Instalando pfSense no ESXi

vmware-pfSense

O pfSense é um firewall / roteador de código aberto baseado no FreeBSD. No entanto, você pode fazer muito mais do que isso e assumir o papel de DNS, VPN, DHCP e muito mais.

No nosso cenário, o pfSense será usado como um firewall de borda com IPSec VPN, e também será usado como um firewall / roteador / DHCP.

Esse tutorial se concentrará na instalação do pfSense em uma máquina dedicada para ESXi, com vários IPs, com um dedicado ao pfSense, pois existem alguns detalhes para instalar o pfSense com um IP dedicado.

Pré-requisito:

– ESXi instalado e configurado no servidor dedicado.
– Acesso ao ESXi para configurar a rede em máquinas virtuais
– Um IP dedicado para a VM pfSense. Nesse caso, estamos usando um IP de failover da operadora, que permite vários IPs para o mesmo host.
– Um segundo IP dedicado para permitir o acesso SSH a uma VM que estará na LAN do pfSense VM, para permitir o acesso ao servidor da web (pode não ser necessário, mas é o que usaremos neste guia).

Configurações de rede

A primeira etapa será configurado a rede no ESXi para se conectar no VM pfSense.

Primeiro, criamos dois vSwitches. Um vSwitch é um comutador virtual no ESXi, que nos permitirá separar as duas redes que criaremos.

O primeiro, aqui chamado vSwitch0, será a rede WAN do host pfSense. Ele está conectado à NIC física do host ESXi.

A segunda, chamada LAN aqui, será a nossa rede LAN, que não está conectada a nenhuma NIC física no host, uma vez que a VM pfSense atuará como roteador, toda a conexão externa deve passar pelo pfSense.

Depois que os vSwitches são criados, precisamos criar um grupo de portas em cada vSwitch, para conectar as máquinas virtuais.

Como podemos ver, temos um grupo de portas chamado VM Network, que será o acesso à WAN do pfSense, conectado a uma NIC física.

Também temos um grupo de portas chamado LAN, que possui todas as nossas máquinas virtuais e não está conectado a nenhuma NIC física.

Instalação do pfSense

Você deve primeiro criar a VM no ESXi.

Você deve selecionar o FreeBSD como a versão do Sistema operacional convidado.

Em seguida, ao personalizar a configuração da VM, você deve configurar os dois adaptadores de rede, um para conectar-se à LAN e outro para conectar-se à rede WAN.

Ao configurar a interface WAN, você deve configurar o endereço MAC manualmente, fornecido com o IP dedicado.

Depois que tudo estiver configurado, você poderá instalar o pfSense na VM, com as configurações padrão durante a instalação.

Selecionar instalação

Selecione o layout do seu teclado

Selecione “Auto (UFS)” para a estrutura de partição ou selecione manual se desejar personalizar suas partições.

Agora você pode reiniciar no seu sistema

configuração pfSense

Uma vez iniciado no seu sistema, você deverá ver esta tela:

Você pode ver que o pfSense detectou automaticamente as interfaces e configurou a LAN, mas não a WAN.

Não podemos configurar a interface WAN a partir do console, pois ela não permite que uma sub-rede de / 32 seja criada a partir do console.

O que queremos fazer é acessar o shell (opção 8) e configurar manualmente as rotas para acessar a Internet.

Em seguida, selecione o shell e insira os comandos:

rota padrão

Isso removerá a rota padrão configurada pelo pfSense.

route add -net 42.42.42.1/32 -face em0

Você deve substituir 42.42.42.1/32 pelo IP do host ESXi dedicado, substituindo o último byte por 1.

Isso adicionará uma rota padrão à interface em0 (sua interface WAN).

rota adicionar padrão 42.42.42.1

Isso adicionará a rota criada anteriormente como a rota padrão para o seu sistema pfSense.

Acesse o WebConfigurator

Feito isso, você deve acessar o webConfigurator, que pode ser acessado apenas na LAN pfSense.

Para fazer isso, iniciamos uma VM do Ubuntu, que também possui duas placas de rede, uma conectada à LAN e outra conectada à mesma rede WAN que a VM pfSense.

O objetivo aqui é ter acesso externo à máquina virtual Ubuntu, para poder fazer um redirecionamento de porta SSH para nossa máquina, para obter acesso ao webConfigurator.

O servidor DHCP já está em execução, para que possamos configurar a interface para DHCP e fornecer um IP e configurar as rotas.

Agora precisamos acessar externamente, portanto, configuramos o IP dedicado na interface WAN na VM do Ubuntu e configuramos as rotas da mesma maneira que a VM do pfSense.

Depois de fazer isso, agora temos acesso à Internet na VM do Ubuntu:

Como temos acesso externo e configuramos o IP público, agora podemos fazer o SSH na máquina e redirecionar a porta 443 no servidor pfSense para o nosso PC, para que possamos acessar o webConfigurator.

Para fazer isso, redirecionamos a porta usando um comando SSH:

ssh -vNL 8080: 192.168.1.1: 443 usuá[email protected]

E agora, se visitarmos 127.0.0.1:8080, poderemos ver esta tela

Agora podemos fazer login com as credenciais padrão: admin / pfsense

Configurando o pfSense

Na primeira vez em que você se conectar ao webConfigurator, terá acesso ao assistente de configuração.

Clique em Next

Clique em Next

Digite o nome do host da VM pfSense, o domínio, se necessário, e um servidor DNS (aqui estamos usando o Google DNS) e Clique em avançar

Deixe o valor padrão no nome do host do servidor de horário.
Selecione o fuso horário e Clique em avançar

Esta página permitirá que você configure a interface WAN.
Selecionar estática

Você pode deixar as Configurações gerais em branco

Para o endereço IP, digite o IP dedicado que foi fornecido, com uma máscara de sub-rede de / 32.
O gateway deve ser o endereço IP do seu host ESXi, substituindo o último byte por 1
Deixe o restante em branco e clique em Avançar

Você pode deixar esses valores como padrões, pois poderá alterá-los mais tarde

Digite uma senha para a web

Clique em Recarregar

Agora que a configuração inicial está concluída, precisaremos configurar algumas regras NAT, para que a LAN possa acessar a Internet e tornar as regras de roteamento permanentes.

Nota: após configurar a interface da WAN, o pfSense pode excluir a rota que você configurou manualmente então nesse caso, você precisa inseri-la novamente.

Tornar as regras de roteamento persistentes

Como nossas regras de roteamento são adicionadas manualmente e não fica gravada depois que reinicializa, precisamos executar esses comandos na inicialização.

Felizmente, existe um pacote no pfSense que nos permitirá fazer isso.

Para instalar este pacote, vá para Sistema -> Gerenciador de Pacotes -> Pacotes disponíveis

Procure por ” shellcmd ” e instale-o

Depois de instalado, vá para Serviços -> Shellcmd e adicione os dois comandos de roteamento

Seu acesso à Internet agora funcionará após uma reinicialização.

Configuração NAT

Para a LAN acessar a Internet, precisamos configurar o NAT.

Vá para Firewall -> NAT -> Saída

Clique em Geração manual de regras NAT de saída e salve

Você precisa aplicar as alterações

Agora vamos criar nossa própria regra NAT.

Clique no botão Adicionar mais à esquerda

Selecione os seguintes parâmetros

– Interface : WAN
– Protocolo : qualquer
– Fonte : qualquer
– Destino : qualquer

Clique em Salvar

Aplique as alterações.

A VM do pfSense agora está configurada como um roteador para a LAN com um IP dedicado.

Deixe uma resposta