuegos> Reglas.
OpenVPN OpenVPN no agrega automáticamente reglas para interfaces WAN. El Asistente VPN de acceso remoto OpenVPN ofrece opcionalmente crear reglas para pasar WAN tráfico c y tráfico c en la interfaz OpenVPN. Traf fi c encapsulado dentro de una conexión OpenVPN activo se controla a través de reglas definidas-de usuario Fi en la OpenVPN lengüeta debajo Cortafuegos> Reglas. interfaces de OpenVPN también pueden ser asignados a otras interfaces similares en pfSense. En tales casos, el OpenVPN reglas fi cortafuego pestaña se siguen aplicando, pero hay una ficha independiente específico a la instancia VPN asignado que controla el tráfico c sólo para que una VPN.
VPN e IPv6 Hay algunas consideraciones especiales para las VPN cuando se utiliza en combinación con IPv6. Los dos elementos principales de preocupación son:
• Sea o no cierto tipo de VPN es compatible con IPv6 •
Asegurándose de que las reglas fi cortafuego no permiten el tráfico no cifrado fi co en el que debe venir a través de una VPN.
Soporte IPv6 VPN Soporte para IPv6 varía de un tipo a otro, y en atención al cliente. Asegúrese de verificar con el proveedor del otro dispositivo con el fin de asegurarse de que un cortafuego no pfSense o cliente VPN compatible con IPv6.
IPsec pfSense soporta IPsec usando IKEv1 sobre IPv6 con una peculiaridad: Si se utiliza una dirección de pares IPv6, el túnel sólo puede llevar fase IPv6 2 redes, y el mismo para IPv4. Trá fi co no se pueden mezclar entre familias de direcciones. Ver IPsec e IPv6 .
Cuando un túnel IPsec se establece para IKEv2, puede incluir IPv4 e IPv6 Fase 2 de fi niciones simultáneamente.
OpenVPN OpenVPN es totalmente compatible con IPv6 para el sitio-a-sitio y los clientes móviles y túneles puede llevar a IPv4 e IPv6 simultáneamente tráfico c. Ver OpenVPN e IPv6 .
IPv6 VPN y reglas del cortafuegos Como se ha mencionado brevemente en Cortafuegos y VPN Preocupaciones , algún tipo de atención especial debe ser tomado al enrutamiento IPv6 trá fi co a través de una VPN y el uso de subredes enrutables públicamente. El mismo consejo se aplicaría también a IPv4, pero es mucho menos común tener clientes en ambos lados de una VPN IPv4 utilizando direcciones enrutables públicamente.
El principal problema es que debido a que es posible enrutar todo el camino de una LAN a la otra LAN a través de Internet, a continuación, trá fi co podría ser fl debido sin cifrar entre las dos redes si el VPN es hacia abajo (o no está presente en absoluto!). Esto es
310
Capítulo 18. Redes Privadas Virtuales
El libro pfSense, Liberación
lejos de ser ideal porque aunque la conectividad está disponible, si cualquier tráfico c fueron interceptados en entre las dos redes y que tráfico c estaba utilizando un protocolo sin cifrar como HTTP, entonces podría comprometer la red. Una forma de evitar esto es no permitir que tra fi co desde el control remoto IPv6 LAN en el WAN reglas de la parte contraria. Sólo permiten trá fi co de la subred del lado remoto de las reglas fi cortafuego para lo que se está utilizando el tipo de VPN para proteger el tráfico c. Una regla de bloqueo explícita también podría añadirse a la parte superior de las reglas WAN para garantizar que este trá fi co no puede entrar directamente desde la WAN. Un método mejor es utilizar una regla flotando a rechazar de salida trá fi co sobre la WAN destinado para las máquinas de VPN / redes locales remotas. De esta manera la inseguridad trá fi co nunca sale de los locales. Con el conjunto de reglas para iniciar la sesión, la “fuga” sería obvio para alguien más escuchando los registros, ya que sería mostrado saliente bloqueado en la WAN. Otra consecuencia menos obvia de tener conectividad de doble pila entre las redes es que las diferencias en DNS pueden causar enrutamiento no intencionada a tener lugar. Supongamos que existe conectividad IPv4 VPN entre dos sitios, pero no hay una VPN IPv6, solamente la conectividad IPv6 estándar en ambos lugares. Si un host local se establece a preferir IPv6 y que reciba una respuesta DNS AAAA con la dirección IP IPv6 para un recurso remoto, sería intentar conectarse a través de IPv6 primer lugar de utilizar la VPN. En casos como este, se debe tener cuidado para asegurarse de que el DNS no contiene conflictivas registros o que las reglas flotantes se añaden para evitar este tráfico IPv6 c se escape WAN. -proyecto-Gont OPSEC-VPN-fugas-00 . VPNs proporcionan un medio de tunelización tráfico c a través de una conexión cifrada, evitando que sea visto o modificados con el en tránsito. pfSense ofrece tres opciones de VPN: IPsec, OpenVPN y L2TP. En este capítulo se proporciona una visión general del uso de VPN, los pros y los contras de cada tipo de VPN en pfSense, y cómo decidir cuál es el mejor ajuste para un ambiente particular. Los capítulos siguientes tratan cada opción VPN en detalle.
L2TP es puramente un protocolo de túnel y no ofrece ningún tipo de cifrado de su propia. Normalmente se combina con algún otro método de encriptación tales como IPsec en modo de transporte. Debido a esto, que no encaja en la mayor parte de la discusión en este capítulo. Ver L2TP VPN para más información sobre L2TP.
Advertencia PPTP compatibilidad con el servidor PPTP se ha eliminado de pfSense. A pesar del atractivo de su conveniencia, PPTP No debe ser utilizado bajo ninguna circunstancia, ya que ya no es segura. Esto no es específico c al tación en práctica de PPTP que estaba en pfSense; Cualquier sistema que se encarga de PPTP ya no es segura. La razón de la inseguridad es que PPTP se basa en MS-CHAPv2 que ha sido completamente comprometida.
traf- interceptado
fi co puede ser descifrado por un tercero 100% del tiempo, por lo que considera cualquier trá fi co realizado en PPTP no cifrada. Migrar a otro tipo de
VPN como OpenVPN o IPsec tan pronto como sea posible. Más información sobre el compromiso de seguridad PPTP se puede encontrar en https://isc.sans.edu/diary/End+ y
https://www.cloudcracker.com/blog/2012/07/29/cracking-ms-chap-v2/ .
implementaciones comunes Hay cuatro usos comunes de las capacidades VPN de pfSense, cada uno cubiertos en esta sección.
De sitio a sitio de conectividad Sitio-a-sitio de la conectividad se utiliza principalmente para conectar redes en múltiples ubicaciones físicas donde un dedicado, siempre activo, se requiere una conexión entre los lugares. Esto se utiliza con frecuencia para conectar rama de oficinas a una o fi cina principal, conectar las redes de socios de negocios, o conectar una red a otra ubicación, como un entorno de centro de datos.
Antes de la proliferación de la tecnología VPN, circuitos privados WAN eran la única solución para conectar múltiples ubicaciones. Estas tecnologías incluyen circuitos punto dedicadas a punto, tecnologías de conmutación de paquetes tales como frame relay y ATM, y más recientemente, en base MPLS (Multiprotocol Label Switching) y fibra y cobre metropolitana Ethernet
18.4. Advertencia PPTP
311
El libro pfSense, Liberación
servicios. Si bien este tipo de conectividad WAN privada proporcionan conexiones fiables, de latencia baja, que también son muy costosas con cargos mensuales recurrentes. La tecnología VPN ha crecido en popularidad, ya que proporciona el mismo sitio seguro para la conectividad de sitio usando conexiones de Internet que son generalmente mucho menos costoso.
Las limitaciones de conectividad VPN
El rendimiento es una consideración importante en la planificación de una solución VPN. En algunas redes, solamente un circuito WAN privada puede cumplir los requisitos de ancho de banda o latencia. La latencia es generalmente el factor más importante. Un punto a punto circuito DS1 tiene un extremo a la latencia final de alrededor de 3-5 ms, mientras que la latencia para el primer salto en una red ISP será generalmente de al menos esa cantidad, si no mayor. servicios de Metro Ethernet o circuitos de fi bra tienen una latencia de extremo a extremo de cerca de 0-3 ms, por lo general menos de la latencia para el primer salto de una red ISP. Que variará algunas basadas en la distancia geográfica entre los sitios. Los números indicados son típicos de los sitios dentro de un par de cientos de millas el uno del otro. Las VPN suele ver latencia de alrededor de 30-60 ms dependiendo de las conexiones a Internet en uso y la distancia geográfica entre los lugares.
Ciertos protocolos funcionan muy mal con la latencia inherente a las conexiones a través de Internet. Microsoft fi l de intercambio (SMB) es un ejemplo común. En sub-10 ms de latencia, se realiza bien. A los 30 ms o mayores, es lento, y en más de 50 ms es dolorosamente lento, causando bloqueos frecuentes cuando se navega por las carpetas, guardar archivos, etc. Conseguir un simple listado de directorios requiere numerosas conexiones de ida y vuelta entre el cliente y el servidor, lo que signi fi exacerba cativamente el aumento del retardo de la conexión. En Windows Vista y Server 2008, Microsoft introdujo SMB 2.0, que incluye nuevas capacidades para abordar el problema descrito aquí. SMB 2.0 permite el envío de múltiples acciones en una única solicitud, así como la capacidad de las solicitudes de tuberías, lo que significa que el cliente puede enviar solicitudes adicionales sin esperar la respuesta de las solicitudes anteriores. Si una red utiliza exclusivamente Vista y sistemas operativos Server 2008 o más nuevos que esto no será un problema, pero dada la rareza de este tipo de entornos, lo cual suele ser una consideración. SMB
3.0 mejora aún más en esta área con soporte para múltiples flujos. Dos ejemplos más de los protocolos son sensibles a la latencia Protocolo de Microsoft de escritorio remoto (RDP) y Citrix ICA. Hay un rendimiento y capacidad de respuesta clara diferencia con estos protocolos entre sub-20 ms Tiempos de respuesta se encuentran típicamente en una WAN privada, y los 50-60 ms + los tiempos de respuesta común a las conexiones VPN. Si los usuarios remotos trabajan en escritorios publicados usando dispositivos de cliente ligero, habrá una diferencia notable entre el rendimiento de una WAN privada y VPN. Ya sea que la diferencia de rendimiento es signi fi cativo lo suficiente como para justificar el gasto de una WAN privada variará de un ambiente a otro.
Puede haber otras aplicaciones de red en un entorno que son sensibles a la latencia, donde el reducido rendimiento de una VPN es inaceptable. O todos los lugares pueden estar dentro de un área geográfica relativamente pequeña utilizando el mismo proveedor de Internet, en el que el rendimiento de una VPN rivaliza con la de las conexiones WAN privadas.
Acceso remoto VPN de acceso remoto permiten a los usuarios conectarse de forma segura en una red desde cualquier ubicación en la que una conexión a Internet está disponible. Esto se utiliza con mayor frecuencia para los trabajadores móviles (a menudo denominado como “Road Warriors”) cuyo trabajo requiere viajes frecuentes y poco tiempo en la o fi cina, y para dar a los empleados la posibilidad de trabajar desde casa. También puede permitir a los contratistas o proveedores de acceso temporal a una red. Con la proliferación de los teléfonos inteligentes, los usuarios tienen la necesidad de acceder de forma segura los servicios internos de sus teléfonos usando una VPN de acceso remoto.
Protección para redes inalámbricas Una VPN puede proporcionar una capa adicional de protección para redes inalámbricas. Esta protección es doble: Proporciona una capa adicional de cifrado para tráfico que atraviesa la red inalámbrica c, y puede ser desplegado en una forma tal que requiere autenticación adicional antes de permitir el acceso a recursos de red. Esto se implementa en su mayoría los mismos que las VPN de acceso remoto. Esto se trata en Una protección adicional para una red inalámbrica .
312
Capítulo 18. Redes Privadas Virtuales
El libro pfSense, Liberación
relé de seguridad VPN de acceso remoto pueden ser con fi gurada de una manera que sobrepasa todo trá fi co desde el sistema cliente a través de la VPN. Esto es bueno tener al utilizar redes no seguras, tales como puntos de acceso inalámbricos, ya que permite a un cliente a empujar todo su tráfico de Internet fi co sobre el VPN y salir a Internet desde el servidor VPN. Esto protege al usuario de una serie de ataques que son posibles en redes no seguras, aunque tiene un impacto en el rendimiento, ya que añade saltos adicionales y la latencia para todas las conexiones. Ese impacto es generalmente mínimo con conectividad de alta velocidad cuando el cliente y el servidor VPN están relativamente cerca geográficamente.
18.5. implementaciones comunes
313
El libro pfSense, Liberación
314
Capítulo 18. Redes Privadas Virtuales
CAPÍTULO
DIECINUEVE
IPSEC
IPsec e IPv6 IPsec es capaz de conectarse a un túnel sobre IPv4 o IPv6 fase 1 direcciones de pares, pero con IKEv1 el túnel sólo puede contener el mismo tipo de tráfico c dentro de la fase de túnel 2 definición que se utiliza para pasar el tráfico c fuera del túnel. Esto significa que aunque IPv4 o IPv6 se pueden llevar dentro del túnel, para usar IPv6 tráfico c dentro del túnel, a continuación, el túnel debe conectarse entre IPs de pares IPv6, no IPv4. En otras palabras, la familia de direcciones interior y exterior debe coincidir, no pueden mezclarse.
Al igual que con la mayoría de otras deficiencias de IKEv1, esto ha sido abordado en IKEv2. Túneles utilizando IKEv2 pueden llevar ambos tipos de tráfico c no importa qué protocolo se utiliza para establecer el túnel exterior. Con IKEv2, los clientes móviles pueden utilizar también IPv4 e IPv6, siempre que el cliente lo soporta.
La elección de opciones de con fi guración IPsec ofrece numerosas opciones de con fi guración, afectando el rendimiento y la seguridad de las conexiones IPsec. camente Realisti-, de bajo a moderado uso de banda ancha, poco importa qué opciones se eligen aquí el tiempo que no se utiliza DES, y una clave pre-compartida fuerte se define, a menos que el trá fi co protegida es tan valioso que un adversario con muchos millones de dólares en poder de procesamiento está dispuesto a dedicar a romper el cifrado IPsec. Incluso en ese caso, es posible que haya una manera más fácil y mucho más barato para entrar en la red y lograr el mismo resultado final (la ingeniería social, por ejemplo). El rendimiento es el factor más importante para la mayoría, y en los casos en que es una preocupación, se necesita más atención cuando la elaboración de una con fi guración.
Fase 1 Ajustes Estos ajustes controlan la parte de la negociación de fase 1 del túnel, como se describió previamente.
Activar / Desactivar el túnel
los Discapacitado casilla de verificación controla si o no este túnel (y su fase asociada 2 entradas) están activos y usado.
Versión de intercambio de claves
los Versión de intercambio de claves controles de selector si el túnel utilizará IKE versión 1 (V1) o la versión IKE 2 (V2). IKEv2 es una nueva versión de IKE que es deseable en muchas maneras. Las diferencias se discuten en IKE . En la mayoría de los casos, IKEv1 se utilizará a menos que ambas partes soportan adecuadamente IKEv2.
315
El libro pfSense, Liberación
protocolo de Internet
los protocolo de Internet selector establece el protocolo para la fuera de del túnel. Es decir, el protocolo que se utiliza entre las direcciones de pares externos. Para la mayoría, esto será IPv4, pero si ambos extremos son capaces de IPv6, que puede ser utilizado en su lugar. Sea cual sea el protocolo se elige aquí se utilizará para validar la pasarela remota y los los identificadores asociados. Nota: Un túnel usando IKEv1 sólo puede llevar el mismo protocolo de tráfico c en la Fase 2 que se usó para la fase 1. Por ejemplo, las direcciones de pares IPv4 restringen la Fase 2 a redes IPv4 solamente. Un túnel utilizando IKEv2 puede continuar IPv4 e IPv6 tráfico c al mismo tiempo en la Fase 2 no importa qué protocolo se utilizó para la Fase 1.
Selección de la interfaz
En muchos casos, la Interfaz opción para un túnel IPsec será WAN, ya que los túneles se conectan a sitios remotos. Sin embargo, hay un montón de excepciones, la más común de las cuales se describen en el resto de esta sección.
CARP Entornos
Tipo CARP direcciones IP virtuales también están disponibles en el Interfaz en el menú desplegable para su uso en entornos de alta disponibilidad ( Alta disponibilidad ). En estos entornos, una dirección de CARP apropiado debe ser elegido para la WAN donde el túnel IPsec terminará. Mediante el uso de la dirección de CARP IP, se asegura que el túnel IPsec será manejado por el miembro de clúster de alta disponibilidad actualmente en el estado de MAESTRO, por lo que incluso si el cortafuego principal está suspendido, el túnel se conectará a cualquier miembro del clúster se ha hecho cargo de la función de maestro .
IP Alias VIP
Si hay varias direcciones IP están disponibles en una interfaz de tipo VIP usando IP Alias, que también estará disponible en esta lista. Para utilizar una de esas direcciones IP de la VPN en su lugar, seleccione aquí.
Multi-WAN Entornos
Cuando se utiliza multi-WAN ( Las conexiones WAN múltiples ), Elegir la opción de interfaz apropiado para el tipo de WAN-in- terface al que se conectará el túnel. Si la conexión se introduce a través de la WAN, recoger WAN. Si el túnel utilizará una WAN diferente, elija el que sea la interfaz WAN OPT se necesita. se añadirá automáticamente una ruta estática para asegurar que el tráfico c a la Puerta de enlace remota rutas a través de la WAN apropiado.
Un grupo de puerta de enlace también se puede elegir de esta lista. Un grupo de puerta de enlace para ser utilizado con IPsec solamente debe tener uno gateway por nivel. Cuando se utiliza un grupo de pasarela, si la puerta de entrada primera va hacia abajo, el túnel se moverá a la siguiente WAN disponibles en el grupo. Cuando la primera WAN vuelve a subir, el túnel será reconstruido allí de nuevo. Si el router otro lado es uno que no admite múltiples direcciones de pares, como otra unidad pfSense, esto debe ser combinado con un conjunto de host DynDNS usando el mismo grupo de puerta de entrada para conmutación por error. El host DynDNS actualizará la dirección IP como se ve por el otro lado, por lo que el router remoto sabrá aceptar trá fi co de la WAN recién activado.
Protección interna inalámbrica
Cuando con fi gurar IPsec para agregar cifrado a una red inalámbrica, como se describe en la protección adicional con VPN, elija la interfaz OPT que corresponde a la tarjeta inalámbrica. Cuando se utiliza un punto de acceso inalámbrico externo, recoger la interfaz que está conectada al punto de acceso inalámbrico.
316
Capítulo 19. IPsec
El libro pfSense, Liberación
Puerta de enlace remota
los Puerta de enlace remota es el mismo nivel de IPsec para esta fase 1. Este es el router en el otro lado del túnel a la que IPsec negociará esta fase 1. Esto se puede establecer en una dirección IP o un nombre de dominio fi ed completamente calificado. Cuando se establece en utilizar un nombre, la entrada se resuelve periódicamente por DNS y actualiza cuando se detecta un cambio.
Descripción los Descripción para la fase 1 es un texto que se utilizará para identificar esta fase 1. No se usa en la configuración de IPsec, que es sólo para referencia.
método de autentificación Una fase IPsec 1 puede ser autenticado utilizando una clave pre-compartida (PSK) o RSA certi fi cados, la método de autentificación
selector escoge cuál de estos métodos se utiliza para autenticar el par remoto. Los campos apropiados para el método elegido se mostrarán en la pantalla fi guración 1 con fase.
PSK mutua
Cuando usas PSK mutua, el par se valida mediante una cadena definida de. Cuanto más larga sea la mejor, pero ya que es una cadena sencilla, hay una posibilidad de que pueda ser adivinado. Por esta razón, una clave de largo / complejo es más seguro cuando se utiliza el modo PSK.
RSA mutua
En RSA mutua de modo, seleccionar una CA y certi fi cado utilizado para verificar los pares. Durante el intercambio de fase 1, cada par envía su certi fi cado a la otra por pares y luego se valida contra su CA. compartida La CA y certi fi cado deben crearse para el túnel antes de intentar configurar la fase 1.
Mutua PSK + Xauth
Se utiliza con el móvil IPsec y IKEv1, esta selección permite xauth nombre de usuario y la contraseña de la verificación junto con una compartida (o “grupo”) clave pre-compartida.
Mutua RSA + Xauth
Se utiliza con el móvil IPsec y IKEv1, esta selección permite xauth nombre de usuario y la contraseña de la verificación, junto con la autenticación RSA certi fi cado mediante certi fi cados tanto en el cliente y el servidor.
Híbrido RSA + Xauth
Se utiliza con el móvil IPsec y IKEv1, esta selección permite xauth nombre de usuario y la contraseña de la verificación, junto con un certificado sólo en el lado del servidor. No es tan seguro como Mutua RSA + Xauth, pero es más fácil en los clientes.
19.2. La elección de opciones de con fi guración
317
El libro pfSense, Liberación
EAP-TLS
Se utiliza con el móvil y IKEv2 IPsec, RSA EAP-TLS Veri fi ca que certi fi cados en el cliente y el servidor son de la misma CA compartida, similar a la Mutua de RSA. Los certi fi cados de cliente y servidor requieren un manejo especial:
• El certi fi cado servidor debe tener el nombre del cortafuego, tal como existe en el DNS que aparece en su nombre común, y de nuevo como un nombre alternativo del sujeto (SAN). La dirección IP del cortafuego también debe aparecer en una SAN.
•
El er fi cación en la Fase 1 también se debe ajustar para que coincida con el nombre de host del cortafuego que se enumeran en el nombre común de la certi fi cado.
• El cliente certi fi cado debe tener el nombre del usuario aparece como el nombre común y luego de nuevo como una SAN. Los certi fi cados de CA y el servidor deben ser generados antes de intentar con fi gura EAP-TLS. La CA y certi fi cado de usuario debe ser importada en el cliente.
EAP-RADIUS
Se utiliza con el móvil y IKEv2 IPsec, esta selección se realiza la verificación CA junto con nombre de usuario y contraseña au- thentication a través de RADIUS. Un servidor RADIUS debe ser seleccionado en el Los clientes móviles lengüeta. A pesar de los certi fi cados de usuario no son necesarios, EAP-RADIUS todavía requiere que un servidor de CA y certi fi cado de estar presente con los mismos atributos mencionados en EAP-TLS. El CA debe ser importado al cliente, pero sin certificado de usuario fi cado.
EAP-MSCHAPv2
Se utiliza con el móvil y IKEv2 IPsec, EAP-MSCHAPv2 funciona de forma idéntica a EAP-RADIUS, excepto los nombres de usuario y contraseñas se definen en el Pre-Shared Key lengüeta debajo VPN> IPsec con el tipo secreto establece en EAP. También requiere un certi fi cado CA y el servidor con los mismos requisitos enumerados anteriormente. El CA debe ser importado al cliente, pero sin certificado de usuario fi cado.
Modo de negociación Para IKEv1, dos Modo de negociación las opciones son compatibles: principal, agresivo. Esta selección no está presente cuando se utiliza IKEv2.
Modo principal
Principal es el modo más seguro, aunque también requiere más paquetes entre los compañeros para llevar a cabo una negociación exitosa. También es mucho más estricta en su validación.
Modo agresivo
Agresivo es generalmente el más compatible y es el modo más rápido. Es un poco más indulgente con los tipos de fi identi cador, y tiende a tener más éxito al negociar con dispositivos de terceros en algunos casos. Es más rápido, ya que envía toda la información de identificación en un solo paquete, lo que también hace que sea menos seguro debido a la veri fi cación de que los datos no es tan estricta como la que se encuentra en el modo principal.
318
Capítulo 19. IPsec
El libro pfSense, Liberación
Mi identi fi cador / Peer identi fi cador
A continuación, elija el er fi cación utilizada para enviar a la distancia entre pares, y también para la verificación de la identidad del par remoto. Los siguientes tipos er identificables pueden ser elegidos para el Mi identi fi cador y Peer identi fi cador selectores. Si es necesario, un cuadro de texto aparecerá para introducir un valor que se utilizará para la identi fi cador.
Mi dirección IP dirección IP / Peer
Esta elección es una macro que utilizará automáticamente la dirección IP en la interfaz, o el VIP seleccionado, como el er fi cación. Para pares, esta es la dirección IP desde la que se recibieron los paquetes, que debe ser el Puerta de enlace remoto.
Dirección IP
los Dirección IP opción permite que una dirección IP diferente para ser utilizado como la identi fi cador. Un uso potencial de esto sería si el cortafuego está detrás de un router NAT realizar. La dirección IP externa real podría ser utilizado en este campo.
Nombre distinguido
UN Nombre distinguido es otro término para un nombre de dominio fi ed totalmente calificado, tal como host.example.com. Introduzca un valor en ese formato en la caja.
Nombre distinguido usuario
UN Nombre distinguido usuario es una dirección de correo electrónico, tales como [email protected], en lugar de un nombre de dominio completo.
ASN.1 nombre distinguido
Si se utiliza RSA mutua autenticación, esto puede ser el tema de la certi fi cado que se utiliza, o una cadena similar.
IDdeLlave Tag
Una cadena arbitraria que se utilizará como er fi cación.
DNS Dinámico
Un nombre de host para resolver y utilizar como el er fi cación. Esto es sobre todo útil si el cortafuego está detrás de NAT y no tiene conocimiento directo de su dirección IP externa, aparte de un nombre de host DNS dinámico. Esto no es relevante o estén disponibles para una Peer identi fi cador como el nombre de host puede ser utilizado directamente en el Puerta de enlace remota campo y el uso Dirección IP de pares para la identi fi cador.
Alguna
En los casos cuando el control remoto er fi identi es desconocido o no puede ser igualada, la Peer identi fi cador se puede establecer en Alguna. Esto es más común en ciertos tipos de fi guraciones móviles, pero es una opción mucho menos seguro que el juego er fi car correctamente.
19.2. La elección de opciones de con fi guración
319
El libro pfSense, Liberación
Pre-Shared Key (PSK Si se utiliza Mutua) Este campo se utiliza para introducir la PSK para la fase 1 de autenticación. Como se mencionó anteriormente, hacer de esto una clave de largo / compleja. Si esto PSK ha sido proporcionada por el par, ingrese aquí. Si se debe generar un nuevo PSK, se recomienda utilizar una herramienta de generación de contraseñas se establece en una longitud de al menos 15, pero puede ser mucho más largo.
Fase 1 Los algoritmos de cifrado Hay muchas opciones para los algoritmos de cifrado tanto en la fase 1 y fase 2. Las opciones actuales son todos considerados criptográficamente seguro. ¿Cuál elegir depende del dispositivo al que se conectará el túnel, y el hardware disponible en este fi cortafuegos. Generalmente hablando, AES es el sistema de cifrado más deseable y la longitud de clave más larga (256 bits) es el mejor. Cuando se conecta a dispositivos de terceros, 3DES (también llamado “Triple DES”) es una opción común, ya que puede ser la única opción es compatible con el otro extremo. Más información sobre cifras y aceleración está disponible en Fase 2 Los algoritmos de cifrado .
Fase 1 Los algoritmos hash Los algoritmos hash se utilizan con IPsec para verificar la autenticidad de los datos del paquete. MD5, SHA1, SHA256, SHA384, SHA512, y AES-XCBC son los algoritmos hash disponibles en la fase 1 y fase 2. Todos se consideran cryptograph- camente seguro, aunque SHA1 (Secure Hash Algorithm, Revisión 1) y sus variantes se consideran el más fuerte que MD5. SHA1 requiere más ciclos de CPU que MD5, y los valores mayores de SHA a su vez requiere una mayor potencia de la CPU. Estos algoritmos hash también se pueden denominar con HMAC (Código de autenticación de mensajes Hash) en el nombre, en algunos contextos, pero que el uso varía en función del hardware o software en uso.
Nota: La implementación de SHA256-512 es RFC 4868 compatible con la versión de FreeBSD utilizado por pfSense. RFC 4868 se rompe la compatibilidad con pilas de cumplimiento que implementaron proyecto-IETF-ipsec-CIPH-sha-256-00 , INCLUYENDO FreeBSD 8.1 y anteriores. Antes de utilizar SHA256, 384, o 512, consulte con el otro lado para asegurarse de que son también RFC 4868 implementaciones compatibles o no van a trabajar. Lo relevante FreeBSD mensaje de consignación cuando esto sucedió explica en detalle un poco más.
grupo clave DH Todo el DH (Dif fi e-Hellman, el nombre de sus autores) opciones clave de grupo se consideran criptográficamente seguro, aunque los números más altos son un poco más seguro en la costa de un mayor uso de la CPU.
tiempos de vida
El tiempo de vida especí fi ca con qué frecuencia se debe rekeyed la conexión, se especifica en segundos. 28800 segundos en la fase 1 es una con fi guración común y es apropiado para la mayoría de los escenarios.
Mi Certi fi cado (Si se utiliza Mutua RSA) Esta opción sólo aparece si se utiliza un RSA-basada Modo de autenticación. La lista se rellena utilizando los certi fi cados presentes en con fi guración del cortafuego. certi fi cados pueden ser importados y gestionan bajo Sistema> Administrador de Cert sobre el certi fi cados lengüeta. Elija el certi fi cado a utilizar para esta fase IPsec 1 de la lista. La CA de este certi fi cado debe coincidir con el elegido en el Mi Autoridad Certi fi cado selector.
320
Capítulo 19. IPsec
El libro pfSense, Liberación
Mi Certi fi cado de Autoridad (Si se utiliza Mutua RSA)
Esta opción sólo aparece si se utiliza un RSA-basada Modo de autenticación. La lista se rellena utilizando el CAs presente en con fi guración del cortafuego. Una CA puede ser importado y gestionado bajo Sistema> Cert Manager. Elija el CA a utilizar para esta fase IPsec 1 de la lista.
Desactivar Rekey
Al seleccionar esta opción instruirá pfSense no iniciar un evento de cambio de clave en el túnel. Algunos clientes (EspeciallyWindows clientes detrás de NAT) se comportan mal cuando reciben una solicitud de cambio de clave, por lo que es más seguro en estos casos para permitir que el cliente inicie la regeneración de claves mediante la desactivación de la opción en el servidor. Normalmente ambas partes de cambio de claves, según sea necesario, pero si el túnel a menudo falla cuando se produce un evento de cambio de clave, intente seleccionar esta opción en un solo lado.
Desactivar reauth Esta opción sólo aparece para túneles IKEv2, IKEv1 siempre va a volver a autenticarse. Si se selecciona esta opción, a continuación, cuando un túnel regeneración de claves que no se vuelva a autenticar los pares. Cuando no se controla, la SA se retira y se negoció en su totalidad y no sólo cambio de claves.
Sólo respondedor Si Sólo respondedor se selecciona, a continuación, pfSense no intentará iniciar el túnel cuando tráfico c intenta cruzar. sólo se establece el túnel cuando el extremo más alejado inicia la conexión. Además, si DPD detecta que el túnel ha fallado, el túnel se dejó abajo en lugar de reiniciarse, dejando a un lado el momento de volver a conectar.
NAT La opción NAT, también conocido como NAT-T, sólo está disponible para IKEv1. IKEv2 tiene NAT integrado de tal manera que la opción no es necesaria. NAT Traversal puede encapsular el ESP tráfico c para IPsec dentro de paquetes UDP, para funcionar más fácilmente en presencia de NAT. Si esto cortafuego o el cortafuego en el otro extremo del túnel estarán detrás de un dispositivo NAT, NAT es probable que sea necesario. La configuración por defecto de Auto utilizará NAT en los casos en que se detecte su necesidad. La opción también puede establecerse en Fuerza para asegurar NAT siempre se utilizará para el túnel. Esto puede ayudar si hay un problema conocido llevar ESP trá fi co entre los dos puntos finales.
MOBIKE MOBIKE es una extensión para IKEv2 que se encarga de los clientes y clientes multitarjeta que deambulan entre los diferentes vestidos ad-IP. Esto se utiliza principalmente con clientes móviles para que puedan cambiar las direcciones remotas, manteniendo la conexión activa.
Conexiones dividir Esta opción es específico para IKEv2 y con fi guras de la Fase 2 entradas de tal manera que utilizan entradas de conexión separados, en lugar de una sola c selector de tráfico por niño asociación de seguridad. Específicamente, esto se conoce a ser un problema con los productos de Cisco como ASA.
Si un túnel IKEv2 está en uso con múltiples entradas de la Fase 2, y sólo un par de red Fase 2 establecerá un ción conexiones, activar esta opción.
19.2. La elección de opciones de con fi guración
321
El libro pfSense, Liberación
Dead Peer Detection (DPD) Dead Peer Detection (DPD) es una comprobación periódica de que el anfitrión en el otro extremo del túnel IPsec está todavía vivo. Si un cheque DPD falla, el túnel es derribada mediante la eliminación de sus entradas asociadas SAD y renegociación de tentativa. los Retrasar campo controla la frecuencia con que se intenta una comprobación DPD y la Los fracasos Max campo controla el modo en que muchos de estos controles debe fallar antes de que un túnel se considera que es un estado hacia abajo. Los valores por defecto de 10 y segundo 5 fallos tendrán como resultado en el túnel de ser considerado abajo después de aproximadamente un minuto. Estos valores se pueden aumentar para los enlaces de mala calidad para evitar derribar un utilizable, pero con pérdida, túnel.
Fase 2 Ajustes Los ajustes de fase 2 para un túnel IPsec gobiernan lo trá fi co será entrar en el túnel, así como la forma en que está cifrada trá fi co. Para los túneles normales, esto controla las subredes que entrarán en el cortafuego. Para clientes móviles este controla principalmente el cifrado para la fase 2, pero también puede suministrar opcionalmente una lista de redes a los clientes para su uso en la división de túnel. de fase múltiple 2 de fi niciones se pueden añadir para cada fase 1 para permitir el uso de múltiples subredes dentro de un único túnel.
Habilitar deshabilitar
Esta configuración controla si o no este entrada en la fase 2 está activo.
Modo Esta opción permite que el modo de túnel IPsec tradicional de, o el modo de transporte. el modo de túnel también puede especificar IPv4 o IPv6.
Modo IPv4 / IPv6 túnel
Al utilizar cualquiera IPv4 túnel o IPv6 túnel para esta entrada en la fase 2, el cortafuego se túnel IPv4 o IPv6 fi tráfico c que coincide con el ed especificidad Red local y Red remota. Una fase 2 puede ser para IPv4 o IPv6, y los valores de red están validado basado en esa elección. Traf fi c coincidente tanto la red local y la red remota entrarán en el túnel y ser entregado al otro lado.
Nota: Con IKEv1, sólo uno de IPv4 o IPv6 se pueden usar, y debe coincidir con la misma familia de direcciones se utiliza para establecer la fase del túnel 1. Con IKEv2, ambos tipos pueden ser utilizados en el mismo túnel.
Modo de transporte
Transporte modo cifrará tráfico c entre las direcciones IP utilizadas como la fase 1 puntos finales. Este modo permite encrypt- ing trá fi co de la dirección IP externa del cortafuego a la dirección IP externa en el otro lado. Cualquier tráfico c enviado entre los dos nodos se cifrará, así que usar otros métodos de tunelización que no emplean el cifrado, tales como un GIF o túnel GRE, se puede utilizar de forma segura. los Red local y Red remota no se han establecido para el modo de transporte, que asume las direcciones en base a los ajustes de fase 1.
Red Local (Si se utiliza un modo de túnel) Como su nombre lo indica, esta opción establece el Red local los que se asociará con esta fase 2. Esto es típicamente la LAN u otra subred interna para la VPN, pero también puede ser una única dirección IP si es sólo un cliente necesita usar el
322
Capítulo 19. IPsec
El libro pfSense, Liberación
túnel. El selector de tipo se carga previamente con opciones de subred para cada interfaz (por ejemplo, Subred LAN), tanto como Dirección
y Red opciones que permiten introducir una dirección IP o subred de forma manual.
NAT / binat Traducción
Para realizar NAT en las direcciones de red locales para hacerlos aparecer como una subred diferente o como una dirección IP pública, utilice el NAT / binat Traducción campos. Si una sola dirección IP es especificado en Red local y una única dirección IP en el NAT / binat tipo de traducción campo, a continuación, una relación 1: 1 traducción NAT se establecerá entre los dos. 1: 1 NAT es también de configuración si una subred del mismo tamaño se utiliza en ambos campos. Si la red local es una subred, pero el NAT / binat Traducción
se establece en una única dirección IP, a continuación, un 1: muchos NAT (PAT) traducción se estableció que funciona como una regla de NAT de salida en la WAN, todo el tráfico saliente fi co se traduce de la red local a la única dirección IP en el campo NAT. Si NAT no es necesario en el tráfico IPsec c, dejarlo en Ninguna.
Red remota (Si se utiliza un modo de túnel) Esta opción (sólo presente en los túneles no móviles) especí fi ca del IP Dirección o Red que existe en el otro lado (a distancia) de la VPN. Se opera de manera similar a la Red local opción mencionada anteriormente.
Protocolo IPsec tiene la opción de elegir AH (Encabezado autenticados) o ESP (carga útil de seguridad de encapsulación). En casi todas las circunstancias, el ESP se utiliza, ya que es la única opción que cifra trá fi co. AH sólo proporciona la garantía del trá fi co vino de la fuente de confianza y se utiliza muy poco.
Fase 2 Los algoritmos de cifrado En los sistemas con AES-NI, la opción más rápida y segura es AES-GCM, siempre que el dispositivo remoto es compatible con él también. Cuando se utiliza AES-GCM en la Fase 2, utilizar AES en la Fase 1 con una longitud de clave equivalente. Además, si se utiliza AES-CGM, no seleccione las opciones para Los algoritmos hash en la Fase 2. Al utilizar sistemas con glxsb aceleradores, tales como ALIX, elija AES 128 para un mejor rendimiento. Para sistemas con hifn aceleradores, eligieron 3DES o AES para un mejor rendimiento. Tanto AES y Blow fi sh permite la selección de la longitud de la clave del cifrado en diversos pasos entre 128 bits y 256 bits. Los valores más bajos serán más rápidos, los valores más grandes son más segura mediante cifrado. En los sistemas sin un acelerador de hardware de criptografía, Blow peces y REPARTO son las opciones más rápidas.
Las opciones de cifrado fase 2 permiten múltiples selecciones de modo que, o bien múltiples opciones serán aceptadas cuando actúa como un respondedor, o múltiples combinaciones serán juzgados cuando se trabaja como un iniciador. Lo mejor es sólo para seleccionar la cifra deseada sola, pero en algunos casos la selección de múltiples permitirá un túnel a trabajar mejor, tanto en un respondedor y el papel de iniciador.
Fase 2 Los algoritmos hash Al igual que con los algoritmos de cifrado, se pueden seleccionar múltiples hashes. Todavía es mejor sólo para seleccionar la opción deseada solo si es posible. Para más discusiones sobre la calidad de los diversos tipos de hash, consulte Fase 1 algoritmos hash.
Nota: Cuando se utiliza AES-GCM para el Fase 2 Algoritmo de cifrado, no seleccione alguna opciones para el algoritmo de hash!
19.2. La elección de opciones de con fi guración
323
El libro pfSense, Liberación
grupo clave PFS Perfect Forward Secrecy (PFS) proporciona material de claves con mayor entropía, mejorando por lo tanto la seguridad criptográfica de la conexión, a costa de mayor uso de la CPU cuando se produce cambio de claves. Las opciones tienen las mismas propiedades que la opción del grupo DH clave en la fase 1 (Véase DH grupo clave), y algunos productos también se refieren a ellos como valores “DH”, incluso en la Fase 2.
Toda la vida
los Toda la vida opción especí fi ca con qué frecuencia se debe rekeyed la conexión, en cuestión de segundos. 3600 segundos en la fase 2 es una con fi guración común y es apropiado para la mayoría de los escenarios.
Automáticamente anfitrión Ping (Keep Alive)
Para el uso en túneles no móviles, esta opción le dice al cortafuego para iniciar un ping periódicamente a la dirección IP fi cado. Esta opción sólo funciona si el cortafuego tiene una dirección IP dentro de la Red local Para esta fase 2, la categoría y el valor de la acogida de ping aquí debe estar dentro de la Red remota.
IPsec y reglas de cortafuego Cuando un túnel IPsec es con fi gurado pfSense añade automáticamente la normativa fi cortafuego ocultos para permitir que los puertos UDP 500 y
4500, y el protocolo ESP de la pasarela remota dirección de IP destinada a la Interfaz Dirección IP ed especificidad en el túnel con fi guración. Cuando está habilitado el soporte de cliente móvil se añaden las mismas reglas fi cortafuego excepto con el conjunto de la fuente alguna. Para anular la adición automática de estas reglas, comprobar Desactivar todos VPN auto-añadido reglas bajo Sistema
> Avanzado sobre el Firewall / NAT lengüeta. Cuando la caja está marcada, reglas de cortafuego deben añadirse manualmente para UDP 500, UDP 4500, y ESP a la interfaz WAN apropiado. Traf fi c iniciada desde el extremo remoto de una conexión IPsec se filtra con las reglas con fi gurado bajo Cortafuegos> Reglas sobre el IPsec lengüeta. Aquí se pueden imponer restricciones sobre los recursos accesibles a los usuarios remotos IPsec. Para controlar qué tráfico c puede transmitirse de redes locales a los dispositivos remotos IPsec VPN conectados o redes, las normas de la interfaz local donde el anfitrión reside controlar el tráfico c (por ejemplo, la conectividad de los alojamientos de LAN están controladas con las normas de LAN).
Sitio a Sitio Un sitio a sitio interconexiones túnel IPSec dos redes como si estuvieran conectados directamente por un router. Sistemas en el sitio A pueden alcanzar los servidores u otros sistemas en el sitio B, y viceversa. Este tráfico c también puede ser regulada a través de reglas fi cortafuego, como con cualquier otra interfaz de red. Si más de un cliente se conectará a otro sitio desde el mismo lugar controlado, un túnel de sitio a sitio probablemente será más e fi ciente, por no mencionar más conveniente y más fácil de soportar. Con un túnel de sitio a sitio, los sistemas de las dos redes no necesitan tener ningún conocimiento de que existe una VPN. No se necesita ningún software cliente, y todo el trabajo del túnel está a cargo de los routers. Esto también es una buena solución para los dispositivos que cuentan con el apoyo de la red, pero no manejan las conexiones VPN, tales como impresoras, cámaras, sistemas HVAC y otro hardware embebido.
De sitio a sitio de ejemplo con fi guración La clave para hacer un túnel IPsec de trabajo es asegurar que ambas partes tienen la configuración de coincidencia para la autenticación, cifrado, y así sucesivamente. Antes de empezar, hacer una nota de las direcciones WAN IP local y remota, así como los locales
324
Capítulo 19. IPsec
El libro pfSense, Liberación
y subredes internas remotos que serán transportados a través del túnel. Una dirección IP de la subred remota a ping es opcional, pero se recomienda para mantener el túnel vivo. El sistema no comprueba las respuestas, ya que cualquier trá fi co inició a una dirección IP en la red remota dará lugar a la negociación de IPsec, por lo que no importa si el host responde realmente o no, siempre y cuando se trata de una dirección IP en el otro lado de la conexión. Aparte del túnel cosmética Descripción y estas piezas de información, los otros parámetros de conexión serán idénticos.
En este ejemplo y algunos de los ejemplos posteriores en este capítulo, se supondrá que los siguientes ajustes:
Tabla 19.1: IPsec Configuración de punto final
Un sitio
El sitio B
Nombre
Austin O fi cina Nombre
Londres O fi cina
IP WAN
198.51.100.3 IP WAN
203.0.113.5
subred LAN
10.3.0.0/24
subred LAN
10.5.0.0/24
IP LAN
10.3.0.1
IP LAN
10.5.0.1
Añadir P1. Se muestra la página fi guración 1 con fase para el túnel.
Comience con sitio A. Crear el túnel haciendo clic Muchos de estos ajustes pueden dejarse en sus valores por defecto.
En primer lugar, fi ll en la sección superior que contiene la información general de la fase 1, se muestra en la figura fi gura-vpn-túnel-settings. Se requieren elementos en negrita. Especifique la configuración como se describe:
Discapacitado Desactive esta casilla para que el túnel estará en funcionamiento.
versión de intercambio de claves especificidad es si utilizar o IKEv1 IKEv2. Para este ejemplo, IKEv2 se utiliza, pero si por un lado no es compatible con IKEv2, utilice IKEv1 lugar. protocolo de Internet Estarán IPv4 en la mayoría de los casos a menos que ambos tienen las WAN IPv6, en cuyo caso cualquiera de los tipos
puede ser usado.
Interfaz Lo más probable es ajustado a WAN, pero véase la nota al Selección de la interfaz en la selección de la interfaz adecuada cuando no esté seguro.
Puerta de enlace remota La dirección de la WAN al sitio B, 203.0.113.5 en este ejemplo.
Descripción Algunos texto para indicar el propósito o la identidad del túnel. Es una buena idea poner el nombre
del sitio B en esta caja, y algunos detalles sobre el propósito del túnel para ayudar con la futura administración. Para este ejemplo Oficina ExampleCo Londres se utiliza para la Descripción para identificar dónde termina el túnel.
Fig. 19.1: Sitio Configuración de túnel de una VPN
19.4. Sitio a Sitio
325
El libro pfSense, Liberación
La siguiente sección controla IPsec fase 1, o de autenticación. Se muestra en la figura El sitio A Fase 1 Ajustes . Los valores por defecto son deseables para la mayoría de estos ajustes, y simpli fi ca el proceso. método de autentificación El valor por defecto, PSK mutua, se utiliza para este ejemplo. Mi identi fi cador El valor por defecto, Mi dirección IP, se mantiene. Peer identi fi cador El valor por defecto, Dirección IP de pares, se mantiene.
Pre-Shared Key Este es el escenario más importante para conseguir la correcta. Como se ha mencionado en el resumen de VPN,
IPsec usando claves pre-compartidas puede romperse si se utiliza una clave débil. Utilizar una clave fuerte, al menos 10 caracteres de longitud que contiene una mezcla de letras mayúsculas y minúsculas, números y símbolos. necesitará la misma clave que se introducirán en la con fi guración del túnel para el sitio B más tarde, por lo que anotarlo o copiar y pegarlo en otro lugar. Copiar y pegar puede ser útil, especialmente con una clave compleja como abc123% XyZ9 $ 7qwErty99.
Algoritmo de cifrado Utilizar AES con una longitud de clave de 256 bits. Hash Algorithm Utilizar SHA256 si ambas partes apoyan, de lo contrario utilizar el valor predeterminado SHA1.
Grupo DH El valor por defecto de 2 (1024 bits) está bien, los valores más altos son más seguros, pero utilizan más CPU. Toda la vida También puede ser especi fi cado, de lo contrario el valor por defecto de 28800 se utilizará. Desactivar cambio de contraseña Deja sin marcar
Sólo respondedor Deja sin marcar NAT Dejar encendido Auto, ya que en este ejemplo no cortafuego está detrás de NAT. Dead Peer Detection Deja marcada, el valor por defecto Retrasar de 10 y segundo Los fracasos Max de 5 es ade-
cuada. Dependiendo de las necesidades en un sitio de un valor más alto puede ser mejor, como 30 y segundo 6 reintentos, sino una conexión WAN problemático en ambos lados pueden hacer que demasiado baja. Hacer clic Salvar para completar la configuración de fase 1.
Después de la fase 1 se ha añadido, añadir una nueva fase 2 de fi nición a la VPN:
•
Hacer clic
Mostrar Fase 2 entradas como se ve en la figura Un sitio de la Fase 2 Lista (vacío) para expandir la lista de fase 2 para esta VPN.
•
Hacer clic
Añadir P2 para añadir una nueva entrada en la fase 2, como se ve en la figura Adición de una entrada en la fase 2 a sitio .
Ahora agregue la configuración para la fase 2 de esta VPN. Los ajustes para la fase 2 (figura Del sitio Configuración general de la Fase 2 ) puede variar más de fase 1.
Modo Dado que se desea un túnel tráfico c, seleccionar IPv4 túnel
subred local Lo mejor es dejar esto como Subred LAN, pero también podría ser cambiado a Red con el buen
valor de subred llenan de, en este caso 10.3.0.0/24. Si se deja tal subred LAN se asegurará de que si pasa a ser la red, este extremo del túnel seguirá. Si eso sucede, el otro extremo se debe cambiar manualmente.
NAT / binat Ajustado a Ninguna.
subred remota Ajuste a la red en el sitio B, en este caso 10.5.0.0/24. El resto de los 2 ajustes de fase, visto en la figura Fase 2 Configuración del sitio , cubrir el cifrado del tráfico c. Los algoritmos de cifrado y algoritmos hash se pueden establecer para permitir múltiples opciones en la fase 2, y ambas partes negociarán y acordarán los ajustes, siempre que cada lado tiene al menos uno de cada uno en común. En algunos casos eso puede ser una buena cosa, pero es generalmente mejor para restringir esto a las opciones especí fi cos individuales deseados en ambos lados. Protocolo Ajustado a ESP para el cifrado.
326
Capítulo 19. IPsec
El libro pfSense, Liberación
Fig. 19.2: Sitio una fase 1 Ajustes
Fig. 19.3: sitio Fase 2 Lista (vacío)
Fig. 19.4: Adición de una entrada en la fase 2 a sitio
19.4. Sitio a Sitio
327
El libro pfSense, Liberación
Fig. 19.5: sitio Fase 2 Configuración general
Algoritmo de cifrado Lo ideal sería que, si ambas partes lo apoyan, seleccionar AES256-GCM con un 128 bits longitud de la clave.
De lo contrario, utilice AES 256, o cualquiera de cifrado ambos extremos apoyarán.
algoritmo de hash Con AES-GCM en uso, no se requiere de hash. De lo contrario, utilice SHA 256 o SHA 1. Evitar MD5 cuando sea posible. PFS Confidencialidad directa perfecta puede ayudar a proteger contra ciertos ataques clave, pero es opcional. En este ejemplo, está desactivado.
Toda la vida Utilizar 3600 para este ejemplo.
Fig. 19.6: Sitio una fase 2 Ajustes Por último, una dirección IP se puede introducir para un sistema de la LAN remota que se enviará periódicamente un ICMP ping, como en la figura Un sitio de Keep Alive . El valor de retorno del ping no está marcada, esto sólo enviará trá fi co del túnel de manera que se quedará establecida. En esta configuración, la dirección IP de LAN del router pfSense en el sitio B, 10.5.0.1, se utiliza. Para fi nalizar la configuración y ponerlos en acción: * Pulse Salvar * Hacer clic Aplicar cambios en la pantalla de IPsec túneles, como se ve en la figura Aplicar configuración de IPsec .
328
Capítulo 19. IPsec
El libro pfSense, Liberación
Fig. 19.7: Sitio A Keep Alive
Fig. 19.8: Aplicar configuración IPsec
El túnel para el sitio A es terminado, pero ahora se necesitan reglas fi cortafuego para permitir tráfico c de la red en el sitio B para entrar a través del túnel IPsec. Estas reglas deben ser añadidos a la IPsec lengüeta debajo Las reglas del cortafuegos. Ver firewall para la especificación cs en la adición de reglas. Las reglas pueden ser tan permisiva como se desee, (permitir cualquier protocolo desde cualquier parte), o restrictiva (permitir TCP desde un host determinado en el sitio B a un cierto anfitrión del sitio en un determinado puerto). En cada caso, asegúrese de que la dirección de origen (en) son direcciones B, tales como 10.5.0.0/24. Las direcciones de destino será el sitio de la red, 10.3.0.0/24.
Ahora que sitio es con fi gurado, es el momento de abordar el sitio B. Repetir el proceso en el router de sitio B para agregar un túnel. Sólo unas pocas partes de esta configuración serán diferentes desde el sitio A como se muestra en la figura El sitio B Fase 1 Ajustes y la figura El sitio B Fase 2 Ajustes :
• Los ajustes de fase 1 para la dirección WAN y Descripción • Las redes de túneles fase 2 • El ajuste Mantener Vivo Añadir a la Fase 1 con el Sitio B cortafuego usando los mismos ajustes utilizados en el sitio, pero con las siguientes diferencias:
Puerta de enlace remota La dirección de la WAN al sitio, 198.51.100.3.
Descripción Oficina Austin ExampleCo. •
Hacer clic Salvar
Agregar una entrada en la fase 2 con el Sitio B cortafuego usando los mismos ajustes utilizados en el sitio, pero con las siguientes diferencias.
subred remota La red en el sitio, en este caso 10.3.0.0/24. Automáticamente anfitrión de ping ( Figura El sitio B Keep Alive ). La dirección IP de la LAN de la fi cortafuegos pfSense en el Sitio
UN, 10.3.0.1. •
Hacer clic Salvar
• Hacer clic Aplicar cambios en la pantalla de túneles IPSec. Al igual que con el sitio A, también hay que añadir reglas fi cortafuego para permitir trá fi co en el túnel para cruzar desde el sitio A al sitio B. Añadir estas reglas a la pestaña IPsec bajo las reglas del cortafuegos. Para más detalles, véase IPsec y reglas de cortafuego . Esta vez, la fuente del trá fi co sería del sitio, destino del sitio B.
Ambos túneles están gurada ahora con fi y ahora están activos. Compruebe el estado de IPsec visitando Estado> IPsec. Una descripción del túnel se muestra junto con su estado. Si el túnel no aparece como Establecido, puede haber un problema de establecer el túnel. Esto pronto, la razón más probable es que ninguna de trá fi co ha tratado de cruzar el túnel. Puesto que la red local incluye una dirección que el cortafuego
ha, un botón de conexión se ofrece en esta pantalla que iniciará un ping a la fase 2. Haga clic en el control remoto
Conectar
VPN botón para intentar abrir el túnel, como se ve en la figura Un sitio de IPsec Estado . Si el botón de conexión no lo hace
19.4. Sitio a Sitio
329
El libro pfSense, Liberación
Fig 19.9:. Sitio B Fase 1 Ajustes
Fig 19.10:. Sitio B Fase 2 Ajustes
Fig 19.11:. Sitio B Keep Alive
330
Capítulo 19. IPsec
El libro pfSense, Liberación
aparecerá, tratar de ping a un sistema en la subred remota en el sitio B de un dispositivo dentro de la red local de fase 2 en el sitio A (o viceversa) y ver si el túnel establece. Mirar Las pruebas de conectividad IPsec para otros medios de prueba de un túnel.
Fig 19.12:. Sitio IPsec Status
De no ser así, los registros de IPsec ofrecerán una explicación. Ellos se encuentran debajo Estado> SystemLogs sobre el IPsec lengüeta. Asegúrese de comprobar el estado y los registros en ambos sitios. Para obtener más información para solucionar problemas, compruebe el Solución de problemas de IPsec
más adelante en este capítulo.
consideraciones de enrutamiento y de puerta de enlace Cuando el punto final de VPN, en este caso un fi cortafuegos pfSense, es la puerta de enlace predeterminada para una red normalmente no hay problemas con el enrutamiento. Como un PC cliente envía trá fi co, que se destinará a la fi cortafuegos pfSense, sobre el túnel, y por el otro extremo. Sin embargo, si el router pfSense no es la puerta de enlace predeterminada para una red dada, entonces tendrán que tomarse otras medidas de ruta.
Como un ejemplo, imaginemos que la fi cortafuegos pfSense es la puerta de enlace en el sitio B, pero no del sitio, como se ilustra en la figura
Sitio-a-sitio de IPsec Cuando pfSense no es la puerta de enlace . Un cliente, PC1 en el sitio B envía un ping a PC2 en el sitio A. El paquete sale PC1, a continuación, a través de la fi cortafuegos pfSense en el sitio B, a través del túnel, el fi cortafuegos pfSense en el sitio A, y a PC2. Pero lo que sucede en el camino de regreso? La puerta de enlace en PC2 es otro router por completo. La respuesta a la mesa de ping será enviado a la puerta de enlace y lo más probable es que se arrojó hacia fuera, o lo que es peor, puede ser enviada a cabo el enlace de Internet y se pierde de esa manera.
Hay varias formas de evitar este problema, y cualquiera puede ser mejor en función de las circunstancias de cada caso.
• Una ruta estática podría ser introducido en el router de puerta de enlace que va a redirigir tráfico c destinada para el otro lado del túnel a la fi cortafuegos pfSense. Incluso con esta ruta, se introducen complejidades adicionales porque este escenario da como resultado enrutamiento asimétrico como cubiertos en Derivación de
reglas de firewall para trá fi co en una misma interfaz .
• Una ruta estática podría añadirse a los sistemas cliente de forma individual para que sepan que enviar tráfico directamente a la c fi cortafuegos pfSense y no a través de su puerta de enlace predeterminada. A menos que haya sólo un pequeño número de máquinas que necesitan acceder a la VPN, se trata de un dolor de cabeza gestión y debe ser evitado.
• En algunas situaciones, puede ser más fácil de hacer que el fi pfSense cortafuegos la puerta de entrada y se deja manejar la conexión a Internet en lugar de la puerta de entrada existente.
pfSense-iniciado Traf fi c y IPsec Para acceder al extremo remoto de conexiones IPsec desde la fi pfSense cortafuegos en sí, “falso” el sistema a cabo mediante la adición de una ruta estática que apunta la red remota a la dirección IP de la LAN de la fi cortafuegos pfSense. Tenga en cuenta este ejemplo supone la VPN se conecta la interfaz LAN en ambos lados. Si la conexión IPsec está conectando una interfaz OPT, reemplazar las direcciones de interfaz y el IP de la interfaz en consecuencia. Debido a la forma de IPsec está ligada en el kernel de FreeBSD, sin la ruta estática del trá fi co seguirá tabla de enrutamiento del sistema, que es probable que enviar este trá fi co fuera de la interfaz WAN en lugar de sobre el túnel IPsec. tome la figura Sitio-a-sitio de IPsec , por ejemplo. Se requiere una ruta estática en cada cortafuego, que se realiza por primera adición de una puerta de enlace que apunta a la dirección IP LAN del cortafuego (Ver gateways ), y después añadir una ruta estática por medio de esta puerta de enlace (Ver Rutas estáticas ). Figura Sitio de una ruta estática a la subred remota mostrar la ruta que se añade en cada lado.
19.4. Sitio a Sitio
331
El libro pfSense, Liberación
Fig 19.13:. Site-to-Site IPsec Dónde pfSense no es la puerta de enlace
Fig 19.14:. Site-to-Site IPsec
Fig. 19.15: Sitio una ruta estática a la subred remota
332
Capítulo 19. IPsec
El libro pfSense, Liberación
Fig. 19.16: Sitio B ruta estática a subred remota
IPsec móvil La elección de un estilo de móvil IPsec Actualmente sólo un tipo de móvil IPsec puede ser con fi gurada a la vez, aunque hay varios estilos diferentes para elegir.
• IKEv2 con EAP-TLS para cada usuario certi fi cado de autenticación • IKEv2 con EAP-MSCHAPv2 de nombre de usuario local y la autenticación de contraseña • IKEv2 con EAP-RADIUS para la autenticación de nombre de usuario remoto y la contraseña • Xauth + PSK para nombre de usuario local o remoto y autenticación de contraseña • Xauth + RSA para certificados y nombre de usuario local o remoto y autenticación de contraseña •
Pre-Shared Key para la conectividad IPsec básica de los clientes más antiguos
• L2TP / IPsec para nombre de usuario local o remoto y autenticación de contraseña con los clientes que no soportan uno de los métodos anteriores. Al escribir estas líneas, la mayor parte corriente sistemas operativos soportan nativamente IKEv2 o puede usar una aplicación / complemento. Actualmente, es la mejor opción, y será el que demostrará más adelante en este capítulo. Windows 7 y superior, Mac OS X 10,11 (El Capitán) y más tarde, el IOS 9 y posterior, y la mayoría de las distribuciones de Linux tienen soporte incorporado para IKEv2. Hay una aplicación simple-strongSwan IKEv2 de usar para Android 4.x y versiones posteriores.
