Archivo de la categoría: pfSense

Problemas impresión VPN IPSec PfSense

Hoy os traigo un problema que me ha traído de cabeza unos días, y que finalmente di con la solución, y por lo que he visto en otros foros en ingles, a varias personas les paso igual, os cuento que me sucedía, desde los servidores de uno de los sites del IPSec, no hacia Ping a las impresoras ni podía agregarlas ni imprimir ni nada, tras revisar configuración de MTU de MSS, el problema seguía siendo el mismo, desde la red donde estaban las impresoras, respondía a Ping e imprimía sin problemas, pero desde el otro lado nada.

Tras mucho indagar, descubrí, que la impresora en la red local, no estaba bien configurada, tenia una mascara que no correspondía y un GW que no era el correcto, reconfiguré la impresora con los parámetros correctos y boalá, todo comenzó a funcionar sin problemas.

Novedades en PfSense 2.6

Desde hace unas semanas, ya tenemos opción de actualizar nuestro PfSense a la versión 2.6, nosotros hemos actualizado a todos nuestros clientes y el funcionamiento es bueno, os animo a que actualicéis vuestros FW’s, en esta nueva versión tenemos varias mejoras significativas, que a continuación os detallamos:

  • Nuevo sistema de archivos ahora es ZFS
  • Mejoras en IPsec tanto la estabilidad como en el rendimiento de nuestros túneles VPN.
  • Nuevas opciones para la configuración de las retransmisiones IKE para VPN IPsec.
  • Solucionados problemas que había en la implementación de OpenVPN que nos hacían configurar 2 veces nuestro OpenVPN.
  • Nuevo Widget independiente del uso del disco, ya que antes lo teníamos en la información general.

Aquí os dejo un enlace, donde están detalladas por el fabricante todas as mejoras que tenemos en esta nueva versión de PfSense

Puertos llamadas WhatsApp en nuestro PfSense

Para poder realizar llamadas por WhatsApp con PfSense si tenemos el trafico saliente securizado, debemos de abrir los siguientes puertos:

  1. TCP: 53, 443, 5222, 5223, 5228
  2. UDP: 53, 3478

Para ello, debemos de crear la regla para permitir el trafico a estos puertos, previamente añadidos a alias:

  1. Protocolo: TCP
  2. Source: LAN net
  3. Port: *
  4. Destination: *
  5. Port: Puertos_WhatsApp
  6. Gateway: *

PfSense: Acceder mediante OpenVPN a un equipo por nombre sin tener un dominio de active directory

Hoy os traigo como se puede acceder a un equipo de nuestra red mediante OpenVPN sin tener un servidor de dominio ni un servidor de nombres DNS.

La configuración es muy sencilla, aunque he de reconocer que yo me estruje mucho la cabeza hasta que conseguí hacerlo funcionar, vamos a poner por ejemplo que la maquina a la que queremos acceder ser llama maquina1 y tiene la IP 192.168.1.10, a continuación os pongo los pasos:

  1. Nos vamos a services -> DNS Resolver
  2. Habilitamos el servidor para todas las Redes, tanto entrantes como salientes
  3. Marcamos DNSSEC, DNS Query Forwarding, DHCP Registration y OpenVPN Clients.
  4. En Host Overview, damos a añadir un Host.
    1. Host: maquina1
    2. Domain: local
    3. IP Adress: 192.168.1.10
    4. Descripción: Maquina1
  5. Guardamos todo y ahora nos vamos a: VPN -> OpenVPN
  6. Damos a editar nuestro servidor, y bajamos hasta, Advanced Client Settings
  7. Activamos DNS Default Domain y en DNS Default Domain ponemos local
  8. DNS Server 1 Ponemos nuestra IP del FW (Recordad en System -> General Setup) poner los DNS Servers públicos que más os gusten.

De esta manera podemos acceder por \\maquina1 cuando estemos conectados al OpenVPN de la oficina.

Puertos usados para Meter equipos al Dominio

Si en nuestra red, tenemos un Firewall que limita el acceso a los puertos, aquí os traigo los puertos de los diferentes protocolos que debemos de usar para unir los equipos a un Directorio Activo de Windows Server.

  1. 53 -> DNS (tcp, udp)
  2. 88 -> Kerberos (tcp)
  3. 135 -> Rpc (tcp)
  4. 139 -> Netbios (tcp)
  5. 389 -> LDAP (tcp, udp)
  6. 445 -> Microsoft-DS (tcp)

Permitir Ping entre equipos de la LAN PfSense

Cuando en la LAN activamos reglas para que solo estén permitidos ciertos puertos, nos encontramos que no podemos hacer ping a los equipos de la LAN, para ello debemos de crear una regla ICMP, y lo haremos de la siguiente manera:

  1. Vamos a Firewall -> Rules -> LAN
  2. Damos a añadir una nueva regla, y la configuramos con los siguientes valores:
    • Action: Pass
    • Interface: LAN
    • Protocol: ICMP
    • ICMP Subtypes: Echo Request
    • Source: LAN net
  3. Guardamos la regla y ya nos permite realizar ping entre los equipos de la red

Acceder a la red IPSEC desde el Firewall PfSense

Hoy me he encontrado con un problema al intentar acceder desde el PfSense a la red de la VPN IPSEC, el túnel es funcional pero no deja acceder desde el Firewall a la red del IPSEC, pues bien, aquí tenemos la solución a este problema:

  1. Vamos a System -> Routing y en el apartado Gateways, añadimos una nueva.
  2. Selecciona LAN en Interface
  3. Pon la LAN IP Adress en Gateway
  4. Deshabilita Gateway Monitoring
  5. Guardamos
  6. Ahora vamos a Static Routes y añadimos una
  7. En Destination Network, ponemos la red de la red IPSEC
  8. Selecciona la LAN IP Gateway que hemos generado anteriormente
  9. Guardamos y ya lo tenemos

