Da BSD. Firewalls en Alta Disponibilidad por Juan Jos Ponce Domnguez
Firewalls en Alta Disponibilidad con Pfsense PFsense es una distribucin modificada de FreeBSD que es usada como firewall o Router que puede ser descargado desde la pgina oficial (http://pfsense .org).
Para nuestro laboratorio nos apoyaremos en la siguiente topologa:
1 B
S
D
a
y Mxico DF a 05 de Noviembre del 2011 Da BSD. Firewalls en Alta Disponibilidad por Juan Jos Ponce Domnguez
1. Una vez instalado el PFsense, configuramos las interfaces WAN, LAN y OPT1. La IP de la interfaz WAN por default tratar de obtener la IP por medio de DHCP. La IP de la interfaz LAN ser 192.168.1.1 y activar un servidor de DHCP. La interfaz OPT1 no tendr por default ninguna direccin IP. En mi ejemplo: rl0=WAN, em0= LAN, re0=OPT
2. Conectamos una computadora a la interfaz LAN del PFsense para que se le asigne una IP. Posteriormente entramos a la administracin en la direccin IP: https://192.168.1.1 Username: admin Password: pfsense
3. Configuramos en System>General Setup:
2 B
S
D
a
y Mxico DF a 05 de Noviembre del 2011 Da BSD. Firewalls en Alta Disponibilidad por Juan Jos Ponce Domnguez
4. En Interfaces>WAN, configuramos la IP de la Interfaz WAN de nuestro Firewall.
3 B
S
D
a
y Mxico DF a 05 de Noviembre del 2011 Da BSD. Firewalls en Alta Disponibilidad por Juan Jos Ponce Domnguez
5. En Interfaces>LAN configuramos la IP de la LAN de nuestro Firewall y una vez que apliquemos los cambios debemos de renovar la direccin IP de nuestra PC para despus entrar a la administracin del Firewall en la nueva IP https://192.168.1.252
4 B
S
D
a
y Mxico DF a 05 de Noviembre del 2011 Da BSD. Firewalls en Alta Disponibilidad por Juan Jos Ponce Domnguez
6. En Interface>OPT1 configuramos la IP de la interfaz que sincronizar a ambos Firewalls.
5 B
S
D
a
y Mxico DF a 05 de Noviembre del 2011 Da BSD. Firewalls en Alta Disponibilidad por Juan Jos Ponce Domnguez
7. En System>Routing agregamos un nuevo Gateway el cual marcamos como default Gateway, este es el Gateway de la WAN.
6 B
S
D
a
y Mxico DF a 05 de Noviembre del 2011 Da BSD. Firewalls en Alta Disponibilidad por Juan Jos Ponce Domnguez
8. Agregamos una regla en Firewall>Rules>SYNC que permita todo el trfico desde y hacia la interfaz.
7 B
S
D
a
y Mxico DF a 05 de Noviembre del 2011 Da BSD. Firewalls en Alta Disponibilidad por Juan Jos Ponce Domnguez
9. En Firewall>Virtual IPs>CARP Settings
A B 8 B
S
D
a
y Mxico DF a 05 de Noviembre del 2011 Da BSD. Firewalls en Alta Disponibilidad por Juan Jos Ponce Domnguez
9 B
S
D
a
y Mxico DF a 05 de Noviembre del 2011 Da BSD. Firewalls en Alta Disponibilidad por Juan Jos Ponce Domnguez
Nota: En el Firewall secundario nada mas llenamos los puntos a y b.
10 B
S
D
a
y Mxico DF a 05 de Noviembre del 2011 Da BSD. Firewalls en Alta Disponibilidad por Juan Jos Ponce Domnguez 10. En Firewall>Virtual IPs agregamos la IP virtual de la LAN 192.168.1.254, el Virtual IP Password y el VHID Group debe ser el mismo tanto en el FW Principal como en el secundario o backup.