Nota: Todos los tipos de IKEv2 requieren una estructura de certi fi cado que incluye al menos un Certi fi cado de autoridad y un Servidor de Certi fi cado, y en algunos casos el usuario certi fi cados. Para obtener más información sobre los Certificados fi, véase Gestión de certi fi cado . Los clientes pueden ser muy exigente con los atributos de certi fi cado, así que presta mucha atención a este capítulo cuando se crea la estructura de certi fi cado.
Advertencia: Al generar una Servidor de Certi fi cado para su uso con IKEv2, el nombre común de la certi fi cado debe ser el nombre del cortafuego, tal como existe en el DNS. El nombre se debe repetir de nuevo como un nombre alternativo del sujeto tipo FQDN (SAN). La dirección IP del cortafuego también debe estar presente como un tipo de dirección IP SAN. Esta información se repetirá más adelante en el capítulo, pero requiere un énfasis adicional debido a su importancia. Ver Crear un servidor de Certi fi cado
IKEv2 con EAP-MSCHAPv2 Con soporte para IKEv2 ha extendido, es una opción ideal para los sistemas operativos actuales. Aunque hay varias variaciones, EAP-MSCHAPv2 es el más fácil para con fi gura ya que no requiere la generación o la instalación por usuario certificados y no requiere un servidor RADIUS de trabajo. El Certi fi cado de CA aún debe ser instalado en el cliente como una raíz de confianza certi fi cado.
19.5. IPsec móvil
333
El libro pfSense, Liberación
EAP-MSCHAPv2 permite contraseñas de autenticación de nombre de usuario y la contraseña utilizando almacenados en el Pre-Shared Keys
lengüeta debajo VPN> IPsec. Estas contraseñas se almacenan en texto plano, por lo que no es tan seguro como el uso de un servidor RADIUS, aunque es más conveniente.
IKEv2 con EAP-RADIUS EAP-RADIUS funciona de forma idéntica a EAP-MSCHAPv2 excepto que pasa a través de la autenticación de usuarios RADIUS. Cuando se elige EAP-RADIUS, un servidor RADIUS debe a la Los clientes móviles lengüeta. El servidor RADIUS debe aceptar y entender solicitudes de EAP y también debe permitir que MSCHAPv2. La seguridad de contraseña se deja hasta el servidor RADIUS. EAP-RADIUS es normalmente la mejor opción cuando un servidor RADIUS está disponible.
IKEv2 con EAP-TLS EAP-TLS utiliza autenticación por usuario certi fi cado en lugar de nombre de usuario y contraseña de autenticación. Como tal, EAP-TLS requiere la generación de certi fi cados para cada usuario, lo que hace que sea un poco más engorroso desde un punto de vista de la administración. certi fi cados se validan con el CA similar a OpenVPN. El CA certi fi cado, el usuario certi fi cado y su clave asociada todos deben ser importados al cliente correctamente.
Advertencia: Al crear certi fi cados de usuario, el nombre de usuario debe ser utilizado como el nombre común y el certi fi cado de nuevo
como DNS / Tipo FQDN nombre alternativo del sujeto. Si el mismo nombre no está presente en ambos lugares, los clientes no pueden ser validados correctamente.
IKEv1 con Xauth y Pre-Shared Keys Xauth + PSK funciona en la mayoría de plataformas, la notable excepción de las versiones actuales de Android. Windows XP a través de Windows 8 se puede utilizar el cliente domada suave, pero Windows 10 no funciona actualmente con cualquier cliente. OS X y iOS pueden utilizar su incorporado en el cliente para conectarse.
Nota: Al utilizar Xauth, los usuarios locales deben existir en el Administrador de usuarios y los usuarios deben tener la Usuario - VPN - IPSec Xauth Dialin privilegio.
IKEv1 con Xauth y RSA Certificados fi Xauth + RSA funciona en la mayoría de las mismas condiciones que xauth + PSK, a pesar de que de hecho funciona en los dispositivos Android actuales. certi fi cados deben hacerse para cada usuario, y los certi fi cados deben ser importados a los clientes.
IKEv1 con claves compartidas Sólo Pre-Shared Key única IPsec VPN IPsec para móviles se han convertido en rara en los tiempos modernos. Apoyo no fue muy común, sólo se encuentra en el cliente domada suave, algunas versiones de Android muy especí fi cos (como los de Motorola), y en otros clientes de terceros. No son muy seguros, y ya no se recomiendan para uso general. La única vez que es posible que se necesiten en casos cuando el otro extremo no puede apoyar cualquier otro método.
L2TP / IPsec (IKEv1) L2TP / IPsec es una combinación única que, por desgracia, no funciona muy bien en la mayoría de los casos. En este tipo de configuración, móvil IPsec está configurado para aceptar conexiones de modo de transporte que aseguran todas de trá fi co entre los puntos extremos de la dirección IP pública. A través de este canal de transporte, una conexión L2TP se hace para usuario túnel tráfico c de una manera más flexible.
334
Capítulo 19. IPsec
El libro pfSense, Liberación
Aunque el apoyo a este modelo se encuentra en la mayoría de las versiones de Windows, Mac, Android y otros sistemas operativos, todos ellos son exigentes en diferentes formas incompatibles acerca de lo que va a trabajar.
Por ejemplo, el cliente de Windows no funciona correctamente cuando el sistema cliente está detrás de NAT, que es el lugar más común que un cliente VPN sería hallar en sí. El problema es en una interacción entre el cliente y el demonio de IPsec utilizado en pfSense, strongSwan. El proyecto strongSwan afirma que es un error en el cliente de Windows, pero es poco probable que sea fijo, ya que ambos strongSwan y Windows han centrado sus esfuerzos en las implementaciones de clientes móviles más modernos y seguros, como IKEv2 lugar.
Advertencia: L2TP / IPsec debe evitarse siempre que sea posible.
Ejemplo IKEv2 Servidor Con fi guración Hay varios componentes a la configuración del servidor con fi para los clientes móviles:
•
La creación de una estructura de certi fi cado para la VPN
• Con fi guración del IPsec Cliente móvil ajustes • La creación de la fase 1 y fase 2 para la conexión de cliente •
Adición de reglas fi cortafuego IPsec.
• Crear credenciales de usuario de la VPN
IKEv2 Certi fi cado de Estructura Crear una Autoridad Certi fi cado
Si un Certi fi cado adecuada Autoridad (CA) no está presente en el Administrador Cert, creando una es la primera tarea:
• Navegar a Sistema> Administrador de Cert en la fi cortafuegos pfSense
•
Hacer clic
Añadir para crear una nueva autoridad de certi fi cado
• Seleccionar Crear una Autoridad Certi fi cado interno para el Método •
Rellene el resto de los campos como se desee con la información del sitio-específico de la empresa o
•
Hacer clic Salvar
Crear un servidor de Certi fi cado
Advertencia: Siga estas instrucciones exactamente, prestando especial atención a cómo se crea el servidor certi fi cado en cada paso. Si cualquiera de las partes no es correcta, algunos o todos los clientes no puedan conectarse.
• Navegar a Sistema> Cert Manager, Certi fi cados pestaña en la fi cortafuegos pfSense
•
Hacer clic
Añadir para crear un nuevo certi fi cado
• Seleccionar Crear un certi fi cado interno para el Método • Entrar a Nombre descriptivo como IKEv2 servidor • Seleccione la apropiada Autoridad certi fi cado creado en el paso anterior
19.5. IPsec móvil
335
El libro pfSense, Liberación
• Elegir el deseado Longitud de la clave, Algoritmo de resumen, y Toda la vida •
Selecciona el Certi fi cado de Tipo a Servidor de Certi fi cado
• Rellene los valores regionales y compañía en el Nombre distinguido campos como se desee, que se copian de la CA y puede dejarse como está
• Introducir el Nombre común como el nombre de host del cortafuego tal como existe en el DNS. Si los clientes se conectarán mediante la dirección IP, la dirección IP colocar aquí en vez
•
Hacer clic
Añadir añadir un nuevo Nombre alternativo
• Entrar DNS en el Tipo campo •
Introduzca el nombre de host del cortafuego tal como existe en el DNS de nuevo en el Valor campo
•
Hacer clic
Añadir añadir otro nuevo Nombre alternativo
• Entrar IP en el Tipo campo • Introduzca la dirección IP WAN del cortafuego en el Valor campo • Añadir más Nombres alternativos según sea necesario para nombres de host o direcciones IP en el cortafuego que los clientes pueden utilizar para conectar
•
Hacer clic Salvar
Configuración de cliente móviles
Antes de con fi gurar una instancia de IPsec móvil, en primer lugar elegir un rango de direcciones IP que puede utilizar para los clientes móviles. Asegúrese de que las direcciones IP no se solapan cualquier red existente; Las direcciones IP deben diferir de los que se utilizan en el lugar de alojamiento del túnel móvil, así como la LAN de la que el cliente se va a conectar. En este ejemplo, 10.3.200.0/24 será utilizado, pero puede ser cualquier subred sin usar.
En primer lugar, permitir IPsec en el cortafuego si ya no se ha habilitado:
• Navegar a VPN> IPsec •
Comprobar Habilitar IPsec
•
Hacer clic Salvar
soporte al cliente móvil también debe estar habilitado:
• Navegar a VPN> IPsec •
Haga clic en la pestaña de clientes móviles (Figura Permitir a los clientes móviles IPsec ).
• Comprobar Habilitar el soporte de cliente móvil IPsec
Fig. 19.17: permitir a los clientes móviles IPsec
• Deje las fuentes de autenticación establecidos a Base de datos local, como se ve en la figura Autenticación de clientes móviles . Este ajuste no es necesario para EAP-MSCHAPv2, pero debe tener algo seleccionado. RADIUS servidores se define en el Administrador de usuarios ( Gestión de usuarios y autenticación ) Se pueden seleccionar aquí para autenticar a los usuarios cuando se utiliza EAP-RADIUS.
336
Capítulo 19. IPsec
El libro pfSense, Liberación
Fig. 19.18: autenticación móvil Clientes
Algunos ajustes pueden ser empujados al cliente, tales como la dirección IP del cliente y los servidores DNS. Estas opciones se muestran en la figura Los clientes móviles
empujado Ajustes . El apoyo a estas opciones varía entre los clientes, pero es común y bien apoyado en la mayoría de los sistemas operativos actuales.
Conjunto de direcciones virtuales Define el conjunto de direcciones IP que se entregarán a los clientes. Utilizar
10.3.200.0/24 para este ejemplo. IPv6 virtual Conjunto de direcciones Igual que el anterior, pero para direcciones IPv6.
Lista de redes Controla si el cliente intentará enviar todo su tráfico a través del túnel c, o únicamente trá fi co de redes específicas. Si se selecciona esta opción, entonces la redes de fi nido en el Red local Opciones para la fase móvil 2 Definiciones serán enviados al cliente. Si esta opción no está marcada, los clientes intentan enviar la totalidad de su trá fi co, incluyendo el tráfico de Internet fi co, a través del túnel. No todos los clientes respetan esta opción. Para este ejemplo, el cliente sólo puede alcanzar la red en la fase 2, a fin de comprobar esta opción.
Guardar contraseña Xauth Cuando está marcada, los clientes que apoyan este control permitirá al usuario guardar su
credenciales cuando se utiliza Xauth. Esto se respeta principalmente por los clientes basados en Cisco como la hallada en iOS y Mac OS X. Desde IKEv2 se está utilizando en este ejemplo, no es importante. DNS de dominio predeterminado Cuando se activa, el valor introducido en el cuadro será empujado a los clientes como su
dominio predeterminado para su fi x peticiones DNS. Por ejemplo, si se establece en example.com y un cliente solicita anfitrión, entonces la petición DNS se trató de host.example.com. DNS dividido Controla la forma en que el cliente enviará solicitudes DNS al servidor DNS (si lo hay). Si esto opción no está marcada, el cliente envía todas sus peticiones DNS a un servidor DNS proporcionado. Si se marca la opción, pero deja en blanco, y una DNS de dominio predeterminado se establece, entonces sólo las solicitudes de ese nombre de dominio irá al servidor DNS proporcionado. Si se comprueba y se introduce un valor, entonces sólo pide para el dominio (s) introducida en el cuadro será remitido al servidor DNS proporcionado. En este ejemplo, tanto example.com y example.org se utilizan y las solicitudes de DNS para esos dos dominios se ir a los servidores VPN, por lo que entrar en esos valores aquí separadas por un espacio.
Servidores DNS Cuando Proporcionar una lista de servidores DNS a los clientes está marcada, y se introducen las direcciones IP de
los servidores DNS locales, tales como 10.3.0.1, estos valores se envían a los clientes para su uso, mientras que el VPN está conectado.
Nota: Si los clientes móviles ruta a Internet a través de la VPN, garantizar a los clientes obtener un servidor DNS del cortafuego utilizando esta opción, y que no tienen DNS dividido habilitado. Si esto no se hace, los clientes intentarán conseguir DNS de cualquier servidor al que fueron asignados por su ISP, pero enrutar la solicitud a través del túnel y lo más probable es que se producirá un error.
Servidores WINS Funciona de forma similar a los servidores DNS, pero para WINS. Rara vez se utiliza en estos días, es mejor dejar desactivada.
Fase 2 Grupo PFS Anula el ajuste de la SSP para las 2 entradas fase móvil. Generalmente es mejor para establecer este Valor de las entradas P2 de forma individual, así que deje sin marcar.
Entrar Banner Trabajos voluntarios, y sólo en los clientes Xauth. Deja sin control y en blanco.
19.5. IPsec móvil
337
El libro pfSense, Liberación
Fig. 19.19: Configuración de clientes móviles empujado
338
Capítulo 19. IPsec
El libro pfSense, Liberación
• Hacer clic Salvar pfSense y mostrará una advertencia de que no hay fase 1 definición para los clientes móviles • Hacer clic Crear Fase 1 para hacer una nueva entrada en la fase 1 para clientes móviles (Figura Los clientes móviles Fase indicativo 1 Creación )
•
Haga clic en el túneles lengüeta
Fig. 19.20: Los clientes móviles Fase 1 pronta creación
Se presenta la Fase 1 con fi guración para clientes móviles, y debe ser con fi gurado de la siguiente manera: Versión de intercambio de claves Ajustado a V2
protocolo de Internet Ajustado a IPv4 para este ejemplo Interfaz Ajustado a PÁLIDO
Descripción Ajustado a IPsec móvil método de autentificación Ajustado a EAP-MSCHAPv2
Mi identi fi cador Escoger Nombre distinguido de la lista desplegable y luego introduzca el nombre de host del fi cortafuegos, misma que se inscribió en el certi fi cado de servidor, vpn.example.com Peer identi fi cador Ajustado a Alguna
Mi Certi fi cado Elija el fi cado de IPsec servidor Certi creado anteriormente
Mi Autoridad Certi fi cado Elija la Autoridad Certi fi cado creado anteriormente
Algoritmo de cifrado Ajustado a 3DES ( O AES 256 si no hay IOS / Dispositivos OS X) Hash Algorithm Debe establecerse en SHA1 ( O SHA256 si no hay IOS / Dispositivos OS X) grupo clave DH Debe establecerse en 2 (1024 bits) Toda la vida Debe establecerse en 28800
Desactivar Rekey Deja sin marcar
Desactivar reauth Deja sin marcar
Sólo respondedor Deja sin marcar MOBIKE Ajustado a Habilitar para permitir a los clientes vagan entre las direcciones IP, establezca lo contrario a Inhabilitar.
•
Hacer clic Salvar
•
Hacer clic
Mostrar Fase 2 entradas para ampliar la lista de la fase móvil 2 entradas
•
Hacer clic
Añadir P2 para añadir una nueva fase móvil 2.
Figura Los clientes móviles Fase 2 muestra la fase 2 opciones para este túnel móvil. Modo Ajustado a IPv4 túnel
Red local Ajustado a subred LAN u otra red local. Para túnel todo tráfico c sobre el VPN, el uso Red e introduzca 0.0.0.0 con una máscara de 0 NAT / binat Ajustado a Ninguna
Protocolo Ajustado a ESP, que cifrar el tráfico tunelizado fi c
19.5. IPsec móvil
339
El libro pfSense, Liberación
Fig. 19.21: Fase 1 clientes móviles
Los algoritmos de cifrado Debe establecerse en AES con Auto seleccionado para la longitud de clave. también seleccione 3DES Si iOS
u OS X clientes se conectarán. Los algoritmos hash Seleccionar SHA1 y SHA256 PFS Debe establecerse en apagado Toda la vida Ajustado a 3600
•
Hacer clic Salvar
•
Haga clic en Aplicar cambios (figura Aplicar Configuración de túnel móvil ) y entonces la configuración del túnel para los clientes móviles se ha completado.
Creación del usuario móvil IPsec
El siguiente paso es agregar los usuarios para el uso de EAP-MSCHAPv2.
• Navegar a VPN> IPsec, Pre-Shared Keys lengüeta
•
Hacer clic
•
Con fi gura las opciones de la siguiente manera:
Añadir para agregar una nueva clave
Identi fi cador El nombre de usuario para el cliente, puede expresarse de varias maneras, tales como una dirección de correo electrónico como
[email protected] Tipo secreto Ajustado a EAP para los usuarios de EAP-MSCHAPv2
Pre-Shared Key La contraseña para el cliente, por ejemplo, abc123
•
340
Hacer clic Salvar
Capítulo 19. IPsec
El libro pfSense, Liberación
Fig. 19.22: Los clientes móviles Fase 2
Fig. 19.23: Aplicar Configuración de túnel móviles
19.5. IPsec móvil
341
El libro pfSense, Liberación
•
Repita tantas veces como sea necesario para los usuarios adicionales de VPN. Un usuario
completa se muestra en la figura Móvil del usuario IPsec .
Fig 19.24:. Usuario móvil IPsec
Las reglas del cortafuegos
Al igual que con los túneles estáticos de sitio a sitio, también necesitarán reglas cortafuego añaden a los túneles móviles IPsec lengüeta debajo firewall
> Reglas. En este caso la fuente del trá fi co sería la subred elegido para los clientes móviles y el destino será la red LAN o alguna Si un túnel todas de trá fi co. Para más detalles, IPsec y reglas de cortafuego .
Con fi guración del cliente Cada equipo cliente móvil tendrá que tener una instancia de VPN añadió. En algunos casos puede ser necesario un cliente IPsec de terceros. Hay muchos clientes diferentes IPsec disponibles para su uso, algunos gratuitos y algunas aplicaciones comerciales. Con IKEv2, tal como se utiliza en este ejemplo, muchos sistemas operativos tienen clientes VPN nativos y no necesitan software adicional.
Ventanas IKEv2 Cliente Con fi guración Windows 8 y soportar fácilmente nuevos VPN IKEv2, y Windows 7 pueden, así, aunque los procesos son un poco diferentes. El procedimiento de esta sección se realizó en Windows 10, pero Windows 8 es casi idéntico. El procedimiento para importar certi fi cados a Windows 7 se puede encontrar en la strongSwan Wiki
Importar la CA para el PC Cliente • Exportar el Certi fi cado de CA de pfSense y descarga o copiarlo en el PC del cliente: -
Navegar a Sistema> Cert Manager, Autoridades certi fi cado pestaña en pfSense
-
Hacer clic
por la CA descargar sólo el certi fi cado
• Localizar la fi descargado le en el PC cliente (por ejemplo VPNCA.crt) como se ve en la figura Descargado Certi fi cado de CA • Doble clic en la CA fi l •
Hacer clic Instalar Certi fi cado ... como se muestra en Propiedades certi fi cado
•
Seleccionar Máquina local como se muestra en Certi fi cado de Asistente de importación - Ubicación de la tienda
•
Hacer clic Siguiente
• Hacer clic Sí en el indicador UAC si aparece •
342
Seleccionar Coloque todos los Certi fi cados en el siguiente almacén como se muestra en la figura Certi fi cado de Asistente de importación - Busque la tienda
Capítulo 19. IPsec
El libro pfSense, Liberación
Fig. 19.25: Descargado CA Certi fi cado
•
Hacer clic Vistazo
•
Hacer clic Autoridades Certificación raíz de confianza como se muestra en la figura Seleccionar Certi fi cado de tienda
•
Hacer clic Siguiente
•
Revisar los detalles, que deben coincidir con los de la figura Completando el Asistente para importación de Certi fi cado
•
Hacer clic Terminar
•
Hacer clic DE ACUERDO
•
Hacer clic DE ACUERDO
Configuración de la conexión VPN
Una vez que el certi fi cado se ha importado correctamente, es el momento de crear la conexión VPN cliente. Los pasos exactos pueden variar dependiendo de la versión de Windows utilizada por el cliente, pero estarán cerca con el siguiente procedimiento.
• Abierto Redes y recursos compartidos en el PC cliente • Hacer clic Configurar una nueva conexión o red •
Seleccionar Conectarse a un lugar de trabajo
•
Hacer clic Siguiente
• Seleccionar No, crear una nueva conexión •
Hacer clic Siguiente
• Hacer clic Usar mi conexión a Internet (VPN) • Introduzca la dirección IP o nombre de host del servidor en el dirección de Internet campo como se muestra en la figura Ventanas IKEv2 VPN pantalla Configuración de la conexión
Nota: Esta debe coincidir con lo que está en el certi fi cado de servidor Nombre común o una fi con gurado Nombre Asunto Alternativa!
• Entrar a Nombre del destino para identificar la conexión
19.5. IPsec móvil
343
El libro pfSense, Liberación
Fig. 19.26: Propiedades certi fi cado
344
Capítulo 19. IPsec
El libro pfSense, Liberación
Fig. 19.27: Certi fi cado del asistente de importación - Ubicación del almacén
19.5. IPsec móvil
345
El libro pfSense, Liberación
Fig. 19.28: Certi fi cado del asistente de importación - buscar la tienda
346
Capítulo 19. IPsec
El libro pfSense, Liberación
Fig. 19.29: Seleccionar Certi fi cado de tienda
•
Hacer clic Crear
La conexión se ha añadido pero con varios valores predeterminados indeseables. Por ejemplo el tipo por defecto automático. Unos ajustes deben configurarse manualmente primera para asegurar una conexión adecuada se hace. Refiérase a la Figura Propiedades de la conexión de Windows IKEv2 VPN
• En Conexiones de red / Configuración de adaptador de Windows, encontramos la conexión creada anteriormente
•
Haga clic derecho en la conexión
•
Hacer clic propiedades
•
Haga clic en el Seguridad lengüeta
• Ajuste Tipo de VPN a IKEv2
• Ajuste Cifrado de datos a Requerir cifrado (desconectar si el servidor) • Ajuste Protocolo / Uso de autenticación de autenticación extensible a Microsoft: contraseña segura (EAP-MSCHAP v2) (cifrado habilitado)
• Comparación de los valores en la pantalla para los de la figura Propiedades de la conexión de Windows IKEv2 VPN •
Hacer clic DE ACUERDO
La conexión está lista para usar.
Comprobar desactivar EKU
Cuando los Cates CA y certi fi servidor se realizan correctamente en pfSense 2.2.4 y posteriores, esto no es necesario. Si un improp- generada erly certi fi cado de servidor debe ser utilizado por alguna razón, entonces puede que sea necesario desactivar en Windows el cheque Uso de clave extendida. La desactivación de este control también desactiva la validación del nombre común del certi fi cado de y campos de SAN,
19.5. IPsec móvil
347
El libro pfSense, Liberación
Fig. 19.30: Finalización de la fi cado Asistente de importación cate
348
Capítulo 19. IPsec
El libro pfSense, Liberación
Fig 19.31:. Pantalla Configuración de la conexión de Windows IKEv2 VPN
19.5. IPsec móvil
349
El libro pfSense, Liberación
Fig. 19.32: Windows IKEv2 VPN Propiedades de conexión
350
Capítulo 19. IPsec
El libro pfSense, Liberación
por lo que es potencialmente peligroso. Cualquier certi fi cado de la misma CA podría ser utilizado para el servidor cuando se trata de personas con discapacidad, por lo que proceder con cautela.
Para desactivar los controles de uso de clave extendida, abre Editor de registro en el cliente de Windows y navegue hasta la ubicación si- guiente en el registro del cliente:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ RasMan \ Parameters \
Allí, añadir un nuevo DWORD entrada llamada DisableIKENameEkuCheck y ponerlo a 1. Un reinicio puede ser necesario para activar el ajuste.
basada en Ubuntu fi guración IKEv2 cliente de Con Antes de comenzar, instale network-manager-strongSwan y strongSwan-plugin-eap-mschapv2 utilizando apt-get o un mecanismo similar.
Configuración de la conexión VPN
• Copiar el Certi fi cado de CA para la VPN del cortafuego a la estación de trabajo • Haga clic en el Gerente de Redes icono en la bandeja fi cación NotI por el reloj (Icon varía dependiendo del tipo de red en uso)
• Hacer clic Conexiones de red •
Hacer clic Añadir
•
Seleccionar IPsec / IKEv2 (strongSwan) debajo VPN como se muestra en Adición de una VPN IKEv2 en Ubuntu
Fig. 19.33: Adición de una VPN IKEv2 en Ubuntu
Nota: Si la opción no está presente, vuelve a comprobar que network-manager-strongSwan esta instalado.
•
Hacer clic Crear
• Entrar a Descripción ( p.ej ExampleCo Mobile VPN) •
Selecciona el VPN Lengüeta
19.5. IPsec móvil
351
El libro pfSense, Liberación
• Introducir el Dirección del cortafuego (por ejemplo, vpn.example.com) • Seleccione el control junto a Certi fi cado y navegar para hallar el archivo descargado Certi fi cado de CA • Seleccionar EAP para Autenticación •
Introducir el Nombre de usuario para ser utilizado para esta conexión (por ejemplo, Alicia)
• Comprobar Solicitar una dirección IP interna •
Comparar los ajustes a los que se muestran en la fi gura Configuración del cliente VPN Ubuntu
•
Hacer clic Salvar
•
Hacer clic Cerca
Conexión y desconexión Para conectar:
• Haga clic en el Gerente de Redes icono • Haga clic en el nombre de VPN o clic Las conexiones VPN para mover el cursor a la En 1) posición Nota: Si no aparece una solicitud de contraseña, el servicio gestor de la red puede necesitar reinicia o un reinicio de la estación de trabajo puede ser necesario.
Para desconectar:
• Haga clic en el Gerente de Redes icono • Hacer clic Las conexiones VPN para mover el cursor a la Off (0) posición
Android strongSwan IKEv2 Cliente Con fi guración Nota: Android considera el uso de una VPN una acción que debe ser seguro. Al activar cualquier opción de VPN el sistema operativo obligará al usuario añadir algún tipo de bloqueo para el dispositivo si uno no está ya presente. No importa lo que se elige el tipo de bloqueo (bloqueo de PIN, Patrón de bloqueo, contraseña, etc.) pero no va a permitir que una VPN para con fi gurar hasta que un cierre de seguridad se ha añadido. En los dispositivos Android con la cerradura de la cara, que no está disponible como un tipo de bloqueo seguro.
Antes de comenzar, instale el strongSwan aplicación de Play Store :
Configuración de la conexión VPN
• Copiar el Certi fi cado de CA al dispositivo • Abrir la aplicación strongSwan • Importe el CA:
352
-
Toque el icono de configuración (tres puntos verticales en la parte superior derecha)
-
Grifo CA Certi fi cados
-
Toque el icono de configuración (tres puntos verticales en la parte superior derecha)
-
Grifo Certi fi cado de importación
-
Busque el Certi fi cado de CA copiado anteriormente y toque.
Capítulo 19. IPsec
El libro pfSense, Liberación
Fig. 19.34: Configuración de cliente VPN Ubuntu
19.5. IPsec móvil
353
El libro pfSense, Liberación
• Grifo Añadir VPN Per fi l
• Entrar a Per fi l Nombre ( opcional, si se deja en blanco, se utiliza la dirección de puerta de enlace) • Introduzca la dirección del cortafuego como el gateway ( p.ej vpn.example.com) •
Seleccionar IKEv2 EAP (nombre de usuario / contraseña) para el Tipo
•
Introducir el Nombre de usuario
• Introducir el Contraseña tener que recordar o dejarlo en blanco para que te pida la contraseña en cada conexión. •
Verificación Seleccionar automáticamente bajo CA Certi fi cado
• Comparar los ajustes a la figura Configuración del cliente Android strongSwan
Conexión y desconexión Para conectar:
• Abrir la aplicación strongSwan • Toca el VPN deseado •
Comprobar Confío en esta solicitud en el indicador de seguridad como se muestra en Configuración del cliente Android strongSwan
•
Toque Listo
para desconectar:
•
Desliza hacia abajo desde la barra de fi cación superior NotI
• Toque en la entrada strongSwan en la lista de noti fi cación • Grifo Desconectar Alternativamente:
• Abrir la aplicación strongSwan • Grifo Desconectar en la VPN deseado
OS X IKEv2 Cliente Con fi guración A partir de OS X 10,11 (El Capitán) es posible con fi gurar un tipo de VPN IKEv2 manualmente en la interfaz gráfica de usuario sin necesidad de una VPN Per fi l con fi guración fi l. Con fi guración de IKEv2 se integra en la configuración de administración de red al igual que otras conexiones. Antes de que un cliente se puede conectar, sin embargo, CA Certi fi cado del servidor VPN debe ser importado.
Importe el Certi fi cado de CA en OS X • Copiar el Certi fi cado de CA al sistema OS X • Haga doble clic en el archivo CA fi cado cado en el Finder (figura OS X Certi fi cado del archivo en el Finder ), que se abre Acceso a Llaveros
•
Busque el certi fi cado importada en el marco Iniciar sesión, Certi fi cados como se muestra en la figura X Llavero OS Identificación Login Lista de Certi fi cado
• Arrastre el certi fi cado a Sistema •
354
Introduzca las credenciales de inicio de sesión y haga clic modificar Llavero
Capítulo 19. IPsec
El libro pfSense, Liberación
19.5. IPsec móvil
355
El libro pfSense, Liberación
Fig. 19.36: Configuración de cliente Android strongSwan
Fig. 19.37: OS X Certi fi cado del archivo en el Finder
356
Capítulo 19. IPsec
El libro pfSense, Liberación
Fig. 19.38: X Llavero OS Identificación Login Certi fi cado Lista
19.5. IPsec móvil
357
El libro pfSense, Liberación
• Busque el certi fi cado importada en el marco Sistema, Certi fi cados como se muestra en la figura Sistema de acceso X Llavero OS Certi fi cado de Lista
Fig. 19.39: Sistema de Acceso X Llavero OS Certi fi cado Lista
•
Haga clic en el certi fi cado
•
Hacer clic Archivo> Obtener información
•
Expandir Confianza
• Ajuste Al utilizar este certi fi cado a Siempre confía como se muestra en la figura Ajustes Trust fi cado OS X cados
• Haga clic en el botón rojo de cierre para cerrar la ventana de información de certi fi cado, lo que provocará un mensaje de autenticación para permitir el cambio.
•
Introduzca las credenciales de inicio de sesión y haga clic Ajustes de actualización
• Dejar de Acceso a Llaveros El certi fi cado se encuentra ahora en el Sistema de Certificados fi y se ha marcado como de confianza para que pueda ser utilizado para la VPN.
358
Capítulo 19. IPsec
El libro pfSense, Liberación
Fig. 19.40: Configuración confían fi cado OS X cados
Configuración de la conexión VPN
• Abra Preferencias del Sistema • Hacer clic Red •
Haga clic en el icono de bloqueo e introduzca las credenciales para hacer cambios si todavía no se han desbloqueado los ajustes
•
Haga clic en + para agregar una nueva entrada de VPN como se muestra en la figura OS X Añadir botón Red
Fig. 19.41: OS X Añadir botón Red • Seleccionar VPN para el Interfaz • Seleccionar IKEv2 para el Tipo de VPN ( defecto) • Ajuste Nombre del Servicio para una descripción para la VPN (por ejemplo, ExampleCo VPN) para completar la forma, que será similar a la figura OS X Crear VPN Prompt
•
Hacer clic Crear
•
Introduzca el nombre de host del cortafuego en el DNS como el Dirección del servidor
•
Introduzca el nombre de host del cortafuego de nuevo en ID remoto
Nota: Este debe coincidir con la entrada Nombre Común y el certificado del servidor SAN fi cado de.
• Salir ID local espacio en blanco, la configuración ahora se verá como la figura Ajustes de VPN OS X IKEv2 •
Hacer clic Configuración de autenticación
•
Seleccionar Nombre de usuario
•
Introducir el Nombre de usuario y Contraseña como se muestra en la figura Configuración de autenticación OS X IKEv2 VPN
19.5. IPsec móvil
359
El libro pfSense, Liberación
Fig. 19.42: OS X Crear VPN Prompt
Fig. 19.43: Ajustes OS X IKEv2 VPN
360
Capítulo 19. IPsec
El libro pfSense, Liberación
Nota: Con EAP-MSCHAPv2 la Nombre de usuario es el Identi fi cador con fi gurado para la entrada del usuario en el Pre-Shared Keys lengüeta debajo VPN> IPsec. Con EAP-RADIUS este sería el nombre de usuario establecido en el servidor RADIUS.
Fig. 19.44: OS X IKEv2 Configuración de autenticación VPN
•
Comprobar Mostrar estado de VPN en la barra de menú ( Si es deseado)
•
Hacer clic Aplicar
Conexión y desconexión Administración de la conexión se puede hacer de varias maneras. El primer método es hacer clic Conectar o Desconectar en la entrada VPN en Configuración de red. El segundo método, más fácil es comprobar Mostrar VPN de estado en la barra de menú en la configuración de VPN y luego administrar la conexión de ese icono, como se muestra en la figura X VPN OS Menú Estado .
Fig 19.45:. Menú de estado X VPN OS
19.5. IPsec móvil
361
El libro pfSense, Liberación
IOS 9 IKEv2 Cliente Con fi guración A partir de la versión 9, el IOS ha incorporado soporte para IKEv2 que puede ser con fi gurada de la interfaz gráfica de usuario sin necesidad de una VPN Per fi l. Al igual que con otros clientes, el Certi fi cado de CA se debe instalar.
Importe el CA al dispositivo iOS La importación del Certi fi cado de CA al dispositivo cliente es un proceso relativamente fácil. El primer paso es obtener el Certi fi cado de CA al dispositivo cliente. La forma más sencilla de lograr esto es a través del correo electrónico, como se muestra en la figura iOS cliente de correo Recepción de CA Certi fi cado
Fig. 19.46: iOS cliente de correo Recepción de CA Certi fi cado
Para instalar el certi fi cado de e-mail:
362
•
Enviar el Certi fi cado de CA solamente (no la clave) a una dirección de correo electrónico accesible desde el dispositivo cliente
•
Abra la aplicación de correo en el dispositivo cliente
Capítulo 19. IPsec
El libro pfSense, Liberación
• Abra el mensaje que contiene el Certi fi cado de CA • Pulse el archivo adjunto para instalar el certi fi cado y la CA Instalar Per fi l pronta mostrará como se ve en IOS CA Certi fi cado de instalación Per fi l Prompt
Fig. 19.47: IOS CA Certi fi cado de instalación Per fi l Prompt
• Grifo Instalar en la parte superior derecha, y una pantalla de advertencia se presenta como se muestra en IOS CA Certi fi cado de instalación Advertencia
• Grifo Instalar en la parte superior derecha una vez más para confirmar y luego pronta nal fi uno se presenta como se ve en IOS CA Certi fi cado de Prompt Confirmación
• Grifo Instalar en el indicador de con fi rmación y el Certi fi cado de CA ahora se almacena como una entrada de confianza.
Configuración de la conexión VPN
Una vez que el Certi fi cado de CA se ha instalado, una entrada VPN debe ser con fi gura:
• Abierto ajustes
19.5. IPsec móvil
363
El libro pfSense, Liberación
Fig. 19.48: IOS CA Certi fi cado de instalación Advertencia
364
Capítulo 19. IPsec
El libro pfSense, Liberación
Fig 19.49:. IOS CA Certi fi cado de Confirmación Prompt
• Grifo General • Grifo VPN
• Grifo Añadir VPN Con fi guración • Ajuste Tipo a IKEv2 ( defecto)
• Introduzca un texto para el Descripción ( p.ej ExampleCo VPN) •
Introduzca el nombre de host del cortafuego en el DNS como el Servidor
•
Introduzca el nombre de host del cortafuego de nuevo en ID remoto
Nota: Este debe coincidir con la entrada Nombre Común y el certificado del servidor SAN fi cado de.
• Salir ID local blanco • Ajuste Autenticacion de usuario a Nombre de usuario
•
Introducir el Nombre de usuario y Contraseña
Nota: Con EAP-MSCHAPv2 la Nombre de usuario es el Identi fi cador con fi gurado para la entrada del usuario en el Pre-Shared Keys lengüeta debajo VPN> IPsec. Con EAP-RADIUS este sería el nombre de usuario establecido en el servidor RADIUS.
• Grifo Hecho para completar la entrada de VPN. Cuando se haya completado, se ve similar a Configuración del cliente iOS IKEv2
Conexión y desconexión La VPN puede ser conectado o desconectado visitando las entradas VPN bajo Ajustes. Esto varía un poco, pero muestra típicamente en al menos dos lugares:
1. Configuración> VPN
2. Ajustes> General> VPN La entrada directamente debajo ajustes aparece en la parte superior de la lista con el resto de entradas de red (modo Avión, Wi-Fi, Bluetooth) y una vez que hay al menos una conexión VPN presentes.
19.5. IPsec móvil
365
El libro pfSense, Liberación
366
Capítulo 19. IPsec
El libro pfSense, Liberación
Una vez en la lista de VPN, se debe seleccionar la entrada de VPN (muestra una marca de verificación junto a su entrada) y luego el cursor puede ser movido a la posición “On” para conectar.
Fig 19.51:. Lista IOS VPN
Mobile IPsec permite la creación de un llamado VPN estilo “trotamundos”, llamado así por la naturaleza variable de cualquier persona que no está en la o fi cina que necesita volver a conectarse a la red principal. Puede ser una persona de ventas a través de Wi-Fi en un viaje de negocios, el jefe de su limusina por módem 3G, o un programador que trabaja desde su línea de banda ancha en casa. La mayoría de éstos se verán obligados a lidiar con direcciones IP dinámicas, ya menudo ni siquiera se conoce la dirección IP que tienen. Sin un router o cortafuegos fi soporte IPsec, un túnel IPsec tradicional no funcionará. En los escenarios de teletrabajo, por lo general es indeseable e innecesaria para conectar toda la red doméstica del usuario a la red de o fi cina, y al hacerlo puede introducir complicaciones de enrutamiento. Aquí es donde los clientes IPsec móviles son más útiles.
Sólo hay una definición para IPsec móvil en pfSense, así que en vez de confiar en una dirección fija para el extremo remoto del túnel, móvil IPsec utiliza alguna forma de autenticación para permitir que un nombre de usuario para distinguirse. Esto podría
19.5. IPsec móvil
367
El libro pfSense, Liberación
ser un nombre de usuario y una contraseña con IKEv2 y EAP o xauth, o una er identificaciones por usuario y el par de clave precompartida, o un certificado.
Las pruebas de conectividad IPsec La prueba más fácil para un túnel IPsec es un ping desde una estación cliente detrás del router a otro en el lado opuesto. Si funciona, el túnel está en marcha y funcionando correctamente. Como se menciona en pfSense-iniciado Traf fi c y IPsec , tráfico c inicia desde el fi cortafuegos pfSense normalmente no tra- verso el túnel sin algún enrutamiento adicional, pero hay una manera rápida para probar la conexión del router mediante la especificación de una fuente cuando la emisión de un ping.
Hay dos métodos para realizar esta prueba: la interfaz gráfica de usuario, y la cáscara.
Especificación de una Fuente de ping en la interfaz gráfica
En la GUI, un ping puede ser enviado con una fuente de c especificidad como sigue:
• Navegar a Diagnóstico> Ping • Introduzca una dirección IP en el router remoto dentro de la subred remota listada para el túnel en el Anfitrión de campo (por ejemplo, 10.5.0.1) • Seleccione la apropiada Protocolo IP, probable IPv4 • Seleccione un Dirección de la fuente que es una dirección de interfaz o IP en el cortafuego local, que es dentro de la red de fase 2 local (por ejemplo, seleccione LAN para la dirección IP de la LAN)
•
Establecer una adecuada Contar, tales como el predeterminado 3
•
Hacer clic Silbido
Si el túnel está funcionando adecuadamente, las respuestas del ping serán recibidos por el cortafuego de la dirección de internet en el sitio B. Si no se reciben respuestas, pasar a la Solución de problemas de IPsec sección.
Si el túnel no se estableció inicialmente, es común durante unos pings a perderse durante la negociación del túnel, por lo que la elección de un recuento más alto o volver a ejecutar la prueba es una buena práctica si falla el primer intento.
Especificación de una Fuente de ping en el Shell El uso de la concha en la consola o vía ssh, el comando ping se puede ejecutar de forma manual y una dirección de origen puede ser especi fi cado con el - S parámetro. Sin uso - S o una ruta estática, los paquetes generados por ping no intentará atravesar el túnel. Esta es la sintaxis para una prueba adecuada:
#
de ping -S
Donde el IP LAN local es una dirección de IP en una interfaz interna dentro de la subred local definición para el túnel, y la IP LAN remota es una dirección IP en el router remoto dentro de la subred remota listada para el túnel. En la mayoría de los casos esto no es más que la dirección IP de la LAN de los respectivos rewalls fi pfSense. Teniendo en cuenta el ejemplo de sitio a sitio anteriormente, esto es lo que se ha escrito para poner a prueba desde la consola del Sitio Un router:
#
de ping 10.3.0.1 10.5.0.1 -S
Si el túnel está funcionando adecuadamente, las respuestas del ping serán recibidos por el cortafuego de la dirección de internet en el sitio B. Si no se reciben respuestas, pasar a la Solución de problemas de IPsec sección.
368
Capítulo 19. IPsec
El libro pfSense, Liberación
Solución de problemas de IPsec Debido a la naturaleza fi Nicky de IPsec, no es raro que los problemas que surgen. Afortunadamente, hay algunos básicos (y algunos no tan básica) procedimientos para solucionar problemas que se pueden emplear para localizar problemas potenciales.
IPsec registro Los ejemplos presentados en este capítulo han editado registros por razones de brevedad, pero significante permanecen mensajes cativos. Inicio de sesión para IPsec puede ser con fi gurado para proporcionar información más útil. Para con fi gurar IPsec registro para diagnosticar problemas de túnel pfSense, el siguiente procedimiento se obtiene el mejor equilibrio de la información:
• Navegar a VPN> IPsec sobre el Ajustes avanzados lengüeta • Ajuste IKE SA, IKE SA Niño, y Con fi guración del backend a diag
•
Ajuste todas las demás opciones de registros a Controlar
•
Clic en Guardar
Nota: Cambio de las opciones de registro no es perjudicial para la actividad de IPsec y no hay necesidad de entrar en una fi co “modo de depuración” específico para IPsec en las versiones actuales de pfSense.
Túnel no establece En primer lugar comprobar el estado del servicio en Estado> Servicios. Si se detiene el servicio IPsec, vuelva a comprobar que está habilitado en el VPN> IPsec. Además, si el uso de los clientes móviles, asegúrese de que en el Los clientes móviles pestaña, el cuadro de permitir que también se comprueba. Si el servicio se está ejecutando, compruebe los registros fi cortafuego ( Estado> Registros del sistema, Firewall pestaña) para ver si se está bloqueando la conexión, y si es así, añadir una regla para permitir el tráfico bloqueado c. Las reglas se añaden normalmente de forma automática para IPsec, pero esa característica se puede desactivar.
La causa más común de conexiones de túnel IPsec fallidos es una falta de coincidencia con fi guración. A menudo es algo pequeño, tal como un conjunto grupo DH a 1 en el lado A y 2 en el lado B, o tal vez una máscara de subred de / 24 en un lado y / 32 por el otro. Algunos routers (Linksys, por ejemplo) también les gusta esconderse detrás de ciertas opciones avanzadas “botones” o hacer suposiciones. Una gran cantidad de ensayo y error puede estar involucrado, y un montón de lectura de registro, pero asegurando que ambas partes coinciden precisamente ayudará a la mayoría.
Dependiendo de las conexiones a Internet en cualquiera de los extremos del túnel, también es posible que un router involucrado en un lado o el otro no controla correctamente IPsec trá fi co. Esta es una preocupación más grande con los clientes móviles y redes en las que está implicado NAT fuera de los criterios de valoración reales de IPsec. Los problemas son generalmente con el protocolo ESP y problemas con él siendo bloqueados o mal manejados por el camino. NAT (NAT T) encapsula ESP en el puerto UDP 4500 trá fi co para evitar estos problemas.
Túnel establece, pero no pasa de trá fi co El principal sospechoso de un túnel si aparece, pero no pasará tráfico c es la normativa fi cortafuego IPsec. Si un sitio no puede alcanzar el sitio B, compruebe el sitio B de registro y reglas de cortafuegos fi. A la inversa, si el sitio B no puede ponerse en contacto con el sitio A, comprobar el sitio de registro cortafuego y reglas. Antes de pasar a las normas, inspeccionar los registros fi cortafuego en Registros de Estado> del sistema, sobre el firewall lengüeta. Si las entradas bloqueados están presentes que implican las subredes utilizadas en el túnel IPsec, a continuación, pasar a la comprobación de las reglas. Si no hay entradas del registro que indican paquetes bloqueados, volver a la sección en consideraciones de enrutamiento IPsec en consideraciones de
enrutamiento y de puerta de enlace .
paquetes bloqueados en la IPsec o enc0 interfaz indican que el túnel se ha establecido, pero tráfico c está siendo bloqueada por reglas fi cortafuego. Bloqueados paquetes en la LAN u otro interfaz interna pueden indicar que una regla adicional puede
19.7. Solución de problemas de IPsec
369
El libro pfSense, Liberación
ser necesaria en ese conjunto de reglas de interfaz para permitir tráfico c de la subred interna hacia el extremo remoto del túnel IPsec. Bloqueados paquetes en interfaces WAN o OPT WAN impedirían un túnel desde el establecimiento. Normalmente, esto sólo ocurre cuando las reglas VPN automáticas están desactivadas. Adición de una regla para permitir que el protocolo ESP y el puerto UDP 500 de la misma dirección IP remota permitirán el túnel de establecer. En el caso de túneles móviles, permitir tráfico c de cualquier fuente para conectarse a estos puertos.
Reglas para la interfaz IPsec se pueden encontrar en Firewall> Reglas, sobre el IPsec lengüeta. Los errores comunes incluyen el establecimiento de una regla para permitir que sólo TCP tra fi co, lo que significa cosas como ICMP ping y DNS no funcionarían a través del túnel. Ver
firewall para más información sobre cómo crear correctamente y solucionar reglas cortafuego.
En algunos casos es posible que una falta de coincidencia ajuste también puede causar tráfico c falle pasa por el túnel. En una posición in-, una subred de fi nido en un pfSense no era fi cortafuegos 192.0.2.1/24, y en la fi cortafuegos pfSense que era 192.0.2.0/24. El túnel establecido, pero tráfico c no pasaría hasta que se corrigió la subred. problemas de enrutamiento son otra posibilidad. Ejecución de un traceroute (tracert en Windows) a una dirección IP en el lado opuesto del túnel puede ayudar a localizar a este tipo de problemas. Repita la prueba de ambos lados del túnel. Comprobar el consideraciones de enrutamiento y de puerta de enlace sección de este capítulo para obtener más información. Al utilizar traceroute, trá fi co, que entra y sale del túnel IPsec parece que faltan algunos saltos intermedios. Esto es normal, y parte de cómo funciona IPsec. Traf fi c que no entra correctamente un túnel IPsec aparecerá para salir de la interfaz WAN y la ruta hacia el exterior a través de Internet, lo que apuntar a un problema de encaminamiento tales como pfSense no ser la puerta de entrada (como en consideraciones de enrutamiento y de puerta de enlace ), un fi incorrectamente especificados subred remota en el túnel de definición, o a un túnel que ha sido desactivado.
Algunos anfitriones de trabajo, pero no todos Si trá fi co entre algunos hosts más de las funciones de VPN correctamente, pero algunos hosts no, esto es comúnmente una de cuatro cosas:
Falta, puerta de enlace predeterminada incorrecta o ignorado Si el dispositivo no tiene una puerta de enlace predeterminada, o tiene
una apuntando a algo distinto de la fi cortafuegos pfSense, que no sabe cómo obtener correctamente de nuevo a la red remota en la VPN (véase consideraciones
de enrutamiento y de puerta de enlace ). Algunos dispositivos, incluso con una puerta de enlace predeterminada se especi fi ca, no utilizan esa puerta de enlace. Esto se ha visto en varios dispositivos integrados, incluyendo cámaras IP y algunas impresoras. No hay nada que pueda hacer al respecto que, aparte de conseguir el software en el dispositivo fijo fi. Esto puede ser fi veri mediante la ejecución de una captura de paquetes en la interfaz en el interior del cortafuego conectado a la red que contiene el dispositivo. Solución de problemas con tcpdump está cubierto de Usando tcpdump desde la línea de comandos Y un ejemplo fi co IPsec- se puede encontrar en túnel IPsec no se conectará . Si se observa un trá fi co salir de la interfaz interna del cortafuego, pero volver ninguna respuesta, el dispositivo no está encaminando correctamente su respuesta trá fi co o potencialmente podría estar bloqueando la que a través de un cortafuegos cliente fi local.
máscara de subred incorrecta Si la subred en uso en un extremo se encuentra 10.0.0.0/24 y el otro es 10.254.0.0/24, y un anfitrión tiene una máscara de subred incorrecta de 255.0.0.0 o / 8, que nunca será capaz de comunicarse a través de la VPN, ya que piensa la subred VPN remoto es parte de la red local y por lo tanto el enrutamiento no funcionará correctamente. El systemwith el roto con fi guración intentará comunicarse con el sistema remoto a través de ARP en lugar de utilizar la puerta de enlace.
Anfitrión fi cortafuegos Si hay un cortafuego en la máquina destino, puede que no sea lo que permite las conexiones. Comprobar
cosas como Firewall de Windows, iptables, o utilidades similares que puede prevenir que el tráfico c de ser procesados por el anfitrión. Las reglas de firewall en pfSense Asegúrese de que las normas en ambos extremos permiten la red deseada tráfico c.
conexión se congela IPsec no maneja con gracia paquetes fragmentados. Muchos de estos problemas han sido resueltos a través de los años, pero puede haber algunos problemas persistentes. Si se bloquea o pérdida de paquetes sólo se ven al utilizar protocolos especí fi cos (SMB,
370
Capítulo 19. IPsec
El libro pfSense, Liberación
RDP, etc.), MSS de sujeción para la VPN puede ser necesario. MSS de sujeción se puede activar en VPN> IPsec sobre el Ajustes avanzados lengüeta. En esa pantalla, compruebe Habilitar MSS de sujeción sobre VPN tráfico c y a continuación, introduzca un valor. Un buen punto de partida sería 1400, y si funciona lentamente aumentar el valor MSS hasta que se alcanzó el punto de ruptura, entonces bajar un poco de allá.
“aleatorio” desconecta Tunnel / DPD Fallos en los routers Embedded Si túneles IPsec se dejan caer en una ALIX u otro hardware integrado que está empujando los límites de su CPU, DPD en el túnel puede necesitar discapacitados. Tales fracasos tienden a correlacionarse con tiempos de uso de ancho de banda alto. Esto ocurre cuando la CPU en un sistema de baja potencia está atado con el envío de IPsec trá fi co o está ocupado en otra cosa. Debido a la sobrecarga de la CPU no puede tomar el tiempo para responder a las solicitudes de DPD o ver una respuesta a una petición de su propia. Como consecuencia, el túnel fallará un cheque DPD y se desconectará. Esta es una clara señal de que el hardware está siendo impulsado más allá de su capacidad. Si esto sucede, considerar la sustitución del cortafuego con un modelo más potente.
Establecer y túneles de trabajo, pero no para renegociar En algunos casos un túnel funcionará correctamente pero una vez que la fase 1 o fase 2 vida expira el túnel fallará para renegociar correctamente. Esto puede manifestarse de varias formas diferentes, cada uno con una resolución diferente.
DPD no compatible, un lado Gotas pero los otros restos Considere este escenario, que DPD está diseñado para evitar, pero puede ocurrir en lugares donde DPD no es compatible:
• Un túnel se establece desde el sitio A al sitio B, de tráfico c iniciado en el sitio A. • Sitio B expira la fase 1 o fase 2 antes del sitio • Un sitio se cree que el túnel está en marcha y continuar enviando trá fi co como si el túnel está funcionando correctamente. • Sólo cuando de sitio fase 1 o fase 2 vida expira va a renegociar como se esperaba. En este escenario, las dos cosas resoluciones probables son: Activar DPD, o el sitio B debe enviar tráfico c a sitio que hará que todo el túnel para renegociar. La forma más fácil para que esto suceda es permitir un mecanismo de mantener con vida a ambos lados del túnel.
Establece túnel cuando se inicia, pero no al responder Si un túnel establecerá a veces, pero no siempre, en general, hay una falta de coincidencia en un lado. El túnel todavía puede establecer porque si los ajustes presentados por un lado son más seguras, el otro puede aceptarlos, pero no al revés. Por ejemplo, si existe un desfase de modo agresivo / Main en un túnel IKEv1 y el conjunto lateral para Principal inicia, el túnel todavía establecerá. Sin embargo, si el conjunto de lado a Agresivo los intentos de iniciar el túnel se producirá un error. desajustes de por vida no causan un fallo en la Fase 1 o Fase 2. Para rastrear estos fallos, con fi gura los registros como se muestra en IPsec registro y el intento de iniciar el túnel de cada lado, a continuación, comprobar los registros.
Interpretación IPsec Conectarse Los registros de IPsec disponibles en Registros de Estado> del sistema, sobre el IPsec pestaña contiene un registro del proceso de conexión del túnel y algunos mensajes de la actividad de mantenimiento del túnel en curso. Algunas entradas de registro típicos se enumeran en esta sección, buenas y malas. Las principales cosas a tener en cuenta son las frases más importantes que indican qué parte de una conexión funcionó. Si “IKE_SA
19.7. Solución de problemas de IPsec
371
El libro pfSense, Liberación
... establecido”está presente en el registro, eso significa que la fase 1 se completó con éxito y se negoció una asociación de seguridad. Si “CHILD_SA ... estableció” está presente, entonces la fase 2 también se ha completado y el túnel está arriba. En los siguientes ejemplos, los registros han sido con fi gurado como escuchar en IPsec registro y mensajes irrelevantes pueden omitirse. Tenga en cuenta que estas son las muestras y los números de identificación fi cas, direcciones IP, etc. variarán.
Las conexiones exitosas Cuando un túnel se ha establecido con éxito las dos partes van a indicar que una SA IKE y una niño SA ha sido establecido. Cuando varios Fase 2 de fi niciones están presentes con IKEv1, un niño SA es negociada para cada entrada de la Fase 2.
De registro de salida del iniciador:
Caronte: 09 con2000 [IKE] IKE_SA [11] se establece entre 192.0.2.90 [192.0.2.90] ... 192.0.2.74 [192.0.2.74] Caronte: 09 con2000 [IKE] CHILD_SA {2} establecida con SPI cf4973bf_i c1cbfdf2 10.42.42.0/24|/0 Registro de resultados de la respuesta:
Caronte: 03 con1000 [IKE] IKE_SA [19] se establece entre 192.0.2.74 [192.0.2.74] ... 192.0.2.90 [192.0.2.90] Caronte: 16 [IKE] CHILD_SA con1000 {1} establecida con SPI c1cbfdf2_i cf4973b 192.168.48.0/24|/0
Ejemplos de conexión fallidos Estos ejemplos muestran fallos en la conexión por razones diversas. En la mayoría de los casos está claro a partir de los ejemplos que el iniciador no recibe mensajes acerca de los elementos especí fi cos que no coinciden, por lo que los registros de respuesta son mucho más informativo. Esto se hace para proteger la seguridad del túnel, sería insegura para proporcionar mensajes a un atacante potencial que les darían información sobre cómo el túnel es con fi gurado.
Fase 1 Principal / Discrepancia agresivo
En este ejemplo, el iniciador se establece para el modo agresivo mientras que el respondedor está ajustado para el modo principal. De registro de salida del iniciador:
charon: 15 [IKE] iniciar agresivo con2000 Modo IKE_SA [1] para 203.0.113.5 charon: error AUTHENTICATION_FAILED 15 [IKE] recibido notificar charon: 13 [ENC] analiza INFORMATIONAL_V1 petición 1215317906 [N (AUTH_FAILED)] charon: 13 [IKE] AUTHENTICATION_FAILED de error recibido notificar
Registro de resultados de la respuesta:
charon: 13 [IKE] PSK Modo Agresivo desactivado por razones de seguridad charon: 13 [ENC] generar solicitud INFORMATIONAL_V1 2940146627 [N (AUTH_FAILED)] Tenga en cuenta que los registros en el estado de respuesta claramente que el modo agresivo es desactivado, lo que es una buena idea que el modo no coincide.
En el caso contrario, si el conjunto de lado para el modo principal inicia, el túnel a una fi cortafuegos pfSense establecerá desde el modo principal es más seguro.
Fase 1 Identi fi er falta de coincidencia
Cuando el er fi cación no coincide, el iniciador sólo muestra que la autenticación ha fallado, pero no da una razón. Los estados de respuesta que es incapaz de localizar un compañero, lo que indica que no se podía encontrar una coincidencia de fases 1, que
372
Capítulo 19. IPsec
El libro pfSense, Liberación
implica que ningún juego er fi cación pudo ser localizado. De registro de salida del iniciador:
charon: 10 [ENC] analiza solicitud INFORMATIONAL_V1 4216246776 [HASH N (AUTH_FAILED)] charon: 10 [IKE] recibió notificar error AUTHENTICATION_FAILED Registro de resultados de la respuesta:
Caronte: 12 [CFG] busca de configuraciones de pares clave pre-compartida que emparejan 203.0.113.5 ... 198.51.100.3 [someid] Caronte: 12 [IKE] no encontraron config pares charon: 12 [ENC] generar INFORMATIONAL_V1 petición 4216246776 [HASH N (AUTH_FAILED)]
Fase 1 Pre-Shared Key falta de coincidencia
Una clave pre-compartida no coincidente puede ser un difícil de diagnosticar. Un error que indica el hecho de que este valor es no coincidentes no se imprime en el registro, en lugar se muestran estos mensajes: registro de salida del iniciador:
Caronte: 09 [ENC] inválida HASH_V1 longitud de carga útil, no descifrado? Caronte: 09 [ENC] No se pudo descifrar cargas útiles Caronte: 09 mensajes [IKE] Error en el análisis
Registro de resultados de la respuesta:
Caronte: 09 [ENC] inválida ID_V1 longitud de carga útil, el descifrado no? Caronte: 09 [ENC] No se pudo descifrar cargas útiles Caronte: 09 mensajes [IKE] Error en el análisis
Cuando los mensajes de registro anteriores están presentes, compruebe el valor de clave compartida previamente en ambos lados para asegurarse de que coinciden.
Fase 1 Algoritmo de cifrado no coincidente
De registro de salida del iniciador:
charon: 14 [ENC] analiza INFORMATIONAL_V1 petición 3851683074 [N (NO_PROP)] charon: 14 [IKE] recibió notificar error NO_PROPOSAL_CHOSEN Registro de resultados de la respuesta:
charon: 14 [CFG] propuestas recibidas: IKE: AES_CBC_128 / HMAC_SHA1_96 / PRF_HMAC_SHA1 / MODP_1024 charon: 14 [CFG] propuestas configurados: IKE: AES_CBC_256 / HMAC_SHA1_96 / PRF_HMAC_SHA1 / MODP_1024 Caronte: 14 [IKE] encontró ninguna propuesta charon: 14 [ENC] generar solicitud INFORMATIONAL_V1 3851683074 [N (NO_PROP)] En este caso, el registro de entrada le dirá exactamente muestra el problema: El iniciador fue fijada para el cifrado AES de 128, y el contestador está configurado para AES 256. Establecer tanto a valores coincidentes y vuelva a intentarlo.
