Como configurar IPSec en PfSense 2

IPsec viene por default en muchos OS (Windows, Mac, etc) y dispositivos para permitirnos conectarnos y de forma segura acceder a nuestros equipos. PfSense trae entre otros, pptp, ipsec. Hoy les mostrare como crear un servicio de ipsec en nuestro pfsense para que nuestros usuarios móviles con android, ipad, iphone, etc puedan conectarse cuando estén fuera.

-Entramos a la web administrativa de pfsense y nos vamos al menú VPN - IPsec y activamos Enable IPsec.

-Pasamos a la pestaña Mobile clients y activamos:

•  IKE extensions
•  Colocamos una subred que no este en uso en nuestra LAN
•  Activamos Network list

Le damos click al boton Save.

-Nos devolvemos a la pestaña Tunnels y agregamos una fase 1 con los siguientes valores:

• Description
• Authentication method: Mutual PSK + Xauth
• Negotiation mode: aggressive
• My identifier: My IP address
• Peer identifier: User distinguished name: una direccion de email
• Pre-Shared Key: contraseña
• Policy Generation: default
• Proposal Checking: Obey
• Encryption algorithm: AES 128 bits
• Hash algorithm: SHA1
• DH key group: 2
• Lifetime: 86400
• NAT Traversal: enabled
• Dead Peer Detection: enabled DPD

Damos click a Save

 

-Creamos una fase 2 debajo de la fase 1 que acabamos de crear

• Mode: Tunnel
• Local Network: LAN subnet
• Protocol: ESP
• Encryption algorithms: AES 128
• Hash algorithms: SHA1
• PFS key group: off
• Lifetime: 28800

Guardamos dando click en Save

-Debe quedarnos así

 

-Ya activo el servicio, nos vamos al menú Firewall - Rules y creamos una regla en la pestaña ipsec

-Nos vamos al menú Status - Services y verificamos este ejecutándose el servicio de ipsec, en este caso se llama racoon.

-Con esto ya tenemos el server IPsec listo, debemos crear una cuenta en el dispositivo o equipo que queramos conectar al pfsense, teniendo cuidado de colocar en el campo group name el email que colocamos anteriormente y en secret la contraseña de PSK.

Disfrútenlo

Como agrego sitios a squidGuard en pfsense

Ya tenemos un firewall pfsense, con proxy, reglas de filtrado y tenemos un usuario sin privilegios para administración básica. Ahora debemos ir afinando nuestros filtros en squidGuard para que esas paginas que se nos escaparon y no queremos que nuestros usuarios visiten queden atrapadas. Hoy les mostrare como.

-Entramos a la interfaz web de nuestro pfsense y nos vamos a Services - Proxy filter.

-Nos vamos a la pestaña Target categories y nos creamos una categoría dándole click al botón + a la derecha.

-Le colocamos un nombre, sitios a bloquear o permitir (en una categoría no pueden haber a la vez sitios a bloquear y a permitir, deben estar en categorías diferentes). Le decimos que guarde un log cuando se active y salimos dando click al botón Save. En mi ejemplo quiero bloquear dropbox.com.

-Nos vamos a la pestaña Common ACL y abrimos el listado de reglas dando click al botón > verde. Allí nos deben aparecer de primera nuestras categorías creadas. Le damos el permiso debido, es decir, whitelist, deny, allow o --- y guardamos con el botón Save.

-Aplicamos el cambio en la pestaña General settings dando click a Apply. Con esto ya debe estar bloqueando o dejando pasar las paginas de nuestras nuevas categorías.

Disfrútenlo.

Como filtrar contenido con squidGuard en pfsense 2 paso a paso

Para una oficina o hasta nuestra casa, siempre es bueno tener un firewall con posibilidad de filtrar paginas (empleados que visitan paginas indebidas o nuestros propios hijos). Hoy les mostrare como mediante squidGuard podemos llevar a cabo esto. Si no han instalado pfsense, aquí en este anterior articulo lo pueden ver y en este otro vemos como instalar squid.

NOTA: En este URL puedes leer este mismo articulo mas actualizado

-Instalamos desde el menú System - Packages.

-Instalamos squidGuard dándole click al botón de + a la derecha

-La instalación dependiendo del equipo, puede demorar unos minutos

-Vamos a Services - Proxy filter.

-Activamos el blacklist y URL de el fichero dándole click a Save. Tener en cuenta que es gratis solo para uso domestico. Habilitamos el servicio y los logs.

-Descargamos el file en la pestaña blacklist dándole click al botón Download.

-En Common ACL definimos reglas dándole click al botón verde en forma de play

-Habilitamos las reglas de la siguiente forma:

whitelist - permite siempre

deny - bloquea

allow - permite siempre y cuando no este bloqueada por otra regla

--- ignora esta categoría

-Siempre que hagamos un cambio, debemos regresar a la pestaña General settings y darle click al botón Apply para que tome el cambio.

-Activamos las ips que queremos no sean filtradas en el DHCP server en la pestaña LAN, estas no pueden estar en el rango que se entrega.

