Buscar

VMWare ESXi: Instalar pfSense


pfSense es una FreeBSD personalizada para su uso como Firewall y Router.

Es de código abierto y cuenta con una interfaz web sencilla para su configuración.

Se ha popularizado en el mundo corporativo como uno de los gateways mundialmente más utilizados.

En este artículo vamos a enumerar los pasos básicos para poder desplegar una instancia de pfSense en un entorno VMWare ESXi.

A continuación, disponemos del siguiente vídeo realizado por Pol Padrisa (@polpadrisa), donde podemos ver el detalle de funcionamiento de forma visual:


Podéis examinar y suscribiros al canal de Youtube de SYSADMIT en el siguiente enlace:

https://www.youtube.com/c/SYSADMIT

y aquí tenéis el contenido del post con el detalle y enlaces:

Descargar pfSense

Para descargar pfSense tenemos que ir a la web oficial https://pfsense.org/ y en el apartado "Downloads", seleccionar:
 
Select Image to Download

- File Type: Install
- Architecture: AMD64 (64-bit)
- Platform: CD Image (ISO) Installer
- Mirror: A elegir el más próximo

Una vez descargado obtendréis un fichero con un nombre parecido a: “pfSense-CE-2.3.2-RELEASE-amd64.iso.gz

Al descomprimir el fichero veremos algo similar a: pfSense-CE-2.3.2-RELEASE-amd64.iso

Verificar la versión de FreeBSD que soporta nuestra versión de VMWare ESXi

Una vez descargada la ISO de pfSense debemos verificar que la versión de FreeBSD que lleva sea soportada por nuestra versión de VMWare ESXi.
pfSense-CE-2.3.2-RELEASE-amd64.iso.gz

VMWare ESXi: Instalar PFSense

Para la versión descargada “pfSense-CE-2.3.2-RELEASE-amd64.iso.gz” pfSense utiliza la versión de FreeBSD 10.3.
 
Vamos a comprobar ahora si nuestra versión de ESXi soporta FreeBSD 10.3.
VMWare ESXi: Instalar PFSense

Así pues tenemos la confirmación que ESXi 6.0 U2 soporta FreeBSD10.3.

Para los que no dispongais de una licencia de VMWare ESXi, podéis utilizar la licencia gratuita (ESXi Free):
La licencia "ESXi free" no dispone de ninguna limitación que nos impida instalar pfSense.

VMware Host Client

Si no disponemos de Virtual Center y atacamos directamente el host VMWare ESXi para administrarlo, según la versión de VMWare ESXi que queramos administrar, deberemos utilizar una u otra herramienta:

- Versiones de ESXi pre-ESXi 6.0 Update 2: Utilizaremos vSphere Client para Windows. Podríamos realizar una instalación manual de VMware Host Client sobre el host ESXi, pero por defecto no está instalado.

- Versión ESXi 6.0 Update 2: Es posible utilizar vSphere Client para Windows o bien VMware Host Client.

- Versión ESXi 6.5: Solo es posible utilizar VMware Host Client.


En nuestra demostración vamos a utilizar ESXi 6.0 Update 2 que aún que mantiene la compatibilidad con vSphere Client para Windows vamos a utilizar VMware Host Client  (cliente web) para irnos acostumbrando ya al nuevo sistema.

Para abrir el VMware Host Client debemos abrir un navegador e introducir la IP del servidor ESXi en la barra de direcciones y seleccionamos la opción:

"Open the VMware Host Client"

Nos aparecerá la pantalla de validación e introducimos las credenciales.

Añadiendo la ISO al Datastore:

Vamos a subir la imagen ISO pfSense-CE-2.3.2-RELEASE-amd64.iso al datastore de modo que podamos más adelante mapear dicha ISO a la unidad cd virtual y así iniciar la instalación.

VMWare ESXi: Instalar pfSense

Vamos a “Storage” -> “Datastore browser” y se nos abrirá el navegador de datastore. Crearemos una carpeta llamada ISO.

Nos situaremos dentro de la carpeta ISO y pulsaremos Upload, seleccionaremos la imagen ISO que anteriormente hemos descargado y subiremos el fichero al Datastore.

Con este procedimiento tendremos subida la imagen al datastore.

Creación de la VM

Nos vamos a Virtual Machines -> Create / Register VM

VMWare ESXi: Instalar pfSense

Aparece un asistente, en la primera pantalla, seleccionamos: "Create a new virtual machine".

A continuación, indicamos el nombre de la VM , en el nuestro caso: “pfSense”, la compatibilidad (cuanta más alta mejor), la familia del sistema operativo y la versión de sistema operativo (FreeBsd64bits).

VMWare ESXi: Instalar pfSense

Seleccionamos el datastore donde ubicar la máquina virtual.

Requisitos

En el propio asistente de creación de la máquina virtual, podemos seleccionar los recursos de la misma: como CPU, RAM, disco, NICs, etc:

VMWare ESXi: Instalar pfSense

Algunas consideraciones sobre los recursos a elegir:

CPU: 

Para dimensionar las CPUs de la VM, podemos seguir las recomendaciones de este post: VMWare: ESXi CPU Ready (SYSADMIT.com). 

La idea es mantener la métrica de CPU Ready del host VMWare ESXi dentro de los parámetros correctos.
 

Según pfSense, algunas características como el portal "Captive Portal" con centenares de usuarios pueden requerir de mucha CPU. 

El "Portal Cautivo" es un portal de validación (típico en entornos públicos como hoteles, aeropuertos…) en el que se tiene bajo control usuarios esporádicos. Si vamos a activar este portal debemos dimensionar las CPUs para ello.