Fase 1 Hash Algorithm falta de coincidencia
De registro de salida del iniciador:
charon: 10 [ENC] analiza INFORMATIONAL_V1 petición 2774552374 [N (NO_PROP)] charon: 10 [IKE] recibió notificar error NO_PROPOSAL_CHOSEN Registro de resultados de la respuesta:
19.7. Solución de problemas de IPsec
373
El libro pfSense, Liberación
charon: 14 [CFG] propuestas recibidas: IKE: AES_CBC_256 / MODP_1024 charon: 14 [CFG] propuestas configurados: IKE: AES_CBC_256 / HMAC_SHA1_96 / PRF_HMAC_SHA1 / MODP_1024 Caronte: 14 [IKE] encontró ninguna propuesta charon: 14 [ENC] generar solicitud INFORMATIONAL_V1 2774552374 [N (NO_PROP)] El Algoritmo de Hash se indica mediante el HMAC parte de las propuestas registradas. Como se puede ver arriba, la acogida y con fi gurada estuviere en posesión no tienen que coinciden con entradas HMAC.
Fase 1 Grupo DH no coincidente
De registro de salida del iniciador:
charon: 11 [ENC] analiza INFORMATIONAL_V1 solicitud 316473468 [N (NO_PROP)] charon: 11 [IKE] recibió notificar error NO_PROPOSAL_CHOSEN Registro de resultados de la respuesta:
charon: 14 [CFG] propuestas recibidas: IKE: AES_CBC_256 / HMAC_SHA1_96 / PRF_HMAC_SHA1 / MODP_8192 charon: 14 [CFG] propuestas configurados: IKE: AES_CBC_256 / HMAC_SHA1_96 / PRF_HMAC_SHA1 / MODP_1024 Caronte: 14 [IKE] encontró ninguna propuesta charon: 14 [ENC] generar solicitud INFORMATIONAL_V1 316473468 [N (NO_PROP)] grupo DH se indica por la parte “MODP” de la propuesta de la lista. Como se indica por los mensajes de registro, el iniciador se fijó para 8192 (Grupo 18) y el respondedor fue fijado para 1024 (Grupo 2). Este error se puede corregir mediante el establecimiento de la configuración de grupo DH en ambos extremos del túnel a un valor coincidente.
Fase 2 Red de falta de coincidencia
En el siguiente ejemplo, la entrada en la fase 2 en el lado iniciador se establece para 10.3.0.0/24 a 10.5.0.0/24. La respuesta no está ajustado para que coincida con lo que las listas 10.5.1.0/24 lugar. De registro de salida del iniciador:
Caronte: 08 [CFG] proponer selectores de tráfico para nosotros: Caronte: 08 [CFG] 10.3.0.0/24|/0 Caronte: 08 [CFG] proponen selectores de tráfico para otros: Caronte: 08 [CFG] 10.5.0.0/24|/0 charon: 08 [ENC] generar solicitud QUICK_MODE 316948142 [HASH SA No ID ID] charon: 08 [NET] de envío de paquetes: desde 198.51.100.3 [500] para 203.0.113.5 [500] (236 bytes) charon: 08 [NET] paquete recibido: desde 203.0.113.5 [500] para 198.51.100.3 [500] (76 bytes) charon: 08 [ENC] analiza INFORMATIONAL_V1 solicitud 460353720 [HASH N (INVAL_ID)] charon: 08 [IKE] recibieron notificar error INVALID_ID_INFORMATION
Registro de resultados de la respuesta:
Caronte: 08 [ENC] analiza la solicitud QUICK_MODE 2732380262 [HASH SA Sin ID ID] Caronte: 08 [CFG] busca de un niño por config 10.5.0.0/24|/0 === 10.3.0.0/24|/0 Caronte: 08 [CFG] proponer selectores de tráfico para nosotros: Caronte: 08 [CFG] 10.5.1.0/24|/0
Caronte: 08 [CFG] proponen selectores de tráfico para otros: Caronte: 08 [CFG] 10.3.0.0/24|/0 Caronte: 08 [IKE] ninguna configuración CHILD_SA concordante Caronte: 08 [IKE] cola INFORMATIVO charon tarea: 08 [IKE] activación de nuevas tareas Caronte: 08 [IKE] activación de la tarea INFORMATIVO charon: 08 [ENC] generar INFORMATIONAL_V1 petición 1136605099 [HASH N (INVAL_ID)]
374
Capítulo 19. IPsec
El libro pfSense, Liberación
En los registros de respuesta que enumera tanto las redes que recibió (línea “con niño fi g” en el registro) y lo que tiene con fi gurado localmente ( “proponer selectores de tráfico c para ...” líneas en el registro). Mediante la comparación de los dos, un desajuste se pueden observar. El “no coincidente CHILD_SA con fi g encontrado” línea en el registro estará siempre presente cuando se produce este desajuste, y que indica directamente que no podía encontrar una Fase 2 de definición para que coincida con lo que recibió del iniciador.
Fase 2 Algoritmo de cifrado no coincidente
De registro de salida del iniciador:
charon: 14 [CFG] propuestas configurados: ESP: charon AES_CBC_128 / HMAC_SHA1_96 / NO_EXT_SEQ: 14 [ENC] generar solicitud QUICK_MODE 759760112 [HASH SA No ID ID] charon: 14 [NET] de envío de paquetes: desde 198.51.100.3 [500] para 203.0.113.5 [500] (188 bytes) charon: 14 paquete [NET] recibido: desde 203.0.113.5 [500] para 198.51.100.3 [500] (76 bytes) charon: 14 [ENC] analiza INFORMATIONAL_V1 petición 1275272345 [HASH N (NO_PROP)] charon: 14 [IKE] recibió notificar error NO_PROPOSAL_CHOSEN
Registro de resultados de la respuesta:
Caronte: 13 [CFG] la selección de la propuesta: charon: 13 [CFG] no encryption_algorithm aceptable conocer charon: 13 [CFG] propuestas recibidas: ESP: AES_CBC_128 / HMAC_SHA1_96 / NO_EXT_SEQ Caronte: 13 [CFG] propuestas configurados: ESP: charon AES_CBC_256 / HMAC_SHA1_96 / NO_EXT_SEQ: 13 [IKE] ninguna propuesta de asignación encontrado, enviando NO_PROPOSAL_CHOSEN Caronte: 13 [IKE ] cola charon tarea Informativo: 13 [IKE] activación de nuevas tareas Caronte: 13 [IKE] activación de la tarea INFORMATIVO
charon: 13 [ENC] generar INFORMATIONAL_V1 petición 1275272345 [HASH N (NO_PROP)]
En este caso, el iniciador recibe un mensaje de que el respondedor no pudo encontrar una propuesta adecuada ( “recibió NO_PROPOSAL_CHOSEN”), y de los registros de respuesta es obvio que esto era debido a los sitios de ser establecido para diferentes tipos de cifrado, AES 128 en una lado y AES 256 en el otro.
Fase 2 Hash Algorithm falta de coincidencia
De registro de salida del iniciador:
charon: 10 [CFG] propuestas configurados: ESP: charon AES_CBC_256 / HMAC_SHA2_512_256 / NO_EXT_SEQ: 10 [ENC] generar solicitud QUICK_MODE 2648029707 [HASH SA No ID ID] charon: 10 de envío de paquetes [NET]: desde 198.51.100.3 [500] para 203.0.113.5 [500] (188 bytes) charon: 10 [NET] paquete recibido: desde 203.0.113.5 [500] para 198.51.100.3 [500] (76 bytes) charon: 10 [ENC] analiza INFORMATIONAL_V1 solicitud 757918402 [HASH N (NO_PROP)] charon: 10 [IKE] recibió notificar error NO_PROPOSAL_CHOSEN
Registro de resultados de la respuesta:
Caronte: 11 [CFG] la selección de la propuesta: charon: 11 [CFG] no INTEGRITY_ALGORITHM aceptable conocer charon: 11 [CFG] propuestas recibidas: ESP: AES_CBC_256 / HMAC_SHA2_512_256 / NO_EXT_SEQ Caronte: 11 [CFG] propuestas configurados: ESP: charon AES_CBC_256 / HMAC_SHA1_96 / NO_EXT_SEQ: 11 [IKE] ninguna propuesta de asignación encontrado, enviando NO_PROPOSAL_CHOSEN Caronte: 11 [IKE ] cola charon tarea Informativo: 11 [IKE] activación de nuevas tareas Caronte: 11 [IKE] activación de la tarea INFORMATIVO
charon: 11 [ENC] generar solicitud INFORMATIONAL_V1 757918402 [HASH N (NO_PROP)]
19.7. Solución de problemas de IPsec
375
El libro pfSense, Liberación
Al igual que en la Fase 1 Hash Algorithm falta de coincidencia, los valores HMAC en las entradas de registro no se alinean. Sin embargo, el respondedor también registra un mensaje más claro “no INTEGRITY_ALGORITHM aceptable encontró” cuando esto ocurre en la Fase
2.
Fase 2 PFS no coincidente
De registro de salida del iniciador:
charon: 06 [ENC] generar solicitud QUICK_MODE 909980434 [HASH SA No KE ID ID] charon: 06 [NET] de envío de paquetes: desde 198.51.100.3 [500] para 203.0.113.5 [500] (444 bytes) charon: 06 [NET ] paquete recibido: desde 203.0.113.5 [500] para 198.51.100.3 [500] (76 bytes) charon: 06 [ENC] analiza INFORMATIONAL_V1 petición 3861985833 [HASH N (NO_PROP)] charon: notificar error NO_PROPOSAL_CHOSEN 06 [IKE] recibido
Registro de resultados de la respuesta:
Caronte: 08 [CFG] la selección de la propuesta: charon: 08 [CFG] no DIFFIE_HELLMAN_GROUP aceptable conocer charon: 08 [CFG] propuestas recibidas: ESP: AES_CBC_256 / HMAC_SHA1_96 / MODP_2048 / NO_EXT_SEQ charon: 08 [CFG] propuestas configurados: ESP: AES_CBC_256 / HMAC_SHA1_96 / NO_EXT_SEQ Caronte: 08 [IKE] ninguna propuesta de asignación encontrado, enviando NO_PROPOSAL_CHOSEN Caronte: 08 [ENC] generar INFORMATIONAL_V1 petición 3861985833 [HASH N (NO_PROP)]
Confidencialidad directa perfecta (PFS) funciona como DH Grupos en la Fase 1, pero es opcional. Cuando las opciones elegidas PFS no coinciden, un claro mensaje se registra indicando este hecho: “no aceptable DIFFIE_HELLMAN_GROUP encontrado”. Nota: En algunos casos, si un lado tiene la SSP conjunto de apagado , y el otro lado tiene un conjunto de valores, el túnel puede todavía establecer y trabajo. La falta de coincidencia se muestra anterior sólo puede verse si los valores no coinciden, por ejemplo 1 vs. 5.
No coincidentes er identi fi con NAT
En este caso, pfSense es con fi gurado para una Peer identi fi cador de dirección IP de pares, pero el dispositivo remoto es en realidad detrás de NAT. En este caso strongSwan espera que la dirección real privada antes de NAT-IP como el er fi cación. El demonio racoon utilizado en versiones anteriores era mucho más relajado y se correspondería con cualquiera de las direcciones, pero strongSwan es más formal y requiere una coincidencia correcta. Registro de resultados de la respuesta:
Caronte: 10 [IKE] host remoto está detrás de NAT Caronte: 10 [IKE] IDir '192.0.2.10' no coincide con '203.0.113.245' [...] Caronte: 10 [CFG] busca de configuraciones de pares clave pre-compartida que emparejan 198.51.100.50 ... 203.0.113.245 [192.0.2.10] Para corregir esta situación, cambie el Peer identi fi cador el establecimiento de Dirección IP y a continuación, introduzca la dirección de pre-NAT IP, que en este ejemplo es 192.0.2.10.
Disappearing Traf fi c Si IPsec trá fi co llega pero nunca aparece en la interfaz IPsec ( enc0), comprobar si hay conflictivas rutas / vestidos ad- interfaz IP. Por ejemplo, si un túnel IPsec está con fi gurado con una red remota de 192.0.2.0/24 y hay un servidor local OpenVPN con una red de túneles de 192.0.2.0/24 a continuación, el ESP trá fi co puede llegar, strongSwan puede procesar los paquetes, pero nunca se mostrará en enc0 como llegar al sistema operativo para la entrega. Resolver el duplicado de interfaz / ruta y el trá fi co comenzará a fluir.
376
Capítulo 19. IPsec
El libro pfSense, Liberación
Problemas Página de estado de IPsec
Si la página de estado de los errores de IPsec, tales como:
Advertencia: Illegal offset cadena 'tipo' en /etc/inc/xmlreader.inc en la línea 116
Esa es una señal de que el analizador incompleta xmlreader XML es activo, que se desencadena por la presencia de la fi l / Cf / conf / use_xmlreader. Este analizador alternativo puede ser más rápido para leer con fi g.xml fi les, pero carece de ciertas características necesarias para otras áreas para funcionar bien. Extracción / cf / conf / use_xmlreader devolverá el sistema al analizador por defecto de inmediato, que corregirá la visualización de la página de estado de IPsec.
Con fi gurar dispositivos de IPsec de terceros Cualquier dispositivo de VPN que soporta el estándar IPsec puede estar conectado a un dispositivo que ejecuta pfSense. pfSense se utiliza en la producción en combinación con equipos numerosos vendedores, y lo más probable ne fi trabajos con cualquier dispositivo con capacidad de IPsec encontradas en otras redes. dispositivos de conexión de dos proveedores diferentes pueden ser molestos, independientemente de los proveedores involucrados, debido a diferencias con fi guración entre vendedores, en algunos casos los errores en las implementaciones, y el hecho de que algunos de ellos utilizan extensiones propietarias. Algunos ejemplos se dan al final de este capítulo para varios dispositivos comunes de Cisco.
Para con fi gura un túnel IPsec entre pfSense y un dispositivo de otro proveedor, la principal preocupación es asegurar que la fase partido 1 y 2 parámetros en ambos lados. Para las opciones de con fi guración en pfSense, donde se permite múltiples opciones de ser seleccionado, seleccione sólo una de esas opciones y asegurar el otro lado se establece la misma. Los criterios de valoración intentará negociar una opción compatibles cuando se seleccionan varias opciones, sin embargo, que con frecuencia es una fuente de problemas cuando se conecta a dispositivos de otros fabricantes. Con fi gura ambos extremos a lo que se cree que son coincidentes configuración, a continuación, guardar y aplicar los cambios en ambos lados.
Una vez que la configuración coincide en ambos extremos del túnel, intento de pasar de trá fi co sobre el VPN para activar su inicio a continuación, comprobar los registros de IPSec en ambos extremos para revisar la negociación. Dependiendo de la situación, los registros de un extremo pueden ser más útiles que las del extremo opuesto, por lo que es bueno para comprobar ambos y comparar. El lado pfSense suele proporcionar una mejor información en algunos escenarios, mientras que en otras ocasiones el otro dispositivo proporciona un registro más útil. Si la negociación falla, determinar si se trataba de la fase 1 o 2, que falló y bien revisar la configuración en consecuencia, como se describe en Solución de problemas de IPsec . El lado que está iniciando menudo no puede ver por qué, a fin de comprobar los registros en el primer lado de responder fi.
Las diferencias terminológicas Otra fuente frecuente de fallos es diferencias en la terminología entre proveedores. Aquí hay algunas cosas comunes a tener en cuenta:
Basada en políticas VPN / IPsec El tipo de IPsec utilizado por pfSense. Las políticas son de fi nidas, tales como la Fase 2
entradas, que controlan fi tráfico entrar en el túnel c. Basado en rutas VPN / IPsec Este estilo de IPsec no es compatible con pfSense, pero algunos vendedores o equipos
lo requieran. Existe una interfaz IPsec qué rutas similares a otras interfaces y obedece a la tabla de enrutamiento, en lugar de depender de las políticas.
S2S o L2L Abreviatura de sitio a sitio o LAN-to-LAN, se distingue de una VPN estilo de cliente móvil. Confidencialidad directa perfecta (PFS) Algunos proveedores tienen diferentes controles para la SSP. Puede que sólo sea un conmutador
que utiliza el mismo valor que la Fase 1 Grupo DH, otros se etiqueta con el texto completo o el acrónimo, otros etiquetan Grupo DH. conjunto de transformación En los dispositivos de Cisco, un conjunto de parámetros que definen la fase 2 de manipulación como el cifrado
y algoritmos hash.
19.8. Con fi gurar dispositivos de IPsec de terceros
377
El libro pfSense, Liberación
política de ISAKMP En los dispositivos de Cisco, un conjunto de parámetros que definen la fase 1 de manipulación tales como authentica-
ción, el cifrado y algoritmos de hash, y otros. propuestas En Juniper y Fortigate, grupos de opciones que de los parámetros de fi ne para la Fase 1 (IKE) o Fase 2 (IPsec) de manipulación.
Exención NAT o no-nat En Juniper y Cisco, excepciones a NAT que se deben hacer para asegurar que tra fi co atravesar una VPN no tiene NAT aplicada. Lifebytes o Traf fi c Lifetime Límites en la cantidad de tráfico c enviada a través de una VPN antes de que volverá a negociar. No Actualmente apoyado en la GUI pfSense, si está presente en un dispositivo remoto que puede necesitar estar deshabilitado.
Dominio o Política de cifrado Una definición de red de utilizado en la Fase 2 para controlar que c tráfico será manejado por IPsec.
Ejemplos de terceros Firewall Los siguientes ejemplos son para los dispositivos de Cisco de terceros que ejecutan un túnel hipotético a un ejemplo ligeramente diferente de la que en este capítulo. Los detalles de la dirección son los mismos que Sitio a Sitio pero hay algunas diferencias en estos ejemplos:
Fase 1 y Fase 2 Encryption 3DES Fase 1 y Fase 2 Hash SHA1 Fase 1 de por vida 86400
6.x Cisco PIX OS La siguiente con fi guración es para un Cisco PIX 6.x que se ejecuta en el sitio B como en el ejemplo de sitio a sitio con fi guración anteriormente en este capítulo.
ISAKMP conexión sysopt permiso de IPSec permitir que fuera !--- Fase 1 dirección de la identidad política de ISAKMP ISAKMP 1 de cifrado 3DES de política ISAKMP 1 hash de la política sha ISAKMP 1 grupo 2 política de ISAKMP 1 curso de la vida política de ISAKMP 86400 1 autentificación pre-cuota
ISAKMP clave Abc123% dirección XyZ9 $ 7qwErty99 198.51.100.3 máscara de red 255.255.255.255 sin ningún xauth-config-mode !--- Fase 2 ipsec crypto conjunto de transformación 3dessha1-esp-esp 3DES-SHA-HMAC lista de acceso IP 10.5.0.0 permiso de PFSVPN 255.255.255.0 10.3.0.0 255.255.255.0 cripto-dyn mapa mapa 10 ipsec-ISAKMP dirección del mapa de cripto-dyn mapa 10 partido PFSVPN mapa cripto-dyn mapa 10 conjunto de pares 198.51.100.3 mapa cripto-dyn mapa 10 El conjunto de transformación-3dessha1
mapa criptográfico dyn-mapa 10 segundos definidos seguridad-asociación de toda la vida 3,600 interfaz del mapa crypto dyn-mapa fuera ! --- no-nat para asegurarse de que las rutas a través del túnel la lista de acceso IP Nonato permiso 10.5.0.0 10.3.0.0 255.255.255.0 255.255.255.0 NAT (en el interior) 0 lista de acceso Nonato
378
Capítulo 19. IPsec
El libro pfSense, Liberación
Cisco PIX OS 7.x, 8.x, y ASA Con fi guración de revisiones más recientes del sistema operativo para dispositivos PIX y ASA es similar a la de los de mayor edad, pero tiene algunas diferencias significativas. El siguiente ejemplo podría ser para el uso de un PIX OS que ejecutan la versión 7.x o 8.x, o un dispositivo de ASA, como el sitio B en el ejemplo de sitio a sitio de inicio de este capítulo.
ISAKMP cripto de accionamiento Fuera !--- Fase 1 política de ISAKMP cripto 10 autenticación previa al grupo comparten cifrado 3DES hash SHA 2
86400 curso de la vida
túnel-grupo 198.51.100.3 tipo ipsec-L2L túnel IPSec grupo 198.51.100.3-atributos Abc123 pre-clave compartida% XyZ9 $ 7qwErty99 !--- Fase 2 ipsec crypto conjunto de transformación 3dessha1-esp-3DES esp-sha-hmac la lista de acceso IP PFSVPN extendió permiso 10.5.0.0 10.3.0.0 255.255.255.0 255.255.255.0 mapa cripto outside_map 20 coincidencia de dirección PFSVPN mapa cripto outside_map 20 conjunto de pares 198.51.100.3 mapa cripto outside_map 20 set set-cripto transformar 3dessha1 interfaz del mapa outside_map fuera
! --- no-nat para asegurarse de que las rutas a través del túnel la lista de acceso extendida Nonato ip permiso 10.5.0.0 10.3.0.0 255.255.255.0 255.255.255.0 NAT (en el interior) 0 lista de acceso Nonato
Los routers Cisco IOS Esto muestra un router basado en IOS de Cisco como el sitio B del ejemplo sitio- a sitio con fi guración anteriormente en este capítulo.
!--- Fase 1 política de ISAKMP cripto 10 3des encr la autenticación de grupo pre-cuota de 2 ISAKMP clave de cifrado Abc123% XyZ9 $ 7qwErty99 dirección 198.51.100.3 sin xauth !--- Fase 2 la lista de acceso 100 IP del permiso 10.3.0.0 10.5.0.0 0.0.0.255 0.0.0.255 lista de acceso 100 IP del permiso 10.5.0.0 10.3.0.0 0.0.0.255 0.0.0.255 ipsec crypto transformar-set 3DES-SHA-3des esp esp-sha -hmac mapa cripto PFSVPN 15 ipsec-ISAKMP conjunto de pares 198.51.100.3 conjunto transform-set 3DES-SHA dirección del 100
! --- Asignar el mapa cripto a la interfaz interfaz WAN FastEthernet0 / 0 mapa cripto PFSVPN ! --- n-Nat por lo que este tráfico pasa por el túnel, no la ip nat dentro de la fuente de WAN mapa de ruta interfaz Nonato FastEthernet0 / 0 sobrecarga
19.8. Con fi gurar dispositivos de IPsec de terceros
379
El libro pfSense, Liberación
la lista de acceso 110 niegan
IP 10.5.0.0 0.0.0.255 10.3.0.0 0.0.0.255
la lista de acceso 110 IP del permiso 10.5.0.0 0.0.0.255 cualquier mapa de ruta permiso de Nonato 10 dirección IP partido 110 IPsec proporciona una implementación basada en estándares VPN que es compatible con una amplia gama de clientes de la conectividad móvil y otros rewalls fi y routers para la conectividad de sitio a sitio. Es compatible con numerosos dispositivos de terceras partes y está siendo utilizado en la producción de dispositivos que van desde los routers Linksys grado de consumo de todo el camino hasta los mainframes de IBM z / OS, y todo lo imaginable en el medio. En este capítulo se describen las opciones de con fi guración disponibles, y cómo con fi gurar varios escenarios comunes.
Para una discusión general de los diversos tipos de VPN disponibles en pfSense y sus pros y contras, véase Redes privadas virtuales .
IPsec en pfSense es compatible tanto con IKEv1 y IKEv2, múltiples fase 2 de fi niciones para cada túnel, así como NAT, NAT en la Fase 2 de fi niciones, y un mayor número de opciones de cifrado y hash, y muchas más opciones para los clientes móviles, incluyendo xauth y EAP.
Terminología de IPsec Antes de ahondar demasiado profundamente en la con fi guración, hay algunos términos que se utilizan en el capítulo que necesita alguna explicación previa. Otros términos se explican con más detalle sobre su uso en la estafa opciones fi guración.
IKE IKE significa Internet Key Exchange, y viene en dos variedades diferentes en pfSense: IKEv1 y IKEv2. Casi todos los dispositivos que soportan IPsec utilizan IKEv1. Un número creciente de dispositivos también admite el protocolo más reciente IKEv2 que es una versión actualizada de IKE que resuelve algunos de los di fi cultades presentes en la versión anterior. Por ejemplo, IKEv2 tiene MOBIKE, que es un estándar para los clientes móviles que les permite cambiar dinámicamente direcciones. También se ha incorporado en NAT transversal, y mecanismos estándar de fiabilidad similar a la DPD. En general IKEv2 proporciona una experiencia más estable y fiable, siempre que ambos extremos apoyan su fi cientemente.
Asociación de Seguridad ISAKMP ISAKMP significa Asociación de Seguridad de Internet y Protocolo de administración de claves. Se da a ambas partes un mecanismo por el cual pueden establecer un canal de comunicación seguro, incluyendo el intercambio de claves y la disponibilidad para la autenticación. Una asociación de seguridad ISAKMP (ISAKMP SA) es una política unidireccional que define la forma de fi c fi tráfico serán cifrados y manipulados. Cada túnel IPsec activo tendrá dos asociaciones de seguridad, una para cada dirección. Las asociaciones de seguridad ISAKMP están configurados entre las direcciones IP públicas para cada punto final. El conocimiento de estas asociaciones de seguridad activas se mantiene en la base de datos de la Asociación de Seguridad (SAD).
Politica de seguridad Una Política de Seguridad gestiona las completas especi fi caciones del túnel IPsec. Como con asociaciones de seguridad, estos son de un solo sentido, por lo que para cada túnel habrá uno en cada dirección. Estas entradas se mantienen en la base de datos Política de Seguridad (SPD). El SPD se rellena con dos entradas para cada conexión de túnel tan pronto como se añade un túnel. Por el contrario, las entradas SAD sólo existen al éxito de la negociación de la conexión.
En pfSense, políticas de seguridad controlan el que c tráfico será recibido por el núcleo para la entrega a través de IPsec.
380
Capítulo 19. IPsec
El libro pfSense, Liberación
Fase 1 Hay dos fases de negociación para un túnel IPsec. Durante la fase 1, los dos puntos extremos de una configuración de túnel de un canal seguro entre los puntos extremos utilizando ISAKMP para negociar las entradas SA y las claves de cambio. Esto también incluye la autenticación, control de los identificadores, y la comprobación de las claves pre-compartida (PSK) o certi fi cados. Cuando la fase 1 se completa los dos extremos pueden intercambiar información de forma segura, pero aún no han decidido qué c fi tráfico atravesará el túnel o cómo será encriptado.
Fase 2 En la fase 2, los dos puntos finales negocian cómo cifrar y enviar los datos de las máquinas privadas basados en políticas de seguridad. Esta es la parte que construye el túnel real que se utilizará para la transferencia de datos entre los puntos extremos y los clientes cuyas c fi tráfico es manejado por los routers. Si las políticas en ambos lados están de acuerdo y la fase 2 se establece con éxito, el túnel estará listo y preparado para su uso para tráfico a juego de la fase 2 de fi niciones c.
19.9. Terminología de IPsec
381
El libro pfSense, Liberación
382
Capítulo 19. IPsec
CAPÍTULO
VEINTE
OPENVPN
OpenVPN e IPv6 OpenVPN puede conectar un túnel de sitio a sitio para ya sea una dirección IPv4 o una dirección IPv6 y IPv4 e IPv6 tráfico c se pueden pasar dentro de un túnel OpenVPN al mismo tiempo. IPv6 es compatible tanto en el sitio-a-sitio y los clientes móviles, y puede ser utilizado para suministrar IPv6 a un sitio que sólo tiene conectividad IPv4. Con el fin de asegurar el apoyo de cliente móvil para IPv6, obtener el software de cliente del paquete de exportación cliente OpenVPN, o descargar un cliente basado en OpenVPN 2.3 o más reciente.
OpenVPN de Con fi guración Opciones En esta sección se describen todas las opciones disponibles con OpenVPN y cuando se utilizan normalmente. Las secciones siguientes cubren ejemplos de con fi gurar sitio-a-VPN de sitio y de acceso remoto con OpenVPN, usando las opciones más comunes y un mínimo de con fi guración.
Opciones de con fi guración del servidor Estas opciones están disponibles en uno o más modos de instancias del servidor OpenVPN, gestionan desde VPN> OpenVPN, sobre el servidores lengüeta.
Desactivar este servidor
Marque esta casilla y haga clic Salvar para retener la con fi guración, pero no permitir que el servidor. El proceso de esta instancia se detendrá, y todos los participantes / clientes se desconectará de este servidor. Cualquier otro servidores activos no se ven afectadas.
Modo de servidor
Este es el papel para el servidor, que especi fi ca cómo los routers o los usuarios se conectan a esta instancia del servidor. Cambiando esto también afectará a lo que aparecerán opciones en el resto de la página, por lo que sólo se muestran las opciones pertinentes.
Peer to Peer (SSL / TLS) Una conexión entre las redes locales y remotos que se asegura mediante SSL / TLS. Esta opción ofrece una mayor seguridad, así como la capacidad para el servidor de empujar con fi guración com- mands al router par remoto cuando se utiliza un 1: Configuración del estilo muchos. peer routers remotos también pueden tener certi fi cados revocados para quitar el acceso si llegan a ser comprometida.
Peer to Peer (Shared Key) Una conexión entre las redes locales y remotos que está asegurado por un solo Clave compartida con fi gurada en ambos nodos. Esta opción es más fácil de configurar, pero es menos seguro. Si un compartida
383
El libro pfSense, Liberación
clave se ve comprometida, una nueva clave debe ser generado y luego copiar a cualquier router o cliente utilizando la clave compartida de edad. En este modo, se necesita una instancia de servidor independiente para cada cliente.
El acceso remoto (SSL / TLS) Esta elección es una instalación de cliente móvil con X.509 por usuario certi fi cados. Al igual que con el / TLS tipo de conexión SSL-peer-to-peer, usando este método ofrece una mayor seguridad, así como la capacidad para el servidor de empujar con fi guración de los comandos a los clientes. Los clientes móviles también pueden tener claves revocados para quitar el acceso si se compromete una clave, como por ejemplo un ordenador portátil robado o extraviado.
El acceso remoto (Aut.usuario) Un servidor de acceso de cliente que no utiliza certi fi cados, pero requiere la usuario final para suministrar un nombre de usuario y contraseña al realizar una conexión. Esto no es recomendable a menos que la autenticación se maneja externamente por LDAP o RADIUS.
El acceso remoto (SSL / TLS + Aut.usuario) La elección más segura ofreció. No sólo obtener el benee fi cios de otras opciones SSL / TLS, sino que también requiere un nombre de usuario y la contraseña del cliente cuando se conecta. acceso de cliente se puede quitar no sólo por la revocación de la certi fi cado, sino también al cambiar la contraseña. Además, si una clave comprometida no se descubre de inmediato, el peligro se reduce, ya que es poco probable que el atacante tiene las claves y la contraseña. Al utilizar el asistente de OpenVPN, este es el modo que es con fi gurada durante ese proceso.
Protocolo TCP o UDP se pueden seleccionar, o sus homólogos habilitados para IPv6, tcp6 o udp6. Una instancia de servidor OpenVPN la actualidad sólo puede unirse a IPv4 o IPv6, pero no ambas al mismo tiempo. UDP es la opción más fiable y más rápido para ejecutar OpenVPN, y siempre se debe utilizar cuando sea posible. En algunos casos raros TCP se puede utilizar para trabajar alrededor de limitaciones, tales como pasar por algunas rewalls fi mediante la ejecución de un servidor OpenVPN en el puerto TCP 443. Los protocolos sin conexión, tales como UDP son siempre preferible cuando un túnel tráfico c. TCP es orientado a la conexión con la entrega garantizada, por lo que cualquier pérdida de paquetes son retransmitidos. Esto suena como una buena idea en la superficie pero retransmisiones TCP hará que el rendimiento se degrade significativamente en las conexiones a Internet con mucha carga o aquellos con pérdida de paquetes consistentes.
TCP tráfico c frecuencia existe dentro de túneles y no es deseable para retransmitir paquetes perdidos de encapsulado VPN tráfico c. En los casos en TCP se envuelve alrededor de TCP, tales como un túnel VPN usando TCP como protocolo de transporte, cuando se pierde un paquete serán re-transmiten tanto los paquetes TCP perdidos exterior e interior. ocurrencias frecuentes de esto será imperceptible pero la pérdida recurrente causarán significativamente más bajo que el rendimiento de UDP. Si el tráfico c dentro del túnel requiere una entrega fiable, será usando un protocolo tal como TCP que garantiza que y se encargará de sus propios retransmisiones.
Modo de equipo
OpenVPN puede funcionar en uno de dos modos de dispositivo: tonel o grifo:
tonel Funciona en capa OSI 3 y realiza el enrutamiento en las interfaces de punto a punto. grifo Puede trabajar en la capa OSI 2 y puede realizar tanto de enrutamiento y de puente si es necesario.
Nota: No todos los clientes son compatibles con el modo tap, utilizando tun es más estable y más amplio apoyo. Específicamente, los clientes, tales como las que se encuentran en Android y el modo tun único apoyo IOS en las aplicaciones más gente puede utilizar. Algunas aplicaciones de Android y el IOS OpenVPN que requieren de enraizamiento o jailbreaking un dispositivo de apoyo hacen del grifo, pero las consecuencias de hacerlo puede ser un poco demasiado alto para la mayoría de usuarios.
Interfaz Selecciona el grupo de interfaces, VIP o conmutación por error que la instancia del servidor OpenVPN escuchará al de las conexiones entrantes. Esto también controla qué interfaz del tráfico c desde el servidor va a salir.
384
Capítulo 20. OpenVPN
El libro pfSense, Liberación
Existen varios tipos de opciones se enumeran en la lista desplegable para Interfaz, y algunos tienen casos de comportamiento o de uso especial:
Interfaces OpenVPN se unirá a la dirección de la interfaz. Si la interfaz es dinámica, como DHCP, OpenVPN se unirá automáticamente a la nueva dirección si ésta cambia.
VIPs OpenVPN se unirá sólo a la VIP específica ed (IP Alias o tipo CARP) Grupos de puerta de enlace Para el uso con los grupos de conmutación por error, OpenVPN se unirá a la dirección de la interfaz que
es actualmente activa en el grupo. Si esa puerta de enlace de interfaz se vuelve inalcanzable, el siguiente será utilizado en su lugar, y así sucesivamente.
localhost Útil para implementaciones Multi-WAN, la unión a localhost y la utilización de hacia delante del puerto para aceptar
conexiones desde varias interfaces y / o puertos es una manera versátil para proporcionar conectividad redundante OpenVPN para la conexión de los clientes.
Alguna Se une a todas las direcciones en cada interfaz. Aunque tentador, no se recomienda esta opción. Cuando usa con la UDP, las respuestas a internet clientes siempre salir de vuelta la puerta de enlace predeterminada de WAN, que puede ser indeseable.
puerto local El puerto local es el número de puerto OpenVPN utilizará para escuchar. Las reglas del cortafuegos deben permitir trá fi co a este puerto y que deben ser especificados en la con fi guración del cliente. El puerto para cada servidor debe ser exclusivo para cada interfaz.
Descripción Introduzca una descripción de este servidor con fi guración, para referencia.
Configuración de cifrado Esta sección controla cómo trá fi co desde y hacia los clientes es encriptada y validada.
Llave compartida
Cuando se utiliza una instancia de clave compartida, ya sea comprobar la generar automáticamente una clave compartida Caja para hacer un duplicado de la llave, o desactive la casilla para pegar en una clave compartida desde un túnel OpenVPN existente. Cuando se genera la clave de forma automática, volver a la pantalla de edición para este túnel más tarde para obtener la clave que se puede copiar en el router remoto.
autenticación TLS
TLS o Transport Layer Security, proporciona autenticación de sesión para garantizar la validez de ambos el cliente y el servidor. Marque la casilla para Habilitar la autenticación de paquetes TLS Si es deseado. Si no hay ninguna clave TLS existente, deje generar automáticamente una clave de autenticación TLS compartida comprobado. Si la clave ya existe, desactive esa opción y luego pegarlo en la casilla proporcionada. Cuando se genera la clave de forma automática, vuelva a la pantalla de edición para este túnel más adelante para obtener la clave que puede ser copiado en el router remoto o cliente.
Advertencia: Cuando se utiliza un modo SSL / TLS, se recomienda utilizar la autenticación TLS también. Además del agregado bene fi cio de seguridad del requisito clave, una clave TLS también ayuda a proteger contra algunos ataques basados en SSL como heartbleed.
20.2. OpenVPN de Con fi guración Opciones
385
El libro pfSense, Liberación
Peer Autoridad Certi fi cado
Seleccionar la autoridad de certi fi cado utilizado para firmar el servidor certi fi cado para esta instancia del servidor OpenVPN aquí. Si ninguno aparece en esta lista, primero de importación o generar una autoridad de certi fi cado bajo Sistema> Cert Manager, sobre el CA lengüeta.
Peer Certi fi cado de lista de revocación
Este campo opcional es para la lista de revocación de Certi fi cado (CRL) para ser utilizado por este túnel. Una CRL es una lista de los certi fi cados hechos de una CA dado que ya no se considera válida. Esto podría ser debido a un certificado se vea comprometida o se pierde, por ejemplo, de un ordenador portátil robado, la infección por software espía, etc. Una CRL se crea ni se gestiona desde Sistema> Cert Manager, sobre el Certi fi cado de Revocación lengüeta.
Servidor de Certi fi cado
Un certi fi cado del servidor debe ser elegido para cada instancia del servidor OpenVPN. Si ninguno aparece en esta lista, primero de importación o generar una autoridad de certi fi cado bajo Sistema> Cert Manager, sobre el certi fi cados lengüeta.
Parámetros DH Longitud
La fi Dif e-Hellman (DH) parámetros de intercambio de claves se utilizan para establecer un canal de comunicaciones seguro. Ellos se pueden regenerar en cualquier momento, y no son específicas c a una instancia OpenVPN. Es decir, cuando se importa un OpenVPN existente con fi guración de estos parámetros no necesitan ser copiados desde el servidor anterior. La longitud de los parámetros DH deseados puede ser elegido entre el cuadro desplegable, ya sea 1.024, 2.048, o 4.096.
Nota: Debido a la computación pesada implicada en la generación de DH keys, una pre- generado establece para que se utiliza cada tipo de clave. Nuevos parámetros DH se pueden generar manualmente mediante el uso de los siguientes comandos shell:
#
/ Usr dhparam / bin / openssl 1024> /etc/dh-parameters.1024
#
/ Usr dhparam / bin / openssl 2048> /etc/dh-parameters.2048
#
/ Usr dhparam / bin / openssl 4096> /etc/dh-parameters.4096
Algoritmo de cifrado
El sistema de cifrado de cifrado que se utiliza para esta conexión. El valor por defecto es AES-128-CBC, que es AES de 128 bits encadenamiento de bloques de cifrado. Esta es una opción para definir la mayoría de los escenarios. Ver también:
Crypto hardware para obtener más información sobre el uso de aceleradores criptográficos y la elección de un algoritmo de cifrado.
Auth Digest Algorithm
Selecciona el algoritmo de resumen de mensaje a utilizar para la autenticación HMAC de los paquetes entrantes.
Nota: OpenVPN por defecto SHA1 cuando esta opción no se especi fi ca, por lo menos que ambas partes se ponen a un valor conocido, utilizar SHA1 aquí.
386
Capítulo 20. OpenVPN
El libro pfSense, Liberación
Crypto hardware
Si está disponible, esta opción controla qué hardware acelerador criptográfico serán utilizados por OpenVPN. Cuando se deja sin especi fi cado, OpenVPN escogerá automáticamente en función de lo que está disponible en el sistema operativo. Si este dispositivo fi cortafuegos tiene un acelerador de hardware criptográfico, seleccione BSD Cryptodev motor, o seleccionar el dispositivo específico si aparece en la lista. La mayoría de las tarjetas aceleradoras utilizan el motor cryptodev BSD, por lo que en caso de duda, que seleccionan. Esta configuración permitirá OpenVPN para aprovechar la aceleración de hardware. Un algoritmo de cifrado apoyado por el acelerador también debe ser seleccionado. Consulte la documentación del hardware para obtener información sobre cifrados soportados por el acelerador.
Certi fi cado de Profundidad
Esta opción limita la longitud de una cadena de certi fi cado antes de que falle la validación. Por defecto es Un (Client + Server) de manera que si de alguna manera se genera una CA intermedia no autorizado, certi fi cados firmados por el intermedio pícaro fallarían validación. En los casos cuando encadenamiento con los compuestos intermedios que se requiere, este límite puede ser elevado.
Estricto User-CN Matching
Para el servidor de autenticación de usuario SSL / TLS +, cuando está activada, esta opción hace cumplir un partido entre el nombre de usuario suministrado por el usuario y el nombre común de su certi fi cado de usuario. Si los dos no coinciden, se rechaza la conexión. Esto evita que los usuarios utilicen sus propias credenciales con las de otra persona certi fi cado y viceversa.
Configuración de túnel
La sección de configuración del túnel rige la forma de trá fi co fluye entre el servidor y los clientes, incluyendo el enrutamiento y la compresión.
IPv4 / IPv6 Network Tunnel
Estos son los conjuntos de direcciones a asignar a los clientes al conectar. de fondo del servidor de la OpenVPN con fi gu- ración utilizará la dirección primera en esta piscina por su extremo de la conexión, y asignar direcciones adicionales a los clientes conectados, según sea necesario. Estas direcciones se utilizan para la comunicación directa entre los extremos del túnel, incluso cuando Connect-ing dos redes remotas existentes. Cualquier subred puede ser elegido siempre y cuando no está en uso a nivel local o en cualquier sitio remoto. Uno o ambos Red túnel IPv4 y Red túnel IPv6 podrán ser introducidas, o en el caso de un puente del grifo, ni.
Advertencia: Actualmente, las limitaciones en sí OpenVPN impiden correr con sólo Red túnel IPv6 con fi g- ured. Cuando un Red de túneles IPv6 se define, una Red túnel IPv4 También debe ser especi fi cado, incluso si no se utiliza.
Para un SSL de sitio a sitio / TLS servidor usando IPv4, la Red túnel IPv4 tamaño puede alterar el comportamiento del servidor. Si
xxxx / 30 se introduce en el Red túnel IPv4 a continuación, el servidor va a utilizar un modo de igual a igual al igual que opera Shared Key: Sólo puede tener un cliente, no requiere modificaciones de cliente-mercantiles o iroutes, pero también no puede empujar rutas o configuración en los clientes. Si una Red túnel IPv4 mayor que se utiliza, tales como xxxx / 24, el servidor aceptará múltiples clientes y puede empujar ajustes, pero requiere iroutes.
Ver también:
Ver Site-to-Site Ejemplo Con fi guración (SSL / TLS) para obtener más información sobre un ejemplo de sitio a múltiples sitios utilizando una red de túneles y grandes iroutes.
20.2. OpenVPN de Con fi guración Opciones
387
El libro pfSense, Liberación
Opciones puente
Cuando usas grifo el modo, las opciones adicionales se muestra que el control de la reducción de la conducta en OpenVPN y asignación de direcciones de clientes. Estos se tratan en Conexiones en puente de OpenVPN
redirigir puerta de enlace
Cuando el redirigir puerta de enlace se selecciona la opción de servidor empujará un mensaje a los clientes dándoles instrucciones para reenviar
todas tráfico c, incluyendo el tráfico de Internet fi c, sobre el túnel VPN. Esto sólo funciona en los modos de SSL / TLS con una red de túneles más grande que una subred / 30.
IPv4 / IPv6 de la red local
Estos campos especifican qué redes local son accesibles por los clientes de VPN, si los hubiere. Una ruta para estas redes es empujado a clientes que se conectan a este servidor. Si se necesitan varias rutas para las subredes de una familia en particular, introduzca las subredes separados por una coma, por ejemplo, 192.168.2.0/24, 192.168.56.0/24. Esta función se basa en la capacidad de empujar rutas para el cliente, por lo que para IPv4 sólo es válido en un contexto de SSL / TLS cuando una red de túneles más grande que un / 30 Está en uso. Siempre va a trabajar para IPv6 proporciona una demasiado pequeña máscara similares no se ha establecido.
Red remota IPv4 / IPv6
Esta opción sólo aparece cuando se utiliza una conexión de tipo punto a punto, y no está disponible para los clientes móviles. entradas de la tabla de rutas se añaden a la cortafuego para las subredes fi cado, qué mano el tráfico c a este caso OpenVPN para su procesamiento. Si se necesita más de una subred de la red remota, introduzca las subredes separados por una coma, por ejemplo,
192.168.2.0/24, 192.168.56.0/24.
Conexiones concurrentes
Especi fi ca el número de clientes que pueden conectarse simultáneamente a esta instancia del servidor OpenVPN en un momento dado. Este es un límite colectivo para todos los clientes conectados, no una configuración por usuario.
Compresión
Cuando se habilita la compresión, tráfico de cruzar la conexión OpenVPN c será comprimido antes de ser encriptado. Esto ahorra ancho de banda utilizado para muchos tipos de trá fi co, a expensas de una mayor utilización de la CPU en el servidor y el cliente. En general, este impacto es mínimo, y la habilitación de la compresión es beneficioso para casi cualquier uso de OpenVPN a través de Internet.
Para conexiones de alta velocidad, tales como el uso de OpenVPN a través de una LAN, de alta velocidad baja / latencia WAN o red local inalámbrica, esto puede ser indeseable, ya que el retardo añadido por la compresión puede ser más que el retardo de guardado en la transmisión del tráfico c . Si casi todo el tráfico de cruzar la conexión OpenVPN c ya están codificados (tales como SSH, SCP, HTTPS, entre muchos otros protocolos), no permitan la compresión LZO porque los datos cifrados no es compresible y la compresión LZO hará ligeramente más datos para ser transferidos de lo que sería sin compresión. Lo mismo es cierto si el VPN tráfico c es casi en su totalidad de datos que ya está comprimido. Este selector controla el tratamiento de la compresión de LZO para esta instancia de OpenVPN. Hay cuatro configuraciones posibles, cada uno con un comportamiento ligeramente diferente.
388
Capítulo 20. OpenVPN
El libro pfSense, Liberación
Sin preferencias Omite las directivas de compresión de la OpenVPN con fi guración del todo. No se compression se llevará a cabo, pero esto puede ser anulada por otros métodos tales como anulaciones fi c Client-Speci u opciones avanzadas. Discapacitados - Sin compresión Explícitamente desactiva la compresión en la con fi guración
Se activa con el Adaptive Compression Permite la compresión con una prueba periódica para asegurar el tráfico c es
capaz de ser comprimido. Si la compresión no es óptima, se desactivará hasta que se prueba de nuevo. Esta opción golpea el mejor equilibrio ya que comprime los datos cuando se va a ayudar, pero no comprime datos cuando se está obstaculizando el desempeño.
Activado sin compresión adaptable Explícitamente permite la compresión de estar en en todo momento sin probar el tráfico c.
Tipo de servicio
Cuando se activa esta opción OpenVPN fijará el valor de la cabecera IP Tipo de Servicio (TOS) de los paquetes de túnel para que coincida con el valor paquete encapsulado. Esto puede causar algo importante trá fi co a ser manejado más rápido sobre el túnel por el lúpulo diata intermediarias, a costa de cierta divulgación de información de menor importancia.
El ejemplo más común es el tráfico VoIP o de vídeo fi co. Si el bit TOS se establece para reflejar la prioridad de la fi tráfico c puede ayudar a calidad de servicio a lo largo del camino, pero alguien interceptando el trá fi co podía ver el bit TOS y ganar un poco de conocimiento sobre el contenido del tráfico dentro del túnel c. Para aquellos que dependen de bits de TOS para QoS, el beneficio puede pesar más que la fuga de información.
La comunicación entre clientes
Esta opción controla si los clientes conectados son capaces de comunicarse entre sí. Para permitir este comportamiento, active la opción. Cuando no está marcada, los clientes sólo pueden enviar trá fi co en el servidor o destinos más allá del servidor, tales como redes enrutadas o Internet.
Normalmente, en las implementaciones de estilo de acceso remoto no es necesario que los clientes alcancen entre sí, pero hay algunos casos de esquina cuando puede ser útil. Un ejemplo es los desarrolladores web remotos trabajar juntos y en funcionamiento servidores de prueba en sus sistemas locales. Con esta opción activa, que pueden llegar al otro ensayo sirve para el desarrollo colaborativo.
Las conexiones duplicadas
Por defecto OpenVPN asociará una dirección IP de su red de túneles con un específico certi fi cado o nombre de usuario para una sesión dada. Si el mismo certi fi cado se conecta de nuevo, se le asignaría la misma dirección IP y, o bien desconecte el primer cliente fi o causar un conflicto de IP donde ni cliente recibirá los datos adecuados. Esto se debe principalmente por razones de seguridad por lo que la misma certi fi cado no puede ser utilizado por varias personas al mismo tiempo. Se recomienda una única certi fi cado puede utilizar para cada usuario que se conecta. De lo contrario, si se compromete a un cliente que no hay manera de revocar que un cliente solo, tendría que ser reeditado a todos los clientes que comparten el mismo certi fi cado certi fi cados.
Si una configuración que utiliza el mismo certi fi cado en varias ubicaciones es un requisito absoluto y no puede ser evitado, cheque Las conexiones duplicadas para permitir que el comportamiento no estándar de varios clientes utilizando el mismo certi fi cado o nombre de usuario.
Desactivar IPv6
Cuando se activa, IPv6 tráfico c reenvío está deshabilitado para esta instancia OpenVPN.
20.2. OpenVPN de Con fi guración Opciones
389
El libro pfSense, Liberación
Configuración del cliente
Estos ajustes se refieren a cómo los clientes que se conectan a esta instancia Sever se comportarán.
IP dinámica
Al marcar esta casilla añade la flote opción de configuración a la fi OpenVPN con fi guración. Esto permite a los clientes conservar su conexión si sus cambios de dirección IP. similar a Mobike para IKEv2 en IPsec. Para los clientes en las conexiones de Internet, donde la IP cambia con frecuencia, o los usuarios móviles que comúnmente se mueven entre diferentes conexiones a Internet, marque esta opción para permitir la conectividad estable. Donde la IP del cliente es estática o casi nunca cambia, no usar esta opción ofrece una pequeña mejora de la seguridad.
Conjunto de direcciones
Cuando se activa esta opción, el servidor asignar direcciones IP del adaptador virtuales a los clientes de la especificidad de subred por la ed Red túnel opción. Cuando las direcciones IP sin registrar no serán asignados automáticamente y los clientes tendrán que establecer sus propias direcciones IP estáticas manualmente en su cliente de con fi guración de los archivos. Excepto en casos raros, esto es casi siempre habilitada.
topología
Por defecto OpenVPN en pfSense 2.3 y más tarde prefiere un estilo de topología subred cuando se utiliza una Modo de equipo de tonel.
Este estilo asigna una única dirección IP por cliente en lugar de una subred aislada por cliente. Este es el único estilo disponible cuando se utiliza la grifo Modo de Dispositivo. Cuando el más viejo neto 30 topología de tonel se elige, OpenVPN asigna una red / 30 CIDR (cuatro direcciones IP, dos utilizable) a cada cliente que se conecta. Este estilo tiene una historia más larga, pero puede ser confuso para los administradores y usuarios. los topología opción sólo es relevante cuando se suministra una dirección IP del adaptador virtual para los clientes que utilizan tonel el modo en IPv4. Algunos clientes pueden requerir esto incluso para IPv6, como OpenVPN Connect, aunque en realidad IPv6 siempre se ejecuta con una topología de subred, incluso cuando utiliza IPv4 neto 30. OpenVPN versión 2.1.3 o posterior es necesario para utilizar una subred topología, y había signi fi jos fi cante a ella en OpenVPN 2.3, así que utiliza una versión actual del cliente OpenVPN es importante.
Advertencia: El defecto en pfSense se ha cambiado a subred porque el proyecto OpenVPN ha declarado la neto 30 estilo como obsoleta, lo que indica que se eliminará en futuras versiones. Tenga en cuenta, sin embargo, que algunos clientes muy viejos pueden romperse si se utiliza esta opción, tales como las versiones anteriores de OpenVPN (Antes de 2.0.9, lanzado hace casi 10 años), las versiones de Windows con mayor tun / tap conductores o clientes tales como Los teléfonos Yealink. Siempre asegúrese de que el cliente y los controladores asociados están plenamente hasta a la fecha de cuando se utiliza una subred topología.
DNS de dominio predeterminado
Cuando se activa, un campo aparecerá para especificar el nombre de dominio DNS que se asignará a los clientes. Para garantizar la resolución de nombres funciona correctamente para los hosts de la red local donde se utiliza la resolución de nombres DNS, especifique el nombre de dominio DNS interno aquí. Para Microsoft entornos de Active Directory, esto suele ser el nombre de Active Directory.
Los servidores DNS
Cuando se activa, hasta cuatro servidores DNS se puede introducir para su uso por el cliente mientras está conectado a la VPN. Para Microsoft entornos de Active Directory, que suele ser el Active Directory controladores de dominio o servidores DNS para el buen
390
Capítulo 20. OpenVPN
El libro pfSense, Liberación
de resolución de nombres y la autenticación cuando se conecta a través de OpenVPN.
Fuerza de caché DNS de actualización
Cuando se activa, esta opción va a empujar un conjunto de comandos para los clientes de Windows que se ras sus DNS y almacenamiento en caché de reinicio para mejorar el manejo de clientes de servidores DNS actualizados de la VPN.
servidores NTP
Cuando se activa, uno o dos servidores NTP se pueden establecer para la sincronización de los relojes en los clientes. Puede ser una dirección IP o FQDN.
Opciones de NetBIOS
Cuando Habilitar NetBIOS sobre TCP / IP se comprueba, varios otros NetBIOS y WINS aparecerán las opciones relacionadas. Si la casilla está desactivada, estos ajustes serán desactivados.
Tipo de nodo El tipo de nodo NetBIOS controla la forma en sistemas Windows funcionarán en la resolución de nombres NetBIOS. Por lo general se definen a dejar esto a ninguna a aceptar por defecto de Windows. Las opciones disponibles incluyen:
b-nodo Utilizar transmisiones para la resolución de nombres NetBIOS. Esto no sería utilizado, excepto en el caso de un grifo
puente. p-nodo Punto a punto consultas de nombres a un servidor WINS. WINS ha sido en su mayoría en desuso, por lo que esta opción
No es útil en las redes modernas de Windows. m-nodo Broadcast luego volver a consultar el servidor de nombres. Al igual que en el nodo b, pero caerá de nuevo a DNS. h-nodo Consulta de servidor primer nombre, a continuación, utilizar emisión. Esta opción es la más probable que tenga éxito en una corriente
red con adecuada, funcional, DNS.
ID de ámbito ANetBIOS Ámbito ID ofrece un servicio de nombres extendida para NetBIOS sobre TCP / IP. El identificador de ámbito NetBIOS aísla NetBIOS tráfico c en una sola red a sólo aquellos nodos con el mismo identificador de ámbito NetBIOS.
Servidores WINS Al marcar esta casilla permite a los servidores twoWINS a ser definido que proporciona resolución de nombres para los clientes acceder y navegar por los recursos de NetBIOS a través de la VPN. WINS ha sido en gran parte obsoleto y eliminado por el uso, por lo que es poco probable que esto será necesario en la mayoría de los entornos modernos.
Habilitar puerto personalizado
Cuando se selecciona, una no predeterminado Puerto de gestión puede ser especi fi para su uso con la característica OpenVPNManage del paquete OpenVPN exportación Client. Si hay varias conexiones per fi les se utilizan en un solo cliente que utilizan dicha interfaz, cada uno debe utilizar un puerto de administración única.
Las opciones personalizadas
Mientras que la interfaz web pfSense es compatible con las opciones más utilizadas, OpenVPN es muy potente y fl exibles opciones y, ocasionalmente, que no están disponibles en la interfaz web puede ser necesario. Tales opciones personalizadas, pueden agregarse en el uso de esta caja de entrada. Estas opciones se describen con más detalle en Las opciones de personalización con fi guración .
20.2. OpenVPN de Con fi guración Opciones
391
El libro pfSense, Liberación
nivel de Información
Con fi guras la cantidad de detalle que se muestra en los registros de OpenVPN para este ejemplo, útil para la resolución de problemas. Los números más altos se traducirá en una mayor cantidad de detalle en el registro. Durante el funcionamiento normal el defecto la selección es mejor.
Nota: Cuando se establece en los niveles más altos, la página de estado de OpenVPN y widget de panel causarán registro adicional a medida que interactúan con el proceso de gestión para sondear la información de los demonios de OpenVPN.
Opciones de con fi guración del cliente Estas opciones están disponibles en uno o más modos de instancias de cliente OpenVPN, gestionan desde VPN> OpenVPN, sobre el Clientela lengüeta. Muchas de estas opciones son idénticas a las opciones de servidores mencionados anteriormente, por lo que serán observados únicas diferencias.
El modo de servidor
Para las instancias de cliente, las opciones de modo de servidor se limitan a Peer to Peer (SSL / TLS) y Peer to Peer (Shared Key),
qué par con las opciones de servidor del mismo nombre y tipo.
Interfaz Esta opción selecciona el grupo de interfaz, VIP o conmutación por error que la instancia de cliente OpenVPN utilizará para conexio- nes salientes.
Cuando se selecciona un VIP tipo CARP para la interfaz en instancias de cliente OpenVPN, la instancia OpenVPN se detendrá cuando el CARP VIP está en un estado de copia de seguridad. Esto se hace para evitar que el nodo de HA secundario de mantener rutas no válidos o intentar realizar conexiones salientes que pueden interferir con la conexión activa en el nodo de HA primaria.
Puerto local Para los clientes, el puerto local se deja en blanco en casi todos los casos, por lo que se utilizará un puerto local aleatorio. Esto es más seguro, pero algunas implementaciones puede requerir un puerto de origen fi específico. Si se requiere un puerto de origen específica fi, fi ll en que sea necesario, según sea necesario.
host del servidor o la dirección
La dirección IP o nombre de dominio totalmente calificado fi cado para el servidor.
Puerto de servicio
El puerto en el que el servidor está escuchando, por lo general 1194
392
Capítulo 20. OpenVPN
El libro pfSense, Liberación
Configuración de proxy
Host Proxy o dirección La dirección IP o nombre de dominio totalmente calificado fi cado para un servidor proxy a través del cual
este cliente debe conectarse. Proxy Auth Opciones adicionales opciones de autenticación adicionales. Cuando se establece en BASIC o NTLM, Nombre de usuario y
Contraseña campos se presentan de manera que la autenticación de proxy puede ser con fi gurada.
Resolución de nombres de servidor
Cuando Infinitamente resolver el servidor está marcada, el nombre de host del servidor se resolverá en cada intento de conexión. Cuando no se controla, OpenVPN sólo intentará resolverlo de una vez. Cuando se utiliza un nombre de host de la dirección del servidor remoto, esta opción debe ser revisado.
Configuración de autenticación de usuario
Cuando usas Peer to Peer SSL / TLS modo, una Nombre de usuario y Contraseña pueden ser especificados en adición a, o en lugar de, un certificado de usuario fi cate, dependiendo de los requisitos con fi gurado en el servidor.
Configuración de cifrado La configuración de esta sección son idénticos a los de sus opciones correspondientes en el lado servidor, excepto para el nuevo Cliente Certi fi cado opción, donde se selecciona el certi fi cado para el uso de este cliente. Este certi fi cado (y la clave asociada, y CA Certi fi cado) deben ser importados a este fi cortafuegos antes de que puedan ser elegidos.
Shared Key / autenticación TLS Estas opciones funcionan de manera similar a las contrapartes del lado del servidor, pero tenga en cuenta que la clave del servidor se debe copiar aquí, en lugar de generar una clave nueva en el cliente.
Límite de ancho de banda saliente
El valor de este cuadro, se especifica en bytes por segundo, se utiliza para limitar la velocidad de saliente VPN tráfico c. Cuando se deja en blanco, no hay límite. El valor debe estar entre 100 y 100000000.
