Instalando pfSense no ESXi

tela-vmware

O pfSense é um firewall / roteador de código aberto baseado no FreeBSD. No entanto, você pode fazer muito mais do que isso e assumir o papel de DNS, VPN, DHCP e muito mais.

No nosso cenário, o pfSense será usado como um firewall de borda com IPSec VPN, e também será usado como um firewall / roteador / DHCP.

Esse tutorial se concentrará na instalação do pfSense em uma máquina dedicada para ESXi, com vários IPs, com um dedicado ao pfSense, pois existem alguns detalhes para instalar o pfSense com um IP dedicado.

Pré-requisito:

– ESXi instalado e configurado no servidor dedicado.
– Acesso ao ESXi para configurar a rede em máquinas virtuais
– Um IP dedicado para a VM pfSense. Nesse caso, estamos usando um IP de failover da operadora, que permite vários IPs para o mesmo host.
– Um segundo IP dedicado para permitir o acesso SSH a uma VM que estará na LAN do pfSense VM, para permitir o acesso ao servidor da web (pode não ser necessário, mas é o que usaremos neste guia).

Configurações de rede

A primeira etapa será configurado a rede no ESXi para se conectar no VM pfSense.

vm-switch-esxi

Primeiro, criamos dois vSwitches. Um vSwitch é um comutador virtual no ESXi, que nos permitirá separar as duas redes que criaremos.

O primeiro, aqui chamado vSwitch0, será a rede WAN do host pfSense. Ele está conectado à NIC física do host ESXi.

A segunda, chamada LAN aqui, será a nossa rede LAN, que não está conectada a nenhuma NIC física no host, uma vez que a VM pfSense atuará como roteador, toda a conexão externa deve passar pelo pfSense.

Depois que os vSwitches são criados, precisamos criar um grupo de portas em cada vSwitch, para conectar as máquinas virtuais.

placa-rede-vmware-esxi

Como podemos ver, temos um grupo de portas chamado VM Network, que será o acesso à WAN do pfSense, conectado a uma NIC física.

topologia-switch-vmware2

Também temos um grupo de portas chamado LAN, que possui todas as nossas máquinas virtuais e não está conectado a nenhuma NIC física.

Instalação do pfSense

Você deve primeiro criar a VM no ESXi.

nova-virtual-machine
nova-virtual-machine2

Você deve selecionar o FreeBSD como a versão do Sistema operacional convidado.

nova-virtual-machine3

Em seguida, ao personalizar a configuração da VM, você deve configurar os dois adaptadores de rede, um para conectar-se à LAN e outro para conectar-se à rede WAN.

Ao configurar a interface WAN, você deve configurar o endereço MAC manualmente, fornecido com o IP dedicado.

Depois que tudo estiver configurado, você poderá instalar o pfSense na VM, com as configurações padrão durante a instalação.

instalando-pfsense

Selecionar instalação

instalando-pfsense-idioma

Selecione o layout do seu teclado

instalando-pfsense3

Selecione “Auto (UFS)” para a estrutura de partição ou selecione manual se desejar personalizar suas partições.

instalando-pfsense4

Agora você pode reiniciar no seu sistema

configuração pfSense

Uma vez iniciado no seu sistema, você deverá ver esta tela:

menu-pfsense

Você pode ver que o pfSense detectou automaticamente as interfaces e configurou a LAN, mas não a WAN.

Não podemos configurar a interface WAN a partir do console, pois ela não permite que uma sub-rede de / 32 seja criada a partir do console.

O que queremos fazer é acessar o shell (opção 8) e configurar manualmente as rotas para acessar a Internet.

Em seguida, selecione o shell e insira os comandos:

rota padrão

Isso removerá a rota padrão configurada pelo pfSense.

route add -net 42.42.42.1/32 -face em0

Você deve substituir 42.42.42.1/32 pelo IP do host ESXi dedicado, substituindo o último byte por 1.

Isso adicionará uma rota padrão à interface em0 (sua interface WAN).

rota adicionar padrão 42.42.42.1

Isso adicionará a rota criada anteriormente como a rota padrão para o seu sistema pfSense.

Acesse o WebConfigurator

Feito isso, você deve acessar o webConfigurator, que pode ser acessado apenas na LAN pfSense.