RAM:

pfSense recomienda un mínimo de 512MB de RAM, esta sería la asignación mínima pero ya nos avisan que cada tabla de estado requiere 1kb de RAM.

Es decir, un firewall con 100.000 estados usaría 100Mb de RAM.

En entornos en los que se requiere de grandes tablas de estado con centenares o miles de conexiones deben tener asignada RAM acorde con sus necesidades.

Por otra parte, paquetes extra como: Snort, ntop, squid pueden incrementar mucho el consumo de RAM.

Si vamos a utilizar algunos de estos paquetes debemos añadir más RAM.
 

Así pues para saber cuánta RAM asignar, necesitamos:

1. Saber cuántos estados (o conexiones) tendremos en nuestra red.


2. Saber si vamos a utilizar plugins o paquetes extra.


3. Saber si vamos a utilizar el portal cautivo.


En nuestro caso tratándose de una instalación básica, con pocos dispositivos, sin portal cautivo ni paquetes extra, con 1Gb será suficiente.


HDD:

Para definir el tamaño del disco debemos averiguar si habrá mucho movimiento de logs.

Si es así debemos activar el Thick provisioning.

También se puede añadir un segundo disco para logs. 

NIC:

Debemos añadir 2 NIC (LAN y WAN). Para un mejor rendimiento siempre instalar NICs VMXNET3 en la VM, además tendremos soporte para 10GbEthernet. 

A pesar de que el adaptador VMXNET3 solo existe en el mundo de vmware, la distribución FreeBSD versión 10.1 incluye el driver: vmxnet3.

En la pantalla de personalización debemos añadir un nuevo interfaz de red (1), elegir 2 cpu (para activar la capacidad SMP del sistema operativo).


DVD:

Debemos mapear la imagen ISO que hemos subido en anteriormente como dvd y asegurarnos que el check de "Connect at power on" está marcado.

Iniciando la instalación de pfSense


Iniciamos la VM y abrimos la consola.

Dejamos el autoboot, para una instalación básica como esta nos servirá.

VMWare ESXi: Instalar pfSense

Definimos el teclado a spanish (si procede): Change Keymap (default), seleccionamos: spanish.iso.kbd.

A continuación, seleccionamos: Quick/Easy Install.

Finalmente, tendremos instalado pfsense.

Al reiniciar nos muestra el usuario por defecto de pfSense: admin y la contraseña por defecto: pfsense

VMWare ESXi: Instalar pfSense
  
También nos pregunta acerca de las VLANs.

Definimos que no queremos VLANs y comprobamos que los interfaces estén en VMware VMXNET3.


VMWare ESXi: Instalar pfSense

Definimos qué interfaz será el interfaz WAN (en nuestro caso el vmx0):


VMWare ESXi: Instalar pfSense

Definimos qué interfaz será el interfaz LAN (en nuestro caso el vmx1).

Aplicamos los cambios.

Finalmente aparece la pantalla en la que se debe quedar nuestra instalación de pfSense dónde se muestra la información básica del sistema y en el menú de opciones.


VMWare ESXi: Instalar pfSense

Actualización de la instalación

Una vez instalado el pfSense debemos actualizarlo ya que la última ISO a veces no contiene los últimos updates.

Para actualizar la versión de pfSense debemos abrir un navegador y acceder a la URL que nos muestra la pantalla de la consola.

Usuario: admin
Password: pfsense

Seguimos el asistente de configuración de pfSense.

1) En "General Information", configuramos:

Hostname: pfSense
Domain: localdomain
Primary DNS Server: 8.8.8.8
Secondary DNS Server: 8.8.4.4

2) En "Time Server Information", configuramos:

Time server hostname: 0.pfsense.pool.ntp.org
Timezone: Seleccionamos la zona horaria adecuada.

3) En "Configure WAN Interface", configuramos:

Introducimos una dirección IP manual o por DHCP.

4) En "Set Admin WebGUI Password", configuramos la contraseña para hacer login en pfsense.

pfSense se reiniciará para aplicar las modificaciones aportadas desde el asistente inicial.

Después de reiniciar nos volveremos a validar y nos iremos a System -> update


Si hay una actualización nos aparecerá esta pantalla, debemos pulsar en “Confirm” para aplicar las actualizaciones.


Finalmente, después de reiniciar:

En el campo Status de System > Updates debe aparecer: “Up to date”.
 

En este momento tendremos nuestro pfSense instalado y actualizado.
 

Instalar VMware tools

Aún que freebsd tiene integrado el driver de VMXNET3 es recomendable instalar las Open-VM-Tools para mejorar el rendimiento del sistema y obtener ciertas otras funcionalidades como la capacidad de apagado / reinicio ordenado de la VM.


Para instalar las Open-VM-Tools vamos a: System-> Package Manager -> Package Installer 

 
VMWare ESXi: Instalar pfSense

Verificar VMware tools

Para verificar la instalación vamos a Diagnostics -> Command Prompt
 

Y ejecutamos: ps uxawww | grep vmtoolsd

En el resultado, veremos el proceso de las vmware tools.

También, al apagar la VM desde el hipervisor, veremos que se detiene de forma ordenada:

VMWare ESXi: Instalar pfSense

En la consola vemos:

VMWare ESXi: Instalar pfSense

y al iniciar, debe mostrar:

VMWare ESXi: Instalar pfSense

Con este paso habremos instalado y actualizado un pfSense con VM-Tools en VMware ESXI 6.0u2 utilizando como herramienta de administración: VMware Host Client.
 

No hay comentarios:

Publicar un comentario