No tire de Rutas Cuando se activa, el cliente va a ignorar rutas empujado desde el servidor. Esto es útil en los casos en que el servidor empuja una puerta de enlace por defecto redirección cuando este cliente no necesita uno.
No añadir / quitar Rutas Cuando se activa, OpenVPN no va a administrar las entradas de la tabla de enrutamiento para esta VPN. En este caso, deben ser manejados manualmente. Las rutas que normalmente se añaden en cambio se pasó a - ruta-upscript el uso de variables ambientales.
20.2. OpenVPN de Con fi guración Opciones
393
El libro pfSense, Liberación
Utilizando el Asistente de servidor OpenVPN para el acceso remoto El asistente OpenVPN es una forma cómoda de configurar una VPN de acceso remoto para clientes móviles. Se Côn cifras de todos los requisitos previos necesarios para un servidor de acceso remoto OpenVPN:
• Una fuente de autenticación (, servidor RADIUS, LDAP o un servidor local) • Una Autoridad Certi fi cado •
Un servidor de Certi fi cado
• Una instancia de servidor OpenVPN. Al final del asistente Sever un pleno funcionamiento será con fi gurado y listo para los usuarios. Un ejemplo de configuración se utiliza para ayudar en la explicación de las opciones disponibles en el asistente.
Antes de iniciar el asistente Antes de iniciar el asistente para con fi gurar el servidor de acceso remoto, hay algunos detalles que deben ser planeadas.
Determinar un esquema de direccionamiento IP
Una subred IP se debe elegir para su uso por los clientes OpenVPN mismos. Este es el fi subred llena en menos Red túnel en la con fi guración del servidor. clientes conectados recibirán una dirección IP dentro de esta subred, y el extremo del servidor de la conexión también recibe una dirección IP utilizada por el cliente como su puerta de acceso para redes en el lado del servidor. Como siempre la hora de elegir las subredes internas para un solo lugar, lo ideal es la subred elegido será diseñado de manera que se puede resumir con CIDR otras subredes internas. La red ejemplo representado aquí utiliza 10.3.0.0/24 para LAN y 10.3.201.0/24 de OpenVPN. Estas dos redes se pueden resumir con 10.3.0.0/16, haciendo de enrutamiento más fácil de manejar. CIDR resumen se discute más en Recapitulación CIDR .
Ejemplo Red Figura Ejemplo OpenVPN Red de Acceso Remoto muestra la fi con red gurada en este ejemplo.
Fig 20.1:. OpenVPN Ejemplo de red de acceso remoto
394
Capítulo 20. OpenVPN
El libro pfSense, Liberación
Elegir el tipo de autenticación En la pantalla primer asistente del servidor de acceso remoto de OpenVPN, elija un método de autenticación de usuario. Las opciones disponibles para Tipo de autenticación backend son Local de acceso de usuarios, LDAP, y RADIO. Si un sistema de autenticación existente que ya está en su lugar, como Active Directory, recoger LDAP o RADIO dependiendo de la forma en que el sistema es con fi gurado. Acceso
de usuario local puede ser seleccionado para administrar los usuarios, contraseñas y certi fi cados en la fi cortafuegos pfSense. Cuando usas Local de acceso de usuario, perusuario certi fi cados se pueden utilizar fácilmente, logró por completo en la GUI pfSense. Esto es mucho más seguro, pero dependiendo del número de usuarios que tendrá acceso al servicio, puede ser menos conveniente que el uso de un sistema de autenticación central.
Nota: por LDAP o RADIO, por usuario certi fi cados no se pueden utilizar sin generar manualmente. los Acceso de usuario local elección es el equivalente de la elección El acceso remoto (SSL / TLS + Aut.usuario) mencionado anteriormente en este capítulo. LDAP y RADIO son equivalentes a El acceso remoto (autenticación de usuario).
Después de seleccionar el tipo de servidor de autenticación, haga clic Siguiente. Si LDAP o RADIO fueron elegidos con el servidor de fi guración de esas opciones será el siguiente paso. Si Acceso de usuario local fue elegido, los pasos del asistente LDAP y RADIUS se omiten. Para este ejemplo, Acceso de usuario local será elegido, pero se discuten las otras opciones para la integridad.
La elección de un servidor LDAP Si un servidor LDAP ya se define en la fi pfSense cortafuegos puede ser elegido de la lista. Para utilizar un servidor LDAP distinto en lugar de elegir Añadir nuevo servidor LDAP. Si no hay servidores LDAP de fi nido, este paso se omite.
Adición de un servidor LDAP Si no existe ningún servidor LDAP o Añadir nuevo servidor LDAP se elige una pantalla que se presentará con las opciones necesarias para agregar un nuevo servidor. Muchas de estas opciones dependerá del específico del directorio LDAP con fi guración y estructura. Si existe alguna duda acerca de los ajustes, consulte con el administrador del servidor LDAP, proveedor de software o la documentación.
Nota: Los detalles de los servidores LDAP se cubren en Servidores de autenticación . Algunos detalles se omite aquí, ya que las opciones se discuten en profundidad en otro lugar. Para obtener más información sobre las opciones que aparecen en esta sección, consulte en su lugar.
Nombre nombre descriptivo para este servidor LDAP, por referencia.
Nombre de host o dirección IP El nombre de host o IP del servidor LDAP. Puerto El puerto en el que se puede contactar al servidor LDAP. El puerto por defecto es 389 para el estándar TCP
conexiones, y 636 para SSL. Transporte Esto se puede configurar para TCP - Estándar para las conexiones sin cifrar, o SSL - encriptado para el seguro
conexiones. Una conexión estándar puede ser suficiente por lo menos para los servidores locales o prueba inicial. Si el servidor es remoto o cruza los enlaces de red que no se confía, SSL es una opción más segura. Si SSL se va a utilizar, la fi cado CACerti desde el servidor LDAP debe ser importado a pfSense, y el Nombre de host o dirección IP anterior debe coincidir con el valor en el Nombre común ámbito de la certi fi cado del servidor. Ámbito de búsqueda de nivel Selecciona cómo profundo para buscar en el directorio LDAP, Un nivel o Subárbol entero.
Más comúnmente, subárbol entero es la elección correcta.
Ámbito de búsqueda Base DN El nombre completo sobre el que se basa la búsqueda. Por ejemplo DC = ejemplo, DC = com Contenedores de autenticación Estos valores especifican en qué parte del directorio de usuarios que se encuentran. Para examen-
PLE, puede ser CN = Users; DC = ejemplo.
20.3. Utilizando el Asistente de servidor OpenVPN para el acceso remoto
395
El libro pfSense, Liberación
Enlace LDAP DN de usuario El nombre completo de un usuario que se puede utilizar para enlazar con el servidor LDAP
y realizar la autenticación. Si se deja en blanco, se realizará un enlace anónimo, y se ignorará el ajuste por debajo de la contraseña. Enlace LDAP contraseña La contraseña que se utiliza con el LDAP Bind DN del usuario.
Atributo de nombres de usuario Varía en función del software y la estructura de directorios LDAP. Típicamente cn
para OpenLDAP y Novell eDirectory, y samAccountName para Microsoft Active Directory. Grupo de nombres de atributo Varía en función del software y la estructura de directorios LDAP, pero es más típicamente cn.
Miembro de nomenclatura Atributo Varía en función del software y la estructura de directorios LDAP. Típicamente
miembro en OpenLDAP, miembro de onMicrosoft Active Directory y uniqueMember NDS en noviembre a ell.
La elección de un servidor RADIUS Si hay un servidor RADIUS de fi nida existente en la fi cortafuegos pfSense, seleccione de la lista. Para utilizar un servidor RADIUS diferente, en lugar de elegir Añadir nuevo servidor RADIUS. Si no hay servidores RADIUS se definen en pfSense, este paso se omite.
Adición de un servidor RADIUS Si no existe ningún servidor RADIUS, o Añadir nuevo servidor RADIUS fue seleccionado, una pantalla se presenta con las opciones necesarias para agregar un nuevo servidor. Si existe alguna duda acerca de los ajustes, consulte con el administrador del servidor RADIUS, proveedor de software o la documentación.
Nota: Los detalles de los servidores RADIUS se cubren en Servidores de autenticación . Algunos detalles se omite aquí, ya que las opciones se discuten en profundidad en otro lugar. Para obtener más información sobre las opciones que aparecen en esta sección, consulte en su lugar.
Nombre nombre descriptivo para este servidor RADIUS, para referencia.
Nombre de host o dirección IP El nombre de host o IP del servidor RADIUS. Puerto de autenticación Puerto utilizado por el servidor RADIUS para la autenticación de aceptar peticiones, por lo general
1812. Secreto compartido los Secreto compartido es la contraseña con fi gurado en el servidor RADIUS para aceptar au-
thentication peticiones desde la dirección IP del cortafuegos fi pfSense.
La elección de una Autoridad Certi fi cado Si hay un Certi fi cado existente Autoridad de fi nido en la fi cortafuegos pfSense, puede ser elegido de la lista. Para crear una nueva fi cado Autoridad cado, seleccione Añadir nueva CA. Si no hay autoridades de certi fi cado se definen, se omite este paso.
La creación de una Autoridad Certi fi cado Este paso presenta todos los campos necesarios para crear una nueva autoridad de certi fi cado (CA). Se requiere que cada opción en esta página, y todos los campos debe ser llenada de manera correcta de proceder. El CA se utiliza para establecer una base de confianza de la que los certi fi cados de servidor se pueden generar y considera “digno de confianza” por los clientes. Debido a que esta CA es autogenerada, sólo será confianza para los clientes que también se suministran con una copia de esta CA certi fi cado.
Ver también:
396
Capítulo 20. OpenVPN
El libro pfSense, Liberación
Para obtener más información sobre la creación y administración de las entidades emisoras, consulte Certi fi cado de Gestión de la autoridad .
Nombre descriptivo Un nombre como referencia para identificar este certi fi cado. Este es el mismo nombre que Común campo para otros Certi fi cados. Para este ejemplo CA, ExampleCoCA se utiliza. Aunque se permite el uso de espacios en este campo, nosotros no recomendamos el uso de espacios en un nombre común de campo debido a que algunos clientes tienen problemas de manejo de manera adecuada.
Longitud de la clave Tamaño de la clave que se generará. Cuanto mayor sea la clave, más seguridad que ofrece, pero teclas más grandes son generalmente más lento de usar. 2048 es una buena opción.
Toda la vida El tiempo en días que esta entidad emisora será válida. En una CA auto-generado como este, es comúnmente
ajustado a 3650, que es aproximadamente 10 años. Código de país De dos letras del código ISO del país (por ejemplo, los EEUU, AU, CA). Si el código de país de dos letras ISO es desconocido, localizarlo en el ISO Plataforma de navegación en línea sitio. Desde que la compañía ExampleCo se encuentra en los Estados Unidos, introduzca NOS para este ejemplo.
Estado o Provincia Estado sin abreviar el nombre completo o Provincia (por ejemplo, Texas, Indiana, California). Examen-
pleco se encuentra en Texas para este ejemplo. Ciudad Ciudad u otro nombre de la localidad (por ejemplo, Austin, Indianápolis, Toronto). La sede de ExampleCo está en
Austin. Organización nombre de la organización, a menudo la compañía o nombre de grupo. ExampleCo va aquí para este ejemplo. No utilice caracteres especiales en este campo, ni siquiera puntuacion como un punto o una coma. Correo electrónico Dirección de correo electrónico para el contacto de certi fi cado. A menudo, el correo electrónico de la persona que haya generado el fi cado
Cate, tales como [email protected]. Hacer clic Añadir nueva CA al fi nal del proceso de creación CA
La elección de un servidor de Certi fi cado Si hay una existente Certi fi cado de fi nido en la fi cortafuegos pfSense, puede ser elegido de la lista. Para crear un nuevo Certi fi cado, seleccione Escribir un Certi fi cado. Si no hay Certi fi cados se definen, se omite este paso.
Adición de un servidor Certi fi cado Esta pantalla crea un nuevo certi fi cado del servidor que se utiliza para verificar la identidad del servidor a los clientes. El certi fi cado del servidor será firmado por la autoridad de certi fi cado elegido o creado previamente en el asistente. En la mayoría de los casos, ya que con este ejemplo, la misma información de la etapa anterior se utiliza y será fi pre- llena en el formulario automáticamente.
Nombre descriptivo Este es el nombre común (CN) campo para el servidor certi fi cado y también se utiliza para hacer referencia a la certi fi cado en pfSense. Usando el nombre de host del cortafuego es una opción común para un certi fi cado del servidor, tales como vpn.example.com. Aunque se permite el uso de espacios en este campo, nosotros no recomendamos el uso de espacios en un nombre de campo común porque los clientes tienden a tener problemas de manejo de manera adecuada.
Longitud de la clave Tamaño de la clave que se generará. Cuanto mayor sea la clave, más seguridad que ofrece, pero teclas más grandes son generalmente más lento de usar. 2048 es una buena opción.
Toda la vida Curso de la vida en días. Esto se establece comúnmente 3650 ( Aproximadamente 10 años). Código de país De dos letras del código ISO del país (por ejemplo, los EEUU, AU, CA)
Estado o Provincia Estado completa del nombre provincia, no abreviado (por ejemplo, Texas, Indiana, Ontario). Ciudad Ciudad u otro nombre de la localidad (por ejemplo, Austin, Indianápolis, Toronto).
20.3. Utilizando el Asistente de servidor OpenVPN para el acceso remoto
397
El libro pfSense, Liberación
Organización nombre de la organización, a menudo la compañía o nombre de grupo. No utilice ningún carac- especial tros en este campo, ni siquiera puntuacion como un punto o una coma. Correo electrónico Dirección de correo electrónico para el contacto de certi fi cado. A menudo, el correo electrónico de la persona que haya generado el fi cado
cado. (p.ej [email protected]) Hacer clic Crear nuevo Certi fi cado para almacenar los valores y continuar con el siguiente paso del asistente.
Con fi guración Configuración del servidor OpenVPN Las opciones de este paso del asistente con fi gura cada aspecto de cómo el servidor OpenVPN en sí se comportará así como las opciones que se transmiten a los clientes. Las opciones que se presentan aquí son los mismos que los descritos anteriormente en
OpenVPN de Con fi guración Opciones , Se refieren a esa sección para más detalles. Debido a que las opciones se tratan en detalle en esa sección, se mencionan sólo los ajustes para este ejemplo.
General de Información del servidor OpenVPN
Estas opciones controlan cómo funciona el ejemplo de OpenVPN. Interfaz Dado que las conexiones entrantes serán desde el lado WAN, seleccione PÁLIDO. Protocolo El valor por defecto de UDP es aceptable. Puerto local Esta será la primera instancia del servidor OpenVPN por lo que el valor predeterminado de 1194 se prefiere. Si hay
una OpenVPN existente en ese puerto, utilice un número de puerto diferente. El asistente le sugerirá un número de puerto no utilizado.
Descripción Ya que esto será para acceso de usuarios remotos, Los clientes VPN móvil ExampleCo Es un racor
descripción.
Configuración de cifrado Estas opciones controlan la forma de trá fi co en el túnel está cifrado y autenticado. autenticación TLS TLS es muy deseable a fin de comprobar Habilitar la autenticación de paquetes TLS. Generar clave TLS No hay ninguna clave TLS existente, a fin de comprobar generar automáticamente un TLS compartida clave de autenticación. TLS Shared Key Dado que no hay ninguna clave TLS existente, dejarlo en blanco. Parámetros DH Longitud Seleccionar 2048, ya que es un buen equilibrio entre velocidad y fuerza.
Algoritmo de cifrado Esto se puede dejar en el valor por defecto de AES-128-CBC, pero cualquier otra opción sería también funcionan bien, siempre y cuando los clientes están configurados para igualar.
Auth Digest Algorithm Deje el valor predeterminado SHA1 (160 bits) Crypto hardware El dispositivo de destino no tiene acelerador, así que deje a este conjunto No se pisa el hardware Crypto
ración
Configuración de túnel
Estas opciones controlan cómo el tráfico se encamina fi ca procedente de los clientes remotos.
Red túnel Al igual que en el diagrama al comienzo de este ejemplo, la subred 10.3.201.0/24 ha sido elegido para los clientes VPN.
398
Capítulo 20. OpenVPN
El libro pfSense, Liberación
redirigir puerta de enlace Para la configuración de ExampleCo, La VPN sólo se llevará a trá fi co que está destinado para la subredes en la oficina principal de lo que este cuadro no está marcado desenfrenado.
Red local Esta es la principal de subred fi ce, que en este ejemplo es 10.3.0.0/24. Conexiones concurrentes ExampleCo no quiere limitar el número de clientes que pueden conectarse a las Al mismo tiempo, por lo que este se deja en blanco.
Compresión Para mejorar el rendimiento de trá fi co en el túnel VPN a expensas de alguna potencia de la CPU, esto se establece en Se activa con compresión adaptable.
Tipo de servicio Esta caja no está marcada, ya que no hay tráfico c en esta VPN que requiere priorización ción / QoS.
La comunicación entre clientes Debido a que los clientes en esta VPN no tienen necesidad de conectarse a otro cliente máquinas, esta casilla no está marcada.
Las conexiones duplicadas Debido a que existen únicos certi fi cados para cada cliente, no está marcada.
Configuración del cliente
Estas opciones controlan los ajustes especí fi cos dadas a los clientes cuando se establece una conexión.
IP dinámica Los clientes se conectarán de todo el país y las redes móviles desconocidos y su Las direcciones IP son propensos a cambios sin previo aviso por lo que esta opción está marcada.
Conjunto de direcciones Los clientes serán asignadas direcciones de la red de túneles anterior, por lo que este se comprueba.
topología El método utilizado para asignar direcciones IP a los clientes. El valor por defecto de subred es la mejor opción.
DNS de dominio predeterminado Introducir el dominio para ExampleCo aquí, example.com. Servidores DNS Cualquier servidor DNS interno podría ser utilizado aquí. ExampleCo tiene un Directorio Activo de Windows Controlador de dominio que es con fi gurado para actuar como un servidor de DNS, 10.3.0.5. Los servidores NTP El servidor más arriba, 10.3.0.5, También se utiliza para sincronizar los relojes de PC del cliente. Opciones de NetBIOS Los clientes tendrán acceso a los recursos compartidos de Windows detrás de la VPN, a fin de comprobar Habilitar Net-
BIOS a través de TCP / IP. Tipo de nodo NetBIOS Debido a que DNS se utiliza principalmente, seleccione h-nodo.
NetBIOS Scope ID Esto se deja en blanco, ya que el alcance de NetBIOS no está limitado. Servidores WINS WINS está obsoleto, por lo que este se deja en blanco. Avanzado En este momento no se necesitan ajustes adicionales, por lo que este se deja en blanco.
De reglas de cortafuegos con fi guración Como con otras partes del cortafuego, por defecto todos tráfico c está bloqueado y la conexión a VPNs o pasando por encima de los túneles VPN. Este paso del asistente añade reglas cortafuego automáticamente para permitir trá fi co para conectarse a la VPN y también los clientes conectados de modo puede pasar trá fi co sobre el VPN.
Trá fi co de los clientes al servidor Marque esta casilla para agregar una regla fi cortafuegos en la interfaz elegida para el túnel (por ejemplo, PÁLIDO) que permite a los clientes se conectan. Permite a todos los clientes desde cualquier dirección de origen para conectar de forma predeterminada. Para permitir conexiones desde un conjunto limitado de direcciones IP o subredes, o bien hacer una regla personalizada o marque esta casilla y alterar la regla que crea. Dado que en este ejemplo los clientes se conectan de todo el país, la regla creada por esta opción es ideal, por lo que el cuadro está activado.
20.3. Utilizando el Asistente de servidor OpenVPN para el acceso remoto
399
El libro pfSense, Liberación
Traf fi c de los clientes a través del túnel VPN Esta configuración permite que todo el tráfico c para cruzar el túnel OpenVPN, que es deseable para este ejemplo, por lo que esta caja está marcada.
Finalizar el asistente Hacer clic Terminar y el asistente se ha completado; El túnel es totalmente con fi gurado y listo para conexiones de cliente. A partir de aquí son los siguientes pasos para agregar usuarios y dispositivos cliente con fi gura. Si se requieren ajustes a las normas fi cortafuego generados automáticamente, hacerlas ahora.
Con fi gurar usuarios En este punto el servidor VPN está con fi gurado pero no puede ser cualquier cliente que puede conectar. El método para añadir usuarios a la VPN dependerá del método de autenticación elegido al crear el servidor OpenVPN. Ver también:
Más detalles sobre la adición de usuarios se pueden encontrar en Gestión de usuarios y autenticación . Más información sobre la gestión de certi fi cados de usuario se puede encontrar en Certificados
de usuario fi .
Los usuarios locales
Para agregar un usuario que puede conectarse a OpenVPN, deben ser añadidos al Administrador de usuarios de la siguiente manera:
•
Navegar a Sistema> Administrador de usuarios
•
Hacer clic
•
Entrar a nombre de usuario, Contraseña, y la contraseña de confirmación
•
Llenar Nombre completo ( Opcional)
Añadir para crear un nuevo usuario
• Comprobar Haga clic para crear un certi fi cado de usuario, que abrirá la certi fi cate panel de opciones • Introduzca el nombre del usuario o cualquier otra información pertinente en el Nombre descriptivo campo • Elija el mismo Autoridad certi fi cado utilizado en el servidor OpenVPN •
Escoge un Longitud de la clave ( se puede dejar en el valor predeterminado)
•
Entrar a Toda la vida ( se puede dejar en el valor predeterminado)
•
Hacer clic Salvar
Para ver o cambiar el usuario:
•
Navegar a Sistema> Administrador de usuarios
•
Hacer clic
junto a la fila que contiene el usuario para ver / editar
Para exportar certi fi cado de un usuario y clave:
Nota: Esta parte puede omitirse si se utiliza el paquete de exportación OpenVPN cliente, se describe en Exportar paquete de cliente OpenVPN . El paquete de exportación cliente es una manera mucho más fácil para descargar los clientes estafadores configuraciones fi e instalación archivos.
•
400
Navegar a Sistema> Administrador de Cert sobre el certi fi cados lengüeta
Capítulo 20. OpenVPN
El libro pfSense, Liberación
•
Busque el certificado de usuario fi cado en la lista
•
Hacer clic
para descargar los certi fi cados de usuario
•
Hacer clic
para descargar la clave para la certi fi cado
•
Hacer clic
descargar un archivo PKCS # 12 paquete que incluye el usuario certi fi cado y la clave, y el certi fi cado CA (opcional).
En la mayoría de los casos, el Certi fi cado de CA también debe ser descargado con el certi fi cado de usuario. Esto se puede hacer a partir de su entrada en Sistema> Cert Manager, CA pestaña, o utilizando el paquete PKCS # 12 se mencionó anteriormente.
LDAP o RADIUS Usuarios Adición de usuarios LDAP y RADIUS dependerán totalmente de las herramientas de implementación y administración de servidores, que están más allá del alcance de este libro. En contacto con el administrador del servidor o proveedor de software para obtener ayuda. certi fi cados para los usuarios de LDAP o RADIUS no se pueden crear desde dentro de la interfaz web del cortafuego de una manera que refleja una por el usuario certi fi cado de relación. Sin embargo, es posible crear los certi fi cados por su cuenta utilizando el administrador de certi fi cado como se describe en Certificados de usuario fi
Instalación de cliente OpenVPN Exportar paquete de cliente OpenVPN La forma más fácil para con fi gura un cliente OpenVPN en la mayoría de las plataformas es utilizar el paquete de exportación OpenVPN cliente en el fi cortafuegos pfSense.
Instalar el paquete Utilidad de exportación OpenVPN cliente de la siguiente manera:
• Navegar a Sistema> Paquetes • localizar el OpenVPN cliente de exportación paquete de la lista
•
Hacer clic
Instalar junto a la lista de paquetes para instalar
Una vez instalado, se puede encontrar en VPN> OpenVPN, sobre el exportación cliente lengüeta. Las opciones para el paquete incluyen:
Servidor de acceso remoto Recoger la instancia del servidor OpenVPN para los que se exportará un cliente. Sí hay
es sólo un servidor de acceso remoto OpenVPN sólo habrá una opción en la lista. La lista estará vacía si no hay servidores OpenVPN modo de acceso remoto. Sede de resolución de nombres Controla la forma en la entrada “a distancia” se formatea el cliente.
Dirección IP de la interfaz Cuando elegido, la dirección IP de la interfaz se utiliza directamente. Esta es typ-
camente la mejor opción para instalaciones con una dirección IP estática en la WAN.
Automagic Multi-WAN IP Esta opción es útil cuando la reorientación de múltiples puertos usando puerto remite para las implementaciones que utilizan multi-WAN o varios puertos en la misma WAN. Será buscar y hacer entradas para todos los puertos que se dirigen hacia delante el servidor y utilizan la dirección IP de destino utilizado en el puerto adelante en la con fi guración del cliente.
Automagic Multi-WAN DDNS nombres de host Al igual que en la opción anterior, pero utiliza el fi entrada DNS TI NDS primera dinámica que coincide con el destino elegido.
20.5. Instalación de cliente OpenVPN
401
El libro pfSense, Liberación
Nombre de host de instalación Coloca el nombre de host del cortafuego, definido bajo Sistema> General Preparar, en la con fi guración del cliente. El nombre de host debe existir en DNS público para que pueda ser resuelto por los clientes.
Las entradas dinámicas de DNS del nombre de host Cada nombre de host DNS dinámico con fi gurada en la re fi
pared está aquí. Estos suelen ser la mejor opción para el funcionamiento de un servidor en una sola WAN con una dirección IP dinámica. Otro Presenta un cuadro de texto en el que una dirección IP o nombre de host se puede introducir para el cliente
usar. Verificar servidor CN especi fi ca cómo el cliente verificará la identidad del certi fi cado de servidor. El CN de la servidor de certi fi cado se coloca en la con fi guración del cliente, de modo que si otro válida certi fi cado se hace pasar por el servidor con un diferente CN, que no coincidirá y el cliente se niega a conectar. Automático - Uso verificar-x509-nombre donde sea posible Esta es la mejor para los clientes actuales.
Los métodos más antiguos están en desuso ya que este método es más preciso y flexible. Usar TLS-remoto Esto puede funcionar en los clientes de mayor edad (2.2.x OpenVPN o antes), pero se romperá
nuevos clientes como la opción se considera obsoleta.
Usar TLS-remoto y citar el servidor CN Funciona igual que TLS-remotas pero añade cotizaciones alrededor de la CN para ayudar a algunos clientes a hacer frente a los espacios en la NC.
No verificar el servidor CN Desactiva el cliente la verificación del certificado del servidor de fi cado común nombre.
Utilice aleatoria Puerto local Para los clientes actuales, el valor por defecto (comprobado) es lo mejor, de lo contrario dos con- OpenVPN
conexiones no se pueden ejecutar simultáneamente en el dispositivo cliente. Algunos clientes antiguos no soportan esto, sin embargo.
Utilice Microsoft Certi fi cado de almacenamiento Bajo Certi fi cado de las opciones de exportación, para los clientes del instalador exportados este
colocará la CA y certi fi cado de usuario en el certi fi cado de almacenamiento de Microsoft en lugar de utilizar el archivos directamente.
Utilizar una contraseña para proteger el contenido pkcs12 fi l Cuando se activa, introduzca una contraseña y confirman que,
a continuación, los certificados y claves suministrados al cliente se pueden proteger con una contraseña. Si el servidor Open- VPN está con fi gurado para la autenticación de usuario esto hará que los usuarios ver dos contraseña diferente solicita al cargar el cliente: Uno para descifrar las claves y los certi fi cados, y otro para la autenticación de usuario del servidor al conectarse.
Usa proxy Si el cliente se encuentra detrás de un proxy, compruebe Utilizar proxy para comunicarse con el servidor y luego suministrar una Proxy Tipo, dirección IP, puerto, y Autentificación de poder con credenciales si es necesario.
OpenVPNManager Cuando se activa, esta opción paquete del instalador de Windows con OpenVPNManAger interfaz gráfica de usuario, además de que el cliente normal de Windows. Esta interfaz gráfica de usuario alternativo gestiona el servicio OpenVPN de tal manera que no requiere privilegios de administrador, una vez instalado. estafadores adicional opciones fi guración Cualquiera de las opciones con fi guración adicionales necesarios para el cliente pueden ser colocados
en este cuadro de entrada. Esto es aproximadamente equivalente a la Opciones avanzadas caja en la con fi pantallas URACIÓN OpenVPN g-, pero desde la perspectiva del cliente.
Nota: No existe un mecanismo para guardar esta configuración, por lo que debe ser revisado y ajustado cada vez que la página es visitada.
Lista de instalación de clientes Paquetes
Debajo Paquetes de instalación de clientes es una lista de clientes potenciales para exportar. El contenido de la lista dependen de la forma en que el servidor está con fi gurado y qué usuarios y certi fi cados están presentes en el cortafuego.
402
Capítulo 20. OpenVPN
El libro pfSense, Liberación
La siguiente lista describe cómo el estilo de configuración del servidor con fi afecta a la lista en el paquete:
El acceso remoto (SSL / TLS) certi fi cados de usuario se enumeran que se hacen de la misma como el CA Abierta servidor VPN El acceso remoto (SSL / TLS + Aut.usuario - Los usuarios locales) Las entradas de usuario se enumeran para los usuarios locales que también
tener un certi fi cado asociado hecha del mismo CA que el servidor OpenVPN. El acceso remoto (SSL / TLS + Aut.usuario - autenticación remota) Debido a que los usuarios de Internet están a distancia, el usuario
certi fi cados se enumeran que se hacen de la misma CA que el servidor OpenVPN. Se supone que el nombre de usuario es el mismo que el nombre común del certi fi cado. El acceso remoto (Aut.usuario - usuarios locales o de autenticación remota) Una sola entrada con fi guración es se muestra para todos los usuarios ya que no hay certi fi cados por usuario.
El ejemplo de configuración del asistente hecho previamente en este capítulo fue para SSL / TLS + Aut.usuario con los usuarios locales, por lo que una opción es mostrado por usuario en el systemwhich tiene un certificado creado a partir de la misma CA que el servidor OpenVPN.
Nota: Si no se muestran los usuarios, o si un usuario específico no está en la lista, el usuario no existe o el usuario no tiene un certi fi cado apropiado. Ver Los usuarios locales para el procedimiento correcto para crear un usuario y certi fi cado.
Instalación de cliente de tipos de paquetes
Numerosas opciones se enumeran para cada cliente que exportar la con fi guración y fi les asociada de diferentes maneras. Cada uno tiene capacidad para un posible tipo de cliente diferente.
configuraciones estándar de Con fi
Archivo Descarga un archivo ZIP con la con fi guración fi l, clave TLS del servidor si ha de fi nido, y PKCS # 12 fi l que contiene la CA certi fi cado, clave de cliente, y el cliente certi fi cado. Esta opción se puede utilizar con clientes Linux o Tunnelblick, entre otros. Sólo presentar Descargas sólo el básico con fi guración fi l, no certi fi cados o claves. Esto sería principalmente se utiliza para ver la con fi guración fi l mismo sin necesidad de descargar el resto de información.
configuraciones en línea de Con fi
Esta elección descarga una sola con fi guración fi l con los certificados y claves en línea. Este formato es ideal para su uso en todas las plataformas, especialmente los clientes de Android y iOS o para copiar manualmente una con fi guración de un sistema que ya tiene un cliente instalado. Esta opción funcionará para cualquier tipo de cliente basado en OpenVPN versión 2.1 o posterior.
Androide Se utiliza con el cliente de Android OpenVPN mencionado en 4.x y más tarde Android .
OpenVPN Connect (iOS / Android) Se utiliza con el cliente OpenVPN Connect en iOS o Android detrazada en iOS .
Otros Utilizable por cualquier cliente estándar OpenVPN en plataformas como Windows, OS X, o BSD / Linux. También funciona bien con Tunnelblick en OS X, sólo tiene que descargar la línea con fi g y arrastrarlo a la carpeta con fi guraciones para Tunnelblick.
archivos del teléfono SIP
Si el servidor OpenVPN es con fi gura como única SSL / TLS sin autentificación entonces aparecerá opciones para exportar con fi guraciones cliente para varios modelos de teléfonos SIP que soportan OpenVPN. Ejemplos notables son la Yealink T28 y
20.5. Instalación de cliente OpenVPN
403
El libro pfSense, Liberación
T38G, y SNOM móviles. La instalación del cliente en el teléfono varía según el modelo, consulte la documentación del fabricante para obtener más información.
Nota: Asegúrese de que el teléfono tiene una configuración de reloj adecuada y / o servidor NTP, de lo contrario los certi fi cados no podrán validar y la VPN no se conectarán.
Advertencia: Normalmente, estos dispositivos sólo admiten el uso de SHA1 como un hash de certi fi cado. Asegúrese de que el CA, el servidor de certi fi cado, y el cliente certi fi cados son generados utilizando SHA1 o pueden fallar. Pueden también sólo el apoyo de un conjunto limitado de algoritmos de cifrado, tales como AES-128-CBC. Consulte la documentación del teléfono para obtener más información.
Los instaladores de Windows
Las opciones de Windows Installer crean un sencillo de usar ejecutable instalador fi l, que contiene el cliente OpenVPN con los datos con fi guración embebidos. El instalador se ejecuta como el instalador normal de cliente de Windows OpenVPN, pero también copia todos los ajustes y certi fi cados necesarios. Ver Instalación de
windows a continuación algunas notas sobre cómo instalar y ejecutar el cliente de Windows.
Actualmente, hay cuatro opciones disponibles: x86-xp 32 bits instalador puede utilizar en Windows XP y versiones posteriores x64-xp 64 bits instalador puede utilizar en Windows XP y versiones posteriores
x86-win6 32 bits instalador puede utilizar en Windows Vista y más tarde e incluye un driver más reciente del grifo x64-win6 64 bits instalador puede utilizar en Windows Vista y más tarde e incluye un driver más reciente del grifo
Nota: Asegúrese de hacer clic al lado fi nal / todo el camino a través del proceso de instalación. No haga clic en cancelar o X a cabo la instalación en cualquier paso, o el sistema cliente puede quedar con el cliente instalado, pero sin importar con fi guración.
Advertencia: En Windows Vista, 7, 8, 10 y más tarde con el UAC (User Account Control) está activado, el cliente debe puede ejecutar como administrador. Haga clic derecho en el icono de OpenVPN GUI y haga clic Ejecutar como administrador para que funcione. Se puede conectar sin derechos administrativos, pero no puede agregar la ruta necesaria para dirigir trá fi co sobre la conexión OpenVPN, dejándolo inutilizable. Las propiedades del acceso directo se pueden establecer para poner en marcha el programa como siempre Administración- adminis-. Esta opción se encuentra en el Compatibilidad pestaña de las propiedades del acceso directo. Una forma de evitar este requisito es comprobar OpenVPNManager antes de exportar a utilizar una interfaz gráfica de usuario alternativa de gestión de OpenVPN en Windows. los cliente viscosidad También está disponible para Windows y no requiere privilegios administrativos para funcionar correctamente.
viscosidad Bundle
Esto funciona como el archivo de con fi guración anterior, pero es que el cliente OpenVPN viscosidad utilizado en OS X y Windows. Si el cliente viscosidad ya está instalado, descarga este paquete y haga clic en él para importarlo en el cliente.
Instalación de windows El proyecto OpenVPN ofrece un instalador para Windows 2000 a Windows 10, se puede descargar desde El Open- VPN comunitarias página de descargas . En el momento de escribir estas líneas, la mejor versión para la mayoría de los usuarios de Windows es 2.3.x-I60x instalador. La serie 2.3 es la versión estable más reciente
La instalación es sencilla, aceptar todos los valores predeterminados. La instalación creará un nuevo Conexión de área local
en el sistema cliente para el tonel interfaz. Esta interfaz aparecer conectado cuando se establece la VPN y será
404
Capítulo 20. OpenVPN
El libro pfSense, Liberación
de lo contrario aparecerá como desconectado. No se con fi guración de esta interfaz es necesario ya que su con fi guración se tiró desde el servidor o cliente con fi guración de OpenVPN. Advertencia: En Windows Vista, 7, 8, 10 y más tarde con el UAC (User Account Control) está activado, el cliente debe puede ejecutar como administrador. Haga clic derecho en el icono de OpenVPN GUI y haga clic Ejecutar como administrador para que funcione. Se puede conectar sin derechos administrativos, pero no puede agregar la ruta necesaria para dirigir trá fi co sobre la conexión OpenVPN, dejándolo inutilizable. Las propiedades del acceso directo se pueden establecer para poner en marcha el programa como siempre Administración- adminis-. Esta opción se encuentra en el Compatibilidad pestaña de las propiedades del acceso directo. Una forma de evitar este requisito es comprobar OpenVPNManager antes de exportar a utilizar una interfaz gráfica de usuario alternativa de gestión de OpenVPN en Windows. los cliente viscosidad También está disponible para Windows y no requiere privilegios administrativos para funcionar correctamente.
Mac OS X clientes y de instalación Hay tres opciones de cliente para Mac OS X .:
•
El cliente de línea de comandos OpenVPN. La mayoría de los usuarios prefieren un cliente gráfico, por lo que esta opción no estarán cubiertos.
• Tunnelblick, una opción gratuita disponible para su descarga en el Sitio web Tunnelblick . • El comercial cliente viscosidad . En el momento de escribir estas líneas, que cuesta $ 9 dólares por un solo asiento. Si OpenVPN se utiliza con frecuencia, la viscosidad es un cliente mucho más agradable y bien vale la pena el costo. Tanto Tunnelblick y la viscosidad se instalan fácilmente, sin opciones de con fi guración durante la instalación.
Con fi guración de la viscosidad
Cuando se utiliza el cliente de viscosidad, puede ser con fi gurado de forma manual o el paquete OpenVPN cliente de exportación puede ser utilizado para importar la con fi guración. Viscosidad proporciona una herramienta de interfaz gráfica de usuario con fi guración que se puede utilizar para generar el subyacente cliente OpenVPN con fi guración. La CA y certi fi cados se pueden importar de forma manual, y todos los parámetros se pueden ajustar manualmente. Esta cubierta de la sección de importar un paquete de viscosidad del paquete de exportación.
• Descargar una copia de la manojo de viscosidad para el cliente desde el paquete OpenVPN cliente de exportación • Busque el salvado fi le, que finalizará en. visc.zip que indica que es un archivo comprimido • Copiar este paquete exportado a una carpeta en el Mac • Haga doble clic en este expediente y que se ampliará a Viscosity.visc • Haga doble clic Viscosity.visc y la viscosidad se abrirá y importar la conexión como se muestra en la figura La viscosidad de importación
• Borrar el Viscosity.visc directorio y el. cremallera archivo •
Viscosidad va a correr después de la importación, y puede ser encontrado en la barra de menú
•
Haga clic en el icono de bloqueo añadido a la barra de menú en la parte superior de la pantalla
•
Hacer clic preferencias para comprobar que la configuración con fi fue importada como se muestra en la figura Preferencias de viscosidad
• Comprobar el conexiones zona para ver si la conexión importado con éxito como se muestra en la figura Viscosidad Vista Conexiones .
• Cierre la pantalla de Preferencias •
Haga clic en el candado en la barra de menú
•
Haga clic en el nombre de la conexión VPN para conectarse como se muestra en la figura Conectar la viscosidad . Después de unos segundos, el candado en la barra de menú se pondrá verde para mostrar que ha conectado correctamente.
• Haga clic en él y haga clic detalles como se muestra en la figura Menú viscosidad para ver la información de conexión
20.5. Instalación de cliente OpenVPN
405
El libro pfSense, Liberación
Fig. 20.2: Viscosidad de importación
Fig. 20.3: Preferencias Viscosidad
406
Capítulo 20. OpenVPN
El libro pfSense, Liberación
Fig. 20.4: Viscosidad Vista Conexiones
Fig. 20.5: Viscosidad Conectar
20.5. Instalación de cliente OpenVPN
407
El libro pfSense, Liberación
Fig. 20.6: Menú Viscosidad En la pantalla primera (figura Detalles de la viscosidad ), el estado de conexión, tiempo de conexión, la dirección IP asignada al cliente, y el total se visualizan la IP del servidor. Un gráfico de ancho de banda se muestra en la parte inferior de la pantalla, que muestra el rendimiento dentro y fuera de la interfaz de OpenVPN.
Al hacer clic en el botón de flecha arriba / abajo en el medio de la pantalla de detalles muestra estadísticas adicionales fi cantes red. Esto muestra el tráfico c enviado dentro del túnel (TUN / TAP de entrada y salida), así como el TCP, total o UDP tráfico c enviado incluyendo la sobrecarga del túnel y cifrado. Para conexiones que utilizan principalmente pequeños paquetes la sobrecarga es considerable con todas las soluciones VPN. Las estadísticas muestran en la figura Viscosidad Detalles: trá fi co
Estadísticas son de sólo unos pocos pings que atraviesan la conexión. El tráfico c enviado en la crianza de la conexión también se cuenta aquí, por lo que la sobrecarga inicial es más alta que lo que será después de haber sido conectada por algún tiempo. Además, el típico VPN tráfico c tendrá tamaños de paquete más grandes que 64 pings byte, por lo que la sobrecarga total y diferencia entre estos dos números considerablemente menor. Al hacer clic en el tercer icono en el centro de la detalles pantalla muestra la OpenVPN log fi le (figura Detalles de viscosidad: Registros ). Si hay algún problema de conexión, revise los registros aquí para ayudar a determinar el problema. Ver también Solución de problemas de OpenVPN .
iOS iOS también es capaz de ejecutar OpenVPN forma nativa usando el IOS OpenVPN Conectar cliente disponible en la App Store. Esta aplicación no requiere jailbreaking el dispositivo IOS. La aplicación debe tener la con fi g fi l y certi fi cados con fi gurado exterior del dispositivo iOS y después importada a la misma. El paquete OpenVPN exportación de cliente en pfSense se puede utilizar para exportar una Conectar OpenVPN tipo En línea con fi guración. Transferir el resultante. OVPN fi l para el dispositivo de destino a continuación, mediante el uso de iTunes para transferir la fi les en la aplicación o enviarla por correo electrónico al dispositivo.
El uso de otros métodos para obtener los archivos en el dispositivo de forma remota, como Dropbox, Google Drive o Box funcionará de manera similar al método de e-mail son generalmente más seguras como los contenidos serán privadas y, posiblemente, cifrada en función del método y el almacenamiento.
Si se utiliza el método de correo electrónico, utilice el siguiente procedimiento:
• exportar la Conectar OpenVPN tipo En línea con fi guración fi l para la VPN. •
Enviar el expediente exportados en un correo electrónico a una cuenta fi con gurado en el dispositivo iOS
• Instalar la aplicación OpenVPN Connect en el dispositivo •
Abra la aplicación de correo en el dispositivo
•
Abra el mensaje de correo electrónico que contiene el archivo adjunto
• Pulse el archivo adjunto. Cuando se toca una de las opciones será para abrirlo con la aplicación OpenVPN Conectar
408
Capítulo 20. OpenVPN
El libro pfSense, Liberación
Fig. 20.7: Viscosidad detalles
• Toque para seleccionar la aplicación de conexión OpenVPN y ofrecerá importar la con fi guración • Toca el botón + y el per fi l se importará El uso de iTunes para transferir la con fi guración en el dispositivo iOS es sencillo y más seguro que el correo electrónico.
• exportar la Conectar OpenVPN tipo En línea con fi guración fi l para la VPN. • Conectar el dispositivo iOS al ordenador y abre iTunes • Encontrar e instalar la aplicación OpenVPN Conectar •
Haga clic en el icono del dispositivo en el interior de iTunes en la barra de herramientas
•
Seleccionar aplicaciones en el lado izquierdo de la ventana
•
localizar el Compartición de archivos En la sección inferior de esta pantalla (desplazarse hacia abajo)
•
Haga clic en el icono de OpenVPN bajo Compartición de archivos y una lista de archivos se mostrará a la derecha bajo el encabezamiento
Documentos de OpenVPN
• Copiar la fi le al dispositivo mediante el uso de uno de los métodos siguientes. El expediente estará disponible inmediatamente en el dispositivo iOS.
-
Utilice Finder para arrastrar y soltar el. OVPN fi l en esta área -O-
-
Hacer clic Añadir y localizar el expediente a la importación
• Abrir la aplicación OpenVPN Connect y que ofrecerá a importar el per fi l de • Toca el botón +, y el per fi l se importará
20.5. Instalación de cliente OpenVPN
409
El libro pfSense, Liberación
Fig. 20.8: Viscosidad Detalles: tráfico c Estadísticas
Si el per fi l está configurada con fi para la autenticación de usuario se le solicitará las credenciales, que puede estar opcionalmente salvaron. Por debajo de la petición de credenciales es un estado de la conexión que va a cambiar entre Desconectado y Conectado
y también indica cuando se intenta establecer una conexión. Al hacer clic se abrirá el registro de cliente OpenVPN que es muy útil si se encuentran problemas de conexión. Para conectar la VPN, mueva el control deslizante en la parte inferior del per fi l de Apagado a En y la aplicación intentará conectarse. Para desconectar manualmente, mueva el control deslizante de nuevo a Apagado.
Cuando se construye manualmente una con fi guración fi l para este cliente que requiere ya sea un estilo en línea con fi guración o CA separada, cliente de certi fi cado, cliente clave de certi fi cado y la clave TLS archivos (si se utiliza). No parece aceptar. p12 los archivos que contiene las claves de CA / cate y el cliente fi cado, por lo que el estilo por defecto “Con fi guración Archivo” no va a funcionar, aunque algunos usuarios han reportado éxito la importación de la con fi guración de los archivos extraídos del paquete de viscosidad.
4.x y más tarde Android Para los dispositivos con Android 4.0 o una versión más reciente, hay una OpenVPN aplicación gratuita en la tienda de Google Play que funciona de manera excelente sin necesidad de acceso a la raíz. Se llama OpenVPN para Android por Arne Schwabe. El paquete OpenVPN exportación de cliente en pfSense puede exportar una Androide tipo En línea con fi guración, y la resultante
.
OVPN fi le puede ser transferido al dispositivo de destino. Se puede copiar directamente, enviado por correo electrónico al dispositivo, etc.
• Abre el OpenVPN para Android aplicación •
Toque de importación (icono de la carpeta de archivos en la parte superior derecha)
• Encuentra el . OVPN fi l salvó arriba y tócalo •
410
Toque de importación (icono de disco en la parte superior derecha)
Capítulo 20. OpenVPN
El libro pfSense, Liberación
Fig. 20.9: Viscosidad Detalles: troncos
20.5. Instalación de cliente OpenVPN
411
El libro pfSense, Liberación
El VPN importado se muestra ahora en la lista. Editar la entrada para cambiar el nombre y otros detalles. Toque la VPN para conectar. Si el per fi l está configurada con fi para la autenticación del usuario, la aplicación va a solicitar las credenciales durante la conexión.
Nota: los Android OpenVPNConnect cliente también funciona en Android 4.x y no requiere de raíz. Funciona de forma idéntica al cliente iOS con el mismo nombre. Carece de la capacidad de totalmente con fi gurar la VPN en la interfaz gráfica de usuario, por lo que no se recomienda. Utilizar el Conectar OpenVPN tipo En línea con fi guración exportación para su uso con ese cliente tanto en Android y el IOS.
Instalación de FreeBSD Si el cliente tiene una instalación de FreeBSD, OpenVPN puede ser encontrado en la colección de ports. Para instalar OpenVPN, ejecute lo siguiente como raíz:
#
cd / usr / ports / seguridad / openvpn && make install clean
Alternativamente, se puede instalar desde paquetes:
#
PKG instalar openvpn
Instalación de Linux La instalación de OpenVPN en Linux variará dependiendo de la distribución preferida y el método de gestión de instalaciones de software. OpenVPN está incluido en los repositorios de paquetes de la mayoría de las distribuciones de Linux. Con todas las diferentes posibilidades entre un sinnúmero de distribuciones, y la información adecuada ya disponible en otras fuentes en línea, este libro no cubrirá ninguna especificación cs. Basta con buscar en Internet para la distribución de elección y “OpenVPN instalación” para hallar información.
distribuciones basadas en Ubuntu tienen OpenVPN gestión integrada con Network Manager, pero requiere la instalación de un módulo adicional.
Manual del Cliente Con fi guración Realización de una instalación manual del cliente en lugar de utilizar el paquete de exportación OpenVPN cliente requiere más pasos para instalar el software y la configuración en el PC cliente. La instalación del cliente en otros sistemas operativos se deja en manos del lector.
Después de instalar OpenVPN, copie los certi fi cados al cliente y crear el cliente con fi guración fi l.
Copia certi fi cados Tres archivos de la cortafuego son necesarios para cada cliente: el CA certi fi cado, el cliente certi fi cado, y la clave de cliente. Un cuarto archivo, es la clave TLS, sólo es necesario si el servidor se ha con fi gurado para la autenticación TLS.
• Exportar el certi fi cado de CA Sistema Cert> Administrador sobre el CA pestaña, guardar esto como ca.crt • Exportar el cliente certi fi cado y la clave como se describe en Los usuarios locales , guardarlos como username.crt y username.key • Copiar estos archivos a la OpenVPN config directorio en el cliente • Copiar la clave TLS desde la pantalla de configuración del servidor con fi Si se utiliza la autenticación TLS en este servidor OpenVPN. Guardar esto en un nuevo archivo de texto le llama tls.key e incluirlo en el config carpeta también.
412
Capítulo 20. OpenVPN
El libro pfSense, Liberación
Crear Con fi guración Después de copiar los certi fi cados al cliente, el cliente OpenVPN con fi guración fi l debe ser creado. Esto se puede hacer con cualquier editor de texto plano fi le como Bloc de notas en Windows. A continuación se muestran las opciones que se utilizan con mayor frecuencia:
dev tun proto cliente UDP vpn.example.com remoto 1194 de ping 10 resolv-reintentar nobind infinito persistir clave persistir-tun ca ca.crt cert username.crt clave username.key verbo 3 comp-lzo
TLS-auth tls.key 1-user-pase auth
remoto Especi fi ca el host y el puerto del servidor OpenVPN remoto. Una dirección IP o FQDN pueden ser especi fi cado aquí.
proto Speci fi ca el protocolo utilizado por la conexión OpenVPN. Cambie esta línea a proto tcp Si TCP se utiliza en el servidor OpenVPN. ca, cert, clave Debe ser modi fi cado en consecuencia para cada cliente para reflejar los lenames Fi guardada previamente.
TLS-auth Si no se utiliza la autenticación TLS, la línea TLS-auth puede omitirse. auth-de paso de usuario Si el acceso remoto VPN no incluye nombre de usuario y contraseña de autenticación, omitir esta línea. Ver también:
Para una referencia más completa sobre las directivas de OpenVPN, consulte la manual de OpenVPN para la versión de cliente instalado.
La distribución de con fi guración y las teclas para clientes
La forma más fácil de distribuir las claves y OpenVPN con fi guración a los clientes es a través del paquete de exportación OpenVPN cliente. Si el paquete no es una opción viable, es necesario colocar el archivos en un archivo ZIP o archivo de extracción automática para extraer C: \ Archivos de programa \ OpenVPN \ config. Esto se debe transmitir de forma segura para el usuario final, y nunca se debe pasar a través de redes no confiables sin cifrar.
Un cliente OpenVPN necesita ser instalado en la mayoría de los dispositivos de usuario final, como la funcionalidad de cliente aún no está integrado en la mayoría de los sistemas operativos. Esta sección proporciona una visión general de la instalación en varios sistemas operativos comunes. Ver también:
Los clientes con una pfSense Suscripción Oro puede acceder al Hangouts Archivo para ver el septiembre y octubre de 2015 en Hangouts VPN de acceso remoto, que cubre las instalaciones de cliente para la mayoría de sistemas operativos.
Site-to-Site Ejemplo (Shared Key) En esta sección se describe el proceso de con fi gurar una conexión de sitio a sitio usando una llave compartida estilo del túnel OpenVPN.
20.6. Site-to-Site Ejemplo (Shared Key)
413
El libro pfSense, Liberación
Fig. 20.10: OpenVPN Ejemplo de sitio a sitio de red
Cuando con fi gurar una clave de sitio a sitio de conexión OpenVPN un cortafuego compartida será el servidor y el otro será el cliente. Por lo general, la ubicación principal será el lado del servidor y el control remoto o fi cinas actuarán como clientes, aunque lo contrario es funcionalmente equivalente. Similar a un acceso remoto OpenVPN con fi guración habrá una subred dedicada en uso para la interconexión entre redes OpenVPN además de las subredes en ambos extremos. La configuración fi ejemplo con descrito aquí se representa en la figura OpenVPN Ejemplo de sitio a sitio de red .
10.3.100.0/30 se utiliza como el Red túnel. El túnel OpenVPN entre los dos rewalls fi obtiene una dirección IP en cada extremo de esa subred, como se ilustra en el diagrama. Las siguientes secciones describen cómo con fi gurar los lados de servidor y cliente de la conexión.
Con fi gurar el lado del servidor • Navegar a VPN> OpenVPN, Servidor lengüeta
•
Hacer clic
•
Rellenar los campos de la siguiente manera, con todo lo demás a la izquierda en valores predeterminados:
Añadir para crear una nueva entrada de servidor
Modo de servidor Seleccionar Peer to Peer (Shared Key).
Descripción Introduzca texto aquí para describir la conexión (por ejemplo, ExampleCo sitio B VPN) Llave compartida Comprobar generar automáticamente una clave compartida, o pegar en una clave compartida preexistente para este
conexión. Red túnel Entrar en la red previamente elegido, 10.3.100.0/30 red remota Introduzca la LAN en el lado del sitio B, 10.5.0.0/24 •
Hacer clic Salvar
•
Hacer clic
•
Encuentra el Llave compartida caja
•
Seleccionar todo el texto dentro de la Llave compartida caja
para editar el servidor que fue creado hace un momento
• Copiar el texto en el portapapeles •
414
Guardar el contenido en un archivo, o pegar en un editor de texto como el Bloc de notas temporalmente
Capítulo 20. OpenVPN
El libro pfSense, Liberación
A continuación, añadir una regla fi cortafuegos de WAN que permite el acceso al servidor OpenVPN.
• Navegar a Firewall> Reglas, WAN lengüeta
•
Hacer clic
Añadir para crear una nueva regla en la parte superior de la lista
• Ajuste Protocolo a UDP
•
Establecer la dirección de origen para que coincida con el cliente. Si tiene una dirección IP dinámica, dejarlo en Alguna, en caso contrario hacer la regla para permitir únicamente desde la dirección IP WAN del cliente:
-
Seleccionar Host único o Alias en Fuente
-
Introduzca la dirección WAN del cliente como Dirección de la fuente ( p.ej 203.0.113.5)
• Selecciona el Destino a Dirección WAN • Selecciona el Puerto de destino a 1194 en este caso • Entrar a Descripción, como OpenVPN desde el sitio B • Hacer clic Salvar y el Estado se verá como la figura OpenVPN Ejemplo de sitio a sitio WAN regla de cortafuegos .
Fig. 20.11: OpenVPN Ejemplo de sitio a sitio Regla WAN Firewall
• Hacer clic Aplicar cambios Una regla también debe ser añadido a la OpenVPN interfaz para pasar tráfico c sobre el VPN desde el lado del cliente LAN a la del lado del servidor LAN. Un “Permitir todos” regla de estilo puede ser usado, o un conjunto de normas más estrictas. En este ejemplo, permitiendo que todos trá fi co está bien por lo que se hace la siguiente regla:
• Navegar a Firewall> Reglas, OpenVPN lengüeta
•
Hacer clic
Añadir para crear una nueva regla en la parte superior de la lista
• Ajuste Protocolo a alguna
• Entrar a Descripción como Permitir todo el OpenVPN •
Hacer clic Salvar
• Hacer clic Aplicar cambios La con fi guración del servidor es terminado.
Con fi gurar lado del cliente • Navegar a VPN> OpenVPN, Cliente pestaña en el sistema cliente
•
Hacer clic
•
Rellenar los campos de la siguiente manera, con todo lo demás a la izquierda en valores predeterminados:
Añadir para crear una nueva instancia de cliente OpenVPN
Modo de servidor Seleccionar Peer to Peer (Shared Key).
host del servidor o la dirección Introduzca la dirección IP pública o nombre de host del servidor OpenVPN aquí (por ejemplo,
198.51.100.3). Descripción Introducir texto para describir la conexión (por ejemplo, ExampleCo sitio VPN)
20.6. Site-to-Site Ejemplo (Shared Key)
415
El libro pfSense, Liberación
Llave compartida Deseleccionar generar automáticamente una clave compartida, a continuación, pegar en la clave compartida para el con-
nection con la tecla de copiado de la instancia del servidor creado con anterioridad. Red túnel Debe coincidir con el lado del servidor exactamente (por ejemplo, 10.3.100.0/30)
red remota Entrar en la red LAN en el lado del sitio, 10.3.0.0/24 •
Hacer clic Salvar
Una regla también debe ser añadido a la OpenVPN interfaz para pasar tráfico c sobre el VPN desde el lado del servidor LAN a la del lado del cliente LAN. Un “Permitir todos” regla de estilo puede ser usado, o un conjunto de normas más estrictas. En este ejemplo, permitiendo que todos trá fi co está bien por lo que se hace la siguiente regla:
• Navegar a Firewall> Reglas, OpenVPN lengüeta
•
Hacer clic
Añadir para crear una nueva regla en la parte superior de la lista
• Ajuste Protocolo a alguna
• Entrar a Descripción como Permitir todo el OpenVPN •
Hacer clic Salvar
•
Hacer clic Aplicar cambios
La con fi guración del cliente es completa. No se requieren reglas fi cortafuego en la interfaz WAN del cliente debido a que el cliente sólo inicia las conexiones salientes. El servidor nunca inicia conexiones con el cliente. Nota: Con acceso PKI con fi guraciones remotos, típicamente rutas y otras opciones de con fi guración no se definen en la con fi guración del cliente, sino que se envían desde el servidor al cliente. Con despliegues claves compartidas, rutas y otros parámetros debe definirse en ambos extremos como sea necesario (como se describió anteriormente, y más tarde en Las opciones de personalización con fi guración ), Las opciones no pueden ser empujados desde el servidor a los clientes cuando se utilizan claves compartidas.
Prueba de la conexión La conexión será activa inmediatamente después de guardar en el lado del cliente. Intente hacer ping a través al extremo remoto para verificar la conectividad. Si surgen problemas, consulte Solución de problemas de OpenVPN .
Site-to-Site Ejemplo Con fi guración (SSL / TLS) El proceso de con fi gurar una conexión de sitio a sitio usando SSL / TLS es más complicado de lo Llave compartida. Sin embargo, este método es típicamente mucho más conveniente para la gestión de un gran número de sitios remotos que se conectan a un sitio central en forma de cubo y radios. Puede ser utilizado para un sitio a sitio entre dos nodos, pero dada la mayor complejidad con fi guración, la mayoría de la gente prefiere usar la clave compartida en lugar de SSL / TLS para ese escenario. Cuando con fi gurar una conexión OpenVPN de sitio a sitio usando SSL / TLS uno fi cortafuegos será el servidor y los otros serán clientes. Por lo general, la ubicación principal será el lado del servidor y el control remoto o fi cinas actuarán como clientes, aunque si una ubicación tiene una dirección IP estática y más ancho de banda que la o fi cina principal que puede ser un lugar más deseable para el servidor. Además de las subredes en ambos extremos habrá una subred dedicada en uso para la interconexión entre redes OpenVPN. OpenVPN
Ejemplo de sitio a sitio de red SSL / TLS .