-Volvemos a la configuración de squidGuard y nos vamos a la pestaña Groups agregando una regla, en este ejemplo, de 2 equipos que no tendrán restricción.

-Agregamos las ips que ya colocamos en el DHCP server para que fueran static por medio de su mac address. En este caso como son continuas, las separamos con un guión -

-Le activamos un comentario y verificamos que la política por default es permitir todo

-Nos vamos a la pestaña Log y vemos como funciona squidGuard, así en caso dado podemos ajustar nuestras reglas.

Si te resulto útil este articulo, se social, haz un tweet, compártelo con otros por medio de los botones o sígueme en twitter , google+, facebook o email y podrás estar enterado de todas mis publicaciones.

Disfrútenlo.

Como instalar y configurar squid en pfsense 2

Continuando con pfsense, hoy les mostrare como instalar y configurar el paquete squid permitiéndonos un mejor uso de nuestro ancho de banda saliendo a Internet.

Configuraremos squid en modo transparente evitando tener que configurar en los equipos clientes una ip y puerto del servidor proxy pfsense. Comenzamos

NOTA: En este URL puedes leer este articulo mas actualizado

-Instalamos el paquete Squid desde el menú System - Packages

-Buscamos squid en la pestaña "Available Packages"

-Lo instalamos dándole click al botón + a la derecha de su descripción

-El proceso de instalación del squid

-Instalación completada con éxito

-Verificamos este instalado mirando en la pestaña "Installed Packages"

-Comenzamos a configurar dando click en "Services - Proxy server"

-En la pestaña "General" habilitamos los siguientes cambios:

Proxy Interface: LAN

Allow users on interface

Transparent Proxy

Enabled logging

Log Store Directory: /var/squid/logs

Proxy Port: 3128

Administrator email: email del administrador

Language: Spanish

Damos click en Save

-Pestaña "Cache Mgmt"

Hard disk cache size: 3000

Hard disk cache location: /var/squid/cache

Memory cache size: 512 En mi caso destino 512mb de RAM

Damos click en Save

-Verificamos este ejecutando squid en Status - Services

Y con esto ya tenemos funcionando squid en nuestro pfsense.
Si te resulto útil este articulo, se social, haz un tweet, compártelo con otros por medio de los botones o sígueme en twitter , google+, facebook o email y podrás estar enterado de todas mis publicaciones.

Disfrútenlo

Como instalar pfsense paso a paso

PFSense es un firewall multiproposito muy eficiente basado en FreeBSD y hoy les mostrare paso a paso como instalarlo de forma virtualizada en un servidor Proxmox. La ultima versión de pfsense a esta fecha es la 2.0

-Descargamos el ISO desde este URL y lo agregamos al repositorio de ISO de nuestro server proxmox. OJO, descomprimir primero el archivo y ahi subir el ISO al server proxmox. Dependiendo de el uso que le vayamos a dar sera las caracteristicas que debe tener, en mi caso para un firewall + proxy squid + squidguard creo un KVM con 2 tarjetas de red, 32 GB disco y 2048MB RAM.


-Iniciamos el server pfsense y entramos por la opción 1

 -Entramos por la opción I para una nueva instalación

 -Cambiamos a nuestro gusto configuración de video, screen y distribución de teclado

-En mi caso escojo teclado latinoamericano

-Guardamos los cambios

-Entramos por instalación fácil y rápida

 -Dependiendo de cuantos procesadores tenga nuestra maquina escogemos el kernel a instalar. Por default es multiproceso

-Reiniciamos el server

-Nos preguntan si configuraremos vlan, le decimos que no

-Definimos de las tarjetas de red, cual sera la WAN y cual la LAN

-Como no tenemos mas tarjetas de red, damos enter dejando vacío el campo de tarjeta opcional (ejemplo, para otra subred)

-Se nos muestra la distribución de WAN y LAN. Continuamos con y

-Llegamos a la consola y entramos por la opcion 2 para asignar ip's a nuestras 2 tarjetas de red

-En mi caso por motivos de prueba escojo 192.168.1.139  para la ip LAN (sugiero 192.168.1.1 o terminado en 254). Desactivo el DHCP (despues lo podemos habilitar si queremos) y le decimos que y para el webconfigurator

-Por seguridad reseteamos el password de admin a pfsense, el default, para cambiarlo via webconfigurator

-Abrimos un browser y accedemos por la ip LAN a nuestro server pfsense. Por default por primera vez podemos acceder como admin y pass pfsense. Es vital cambiarlo apenas entremos

-Esta es la interfaz web, basada en Ajax, podemos dar click sobre los links o pasar por encima el mouse y veremos comentarios u opciones

-Entramos por System - Advanced y cambiamos el nombre de nuestro server pfsense, sus DNS, etc

De esta forma tenemos ya funcional un firewall pfsense funcionando. En proximos articulos les mostrare como agregar otras opciones u ajustar partes.
Si te resulto útil este articulo, se social, haz un tweet, compártelo con otros por medio de los botones o sígueme en twitter , google+, facebook o email y podrás estar enterado de todas mis publicaciones.

Disfrutenlo