11 B
S
D
a
y Mxico DF a 05 de Noviembre del 2011 Da BSD. Firewalls en Alta Disponibilidad por Juan Jos Ponce Domnguez 11. Entramos en Services>DHCP Server y en la pestaa de LAN configuramos nuestro servidor de DHCP para que el Gateway y los DNS de los usuarios sea el de la IP virtual, o sea el 192.168.1.254.
12 B
S
D
a
y Mxico DF a 05 de Noviembre del 2011 Da BSD. Firewalls en Alta Disponibilidad por Juan Jos Ponce Domnguez 12. En Status>CARP (failover), damos click en Enable Carp.
13. Comprobacin que todo est funcionando: a. En Status>CARP (failover): En el FW2 debe la interfaz ser MASTER y en FW1 BACKUP. En FW2:
En FW1:
b. Crear una Regla en Firewall>Rules>WAN en FW2 y verificar que se repliquen en FW1. Creamos en el FW2 una regla en la WAN, sta regla debe de replicarse automticamente en el FW1. 13 B
S
D
a
y Mxico DF a 05 de Noviembre del 2011 Da BSD. Firewalls en Alta Disponibilidad por Juan Jos Ponce Domnguez
14. Ingresamos a Firewall>NAT>Outbound , seleccionamos Manual NAT Outbound y generamos un nuevo mapping de la siguiente forma:
14 B
S
D
a
y Mxico DF a 05 de Noviembre del 2011 Da BSD. Firewalls en Alta Disponibilidad por Juan Jos Ponce Domnguez
En ste punto cuando alguno de los dos firewalls se caiga o alguna de las dos interfaces LAN se caiga, entrar automticamente el servidor secundario. Para lograr que cuando la WAN se caiga y se enrute el trfico automticamente al otro servidor es necesario realizar los siguientes pasos.
15. Modificamos en el Firewall principal la tabla Firewall>NAT>outbound, damos click en Manual Outbound y posteriormente agregamos un nuevo Mapping que quedar finalmente de la siguiente forma:
15 B
S
D
a
y Mxico DF a 05 de Noviembre del 2011 Da BSD. Firewalls en Alta Disponibilidad por Juan Jos Ponce Domnguez
16. Agregar en system>routing un nuevo Gateway. En el FW principal:
16 B
S
D
a
y Mxico DF a 05 de Noviembre del 2011 Da BSD. Firewalls en Alta Disponibilidad por Juan Jos Ponce Domnguez
En el FW secundario:
17. Agregamos en system>routing>Groups en ambos Firewalls un nuevo grupo.
17 B
S
D
a
y Mxico DF a 05 de Noviembre del 2011 Da BSD. Firewalls en Alta Disponibilidad por Juan Jos Ponce Domnguez
18. Agregamos unos nuevos DNS en System>General Setup, los cuales sern las IPs del enlace SYNC. En el firewall Principal:
18 B
S
D
a
y Mxico DF a 05 de Noviembre del 2011 Da BSD. Firewalls en Alta Disponibilidad por Juan Jos Ponce Domnguez
En el Firewall Secundario:
19 B
S
D
a
y Mxico DF a 05 de Noviembre del 2011 Da BSD. Firewalls en Alta Disponibilidad por Juan Jos Ponce Domnguez
19. Modificamos la regla LAN de Firewall>Rules para que el Gateway ahora sea el nuevo grupo llamado Failover . Esto lo realizamos en el principal y solo se replicar en el backup.
20 B
S
D
a
y Mxico DF a 05 de Noviembre del 2011 Da BSD. Firewalls en Alta Disponibilidad por Juan Jos Ponce Domnguez
20. Reiniciamos y listo!. Pruebas: Problemas en las LAN: LAN FW2 desconectada. LAN FW1 desconectada. Problemas en las WAN: WAN de FW2 desconectada. WAN de FW1 desconectada. Problemas mixtos: LAN de FW2 desconectada y WAN de FW1 desconectada LAN de FW1 desconectada y WAN de FW2 desconectada.
Para ejecutar las pruebas podemos usar un ping o una herramienta como http-ping. 21 B