10.3.101.0/24 se utiliza como la red de túneles VPN IPv4. La forma OpenVPN asigna direcciones IP es la misma que para los clientes de acceso remoto. Cuando se utiliza una topología estilo de subred, cada cliente obtendrá una dirección IP en una subred común. Cuando se utiliza una topología estilo de neto 30, cada cliente que se conecta obtiene una subred / 30 para interconectar con el servidor. Ver topología para más detalles. Las siguientes secciones describen cómo con fi gurar los lados de servidor y cliente de
416
Capítulo 20. OpenVPN
El libro pfSense, Liberación
Fig. 20.12: OpenVPN Ejemplo de sitio a sitio SSL Red / TLS
la conexión. Cualquier subred puede ser utilizado para este, siempre que no se superpone ninguna otra subred actualmente en uso en la red.
Para que el servidor para llegar a las redes de clientes detrás de cada conexión, dos elementos son necesario:
• UN ruta para indicar al sistema operativo que OpenVPN sabe de una red remota • Un iroute en una anulación de c fi-cliente especifica que dice OpenVPN cómo asignar esa subred a un específico certi fi cado Más detalles sobre este seguirá en el ejemplo.
Con fi gurar SSL / TLS lado del servidor Antes de la VPN puede ser con fi gurado, se requiere una estructura de certi fi cado de esta VPN. Crear una entidad de certificación única para esta VPN y desde ese servidor de CA crear un certi fi cado, y luego un usuario certi fi cado para cada sitio remoto. Para los sitios del cliente, use un CN que identi fi ca a singularmente, de alguna manera, tal como su nombre completo cali fi cada dominio o un sitio acortada o nombre de host. Para la especificación CS de crear una CA y Certi fi cados, véase Gestión de certi fi cado . Para este ejemplo, la entidad emisora se llamará S2SCA, el servidor de CN será servidorA, los clientes serán clienteB y clientC.
• Navegar a VPN> OpenVPN, Servidores lengüeta
•
Hacer clic
•
Rellenar los campos como se describe a continuación, con todo lo demás a la izquierda en los valores predeterminados. Estas opciones se discuten en detalle en el capítulo anterior.
Añadir para crear un nuevo servidor
Los valores de uso apropiadas para esta red, o los valores por defecto si no está seguro.
Modo de servidor Seleccionar Peer to Peer (SSL / TLS) Protocolo Seleccionar UDP Modo de equipo Seleccionar tonel Interfaz Seleccionar PÁLIDO
Puerto local Entrar 1194 a menos que exista otro servidor activo OpenVPN, en cuyo caso utilizar un puerto diferente
Descripción Introduzca texto aquí para describir la conexión
20.7. Site-to-Site Ejemplo Con fi guración (SSL / TLS)
417
El libro pfSense, Liberación
autenticación TLS Marque esta casilla para hacer también la autenticación TLS, así como SSL
Peer Autoridad Certi fi cado Seleccione la CA creado en el inicio de este proceso Peer Certi fi cado de lista de revocación Si se creó una CRL, seleccione aquí Servidor de Certi fi cado Seleccione el certi fi cado del servidor creado en el inicio de este proceso
Red túnel IPv4 Entrar en la red de túneles elegido, 10.3.101.0/24 IPv4 Red Local Introduzca las redes LAN para todos los sitios, incluyendo el servidor: 10.3.0.0/24, 10.5.0.0/24, 10.7.0.0/24 Nota: Si hay más redes a nivel de servidor que necesitan ser alcanzado por los clientes, como las redes alcanzables a través de rutas estáticas, otras redes privadas virtuales, y así sucesivamente, les agregue como entradas adicionales en el IPv4 Red Local caja.
Red remota IPv4 Introduzca sólo las redes cliente LAN: 10.5.0.0/24, 10.7.0.0/24 •
Clic en Guardar.
•
Hacer clic
para editar la nueva instancia del servidor
• Encuentra el autenticación TLS caja •
Seleccionar todo el texto en el interior
• Copiar el texto en el portapapeles •
Salvar a un expediente o pegarlo en un editor de texto como el Bloc de notas temporalmente continuación, añadir una
regla fi cortafuegos de WAN que permite el acceso al servidor OpenVPN.
• Navegar a Firewall> Reglas, WAN lengüeta
•
Hacer clic
Añadir para crear una nueva regla en la parte superior de la lista
• Ajuste Protocolo a UDP
• Deje el Fuente ajustado a alguna desde múltiples sitios tendrán que conectarse. Alternativamente, un alias puede hacerse que contiene las direcciones IP de cada sitio remoto si tienen direcciones estáticas.
• Selecciona el Destino a Dirección WAN • Selecciona el Puerto de destino a 1194 en este caso • Entrar a Descripción, como OpenVPN Multi-Site VPN •
Hacer clic Salvar
• Hacer clic Aplicar cambios Una regla también debe ser añadido a la OpenVPN interfaz para pasar tráfico c sobre el VPN desde el lado del cliente LAN a la del lado del servidor LAN. Un “Permitir todos” regla de estilo puede ser usado, o un conjunto de normas más estrictas. En este ejemplo, permitiendo que todos trá fi co está bien por lo que se hace la siguiente regla:
• Navegar a Firewall> Reglas, OpenVPN lengüeta
•
Hacer clic
Añadir para crear una nueva regla en la parte superior de la lista
• Ajuste Protocolo a alguna
• Entrar a Descripción como Permitir todo el OpenVPN •
418
Hacer clic Salvar
Capítulo 20. OpenVPN
El libro pfSense, Liberación
• Hacer clic Aplicar cambios La última pieza del rompecabezas es añadir Modificaciones de c específico de cliente para cada sitio del cliente. Estos cambios son necesarios para atar una subred de cliente a un particular, certi fi cado para un sitio de modo que se puede encaminar correctamente.
•
Navegar a VPN> OpenVPN, Modificaciones de c específico de cliente lengüeta
•
Hacer clic
•
Rellenar los campos en esta pantalla de la siguiente manera:
para añadir una nueva anulación
Nombre común Introduzca el CN del sitio del cliente primero. En este ejemplo, que es clienteB.
Red remota IPv4 Este campo establece la necesaria iroute por lo que entrar en la subred LAN clienteB,
10.5.0.0/24 •
Hacer clic Salvar
Añadir un reemplazo para el segundo sitio, el ajuste de la Nombre común y Red remota IPv4 según sea necesario. En el ejemplo para el sitio C, estos valores serían clientC y 10.7.0.0/24 respectivamente. La siguiente tarea es exportar los certificados y claves necesarias para los clientes.
• Navegar a Sistema> Administrador de Cert •
Haga clic en los enlaces para exportar los siguientes elementos:
-
CA Certi fi cado
-
sitio del cliente certi fi cado (. CRT) para cada ubicación del cliente.
-
clave del sitio del cliente (. llave) para cada ubicación del cliente.
Advertencia: No haga exportar la clave CA, servidor de certi fi cado, o la clave del servidor. No son necesarios en los clientes, y copiándolos innecesariamente debilita significativamente la seguridad de la VPN.
Esto completa la configuración del servidor, al lado, ahora pasar a con fi gurar los clientes.
Con fi gurar SSL / TLS lado del cliente En el cliente, importe el CA certi fi cado junto con el cliente certi fi cado y la clave para ese sitio. Esta es la misma cate CA y certi fi cliente realizado en el servidor y exportados desde allí. Esto se puede hacer bajo Sistema> Cert Manager. Para especificidad cs en la importación de los certi fi cados de CA y, véase Gestión de certi fi cado . Después de importar los certi fi cados, crear el cliente OpenVPN:
• Navegar a VPN> OpenVPN, Cliente lengüeta
•
Hacer clic
•
Rellenar los campos de la siguiente manera, con todo lo demás a la izquierda en los valores predeterminados
Añadir para crear un nuevo cliente
Modo de servidor Seleccionar Peer to Peer (SSL / TLS) Protocolo Seleccionar UDP Modo de equipo Seleccionar tonel Interfaz Seleccionar PÁLIDO
host del servidor o la dirección Introduzca la dirección IP pública o nombre de host del servidor OpenVPN aquí (por ejemplo,
198.51.100.3)
20.7. Site-to-Site Ejemplo Con fi guración (SSL / TLS)
419
El libro pfSense, Liberación
Puerto de servicio Entrar 1194 o cualquier puerto se con fi gura en el servidor Descripción Introduzca texto aquí para describir la conexión autenticación TLS Comprobar Habilitar la autenticación de paquetes TLS, Deseleccionar generar automáticamente una clave de autenticación TLS compartida, a continuación, pegar en la clave para la conexión TLS aquí con la tecla de copiado de la instancia del servidor creado con anterioridad
Peer Autoridad Certi fi cado Seleccione la CA importado, en el inicio de este proceso Cliente Certi fi cado Seleccione el certificado de cliente fi cado importado, en el inicio de este proceso
•
Clic en Guardar
Una regla también debe ser añadido a la OpenVPN interfaz para pasar tráfico c sobre el VPN desde el lado del cliente LAN a la del lado del servidor LAN. Un “Permitir todos” regla de estilo puede ser usado, o un conjunto de normas más estrictas. En este ejemplo, permitiendo que todos trá fi co está bien por lo que se hace la siguiente regla:
• Navegar a Firewall> Reglas, OpenVPN lengüeta
•
Hacer clic
Añadir para crear una nueva regla en la parte superior de la lista
• Ajuste Protocolo a alguna
• Entrar a Descripción como Permitir todo el OpenVPN •
Hacer clic Salvar
• Hacer clic Aplicar cambios La con fi guración del cliente es completa. No se requieren reglas fi cortafuego en el cliente WAN debido a que el cliente sólo inicia las conexiones salientes. Nota: Con configuraciones de acceso remoto PKI con fi, rutas y otras opciones de con fi guración no son por lo general se define en la con fi guración del cliente sino que se envían desde el servidor al cliente. Si hay más redes para llegar en el lado del servidor, con fi gura en el servidor para ser empujado.
Prueba de la conexión La con fi guración se ha completado y la conexión será inmediatamente activa al guardar en el lado del cliente. Intente hacer ping a través al extremo remoto para verificar la conectividad. Si surgen problemas, consulte Solución de problemas de OpenVPN .
Comprobación del estado de los clientes y servidores OpenVPN La página de estado de OpenVPN en Estado> OpenVPN muestra el estado de cada servidor OpenVPN y el cliente. controles de arranque / parada de servicios también están disponibles para cada servidor independiente y la instancia de cliente en la página de estado. Para los servidores OpenVPN en modo de servidor de SSL / TLS, el estado proporciona una lista de clientes remotos conectados junto con sus nombres de usuario o nombres comunes certi fi cado, como se ve en la figura OpenVPN Estado para SSL / TLS del servidor
con uno conectado Cliente . Los clientes también pueden ser desconectados de esta pantalla haciendo clic en el servidores de una
al final de la fila de clientes. Para éstos
Mostrar tabla de enrutamiento También se muestra el botón. Al hacer clic en este botón se mostrará una tabla de redes y
direcciones IP conectadas a través de cada cliente certi fi cado.
Para los servidores OpenVPN en modo de clave compartida, el estado indicará si se está ejecutando y esperando en las conexiones, o si el cliente remoto se ha conectado.
420
Capítulo 20. OpenVPN
El libro pfSense, Liberación
Fig. 20.13: OpenVPN Estado de servidor SSL / TLS con un cliente conectado
Para los clientes OpenVPN, el estado indica si una conexión está pendiente o activo.
Fig. 20.14: OpenVPN de estado que muestra un servidor que está arriba, uno espera de una conexión, y un cliente intenta una reconexión
Permitiendo fi c tráfico al servidor OpenVPN Después de configurar un servidor OpenVPN, una regla de cortafuego para permitir el tráfico a c se requiere que el servidor OpenVPN.
• Navegar a Firewall> Reglas, WAN lengüeta
•
Hacer clic
para crear una nueva regla en la parte superior de la lista
• Ajuste Protocolo a UDP
•
Deje el Fuente ajustado a alguna
• Selecciona el Destino a Dirección WAN • Selecciona el Puerto de destino a 1194 en este caso • Entrar a Descripción, como Permitir que el tráfico del servidor OpenVPN •
Hacer clic Salvar
•
Hacer clic Aplicar cambios
Esta regla se representa en la figura Regla WAN Servidor OpenVPN .
Fig 20.15:. Regla WAN OpenVPN servidor
20.9. Permitiendo fi c tráfico al servidor OpenVPN
421
El libro pfSense, Liberación
Si se conocen las direcciones de origen del cliente y no cambian, entonces la fuente de la norma podría ser modificada para limitar trá fi co sólo de aquellos clientes. Esto es más seguro que dejar el servidor expuesto a la totalidad de Internet, pero que es necesario para acomodar a los clientes con direcciones IP dinámicas, los clientes móviles, y así sucesivamente. El riesgo de cese de las funciones expuestas con la mayoría de configuraciones fi OpenVPN es mínimo, especialmente en los casos en que se emplea la autenticación TLS. Con la autenticación basada certi fi cado que hay menos riesgo de compromiso que las soluciones basadas por contraseña que son susceptibles a forzar bruta. Esto supone una falta de agujeros de seguridad en sí mismo OpenVPN, que hasta la fecha tiene un sólido historial de seguridad.
Permitir tráfico c sobre OpenVPN Tunnels Por defecto, todas de trá fi co está bloqueado y no podrá entrar en los túneles OpenVPN. Para permitir trá fi co de los nodos remotos OpenVPN para hacer conexiones a los recursos en el lado local, reglas fi cortafuego bajo Firewall> Reglas, sobre el OpenVPN Se requiere pestaña.
Como con otros aspectos de la cortafuego, estas reglas sólo igualará tráfico c que entra en el sistema desde el lado remoto, no TRAF fi c dejando desde el lado del servidor, por lo que las embarcaciones de las reglas en consecuencia. En los casos cuando se utiliza pfSense en ambos extremos y tráfico c es necesario para alcanzar entre redes locales en ambos lados, entonces se requieren normas en ambos rewalls fi. Añadir una regla de OpenVPN que sobrepasa todo trá fi co de la siguiente manera:
• Navegar a Firewall> Reglas, OpenVPN lengüeta
•
Hacer clic
para crear una nueva regla en la parte superior de la lista
• Ajuste Protocolo a alguna
• Entrar a Descripción como Permitir todo el OpenVPN •
Hacer clic Salvar
•
Hacer clic Aplicar cambios
Para limitar el trá fi co únicamente a fuentes y destinos fi cas, ajustar la regla (s) según sea necesario. Un conjunto de reglas estrictas es más seguro, pero más difícil de crear.
clientes OpenVPN y acceso a Internet Para los clientes de acceso remoto de OpenVPN para acceder a Internet a través de la conexión OpenVPN, salida NAT es necesario para traducir su trá fi co a la dirección IP WAN del cortafuego. Las reglas automática de salida NAT predeterminados cubren esto, pero si Manual de salida NAT está en uso, reglas manuales son necesarios para llevar a cabo NAT saliente en tráfico c de fuentes que incluyen la red de túneles OpenVPN o red (s) remoto.
Ver también:
NAT salientes para más detalles sobre la salida NAT.
Asignación de OpenVPN Interfaces Con el fin de hacer NAT complejo, encaminamiento de política, o túnel-específico fi ltrado, la interfaz OpenVPN debe asignarse como una interfaz OPT y con fi gurada en consecuencia.
Asignación de la interfaz OpenVPN permite varios cambios benéfico para el control avanzado de VPN tráfico c:
•
422
Añade una pestaña fi cortafuegos bajo Cortafuegos> Reglas
Capítulo 20. OpenVPN
El libro pfSense, Liberación
•
añade responder a la normativa de la ficha interfaz VPN para ayudar con el enrutamiento de retorno
•
Agrega una entrada de puerta de enlace para el otro extremo de la VPN para la política de enrutamiento
• Permite que la interfaz para ser seleccionado en otra parte de la GUI y los paquetes • Permite más fi el control de grano fino del puerto reenvía y salida NAT para la VPN
asignación de interfaz y con fi guración • Navegar a Interfaces> (asignar) • Seleccione la apropiada ovpns o ovpnc en la interfaz puertos de red disponibles, la descripción de la VPN se imprime para la referencia.
•
Hacer clic
Añadir para asignar la interfaz como una interfaz nueva OPT (por ejemplo OPT1)
Figura Asignar OpenVPN interfaz espectáculos ovpns1 asignado como OPT1.
Fig. 20.16: Asignar OpenVPN Interface
• Vaya a la página de interfaz con fi guración, Interfaces> OptX •
Comprobar Habilitar
• Introduzca una adecuada Descripción que se convertirá en el nombre de la interfaz (por ejemplo, VPNServer) • Seleccionar ninguna para ambos Con IPv4 Tipo fi guración y para Con IPv6 Tipo fi guración Nota: Esto no lo hará con fi gura ninguna información de la dirección IP en la interfaz, que es necesaria, ya que OpenVPN en sí debe con fi gurar estos ajustes.
•
Hacer clic Salvar
• Hacer clic Aplicar cambios Esto no cambia la funcionalidad de OpenVPN, hace que la interfaz disponible para la regla fi cortafuegos, NAT y propósitos de puerta de enlace, entre otros usos.
Después de asignar la interfaz de OpenVPN, edite el servidor OpenVPN o cliente y haga clic Salvar una vez allí también para reinicializar la VPN. Esto es necesario para la VPN para recuperarse del proceso de asignación.
Filtrado con OpenVPN Cuando se asigna la interfaz OpenVPN, una pestaña está presente bajo Cortafuegos> Reglas dedicado sólo a este único VPN. Estas normas regulan trá fi co desde la parte remota de la VPN y de que lleguen al PF responder a palabra clave
20.12. Asignación de OpenVPN Interfaces
423
El libro pfSense, Liberación
que asegura tráfico c entrar en esta interfaz de VPN será salir de nuevo por la misma interfaz. Esto puede ayudar con algunos escenarios más avanzados de NAT y con fi guración. Nota: Reglas añadidas aquí se procesan después las reglas de la ficha de OpenVPN, que se comprueban primero. Con el fin de que coincida con las normas sobre una pestaña VPN asignado, el trá fi co No debe coincidir ninguna norma sobre la pestaña OpenVPN. Eliminar cualquier “Permitir Todos” reglas de estilo de la pestaña OpenVPN y artesanía más reglas especí fi cos en su lugar.
Ver también: Para obtener más información sobre las reglas cortafuego, consulte firewall .
Política de Enrutamiento con OpenVPN Cuando se asigna y activar la interfaz de OpenVPN, se añade una entrada de puerta de enlace automática en virtud Sistema> Routing,
sobre el gateways lengüeta. Con esto, tráfico c puede ser dirigida en la VPN usando el Puerta campo en LAN u otras normas fi cortafuego interfaz interna.
Cuando se utiliza con una VPN para llegar a los sitios de Internet, se puede requerir más con fi guración. Cualquiera de NAT saliente debe ser realizada en la interfaz de VPN antes de que salga (para servicios VPN como PIA, StrongVPN y similar) o la NAT se debe hacer en el otro lado antes de que alcance la conexión real de Internet. Ver también: Ver la política de enrutamiento para más información sobre la política de enrutamiento.
Advertencia: No utilice esta puerta automática para las rutas estáticas. Utilizar el Red remota campo en la VPN con fi guración. De fi nir una ruta estática por medio de la puerta de entrada automática OpenVPN no funcionará correctamente.
NAT con OpenVPN Cuando se asigna la interfaz OpenVPN reglas NAT también se pueden aplicar los mismos que con cualquier otra interfaz. Esto es útil cuando la conexión de dos conflictivas subredes o para la fabricación NAT reglas específica a este una conexión VPN (saliente NAT, hacia delante de puerto, o 1: 1 NAT)
NAT con conexiones OpenVPN Para muchos escenarios NAT avanzados utilizando OpenVPN, la asignación de la interfaz se requiere como cubiertos en Asignación de OpenVPN Interfaces
Un uso común de NAT con OpenVPN es enmascarar conflictivas subredes LAN entre dos ubicaciones. Si dos obras Net- están usando exactamente la misma subred o subredes superpuestas, como su LAN u otra red interna no pueden comunicarse a través de un sitio a sitio VPN sin NAT. Por ejemplo, si 10.3.0.0/24 es la LAN a ambos lados de una VPN a continuación, acoge en una 10.3.0.0/24 subred nunca alcanzará el otro extremo de la VPN para comunicarse con el control remoto 10.3.0.0/24 subred. Los clientes siempre tratará a esa red como locales, tratando de llegar a los otros sistemas a través de ARP. Con NAT, sin embargo, el lado remoto puede hacerse funcionar como si se utiliza una subred diferente.
Nota: Utilizando NAT funciona para muchos protocolos pero algunos que son comúnmente deseable a través de conexiones VPN, principalmente SMB / CIFS fi l de intercambio entre los hosts de Windows, no va a funcionar en combinación con NAT. Si se utiliza un protocolo que no es capaz de funcionar con NAT, esta no es una solución viable.
424
Capítulo 20. OpenVPN
El libro pfSense, Liberación
Figura Un sitio a otro con conflictivas subredes muestra un ejemplo donde ambos extremos están utilizando la misma subred. Después de la asignación de una la interfaz OpenVPN a una interfaz OPT en ambos lados, como se describe en asignación de interfaz y con fi guración ,
1: 1 NAT se puede aplicar.
Fig. 20.17: un sitio a otro con conflictivas subredes
El tráfico c desde el sitio A será traducido a 172.16.1.0/24, y el sitio B será traducido a 172.17.1.0/24. se añade 1 entrada NAT en cada extremo para traducir toda la gama / 24: A 1. Para llegar a sitio desde el sitio B, se utilizarán direcciones IP 172.16.1.x. El último octeto de la IP 10.3.0.x será traducido al último octeto de la 172.16.1.x traducida IP. Alcanzar 10.3.0.10 en el Sitio A partir del sitio B, utilice 172.16.1.10 lugar. Para llegar a 10.3.0.50 en el sitio B de sitio, utilice 172.17.1.50. Figura El sitio B 1: 1 NAT con fi
guración mostrar al 1: 1 NAT con fi guración para cada lado, donde el tonel interfaz se asigna como OPT1.
En el OpenVPN con fi guración en ambos lados, la red remota debe ser especi fi como el traducido subred IP, no como 10.3.0.0/24. En este ejemplo, la Red remota en el Sitio A es 172.17.1.0/24, y 172.16.1.0/24 en el sitio SEGUNDO.
Después de aplicar los cambios con fi guración de NAT y con fi gurar la red remota en consecuencia en ambos lados, las redes serán capaces de comunicarse utilizando las subredes traducidos.
OpenVPN y Multi-WAN OpenVPN es multi-WAN capaz, con algunas advertencias en ciertas circunstancias. Esta sección cubre consideraciones-WAN múltiples con el servidor y el cliente con fi guración de OpenVPN.
OpenVPN asignado a un grupo de puerta de enlace Un Grupo Gateway ( Grupos de puerta de enlace ) Puede ser seleccionado como el Interfaz para una instancia OpenVPN. Tal grupo puerta de enlace debe ser con fi gurada para conmutación por error solamente, no equilibrio de carga. grupos de conmutación por error sólo tienen una puerta de enlace por nivel. Al crear el grupo de puerta de enlace, un VIP también puede elegirse para su uso con una puerta de enlace específica. Cuando se selecciona para un servidor VPN, la interfaz o VIP de la pasarela de nivel 1 en el grupo serán utilizados primero. Si esa puerta de enlace se cae, se moverá a nivel
2, y así sucesivamente. Si la puerta de enlace de nivel 1 vuelve a subir, la VPN se reanudará una operación con este WAN inmediatamente. Cuando se usa para un servidor VPN, esto significa que el servidor sólo está activa en una red WAN a la vez. Algunos de los otros métodos descritos a continuación puede ser mejor para circunstancias más comunes, tales como la necesidad de ambos WANs utilizables simultáneamente con
20.14. OpenVPN y Multi-WAN
425
El libro pfSense, Liberación
Fig 20.18:. Sitio 1: 1 NAT Con fi guración
Fig. 20.19: Sitio B 1: 1 NAT Con fi guración
426
Capítulo 20. OpenVPN
El libro pfSense, Liberación
la VPN. Cuando se utiliza con clientes OpenVPN, la interfaz de salida se desconecta de acuerdo con los niveles del grupo de puerta de enlace.
servidores OpenVPN y multi-WAN servidores OpenVPN se pueden utilizar con cualquier conexión WAN, aunque los medios para hacerlo variarán dependiendo de la especi fi cs de una con fi guración dada.
servidor OpenVPN utilizando TCP TCP no es el protocolo preferido para OpenVPN. Sin embargo, el uso de TCP puede realizar múltiples WAN OpenVPN más fácil para con fi gura cuando la VPN está utilizando una configuración de la interfaz de alguna. servidores OpenVPN utilizando TCP funcionarán correctamente en todas las WAN donde las reglas fi cortafuego permiten el trá fi co al servidor OpenVPN. Se requiere una regla de cortafuego para cada interfaz WAN. Este método debe considerarse como un último recurso, y sólo se utiliza si los otros métodos no son viables.
Nota: Esto funciona debido a la naturaleza orientada a la conexión de TCP. El OpenVPN puede responder de nuevo al otro extremo con la fuente adecuada conservado, ya que es parte de una conexión abierta.
servidor OpenVPN usando UDP servidores OpenVPN con UDP también son multi-WAN capaz, pero con algunas advertencias que no son aplicables con TCP. Estas limitaciones son OpenVPN debido a la naturaleza sin conexión de UDP. La instancia OpenVPN responde de vuelta al cliente, pero el sistema operativo selecciona la dirección de la ruta y la fuente sobre la base de lo que cree la tabla de enrutamiento es el mejor camino para llegar al otro lado. Para las WAN no predeterminados, que no va a ser el camino correcto.
Método varios servidores
En algunos casos, cada WAN debe tener su propio servidor OpenVPN. Las mismas certi fi cados pueden ser para todos los servidores. Sólo dos partes de la OpenVPN con fi guración deben cambiar:
Red túnel Cada servidor debe tener un único Red túnel que no se solapa con ninguna otra red de túneles o subred interna. Interfaz Cada servidor OpenVPN debe especificar una WAN diferente Interfaz.
método forward puerto
Una opción más fácil y más flexible fl es unir el servidor OpenVPN para la LAN interfaz o localhost y el uso de un puerto WAN hacia adelante desde cada uno para dirigir el puerto OpenVPN para el servicio. Usando este método, la respuesta a la funcionalidad en pf se asegurará de que el retorno de trá fi co fluye de vuelta a la fuente apropiada a través de la interfaz prevista. Este método requiere una cierta intervención manual menor cuando se utiliza con el paquete de exportación cliente. los Sede de resolución de nombres opción debe establecerse en uno de los métodos remitir el puerto automático de otro modo por defecto la configuración de exportación dejaría de intentar conectarse a la dirección equivocada. Ver Exportar paquete de cliente OpenVPN para detalles
Conmutación por error automática para clientes
Múltiples servidores remotos pueden ser con fi gurada en los clientes OpenVPN. Si el servidor de primera no puede ser alcanzado, se utilizará el segundo. Esto puede ser usado en combinación con una implementación de servidor multi-WAN OpenVPN para proporcionar automática
20.14. OpenVPN y Multi-WAN
427
El libro pfSense, Liberación
conmutación por error para los clientes. Si los servidores OpenVPN se están ejecutando en direcciones IP 198.51.100.3 y 203.0.113.5, tanto a través del puerto 1194, la remoto líneas en el cliente con fi guración fi l serán los siguientes:
remoto 198.51.100.3 1194 udp remoto 203.0.113.5 1194 udp Para los clientes con fi gura en pfSense, los primeros remoto está con fi gurado por el Host o dirección del servidor * campo en la GUI. El segundo '' a distancia '' es especificados en la ** avanzada campo. Este método tiene tres comportamientos notables que algunos pueden hallar indeseable:
• Se tomará por lo menos 60 segundos para detectar un fallo y cambiar al siguiente servidor. • Cualquier fallo en la conexión hará que se intente el segundo servidor, incluso si no es un fallo de la WAN. • Va a no “Fail-back”. Una vez que un cliente se conecta a la segunda dirección IP del servidor se quedará allí hasta que se desconecte.
Los clientes OpenVPN y multi-WAN Para utilizar una interfaz WAN OPT, seleccionarlo como Interfaz. clientes OpenVPN con fi gura en el cortafuego respetarán los elegidos Interfaz y una ruta estática se añade automáticamente entre bastidores para garantizar trá fi co toma el camino correcto. Si la interfaz está ajustado en su lugar alguna, el cliente deberá seguir la tabla de enrutamiento del sistema al realizar la conexión con el servidor OpenVPN. En este caso se requiere una ruta estática manual para dirigir tráfico c al punto extremo remoto a través de la WAN deseado.
OpenVPN de sitio a sitio con Multi-WAN y OSPF
Fig. 20.20: Ejemplo de configuración OpenVPN La participación de OSPF Across WANs Múltiples Basándose en los conceptos de anteriormente en el capítulo, es posible con fi gura una VPN redundante utilizando un protocolo de enrutamiento dinámico, como OSPF como se ve en la figura Ejemplo de configuración OpenVPN La participación de OSPF Across WANs Múltiples .
En primer lugar, la instalación llave compartida De sitio a sitio casos OpenVPN en cada una WAN para los sitios remotos. No llenar en el Las redes remotas campos a ambos lados, sólo se Red túnel direcciones.
• Configuración de dos servidores en el lado local, cada uno en un puerto diferente. Use dos redes de túneles distintos, que no se superponen (por ejemplo, 172.31.55.0/30 y 172.31.56.0/30)
•
Configuración de dos clientes en el cortafuego a distancia, cada uno emparejado con uno de los servidores anteriores, haciendo coincidir las direcciones IP y números de puerto en cuestión.
• Asegúrese de que los clientes se fijan por su especificidad c WAN, elija la interfaz en el menú desplegable, o un VIP CARP que se encuentra en una de las redes WAN que se utilice.
428
Capítulo 20. OpenVPN
El libro pfSense, Liberación
• Asegurar que estos OpenVPN conexiones de enlace entre el cliente y el servidor. La dirección de túnel en ambos lados será re-ponden a un ping cuando están trabajando correctamente. Si los túneles no establecen, véase Solución de problemas de OpenVPN para obtener sugerencias sobre solución de problemas de la conexión.
• Asegúrese de que las reglas fi cortafuego OpenVPN permiten todo tráfico c o al menos permiten OSPF tráfico c de una fuente de las redes de túneles a un destino de cualquier. El destino en el trá fi co será una dirección de multidifusión, el cual puede ser usado para filtro específicamente si es necesario, pero no hay mucho que se pueden obtener en el camino de la seguridad si la fuente está bloqueado por la normativa como el trá fi co no puede salir de ese segmento. Una vez que ambos casos están conectados, con fi gura OSPF.
• Instalar el paquete de Quagga_OSPF Sistema> Paquetes, paquetes disponibles lengüeta en ambos rewalls fi. • Navegar a Servicios> Quagga ospfd, ficha Interfaces • Añadir cada interfaz OpenVPN
•
-
Fija el coste de 10 en el enlace primario y 20 en el secundario, y así sucesivamente
-
Añadir la LAN y otras interfaces internas como pasivo las interfaces
Navegue hasta la Ajustes globales lengüeta
• Introducir una contraseña maestra. No importa lo que está establecido en, se utiliza internamente para acceder al daemon de estado. • Establecer el ID del router a un valor de dirección IP similar, (por ejemplo, 10.3.0.1.) El Router ID es único en cada dispositivo, por lo que el establecimiento a la dirección IP de la LAN de un router es una buena práctica.
• Poner la identificación de la zona que es también un valor de dirección IP similar. El ID de la zona se fija típicamente a 0.0.0.0 o 0.0.0.1, pero cualquier valor con el formato adecuado puede ser utilizado. El identificador de la zona es la mismo para todas routers involucrados en esta VPN
•
Hacer clic Salvar
Una vez OSPF ha sido con fi gurado en todos los routers, van a tratar de formar una relación de vecino. Después de OSPF se ha configurado en ambos extremos de la Estado pestaña mostrará una interconexión completa con cada instancia en cada wan si bien conectados, y se enumerarán las rutas obtenidas a través de OSPF. Una vez que esto sucede, intente desconectar / volver a enchufar WAN y refrescar el estado durante la ejecución de algunos de trá fi co de prueba a través de la VPN, como una mesa de ping ICMP.
OpenVPN y la carpa OpenVPN funciona bien con alta disponibilidad por CARP. Para proporcionar una solución OpenVPN alta disponibilidad con la carpa, con fi gura el servidor o cliente OpenVPN para usar el VIP de la carpa con el Interfaz de opciones y con fi gurar los clientes se conecten a que el VIP CARP.
Cuando se activan los ajustes de sincronización XMLRPC con fi guración, las instancias de OpenVPN se nocer automáticamente sincronizada. El estado de conexión no se conserva entre los hosts para que los clientes deben volver a conectar después de que ocurra la conmutación por error, pero OpenVPN detectarán la falla de conexión y vuelva a conectar dentro de un minuto o menos, de conmutación por error. Alta disponibilidad y la carpa se discuten en el Alta disponibilidad . Cuando un VIP CARP se selecciona como la Interfaz para una instancia OpenVPN el cortafuego se apagará automáticamente instancias de cliente OpenVPN según sea necesario cuando un nodo CARP está en un estado BACKUP. Esto evita que OpenVPN frommaking conexiones salientes innecesarios en modo cliente. Cuando las transiciones de estado VIP carpa de dominar, los casos de OpenVPN se inician automáticamente.
Conexiones en puente de OpenVPN Las fi guraciones OpenVPN discutidos a este punto han sido dirigidas, utilizando tonel interfaces. Este es el método preferible, pero OpenVPN también ofrece la opción de usar grifo interfaces y clientes de puente directamente sobre la LAN o
20.15. OpenVPN y la carpa
429
El libro pfSense, Liberación
otra red interna. Esto puede hacer que los clientes remotos parecen estar en la LAN local.
Configuración del servidor OpenVPN La mayor parte de la configuración de una VPN de acceso remoto puente son los mismos que anteriormente para una VPN de acceso remoto tradicional. Sólo se observaron aquí las diferencias.
Modo de equipo Para crear una conexión en puente, esto se debe establecer en grifo.
Red túnel Quitar valores de las cajas de IPv4 red de túneles y red de túneles IPv6 para que están vacías. La forma en que una grifo OpenVPN funciones de puente que no necesita una red de túneles como OpenVPN no utiliza la misma asignación de dirección que lo hace para tonel modo.
DHCP puente Cuando se selecciona, DHCP se pasó a través de a la Bridged fi interfaz con gurado más tarde. En el escenario más común, esto es LAN. El uso de este método de conexión de clientes recibirían direcciones IP desde el mismo conjunto DHCP utilizado por clientes de LAN cableadas directamente.
Puente Interfaz Esta configuración no crea el puente, sólo se indica a qué interfaz OpenVPN serán utilizados para el puente. En la mayoría de los casos, esto es LAN. Esto controla qué dirección IP existente y la máscara de subred son utilizados por OpenVPN para el puente. Al establecer este a ninguna hará que el Puente DHCP Servidor ajustes siguientes para ser ignorados.
Puente servidor DHCP de inicio / fin Cuando usas grifo el modo como un servidor de múltiples puntos, un rango DHCP puede ser
con fi gurado para usar en la interfaz a la que esta grifo instancia está puenteado. Si estos valores se dejan en blanco, DHCP será pasada a través de la interfaz de puente, y se ignorará la interfaz de configuración de arriba. Esto permite un rango de direcciones IP para ser reservado para uso exclusivo de los clientes OpenVPN para que puedan estar contenidos dentro de una parte de la red interna en lugar de consumir direcciones IP del conjunto DHCP existente. Introducir el Servidor DHCP Puente de inicio y Servidor DHCP Puente Fin valores de dirección IP, según sea necesario.
Creación de la Puente Una vez que el OpenVPN grifo servidor ha sido creada, la interfaz de OpenVPN debe ser asignado y un puente a la interfaz interna.
Asignar interfaz OpenVPN Con el fin de incluir la interfaz VPN en un puente, se debe asignar. El procedimiento para la asignación de una interfaz está cubierto al principio de este capítulo, en el Asignación de OpenVPN Interfaces .
crear Puente Una vez que se ha asignado la interfaz VPN, crear el puente de la siguiente manera:
• Navegar a Interfaces> (asignar), Puentes lengüeta
•
Hacer clic
Añadir para crear un puente
• Ctrl clic tanto la interfaz de VPN y la interfaz a la que será puenteado (por ejemplo, LAN) •
Hacer clic Salvar
Más información sobre puente se puede encontrar en Bridging .
430
Capítulo 20. OpenVPN
El libro pfSense, Liberación
Conectar con los clientes Clientes que se conectan a la red VPN también hay que definir de usar grifo modo. Una vez que se ha establecido, conectar con un cliente como una exportados utilizando el paquete OpenVPN cliente de exportación. Los clientes reciben una dirección IP dentro de la subred interna como si fueran de la LAN. También recibirán broadcast y multicast trá fi co.
Las opciones de personalización con fi guración OpenVPN ofrece docenas de opciones de con fi guración, muchos más allá de los campos más comúnmente utilizados se presentan en la interfaz gráfica de usuario. Esta es la razón por la con fi guración avanzada existe caja. opciones con fi guración adicionales pueden ser con fi gurado el uso de esta área de entrada, separados por punto y coma.
Esta sección cubre las opciones de personalización más frecuentemente utilizados de forma individual. Hay muchos más, aunque rara vez es necesaria. los página del manual de OpenVPN a todos los detalles.
Advertencia: Ejercer cuidado al añadir opciones de personalización, no hay validación de entrada aplicado para asegurar la validez de las opciones utilizadas. Si una opción se utiliza de forma incorrecta, el cliente o el servidor OpenVPN no se inicien. Ver los registros de OpenVPN bajo Estado> registros del Sistema sobre el OpenVPN pestaña para asegurar las opciones utilizadas son válidas. Cualquiera de las opciones no válidas se traducirá en un mensaje de registro, seguido por la opción que provocó el error:
Opciones de error: opción no reconocida o parámetro que falta (s)
opciones de ruta Para añadir rutas adicionales para un cliente OpenVPN en particular o servidor, utilice el Red local y Red remota cajas, según sea necesario, utilizando una lista de redes comas separan. los ruta opción con fi guración personalizada también puede ser utilizado, pero ya no es necesario. Algunos usuarios prefieren este método, sin embargo. En el siguiente ejemplo se agrega una ruta para 10.50.0.0/24:
ruta 255.255.255.0 10.50.0.0;
Para añadir varias rutas, sepárelas con un punto y coma: ruta 255.255.255.0 10.50.0.0; ruta 10.254.0.0 255.255.255.0; los ruta opción con fi guración se utiliza para añadir rutas a nivel local para las redes que son accesibles a través de la VPN. Para un servidor OpenVPN guración fi usando PKI, rutas adicionales también pueden ser empujados a los clientes. La interfaz gráfica de usuario puede con fi gurar por ellas utilizando Red local campo. Para empujar las rutas manualmente 10.50.0.0/24 y 10.254.0.0/24 a todos los clientes, utilice la siguiente opción personalizada con fi guración:
empujar "Ruta 10.50.0.0 255.255.255.0"; empujar "ruta 10.254.0.0 255.255.255.0";
Redireccionamiento de la puerta de enlace predeterminada
OpenVPN también permite la entrada de defecto a ser redirigido a través de la VPN, por lo que todo no local tráfico c desde el cliente se envía a través de la VPN. Esto es ideal para las redes locales no son de confianza, tales como puntos de acceso inalámbricos, ya que proporciona protección frente a numerosos ataques que son un riesgo en redes no confiables. Esto es con fi gurable en la GUI ahora, el uso de la redirigir puerta de enlace casilla de verificación en la instancia OpenVPN con fi guración. Para hacer esto manualmente, añada la opción personalizada siguiente:
20.17. Las opciones de personalización con fi guración
431
El libro pfSense, Liberación
empujar "redirigir-gateway DEF1"
El mismo valor se puede utilizar como una opción personalizada en el lado del cliente mediante la introducción de redirigir gateway-DEF1 sin especificar empujar . ( Nota La opción es las letras “def”, seguido por el dígito uno, no la letra “L”).
Compartir un puerto con OpenVPN y un servidor Web Para ser más astuto o cuidado con un servidor OpenVPN, aprovechar la puerto compartido la capacidad de OpenVPN que le permite pasar a cualquier no-OpenVPN trá fi co a otra dirección IP detrás del cortafuego. El caso de uso habitual para esto sería para ejecutar el servidor OpenVPN en el puerto TCP / 443, mientras que dejar OpenVPN mano del HTTPS trá fi co a un servidor web en lugar de un puerto hacia adelante.
A menudo en las redes bloqueado, sólo los puertos 80 y 443, como se les permite salir por razones de seguridad y que ejecuten instancias Open- VPN en estos puertos permitidos puede ayudar a los usuarios a obtener en situaciones donde el acceso puede estar restringido de otro modo. Para hacer esto, con fi gurar un servidor OpenVPN para escuchar en el puerto TCP 443 y añadir una regla fi cortafuegos para pasar trá fi co a la dirección IP WAN o VIP utilizado para OpenVPN en el puerto 443. Sin puerto adicional hacia delante o reglas de cortafuego son necesarias para pasar el trá fi co a la IP interna.
En las opciones de personalización de la instancia OpenVPN, añada lo siguiente:
puerto compartido xxxx 443
Dónde xxxx es la dirección IP interna del servidor web a la que desea reenviar el tráfico no VPN c. Ahora bien, si un cliente OpenVPN se apunta a la dirección pública, se conectará y trabajar definir, y si un navegador web está apuntando a la misma dirección IP, que se conectará al servidor web. Nota: Esto requiere el uso de TCP, y puede resultar en la reducción de rendimiento de VPN.
Controlar parámetros de cliente a través de RADIUS Cuando se utiliza como una fuente de RADIUS para la autenticación de una VPN, pfSense es compatible con la recepción de algunos parámetros con fi guración cliente desde el servidor RADIUS como atributos de respuesta. Los siguientes valores pueden ser especificados fi:
Cisco-avpair inacl = reglas fi cortafuego entrantes para gobernar trá fi co desde el cliente al servidor. Dada en formato de LCA de estilo de Cisco (por ejemplo, permitir tcp de cualquier a cualquier) máscaras de subred son especí fi ed estilo comodín.
Cisco-avpair outacl = reglas fi cortafuego salientes para gobernar trá fi co desde el servidor al cliente. Con formato
el mismo que el inacl parámetro. Cisco-avpair dns-servidores = Los servidores DNS para empujar al cliente. Múltiples servidores pueden ser especificados fi, sepacalificado por espacios.
ruta Cisco-avpair = las instrucciones de ruta adicionales para empujar al cliente.
Speci fi ed como xxxx
aaaa donde el parámetro primera es una dirección de red y la segunda es una máscara de subred. Enmarcado-IP-Address = La dirección IP para asignar al cliente. Cuando se utiliza una subred estilo topología el servidor RADIUS también debe enviar de vuelta una máscara Enmarcado configurar apropiadamente para el Red túnel de la VPN. Cuando se utiliza una neto 30 estilo topología, el cliente recibe esta dirección IP y el servidor se establece como una dirección IP más baja que la dirección que se indica al cliente.
432
Capítulo 20. OpenVPN
El libro pfSense, Liberación
Solución de problemas de OpenVPN Si se encuentran problemas al intentar utilizar OpenVPN, consulte esta sección para obtener información sobre la solución de problemas comunes.
Compruebe OpenVPN Estado El primer lugar para buscar es Estado> OpenVPN. El estado de conexión para cada VPN se muestra allí. Si una VPN está conectado, a la espera, volver a conectar, etc, que se indicaría en esa pantalla. Para más información, ver Comprobación del estado de los clientes y servidores OpenVPN .
Compruebe Registro del firewall
Si una conexión VPN no establece o no establecer, pero no pasa de trá fi co, compruebe los registros fi cortafuego bajo Estado
> Registros del sistema sobre el firewall lengüeta. Si tráfico c para el propio túnel está siendo bloqueado, tal como tráfico c a la dirección WAN IP en el puerto 1194, y luego ajustar las reglas fi cortafuego WAN en consecuencia. Si trá fi co es bloqueado en la interfaz de OpenVPN, añadir reglas a la OpenVPN pestaña para permitir tráfico c allí.
Algunos anfitriones de trabajo, pero no todos Si trá fi co entre algunos hosts más de las funciones de VPN correctamente, pero algunos hosts no lo hacen, esto es comúnmente una de cuatro cosas.
Falta, puerta de enlace predeterminada incorrecta o ignorado Si el dispositivo no tiene una puerta de enlace predeterminada, o tiene uno
apuntando a algo distinto de pfSense, que no sabe cómo obtener correctamente de nuevo a la red remota en la VPN. Algunos dispositivos, incluso con una puerta de enlace predeterminada se especi fi ca, no utilizan esa puerta de enlace. Esto se ha visto en varios dispositivos integrados, incluyendo cámaras IP y algunas impresoras. No hay nada que pueda hacer al respecto que, aparte de conseguir el software en el dispositivo fijo fi. Esto puede ser fi veri mediante la ejecución de una captura de paquetes en la interfaz en el interior del cortafuego conectado a la red que contiene el dispositivo. Solución de problemas con tcpdump está cubierto de Usando tcpdump desde la línea de comandos . Si se observa un trá fi co de salir de la interfaz interna en el cortafuego, pero no hay respuestas a volver, el dispositivo no está encaminando correctamente su respuesta trá fi co o potencialmente bloqueándola mediante cortafuego local en el dispositivo.
máscara de subred incorrecta Si la subred en uso en un extremo se encuentra 10.0.0.0/24 y el otro es 10.254.0.0/24, y un anfitrión tiene una máscara de subred incorrecta de 255.0.0.0 o / 8, que nunca será capaz de comunicarse a través de la VPN, ya que piensa la subred VPN remoto es parte de la red local y por lo tanto el enrutamiento no funcionará correctamente. Anfitrión fi cortafuegos Si hay un cortafuego en la máquina destino, puede que no sea lo que permite las conexiones. Las reglas de firewall en pfSense Asegúrese de que las normas en ambos extremos permiten la red deseada tráfico c.
Compruebe los registros de OpenVPN
Vaya a Estado> SystemLogs y haga clic en el OpenVPN pestaña para ver los registros OpenVPN. Al conectar, OpenVPN registrará mensajes similares al siguiente ejemplo: openvpn [32194]: UDPv4 enlace remoto: 1.2.3.4:1194 openvpn [32194]: Conexión Peer Iniciada con 192.168.110.2:1194 openvpn [32194]: Secuencia de inicialización se ha completado
20.20. Solución de problemas de OpenVPN
433
El libro pfSense, Liberación
Nota: El número que sigue openvpn será diferente, es el ID de proceso del proceso OpenVPN haciendo que el ción conexiones.
Si el enlace remoto y Conexión entre pares inicializado los mensajes no se muestran cuando se intenta conectar, la causa es probable que sea incorrecto con fi guración del cliente, por lo que el cliente no está intentando conectarse al servidor correcto, o las reglas fi cortafuego incorrectas que bloquean la conexión del cliente.
Asegúrese de que no se solapan conexiones IPsec Debido a los lazos manera IPsec en el kernel de FreeBSD, cualquier acceso a una conexión IPsec coincidir las subredes locales y remotas que existe cuando IPsec está habilitado (incluso si no es hacia arriba) hará que trá fi co a no ser enrutado a través de la conexión OpenVPN. Cualquier conexión IPsec especificando las mismas redes locales y remotas, deben desactivarse. Si un túnel IPsec Recientemente se ha desactivado o eliminado, comprobar que sus entradas SPD se han eliminado examinado
Estado> IPsec sobre el SPD lengüeta. Si están presentes, sacarlos de esa pantalla.
Compruebe la tabla de enrutamiento del sistema
Vaya a Diagnóstico> Rutas y revisar las rutas conocidas por el cortafuego. Para VPNs de sitio a sitio, rutas estarán presentes para la red remota (s) a la apropiada tonel o grifo interfaz. Si las rutas no están presentes o incorrecta, el Red local, Red remota, o las opciones de personalización no son con fi gurado correctamente. Si una configuración de clave compartida está en uso y no PKI, asegúrese de que no se están utilizando los comandos de “empuje”.
Prueba desde diferentes puntos de vista Si la conexión parece ser de acuerdo a los registros, pero no funciona de la LAN, probarlo desde el fi cortafuegos en sí. Estas pruebas se pueden realizar fácilmente usando el Diagnóstico> Ping página en el cortafuego. Primera prueba utilizando la interfaz en el interior se utiliza para las conexiones OpenVPN TRAF interna fi c (típicamente LAN) como la fuente de ping. Si eso no funciona, intente de nuevo utilizando el defecto dirección de origen de manera que el cortafuego será la fuente de la ping desde la propia interfaz OpenVPN. Si el defecto de ping funciona, pero el ping red interna no es así, comprobar las reglas fi cortafuego y rutas en el lado opuesto.
Trazar el tráfico c con capturas de paquetes El uso de paquete de captura para determinar donde el tráfico c es o no es plana debido es una de las técnicas de resolución de problemas más votos. Comience con la interfaz interna (comúnmente LAN) en el lado donde se inició el tráfico c, el progreso de la tonel interfaz en que fi cortafuegos, entonces la tonel interfaz en el cortafuego remoto, y finalmente la interfaz en el interior en el cortafuego remoto. Determinar donde se ve el trá fi co y en el que no se puede ayudar mucho en la reducción a donde se encuentra el problema. captura de paquetes se trata en detalle en La captura de paquetes .
Rutas no empujar a un cliente Al intentar utilizar el Red local ajuste o una empujar declaración para empujar rutas a un cliente, y el cliente no está recibiendo de manera adecuada, un par de cosas podrían estar ocurriendo:
• Compruebe que la configuración del servidor SSL / TLS se utiliza con una Red túnel más grande que un / 30. los servidor el modo en OpenVPN sólo tiene efecto cuando se utiliza una subred suficientemente grande como para contener múltiples clientes, como a / 24.
• Si el cliente se ejecuta en Windows 10 o similares, intente ejecutar el cliente como Administrador. Algunas versiones del cliente OpenVPN requieren modo de administrador para aplicar rutas de la tabla de enrutamiento PC cliente.
434
Capítulo 20. OpenVPN
El libro pfSense, Liberación
• Cuando se utiliza una configuración de clave compartida, empujando rutas no funcionarán. Utilizar el Red remota o cajas ruta declaraciones sobre cada lado (cliente y servidor) para dirigir tráfico c para subredes en el otro extremo del túnel.
Por qué no puedo hacer ping a algunas direcciones del adaptador OpenVPN? En SSL / TLS modo de servidor utilizando una neto 30 estilo topología, OpenVPN no responderá a un ping en ciertas direcciones virtuales utilizados únicamente para los puntos finales de enrutamiento. No confíe en ping a las direcciones de punto final OpenVPN como un medio para determinar si el túnel está pasando trá fi co correctamente. En cambio, mesa de ping algo en la subred remota, como la dirección IP de LAN del servidor.
Nota: Esto no es relevante cuando se utiliza una subred estilo topología
De acuerdo con la 'OpenVPN FAQ'_, en la sección titulada ¿Por qué la opción “ifcon fi g-pool” de OpenVPN utilizar un / 30 de subred (4 direcciones IP privadas por
cliente) cuando se utiliza en modo TUN ?: Como 192.168.1.5 es sólo una dirección IP virtual dentro del servidor OpenVPN, que se utiliza como criterio de valoración para las rutas, OpenVPN no se molesta en responder a los pings en esta dirección, mientras que el 192.168.1.1 es una dirección IP real en los servidores de O / S , por lo que responderá a los pings.
Esto puede parecer un poco contrario a la intuición, ya que en el servidor de la ifconfig La salida se asemeja a:
tun0: flags = 8051 métrica 0 MTU 1500 inet6 fe80 :: 202: b3ff: fe03: 8028% tun0 prefixlen 64 ScopeID 0xc inet 192.168.100.1 -> máscara de red 192.168.100.2 0xffffffff, inaugurado por el PID 27841
Mientras que el cliente muestra:
tun0: flags = 8051 métrica 0 MTU 1500 inet6 fe80 :: 202: b3ff: FE24: 978c% tun0 prefixlen 64 ScopeID 0xa inet 192.168.100.6 -> máscara de red 192.168.100.5 0xffffffff, inaugurado por el PID 1949
En este caso, 0.5 o 0.1. probablemente no responderá a silbido. La dirección 0.5 no responde porque es una dirección virtual, y 0.1 porque no hay una ruta para llegar a él directamente. Los .5 y .6 direcciones son parte de un / 30 que va desde .4 a .7 y tratando de 0,1 de ping irían a cabo la ruta predeterminada en su lugar. Hay muchos casos en los que el otro extremo de un túnel OpenVPN responderá a un ping, pero no el local. Esto también es contrario a la intuición, pero funciona especialmente en casos en los que un enlace de sitio a sitio está presente. Si el servidor muestra sus direcciones como tun xxx1 -> xxx2 y el cliente muestra la inversa - xxx2 -> xxx1, a continuación, el extremo responda a un ping desde ambos extremos.
No puede enrutar a los clientes en una / TLS túnel SSL de sitio a sitio Si se utiliza un túnel de sitio a sitio con SSL / TLS y todas las rutas parece correcta, pero trá fi co todavía no puede fluir correctamente, compruebe el tamaño de la red de túneles. Si se trata de una configuración de sitio a sitio entre sólo dos lugares, la red de túneles debe ser un / 30
por lo que no requiere iroute declaraciones para llegar a las redes de clientes. Véase la nota al IPv4 / IPv6 Network Tunnel para más información. Al conectar varios sitios a una única instancia de servidor, compruebe la configuración contra Site-to-Site Ejemplo Con fi guración (SSL / TLS) , Especialmente las sustituciones cliente especí fi cas y iroutes.
entrada de cliente especí fi co de anulación iroute parece tener ningún efecto Cuando con fi gurar un sitio de sitio a la configuración de OpenVPN PKI, una iroute declaración debe ser con fi gurado mediante el Red remota campos de la Modificaciones de c específico de cliente entrada fijado para el nombre común del cliente certi fi cado.
20.20. Solución de problemas de OpenVPN
435
El libro pfSense, Liberación
En primer lugar, asegurarse de que la nombre común coincide con el certi fi cado y que la ruta interna se está aprendiendo / agregado, ya que se esperaba. El nivel de detalle de registro en OpenVPN puede necesitar aumentado (es decir, verbo 10 en las opciones de personalización) para ver si esto está funcionando.
Además, para cada red usado en una Cliente especí fi co Anulación de red remota entrada ( iroute), un Red remota ( ruta) se requiere en el servidor también. los Red remota ( ruta) de fi niciones sobre la configuración del servidor son para el sistema operativo cortafuego para saber que las redes serán enviados a OpenVPN de cualquier otro lugar. los
Red remota ( iroute) opciones en el Speci fi c Override Client entrada son internos a OpenVPN forma que sepa qué redes se encaminan a un específico certi fi cado.
¿Por qué los clientes OpenVPN todos reciben la misma dirección IP? Si se utiliza el mismo certi fi cado para todos los clientes, que recomendamos en absoluto, a continuación, los clientes están asignados la misma dirección IP cuando se conectan. Para solucionar este problema, compruebe Las conexiones duplicadas en la con fi guración del servidor.
Importación de los parámetros DH OpenVPN Al importar una configuración de OpenVPN existente en pfSense, no hay necesidad de importar los parámetros de DH. parámetros DH no se especi fi ca a una configuración dada en la forma en que los certi fi cados o llaves.
En pocas palabras, los parámetros DH son algunos bits extra de aleatoriedad que ayudan a cabo durante el proceso de intercambio de claves. Ellos no tienen que coincidir en ambos lados del túnel, y los nuevos se pueden hacer en cualquier momento. No hay necesidad de importar un conjunto existente de parámetros DH.
Nota: Por defecto, pfSense utiliza un conjunto de parámetros DH pre-generados. Un nuevo conjunto se puede generar manualmente si se desea, ver Parámetros DH
Longitud para detalles.
OpenVPN es una solución VPN SSL de código abierto que se puede utilizar para los clientes de acceso remoto y la conectividad de sitio a sitio. OpenVPN apoya a los clientes en una amplia gama de sistemas operativos, incluyendo todos los BSD, Linux, Android, Mac OS X, iOS, Solaris, Windows 2000 y versiones posteriores, e incluso algunos teléfonos VoIP.
Cada conexión OpenVPN, si el acceso remoto o de sitio a sitio, consiste en un servidor y un cliente. En el caso de las VPN de sitio a sitio, un cortafuego actúa como el servidor y el otro como cliente. No importa lo que cortafuego posee estas funciones. Por lo general la ubicación del cortafuego primaria proporcionará conectividad del servidor para todas las ubicaciones remotas, cuya fi rewalls son con fi gurada como clientes. Esto es funcionalmente equivalente a la opuesta con fi guración de la ubicación primaria con fi gurado como un cliente que se conecta a los servidores que se ejecutan en los rewalls fi en las ubicaciones remotas. En la práctica, los servidores están casi siempre se ejecutan en una ubicación central.
Hay varios tipos de métodos de autenticación que se pueden utilizar con OpenVPN: clave compartida, X.509 (también conocido como SSL / TLS o PKI), la autenticación de usuario a través de local, LDAP, y RADIUS, o una combinación de X.509 y usuario ción authentica-. Para clave compartida, se genera una clave única que se utilizará en ambos lados. SSL / TLS implica el uso de un conjunto de confianza de certificados y claves. La autenticación del usuario puede ser con fi gurada con o sin SSL / TLS, pero su uso es preferible que sea posible debido al aumento de la seguridad es ofertas.
Las configuraciones para una instancia de OpenVPN se tratan en este capítulo, así como una carrera a través del asistente de servidor de acceso remoto de OpenVPN, con fi guraciones del cliente, y los ejemplos de múltiples escenarios de conexión de sitio a sitio.
Nota: Aunque OpenVPN es una VPN SSL, no es un “sin cliente” VPN SSL en el sentido de que los proveedores comerciales cortafuego fi comúnmente estado. El cliente OpenVPN debe estar instalado en todos los dispositivos cliente. En realidad hay una solución VPN es verdaderamente “sin cliente”, y esta terminología no es más que una estratagema de marketing. Para mayor discusión a fondo sobre SSL VPN, este post de Matthew Grooms , Un desarrollador de herramientas y pfSense IPsec, en los archivos de la lista de correo proporciona alguna información excelente.
Para una discusión general de los diversos tipos de VPN disponibles en pfSense y sus pros y contras, véase Redes privadas virtuales .
436
Capítulo 20. OpenVPN
El libro pfSense, Liberación
Ver también:
Los clientes con una pfSense Suscripción Oro puede acceder al Hangouts Archivo para ver el Hangout de septiembre de 2014 Conceptos avanzados de OpenVPN y la conversación de septiembre de 2015 sobre las VPN de acceso remoto
OpenVPN y Certificados fi Usando certi fi cados es el medio preferido de funcionamiento de VPN de acceso remoto, ya que permite el acceso a ser revocada por máquinas individuales. Con claves compartidas, ya sea un servidor único y puerto para debe crearse para cada cliente, o la misma clave debe ser distribuido a todos los clientes. El primero llega a ser una pesadilla de gestión, y el último es problemático en el caso de una clave comprometida. Si una máquina cliente se ve comprometido, robado o perdido, o no revocado necesidades, la clave compartida debe ser re-emitida a todos los clientes. Con un despliegue de PKI, si un cliente se ve comprometida, o el acceso necesita ser revocada por cualquier otra razón, simplemente revocar certi fi cado de ese cliente. No hay más clientes afectados. La interfaz gráfica de usuario pfSense incluye una interfaz de gestión de certi fi cado que está completamente integrado con OpenVPN. Sistema
>
Gestor de cert. certi fi cados de usuario también se gestionan en la interfaz web, como parte del encargado de usuario integrada que se encuentra en Sistema> Administrador de
usuarios. certi fi cados pueden ser generados por cualquier cuenta de usuario creada localmente en el router a excepción de la cuenta de administrador por defecto. Para más información sobre la creación de una autoridad de certi fi cado, certi fi cados, y las listas de revocación de certi fi cado ver Gestión de certi fi cado .
