Archivo de la categoría: pfSense

Paquete indispensable para pfSense

Hoy os traigo un paquete que es indispensable tener instalado en vuestro pfSense así como revisarlo, el paquete es System Patches, este programa lo que nos permite es instalar parches para nuestra version de pfSense instalada, y así ir evitando las vulnerabilidades que vayan surgiendo o problemas del propio sistema

pfSense ufs por encima del 100%

Tener el ufs por encima del 100%, suele ser problema de la rotación de logs tanto del sistema como de las aplicaciones instaladas, en mi caso snort, se van creando y creando archivos hasta que llenan nuestro disco duro, para ello se debe de configurar bien tanto en las aplicaciones como en el sistema la rotación y retención de ficheros de log en función del espacio que tenga el HD de pfSense.

Una vez actualizado en status -> system logs -> settings en el apartado rotation, te dice cuanto ocupan los logs actualmente, comprueba que este funcionando bien estando pendiente de esa capacidad, se muestra asi:

Disk space currently used by log files: 38M
Worst case disk usage for base system logs based on current global settings: 58.11 MiB
Remaining disk space for log files: 22G

Backup pfBlockerNG en pfSense

Hoy vamos a ver como realizar un backup de pfBlockerNG en otro firewall, para ello debemos de hacer lo siguiente:

  1. Vamos a Firewall -> pfBlockerNG
  2. Vamos a la pestaña SYNC
  3. Desplegamos Enable Sync y elegimos la opción: «Sync to Host(s) defined below«
  4. En el apartado XMLRPC Replication Targets, podemos meter todos los hosts que queramos, yo en mi caso tengo reglas unificadas para casi todos mis clientes, y cuando realizo cambios en el master y veo que todo esta OK, habilito todos los FWS y de esta manera sincronizo el master con todos los demás.

Errores PHP tras actualizar pfsense por shell

Tras actualizar nuestro pfsense por shell, nos salen muchos errores php, tanto en el shell como en el WebConfigurator que no deja acceder, los errores suelen ser del siguiente modo:

PHP ERROR: Type: 64 en el WebConfigurator y Warning: PHP Startup: Unable to load dynamic library en el Shell.

Para solucionar este problema debemos de hacer lo siguiente:

  1. Accedemos por SSH al pfsense
  2. Accedemos al shell (8)
  3. Una vez dentro del shell, escribimos lo siguiente: shutdown -r now

Una vez se reinicie el equipo, nuestro pfsense volverá a la normalidad.

Cortes tarjeta de Red Realtek pfsense

Seguramente hayas experimentado que la tarjeta de red deja de funcionar en tu pfsense con tarjetas de red realtek, pero que el firewall, aparentemente sigue funcionando sin problemas, pues hoy os traigo una solución que a mi personalmente me ha servido:

  • Debemos de ingresar en el Shell y ejecutar los siguientes comandos, para instalar los últimos drivers de la tarjeta:
    • fetch -v https://pkg.freebsd.org/FreeBSD:12:amd64/latest/All/realtek-re-kmod-196.04.txz
    • pkg install -f -y realtek-re-kmod-196.04.txz
  • Cuando hayamos realizado esto, debemos de ir a: Diagnostic -> Edit File
  • Vamos al archivo /boot/loader.conf y añadimos las siguientes lineas:
    • if_re_load=»YES»
    • if_re_name=»/boot/modules/if_re.ko»
  • Vamos a System -> Advance -> Networking, y lo dejamos como muestra la siguiente imagen:
  • Reiniciamos el firewall, una vez iniciado, comprobamos si ha cargado correctamente el driver, ejecutamos kldstat en el shell y nos deberia de salir if_re.ko, como se muestra en la siguiente imagen

Limitar registros de Snort en pfsense para un mismo SID

Seguramente, si estás iniciándote en snort, habrás observado que en en las alertas de las interfaces, se generan muchos registros repetidos con el mismo SID:GID, para limitar esto, es muy sencillo, tenemos que hacer lo siguiente:

  1. En snort, nos vamos a Suppress
  2. Le damos añadir
  3. Le ponemos un nombre y una descripción y en el suppression rule ponemos lo siguiente, sin las comillas:
    • «event_filter gen_id 1, sig_id 0, type limit, track by_src, count 1, seconds 60» esto lo que hace, es que para todos los sig ids, solo nos va a mostrar un único registro repetido cada 60 segundos.
  4. Guardamos y salimos
  5. Ahora nos vamos a editar las interfaces que tengamos configuradas y en todas, vamos a Settings, buscamos Alert Suppression and Filtering, y seleccionamos la que hemos añadido.
  6. Reiniciamos las interfaces y listo

pfBlockerNG en pfSense Google Chrome

Google chrome, desde hace un tiempo usa la opción de usar DNS seguro y nuestro pfBlockerNG no es capaz de bloquear nada si usamos este navegador, la opción de quitar esto en cada navegador de nuestra red, no es viable, por lo que para hacer funcionar correctamente nuestro pfBlockerNG con google chrome, debemos de hacer las siguiente configuraciones:

  • Vamos al servicio DNS Resolver y en custom options añadimos lo siguiente:
  • Una vez realizado esto, tenemos que añadir dos alias URL con las siguientes direcciones:
    1. https://public-dns.info/nameservers.txt
    2. https://raw.githubusercontent.com/Sekhan/TheGreatWall/master/TheGreatWall_ipv4
  • Ahora nos vamos a las reglas del Firewall y añadimos la siguiente regla:
    • Action: Reject
    • Interface: LAN
    • Adress Family: IPv4+IPv6
    • Protocol: Any
    • Source: LAN net
    • Destination: Singles host or alias (al alias creado anteriormente)

De esta forma nuestro pfBlockerNG empezara a cortar todo lo que tengamos puesto en Google Chrome.

pfsense 2.4.5 «Please wait while the update system initializes»

Al intentar actualizar los paquetes que tenemos instalados en nuestro pfsense, se queda continuamente «Please wait while the update system initializes» y nunca empieza a actualizar, para ello tenemos que hacer lo siguiente:

  1. Si tenemos acceso por VGA a nuestro firewall, vamos y accedemos al shell (8)
  2. Si no tenemos acceso mediante VGA, accedemos por SSH al firewall y vamos a la opcion shell (8) y tenemos que lanzar los siguientes comandos:
  • pkg-static update -f
  • pkg-static upgrade -f

Problemas impresión VPN IPSec PfSense

Hoy os traigo un problema que me ha traído de cabeza unos días, y que finalmente di con la solución, y por lo que he visto en otros foros en ingles, a varias personas les paso igual, os cuento que me sucedía, desde los servidores de uno de los sites del IPSec, no hacia Ping a las impresoras ni podía agregarlas ni imprimir ni nada, tras revisar configuración de MTU de MSS, el problema seguía siendo el mismo, desde la red donde estaban las impresoras, respondía a Ping e imprimía sin problemas, pero desde el otro lado nada.

Tras mucho indagar, descubrí, que la impresora en la red local, no estaba bien configurada, tenia una mascara que no correspondía y un GW que no era el correcto, reconfiguré la impresora con los parámetros correctos y boalá, todo comenzó a funcionar sin problemas.

Novedades en PfSense 2.6

Desde hace unas semanas, ya tenemos opción de actualizar nuestro PfSense a la versión 2.6, nosotros hemos actualizado a todos nuestros clientes y el funcionamiento es bueno, os animo a que actualicéis vuestros FW’s, en esta nueva versión tenemos varias mejoras significativas, que a continuación os detallamos:

  • Nuevo sistema de archivos ahora es ZFS
  • Mejoras en IPsec tanto la estabilidad como en el rendimiento de nuestros túneles VPN.
  • Nuevas opciones para la configuración de las retransmisiones IKE para VPN IPsec.
  • Solucionados problemas que había en la implementación de OpenVPN que nos hacían configurar 2 veces nuestro OpenVPN.
  • Nuevo Widget independiente del uso del disco, ya que antes lo teníamos en la información general.

Aquí os dejo un enlace, donde están detalladas por el fabricante todas as mejoras que tenemos en esta nueva versión de PfSense