Archivo de la etiqueta: pfsense

Permitir Ping entre equipos de la LAN PfSense

Cuando en la LAN activamos reglas para que solo estén permitidos ciertos puertos, nos encontramos que no podemos hacer ping a los equipos de la LAN, para ello debemos de crear una regla ICMP, y lo haremos de la siguiente manera:

  1. Vamos a Firewall -> Rules -> LAN
  2. Damos a añadir una nueva regla, y la configuramos con los siguientes valores:
    • Action: Pass
    • Interface: LAN
    • Protocol: ICMP
    • ICMP Subtypes: Echo Request
    • Source: LAN net
  3. Guardamos la regla y ya nos permite realizar ping entre los equipos de la red

Conectar PfSense al Directorio Activo de Windows

Para configurar la integración de PfSense con Active Directory, tenemos que realizar los siguientes pasos:

  1. Preparamos el Active Directory:
    1. Crear un grupo de Seguridad «pfsense» para que agrupemos a los usuarios que van a poder logarse en nuestro PfSense
    2. Crear un usuario «pfsense-administrador» con una contraseña segura, que nunca espire, para que haga la conexión con nuestro AD.
  2. Ahora nos vamos a trabajar a nuestro PfSense, Nos vamos a System -> User Manager -> Authentication Servers
    1. Los datos de mi Directorio Activo ficticio son los siguiente:
      1. Dominio: test.blogainur
      2. Controlador de Dominio: dc.test.blogainur, 192.168.1.2
      3. Usuario de conexión: pfsense-administrador@test.blogainur
    2. Ahora vamos a configurar la conexión:

Desciptive name: AD-PfSense
Type: LDAP
Hostname or IP address: Aquí ponemos la IP de nuestro AD
Port value: 389
Transport: TCP – Standard
Protocol version: 3
Search Scrope: Entire Subtree
Base DN: DC=TEST,DC=BLOGAINUR
Authentication containers: CN=Users,DC=test,DC=blogainur
Extended query: Enabled
Query: memberOf=CN=PfSense,CN=Users,DC=test,DC=blogainur
Bind anonymous: Unchecked
Bind credentials: pfsense-administrador@test.blogainur y la contraseña que hayáis definido anteriormente
Initial Templace: Microsoft AD
User naming attribute: samAccountName
Group naming attribute: cn
Group member attribute: memberOf
RFC 2307 Groups: Unchecked

Con esto ya tendríamos configurada la conexión entre nuestro PfSense y el Directorio Activo

Acceder a una VPN IPsec usando OpenVPN en pfSense

Si tienes dos sites conectados con IPsec VPN, y también tiene una configuración OpenVPN en el pfSense principal, también puede permitir que sus equipos conectados al OpenVPN, accedan a los equipos del otro extremo del IPsec.

Normalmente, solo se tiene acceso a la red local a la que se conecta OpenVPN, pero con unos simples pasos puede permitir el acceso a todas las redes conectadas.

Si ya tiene la VPN IPSec y configurado OpenVPN, solo se necesita agregar algunas cosas.

La configuración para este ejemplo es:
SiteA (192.168.1.0/24)
SiteB (192.168.2.0/24)
OpenVPN es 172.20.50.0/24
SiteA tiene la configuración de OpenVPN.
Tanto SiteA como SiteB tienen configuración IPsecVPN.

Debe agregar otra entrada de Fase 2 en ambos sitios, y debe agregar la red SiteB en la configuración de OpenVPN.

  1. Abra los túneles IPSEC en el SiteA > Copie la entrada de la Fase 2 > Cambiar el menú desplegable de Red Local a Red > Agrega el rango de IP que usa OpenVPN, por ejemplo: 172.20.50.0/24
  2. Cambie el nombre en Descripción > Guardar y aplicar.
  3. Abra los túneles IPSEC en el SiteB > Copie la entrada de la Fase 2 > Cambiar el menú desplegable de Red Remota a Red > Agrega la IP que usa OpenVPN, por ejemplo: 172.20.50.0/24
  4. Cambiar nombre en Descripción > Guardar y aplicar
  5. Edite su servidor OpenVPN > En Red local IPv4 > Agregue en la red del SiteB. Separe varias redes con un, por ejemplo 192.168.1.0/24,192.168.2.0/24

Eso debería hacerlo, si tiene todo configurado correctamente, debería comenzar a funcionar.

OpenVPN en PfSense 2.4.X

Hoy vamos a configurar una VPN con OpenVPN en nuestro Firewall PfSense, en unos pocos minutos, tendremos montada una VPN totalmente securizada.

Primeramente, debemos de crear la infraestructura de certificados, para ello, debemos de acceder a System -> Cert. Manger

Sigue leyendo

Acceder a tu propia IP publica con PfSense

Hoy os traigo la configuración que debemos de tener en nuestro PfSense para hacer un «NAT Reflection», o lo que es lo mismo, acceder a nuestra propia IP publica desde la misma IP:

Primeramente vamos a System > Advanced > Firewall & NAT, y en la sección Network Adress Translation debemos de hacer lo siguiente:

  1. NAT Reflection mode for port forwards, lo ponemos en Pure NAT
  2. Habilitamos Enable NAT Reflection for 1:1 NAT
  3. Habilitamos Enable automatic outbound NAT for Reflection

A continuación creamos la regla NAT.

Vamos a Firewall > NAT > 1:1 y creamos una nueva regla:

  1. Interface, ponemos la WAN
  2. En External subnet IP ponemos nuestra IP Publica
  3. En Internal IP ponemos Singles Host y la IP del servidor que contenga el servicio
  4. Y en el apartado NAT reflection ponemos UseSystem default

De esta manera, ya tendremos acceso a nuestros propios servicios en nuestra propia red, accediendo por la IP Pública

Abrir puerto pfsense para que solo sea accesible desde una o varias IP publicas

Si alguna vez te has preguntado como abrir un puerto en pfSense, para que solo sea accesible desde una o varias IP Publicas, aquí te voy a mostrar como hacerlo, es muy sencillo y nos evitara muchos problemas a futuro:

  1. Debemos de ir al apartado Firewall -> Alias para crear el alias y que en un futuro nos sea mas fácil el modificar la regla.
  2. Añadimos un nuevo Alias en el apartado IP
  3. Le ponemos un nombre y descripción, y en Type, seleccionamos Host(s)
  4. En el apartado IP or FQDN añadimos tantas IP’s publicas como queramos que accedan al puerto que a continuación especificaremos
  5. Guardamos y aplicamos los cambios

Sigue leyendo