20.21. OpenVPN y Certificados fi
437
El libro pfSense, Liberación
438
Capítulo 20. OpenVPN
CAPÍTULO
VEINTIUNO
L2TP VPN
L2TP y reglas del cortafuegos Por defecto, cuando se habilita el servidor L2TP, reglas fi cortafuego no lo hará ser añadido automáticamente a la interfaz elegida para permitir el puerto UDP 1701. Una regla cortafuego debe ser añadido a cualquier interfaz de la L2TP tráfico c va a ingresar, típicamente WAN, la WAN que contiene la entrada de defecto, o IPsec.
L2TP y Multi-WAN L2TP utiliza el puerto UDP 1701. Debido L2TP se basa en UDP, el servidor puede tener problemas al utilizar cualquier red WAN que no es la puerta de enlace predeterminada. El demonio responderá del cortafuego utilizando la dirección más cercana al cliente, a raíz de la tabla de enrutamiento, que es la WAN con la puerta de enlace predeterminada para clientes remotos.
Servidor L2TP con fi guración Para utilizar L2TP, primero vaya a VPN> L2TP. Seleccionar Habilitar servidor L2TP.
Interfaz los Interfaz el establecimiento de controles donde el demonio se unirá L2TP y escuchar las conexiones. Este suele ser el PÁLIDO
Interfaz de aceptar conexiones entrantes.
Direccionamiento IP Antes de empezar, determinar qué direcciones IP a utilizar para el servidor y los clientes L2TP y ahora muchos clientes simultáneos a apoyar.
Dirección del servidor Un no usado dirección IP fuera de la Intervalo de direcciones remota, tales como 10.3.177.1 como
muestra en la figura IP L2TP Dirigiéndose . Intervalo de direcciones remota Por lo general, un nuevo y sin uso de subred, como 10.3.177.128/25 (0,128 través de .255).
Estas son las direcciones que se asignarán a los clientes cuando se conecten.
Número de usuarios L2TP Controla el número de usuarios L2TP se les permitirá conectarse al mismo tiempo, en este ejemplo dieciséis has sido seleccionado.
Los servidores DNS también pueden definirse para los usuarios finales cuando sea necesario. Rellene el Primario ** y el servidor DNS secundario L2TP ** campos con las direcciones IP del servidor DNS para la conexión de los clientes.
439
El libro pfSense, Liberación
Fig. 21.1: L2TP direccionamiento IP
Autenticación Secreto Requerido por algunas implementaciones de L2TP, similar a una contraseña de grupo o clave pre-compartida. Apoyo
para esto varía de un cliente a otro. Deje en blanco el campo a menos que se sabe que son necesarios. Si es necesario, introducir y confirmar el secreto.
tipo de autenticación decide entre PAP, CHAP, o MS-CHAPv2 autenticación de los usuarios. Apoyo para esto puede variar de un cliente a otro y también puede depender del servidor RADIUS también. los CAP tipos basados son más seguros, pero PAPILLA es más ampliamente compatibles. Los usuarios pueden ser autenticados desde la base de datos local, o por medio de un servidor RADIUS externo. Esto puede ser usado para autenticar usuarios L2TP de Microsoft Active Directory (ver Autenticación RADIUS con Windows Server ) así como numerosos servidores RADIUS capaces otro. Si se utiliza RADIUS, compruebe el Utilizar un servidor RADIUS para la autenticación caja y llenar en el servidor RADIUS y el secreto compartido. Un segundo servidor RADIUS también se puede añadir en caso de que el primero uno falla. Para la autenticación utilizando la base de datos local, deje que la casilla sin marcar. Los usuarios deben ser añadidos manualmente en el usuarios pestaña de la VPN> L2TP pantalla a menos que el uso de RADIUS. Ver Adición de usuarios a continuación para más detalles sobre el sistema de autenticación incorporado.
Guardar los cambios iniciar el servidor L2TP Tras el llenado de los artículos antes mencionados, haga clic Salvar. Esto ahorrará la con fi guración y poner en marcha el servidor L2TP.
Con fi gurar fi reglas de cortafuego para los clientes L2TP Vaya a Cortafuegos> Reglas y haga clic en el L2TP VPN lengüeta. Estas reglas de control de trá fi co de los clientes L2TP. Hasta que una regla fi cortafuegos se ha añadido para permitir trá fi co, se bloqueará todo el tráfico c iniciada desde los clientes conectados L2TP. Tra fi co iniciada desde la LAN a clientes L2TP es controlado usando reglas fi cortafuego LAN. Inicialmente una regla de permitir que todos puedan desear aquí para propósitos de prueba como se muestra en la figura Regla L2TP VPN Firewall , y una vez funcionalidad se ha verificable ed, restringir el conjunto de reglas como se desee.
Nota: Recuerde que una regla también se debe agregar a la interfaz que recibe el tráfico L2TP c, por lo general WAN o IPsec, para pasar a la UDP cortafuego con un puerto de destino 1701.
440
Capítulo 21. L2TP VPN
El libro pfSense, Liberación
Fig 21.2:. Regla L2TP VPN Firewall
Adición de usuarios
Adición de usuarios al sistema de usuarios L2TP integrado es simple. Para agregar usuarios locales:
•
Navegar a VPN> L2TP, Usuarios lengüeta. La pantalla de los usuarios como se muestra en la figura Tab usuarios L2TP se presentará.
•
Hacer clic
Añadir para mostrar la forma usada para añadir usuarios.
La figura 21.3:. Tab usuarios L2TP
• Introducir el Usuario Contraseña y Confirman contraseña para un usuario, como en la figura Adición de un usuario L2TP . •
Introduzca un estático asignación de IP Si es deseado.
Fig. 21.4: Adición de un usuario L2TP
•
Hacer clic Salvar, y luego la lista de usuarios regresará.
• Repita el proceso para cada usuario añadir.
Para editar un usuario existente, haga clic
.
Los usuarios pueden eliminar haciendo clic
.
L2TP con IPsec En las versiones actuales de pfSense, L2TP / IPsec puede ser con fi gurada para clientes móviles, aunque no es una con fi guración se recomienda.
21.4. L2TP con IPsec
441
El libro pfSense, Liberación
Como se advirtió al comienzo del capítulo, el cliente de Windows, entre otros, y el demonio strongSwan IPsec no siempre son compatibles, lo que lleva al fracaso en muchos casos. Se recomienda utilizar otra solución como IKEv2 en lugar de L2TP / IPsec.
Ver también:
Ejemplo IKEv2 Servidor Con fi guración contiene un tutorial para la con fi guración de IKEv2. Antes de con fi gurar la parte IPSec, L2TP configurar el servidor como se describe en Servidor L2TP con fi guración y añadir usuarios, reglas de cortafuego, etc., tal como se cubran.
configuración de IPsec Estos ajustes se han probado y encontrado para trabajar con algunos clientes, pero otros entornos similares pueden funcionar tan bien. No dudes en probar otros algoritmos de cifrado, hashes, etc.
Tab clientes móviles
• Navegar a VPN> IPsec, Los clientes móviles pestaña en pfSense • Comprobar Habilitar el soporte de cliente móvil IPsec • Ajuste Autenticacion de usuario a Base de datos local ( No se utiliza, pero la opción debe haber algo seleccionada)
•
Deseleccionar Proporcionar una dirección IP virtual a clientes
• Deseleccionar Proporcionar una lista de redes accesibles a los clientes •
Hacer clic Salvar
Fase 1 • Haga clic en el crear Fase 1 botón en la parte superior si aparece o editar el IPsec Fase móvil existente 1 -
Si no hay Fase 1, y la crear Fase 1 botón no aparece, vaya de nuevo a la Los clientes móviles ficha y haga clic en él allí.
• Ajuste versión de intercambio de claves a v1
• Introduzca una adecuada Descripción • Ajuste Método de autentificación a PSK mutua • Ajuste Modo de negociación a Principal
• Ajuste Mi identi fi cador a Mi dirección IP
• Ajuste Algoritmo de cifrado a AES 256 • Ajuste algoritmo de hash a SHA1
• Ajuste grupo clave DH a 14 (2048 bits)
Nota: iOS y otras plataformas pueden trabajar con una grupo clave DH de 2 en lugar.
• Ajuste Toda la vida a 28800
•
Deseleccionar Desactivar Rekey
• Ajuste NAT a Auto •
442
Comprobar Habilitar DPD, establecido para 10 y segundo 5 reintentos
Capítulo 21. L2TP VPN
El libro pfSense, Liberación
•
Hacer clic Salvar
Fase 2
•
Hacer clic
Mostrar Fase 2 entradas para mostrar la lista de IPsec Fase móvil 2
•
Hacer clic
Añadir P2 para añadir una nueva entrada en la fase 2 si no existe uno, o haga clic
para editar una entrada existente
• Ajuste Modo a Transporte
• Introduzca una adecuada Descripción • Ajuste Protocolo a ESP
• Ajuste Los algoritmos de cifrado a tan sólo AES 128 • Ajuste Los algoritmos hash a tan sólo SHA1 • Ajuste PFS Grupo Clave a apagado
• Ajuste Toda la vida a 3600
•
Hacer clic Salvar
Pre-Shared Key El Pre-Shared Key para la conexión, que es común para todos los clientes, debe ser con fi gurada de una manera especial.
• Navegar a VPN> IPsec, Pre-Shared Keys pestaña en pfSense
•
Hacer clic
•
Selecciona el Identi fi cador a todos los usuarios
Añadir añadir un nuevo PSK
Nota: los todos los usuarios nombre es una palabra clave especial utilizado por pfSense para con fi gura un comodín PSK, que es necesaria para L2TP / IPsec funcione. No utilice ningún otro Identi fi cador para este PSK!
• Ajuste Tipo secreto a PSK
• Entrar a Pre-Shared Key, como aaabbbccc - idealmente uno mucho más tiempo, más al azar, y seguro! •
Hacer clic Salvar
• Hacer clic Aplicar cambios
Las reglas del cortafuegos IPsec Las reglas de firewall son necesarios para pasar tráfico c desde el host cliente a través de IPsec para establecer el túnel L2TP, y en el interior L2TP para pasar el actual túnel VPN tráfico c a los sistemas a través de la VPN. Adición de las reglas L2TP estaba cubierto en la sección anterior. Para añadir reglas de IPsec:
• Navegar a Firewall> Reglas, IPsec lengüeta • Revisar las normas actuales. Si hay una regla de estilo “permitir todo”, entonces no hay necesidad de añadir otro. Continuar a la siguiente tarea.
•
Hacer clic
Añadir añadir una nueva regla a la parte superior de la lista
21.4. L2TP con IPsec
443
El libro pfSense, Liberación
•
Selecciona el Protocolo a alguna
• Selecciona el Fuente y Destino a alguna Nota: Esto no tiene que pasar todo el trá fi co, sino que debe pasar al menos L2TP (puerto UDP 1701) a la dirección IP WAN del cortafuego
•
Hacer clic Salvar
• Hacer clic Aplicar cambios
DNS Con fi guración Si los servidores DNS se suministran a los clientes y consolidar la de resolución de DNS se utiliza, a continuación, la subred elegido para los clientes L2TP se debe agregar a su lista de acceso.
•
Navegar a Servicios> resolución de DNS, Listas de Acceso lengüeta
•
Hacer clic
•
introducir una Acceso Nombre de lista, como Los usuarios de VPN
Añadir para añadir una nueva lista de acceso
• Ajuste Acción a Permitir
•
Hacer clic
Agregar red debajo redes añadir una nueva red
• Introduzca la subred del cliente VPN en el Red caja, por ejemplo, 10.3.177.128 • Elegir el correcto CIDR, p.ej 25 •
Hacer clic Salvar
• Hacer clic Aplicar cambios
Configuración de cliente Cuando con fi gurar los clientes, hay algunos puntos a tener en cuenta:
•
Asegúrese de que la con fi guración del sistema operativo del cliente está configurado para conectarse a la dirección externa adecuada para la VPN.
• Puede que sea necesario para forzar el tipo de VPN a L2TP / IPSec en el cliente si tiene un modo automático. • El tipo de autenticación de cliente debe coincidir con lo que es con fi gurado en el servidor L2TP (por ejemplo, CAP)
Solución de problemas L2TP Esta sección cubre los pasos para solucionar los problemas más comunes que encuentran los usuarios con L2TP.
No se puede conectar Compruebe que las reglas se han añadido a la interfaz externa donde el L2TP tráfico c entra en el cortafuego cortafuego. También asegúrese de que el cliente se conecta a la dirección IP de la interfaz elegida en la configuración de L2TP.
444
Capítulo 21. L2TP VPN
El libro pfSense, Liberación
Conectado a L2TP, pero no puede pasar a tra fi co Asegurar reglas cortafuego se han añadido a la L2TP VPN interfaz como se describe en Con fi gurar fi reglas de cortafuego para los clientes L2TP .
También garantizar la subred remota a través de la VPN es diferente de la subred local. No es posible llegar a una 192.168.1.0/24 a través de la red VPN cuando la subred local donde reside el cliente es también 192.168.1.0/24, trá fi co destinado a esa subred no atravesará la VPN, ya que está en la red local. Por esta razón, es importante elegir una subred LAN relativamente oscura cuando se utiliza una VPN.
La conexión falla con un cliente de Windows Si la capa IPsec aparece para completar, pero no L2TP tráfico c pasa, es probable que una incompatibilidad conocida entre Win- dows y el demonio strongSwan utilizado en pfSense. Actualmente no existe una solución conocida, excepto para mover el sistema de Windows desde detrás de NAT, o para usar un estilo diferente de VPN como IKEv2.
Saliente L2TP Traf fi c Bloqueado En algunos casos, tales como cuando se combina con IPsec, L2TP tráfico c también puede requerir una manipulación especial a través de reglas flotantes. Esto aparece como bloqueado trá fi co en el salientes dirección en los registros de fi cortafuego, que muestra un interfaz de servidor L2TP. Si esto ocurre, añadir una regla flotando de la siguiente manera:
• Navegar a Firewall> Reglas, Flotante lengüeta
•
Hacer clic
Añadir añadir una nueva regla a la parte superior de la lista
• Ajuste Acción a Pasar
•
Comprobar Rápido
• Seleccionar L2TP VPN para el Interfaz • Ajuste Dirección a Fuera
• Ajuste Protocolo a TCP • Ajuste Origen Destino según sea necesario, o se establece en alguna
•
Características avanzadas:
-
Conjunto Indicadores TCP a Cualquier AGS fl
-
Conjunto Tipo Estado a Estado descuidado
L2TP Registros
Un registro de eventos de conexión y desconexión se mantiene en Registros de Estado> del sistema, sobre el VPN pestaña, debajo Inicios de sesión L2TP.
Cada inicio de sesión y cierre de sesión se graba con una marca de tiempo y el nombre de usuario, y cada inicio de sesión también mostrarán la dirección IP asignada al cliente L2TP. El registro completo se puede encontrar en la L2TP Raw lengüeta.
pfSense puede actuar como un servidor VPN L2TP. L2TP es puramente un protocolo de túnel que no ofrece ninguna de cifrado de su propio, por lo que normalmente se combina con alguna otra técnica de cifrado, tales como IPsec.
21.6. L2TP Registros
445
El libro pfSense, Liberación
Advertencia: pfSense es compatible con L2TP / IPSec, sin embargo, algunos clientes no funcionará adecuadamente en muchos esce- narios comunes. El escenario problema más común es los clientes de Windows detrás de NAT, en ese caso el cliente de Windows y el demonio strongSwan IPsec no son totalmente compatibles, lo que lleva al fracaso. En estas situaciones, se recomienda el uso de IKEv2 lugar.
Ver también:
Ejemplo IKEv2 Servidor Con fi guración contiene un paso a paso para con fi gurar IKEv2, que es un muchmore fl solución flexible.
Ver también:
Para una discusión general de los diversos tipos de implementaciones VPN disponibles en pfSense y sus pros y contras, véase
Redes privadas virtuales .
Advertencia de seguridad L2TP L2TP en sí misma no está encriptado, por lo que no está destinado para el tráfico privado fi co. Algunos dispositivos, como Android, ofrecen un cliente sólo L2TP que es capaz de conectar de nuevo a pfSense pero sólo deben usarse para trá fi co que ya está encriptado, o si el trá fi co no se considera privada. Por ejemplo, un túnel tráfico de Internet fi co por lo que parece originarse desde otro lugar.
446
Capítulo 21. L2TP VPN
CAPÍTULO
VEINTIDÓS
Traffic Shaper
Lo que el fi co talladora Traf puede hacer por usted La idea básica de tráfico c conformación, subir y bajar las prioridades de los paquetes, o simplemente mantenerlos bajo una cierta velocidad, es simple. Sin embargo, el número de formas en que este concepto se puede aplicar es inmensa. Estos son sólo algunos ejemplos comunes que han demostrado ser populares entre nuestros usuarios.
Mantenga navegación fluida enlaces asimétricos, en los que la velocidad de descarga se diferencia de la velocidad de subida, son comunes en estos días, especialmente con DSL. Algunos enlaces son tan fuera de equilibrio que la velocidad máxima de descarga es casi inalcanzable debido a que es difícil enviar paquetes suficientes ACK (acuse de recibo) para mantener trá fi co fl adeudado. paquetes ACK se transmiten de vuelta al remitente por el host receptor para indicar que los datos se ha recibido correctamente, y para indicar que está bien para enviar más. Si el remitente no recibe ACK de manera oportuna, los mecanismos de control de congestión de TCP entrará en funcionamiento y reducir la velocidad de la conexión.
Usted puede haber notado esta situación antes: Cuando la carga de un expediente sobre un enlace, navegar y descargar tales frena a un rastreo o puestos. Esto sucede porque la parte de carga del circuito está lleno de la carga fi l, hay poco espacio para enviar los paquetes ACK que permiten descargas mantienen fl debido. Mediante el uso de la talladora de dar prioridad a los paquetes ACK, puede alcanzar velocidades de descarga más rápidas y más estables en los enlaces asimétricos.
Esto no es tan importante en los enlaces simétricos, donde la velocidad de carga y descarga son los mismos, pero todavía puede ser deseable si el ancho de banda de salida disponible se utiliza en gran medida.
Mantenga llamadas VoIP Claro Si sus llamadas de voz sobre IP utilizan el mismo circuito que los datos, a continuación, las cargas y descargas se pueden degradar su calidad de la llamada. pfSense puede dar prioridad a la llamada de trá fi co por encima de otros protocolos, y asegurarse de que las llamadas se hacen a través de claridad, sin romper, incluso si se transmiten hi-def vídeo de Net fl ix al mismo tiempo. En lugar de la llamada ruptura, se reducirá la velocidad de las otras transferencias de dejar espacio para las llamadas.
Reducir juego Lag También hay opciones para dar prioridad al tráfico c asociada con los juegos en red. Similar a dar prioridad a las llamadas de VoIP, el efecto es que, incluso si se descarga durante el juego, el tiempo de respuesta del juego todavía debe ser casi tan rápido como si el resto de su conexión estaban ociosos.
447
El libro pfSense, Liberación
Mantener las aplicaciones P2P en jaque Al reducir la prioridad de trá fi co asociado con los puertos conocidos peer-to-peer, puede estar más tranquilos sabiendo que incluso si esos programas están en uso, que no obstaculizan otra trá fi co de la red. Debido a su menor prioridad, otros protocolos serán favorecidos sobre P2P trá fi co, que se limitará cuando cualquier otro servicio necesitan el ancho de banda.
Hacer cumplir los límites de ancho de banda
El uso de limitadores se puede aplicar un límite de ancho de banda a un grupo de personas, como todos los tra fi co en una interfaz, o se puede configurar el enmascaramiento de los limitadores de aplicarlos sobre una base per-IP. De esta manera se puede garantizar que ninguna persona puede consumir todo el ancho de banda disponible.
Las limitaciones de hardware Traf fi c conformación se realiza con la ayuda de ALTQ. Por desgracia, sólo un subconjunto de todas las tarjetas de red compatibles son capaces de utilizar estas características debido a que los conductores deben ser alterados para apoyar conformación. Los siguientes tarjetas de red son capaces de usar tráfico c conformación, de acuerdo con la página del manual de altq (4): edad (4), alc (4), ale (4), una (4), ath (4), aue (4), awi (4), bce (4), bfe (4), bge (4), puente (4), BWN (4), CAS (4), dc (4), de (4), ed (4), em (4), ep (4), fxp (4),
gema (4), HME (4), IGB (4), ipw (4), iwi (4), JME (4), L2TP, Lem (4 ), le (4), MSK (4), mxge (4), mi (4), ndis (4), NFE (4), ng (4), npe (4), NVE (4), ovpnc, ovpns, PPPoE, PPP, PPTP, ral (4), Re (4), rl (4), ron (4), run (4), sf (4), sis (4), sk (4), ste (4), Stge (4), tun (4), TXP (4), UDAV (4), ural (4), vge (4), VLAN (4), vr (4), vtnet (4), wi (4), xl (4).
Limitadores utilizan un sistema de fondo diferente, que opera a través de tuberías Dummynet en ipfw y no a través ALTQ. Como tal, todas las tarjetas de red se pueden utilizar para los limitadores, no hay restricciones. Si usted tiene una tarjeta que no es compatible ALTQ, podrá seguir utilizando limitadores lugar.
Tipos ALTQ Programador En pfSense 1.2.x, sólo había un planificador tipo ALTQ, jerárquica Feria de Servicio Curva (HFSC). Ahora en pfSense 2.x hay más opciones disponibles para cubrir una gama más amplia posible de escenarios que dan forma. Las nuevas opciones para ALTQ están haciendo cola basado en clases (CBQ), lo que puede hacer el intercambio de ancho de banda entre las colas y los límites de ancho de banda, y la cola de prioridad (PRIQ), que sólo hace priorización.
Cada uno de ellos es seleccionable en los asistentes de la talladora, y el asistente mostrará las opciones adecuadas y crear las colas adecuadas para usted, basado en la disciplina ALTQ elegido.
Advertencias de rendimiento Permitiendo ALTQ trá fi co conformación coloca una carga adicional sobre el hardware, y habrá una pérdida global rendimiento de la red potencial. En sistemas que tienen potencia de sobra, esto puede no ser perceptible. En los sistemas que operan cerca de sus límites fi caciones, a continuación, es posible que aparezca una degradación del rendimiento. Si la pérdida es peor que trabajar sin conformación depende de su carga de trabajo individual.
Local LAN-to-LAN trá fi co En pfSense 1.2.x y antes, el conformador sólo podía aplicarse a un solo tipo de interfaz LAN y el trá fi co entre los que LAN y otras redes locales seguirían estando afectados por el formador y tienen su velocidad limitada. En pfSense 2.x, el formador tiene ahora una cola separada para este local de trá fi co que no limitarlo. Sólo trá fi co hacia y desde la WAN a la LAN será moldeado.
448
Capítulo 22. Traf fi c Shaper
El libro pfSense, Liberación
Curva Feria servicio jerárquica (HFSC) La disciplina de la formación de HFSC trá fi co ha estado en pfSense durante muchos años. En 1.2.x, que era la única opción disponible. Es una disciplina muy potente, bien para asegurar que los servicios como VoIP y vídeo se entregan una cantidad mínima garantizada de ancho de banda.
En HFSC, las colas están dispuestos en una jerarquía, o un árbol, con colas de raíz para cada interfaz, las colas de padres derneath un-, y las colas de niño anidadas en las colas de los padres (etc.). Cada cola puede tener un ancho de banda fijo y opciones relacionadas.
HFSC-especí fi cos Opciones de la cola
HFSC soporta unas pocas opciones de cola que no son compatibles con las otras disciplinas. Es a través de estas opciones que logra garantizado su procesamiento y uso compartido de enlace en tiempo real. La curva de Servicio (SC) es donde se puede definir consonancia con los requisitos de ancho de banda para esta cola.
•
límite de ancho de banda m1 Burstable
•
límite d Tiempo de ráfaga ancho de banda, se especifica en milisegundos. (Por ejemplo, 1000 = 1 segundo)
•
m2 límite de ancho de banda normal
Por ejemplo, el ancho de banda que necesita m1 dentro del tiempo d, pero un máximo normal de m2. En el tiempo inicial establecido por d, m2 no está marcada, sólo se m1. Después d ha expirado, si el tráfico c está todavía por encima m2, que será moldeado. Más comúnmente, m1 y d se dejan en blanco, de modo que sólo se comprueba m2. Cada uno de estos valores se pueden configurar para los siguientes usos:
• ancho de banda superior límite máximo permitido para la cola. Hará ancho de banda límites forzados. El parámetro m1 aquí también se puede utilizar para limitar la explosión. En el marco de tiempo d no obtendrá más de ancho de banda M1.
• Verdadera garantía de ancho de banda mínimo de tiempo para la cola. Esto sólo es válido para las colas niño. El parámetro m1 siempre será satisfecha en marco de tiempo d, y m2 es el máximo que esta disciplina se permita que se use. Nota El valor por m2 no puede superar el 30% del ancho de banda disponible de la cola de los padres.
•
Enlace Share La cuota de ancho de banda de una cola atrasados. Compartirá el ancho de banda entre clases si las garantías de tiempo real han sido satisfechas. Si se
establece el valor m2 para compartir enlace, se anulará el ancho de banda de la configuración de la cola. Estas dos configuraciones son las mismas, pero si ambos están establecidos, se utiliza m2 de Enlace Compartir. Mediante la combinación de estos factores, una cola obtendrá el ancho de banda fi especificados por los factores de tiempo real, además de los provenientes Enlace Compartir, hasta un máximo del límite superior. Se puede tomar una gran cantidad de ensayo y error, y tal vez una gran cantidad de aritmética, pero puede valer la pena para asegurarse de que el trá fi co se rige como se ve fi cio. Para obtener más información sobre la M1, d, y los valores de m2 para diferentes escenarios, visite el pfSense Traf fi c foro Shaping .
Class-Based Queuing (CBQ) Class-Based Queuing, o CBQ, es similar a HFSC en que es puede tener un árbol de colas anidadas en otras colas. Es compatible con los límites de ancho de banda (no garantías como HFSC), las prioridades de las colas y la capacidad de permitir colas para pedir prestado ancho de banda de su padre. Debido a la más simple cola de con fi guración, puede ser una buena alternativa a HFSC especialmente si no es necesario para garantizar anchos de banda mínimos.
Con CBQ, prioridades de colas van de 0 a 7, los números más altos indican mayor prioridad. Colas de una misma prioridad se procesan de un modo round-robin. Nota: A pesar de las colas de los niños pueden tomar prestado de su cola de los padres, la suma del ancho de banda de las colas de los niños no puede exceder el ancho de banda de la matriz, por lo que esta no es una alternativa al uso de limitadores de aplicar individuo (por ejemplo, per-IP) límites de ancho de banda.
22.3. Tipos ALTQ Programador
449
El libro pfSense, Liberación
CBQ-especí fi co Opciones de la cola
La disciplina CBQ es compatible con el concepto de pedir prestado, lo que significa que si la casilla de verificación en la cola se comprueba que pedir prestado a otras colas cuando esté disponible, entonces será capaz de tomar prestado otro ancho de banda disponible de su cola de los padres. Esto sólo se permitirá una cola niño a obtener hasta el ancho de banda de su padre inmediato, si está disponible, no va a tomar prestado de otras colas de padres.
La cola de prioridad (PRIQ) PRIQ es una de las disciplinas más fáciles de con fi gura y entender. Las colas son directamente debajo de la cola matriz, no hay una estructura para tener colas bajo otras colas con PRIQ ya que es con HFSC y CBQ. Que no se preocupa por el ancho de banda en las interfaces, sólo la prioridad de las colas. Los valores de prioridad van de 0 a 15, y cuanto mayor sea el número de prioridad, es más probable la cola ha de tener su paquetes procesados.
PRIQ puede ser bastante duro para colas de menores, de hambre cuando las colas de prioridad más alta necesitan el ancho de banda. En casos extremos, es posible que una cola de prioridad más baja para tener poco o nada de paquetes manipulados si las colas de mayor prioridad están consumiendo todos los recursos disponibles.
CODEL Gestión de cola de activos La disciplina CODEL activo Gestión de colas (AQM) se añadió recientemente a pfSense 2.1. es la abreviatura de retardo controlada y se pronuncia “consentir”.
El nombre
Fue diseñado para combatir algunas de las
Los problemas asociados con bufferbloat en la infraestructura de red.
Bufferbloat se describe en detalle en
http://www.bufferbloat.net/projects/bloat/wiki/Introduction . Básicamente, debido al tamaño de los buffers de red a equipamiento de trá fi co puede acumularse e ir en trozos en lugar de una corriente suave. Mediante el control de la demora del tráfico c este efecto puede reducirse.
CODEL no tiene controles de con fi guración especí fi cos u opciones. Cuando se activa para una cola, intentará automáticamente para gestionar tráfico c como se describe en el wiki Codel en http://www.bufferbloat.net/projects/codel/wiki . Se trata de mantener los retrasos trá fi co bajo, pero hace estallar permiso, controla retrasos pero no presta atención al retardo de ida y vuelta, carga o velocidad de enlace, y se puede ajustar automáticamente si cambia la velocidad del enlace.
El objetivo de CODEL es la creación de redes de gama media. No funciona bien a muy bajo ancho de banda de 512 Kbps (o menos) y no maneja con gracia un gran número de flujos simultáneos o cargas de trá centro de datos de calidad fi cos.
Con fi guración del fi co talladora ALTQ Traf Con el Asistente Se recomienda que con fi gura el trá fi co de la talladora de la primera vez utilizando el asistente que le guiará a través del proceso. Debido a la complejidad de las colas y las reglas de la talladora, no es una buena idea para intentar empezar de cero por su cuenta. Si necesita reglas personalizadas, con el asistente y aproximarse a lo que se necesita, a continuación, hacer las reglas de encargo después. Cada programa de instalación de la pantalla colas únicas, y las reglas que controlan lo que se le asigna trá fi co en esas colas. Si desea con fi gurar todo manualmente, basta con especificar la velocidad WAN en la pantalla primero, a continuación, haga clic en Siguiente en todas las pantallas restantes sin con fi gurar nada.
Nota: El paso por el asistente y hacer clic en Finalizar al final reemplazará todas sus colas y reglas de la talladora flotando creados por el asistente, o clonados a partir de las reglas del asistente, con las colas y las reglas de la nueva asistente de con fi guración.
Selección de un Asistente Para comenzar con el fi Traf c Asistente Shaping, haga clic en Firewall de trá fi co talladora, y haga clic en la pestaña Asistentes. Se le presentará con una lista de asistentes de la talladora disponibles en la actualidad. Al escribir estas líneas, los incluidos:
450
Capítulo 22. Traf fi c Shaper
El libro pfSense, Liberación
Sola LAN, WAN múltiples Se utiliza cuando se tiene sólo una LAN, y una o más redes WAN. El “LAN” interfaz para la conformación se supone que es la interfaz indicada por “LAN” en la interfaz de pfSense as- signments. Las interfaces WAN son seleccionables. Individual WAN, LAN múltiples Se utiliza cuando se tiene sólo una WAN, y una o más redes de área local. El “WAN”
interfaz para la conformación se supone que es la interfaz indicada por “WAN” en las asignaciones de interfaz pfSense. Las interfaces LAN son seleccionables. Múltiples LAN / WAN Se utiliza cuando se tiene una o más redes WAN y una o más redes de área local. WAN y LAN interfaces son seleccionables. Enlaces dedicados Se utiliza cuando fi especí co emparejamientos LAN + WAN debe tenerse en cuenta en el conformador con fi g-
URACIÓN. las interfaces WAN y LAN son seleccionables.
Tenga en cuenta que los tres primeros son muy similares, y se puede, de hecho, utilizar cualquiera de ellos y terminan con el mismo resultado. Como tal, sólo a cubrir una de las de este capítulo. Si sólo tiene una sola LAN y WAN una sola, puede utilizar cualquiera de los tres y sólo tiene que introducir 1 cuando se le pida la cantidad de interfaces que tiene la variedad de LAN / WAN.
Inicio del asistente Una vez que haya seleccionado el asistente va a utilizar, y ha hecho clic en él, a los asistente se inicia y la pantalla primero y luego le pedirá el número de conexiones que son variables en el asistente que fue elegido. Este paso pide el número de WAN, LAN, o ambos, como en la figura Al entrar en la interfaz de
contador . Introduce el número de conexiones que tiene, cuando se le solicite, y continuar con el asistente. A medida que fi nal cada pantalla del asistente, haga clic en Siguiente para pasar a la página siguiente.
Fig. 22.1: Introducción de la Count Interface
Redes y plazos de envío Esta pantalla, como se muestra en la figura Shaper Con fi guración , es donde se con fi gurar las interfaces de red que estarán dentro y por fuera, desde el punto de vista del formador, junto con la descarga y velocidades de carga para un determinado WAN. Cuando hay más de una interfaz de un tipo dado, habrá múltiples secciones en la página de manejar cada uno de ellos individualmente.
Aparte de las interfaces y sus velocidades, también es necesario seleccionar un programador ALTQ ( Tipos ALTQ Programador ) Para la WAN (s) y LAN (s). Usted tendrá que usar el mismo planificador en cada interfaz. Dependiendo del tipo de conexión, la verdadera velocidad del enlace no puede ser la velocidad real de uso. En el caso de PPPoE, usted tiene no sólo por encima de PPPoE, sino también por encima del enlace de red ATM subyacente que se utiliza en la mayoría de PPPoE
22.4. Con fi guración del fi co talladora ALTQ Traf Con el Asistente
451
El libro pfSense, Liberación
despliegues. Según algunos cálculos, entre la cabeza de la ATM, PPPoE, IP y TCP, puede perder hasta un 13% de la velocidad del enlace se anuncia. En caso de duda de lo que establezca la velocidad, ser un poco conservador. Reducir en 10-13% y trabajar su camino de vuelta a valores mayores. Si usted tiene una línea de 3 Mbit / s, establecido por alrededor 2,7 '' Mbit / s y probarlo. Siempre se puede editar la cola de los padres resulta más tarde y ajustar la velocidad. Si se establece que suficiente, la conexión será al tope exactamente a la velocidad que ha establecido. Mantenga empujándola más arriba hasta que ya no obtiene ningún beneficio de rendimiento. Las velocidades de interfaz pueden ser especificados en Kbit / s, Mbit / s, o Gbit / s.
Fig 22.2:. Shaper Con fi guración
Voz sobre IP Hay varias opciones disponibles para el manejo de llamadas de VoIP trá fi co, que se muestra en la figura Voz sobre IP . La primera elección, dar prioridad a la voz sobre IP trá fi co, se explica por sí. Esto permitirá a la priorización de VoIP trá fi co y este comportamiento puede ser fi ne-sintonizado por los otros parámetros de la página. Hay algunos proveedores muy conocidos que incluyen Vonage, VoicePulse, PanasonicTDA y servidores Asterisk. Si usted tiene un proveedor diferente, puede elegir Genérico , o anular esta configuración con la Dirección de campo mediante la introducción de la dirección IP de su central aguas arriba o troncal SIP, o un alias que contiene las direcciones IP o redes para ellos.
También puede elegir la cantidad de ancho de banda para garantizar a sus teléfonos VoIP. Esto puede variar en función de la cantidad de teléfonos que tiene, y la cantidad de ancho de banda utilizará cada sesión.
Nota: La reserva de ancho de banda para un servicio como VoIP no puede superar el 30% del ancho de banda disponible en el enlace. Por ejemplo, en el enlace de un 1 Mbit / s, no se puede reservar más de 300KBit / s.
Nota: La forma en que el conformador de tráfico coincide con las reglas c flotantes, funciona mejor utilizar el enlace troncal SIP remoto o PBX porque de lo contrario puede que no sea capaz de igualar el tráfico fi c correctamente. Si utiliza las direcciones IP de los teléfonos que sólo puede coincidir con trá fi co en una dirección, o nada en absoluto.
Área de castigo El área de penalti, representado en la figura Área de castigo , es un lugar al que se puede relegar a comportarse mal usuarios o dispositivos que de otro modo consumir más ancho de banda de lo deseado. Estos usuarios se les asigna un ancho de banda de la tapa dura, que no pueden superar. Compruebe la IP penalizar o Alias para activar la función, introduzca una IP o alias en el cuadro Dirección,
452
Capítulo 22. Traf fi c Shaper
El libro pfSense, Liberación
La figura 22.3:. Voz sobre IP
a continuación, introduzca el límite de ancho de banda, y elegir la unidad correcta. Ciertos programadores altq sólo se permitirá seleccionar un porcentaje (% ), Otros le permitirá establecer el valor en Bit / s, kbit / s, Mbit / s, o Gbit / s.
Peer-to-peer La siguiente pantalla, que se muestra en la figura Peer-to-peer , le permitirá establecer controles sobre muchos protocolos de red peer-to-peer (P2P). Por diseño, los protocolos P2P utilizarán todo el ancho de banda disponible a menos que los límites se ponen en marcha. Si esperas P2P trá fi co de la red, es una buena práctica para asegurar que otra trá fi co no se degrada debido a su uso. Penalizar P2P trá fi co, en primer lugar comprobar Baja prioridad de punto a punto de trá fi co.
Muchas de las tecnologías P2P deliberadamente tratan de evitar la detección. Bittorrent es especialmente culpable de este comportamiento. Se utiliza a menudo no estándar o puertos aleatorios, o puertos asociados con otros protocolos. Puede comprobar la opción p2pCatchAll lo que hará que cualquier desconocido trá fi co a ser asumido como P2P trá fi co y su prioridad baja en consecuencia. Puede establecer límites de ancho de banda duros de este trá fi co por debajo de la regla de cajón de sastre. Los límites de ancho de banda de subida y bajada se establecen en kilobits por segundo.
Las opciones restantes se componen de varios protocolos P2P conocidos, más de 20 en total. Compruebe cada uno que le gustaría ser reconocido.
Juegos de red Muchos juegos se basan en una baja latencia para ofrecer una buena experiencia de juego en línea. Si alguien trata de descargar grandes archivos o parches de juego durante el juego, que tra fi co puede tragar fácilmente los paquetes asociados con el juego en sí y la causa de retraso o desconexiones. Al marcar la opción de prioridad a la red de trá fi co de juego, como se ve en la figura Juegos de red , se puede aumentar la prioridad de juego de trá fi co de modo que será transferido primero y le dio un trozo garantizada de ancho de banda.
22.4. Con fi guración del fi co talladora ALTQ Traf Con el Asistente
453
El libro pfSense, Liberación
Fig. 22.4: Penalty Box
Fig. 22.5: Peer-to-Peer Networking
454
Capítulo 22. Traf fi c Shaper
El libro pfSense, Liberación
Hay muchos juegos de la lista, verifique todos aquellos que deben ser priorizados. Si el juego no está aquí todavía puede querer comprobar un juego similar por lo que va a tener una norma de referencia que puede ser alterado después.
Fig. 22.6: Juegos de la Red
Subiendo o bajando Otras aplicaciones La pantalla fi guración última con el asistente de la talladora, visto en la figura Subir o bajar otras aplicaciones , enumera muchas otras aplicaciones y protocolos comúnmente disponibles. ¿Cómo se manejan estos protocolos dependerá del entorno que este router pfSense será proteger. Algunos de estos pueden desear, y otros no. Por ejemplo, en un entorno corporativo, es posible que desee bajar la prioridad de no interactivo trá fi co, como el correo, donde una desaceleración no es observado por nadie, y aumentar la prioridad de los servicios interactivos como RDP, donde el mal rendimiento es un impedimento a la capacidad de las personas para trabajar. En una casa, streaming multimedia puede ser más importante, y otros servicios se puede bajar. Habilitar la opción para otros protocolos de red, y luego escoger y elegir de la lista. Hay otros más de 25 protocolos para elegir, y cada uno se puede dar una Una
prioridad más alta, Baja prioridad, o hacia la izquierda en el prioridad por defecto. Si ha habilitado p2pCatchAll, tendrá que utilizar esta pantalla para asegurarse de que estos otros protocolos son reconocidos y tratados normalmente, en lugar de penalizadas por la regla p2pCatchAll defecto.
Fig. 22.7: subir o bajar otras aplicaciones
22.4. Con fi guración del fi co talladora ALTQ Traf Con el Asistente
455
El libro pfSense, Liberación
Finalizar el asistente Todas las reglas y las colas se creará ahora, pero aún no está en uso. Al pulsar el botón Finalizar en la pantalla final, las reglas se cargarán y activa. Conformación ahora debe ser activado para todas las conexiones nuevas. Debido a la naturaleza de estado del conformador, solamente nuevas conexiones tendrán trá fi co conformación aplicada. Para que esto sea completamente activo en todas las conexiones, debe borrar los estados. Para ello, visite Diagnóstico Unidos, haga clic en la pestaña Restaurar Unidos, comprobar la tabla de estado del cortafuegos, a continuación, haga clic en Restablecer.
Shaper Asistente e IPv6 Al escribir estas líneas, el asistente talladora no creó las reglas IPv6, pero funcionará si crea las reglas de forma manual o mediante la clonación de las normas existentes.
Monitoreo de las colas Con el fin de estar seguros de que trá fi co conformación funciona según lo previsto, puede ser monitoreada por la navegación a las colas de estado. Como puede verse en la figura Las
colas básicos WAN , esta pantalla mostrará cada cola de la lista por nombre, su uso actual, y algunas otras estadísticas relacionadas.
Fig. 22.8: WAN colas básicos
La barra gráfica que muestra cómo “completo” es una cola. La velocidad de datos en la cola se muestra en los dos paquetes por segundo (pps) y bits por segundo (Kbps). Toma prestado sucede cuando una cola de vecinos no es completa y la capacidad es tomado de allí cuando sea necesario. Las gotas se producen cuando trá fi co en una cola se abandonó en favor de un mayor tráfico de prioridad fi co. Es normal ver gotas, y esto no quiere decir que una conexión completa se deja caer, sólo un paquete. Por lo general, un lado de la conexión verá que un paquete se perdió y vuelva a enviar, a menudo ralentización en el proceso para evitar caídas futuras. El contador se suspende indica cuando ocurre una acción de retardo. El contador se suspende sólo se utiliza con el planificador CBQ, y debe ser cero cuando otros programadores están en uso.
Personalización avanzada Después de utilizar el asistente de la talladora, es posible hallar que las reglas que genera no acaban de fi t sus necesidades. Es posible que desee dar forma a un servicio que no está controlada por el asistente, un juego que utiliza un puerto diferente, o puede haber otros servicios que necesitan limitado. Una vez que las reglas básicas han sido creados por el asistente, debería ser relativamente fácil de editar o copiar esas reglas y crear otros personalizados de su propio.
456
Capítulo 22. Traf fi c Shaper
El libro pfSense, Liberación
Edición de la talladora colas Como se ha mencionado en el resumen, las colas son donde el ancho de banda y las prioridades se asignan realidad. Cada cola tendrá la configuración específico para el programador que fue elegido en el asistente, como se ha mencionado anteriormente en Tipos ALTQ Programador . Las colas también se pueden asignar otros atributos que controlan cómo se comportan, tales como ser de bajo retardo, o tener ciertos algoritmos de evitación de congestión aplican. Las colas pueden ser cambiados por ir a Firewall Traf fi c Shaper, y haciendo clic en los nombres de cola en la lista o árbol que se muestra en la interfaz por o mediante lengüetas de cola, como el de la figura
Tra fi co talladora Lista Colas Edición de colas no es para los débiles de corazón. Puede ser una tarea compleja y con resultados de gran alcance, pero sin conocimiento profundo de la configuración involucrados, lo mejor es seguir con las colas generadas por el asistente y alterar su configuración, en lugar de tratar de hacer otros nuevos desde cero. Para editar una cola, haga clic en su nombre en la lista / árbol. Para eliminar una cola, haga clic una vez para editarlo, a continuación, haga clic en Eliminar esta cola. No debe intentar eliminar una cola si todavía está siendo referenciado por una regla. Para agregar una nueva cola, haga clic en la cola de interfaz o el padre en virtud del cual vivirá la nueva cola y, a continuación, haga clic en Agregar nueva cola.
Fig. 22.9: Traf fi c Shaper lista Colas
Al editar una cola, cada una de las opciones deben ser consideradas cuidadosamente. Si usted está buscando más información sobre estos valores que se menciona aquí, visite el PF paquetes de Colas y Prioridades FAQ o leer en El filtro de paquetes de OpenBSD PF libro.
El nombre de la cola debe estar entre 1-15 caracteres y no puede contener espacios. La convención más común es iniciar el nombre de una cola con la letra “q” para que pueda ser más fácilmente identificados en el conjunto de reglas. La prioridad puede ser cualquier número entre 0-7 para CBQ y 0-15 para PRIQ. Aunque HFSC puede apoyar las prioridades, el código actual no respeta ellas cuando se realiza la conformación. Colas con números más altos son los preferidos cuando hay una sobrecarga, por lo sitúan sus colas en consecuencia. Por ejemplo, VoIP tráfico c debe ser de la más alta prioridad, por lo que se debe establecer a un 7 en CBQ o 16 en PRIQ. Peer-to-peer tráfico de red fi co, que puede ser retrasado a favor de otros protocolos, debe fijarse en 1.
El Límite de cola puede establecer un límite de paquetes por segundo en una cola, pero típicamente se deja en blanco. Esta es una forma alternativa para limitar el rendimiento.
Hay cuatro opciones de la agenda diferentes que se pueden establecer para una cola determinada:
cola por omisión Selecciona esta cola como predeterminado, el que se encargará de todos los paquetes sin igual. Cada
interfaz debe tener una y sólo una cola predeterminada.
22.6. Personalización avanzada
457
El libro pfSense, Liberación
Random Early Detection (RED) Un método para evitar la congestión en un enlace; intentará activamente asegúrese de que la cola no se llena. Si el ancho de banda está por encima del máximo dado por la cola, se producen gotas. Además, las gotas pueden ocurrir si el tamaño promedio de la cola se acerca al máximo. paquetes descartados son elegidos al azar, por lo que el más ancho de banda en uso por una conexión dada, lo más probable es ver gotas. El efecto neto es que el ancho de banda está limitado de manera justa, fomentando un equilibrio. ROJO sólo debe utilizarse con conexiones TCP desde el TCP es capaz de manejar paquetes perdidos, y puede volver a enviar cuando sea necesario.
En Random Early Detección y hacia fuera (RIO) Permite rojo con de entrada / salida, lo que resultará en tener
promedios de cola se mantienen y se comparan con los paquetes entrantes y salientes. Explícita de congestión Notificación (ECN) Junto con RED, que permite el envío de mensajes de control que va a estrangular conexiones si ambos extremos de soporte ECN. En lugar de dejar caer los paquetes como el rojo, normalmente lo hará, se establecerá un pabellón en el paquete que indica congestión de la red. Si la otra parte ve y obedece al pabellón, se reducirá la velocidad de la transferencia en curso.
La descripción de la cola es de usted. Se puede dejar en blanco, o llenada con un poco de texto para explicar el propósito de la cola.
El ajuste de ancho de banda debe ser una fracción del ancho de banda disponible en la cola de los padres, pero también se debe configurar con una conciencia de las otras colas vecinos. Cuando se utilizan porcentajes, el total de todas las colas bajo un padre dado no puede exceder 100%. Al utilizar límites absolutos, los totales no pueden superar el ancho de banda disponible en la cola de los padres. A continuación se muestran las opciones de la agenda-específica. Ellos cambian dependiendo de si se ha elegido HFSC, CBQ, o PRIQ. Todos ellos se describen en Tipos ALTQ Programador .
Haga clic en Guardar para guardar los ajustes de la cola y volver a la lista de la cola, a continuación, haga clic en Aplicar cambios para recargar la colas y activar los cambios.
Reglas de la talladora de edición
reglas para la conformación de trá fi co controlan la forma c fi tráfico se asigna a las colas. Si un paquete coincide con una regla c conformador de tráfico, se le asignará a la especificidad de colas cado por esa regla. coincidente paquete es manejado por reglas fi cortafuego, especialmente en la pestaña flotante. Para editar las reglas de la talladora, ir a las reglas del cortafuegos, y haga clic en la ficha flotante. En esa pantalla, que se muestra en la figura Tra fi co talladora Lista de reglas , las reglas existentes se enumeran con los atributos habituales de reglas fi cortafuegos, incluyendo las colas utilizadas por las reglas. Usted puede aplicar colas en las reglas de otras fichas, pero el asistente sólo hace que las reglas de la ficha flotante utilizando la
partido acción que no afecta a la acción pase / bloque, sólo se pone en cola de trá fi co. Para obtener más información sobre las reglas flotando, véase Reglas flotante para obtener más información sobre las reglas flotando, y Con fi gurar reglas de cortafuego para obtener información sobre normas cortafuego en general. Dado que estas reglas son como cualquier otra norma, que puede coincidir con cualquier forma en la que está familiarizado. En esta pantalla también se encuentra el control maestro para dar forma. Para eliminar las reglas y las colas creadas por el c conformador de tráfico, y restablecer el conformador a los valores predeterminados, haga clic en Quitar Shaper.
Fig 22.10:. Traf Lista fi c talladora Reglas
458
Capítulo 22. Traf fi c Shaper
El libro pfSense, Liberación
limitadores Limitadores son un nuevo método de c conformación tráfico, introducido en pfSense 2,0 en Cortafuegos Traf fi c Shaper en la pestaña limitadores. limitadores de uso dummynet (4) promulgar límites de ancho de banda y realizar otras tareas de priorización, entre otras cosas. Limitadores son actualmente la única manera de lograr ancho de banda por IP limitante en pfSense. Limitadores han sido realmente en uso durante mucho más tiempo en pfSense como parte de los límites de ancho de banda por usuario del portal cautivo, pero en 2.0 que se han enganchado en PF para que puedan ser utilizados por su cuenta con reglas normales fi cortafuego, fuera del cautivo Portal.
Al igual que HFSC y CBQ, limitadores pueden anidarse con colas dentro de otras colas. limitadores de nivel raíz (también llamados tubos), pueden tener límites de ancho de banda y los retrasos, mientras que los niños limitadores (también llamados colas), pueden tener prioridades (también llamados pesos). límites de ancho de banda puede estar opcionalmente enmascarados por ya sea la IP de origen o el destino de IP, de modo que los límites se pueden aplicar per-IP en lugar de como un grupo.
Limitadores se utilizan casi siempre de dos en dos, una para entrada de trá fi co y otro para salida trá fi co. los dummynet (4) sistema fue diseñado originalmente, de acuerdo con su página de manual, como un medio para poner a prueba el control de congestión del TCP, y que había crecido a partir de ahí. Debido a este fin, una característica única de limitadores es que pueden usarse para inducir arti fi pérdida de paquetes cial y retrasar en la red de tráfico c. Que se utiliza principalmente en la resolución de problemas y pruebas (o estar mal y jugar una broma a alguien), y no se encuentra a menudo en la producción.
Usos de los limitadores El uso principal de limitadores es la aplicación de límites de ancho de banda para los usuarios o protocolos específicos, por ejemplo, “máximo de 1 Mbit / s para SMTP”, o “PC de Joe sólo puede utilizar 5bit / s”. También se puede aplicar un límite por IP, tales como “todos los usuarios en cada 192.168.50.0/24 puede utilizar un máximo de 3 Mbit / s cada uno”. Limitadores son la única Tipo de la talladora actualmente en pfSense capaz de tal exceso de suscripción. El conformador ALTQ requiere que todas las colas derivadas que se resumen a no más de la velocidad de la cola de los padres, pero limitadores enmascarados dejar que le da un límite establecido para el mayor número de direcciones IP como se puede canalizar a través del limitador. Otro uso de limitadores es aplicar un límite de grupo para una parte de su red, como “Todos los usuarios de 192.168.40.0/24 pueden utilizar un máximo del total de 5 Mbit / s” o “No deje que Bob el Bittorrent individuo utilice más de 2 Mbit / s”. Limitadores también se pueden utilizar de una manera indirecta para reservar ancho de banda mediante la limitación de todo, excepto un protocolo que desea consumir todo el ancho de banda. En este tipo de configuración en el enlace de un 10 Mbit / s que le pase trá fi co de, por ejemplo, un servidor SIP sin limitador, pero luego tienen una regla de pase para todos los demás trá fi co que pone un límite aplicado a 8 Mbits / s. Esto permitiría que el uso del servidor SIP todo el ancho de banda que quería, pero siempre tendría al menos 2 Mbit / s, suponiendo que la velocidad de enlace es fiable / constante.
Cómo limitadores de Trabajo Limitadores, como ALTQ, sostienen tráfico c hasta cierto punto por la caída o el retraso de los paquetes para conseguir una velocidad de línea fi específico. Por lo general, los mecanismos incorporadas de un protocolo detectarán la pérdida y de marcha atrás a una velocidad que pueden sostener. En situaciones donde los paquetes se ponen en cola en la misma tubería matriz, sus pesos se consideran al ordenar los paquetes antes de ser enviados.
A diferencia de las prioridades en CBQ y PRIQ de ALTQ, el peso de una cola en un limitador no hará que se muere de hambre de ancho de banda.
Limitadores y IPv6 Limitadores de trabajar con IPv6, aunque se necesitan reglas IPv4 e IPv6 separadas a fin de que los limitadores que deben aplicarse correctamente.
22.7. limitadores
459
El libro pfSense, Liberación
limitaciones limitador tuberías no tienen un concepto de préstamo de ancho de banda de otras tuberías. Si se establece un límite, es un límite superior duro. Aunque dummynet (4) ¿Apoya estallido, que no soporta una tasa para eso, sólo es compatible con un trozo dado de tamaño de ráfaga si una cola está inactivo, y la interfaz gráfica de usuario pfSense no soporta actualmente el establecimiento de ese valor. Limitadores de uso IPFW, por lo que habrá algunos (aunque pequeño) una sobrecarga adicional de que el módulo de núcleo está cargado y el procesamiento de paquetes adicional implicado.
Limitadores no pueden garantizar de manera efectiva una cantidad mínima de ancho de banda para un tubo o cola, sólo un máximo. Las colas no pueden tener valores de ancho de banda, por lo que no se pueden particionar un tubo en tubos más pequeños, sólo se puede usar pesas para priorizar los paquetes dentro de un tubo.
La sobrecarga de retrasar y puesta en cola de paquetes puede causar un aumento mbuf uso. Para obtener más información sobre incrementando de forma la cantidad de mbufs disponibles, consulte Sintonización de hardware y solución de problemas .
Limitadores y Multi-WAN Cuando se utiliza con limitadores de multi-WAN, tendrá que ser aplicado usando reglas flotantes con los límites de las puertas de enlace no predeterminados fuera la dirección y el conjunto de puerta de enlace apropiado.
La creación de limitadores Limitadores se manejan bajo Firewall Traf fi c talladora de la ficha limitadores. Para crear un nuevo limitador de nivel de raíz (tubería), haga clic
. Para crear un limitador de niño (cola), haga clic en el limitador en las que se puede crear y, haga clic en Agregar nueva cola. Usted casi siempre querer utilizar limitadores de dos en dos en el mismo nivel (por ejemplo, dos tubos, o dos colas), uno para entrada de trá fi co y otro para salida trá fi co, así que tenlo en cuenta a la hora de crearlos. Habilitar Marque la casilla para habilitar esta limitador. Si el limitador está desactivado, no estará disponible como una opción ser utilizado en reglas fi cortafuego.
Nombre Esto define el nombre del limitador, tal y como aparecerá en reglas para la selección fi cortafuego. El nombre
debe ser alfanumérico, y también puede incluir - y'_'. Al elegir un nombre, lo mejor es evitar el uso En y Fuera ya que la misma limitador, si se utiliza en tanto WAN y LAN, se utilizarían en la dirección en la en una interfaz y la dirección de salida en otro. Es mejor utilizar en su lugar * Abajo o Descargar, y Arriba o Subir, pero en última instancia la convención de nombres puede ser cualquier cosa que te gusta, de preferencia algo que tenga sentido para los administradores fi cortafuego. Ancho de banda (Pipes) Esta sección le permite definen un valor de ancho de banda para el tubo, o múltiples anchos de banda
si se trata de horarios. Esta opción no aparece cuando se edita un limitador de niño (cola). ancho de banda La parte numérica del ancho de banda para la tubería, por ejemplo * 3 o 500. Ráfaga El parámetro de especificación de ráfaga és a cantidad total de datos que puede ser transmitida sin límite aplicado después de un período de tiempo de inactividad. Esta no es una tasa, pero de un tamaño. Por ejemplo, si se establece en 2 MB, entonces el usuario transmitirá 2 MB de datos a toda velocidad, y una vez que el tamaño de datos de ruptura ha sido enviado, la tasa será cortado al límite especificado en el campo Ancho de banda desde ese punto hasta que el limitador entra en inactividad de nuevo. Para desactivar el estallido, introduzca una 0 aquí.
Tipo de peso corporal Las unidades que se aplicarán a la ELD ancho de banda fi, tales como Bit / s, Kbit / s,
Mbit / s, o Gbit / s. Programar Si usted tiene de fi nidas horarios ( Reglas basada en el tiempo ), Puede optar por uno aquí. Cuando los programas están en uso, se puede de fi nir un valor de ancho de banda para cada
460
Capítulo 22. Traf fi c Shaper
El libro pfSense, Liberación
horario potencial haciendo clic
añadir otro ancho de banda de fi nición. Si tu
utilizar varios cationes especí fi ancho de banda, cada uno debe tener un horario diferente de fi nido. Por ejemplo, si usted tiene una agenda “día de trabajo”, se necesita de una programación “fuera de horario” que contiene todo el tiempo no incluido en el “Día del trabajo”. Máscara Esta selección desplegable controla cómo se enmascaran las direcciones en el limitador. Si no se establece en ninguna
, entonces no se realizará ninguna de enmascaramiento, y el ancho de banda de tubo se aplicará a todos tráfico c en el grupo como un todo. Si Dirección de la fuente o Dirección de destino se eligen, a continuación, límite de ancho de banda de la tubería se aplicará sobre una base por IP (o una base de subred, dependiendo de los bits de enmascaramiento), utilizando la dirección elegida en el enmascaramiento. En general, usted querrá para enmascarar el Dirección de la fuente En el (Subir) Limitadores para las interfaces de tipo LAN y Dirección de destino sobre el Out (Descargar) limitadores en las interfaces de tipo LAN. Al igual que en el canje de la direccionalidad de los limitadores cuando se aplica a redes LAN y WAN, el enmascaramiento se intercambia y, por lo mismo limitador de máscaras que se encuentra en la LAN se utiliza fuera de la WAN. Hay cajas separadas para controlar el enmascaramiento exacta de direcciones en el limitador. en pfSense
2.0.x, los bits de máscara IPv4 eran siempre 32 Por IPv4-dirección de límite de foros. Este es el uso más común. Para un límite de IPv6-dirección per-, utilice 128 como el valor de los bits de máscara IPv6. Si usted desea hacer subred per o máscaras similares, introduzca los bits de subred en el cuadro correspondiente, ya sea IPv4 o IPv6 bits de máscara, como 24 para limitar en grupos de 24 / subredes.
Descripción La descripción, como de costumbre, es un bit opcional de texto para su referencia para explicar el propósito para este limitador.
Opciones avanzadas Hay algunas opciones adicionales que varían de si edita un tubo o una cola, haga clic en Mostrar opciones avanzadas y aparecerán. Retardo (Tubos) La opción de programación sólo se encuentra en las tuberías del limitador. Se introduce una
retraso arti fi cial (latencia), se especifica en milisegundos, en la transmisión de los paquetes en el tubo limitador. Esto normalmente se deja en blanco para que los paquetes son nes de transmisión lo más rápido posible. Esto puede ser usado para simular conexiones de alta latencia, como enlaces satelitales para las pruebas de laboratorio.