Para fazer isso, iniciamos uma VM do Ubuntu, que também possui duas placas de rede, uma conectada à LAN e outra conectada à mesma rede WAN que a VM pfSense.

O objetivo aqui é ter acesso externo à máquina virtual Ubuntu, para poder fazer um redirecionamento de porta SSH para nossa máquina, para obter acesso ao webConfigurator.

O servidor DHCP já está em execução, para que possamos configurar a interface para DHCP e fornecer um IP e configurar as rotas.

ip-show-pfsense

Agora precisamos acessar externamente, portanto, configuramos o IP dedicado na interface WAN na VM do Ubuntu e configuramos as rotas da mesma maneira que a VM do pfSense.

Depois de fazer isso, agora temos acesso à Internet na VM do Ubuntu:

ping-pfsense

Como temos acesso externo e configuramos o IP público, agora podemos fazer o SSH na máquina e redirecionar a porta 443 no servidor pfSense para o nosso PC, para que possamos acessar o webConfigurator.

Para fazer isso, redirecionamos a porta usando um comando SSH:

ssh -vNL 8080: 192.168.1.1: 443 usuá[email protected]

E agora, se visitarmos 127.0.0.1:8080, poderemos ver esta tela

pfsense-2.5

Agora podemos fazer login com as credenciais padrão: admin / pfsense

Configurando o pfSense

Na primeira vez em que você se conectar ao webConfigurator, terá acesso ao assistente de configuração.

wizard-pfsense

Clique em Next

wizard-pfsense2

Clique em Next

wizard-pfsense3

Digite o nome do host da VM pfSense, o domínio, se necessário, e um servidor DNS (aqui estamos usando o Google DNS) e Clique em avançar

wizard-pfsense4

Deixe o valor padrão no nome do host do servidor de horário.
Selecione o fuso horário e Clique em avançar

wizard-pfsense5

Esta página permitirá que você configure a interface WAN.
Selecionar estática

wizard-pfsense6

Você pode deixar as Configurações gerais em branco

wizard-pfsense7

Para o endereço IP, digite o IP dedicado que foi fornecido, com uma máscara de sub-rede de / 32.
O gateway deve ser o endereço IP do seu host ESXi, substituindo o último byte por 1
Deixe o restante em branco e clique em Avançar

wizard-pfsense8

Você pode deixar esses valores como padrões, pois poderá alterá-los mais tarde

wizard-pfsense9

Digite uma senha para a web

wizard-pfsense10

Clique em Recarregar

wizard-pfsense11

Agora que a configuração inicial está concluída, precisaremos configurar algumas regras NAT, para que a LAN possa acessar a Internet e tornar as regras de roteamento permanentes.

Nota: após configurar a interface da WAN, o pfSense pode excluir a rota que você configurou manualmente então nesse caso, você precisa inseri-la novamente.

Tornar as regras de roteamento persistentes

Como nossas regras de roteamento são adicionadas manualmente e não fica gravada depois que reinicializa, precisamos executar esses comandos na inicialização.

Felizmente, existe um pacote no pfSense que nos permitirá fazer isso.

Para instalar este pacote, vá para Sistema -> Gerenciador de Pacotes -> Pacotes disponíveis

Procure por ” shellcmd ” e instale-o

packager-pfsense

Depois de instalado, vá para Serviços -> Shellcmd e adicione os dois comandos de roteamento

route-add-pfsense

Seu acesso à Internet agora funcionará após uma reinicialização.

Configuração NAT

Para a LAN acessar a Internet, precisamos configurar o NAT.

nat-pfsense

Vá para Firewall -> NAT -> Saída

Clique em Geração manual de regras NAT de saída e salve

Você precisa aplicar as alterações

Agora vamos criar nossa própria regra NAT.

nat-pfsense2

Clique no botão Adicionar mais à esquerda

Selecione os seguintes parâmetros

– Interface : WAN
– Protocolo : qualquer
– Fonte : qualquer
– Destino : qualquer

Clique em Salvar

Aplique as alterações.

A VM do pfSense agora está configurada como um roteador para a LAN com um IP dedicado.

Deixe uma resposta