Problemas al actualizar PfSense 2.4.4 a 2.5.X

Ayer me encontré que al hacer la actualización de PfSense de la version 2.4.4 a 2.5.1, me decía que no había actualización disponible, también observer que al lanzar los comandos «pkg-static clean -ya» «pkg-static update -f /y» y «pkg-static upgrade -f /y» me daba error de repositorios, al intentar añadir algún paquete, no cargaba la lista, pues aquí os voy a decir cual fue la solución que yo encontré y la que me ha funcionado,

  1. Vamos a System -> Update
  2. Desplegamos Branch y seleccionamos Previous Stable Versions (2.4.5 DEPRECATED)
  3. Nos saldrá una actualización y la aplicamos, esperamos que nuestro FW se reinicie.
  4. Volvemos a buscar las actualizaciones para la version 2.5.X y ya nos saldrá y nos dejara instalar esta ultima versión.

Si en el paso 2 no os sale, seleccionas un par de veces cada una de las opciones y al final os saldrá

Conectar PfSense a Active Directory mediante RADIUS

Hace unos días, os contamos como conectar nuestro Firewall PfSense mediante LDAP a nuestro Directorio Activo de Windows, aquí tienes esa entrada, y hoy vamos a ver otra opción, que es mediante RADIUS.

  1. En el Directorio Activo, creamos un grupo de Seguridad, en el que diremos los usuarios que tienen acceso entre el PfSense y AD, en mi caso lo llamo PfSense, y metemos los usuarios que tendrán dicho acceso.
  2. Nos dirigimos a Administración del Servidor y agregamos un nuevo ROL.
  3. Buscamos y marcamos Servicios de acceso y directivas de redes y damos a siguiente.
  4. Dejamos marcada la opción Incluid herramientas de administración (si es aplicable) y damos agregar características y siguiente, hasta que nos pida opción de Instalar que le daremos a instalar y esperaremos que termine.
  5. Una vez instalado, nos vamos a Herramientas y abrimos la herramienta recién instalada.
  6. Desplegamos clientes y servidores RADIUS y damos botón derecho sobre Clientes RADIUS y damos a nuevo.
  7. Habilitamos este cliente, le ponemos de nombre PfSense, en la dirección IP ponemos la IP de nuestro PfSense y Marcamos en el secreto compartido, Manual, copiamos y guardamos la clave que nos genera, ya que la usaremos mas adelante, y damos a aplicar y aceptar.
  8. Desplegamos directivas y Botón derecho sobre Directivas de Red y nueva.
  9. Nombre le ponemos Permitir Grupos PfSense, y tipo de servidor lo dejamos en No Especificado y Damos siguiente.
  10. Damos Agregar y decimos grupos de usuarios y agregamos el grupo generado anteriormente PfSense, aceptar y siguiente.
  11. Acceso concedido y siguiente.
  12. Directamente damos a siguiente.
  13. Nuevamente a Siguiente.
  14. Nuevamente Siguiente y finalizar.
  15. Ahora nos vamos a nuestro Firewall PfSense via WEB y vamos a System -> User Manager -> Authentication Servers
    1. Descriptive Name: RADIUS
    2. Type: RADIUS
    3. Protocol: MS-CHAPv2
    4. Hostname or IP adress: La ip de nuestro controlador de dominio en el que hemos configurado RADIUS
    5. Shared Secret: pegamos la clave del paso 7
    6. Services Offered: Authentication and Accounting
    7. Authentication Port: 1812
    8. Accounting Port: 1813
    9. Authentication Timeout: Lo dejamos en blanco
    10. Damos a guardar

Ya tendríamos conectado nuestro Firewall PfSense al dominio de windows mediante RADIUS

Conectar PfSense al Directorio Activo de Windows

Para configurar la integración de PfSense con Active Directory, tenemos que realizar los siguientes pasos:

  1. Preparamos el Active Directory:
    1. Crear un grupo de Seguridad «pfsense» para que agrupemos a los usuarios que van a poder logarse en nuestro PfSense
    2. Crear un usuario «pfsense-administrador» con una contraseña segura, que nunca espire, para que haga la conexión con nuestro AD.
  2. Ahora nos vamos a trabajar a nuestro PfSense, Nos vamos a System -> User Manager -> Authentication Servers
    1. Los datos de mi Directorio Activo ficticio son los siguiente:
      1. Dominio: test.blogainur
      2. Controlador de Dominio: dc.test.blogainur, 192.168.1.2
      3. Usuario de conexión: pfsense-administrador@test.blogainur
    2. Ahora vamos a configurar la conexión:

Desciptive name: AD-PfSense
Type: LDAP
Hostname or IP address: Aquí ponemos la IP de nuestro AD
Port value: 389
Transport: TCP – Standard
Protocol version: 3
Search Scrope: Entire Subtree
Base DN: DC=TEST,DC=BLOGAINUR
Authentication containers: CN=Users,DC=test,DC=blogainur
Extended query: Enabled
Query: memberOf=CN=PfSense,CN=Users,DC=test,DC=blogainur
Bind anonymous: Unchecked
Bind credentials: pfsense-administrador@test.blogainur y la contraseña que hayáis definido anteriormente
Initial Templace: Microsoft AD
User naming attribute: samAccountName
Group naming attribute: cn
Group member attribute: memberOf
RFC 2307 Groups: Unchecked

Con esto ya tendríamos configurada la conexión entre nuestro PfSense y el Directorio Activo