Peso (colas) La opción de peso sólo se encuentra en los niños limitadores (colas). Este valor puede variar de 1 a 100. Los valores más altos dan más prioridad a los paquetes que se encuentran en una cola determinada. A diferencia de las prioridades PRIQ y la CBT, una cola ponderada lowly- no está en peligro de ser privado de ancho de banda. tasa de pérdida de paquetes Otro método de arti fi cialmente degradar trá fi co, la pérdida de paquetes
Rate, puede ser con fi gurada para dejar caer una cierta fracción de los paquetes que entran en el limitador. El valor se expresa como una representación decimal de un porcentaje, por lo
0.01 es 1%, o un paquete de cada cien caído. Al igual que con los otros campos, normalmente se deja en blanco para que cada paquete se entregó. Tamaño de cola Establece el tamaño de la cola, especificados en las ranuras de cola, que se utiliza para la manipulación demora de espera. Deja en blanco, el valor predeterminado es 50, que es el valor recomendado. enlaces de baja velocidad pueden necesitar un tamaño de la cola inferior de operar eficientemente fi. Tamaño de cubo El tamaño de la cubeta, también se especifica en las ranuras, se establece el tamaño del hash
tabla utilizada para el almacenamiento de colas. El valor por defecto es 64. Debe ser un valor numérico entre 16 y 65 536, inclusive. Para obtener más información sobre estos valores, también puede mirar en el ipfw (8) página hombre, en la sección titulada “Traf fi c Shaper (Dummynet) Con fi guración”.
Asignación y uso de limitadores Limitadores se asignan utilizando reglas fi cortafuego, utilizando los selectores de Entrada / Salida en la sección Opciones avanzadas de la regla fi cortafuegos. Cualquier coinciden con los criterios posibles se puede expresar en una regla se pueden utilizar para asignar trá fi co a un limitador.
22.7. limitadores
461
El libro pfSense, Liberación
Lo más importante para recordar cuando se asigna un limitador a una regla es que los campos de entrada y salida se designan desde la perspectiva de la misma fi cortafuegos. Por ejemplo, en una sola configuración WAN sola LAN, entrada trá fi co en una interfaz LAN es en realidad va hacia la Internet, es decir cargan los datos. Salida trá fi co en la interfaz LAN va hacia el PC del cliente, es decir, los datos descargados. Al considerar la interfaz WAN, la direccionalidad se invierte; Entrante trá fi co proviene de la Internet para el cliente, y de salida trá fi co va desde el cliente a Internet. En la mayoría de los casos, serán seleccionados tanto en un limitador y limitador de salida, pero se puede optar por seleccionar sólo uno si trá fi co debe limitarse en una sola dirección.
Limitadores pueden aplicarse en reglas de interfaz normales, o en reglas flotantes, incluso usando el mismo Partido acción que puede ser utilizado por ALTQ.
Comprobación del uso del limitador Información sobre limitadores de activos puede ser encontrado en Diagnósticos limitador de Información. A continuación, se muestra cada limitador y cola de niño, en formato de texto. ancho de banda y los parámetros de cada conjunto limitador se muestran, junto con el nivel actual c tráfico en movimiento en el interior del limitador. En el caso de los limitadores de enmascarados, se muestra el ancho de banda de cada dirección IP. En el futuro, habrá una representación gráfica fácil de leer esta información limitador. Por ahora, el acceso a la información en bruto es útil hasta que la característica particular se ha completado.
Capa 7 Inspección Capa 7 inspección (L7) es, en términos sencillos, de coincidencia de patrón para ver si tráfico c partidos un protocolo c especificidad tales como HTTP, FTP, Bittorrent, etc. Se compara paquetes contra un patrón dado que expresa la forma en tráfico c para un protocolo debe buscar, y si fi NDS una coincidencia, entonces se aplica una acción para la conexión. En algunos lugares esto también se conoce como inspección profunda de paquetes (DPI). En pfSense, Capa 7 inspección se puede utilizar para la conformación de tráfico utilizando ALTQ c o para el bloqueo de tráfico c. Las entradas que contienen patrones de la capa 7 de inspección se llaman Capa 7 contenedores. Estos recipientes se mantienen a Firewall Traf fi c Shaper en la pestaña de la capa 7.
Requisitos de CPU pesados / penalización en el rendimiento Capa 7 inspección consiste en colocar cada paquete que coincide con una regla específico a través de un demonio de inspección. No sólo se introduce retardo adicional debido a que los paquetes se encaminan a través de un demonio, también hay gastos generales de funcionamiento de un ajuste de patrones en la carga útil de cada paquete en cuestión. Por lo tanto, dependiendo de la cantidad de tráfico fi c está inspeccionando, la CPU utilizado puede aumentar drásticamente. Capa 7 reducirá su rendimiento potencial global. La única manera de evitarlo es utilizar una CPU más potente, pero incluso eso tiene sus límites.
limitaciones La capa 7 puede ayudar a identificar trá fi co, pero hay algunas cosas que no puede hacer, tales como:
• Coincidencia de cifrado tráfico c no es posible en la actualidad. Si un usuario cifra su tráfico c, como Bittorrent, se puede eludir un partido capa 7.
• Algunos protocolos varían demasiado para ser fiable identi fi cado. Los ejemplos notables de esto son Bittorrent y Skype. Como aspectos del cambio de protocolo, pueden ser necesarios nuevos patrones.
• Como se mencionó anteriormente, hay una pesada carga en la CPU para realizar la inspección de la capa 7. •
No hay ningún caso afirmativa fi af para la aplicación del protocolo; HTTP tráfico c se puede adaptar para ser puesto en cola o bloqueado, pero una inspección de la capa 7 no se puede utilizar para asegurar que sólo HTTP tráfico c está viajando en el puerto 80.
462
Capítulo 22. Traf fi c Shaper
El libro pfSense, Liberación
• Capa 7 inspección no puede ser utilizado para el enrutamiento o multi-wan decisiones. Por la capa de tiempo 7 tiene identi fi ed un protocolo, la conexión ya se ha establecido, por lo que no se puede volver a instalar en una ruta alternativa.
• Todavía es necesario pasar tráfico c en la capa 7 de inspección con el fin de para que sea procesado. Si un protocolo de saltos entre puertos, como Bittorrent, que tendría que pasar todas de trá fi co en todos los puertos a través de la capa 7 de inspección, a un gran costo para su CPU, y si alguien encripta el protocolo, entonces todavía se puede evitar ser emparejado.
Capa 7 Patrones El corazón de la forma de la capa 7 obras coincidentes son patrones regulares expresión (expresiones regulares) que se comparan con cada paquete en cola para su inspección. pfSense barcos con un conjunto de patrones de la obtenida a partir de la proyecto ltro L7- fi , Pero los nuevos regímenes pueden ser creados y subidos (Ver Carga
de Nuevos Patrones ).
Creación de Capa 7 Contenedores
a
Para crear un nuevo contenedor de capa 7, vaya a Firewall de trá fi co talladora y haga clic en la capa 7 pestaña. A partir de ahí, haga clic añadir un nuevo contenedor.
Habilitar deshabilitar Esta casilla de verificación controla si o no el contenedor está activo y seleccionable en fi cortafuegos reglas.
Nombre El nombre del contenedor, tal y como aparecerá en reglas para la selección fi cortafuego. El nombre debe ser
alfanumérico y puede incluir también - y _. Descripción Un bit opcional de texto para su referencia, para describir el propósito de este contenedor.
Reglas El recipiente puede tener una o más reglas. Cada patrón se comprueba y la acción apropiada aplicada a los paquetes fl debido a través del recipiente. Para añadir una nueva regla, haga clic
.
Patrón El nombre de fi le que contiene los parámetros de coincidencia para un protocolo dado o tipo de tráfico c, por ejemplo, Bittorrent, SMB, o http.
Estructura Estructura de la opción controla qué tipo de comportamiento se producirá una vez coincidencia de patrones se ha encontrado. Las opciones posibles son: acción para una acción fi cortafuegos, cola colocar tráfico c en una cola de ALTQ, y limitador para enviar tráfico a través de un limitador c.
Comportamiento Esta opción controla el comportamiento que es dictado por la estructura de este regla. Por un acción estructura, la única opción es bloquear. por cola estructuras, se enumeran todas las colas altq disponibles. por limitador, limitadores de todas habilitadas se enumeran a continuación.
Usando capa 7 Contenedores El uso de un recipiente de capa 7 es un poco contra-intuitivo. Al igual que con otras características, que ellos promulgan a través de reglas fi cortafuego, sin embargo, con un recipiente de capa 7, incluso si desea bloquear el trá fi co, que todavía utiliza la acción pase a la regla fi cortafuegos. La razón de esto es debido a cómo funciona la capa 7 inspección. La regla pasa el paquete en el recipiente de la capa 7, y el recipiente en sí toma la decisión de pasar, bloque, cola, o limitar el tráfico c en función de si o no se encuentra una coincidencia.
Para utilizar un recipiente capa 7 en una regla, primero asegúrese de que es una regla de pase, y luego elija la entrada de la capa 7 deseado en la opción Capa 7 de la norma, al final de la avanzada Características sección de la pantalla Editar regla fi cortafuegos .
22.8. Capa 7 Inspección
463
El libro pfSense, Liberación
Carga de Nuevos Patrones Nuevos patrones se pueden cargar haciendo clic en el enlace situado en la parte inferior de Firewall de trá fi co talladora de la ficha Capa 7. Antes de poder cargar un patrón fi l, usted tiene que crear primero una en el formato adecuado, o descargar una de otra fuente que ya está en el formato adecuado. Para algunos ejemplos, se puede ver en / / Acción usr / local / protocolos /, pfSense el repositorio en Github, o la página del proyecto de filtro L7- vinculado anteriormente en esta sección.
Una vez que haya diseñado o localizado su patrón personalizado, visite la página de carga, haga clic en Examinar, busque su patrón fi l, y seleccionarlo. Una vez que el expediente ha sido seleccionado, haga clic en Cargar archivo de patrones y el nuevo modelo estará disponible para la selección durante la edición de un contenedor Capa 7.
Traf fi c Shaping y VPNs Las siguientes discusiones se refieren en gran parte a la conformación ALTQ. Limitadores trabajarán fi ne con VPNs como lo harían con cualquier otra interfaz y reglas. Sólo el conformador ALTQ requiere una consideración especial. La conformación de tráfico con VPNs c es un tema complicado debido a cómo se considera separado de la VPN de trá fi co, sino también una parte de, la WAN trá fi co a través del cual OWS también fl. Si la WAN es de 10 Mbit / s, entonces el VPN también se puede utilizar de 10 Mbit / s, pero no es en realidad 20Mbit / s de ancho de banda a tener en cuenta, sólo el 10 Mbit / s. Como tal, es más fiable utilizar métodos de formación que se centran más en la priorización de ancho de banda, tales como PRIQ o, en algunos casos, CBQ.
Si el VPN contiene sólo trá fi co que se debe priorizar, entonces es suficiente considerar sólo el tráfico VPN fi c sí en la WAN, en lugar de intentar hacer cola trá fi co en la VPN, así como WAN. En estos casos, se necesita una regla flotando en la WAN para que coincida con el fi VPN tráfico c sí. El tipo exacto de tráfico c varía dependiendo del tipo de VPN. IPSec y PPTP pueden ambos ser priorizados por el asistente de la talladora, y estas reglas se pueden utilizar como un ejemplo para que coincida con otros protocolos.
OpenVPN Con OpenVPN, existen múltiples interfaces en el sistema operativo, uno por VPN. Esto puede hacer más fácil la conformación en algunos casos. Además, algunas características de OpenVPN puede hacer que sea más fácil dar forma a tra fi co sobre la WAN e ignorar el propio túnel.
Dando forma dentro del túnel Si hay varias clases de tráfico c se realizan en el túnel, entonces algún tipo de priorización debe hacerse para el tráfico dentro del túnel c. Para que el asistente para considerar el trá fi co de esta manera, la VPN se debe asignar como su propia interfaz de la GUI. Para lograr esto, asignarla como se describe en asignación de
interfaz y con fi guración , y luego utilizar el asistente de la talladora como si se tratara de una interfaz WAN separado, y clasificar el tráfico c según sea necesario.
Formando el exterior del túnel (passtos) Si la principal preocupación se perfila VoIP trá fi co través de una VPN, otra opción a considerar es la opción passtos de OpenVPN, llamado Tipo-de-servicio en las opciones de pfSense OpenVPN. Esta opción copiará el bit TOS del paquete interior para el paquete exterior de la VPN. Así, si el tráfico VoIP c tiene la porción TOS (DSCP) del conjunto de cabecera de paquete, entonces los paquetes OpenVPN también tendrán el mismo valor. El valor puede ser igualada mediante la opción DSCP en normas fi cortafuego, como se describe en Punto Código Diffserv . Usando este método, es posible priorizar VoIP tráfico dentro de la VPN c sin tratar realmente el VPN como una WAN adicional.
Nota: Dado que los datos a partir del paquete interior se copian en el paquete exterior, esto no exponer un poco de información sobre el tipo de tráfico de cruzar la VPN c. Depende de usted decidir si es o no la divulgación de información, aunque de menor importancia, vale la pena el riesgo de las ganancias que ofrece priorización de paquetes adecuado.
464
Capítulo 22. Traf fi c Shaper
El libro pfSense, Liberación
IPsec IPsec se presenta al sistema operativo en una única interfaz, no importa cuántos túneles son con fi gura y que son utilizados por los túneles de redes WAN. Esto puede plantear algunas di fi cultades, sobre todo cuando se trata de dar forma a trá fi co en el interior de un túnel IPsec en particular.
También la interfaz IPsec no es posible usar por sí misma como una interfaz con el asistente. Puede añadir sus propias reglas flotantes para igualar y Cola de trá fi co en la interfaz IPsec, pero es posible hallar que sólo entrante trá fi co se pondrá en cola como se esperaba, a pesar de que los resultados reales pueden variar.
Solución de problemas de la talladora Tra fi co Shaping / QoS es un tema complicado, y puede resultar difícil de hacerlo bien la primera vez. Hay algunos errores comunes que las personas caen sobre, que están cubiertos en esta sección.
¿Por qué no se Bittorrent trá fi co de entrar en la cola P2P? Bittorrent es conocido por no usar mucho en el camino de los puertos estándar. Los clientes están autorizados a declarar a qué puerto otros deben utilizar para llegar a ellos, lo que significa un caos para los administradores de red que tratan de realizar el seguimiento del trá fi co basado en el puerto solo. Los clientes también pueden elegir para cifrar su trá fi co. talladora reglas normales no tienen ninguna forma de examinar los paquetes de decir qué programa del trá fi co parece ser, por lo que se ve obligado a confiar en los puertos. Por esta razón, puede ser una buena idea utilizar la regla P2P Catchall, y / o hacer reglas para cada tipo de tráfico c desea, y tratar su cola por omisión como de baja prioridad. Puede utilizar la inspección de la capa 7 para intentar clasificar los tra fi co, pero viene con una penalización de CPU fuerte y todavía no se puede clasificar a los protocolos cifrados.
¿Por qué no se trá fi co de puertos abiertos por UPnP correctamente en cola? Traf fi c permitido en el daemon UPnP va a terminar en la cola predeterminada. Esto sucede porque las reglas generadas dinámicamente por el demonio UPnP no tienen ningún conocimiento de las colas a menos UPnP es con fi gurado para enviar trá fi co en una cola específica. Dependiendo de lo que haya usando UPnP en su entorno, esto puede ser baja prioridad tráfico fi ca como BitTorrent o alta prioridad trá fi co como consolas de juegos o programas de chat de voz como Skype. La cola se puede ajustar por ir a los servicios UPnP y entrar en un nombre de la cola en el fi Traf c talladora cola campo.
Ese truco sólo funciona con colas ALTQ talladora, sin embargo. No existe actualmente una manera de asegurar que UPnP trá fi co consigue un limitador se aplica correctamente, pero está esperando a tener que abordó en una versión futura.
¿Cómo puedo calcular la cantidad de ancho de banda para asignar a las colas de ACK? Este es un tema complejo, y la mayoría de las personas brillo sobre ella y adivine un fi cientemente alto valor. Para explicaciones más detalladas con fórmulas matemáticas, compruebe el cesárea Shaping tráfico de los foros pfSense . Hay un puesto pegajosa en ese tablero que describe el proceso con gran detalle, y también hay una hoja de cálculo descargable que puede ser utilizado para ayudar a facilitar el proceso.
¿Por qué es no en forma adecuada? Al igual que con otras preguntas de esta sección, esto tiende a suceder debido a las reglas introducidos ya sea internamente o por otros paquetes que no tienen conocimiento de las colas. Dado que ninguna cola se especi fi ca para una regla, que termina en la cola predeterminada o raíz, y no en forma. Puede que tenga que desactivar las reglas anti-bloqueo WebGUI / ssh y tal vez incluso sustituir a la LAN por defecto a cualquier norma fi cortafuegos con más opciones específicas. En el caso de envases, es posible que necesite ajustar la forma en que se maneja su cola predeterminada.
22.10. Solución de problemas de la talladora
465
El libro pfSense, Liberación
Mi ISP me cambió la velocidad de conexión, pero mi shaper todavía está limitando mi ancho de banda a la velocidad de edad, ¿cómo puedo cambiarlo? ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sólo es necesario editar las colas apropiadas en Firewall de trá fi co Shaper para obtener la nueva velocidad. Las colas que necesitan actualización son la cola matriz para la interfaz WAN para la velocidad de subida, y la cola qinternet en la LAN u otra interfaz interno para la velocidad de descarga. Si tiene varias redes WAN, la cola qinternet será la velocidad de descarga sumado de todas las WAN, por lo que ajustar por la cantidad que cambió su descarga ancho de banda ISP. Alternativamente, si se utiliza el asistente y no se hicieron cambios personalizados en las colas o las reglas, a continuación, el asistente se puede ejecutar de nuevo, y el valor puede ser actualizado en el asistente.
Tra fi co conformado, o la calidad de la red de servicio (QoS), es un medio de priorizar el tráfico de red inalámbrica que atraviesa el cortafuego c. Sin tráfico c conformación, los paquetes se procesan en una primera en / primera cabo base por su fi cortafuegos. QoS ofrece un medio de dar prioridad a diferentes tipos de trá fi co, lo que garantiza que los servicios de alta prioridad reciben el ancho de banda que necesitan antes de servicios de prioridad menor. El asistente c conformador de tráfico en pfSense le da la capacidad de QoS figura estafadores para escenarios comunes y reglas personalizadas también se pueden crear de forma rápida para tareas más complejas. Por simplicidad, el sistema de c conformación tráfico en pfSense también puede ser denominado como el “talladora”, y el acto de tráfico c conformación fi puede ser llamado “conformación”. pfSense 2.x introdujo un concepto talladora separado llamado limitadores. Limitadores le permiten establecer límites de ancho de banda difícil para un grupo o en una base por IP,
Traf Fundamentos Shaping fi Para aquellos de ustedes que no están familiarizados con la conformación de trá fi co, que es algo así como un guardia de seguridad en un club exclusivo. Los VIPs (paquetes muy importantes) siempre que sea en la primera y sin tener que esperar. Los paquetes regulares tienen que esperar su turno en la fila, y los paquetes “indeseables” pueden ser mantenidos fuera hasta después de la verdadera fiesta ha terminado. Al mismo tiempo, el club se mantiene a la capacidad y nunca sobrecargado. Si más VIP vienen a lo largo de más adelante, algunos paquetes regulares pueden necesitar ser arrojado a cabo para mantener el lugar de conseguir demasiado lleno de gente.
La forma en que la conformación se realiza en pf, y por lo tanto pfSense, puede ser un poco contra-intuitivo a primera debido a que el tráfico c tiene que ser limitada en un lugar donde pfSense en realidad puede controlar el flujo. Entrante trá fi co de Internet va a un host en la LAN (descarga) es en realidad en forma saliendo de la interfaz LAN del sistema pfSense. De la misma manera, trá fi co que va desde la red local a Internet (carga) se forma al salir de la WAN. Hay tráfico colas c de conformación, y las reglas c conformación de tráfico. Las colas son donde el ancho de banda y las prioridades se asignan realidad. reglas para la conformación de trá fi co controlan la forma c fi tráfico se asigna en esas colas. Reglas para la talladora funcionan de la misma como reglas fi cortafuego, y permiten que las mismas características determinadas. Si un paquete coincide con una regla de la talladora, se le asignará a la especificidad colas cado por esa regla. En pfSense 2.x, partido acción que sólo se asigna el trá fi co en las colas, pero también puede asignar trá fi co en las colas utilizando reglas de paso sobre cualquier otra interfaz también.
normas limitador se manejan de forma diferente. Limitadores aplican en las reglas de paso regular y hacer cumplir sus límites en el tráfico c medida que entra y sale de la interfaz. Cuando se trabaja con limitadores, que casi siempre ellos trabajan en pares, uno para la “descarga” dirección de trá fi co y uno para la “carga” dirección de trá fi co.
466
Capítulo 22. Traf fi c Shaper
CAPÍTULO
VEINTITRES
SERVIDOR balanceo de carga
Servidor de equilibrio de carga de Con fi guración Opciones
Quinielas
Piscinas para con fi gurar:
• Navegar a Servicios> equilibrador de carga •
Haga clic en el Quinielas lengüeta
•
Hacer clic
•
Con fi gura las opciones de la piscina como se explica a continuación:
Añadir añadir una nueva piscina
Nombre Un nombre para la piscina. El nombre es cómo se hace referencia a la piscina cuando con fi gurar el virtual
Servidor que va a utilizar esta piscina. Este nombre se debe adherir a los mismos límites que un nombre de alias o de la interfaz. Letras y números, el separador sólo se permite es un subrayado. .. note :: Este nombre no puede ser el mismo que un alias existente. Modo Seleccionar Equilibrio de carga para equilibrar la carga entre todos los servidores en la piscina, o Manual de conmutación por error a
Siempre utilizar los servidores de la lista Habilitado, y que se pueden mover manualmente entre un estado activado y desactivado.
Descripción Una descripción más detallada opcional para la piscina.
Puerto Este es el puerto de los servidores están escuchando internamente. Esto puede ser diferente de la externa
puerto, que se define más adelante en el servidor virtual con fi guración. Un alias también se puede utilizar para definir varios puertos, sin embargo, si se utiliza un alias debe usar el mismo alias de puerto aquí y en el servidor virtual con fi guración.
Rever Esto define el número de veces que un servidor será contactado por el monitor antes de ser declarada hacia abajo.
Monitor Esto define el tipo de monitor de usar, que es como el equilibrador de carga determina si el servidores están en marcha y utilizable. Selección TCP hará que el equilibrador conectar al puerto previamente definido en la Puerto, y si no puede conectarse a ese puerto, el servidor se considera abajo. ING Choos- ICMP será en lugar de monitorizar los servidores de fi nidas mediante el envío de un ICMP ping y los marcará abajo si ellos no responden. Hay muchos más tipos de monitores, y se pueden personalizar. Están cubiertas con más detalle más adelante en el capítulo.
Dirección IP del servidor Aquí es donde se enumeran las direcciones IP internas de los servidores del grupo. Entrar
uno a la vez, al hacer clic Añadir a la piscina después. Actuales miembros de la reserva Este campo muestra la lista de servidores en esta piscina. Un servidor puede ser eliminado
de la piscina haciendo clic en su dirección IP y luego haciendo clic Retirar. Hay dos listas en
467
El libro pfSense, Liberación
esta sección, Piscina de movilidad reducida, y Activado (predeterminado). Los servidores de la Activado (predeterminado) lista son activos y se utilizan, los servidores de la piscina discapacitados la lista no se utilizan nunca. los piscina discapacitados lista se utiliza principalmente con Manual de conmutación por
error modo. Los servidores se pueden mover entre las listas seleccionando
y haciendo clic •
o
.
Hacer clic Salvar
Si se requiere una conmutación por error automática, crear una segunda piscina para ser utilizado como una Fall Back piscina, que contiene el conjunto de copia de seguridad de las direcciones IP del servidor.
Servidores virtuales Para con fi gurar un servidor virtual para manejar conexiones de cliente:
• Navegar a Servicios> equilibrador de carga •
Haga clic en el Servidores virtuales lengüeta
•
Hacer clic
•
Con fi gura las opciones de servidor virtual tal como se explica a continuación:
Añadir añadir un nuevo servidor virtual
Nombre Un nombre para el servidor virtual. Esto es para referencia, sino que también deben cumplir con los mismos límites que
un alias o interfaz nombre. Letras y números, el separador sólo se permite es un subrayado. Sin espacios o barras.
Descripción Una descripción más larga opcional para el servidor virtual. Esto es para fines de referencia
solamente, y no tiene ningún límite de formato. Dirección IP Aquí es donde se introducen las direcciones IP para su uso por el servidor virtual. Este suele ser el dirección IP WAN o una dirección IP virtual en la WAN. Debe ser una dirección IP estática. Un VIP CARP también puede ser utilizado para una configuración de alta disponibilidad. Para obtener más información sobre los VIPs de alta disponibilidad y la carpa, consulte Alta disponibilidad . Un Alias VIP IP puede ser utilizado, o (sólo en modo TCP) un Proxy ARP VIP. Por otra parte, un alias también se puede utilizar para especificar varias direcciones IP en la que este servidor virtual puede aceptar conexiones.
Nota: En el modo TCP, las direcciones IP se especi fi ca que aquí se no con destino en el nivel de sistema operativo, lo que significa que relayd como un demonio no está enlazado y escucha en estos puertos directamente.
Puerto Este es el puerto sobre el cual el servidor virtual aceptará conexiones. Puede ser diferente desde el puerto utilizado por los servidores de la piscina internamente. Un alias puede ser utilizado para definir varios puertos, sin embargo, si el mismo alias puerto debe ser utilizado aquí y en la piscina con fi guración.
Servidor Virtual Pool Aquí es donde se selecciona la fi gurada la piscina con anterioridad. Las conexiones a
el Dirección IP y Puerto definida en esta pantalla será dirigido a las direcciones IP y los puertos con fi gura en la piscina.
Fall Back piscina Esta es la piscina alternativo que los clientes se dirigen a si todos los servidores de la primaria piscina están abajo. Si no hay un servidor alternativo, deje este conjunto de Ninguna, aunque el resultado será inaccesible si todos los servidores del grupo se han reducido. Por lo menos, para evitar que el servidor de estar abajo del todo, la configuración de un servidor web sencillo para devolver una página de mantenimiento básico para cualquier solicitud y usarlo como la caída posterior de la piscina.
Protocolo de retransmisión El Protocolo de relé puede ser TCP o DNS, dependiendo de lo que será este relé
obra.
468
Capítulo 23. Servidor de equilibrio de carga
El libro pfSense, Liberación
-
En TCP modo, relayd actúa como un puerto mejorado hacia delante, dirigiendo las conexiones como si estuvieran golpeando una regla NAT tradicional. Servidores podrán ver la dirección IP de origen original del cliente, que no actúa como un proxy.
-
En DNS modo, relayd actúa como un proxy DNS. Se va a equilibrar la carga entre varios servidores DNS, pero se pierde la dirección IP original del cliente. camareros de la piscina verán el cortafuego como la fuente de la consulta DNS. Tenga esto en cuenta al establecer puntos de vista o las restricciones de consulta basadas en la fuente en los servidores DNS que intervienen en el equilibrio de carga.
•
Hacer clic Enviar
•
Hacer clic Aplicar cambios Advertencia: Si todos los miembros del servidor de grupo virtual y entrar de nuevo los miembros de la piscina están abajo, relayd actuará como si
el equilibrador de carga no está manejando las conexiones para la dirección IP del servidor virtual y el puerto. Si la dirección IP y el puerto utilizado también son utilizados por otro servicio o regla de NAT, podría ser expuesto accidentalmente a los clientes.
monitores Hay cinco tipos de monitor fi básicos pre-de nido: ICMP, TCP, HTTP, HTTPS y SMTP. tipos personalizados adicionales pueden ser agregados para detectar mejor tipos específicos de fracasos.
Monitores definido previamente de
Los monitores de pre-de fi nido se incluyen en la con fi guración por defecto y son: ICMP Envía una solicitud de eco ICMP al servidor de destino y espera una respuesta de eco ICMP. TCP Los intentos de abrir una conexión de puerto TCP a la dirección IP de destino y el puerto. Si se puede abrir el puerto (3-way handshake TCP), entonces se tiene éxito, si se rechaza la conexión o el tiempo de espera, se produce un error.
HTTP y HTTPS Los intentos para abrir una conexión con el servidor y solicitar la URL / o mediante HTTP HTTPS, lo que se ha seleccionado. Si se devuelve un código de respuesta 200, que está bien. De lo contrario, se consi- Ered un fracaso.
SMTP Se abre una conexión con el puerto definida de la cadena y envía nosuchhost EHLO. Si el servidor responde con ningún mensaje a partir de 250-, se considera OK. Otras respuestas son consideradas un fracaso.
Creación de monitores personalizados
Los monitores incluidos no son su fi ciente para las necesidades de un sitio, o que necesitan ajustar, a continuación, monitores personalizados pueden ser creados. La mayoría de los tipos de monitores tienen sus propios ajustes especí fi cos que se pueden personalizar según sea necesario.
Para crear un nuevo monitor: * Vaya a Servicios> equilibrador de carga * Haga clic en el monitores * Haga clic en la pestaña
Añadir añadir
un nuevo monitor * Con fi gura las opciones del monitor, como se explica a continuación:
Nombre Un nombre para el monitor. Esto es para referencia, sino que también deben cumplir con los mismos límites
como un alias o nombre de la interfaz. Letras y números, el separador sólo se permite es un subrayado. Sin espacios o barras. Descripción Una descripción más larga opcional para el monitor. Esto es para fines de referencia solamente, y no tiene ningún límite de formato. Las opciones restantes varían en función del tipo seleccionado.
23.1. Servidor de equilibrio de carga de Con fi guración Opciones
469
El libro pfSense, Liberación
ICMP y TCP No hay opciones adicionales. Cualquier monitor personalizado utilizando estos tipos se comportará identifi-
camente a la pre-de fi nida del monitor del mismo nombre.
HTTP y HTTPS Estos se comportan de forma idéntica a la otra, la única diferencia es si No cifrado se utiliza para hablar con el servidor de destino. Estos tienen cada uno tres opciones para controlar el comportamiento del monitor:
Camino El camino define la sección de ruta de la URL se envía al servidor. Si el sitio contiene sobre todo contenido dinámico, o la URL base hace una redirección, lo mejor es establecer esto en una ruta completa a una pieza estática de contenido, como una imagen, es poco probable que mover o cambiar.
Anfitrión Si el servidor se ejecuta varios hosts virtuales, este campo de fi ne que el nombre de host
se envía con el pedido, por lo que la respuesta esperada se puede recibir.
Código HTTP Esto define la respuesta esperada desde el servidor, dada la rebúsqueda para el host / path. Lo más común es que esto se establece en 200 OK, pero si el servidor utiliza otro código de retorno que se esperaría como una respuesta sana a esta consulta, seleccione aquí. Si el código de retorno es desconocida, inspeccionar los registros del servidor para hallar qué códigos se devuelven al cliente para cada solicitud.
Enviar / cuente Este tipo de monitor abre una conexión con el puerto definida de una cadena y envía
y espera la respuesta fi cado. El ejemplo más común es el monitor de SMTP discutido previamente. Las opciones son: Enviar cuerdas La cadena enviada al servidor después se realiza una conexión a su puerto.
cadena esperada Si la respuesta del servidor no se inicia con esta cadena, entonces
se considera abajo. •
Hacer clic Salvar
ajustes Además de las opciones de la por-piscina o por servidor, también hay algunas opciones globales que controlan el comportamiento de relayd. Estos ajustes están bajo Servicios> equilibrador de carga sobre el ajustes lengüeta: Se acabó el tiempo El tiempo de espera global en milisegundos para cheques. Dejar en blanco para usar el valor por defecto de 1000 ms (1 segundo). Si un grupo de servidores de carga tarda más en responder a las solicitudes, aumentar este tiempo de espera.
Intervalo El intervalo en segundos en el que se comprobará el miembro de una piscina. Dejar en blanco para usar el intervalo predeterminado de 10 segundos. Para comprobar el servidores más (o menos) con frecuencia, ajustar la temporización en consecuencia.
prefork Número de procesos utilizados por relayd para el manejo de las conexiones de entrada a los relés. Esta opción
sólo es activo para relés utilizando Modo de DNS. No tiene ningún efecto en el modo TCP, ya que utiliza una redirección, no un relé. Dejar en blanco para usar el valor por defecto de 5 procesos. Si el servidor está ocupado, aumentar esta cantidad para acomodar la carga.
Las reglas de firewall El último paso en la con fi gurar el equilibrio de carga es con fi gurar fi reglas de cortafuego para permitir trá fi co a la piscina. por TCP el modo, las reglas de cortafuego debe permitir trá fi co a las direcciones IP privadas internas de los servidores, lo mismo que con las reglas de NAT, así como el puerto que se está escuchando en el interior. Crear un alias para los servidores del grupo para hacer el proceso más fácil, y crear una sola regla de cortafuego en la interfaz donde se iniciará el trá fi co destinado a la piscina (por lo general PÁLIDO) permitiendo que la fuente apropiada (por lo general alguna) a un destino del alias creado para la piscina.
470
Capítulo 23. Servidor de equilibrio de carga
El libro pfSense, Liberación
Un ejemplo específico de esto se proporciona en Con fi gurar reglas de cortafuego . Para obtener más información sobre las reglas cortafuego, consulte
firewall . por DNS el modo, las reglas cortafuego debe permitir trá fi co directamente a la dirección IP virtual del servidor y el puerto, no los camareros de la piscina.
conexiones adhesivas Hay una opción adicional con fi guración disponibles para el equilibrio de carga del servidor, bajo Sistema> Opciones avanzadas, sobre el Diverso lengüeta. Debajo Balanceo de carga, llamado Utilizar conexiones adhesivas. Al marcar esta casilla intentará enviar a los clientes con una conexión activa con el servidor de la piscina para el mismo servidor para las conexiones posteriores. Una vez que el cliente cierra todas las conexiones activas y los tiempos estado cerrado a cabo, se pierde la conexión pegajosa. Esto puede ser deseable para algunas de carga web estafadores equilibrio fi guración donde las solicitudes de clientes sólo deben ir a un único servidor, para la sesión o por otras razones. Esto no es perfecto, como si el navegador web del cliente cierra todas las conexiones TCP al servidor después de carga de una página y se sienta allí durante 10 minutos o más antes de cargar la página siguiente, la página siguiente se puede servir desde un servidor diferente. Por lo general esto no es un problema ya que la mayoría de los navegadores web no cerrará inmediatamente una conexión, y existe el tiempo suficiente para no hacer que sea un problema del estado, pero si el sitio es estrictamente dependiente de un cliente especí fi co no conseguir un servidor diferente en la piscina sin tener en cuenta el tiempo que el navegador se sienta allí inactivo, busque una solución de equilibrio de carga diferente. Hay una caja debajo de la opción de controlar el Tiempo de espera de seguimiento Fuente que puede permitir que el conocimiento de la relación cliente / servidor que persista más tiempo.
Advertencia: Pegajosa es en general poco fiables para este propósito y también puede tener otros efectos secundarios no deseados. Completo ofrecido paquetes de proxy como HAProxy tienen mucho mejores mecanismos y opciones para mantener relaciones cliente / servidor.
Ver también:
Los clientes con una pfSense Suscripción Oro puede acceder al Hangouts Archivo para ver el número de enero 2 015 Hangout la carga del servidor y failover, que incluye información sobre con fi gurar HAProxy.
Hay cuatro áreas de con fi guración para el equilibrador de carga del servidor:
1. Quinielas de colecciones fi ne de servidores a utilizar, qué puerto que utilizan, y el método de monitorización.
2. Servidores virtuales definen la dirección IP y el puerto para aceptar conexiones de usuario, y la piscina adecuada para dirigir
la entrada de trá fi co destinado a esa dirección IP y el puerto. 3. monitores se utilizan para crear los métodos de seguimiento personalizados para determinar si los servidores de la piscina están trabajando y utilizable.
4. La ajustes pestaña contiene opciones globales que alteran el funcionamiento del equilibrador de carga. En un ejemplo típico, hay una Servidor virtual para aceptar conexiones de usuario, y contiene varios servidores de una Piscina. los Piscina utiliza una Monitor para cada servidor para determinar si es capaz de aceptar conexiones de usuario. Un servidor virtual puede tener una regular y una Fall Back piscina utilizar si todos los miembros de la regularidad Servidor Virtual Pool se han reducido. Esto se puede aprovechar para presentar una página de mantenimiento o un corte, por ejemplo.
Carga de Servidor Web Ejemplo de equilibrio Con fi guración En esta sección se muestra cómo con fi gurar el equilibrador de carga de principio a fi nal para el medio ambiente equilibrado de carga con dos servidores web.
ambiente Ejemplo red Figura Servidor de equilibrio de carga Ejemplo Red muestra la fi ejemplo entorno con gurado en esta sección. Se compone de un único cortafuego, utilizando su dirección IP WAN para la piscina, con dos servidores web en un segmento de DMZ.
23.2. Carga de Servidor Web Ejemplo de equilibrio Con fi guración
471
El libro pfSense, Liberación
Fig. 23.1: la carga del servidor de equilibrio Ejemplo Red
Con piscina fi guración Para con fi gurar la piscina:
• Navegar a Servicios> equilibrador de carga •
Haga clic en el Quinielas lengüeta
•
Hacer clic
•
Con fi gura la piscina tal como se muestra en la figura Con fi guración de la piscina , el cual utiliza los siguientes ajustes:
Añadir para crear una nueva piscina
Nombre webservers Modo Equilibrio de carga
Descripción servidor Web piscina Puerto 80
Rever 5 Los miembros de la piscina Añadir los dos servidores web ( 10.6.0.11 y 10.6.0.12) utilizando una HTTP Monitor
•
Hacer clic Salvar
Con fi gurar servidor virtual •
Haga clic en el Servidores virtuales lengüeta
•
Hacer clic
Añadir añadir un nuevo servidor virtual
• Con fi gura el servidor virtual como se muestra en la figura Servidor Virtual con fi guración , el cual utiliza los siguientes ajustes: Nombre WebVirtualServer Descripción Servidor web Dirección IP dirección IP WAN del cortafuego, 198.51.100.6 Puerto 80
Servidor Virtual Pool webservers Fall Back piscina Ninguna
•
472
Hacer clic Enviar
Capítulo 23. Servidor de equilibrio de carga
El libro pfSense, Liberación
La figura 23.2:. Piscina Con fi guración
Fig. 23.3: Servidor Virtual Con fi guración
23.2. Carga de Servidor Web Ejemplo de equilibrio Con fi guración
473
El libro pfSense, Liberación
• Hacer clic Aplicar cambios Advertencia: En este ejemplo, si tanto de los camareros de la piscina están abajo, el servidor virtual es inaccesible. El cortafuego actuará como si no hay un servidor virtual es con fi gurado. Si algo en el cortafuego está enlazado al puerto 80, los clientes llegar a ese lugar. Esto incluye la interfaz gráfica de usuario Web incorporada de redirección para el puerto 80, por lo que se debe inhabilitar bajo Sistema> Avanzado sobre el El acceso de administrador lengüeta.
Con fi gurar reglas de cortafuego Las reglas del cortafuegos deben ser con fi gurada para permitir el acceso a los servidores del grupo. Las reglas deben permitir que el trá fi co de las direcciones IP internas y el puerto que se utiliza, y no hay reglas son necesarias para la dirección IP y el puerto exterior utilizado en el mundo virtual con fi guración del servidor.
Crear un alias que contiene todos los servidores en la piscina, así que el acceso se puede permitir que con una sola regla fi cortafuegos.
• Navegar a Cortafuegos> Alias
•
Hacer clic
Añadir para agregar un alias.
• Utilice los siguientes parámetros: Nombre www_servers Tipo Hospedadores
Hospedadores Las direcciones IP de los servidores web: 10.6.0.11 y 10.6.0.12
•
Hacer clic Salvar
• Hacer clic Aplicar cambios Figura Alias para Servidores Web muestra el alias utilizado para este ejemplo con fi guración, que contiene los dos servidores web.
Fig. 23.4: alias de los servidores Web
A continuación, cree una regla fi cortafuegos usando ese alias: * Vaya a Cortafuegos> Reglas * Cambie a la ficha de la interfaz donde conexiones entrarán (por ejemplo, PÁLIDO) * Hacer clic
474
Añadir para iniciar una nueva regla en la parte superior de la lista * Utiliza el siguiente
Capítulo 23. Servidor de equilibrio de carga
El libro pfSense, Liberación
ajustes: Interfaz PÁLIDO
Protocolo TCP Fuente alguna
Tipo de destino Host único o Alias Dirección de destino www_servers Puerto de destino Rango HTTP
Descripción Permitir al servidor Web •
Hacer clic Salvar
• Hacer clic Aplicar cambios Figura Adición de reglas de firewall para servidores Web muestra un fragmento de la regla de cortafuegos fi añadido para esta con fi guración. Las opciones no se muestran en dejarse en sus valores por defecto.
Fig. 23.5: Adición de reglas de firewall para servidores Web
Figura Regla de cortafuegos para servidores Web Muestra la regla tal como aparece en la lista.
23.2. Carga de Servidor Web Ejemplo de equilibrio Con fi guración
475
El libro pfSense, Liberación
Fig. 23.6: reglas de firewall para servidores Web
Visualización del estado del equilibrador de carga Ahora que el equilibrador de carga es con fi gurado, para ver su estado, vaya a Estado> equilibrador de carga y haga clic en el Servidores virtuales lengüeta. Esta página muestra el estado del servidor en su conjunto, por lo general aparece como sea Activo o Abajo. los Quinielas pestaña muestra un estado individual para cada miembro de una piscina (como se muestra en la figura Estado de la piscina ). La fila para un servidor es verde si está en línea, y rojo si el servidor es de ine fi.
Además, cada servidor de la piscina tiene una casilla junto a él. Los servidores que se comprueban son activos en la piscina, y sin marcar, los servidores están desactivados en la piscina, lo mismo que moverlos entre la lista de activado y desactivado en la página de edición de la piscina. Para desactivar un servidor: desactiva, a continuación, haga clic Salvar.
Fig. 23.7: Estado piscina
Si el servicio de servidor web se detiene en uno de los servidores, o si el servidor se elimina de la red por completo si el uso de monitores ICMP, las actualizaciones de estado del INE a fl y el servidor se elimina de la piscina.
Verificación de equilibrio de carga Para verificar el equilibrio de carga, rizo es la mejor opción para garantizar la caché del navegador web y las conexiones persistentes no afectan los resultados de las pruebas. rizo está disponible para todos los sistemas operativos imaginables y puede ser descargado desde el página web rizo . Para usarlo, simplemente ejecute:
rizo http: // mysite
En ese comando, reemplace 198.51.100.6 ya sea con la dirección IP o nombre de host del sitio. Esta debe ser probados desde fuera de la red (por ejemplo, desde una red remota o cliente en WAN). A continuación se ilustra un ejemplo de la prueba con el enrollamiento de la banda de WAN:
#
rizo http://198.51.100.6 Esta es www2 servidor -
10.6.0.12 #
rizo http://198.51.100.6 Esta es www1 servidor -
10.6.0.11 Al principio, cuando las pruebas de equilibrio de carga, con fi gura a cada servidor devuelve una página especificando su nombre de host, dirección IP, o ambos, por lo que se hace evidente qué servidor está respondiendo a la petición. Si las conexiones adhesivas no está habilitada, un servidor diferente, responder a cada solicitud.
476
Capítulo 23. Servidor de equilibrio de carga
El libro pfSense, Liberación
Solución de problemas de equilibrio de carga del servidor En esta sección se describe cómo identificar, solucionar problemas y resolver los problemas más comunes encontrados por los usuarios con balanceo de carga del servidor.
Las conexiones no están equilibrados Las conexiones no ser equilibrada es casi siempre un fallo de la metodología de prueba que se utiliza, y es generalmente específica para HTTP. navegadores web mantendrán comúnmente conexiones a un servidor web de código abierto, y golpear refresco reutiliza la conexión existente. Una sola conexión no será cambiado a otro servidor con equilibrio. Otro problema común es la caché del navegador web, donde el navegador en realidad nunca solicita la página de nuevo. Es preferible utilizar una herramienta de línea de comandos como rizo para las pruebas de esta naturaleza, ya que asegura que la prueba no se ve afectada por los problemas inherentes a las pruebas con los navegadores web. rizo no tiene caché, y abre una nueva conexión al servidor cada vez que se ejecuta. Más información sobre rizo se puede encontrar en Verificación de equilibrio de carga .
Si se habilitan las conexiones adhesivas, asegurar las pruebas se realizan a partir de múltiples direcciones IP de origen. Las pruebas de una sola dirección IP de origen irán a un único servidor a menos que un largo período de tiempo que transcurre entre intentos de conexión.
Abajo servidor no marcado como de fl ine Si un servidor se cae, pero no está marcado como de ine fi, es debido a que el monitoreo realizado por el demonio de balanceo de carga cree que es todavía en funcionamiento. Si se utiliza un monitor TCP, el puerto TCP debe estar todavía de aceptar conexiones. El servicio en ese puerto puede ser roto en numerosas formas y todavía responder a las conexiones TCP. Para los monitores ICMP, este problema se agrava, ya que los servidores se pueden colgar o se haya estrellado con ningún servicio de escucha en absoluto y todavía responden a los pings.
servidor en vivo no marcado como línea Si el servidor está en línea, pero no tan marcada en línea, es porque no está en línea desde la perspectiva de los monitores demonio equilibrio de carga. El servidor debe responder en el puerto TCP utilizado o responder a los pings provenientes de la dirección IP de la interfaz cortafuego más cercano al servidor.
Por ejemplo, si el servidor está en la LAN, el servidor debe responder a las peticiones iniciadas a partir de la dirección IP LAN del cortafuego. Para verificar esto para monitores ICMP, vaya a Diagnóstico> Ping y ping a la dirección IP del servidor utilizando la interfaz donde se encuentra el servidor. Para los monitores de TCP, el uso Diagnóstico> puerto de prueba, y elegir la interfaz LAN del cortafuego como la fuente, y la dirección IP del servidor web y el puerto como destino.
Otra forma de probar es de un intérprete de comandos del cortafuego, ya sea mediante la opción de menú de la consola o ssh 8 y el Carolina del Norte
mando: #
nc -vz 10.6.0.12 80
NC: conectarse a 10.6.0.12 puerto 80 (TCP) ha fallado: vencimiento de la operación
Y aquí es un ejemplo de una conexión exitosa: #
nc -vz 10.6.0.12 80
La conexión al puerto 80 10.6.0.12 [TCP / HTTP] tuvo éxito!
Si la conexión falla, resolver otros problemas en el servidor web.
23.3. Solución de problemas de equilibrio de carga del servidor
477
El libro pfSense, Liberación
No se ha podido llegar a un servidor virtual de un cliente en la misma subred que el servidor de la piscina Los sistemas cliente en la misma subred que los servidores de la piscina no se podrán conectar adecuadamente el uso de este método de equilibrio de carga.
relayd reenvía la conexión con el servidor web con la dirección de origen del cliente intacta. El servidor entonces tratar de responder directamente al cliente. Si el servidor tiene un camino directo hacia el cliente, por ejemplo, a través de una conexión local NIC en la misma subred, no va a fluir a través de la fi cortafuegos correctamente y el cliente recibirá la respuesta de la dirección IP local del servidor y no la dirección IP en relayd. Entonces, debido al hecho de que la dirección IP del servidor es incorrecto desde el punto de vista del cliente, la conexión se interrumpe como válido.
Una forma de evitar esto es mediante el uso de NAT saliente manual y la elaboración de una regla de salida NAT manual para que tra fi co salir de la interfaz interna (LAN) procedente de la subred LAN, yendo a los servidores web, se traduce a la dirección de la interfaz de LAN. De esta forma el trá fi co parece originarse desde el cortafuego, y el servidor responderá de nuevo al cortafuego, que luego retransmite el trá fi co de vuelta al cliente usando las direcciones esperadas. La dirección IP original de origen del cliente se pierde en el proceso, pero la única solución viable es mover los servidores a un segmento de red diferente. Hay dos tipos de funcionalidad de balanceo de carga están disponibles en pfSense: Gateway y Servidor. balanceo de carga de puerta de enlace permite la distribución de Internet ligado trá fi co a través de múltiples conexiones WAN. Para obtener más información sobre este tipo de equilibrio de carga, ver Las conexiones WAN múltiples . balanceo de carga del servidor gestiona entrante trá fi co por lo que utiliza múltiples servidores internos para la distribución de la carga y redundancia, y es el tema de este capítulo.
el equilibrio de carga de servidores permite tráfico c a ser distribuido entre múltiples servidores internos. Se utiliza más comúnmente con los servidores web y servidores SMTP aunque puede ser usado para cualquier servicio TCP o para DNS. Mientras pfSense ha reemplazado gama alta, balanceadores de carga comerciales de alto costo, incluyendo BigIP, Cisco LocalDirector, y más graves en entornos de producción, pfSense no es tan potente y flexible como soluciones de balanceo de carga comercial de nivel empresarial. No es adecuado para las implementaciones que deben controlarse muy flexible y equilibrado fl fi guraciones. Para implementaciones grandes o complejos, una solución más potente se llama generalmente para. Sin embargo, la funcionalidad disponible en pfSense se adapte a un sinnúmero de sitios muy bien para las necesidades básicas. paquetes con todas las funciones de equilibrado de carga están disponibles para pfSense, tales como HAProxy y Barniz, pero el equilibrador de carga integrado basado en relayd de OpenBSD hace un gran trabajo para muchas implementaciones. monitores en relayd puede comprobar los códigos de respuesta HTTP adecuados, comprobar las direcciones URL específicas, hacer una comprobación de puerto de ICMP o TCP, incluso enviar una cadena específico y esperar una respuesta específica.
servicios TCP en el equilibrador de carga pfSense se manejan de una redirigir forma, lo que significa que funcionan como puertos delanteros inteligentes y no como un proxy. La dirección de origen del cliente se conserva cuando la conexión se pasa a los servidores internos, y las reglas fi cortafuego debe permitir trá fi co a la dirección interna real de los servidores de la piscina. Cuando relayd es con fi gurado para manejar DNS, sin embargo, funciona como un proxy, de aceptar conexiones y la creación de nuevas conexiones a los servidores internos. Los servidores de equilibrio de carga de piscinas siempre se utilizan de una manera round-robin. Para técnicas de balanceo más avanzadas, como fuente de hash, probar un paquete de proxy inverso como HAProxy en lugar.
Ver también:
Los clientes con una pfSense Suscripción Oro puede acceder al Hangouts Archivo para ver el número de enero el año 2015 Hangout en la carga del servidor y failover.
478
Capítulo 23. Servidor de equilibrio de carga
CAPÍTULO
VEINTICUATRO
INALÁMBRICO
Hardware inalámbrica recomendada Una variedad de tarjetas inalámbricas están soportadas en FreeBSD 10.3-RELEASE, y pfSense incluye soporte para cada tarjeta de apoyo de FreeBSD. Algunos tienen un mejor soporte que otros. La mayoría de los desarrolladores de pfSense funcionan con el hardware de Atheros, por lo que tiende a ser el hardware más recomendado. Muchos tienen éxito con otras tarjetas también, y Ralink es otra opción popular. Otras tarjetas pueden ser soportados, pero no son compatibles con todas las funciones disponibles. En particular, algunas tarjetas de Intel se pueden utilizar en el modo de infraestructura como clientes, pero no se puede ejecutar en modo de punto de acceso debido a las limitaciones del hardware en sí.
Las tarjetas inalámbricas de proveedores de renombre Linksys, D-Link, Netgear y otros grandes fabricantes cambian el chipset comúnmente utilizado en sus tarjetas inalámbricas sin cambiar el número de modelo. No hay manera de asegurar una fi co tarjeta de modelo específico de estos proveedores será compatible porque no hay manera confiable de saber qué revisión “menor” y el chip de la tarjeta contiene un paquete. Mientras que una revisión de un modelo en particular puede ser compatible y trabajar bien, otra carta del mismo modelo pueden ser incompatibles. Por esta razón, se recomienda evitar las tarjetas de los principales fabricantes. Si ya hay una tarjeta en la mano, vale la pena probar para ver si es compatible. Tenga cuidado al comprar porque incluso si el “mismo” modelo funcionó para otra persona, una nueva compra puede resultar en una pieza completamente diferente de hardware que no es compatible.
Estado de Soporte 802.11n pfSense 2.3.3-RELEASE se basa en FreeBSD 10.3-RELEASE que tiene soporte para 802.11n en determinado hardware tales como los basados en el Atheros AR9280 y conjuntos de chips AR9220. Hemos probado las tarjetas que utilizan esos conjuntos de chips y funcionan bien. Algunas otras tarjetas Atheros no son documentadas por FreeBSD para trabajar en 802.11n, específicamente, MWL (4) y
IWN (4). Estos pueden trabajar con el estándar 802.11n pero las experiencias con velocidades de 802.11n puede variar. los Artículo FreeBSD Wiki para el apoyo 802.11n contiene la información puesta al día sobre los chipsets y controladores compatibles que funcionan con 802.11n.
Estado de Soporte 802.11ac Actualmente, no hay soporte para 802.11ac en FreeBSD ni en pfSense.
Las frecuencias de radio y soporte de doble banda Algunas tarjetas tienen soporte para 2,4 GHz y 5 GHz bandas, tales como la Atheros AR9280 , Pero sólo una banda se puede usar a la vez. Actualmente no hay tarjetas soportadas y trabajan en FreeBSD que operará en ambas bandas al mismo tiempo.
479
El libro pfSense, Liberación
El uso de dos tarjetas separadas en una sola unidad, no es deseable ya que sus radios pueden interferir. En los casos que requieren soporte de doble o múltiple de banda, se recomienda encarecidamente un punto de acceso externo.
controladores inalámbricos incluidas en pfSense En esta sección se enumeran los controladores inalámbricos incluidos en pfSense y los conjuntos de chips que son compatibles con los conductores. Esta información se deriva de las páginas del manual de FreeBSD para los conductores en cuestión. Los conductores en FreeBSD se denominan por su nombre de controlador, seguido por (4), tal como ath (4). El (4) se refiere a la sección de interfaces del núcleo de la colección página hombre, en este caso la especificación de un controlador de red. Los controladores se enumeran en orden de frecuencia de uso con pfSense, basado en informes de los usuarios.
Para obtener información más detallada sobre tarjetas compatibles, y la información más actualizada, consulte la wiki de pfSense .
Tarjetas compatible con el modo de punto de acceso (hostap)
Las cartas de esta sección de soporte que actúan como punto de acceso para aceptar conexiones de otros clientes inalámbricos. Esto se conoce como hostap modo.
ath (4)
los ath (4) controlador es compatible con las tarjetas basadas en la Atheros AR5210, AR5211, AR5212, AR5416, y APIs AR92xx que son utilizados por muchos otros chips Atheros de diferentes números de modelo. La mayoría de las tarjetas Atheros compatibles con cuatro puntos de acceso virtuales (VAPs) o estaciones o una combinación para crear un repetidor inalámbrico. Aunque no aparece de forma explícita en la página del manual, el Artículo FreeBSDWiki de Apoyo 802.11n También establece que el conductor tiene soporte para AR9130, AR9160, AR9280, AR9285, AR9287, y potencialmente otros conjuntos de chips relacionados.
ral (4) / ural (4) / ron (4) / run (4)
Hay varias Ralink Technology IEEE 802.11 controladores de red inalámbricos relacionados, cada uno por un conjunto y el tipo de tarjeta diferente.
• ral (4) soporta tarjetas basadas en el Ralink Technology RT2500, RT2501 y RT2600, RT2700, RT2900 y RT3090 conjuntos de chips.
• ural (4) apoya RT2500USB. • ejecutar (4) apoya RT2700U, RT2800U, RT3000U, RT3900E, y similar. • ron (4) apoya RT2501USB y RT2601USB y similar. De éstos, sólo ciertos chips de apoyo de ejecutar (4) puede soportar los VAP. el RT3090 ral
(4) chip es el único modelo que aparece como capaz de 802.11n en FreeBSD. El RT2700 y RT2800 ral (4)
y la RT3900E ejecutar (4) de hardware son capaces de 802.11n, pero los conductores en FreeBSD actualmente no admiten su características 802.11n.
MWL (4)
El controlador de red inalámbrica IEEE 802.11 Marvell, MWL (4), soporta tarjetas basadas en el chipset 88W8363 y es totalmente compatible con 802.11n. Esta tarjeta es compatible con múltiples VAP y estaciones, hasta ocho de cada uno.
480
Capítulo 24. inalámbrica
El libro pfSense, Liberación
Tarjetas que soporta solamente el modo de cliente (estación)
Las cartas de esta sección no son capaces de actuar como puntos de acceso, pero se pueden usar como clientes en modo de estación, por ejemplo, como una WAN inalámbrica.
uath (4)
USB 2.0 dispositivos inalámbricos Atheros utilizando AR5005UG y AR5005UX conjuntos de chips son compatibles con el uath (4) conductor.
ipw (4) / iwi (4) / IWN (4) / IPM (4)
controladores de red inalámbrica Intel cubren varios modelos con diferentes conductores.
• ipw (4) soporta Intel PRO / Wireless 2100 adaptadores MiniPCI. • iwi (4) soporta Intel PRO / Wireless 2200BG / 2915ABG MiniPCI y 2225BG PCI adaptadores. • IWN (4) soporta Intel Wireless WiFi Link 4965, 1000, 5000 y 6000 adaptadores serie PCI-Express. • WPI (4) soporta adaptadores Intel 3945ABG. Tarjetas soportadas por el IWN (4) piloto se documentan por FreeBSD como soporte 802.11n en modo cliente. Varios adaptadores Intel tienen una restricción de licencia con una advertencia que aparece en el registro de arranque. los ipw (4), iwi (4), y WPI (4) conductores tienen licencia archivos que debe ser leído y aceptó.
Estas licencias son locadas en el cortafuego en / usr / share / doc / legal / intel_ipw / LICENCIA, / Usr / share / doc / legal / intel_iwi / LICENCIA, y / Usr / share / doc / legal / intel_wpi / LICENCIA respectivamente. Para estar de acuerdo con la licencia, editar / boot / loader.conf.local y añadir una línea para indicar el reconocimiento de licencias, tales como:
legal . intel_ipw . license_ack = 1 Dado el uso limitado de estos adaptadores como clientes solamente, una solución basada en GUI para reconocer estas licencias aún no ha sido creado.
BWI (4) / BWN (4)
El conductor inalámbrica 802.11b / g Broadcom BCM43xx IEEE se divide en dos, dependiendo de los modelos fi cos en uso.
• BWI (4) apoya BCM4301, BCM4303, BCM4306, BCM4309, BCM4311, BCM4318, BCM4319 usando una versión más antigua de la v3 fi rmware Broadom.
• BWN (4) apoya BCM4309, BCM4311, BCM4312, BCM4318, BCM4319 usando una versión más reciente de la v4 fi rmware Broadcom.
Apoyo ofrecido por los conductores se solapa para algunas tarjetas. los BWN (4) controlador es el preferido para las tarjetas que soporta mientras que el BWI (4) conductor debe ser utilizado en las tarjetas de más edad que no están cubiertos por BWN (4)
Malo (4)
conductor inalámbrica 802.11b / g Marvell Libertas IEEE, Malo (4), admite tarjetas que utilizan el chipset 88W8335.
upgt (4)
El conductor inalámbrica IEEE 802.11b / g USB Conexant / Intersil PrismGT SoftMac, upgt (4), admite tarjetas que utilizan el chipset GW3887.
24.1. Hardware inalámbrica recomendada
481
El libro pfSense, Liberación
urtw (4) / urtwn (4) / RSU (4)
El trío de controladores inalámbricos relacionados Realtek cubre varios modelos diferentes:
• urtw (4) soporta modelos IEEE 802.11b / g RTL8187B / L USB con una radio RTL8225 • urtwn (4) apoya RTL8188CU / RTL8188EU / RTL8192CU 802.11b / g / n • RSU (4) soportes RTL8188SU / RTL8192SU 802.11b / g / n Como en otros casos similares, aunque los chips de apoyo de urtwn (4) y RSU (4) son capaces de 802.11n, FreeBSD no soporta sus características 802.11n.
zyd (4)
El conductor 802.11b / g dispositivo de red inalámbrica IEEE USB ZyDAS ZD1211 / ZD1211B, zyd (4), soporta adaptadores utilizando los chips USB ZD1211 y ZD1211B.
Soporte de hardware especificaciones cs Tenemos una hoja de cálculo en línea con detalles más completos de soporte de hardware, incluyendo más conjuntos de chips y modelos de ejemplo de dispositivos que son compatibles con ciertos controladores. Actualmente esta información se lleva a cabo en un público hoja de cálculo de Google Docs ligado de la Artículo wiki de documentación en soporte inalámbrico . Como se ha señalado anteriormente en este capítulo, a menudo los fabricantes de chips de dispositivos cambiarán pero no números de modelo, por lo que es una guía aproximada, en el mejor, pero todavía pueden dar alguna orientación útil.
Trabajar con Access Point Wireless Virtual Interfaces pfSense es compatible con las interfaces inalámbricas virtuales utilizando múltiples BSS. Estos son conocidos como punto de acceso virtual o VAP con interfaces, incluso si están siendo utilizados para el modo de cliente. VAP permiten múltiples puntos de acceso o clientes que se ejecutan en la misma tarjeta de red inalámbrica, o que utilizan una combinación de punto de acceso y el modo cliente. El caso de uso más común es para múltiples puntos de acceso con diferentes SSID cada uno con requisitos de seguridad únicos. Por ejemplo, uno sin cifrado pero con portal cautivo y estrictas reglas de acceso y una red independiente con encriptación, autenticación y reglas de acceso menos estrictas.
Incluso si una tarjeta no soporta múltiples instancias VAP, la primera entrada se debe crear manualmente antes de que pueda ser asignado.
El apoyo a los VAP varía según la tarjeta y controlador, consulte la información sobre el soporte conductor en Hardware inalámbrica recomendada aprender más. Las probabilidades son, sin embargo, si una tarjeta inalámbrica Atheros está en uso, va a trabajar. Aunque no hay límite teórico para el número de una tarjeta de VAP puede utilizar, el conductor y el soporte de hardware varía, por lo que el límite práctico es de cuatro VAP en ath (4) y ocho en MWL (4).
Todos los VAP en un recurso compartido de tarjetas dado algunas opciones comunes, tales como el canal, los ajustes de regulación, configuración de la antena, y el estándar inalámbrico. Otros ajustes tales como el modo, SSID, configuración de cifrado y así sucesivamente pueden variar entre los VAP.
Creación y gestión de instancias de Wireless Para crear una nueva instancia inalámbrica:
• Navegar a Interfaces> (asignar) sobre el Inalámbrico lengüeta.
•
482
Hacer clic
Añadir para crear una nueva entrada
Capítulo 24. inalámbrica
El libro pfSense, Liberación
• Selecciona el Interfaz de los padres, por ejemplo ath0 • escoger el Modo de uno de Punto de Acceso, Infraestructura ( BSS, modo cliente), o Ad hoc ( IBSS) • Entrar a Descripción •
Hacer clic Salvar
Un ejemplo se muestra en la figura Adición de una Instancia Wireless .
Fig. 24.1: Adición de un Instancia Wireless
Una vez que la entrada ha sido guardado está entonces disponible para asignación en virtud Interfaces> (asignar). A partir de ahí, asignar y luego editar la configuración como cualquier otra interfaz inalámbrica.
Nota: La interfaz asignado debe ser con fi gurada para utilizar el mismo modo específico ed cuando se creó el VAP.
WAN inalámbrica Una tarjeta de red inalámbrica en un cortafuego corriendo pfSense se puede utilizar como la interfaz WAN primaria o una WAN adicional en un despliegue multi-WAN.
asignación de interfaces Si aún no se ha asignado la interfaz inalámbrica, hay dos opciones posibles: agregarlo como una interfaz OPT adicional o reasignar como WAN.
Antes de comenzar, crear la instancia inalámbrico como se describe en Creación y gestión de instancias de Wireless si no existe ya. Cuando se trabaja como una WAN, se debe utilizar Infraestructura modo (BSS). Para añadir la interfaz como una nueva interfaz OPT:
• Vaya a Interfaces> (asignar) • Seleccione la interfaz inalámbrica de la puertos de red disponibles desplegable debajo de las otras interfaces
•
Hacer clic
Añadir añadir la interfaz como una interfaz OPT
Para volver a asignar la interfaz inalámbrica WAN como:
• Vaya a Interfaces> (asignar)
24.3. WAN inalámbrica
483
El libro pfSense, Liberación
•
Seleccione la interfaz inalámbrica como PÁLIDO
•
Haga clic en Guardar la figura Asignación de interfaz WAN inalámbrica muestra una tarjeta Atheros asignado como WAN.
Fig 24.2:. Asignación de interfaz de WAN inalámbrica
Con fi guración de la red inalámbrica La mayoría de las WAN inalámbricas necesitan sólo un puñado de opciones establecidas, pero especí fi cs varían dependiendo del punto de acceso (AP) al que se conectará esta interfaz de cliente.
• Vaya a la Interfaces menú de la interfaz WAN inalámbrica, por ejemplo Interfaces> WAN • Seleccione el tipo de con fi guración ( DHCP, IP estática, etc.) •
Desplazarse hacia abajo para Común con fi guración inalámbrica
•
Selecciona el Estándar para que coincida con el AP, por ejemplo 802.11g
•
Seleccione la apropiada Canal para que coincida con el punto de acceso
•
Desplazarse hacia abajo para fi-red específica C con fi guración inalámbrica
• Selecciona el Modo a Infraestructura (BSS) modo • Introducir el SSID para el AP • cifrado con fi gura como WPA2 (Wi-Fi Protected Access) si está en uso por el AP •
Revisar la configuración restantes si es necesario y seleccione otras opciones adecuadas para que coincida con el punto de acceso
•
Hacer clic Salvar
• Hacer clic Aplicar cambios
Comprobación del estado inalámbrico
Vaya a Estado> Interfaces para ver el estado de la interfaz inalámbrica. Si la interfaz se ha asociado con éxito con el punto de acceso que se indica en la página de estado. UN estado de asociado significa la interfaz se ha conectado al AP con éxito, como se muestra en la figura Interfaz WAN inalámbrica
asociada Si la interfaz estado espectáculos Ninguna compañía, no fue capaz de asociar. Figura Ninguna compañía de WAN inalámbrica muestra un ejemplo de esto, donde la antena se desconectó por lo que no se pudo conectar a una red inalámbrica que estaba a cierta distancia.
484
Capítulo 24. inalámbrica
El libro pfSense, Liberación
Fig. 24.3: Asociada Interfaz WAN inalámbrica
24.3. WAN inalámbrica
485
El libro pfSense, Liberación
Fig. 24.4: No portador en WAN inalámbrica
Mostrando las redes inalámbricas disponibles y fuerza de la señal Los puntos de acceso inalámbricos visibles por el cortafuego se pueden ver navegando a Estado> Inalámbrico como se muestra en la figura Estado inalámbrico .
Una interfaz inalámbrica debe ser con fi gurado antes de que aparezca este elemento de menú.
Fig. 24.5: Estado inalámbrico
Bridging e inalámbrico Bridging dos interfaces juntos los coloca en el mismo dominio de difusión como si estuvieran conectados al mismo conmutador. Normalmente, esto se hace para que dos interfaces actuarán como si estuvieran en la misma FL en red utilizando la misma subred IP, en este caso una interfaz inalámbrica y por cable de interfaz. Cuando se puentean dos interfaces, broadcast y multicast tráfico fi co se reenvía a todos los miembros de puente.
486
Capítulo 24. inalámbrica
El libro pfSense, Liberación
Ciertas aplicaciones y dispositivos se basan en la emisión de trá fi co de funcionar. Por ejemplo, AirTunes de Apple no funcionarán a través de dos dominios de difusión. Así que si AirTunes está presente en la red inalámbrica y debe ser accedido desde un sistema en la red por cable, las redes cableadas e inalámbricas deben estar puenteados. Otros ejemplos incluyen los servicios de medios proporcionados por dispositivos como Chromecast, TiVo, Xbox 360 y Playstation 3. Estos dependen de multidifusión o difusión tráfico c que sólo puede funcionar si se puentean las redes cableadas e inalámbricas.
Puntos de acceso inalámbricos y Bridging Únicamente las interfaces inalámbricas en modo de punto de acceso (hostap) funcionarán en una con fi guración en puente. A fi interfaz inalámbrica con gurada para hostap se puede salvar a otra interfaz que los combina en el mismo dominio de difusión. Esto puede ser deseable para ciertos dispositivos o aplicaciones que deben residir en el mismo dominio de difusión para funcionar correctamente, como se mencionó anteriormente.
BSS e inalámbrico IBSS y Bridging Debido a las obras inalámbricas manera en el modo BSS (Basic Service Set, el modo de cliente) y el modo IBSS (Conjunto de Servicios Básicos Independientes, el modo Ad-hoc), y la forma en la reducción de obras, una interfaz inalámbrica no se puede salvar en BSS o el modo IBSS. Cada dispositivo conectado a una tarjeta inalámbrica en BSS o IBSS modo debe presentar la misma dirección de MAC. Con puente, la dirección de MAC pasado es la MAC real del dispositivo conectado. Esto es normalmente una faceta deseable de la forma en la reducción de las obras. Con la tecnología inalámbrica, la única forma de esta función lata es si todos los dispositivos detrás de esa tarjeta inalámbrica presentan la misma dirección MAC en la red inalámbrica. Esto se explica en profundidad por expertos inalámbrica señalado Jim Thompson en un puesto de la lista de correo .
Como un ejemplo, cuando VMware Player, estación de trabajo o servidor es con fi gurado para tender un puente a una interfaz inalámbrica, se traduce automáticamente la dirección MAC a la de la tarjeta inalámbrica. Porque no hay manera de traducir una dirección MAC en FreeBSD, y debido a la forma de puente en FreeBSD funciona, es difícil proporcionar soluciones provisionales similares a los que ofrece VMware. En algún momento pfSense puede apoyar esto, pero no está en la hoja de ruta para 2.x.
La elección de enrutamiento o Bridging La elección entre puente (utilizando la misma subred IP que la red LAN existente) o encaminamiento (usando una subred IP dedicada para la telefonía celular) para los clientes inalámbricos dependerá de qué servicios requieren los clientes inalámbricos. En muchas redes domésticas entornos existen aplicaciones o dispositivos que requieren conexión de cable y redes inalámbricas para ser salvada. En la mayoría de las redes corporativas, hay pocas o ninguna las aplicaciones que requieren de puente. ¿Cuál elegir depende de los requisitos de las aplicaciones de red en uso, así como las preferencias personales.
Hay algunos compromisos a este, siendo el paquete Avahi un ejemplo. Se puede escuchar en dos dominios de difusión y los mensajes de retransmisión de uno a otro diferente con el fin de permitir multicast DNS para trabajar (también conocido como Rendezvous o Bonjour) para el descubrimiento y servicios de red. Si los servicios que se requieren todos los protocolos de uso que pueden ser manejados por Avahi, a continuación, utilizando un método encaminado pueden ser posibles.
Para los servicios que se ejecutan en el cortafuego, puente también puede ser problemático. Características tales como limitadores, portal cautivo, y proxies transparentes requieren especial con fi guración y gastos de envío para trabajar en redes con puentes. Específicamente, el puente en sí debe ser asignado y la única interfaz en el puente con una dirección IP debe ser el puente asignado. Además, a fin de que estas funciones trabajen, la dirección IP en el puente debe ser la dirección utilizada por los clientes como su puerta de enlace.
El uso de un punto de acceso externo La mayoría de los enrutadores inalámbricos de estilo SOHO puede ser utilizado como un punto de acceso si un cierto punto de acceso (AP) no está disponible. Si pfSense sustituyó a un router inalámbrico existente, todavía podría ser utilizado para manejar la parte inalámbrica de la red si lo desea. Este tipo de implementación es muy popular para inalámbrica, ya que es más fácil mantener el punto de acceso en un lugar con
24.5. El uso de un punto de acceso externo
487
El libro pfSense, Liberación
mejor señal y tomar ventaja de hardware inalámbrico más actual sin depender de la compatibilidad de controladores en pfSense. De esta manera una red inalámbrica 802.11ac todavía puede ser usada y asegurada por pfSense en la frontera, a pesar de que pfSense todavía no tiene soporte para tarjetas 802.11ac.
Esta técnica también se utiliza comúnmente con equipos inalámbricos corriendo * WRT, tomate, u otro rmware encargo fi para su uso como puntos de acceso dedicados en lugar de routers de frontera.
Volviendo un router inalámbrico en un punto de acceso Al sustituir un router inalámbrico simple tal como un Linksys, D-Link u otro dispositivo de grado casa con pfSense como un cortafuego perímetro, la funcionalidad inalámbrica puede ser retenido. Para convertir el router inalámbrico a un punto de acceso inalámbrico, siga estos pasos genéricos para cualquier dispositivo. Para hallar especí fi cs para un router inalámbrico en particular, consulte la documentación correspondiente.
Desactivar el servidor DHCP Desactivar el servidor DHCP en el router inalámbrico para evitar un conflicto. pfSense se encargará de esta función para la red, y que tiene dos servidores DHCP en el mismo dominio de difusión causará problemas.
Cambiar la dirección IP de la LAN Cambiar la dirección IP LAN del router inalámbrico a una dirección IP no utilizada en la subred donde se ubicará (comúnmente LAN). Si el cortafuego corriendo pfSense reemplazado este router inalámbrico, entonces el router inalámbrico fue probablemente utilizando la misma dirección IP ahora asignada a la interfaz LAN pfSense, por lo que debe ser cambiado. Se requiere una dirección IP funcional en el punto de acceso con fines de gestión y para evitar dirección IP conflictos.
Enchufe la interfaz LAN La mayoría de los enrutadores inalámbricos puente de su red inalámbrica a los puertos internos de puerto o conmutador LAN. Esto significa que el segmento inalámbrico estará en el mismo dominio de difusión y la subred IP que los puertos cableados. Para los routers con un conmutador integrado, cualquiera de los puertos de switch LAN normalmente funcionará.
Nota: No conecte el puerto WAN o Internet del router inalámbrico! Esto hará que la red inalámbrica en un dominio de difusión diferente del resto de la red y el router inalámbrico llevará a cabo NAT en el trá fi co entre el inalámbrico y LAN. Esto también se traduce en NAT doble de trá fi co entre la red inalámbrica e Internet. Este es un diseño feo, y dará lugar a problemas en algunas circunstancias, especialmente si debe producirse la comunicación entre los clientes de LAN inalámbricas y por cable.
La decisión de dónde conectar la interfaz LAN del router inalámbrico depende del diseño de la red elegida. Las siguientes secciones cubren opciones y consideraciones para la selección del mejor estilo de despliegue.
Puente inalámbrico a la red LAN Uno de los medios comunes de despliegue inalámbrico es conectar el punto de acceso directamente en el mismo interruptor como los anfitriones LAN, donde el AP bridges los clientes inalámbricos a la red cableada. Esto funcionará definir, pero ofrece un control limitado sobre la capacidad de los clientes inalámbricos para comunicarse con sistemas internos. Ver La elección de enrutamiento o Bridging para más detalles sobre puente en este papel.
488
Capítulo 24. inalámbrica
El libro pfSense, Liberación
Bridging inalámbrico a una interfaz OPT Para un mayor control sobre los clientes inalámbricos, añadiendo una interfaz OPT al cortafuego para el punto de acceso es la solución preferida. Para mantener las redes inalámbricas y por cable en el mismo dominio de subred IP y difusión, la interfaz OPT puede ser superada a la interfaz LAN. Este escenario es funcionalmente equivalente a conectar el punto de acceso directamente en el conmutador LAN, excepto pfSense puede filtro de trá fi co de la red inalámbrica para proporcionar protección a los hosts de la LAN y viceversa.
Nota: Una con fi guración con el puente asignado como LAN es óptima aquí, en lugar de sólo tener los TPO puente a la LAN cableada existente.
segmento de enrutado en una interfaz OPT La red inalámbrica también se puede colocar en una subred IP diferente si lo desea. Esto se hace sin cerrar la interfaz de TPO en pfSense, en lugar de asignarlo con una dirección IP en una subred independiente diferente de la LAN. Esto permite encaminamiento entre redes internas e inalámbricas, según lo permitido por el conjunto de reglas fi cortafuegos. Esto se hace comúnmente en las redes más grandes, donde múltiples puntos de acceso están conectados a un conmutador que está conectado a continuación en la interfaz OPT en pfSense. También es preferible cuando los clientes inalámbricos se verán obligados a conectarse a una VPN antes de permitir conexiones a los recursos de la red interna.
pfSense como un Punto de Acceso Con una tarjeta inalámbrica que soporte el modo hostap (Ver Tarjetas compatible con el modo de punto de acceso (hostap) ), pfSense puede ser con fi gurada como un punto de acceso inalámbrico.
En caso de un punto de acceso externo o pfSense ser utilizados para un punto de acceso? La funcionalidad de punto de acceso en FreeBSD, y por lo tanto pfSense, ha mejorado de manera espectacular en los últimos años y es estable consi- Ered actualmente para la mayoría de usos. Dicho esto, muchos casos de uso se comportan mejor con un punto de acceso externo, especialmente implementaciones que tienen requisitos tales como 802.11ac, el funcionamiento simultáneo de 2,4 GHz y 5 GHz, redes inalámbricas en malla, o casos raros con los clientes que no va a asociarse con un punto de acceso de ejecución utilizando pfSense. Los puntos de acceso en pfSense se han utilizado con éxito en despliegues a pequeñas y medianas empresas, con equipo como un MacBook, AirTunes Pro de Apple, iPod Touch, iPad, teléfonos Android y tabletas, varios ordenadores portátiles de Windows, clientes de Xbox, y FreeBSD y funciona muy fiable a través de todos estos dispositivos. Existe la posibilidad de hallazgo dispositivos incompatibles con cualquier punto de acceso, y FreeBSD no es una excepción.
El principal factor decisivo en estos días es el apoyo 802.11n o 802.11ac; Soporte para hardware 802.11n en pfSense es algo limitado y no existe 802.11ac apoyo. Esto es motivo de ruptura para algunos, y como tal mediante un punto de acceso externo que sería mejor para redes que requieren 802.11ac y en algunos casos 802.11n si no se puede obtener el hardware adecuado.
El siguiente factor más común es la ubicación de las antenas o el punto de acceso inalámbrico en general. A menudo, el cortafuego corriendo pfSense se encuentra en un área del edificio que no es óptimo para la telefonía celular, tales como una sala de servidores en un rack. Para la cobertura de ideales, la mejor práctica es localizar el punto de acceso en un área que es menos susceptible a la interferencia inalámbrica y que tendría una mejor intensidad de la señal a la zona donde residen los clientes inalámbricos. Si el cortafuego corriendo pfSense se encuentra solo en un estante en un área común u otra área similar propicio para una buena señal inalámbrica, esto puede no ser una preocupación.
24.6. pfSense como un Punto de Acceso
489
El libro pfSense, Liberación
Con fi gurar pfSense como un punto de acceso El proceso de con pfSense fi guración para actuar como un punto de acceso inalámbrico (AP) es relativamente fácil. Muchas de las opciones será familiar para cualquier persona que tenga con fi gurada otros enrutadores inalámbricos antes, y algunas opciones pueden ser nuevas a menos que los equipos inalámbricos de calidad comercial se ha utilizado. Hay docenas de maneras para con los puntos de acceso cifra docenas, y todos ellos dependen del entorno en el que se desplegará. En este ejemplo pfSense es con fi gurado como un AP básica que utiliza el cifrado WPA2 con AES. En este ejemplo, ExampleCo necesita acceso inalámbrico para algunos ordenadores portátiles en la sala de conferencias.
Preparación de la interfaz inalámbrica Antes de comenzar, asegúrese de que la tarjeta inalámbrica se instala en el cortafuego y las trenzas y las antenas están unidas firmemente. Crear la instancia inalámbrico como se describe en Creación y gestión de instancias de Wireless si no existe ya. Cuando se trabaja como un punto de acceso, se debe utilizar Punto
de acceso modo. La tarjeta inalámbrica se debe asignar como una interfaz OPT y activada antes de la con fi guración restante se puede completar.
Descripción de la interfaz Cuando está en uso como un punto de acceso, nombrando a la interfaz WLAN ( LAN inalámbrico)
o Inalámbrico, o dándole el nombre de la SSID hace que sea más fácil de identificar. Si pfSense va a manejar múltiples puntos de acceso, que debería haber alguna manera de distinguirlos, como “WLANadmin” y “WLANsales”. En este ejemplo, se nombra ConfRoom.
Tipo de interfaz Dado que este ejemplo será un punto de acceso en una subred IP dedicada, el IPv4 Con fi guración Tipo debe establecerse en IPv4 estática
Dirección IP Una dirección IPv4 y la máscara de subred debe ser especi fi cado. Esta es una subred separada de la
otras interfaces. Para este ejemplo puede ser 192.168.201.0/24, una subred que es de otra manera no utilizado en la red ExampleCo. El uso de esa subred, la dirección IPv4 para esta interfaz será 192.168.201.1.
Parámetros inalámbricos comunes
Estos valores son compartidos por todos los VAP en una tarjeta inalámbrica física dada. La modificación de esta configuración de una interfaz cambiará ellas en todas las demás interfaces virtuales utilizando el mismo adaptador físico.
Persistir ajustes comunes Al marcar Persistir ajustes comunes, los valores con fi guración en esta sección se conservarán incluso si todas las interfaces y los VAP son eliminados o reasignados, cuando de otra manera se perderían.
Estándar inalámbrico Dependiendo de soporte de hardware, hay varias opciones disponibles para el inalámbrico Estándar entorno, incluyendo 802.11b, 802.11g, Turbo 802.11g, 802.11a, turbo 802.11a,
802.11ng, 802.11na, y posiblemente otros. Para este ejemplo, elegiremos 802.11ng un punto de acceso 802.11n funciona en la banda de 2,4 GHz.
Modo de Protección 802.11g OFDM los 802.11g OFDMProtectionMode ajuste sólo es útil en mixto entornos estándar donde 802.11g y 802.11b tienen que interactuar. Su uso principal es para evitar colisiones. Dada la edad de 802.11b y la escasez de los dispositivos que lo utilizan de trabajo, el ajuste es mejor dejar al Modo de protección fuera. Hay una penalización de rendimiento para su uso, ya que tiene cierta sobrecarga en cada fotograma y también requiere pasos adicionales cuando se transmiten tramas. Selección de canal inalámbrico Al seleccionar una Canal, conocimiento de los transmisores de radio en las proximidades de sim-
bandas de frecuencia ILAR se requiere para evitar interferencias. Además de los puntos de acceso inalámbricos, también hay teléfonos inalámbricos, Bluetooth, monitores de bebés, transmisores de video, microondas y muchos otros dispositivos que utilizan el mismo espectro de 2,4 GHz que puede causar interferencias. A menudo, cualquier canal funcionará siempre y cuando los clientes de AP están cerca de la antena. Con 802.11g y antes, los canales más seguros para uso se 1, 6, y 11 ya que sus bandas de frecuencia no se solapan entre sí.
490
Capítulo 24. inalámbrica
El libro pfSense, Liberación
Esto ya no es cierto con 802.11n y más tarde o incluso algunas configuraciones 802.11g que utilizan rangos de frecuencias más amplio para alcanzar velocidades más altas. Para esta red, ya que no hay otros a su alrededor, el canal 1 es una opción definir.
Nota: Siempre recoger un canal específico. No seleccione Auto para el canal de un punto de acceso. La validación de la entrada en las versiones actuales de pfSense evita que esto ser seleccionado.
Al utilizar otras normas, o utilizando una conexión inalámbrica en países distintos de los EE.UU., puede haber muchos más canales disponibles que se describe aquí. Las tarjetas que soportan 802.11a o 802.11n también pueden soportar los canales en el espectro de 5 GHz.
La lista completa de canales soportados por la tarjeta se muestra en la Canal desplegable y debe estar de acuerdo con los elegidos Estándar. Por ejemplo, no elija 802.11ng para el Estándar y luego recoger una Canal utilizado sólo para 802.11na. La lista de canales también incluye información sobre el estándar, la frecuencia del canal, y la potencia de transmisión máximo tanto de la tarjeta y en el dominio regulador para ese canal particular. Tenga cuidado para ver la potencia cuando se selecciona un canal, debido a que algunos canales, especialmente en la banda de 5 GHz, varían ampliamente en sus niveles de potencia permitidos.
Ver también:
herramientas de estudio como NetSurveyor , inssider , Wi-Spy, y un sinnúmero de otras aplicaciones para varios sistemas operativos, teléfonos, tabletas, etc. pueden ayudar a elegir un canal menos ocupado o zona del espectro. Kilometraje puede variar.
ajuste de la distancia Medido en metros, y sólo con el apoyo de Atheros tarjetas, El distancia de ajuste campo temporizadores melodías ACK / CTS a FI t la distancia entre el AP y el cliente. En la mayoría de los casos no es necesario con fi gurar este valor, pero puede ayudar en ciertas configuraciones inalámbricas difíciles tales como clientes a largo plazo.
ajustes regulatorios los ajustes regulatorios sección controla cómo se permite que la tarjeta para transmitir legalmente en una región fi cado. Los distintos países suelen tener diferentes ajustes de regulación, y en algunos países no tienen ninguno. Si no está seguro, consulte con el gobierno local para ver los que se aplican las leyes en un área determinada. Los valores por defecto son por lo general bien, como las tarjetas se pueden fijar a una región especí fi co ya. En algunos casos ajustes regulatorios se deben ajustar manualmente si la tarjeta tiene un valor predeterminado no se entiende por el conductor. Al igual que en el apartado anterior, estos valores se aplican a la propia tarjeta y no pueden variar entre los VAP en la tarjeta.
Si bien puede ser tentador para ajustar la tarjeta al Depurar con el fin de utilizar los ajustes no permitían otra manera, esta acción podría resultar en problemas legales en caso de que se dio cuenta. La probabilidad de que esto ocurra varía mucho según el país / zona por lo que utilizar con precaución.
Dominio regulatorio los Dominio regulatorio es el organismo gubernamental que controla comu- inalámbrico caciones en una región. Por ejemplo, los EE.UU. y Canadá seguimos regulaciones de la FCC, mientras que en el Reino Unido es el ETSI. Si no está seguro del dominio regulador en una región, consulte la País ajuste.
País A veces los países especí fi cos dentro de un dominio regulador tienen diferentes restricciones. los Con-
tratar opción contiene una lista desplegable de muchos países de todo el mundo y sus códigos de los países asociados y dominios reguladores. Ubicación Existen ciertas restricciones para Interior y Al aire libre transmisiones también. Ajuste de la Ubicación
del transmisor ajustará aún más la potencia y / o canales de transmisión permitido.
24.6. pfSense como un Punto de Acceso
491
El libro pfSense, Liberación
Red-específico con fi guración inalámbrica Estos ajustes son únicos para cada interfaz, incluso en las interfaces inalámbricas virtuales. El cambio de estos ajustes no afecta a otras interfaces.
Modo inalámbrico Selecciona el Modo campo de Punto de acceso , y pfSense utilizará hostapd para actuar como un punto de acceso.
Service Set identi fi cador (SSID) los SSID es el “nombre” de la AP como se ve por los clientes. Ajuste el SSID para
algo fi fácilmente identificables pero único. Siguiendo con el ejemplo, ConfRoom es un buen nombre para su uso.
estándar inalámbrico mínimo los estándar inalámbrico mínimo desplegable controla si o no clientes mayores son capaces de asociar a este punto de acceso. Permitiendo a los clientes de edad avanzada pueden ser necesarios en algunos entornos si los dispositivos están todavía alrededor que lo requieran. Algunos dispositivos sólo son compatibles con
802.11g y requieren una red g mixta / n con el fin de trabajar. El lado ip fl de esto es que las velocidades más lentas pueden ser vistos como un resultado de permitir que tales dispositivos de la red como el punto de acceso se verá obligado a atender al denominador común más bajo cuando un dispositivo 802.11g está transmitiendo al mismo tiempo como un 802.11 dispositivo de n. En nuestro ejemplo, sala de conferencias, los usuarios sólo van a utilizar los ordenadores portátiles recientemente adquiridos propiedad de la compañía que son todos capaces de 802.11n, por lo 802.11n es la mejor opción.
Intra-BSS Comunicación Si Permitir la comunicación intra-BSS está marcada, los clientes inalámbricos estarán capaz de ver directamente entre sí. Si los clientes sólo tendrán acceso a Internet, normalmente es más seguro para desactivar esta opción. En este escenario, los usuarios en la sala de conferencias pueden necesitar compartir archivos de ida y vuelta directamente entre ordenadores portátiles, por lo que este se mantendrán comprobado.
Habilitar WME Extensiones multimedia inalámbricas, o WME, es una parte de la estándar inalámbrico que ofrece algunos Calidad de Servicio para el tráfico inalámbrico fi co para asegurar una correcta entrega de contenidos multimedia. Se requiere para 802.11n para operar, pero es opcional para las normas más antiguas. Esta característica no es compatible con todas las tarjetas / controladores.
Hide SSID Normalmente, el AP transmitirá su SSID para que los clientes puedan localizar y asociarse con él fácilmente. Esto es considerado por algunos como un riesgo de seguridad, anunciando a todos los que están escuchando que una red inalámbrica está disponible, pero en la mayoría de los casos la comodidad es mayor que el (insignificante) riesgo para la seguridad. Los beneficios de la desactivación de SSID de difusión son exagerados por algunos, ya que en realidad no ocultar la red de cualquier persona capaz de utilizar muchas herramientas de seguridad inalámbrica de libre disposición que fi fácil encontrar este tipo de redes inalámbricas. Para nuestra sala de conferencias AP, vamos a dejar esta opción sin marcar para que sea más fácil para los asistentes de la reunión de encontrar y utilizar el servicio.
Encriptación inalámbrica (WPA) Hay dos tipos de cifrado son compatibles con las redes 802.11: WPA, y WPA2. WPA2 con AES es el más seguro. Incluso cuando no preocuparse por cifrar el exceso de tráfico por el aire fi c (que debe ser hecho), proporciona un medio adicional de control de acceso. Todas las tarjetas inalámbricas modernas y controladores soportan WPA2. Advertencia: Las debilidades de cifrado inalámbrico WEP tiene problemas de seguridad graves conocida desde hace años, y soporte para WEP se ha eliminado de pfSense. Es posible obtener la clave WEP en cuestión de minutos como máximo, y nunca se debe confiar en la seguridad. Si se requiere WEP, un punto de acceso externo debe ser utilizado.
TKIP (Temporal Key Integrity Protocol), que forma parte de AES, se convirtió en un sustituto de WEP después de que se rompió. Se utiliza el mismo mecanismo subyacente como WEP, y por lo tanto es vulnerable a algunos ataques similares. Estos ataques se han vuelto más práctico y TKIP ya no se considera seguro. TKIP nunca debe usarse a menos que los dispositivos están presentes que son incompatibles con WPA o WPA2 usando AES. WPA y WPA2 en combinación con AES no están sujetos a estas fl AWS en TKIP.
En este ejemplo, el ConfRoom inalámbrico debe asegurarse con WPA2.
492
Capítulo 24. inalámbrica
El libro pfSense, Liberación
Habilitar Esta casilla de verificación permite WPA o el cifrado WPA2, así que debe ser comprobado WPA Pre-Shared Key Introduzca la clave inalámbrica deseada, en este ejemplo excoconf213.
Modo WPA WPA o WPA2, en este ejemplo, WPA2 Modo de administración de claves WPA Puede ser Pre-Shared Key ( PSK) o Protocolo de autenticación extensible
(EAP). En este ejemplo, PSK es su fi ciente. WPA por parejas Esto casi siempre se debe establecer en AES, debido a las deficiencias en TKIP mencionado previamente.
Grupo de rotación de clave Esta opción permite configurar la frecuencia con las claves de cifrado de difusión / multidifusión
(Grupo Transient Key, GTK) se hacen girar, en segundos. Puede ser cualquier valor de 1 a 9999 pero debe ser más corto que el Regeneración grupo Llave Maestra valor. El valor por defecto de 60 Seconds (un minuto) es adecuado. Los valores más bajos pueden ser más seguro, pero pueden atascar las cosas con cambio de claves frecuente.
Regeneración grupo Llave Maestra Este parámetro controla la frecuencia, en segundos, la llave maestra (Grupo Llave maestra, GMK) utilizado internamente para generar GTK se regenera. Puede ser cualquier valor de 1 a
9999 pero debe ser más largo que el Grupo de rotación de clave valor. El valor por defecto de 3600 segundos (una hora) es adecuada. Regeneración clave estricta Esta opción hace que el cortafuego para cambiar el GTK cada vez que un cliente sale de la punto de acceso, al igual que el cambio de las contraseñas cuando sale de un empleado. Puede haber una ligera pérdida de rendimiento en los casos donde hay una alta rotación de clientes. En los casos en que la seguridad no es una preocupación primordial, esto se puede dejar desactivado.
La autenticación IEEE 802.1X (WPA Empresa)
Otro tipo de seguridad inalámbrica soportado se conoce como la autenticación IEEE 802.1X, o más comúnmente conocido como WPA Empresa o WPA2
Enterprise. Este modo permite utilizar una entrada de nombre de usuario y una contraseña más tradicional con el fin de obtener acceso a la red inalámbrica. El inconveniente es que esta autenticación debe hacerse a través de servidores RADIUS. Si un servidor RADIUS existente es ya presente o fácilmente desplegado, puede ser una fuente viable de control de acceso inalámbrico. En este ejemplo, 802.1X no se utiliza, pero se explican las opciones.
Ver también:
los FreeRADIUS2 paquete de pfSense puede ser utilizado para este propósito.
Nota: Algunos sistemas operativos más antiguos no pueden manejar adecuadamente 802.1X o pueden tener largos retrasos después de intentos fallidos autenti- cación, pero no son típicamente soluciones para esos problemas a través de actualizaciones del sistema operativo o parches.
Los clientes también deben ser con fi gurada para acceder correctamente el servicio. Algunos pueden recoger los ajustes adecuados de forma automática, otros pueden necesitar configurar para un modo específico (por ejemplo, PAEP) o puede necesitar certi fi cados cargados. Los valores especí fi cos dependen de la configuración del servidor RADIUS.
Para empezar a utilizar la autenticación 802.1X, fi establece primero Administración de claves WPA a Protocolo de autenticación extensible.
Habilitar la autenticación 802.1X Cuando se activa, el soporte de autenticación 802.1X está habilitada y es necesaria de los clientes.
Primaria 802,1 servidor El servidor preferido para la autenticación 802.1X.
Dirección IP La dirección IP del servidor RADIUS prefiere usar para el cliente 802.1X authentication. Puerto El puerto sobre el que contactar con el servidor RADIUS para las solicitudes de autenticación, typcamente 1812.
24.6. pfSense como un Punto de Acceso
493
El libro pfSense, Liberación
Secreto compartido La contraseña a usar cuando se comunica con el servidor RADIUS este fi cortafuegos. Este debe coincidir con el secreto de fi nida compartida para este fi cortafuegos en el servidor RADIUS.
Servidor secundario 802.1X Los mismos parámetros como anteriormente, pero para un servidor RADIUS secundario en caso
la primera es inalcanzable. Autenticación de Roaming PREAUTH Esta opción configura la autenticación previa para acelerar el roaming entre puntos de acceso. Esto llevará a cabo parte del proceso de autenticación antes de que el cliente se asocia plenamente a facilitar la transición.
Acabado Ajustes de AP Los valores anteriores son suficientes para obtener un punto de acceso inalámbrico se ejecuta con 802.11n con el cifrado WPA2 + AES. Cuando los ajustes, haga clic Salvar, entonces Aplicar cambios.
Con fi guración DHCP Ahora que una red totalmente independiente ha sido creado, DHCP debe estar habilitado para proporcionar automáticamente aso- ing clientes inalámbricos una dirección IP. Vaya a Servicios> Servidor DHCP, clic en la pestaña de la interfaz inalámbrica ( ConfRoom para este ejemplo). Marque la casilla para Habilitar, establecen lo rango de tamaño será necesario y, cualquier opción adicional que desee y pulse Salvar y Aplicar cambios. Para más detalles sobre la con fi gurar el servicio DHCP, consulte Servidor DHCP IPv4 .
Adición de reglas Firewall Desde esta interfaz inalámbrica es una interfaz OPT, tendrá ninguna regla fi cortafuego por defecto. Por lo menos hay que añadir una regla para permitir trá fi co de esta subred a cualquier destino. Dado que los usuarios de las salas de conferencias tendrán acceso a Internet y acceso a otros recursos de la red, un defecto regla de permiso será definir en este caso. Para crear la regla:
• Navegar a Cortafuegos> Reglas • Haga clic en la ficha de la interfaz inalámbrica ( ConfRoom para este ejemplo).
•
Hacer clic
Añadir y con fi gurar una regla de la siguiente manera:
Interfaz ConfRoom Protocolo Alguna
Fuente ConfRoom neto
Destino Alguna •
Hacer clic Salvar
• Hacer clic Aplicar también cambia Ver: Para obtener más información sobre la creación de reglas fi cortafuego, véase firewall .
La asociación de Clientes
El recientemente con fi gura pfSense AP debería aparecer en la lista de puntos de acceso disponibles desde un dispositivo inalámbrico, asumiendo la difusión del SSID no se ha desactivado. Un cliente ahora debe ser capaz de asociarse con ella como lo haría con cualquier otro
494
Capítulo 24. inalámbrica
El libro pfSense, Liberación
punto de acceso. El procedimiento exacto puede variar entre los sistemas operativos, dispositivos y controladores, pero la mayoría de los fabricantes han simplificado el proceso para que sea sencillo para todos.
Visualización del estado del cliente inalámbrico
Cuando una interfaz inalámbrica es con fi gurado para el modo de punto de acceso, los clientes asociados serán listados en Estado> de alambre menos.
Una protección adicional para una red inalámbrica Además de una fuerte fromWPA2 cifrado con AES, algunos usuarios les gusta emplear una capa adicional de cifrado y autenticación para permitir el acceso a los recursos de red. Las dos soluciones son más comúnmente desplegados portal cautivo y Redes privadas virtuales . Estos métodos pueden emplearse si se utiliza un punto de acceso externo en una interfaz OPT o una tarjeta inalámbrica interna como el punto de acceso.
Nota: En teoría, el servidor PPPoE también podría ser utilizado en este papel, pero el apoyo sería imposible en algunos clientes y no trivial en la mayoría de los demás, por lo que no suele ser una opción viable cuando se combina con la tecnología inalámbrica.
protección inalámbrica adicional portal cautivo Al permitir portal cautivo en la interfaz en la que reside la radio, la autenticación puede ser necesario para que los usuarios puedan acceder a los recursos de red más allá del cortafuego. En las redes corporativas, esto se implementa habitualmente con la autenticación RADIUS para Microsoft Active Directory para que los usuarios pueden usar sus credenciales de Active Directory para autenticar mientras que en la red inalámbrica. Portal cautivo con fi guración está cubierto de portal cautivo .
Nota: Si el único requisito es la autenticación RADIUS por usuario, una mejor solución para RADIUS es 802.1X en lugar de utilizar portal cautivo, a menos que haya clientes actuales que no soportan 802.1X.
Portal cautivo es más probable que se utilicen en las redes inalámbricas de acceso abierto o limitadas, tales como los de un hotel, un restaurante o establecimiento similar en el que o bien no hay cifrado activado o una tecla de conocimiento común / compartido.
Una protección adicional con VPN La adición de portal cautivo ofrece otra capa de autenticación, pero no ofrece ninguna protección adicional contra el espionaje de la tecnología inalámbrica de trá fi co. Necesidad de una conexión VPN antes de permitir el acceso a la red interna e Internet añade otra capa de autenticación, así como una capa adicional de cifrado para el tráfico inalámbrico fi co. La con fi guración para el tipo elegido de VPN no será diferente de un acceso remoto con fi guración, pero las reglas de cortafuego debe ser con fi gura en la interfaz pfSense para permitir únicamente VPN trá fi co de los clientes inalámbricos.
Con fi gurar reglas fi cortafuego para IPsec
Figura Reglas para permitir que sólo IPsec desde inalámbrico muestra las normas mínimas requeridas para permitir sólo el acceso a IPsec en la dirección IP de la interfaz WLAN. Pings a la dirección IP de la interfaz WLAN también están autorizados para ayudar en la resolución de problemas.
Con fi gurar reglas fi cortafuego para OpenVPN Figura Reglas para permitir que sólo OpenVPN desde inalámbrico muestra las normas mínimas requeridas para permitir el acceso sólo a Open- VPN en la dirección IP de la interfaz WLAN. Pings a la dirección IP de la interfaz WLAN también están autorizados para asistir en
24.7. Una protección adicional para una red inalámbrica
495
El libro pfSense, Liberación
Fig. 24.6: Reglas para permitir sólo IPsec desde inalámbrico
solución de problemas. Esto supone que el valor por defecto el puerto UDP 1194 está en uso. Si se eligió otro protocolo o puerto, ajustar la regla en consecuencia.
Fig. 24.7: Reglas para permitir sólo OpenVPN desde inalámbrico
Con fi gurar un Secure Wireless Hotspot Una empresa u organización puede desear proporcionar acceso a Internet a los clientes o clientes utilizando una conexión a Internet existente. Esto puede ser una gran ayuda para los clientes y los negocios, pero también puede exponer a la red privada existente para atacar si no se hace correctamente. Esta sección cubre los medios comunes de proporcionar acceso a Internet a los clientes y clientes, al tiempo que protege la red interna.
enfoque de múltiples cortafuegos fi
Para la mejor protección entre una red privada y una red pública, obtener al menos dos direcciones IP públicas desde el ISP y usar un segundo cortafuego para la red pública. Para acomodar esto, coloque un interruptor entre la conexión a Internet y la interfaz WAN de ambos rewalls fi.
Esto tiene el beneficio añadido fi t de poner la red pública en una dirección IP pública diferente de la red privada, por lo que si se recibe una denuncia de abuso, es fácil saber el origen. El cortafuego proteger la red privada verá la red pública de manera diferente que cualquier host de Internet y viceversa.
enfoque único cortafuegos fi En entornos en los que el enfoque múltiple fi cortafuegos es el costo prohibitivo o de otra manera indeseable, la red interna todavía puede ser protegida mediante la conexión de la red pública a una interfaz OPT en un cortafuego corriendo pfSense. asignar una
496
Capítulo 24. inalámbrica
El libro pfSense, Liberación
dedicada subred IP privada a esta interfaz OPT, y con fi gurar sus reglas fi cortafuego para permitir el acceso a Internet, pero no la red interna. En Reglas
para permitir sólo el acceso a Internet inalámbrico de las reglas fi cortafuego permiten a los clientes llegan al cortafuego para solicitudes DNS y solicitud de eco ICMP (ping), pero impiden todo acceso a otras redes privadas. El alias RFC1918 referencia en la figura incluye la lista de redes privadas RFC1918, 192.168.0.0/16, 172.16.0.0/12, y 10.0.0.0/8.
Fig. 24.8: Reglas para permitir sólo el acceso a Internet inalámbrico de
de control de acceso y egreso fi consideraciones ltrado Aparte de no permitir trá fi co de la red de acceso público a la red privada, hay cosas adicionales a considerar en la con fi guración de un punto de acceso.
Restringir el acceso a la red Mientras que muchos puntos de acceso utilizan redes inalámbricas abiertas sin ningún otro tipo de autenticación, considere protecciones adicionales para pre abuso de la red de ventilación. En inalámbrico, considere el uso de WPA o WPA2 y proporcionar la frase de contraseña para huéspedes o clientes. Algunas empresas toman este enfoque muestran la frase de contraseña en un cartel en el vestíbulo o zona de espera, publicado en una habitación de invitados, o le proporcionan a petición. También considerar la implementación de portal cautivo en pfSense (cubierto en portal cautivo ). Esto ayuda a evitar que la gente de otros o fi cinas y fuera del edificio del uso de la red inalámbrica, incluso si es de libre acceso.
Desactivar la comunicación intra-BSS Si el punto de acceso permite, desactivar la comunicación intra-BSS. Esta opción también se llama a veces “Cliente AP Iso-ción”. Esto evita que los clientes inalámbricos se comuniquen con otros clientes inalámbricos directamente, lo que protege a los usuarios contra ataques intencionales de otros usuarios inalámbricos, así como los no intencionales, como los gusanos. Intra-BSS comunicación puede ser necesario para ciertas funciones, tales como impresoras inalámbricas, dispositivos Chromecast o en casos similares cuando dos dispositivos inalámbricos deben hablar directamente el uno al otro, pero esto es raramente necesaria en el contexto de un punto de acceso público.
Egreso fi ltrado Considere qué tipo de política de egreso para con fi gura. El más básico, lo que permite el acceso a Internet sin permitir el acceso a la red privada, es probable que las restricciones adicionales, pero más comúnmente desplegados considerar.
24.8. Con fi gurar un Secure Wireless Hotspot
497
El libro pfSense, Liberación
Para evitar que la dirección IP pública del negro fi cortafuegos que aparece debido a los sistemas que visitan infectadas que actúan como robots de spam, considere el bloqueo de SMTP. Varios ISPs grandes ya se bloquean saliente SMTP porque los clientes se han trasladado a usar el acceso autenticado en el puerto de presentación (587) en lugar de utilizar el puerto 25 directamente. Una alternativa que todavía permite que las personas utilizan su correo electrónico SMTP, pero limita el efecto de los robots de spam es crear una regla de permiso para SMTP y especificar Máximo de entradas de estado por host debajo Opciones avanzadas al editar la regla fi cortafuegos. Asegúrese de que la regla está por encima de cualquier otra norma que se correspondería con SMTP trá fi co, y especificar un límite bajo. Puesto que las conexiones pueden no siempre estar debidamente cerradas por el cliente de correo o servidor, no realice este ajuste demasiado bajo para evitar el bloqueo de los usuarios legítimos, pero un límite de cinco conexiones deben ser razonables. Máximo de entradas de estado por host se pueden establecer en todas las reglas fi cortafuego, pero tenga en cuenta que algunos protocolos requieren decenas o cientos de conexiones para funcionar. HTTP y HTTPS pueden requerir numerosas conexiones para cargar una sola página web en función del contenido de la página y el comportamiento del navegador, por lo que no fijan los límites demasiado bajos.
Equilibrar los deseos de los usuarios frente a los riesgos inherentes a la concesión de acceso a Internet para los sistemas no controlados, y definen una política que fi cios del medio ambiente.
Solución de problemas de conexiones inalámbricas Cuando se trata de hilos, hay una gran cantidad de cosas que pueden salir mal. A partir de conexiones de hardware defectuosos a interferencias de radio con software / controladores incompatibles, o desajustes ajustes simples, todo es posible, y puede ser un desafío para hacer que todo funcione en el primer intento. Esta sección cubre algunos de los problemas más comunes que han sido encontrados por los usuarios y desarrolladores de pfSense.
Compruebe la antena Antes de gastar tiempo a diagnosticar un problema, dobles y triples comprobar la conexión de la antena. Si se trata de un tipo de rosca, asegurarse de que está completamente apretado. Para las tarjetas mini-PCI, asegúrese de que los conectores de cable flexible son conectados correctamente y encajar en su lugar. Coletas en las tarjetas mini-PCI son frágiles y fáciles de romper. Después de desconectar y reconectar coletas un par de veces, pueden necesitar ser reemplazados.
Comprobar el estado inalámbrico El estado de los clientes inalámbricos conectados y puntos de acceso cercanos se puede ver mediante la navegación a Estado> Inalámbrico.
Esta opción de menú sólo aparece cuando una interfaz inalámbrica está presente y activado. En esta página, haga clic Volver a analizar y luego actualizar la página después de 10 segundos para ver otros puntos de acceso cercano. Si están en el mismo o un canal cercano, podría haber interferencias.
En la lista de clientes asociados, varias banderas fl se enumeran que explican las capacidades del cliente conectado. Por ejemplo, si el cliente tiene una “H” banderín, esto indica de alto rendimiento utilizado por 802.11n. Si un cliente está conectado sin que banderín, que pueden estar usando un estándar más baja mayor. UN la lista completa de AGS fl inalámbricos se pueden encontrar en el wiki, incluyendo descripciones capacidad de punto de acceso.
Tratar con múltiples clientes o tarjetas inalámbricas Para eliminar una posible incompatibilidad entre las funciones inalámbricas en pfSense y un cliente inalámbrico, asegúrese de probar con varios dispositivos o tarjetas de primera fi. Si el mismo problema se puede repetir con varias marcas y modelos diferentes, es más probable que sea un problema con la con fi guración o hardware relacionado que el dispositivo cliente.
498
Capítulo 24. inalámbrica
El libro pfSense, Liberación
Intensidad de la señal es baja Si la señal es débil, incluso cuando la antena cerca del punto de acceso, compruebe la antena de nuevo. Para las tarjetas mini-PCI o mini-PCIe, si sólo hay un cable flexible en el uso y hay dos conectores internos, intente conectar el cable flexible hasta el otro conector interno de la tarjeta. También tratar de cambiar la Canal o el ajuste de la La potencia de transmisión, o el Configuración de antena en la interfaz inalámbrica con fi guración. Para las tarjetas mini-PCI y mini-PCIe, la verificación de extremos rotos de los conectores del cable flexible frágiles en los que se conectan a la tarjeta. Si el Dominio regulatorio ajustes no han sido con fi gurado, los puso antes de probar de nuevo.
Errores Beacon Stuck Si se encuentra un error “Stuck Beacon” en el sistema o registro inalámbrico, por lo general es una indicación de que el canal inalámbrico elegido es demasiado ruidoso:
kernel: ath0: faro atascado; REPOSICION (bmiss recuento de 4) La sensibilidad de este comportamiento se puede ajustar mediante la adición de una entrada de sistema sintonizable para hw.ath.bstuck con un valor de
8 o mas alto. Si los errores persisten, utilice una aplicación de encuesta WiFi o programa para determinar un canal abierto o menos-usado en vez de usar el canal actual.
Interfaz disponible para asignación Si una interfaz inalámbrica no aparece en la lista de interfaces Interfaces> (asignar) hay dos cuestiones possibile: Si se admite la tarjeta inalámbrica, una instancia inalámbrica primero debe crearse como se describe en Creación y gestión de instancias de Wireless . Una vez que se crea la instancia, que estará disponible para su asignación.
Si no se admite la tarjeta inalámbrica, no estará disponible para la selección como una interfaz padres al crear una instancia inalámbrica.
pfSense incluye construido en capacidades inalámbricas que permiten a un software de pfSense correr fi cortafuegos que se convirtió en un punto de acceso inalámbrico, para utilizar una conexión inalámbrica 802.11 como una conexión WAN, o ambos. En este capítulo se explica cómo con fi gura pfSense para estas funciones, así como medios sugeridos de acomodar de forma segura los puntos de acceso inalámbricos externos y cómo implementar de forma segura un punto de acceso inalámbrico. Una cobertura en profundidad de 802.11, en general, está fuera del alcance de este libro. Para aquellos que buscan dicha información, recomendamos el libro Redes inalámbricas 802.11: La guía definitiva fi De .
Ver también:
Los clientes con una pfSense Suscripción Oro puede acceder al Hangouts Archivo para ver el Hangouts se pueden 2015 sobre puntos de acceso inalámbrico.
24.9. Solución de problemas de conexiones inalámbricas
499
El libro pfSense, Liberación
500
Capítulo 24. inalámbrica
CAPÍTULO
VEINTICINCO
portal cautivo
Zonas portal cautivo las zonas de portal cautivo de fi ne portales separados para diferentes conjuntos de interfaces. Por ejemplo, LAN inalámbrica y podrían utilizar un solo portal, mientras que una sala de conferencias obtendría una página de portal por separado. Cada zona tiene una configuración independiente para páginas HTML, autenticación, direcciones permitidas, y así sucesivamente. Una zona debe ser creado antes de que sus ajustes se pueden cambiar.
Nota: Una zona puede tener múltiples interfaces, pero una interfaz sólo puede ser un miembro de una zona. El intento de añadir la misma interfaz para múltiples zonas se traducirá en un error.
Gestión de zonas portal cautivo zonas de portal cautivo se gestionan a Servicios> portal cautivo. Una lista de zonas se muestra allí, y se puede añadir zonas, editado o eliminado de esa lista. Para crear una nueva zona de portal cautivo:
• Navegar a Servicios> portal cautivo
•
Hacer clic
Añadir
• Entrar a Nombre de la zona, que sólo puede consistir en letras, dígitos, números y subrayados. Espacios y otros caracteres especiales no se pueden utilizar
•
Introduzca una opcional Descripción de la zona para describir adicionalmente la zona, si se desea
• Hacer clic Guardar continuar para pasar a la configuración de portal para la zona
Para editar una zona existente, haga clic
Para eliminar una zona existente, haga clic
al final de su fila.
al final de su fila y haga clic en para confirmar la acción.
Escenarios comunes portal cautivo Los siguientes son algunos escenarios comunes, básicos para el uso de un portal cautivo. Los detalles de cómo llevar a cabo todas las acciones descritas serán cubiertos en este capítulo.
501
El libro pfSense, Liberación
Portal de Con fi guración sin autenticación Para un simple portal sin autenticación: • Crear una zona nueva • Comprobar Habilitar portal cautivo • Seleccione una Interfaz • Sube una página HTML con los contenidos del portal como se describe en página de portal sin autenticación •
Hacer clic Salvar
opciones con fi guración adicionales pueden ser agregados como se detalla en Zona de Con fi guración Opciones .
Portal de Con fi guración Uso de la autenticación local o vales Para configurar un portal con autenticación local:
• Crear una zona • Comprobar Habilitar portal cautivo • Seleccione una Interfaz • Ajuste método de autentificación a Administrador de usuarios / vales locales
• Sube una página HTML con los contenidos del portal como se describe en página de portal con autenticación . opciones con fi guración adicionales pueden ser agregados como se detalla en Zona de Con fi guración Opciones . Luego con fi gurar los usuarios locales en el Administrador de usuarios ( Gestión de usuarios y autenticación ). Para utilizar vales, proceder a la vales pestaña y crear allí. Ver vales para más información sobre vales, y utilizando un código portal de muestra de la página HTML a partir de página de portal con vales .
Portal de Con fi guración Uso de la autenticación RADIUS Para configurar un portal mediante la autenticación RADIUS:
• Con fi gura el servidor RADIUS para permitir que las solicitudes del cortafuego • Crear una zona • Comprobar Habilitar portal cautivo • Seleccione una Interfaz • Ajuste método de autentificación a La autenticación RADIUS
• Complete los ajustes de Servidor RADIUS primaria debajo Fuente de autenticación primaria Lea la siguiente sección para obtener información sobre las opciones de con fi guración especí fi cos.
Zona de Con fi guración Opciones En esta sección se describe cada una de las opciones de con fi guración portal cautivo. Estas opciones están disponibles una vez a la zona de portal cautivo ha sido creada bajo Servicios> portal cautivo. todas estas opciones funcionan independientemente uno del otro para cada zona. Por ejemplo, el permitido direcciones IP especificados en una zona que sólo afectan a una zona.
502
Capítulo 25. portal cautivo
El libro pfSense, Liberación
Interfaz Determina las interfaces que estarán activas para esta zona de portal cautivo. Esta no poder ser una interfaz WAN. Puede ser una interfaz de puente con tal de que es el puente real (por ejemplo, bridge0) y la interfaz de puente tiene una dirección IP asignada.
número máximo de conexiones simultáneas Especi fi ca el número máximo de conexiones simultáneas al servidor de portal web por dirección IP. El valor por defecto es 4, que es su fi ciente para la mayoría de entornos. Este límite existe para evitar que un único host de agotar todos los recursos en el cortafuego, ya sea accidental o intencional. Un ejemplo en este otro modo sería un problema es un huésped infectado con un gusano. Los miles de conexiones emitidos hará que la página de portal cautivo que se generen varias veces si el anfitrión no está autenticado ya que de otra manera generar tanta carga que dejaría la fi cortafuegos no responde.
Tiempo de inactividad Un tiempo de espera, se especifica en minutos, después de lo cual se desconectarán los usuarios inactivos. Los usuarios pueden conectarse espalda en forma inmediata. tiempo de espera dura Un tiempo de espera, se especifica en minutos, lo que fuerza cerrar la sesión usuarios después de un período fi cado. Ya sea un disco de tiempo de espera, tiempo de inactividad o ambos se debe ingresar a garantizar que las sesiones se eliminan si los usuarios no cierran la sesión, como la mayoría de los usuarios probablemente no lo hará. Los usuarios serán capaces de entrar de nuevo inmediatamente después del tiempo de espera difícil si sus credenciales siguen siendo válidos (para cuentas locales, no caducado, y para la autenticación RADIUS, el usuario todavía puede autenticar correctamente a RADIUS).
Nota:
Si se establece un valor de tiempo de espera, el tiempo de espera debe ser menor que el tiempo de concesión DHCP o sesiones de portal cautivo
puede permanecer activo para direcciones IP que han cambiado a diferentes dispositivos. Ajuste del tiempo de espera inferior se asegurará de que las sesiones portal terminan antes de que el contrato de arrendamiento se reasignará a un nuevo cliente.
De paso a través de créditos Estos créditos dan los dispositivos de un período de gracia antes de que deben autenticarse a través de la
portal. Por ejemplo, un dispositivo podría conectar 3 veces en un día sin ver la página del portal, pero nada más que eso y que necesitan para iniciar sesión. Al establecer el tiempo de espera dura a un valor como 1 hora, el cliente efectivamente se limitaría a tres horas de acceso antes de tener que autenticarse. Por defecto está desactivada, y todos los clientes se presentan con la página de inicio de sesión del portal y debe iniciar sesión.
Nota: Para que esto sea efectivo, establecer un tiempo de espera dura y / o tiempo de espera.
Pase-a través de créditos permitidos por la dirección MAC El número de veces que una especificidad c dirección MAC puede conecte a través del portal. Una vez que se agota, el cliente sólo puede iniciar sesión con credenciales válidas hasta que el período de espera se especi fi ca a continuación ha expirado.
período de espera para restablecer los créditos de paso a través El número de horas después de lo cual los clientes tendrán su
créditos disponibles de paso a través restaurados a la cuenta original después de usar el primer uno. Esto debe estar por encima 0 horas si los créditos de paso a través se habilitan.
Restablecer período de espera de intento de acceso Si está activado, el período de espera se restablece a la duración original
si se intenta acceder cuando todos los créditos de paso a través que ya se han agotado. Esto evitará que las personas que intentan repetidamente para acceder al portal de acceso abierto demasiado rápido. Salir ventana emergente Cuando se activa, un cierre de sesión ventana emergente se muestra al usuario, que permite a los clientes desconectar explícitamente a sí mismos antes de que ocurra el tiempo de inactividad o dura. Por desgracia, ya que la mayoría de los navegadores tienen bloqueadores de pop-up está activada, esta ventana puede no funcionar para la mayoría de los clientes a menos que el portal puede ser excluido de bloqueo de ventanas emergentes en su navegador.
URL de redireccionamiento pre-autenticación Como su nombre lo indica, esta opción redirige a los usuarios a la URL especificada fi
antes de se autentican. Comúnmente, esto se utiliza para mostrar una página de destino personalizada que describe la ubicación del dispositivo alojado en un servidor local o en otro lugar que la página de destino debe contener un enlace que a su vez vuelve a dirigir a los usuarios de nuevo a la página del portal, por ejemplo, http: // xxxx: 8002 / index.php. Ver también:
25.3. Zona de Con fi guración Opciones
503
El libro pfSense, Liberación
Ver Los nombres de host permitido para permitir que los nombres de host a través del portal sin necesidad de autenticación, y Permitió que la dirección IP para las direcciones IP. La página de portal cautivo personalizada debe tener código adicional en la parte superior con el fin de manejar adecuadamente esta redirección.