Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Migrar de Forefront TMG a Pfsense

    Scheduled Pinned Locked Moved Español
    29 Posts 4 Posters 5.1k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • J
      javiermoreno
      last edited by

      Saludos, antes todo muchas gracias por todas las contribuciones que me han servido para tomar la decisión de usar pfsense .
      Como dice el titulo del post soy usuario de Foreront TMG y necesito migrar ya que por problemas de hardware ya no lo tengo disponible ademas de que la red crecio y cada dia se necesitaba mas recursos.
      Anexo la imagen de un esquema general de lo que tengo funcionando ahora casi sin ningún tipo de filtros solo enrutamientos estáticos y una que otra regla de firewall
      Uso enlaces punto a punto para sucursales conectados a router mikrotik rb750 por ahora no tengo servicios wifi en ninguna pero debo ya establecerlo.
      Para el internet tengo 3 conexiones ISP conectadas a un balanceador cisco rv016 es decir que no necesito hacer eso con el pfsense por ahora.
      En resumen necesito proxy para filtrar contenidos en general, redireccionamientos de puertos para aplicaciones y publicacion de servidores web y camaras.
      A modo general seria solo eso.
      Ahora bien  serian tan amables y me dan sus opiniones cual o cuales serain las mejores configuraciones para pfsense sea el proxy y firewall de toda red usando proxy no transparente preferiblemente ya que no tengo problema con instalar certificados y configurar el proxy en los navegadores debido a que toda la red es un dominio y lo puedo hacer por politicas.
      Anexo Imagen General del esquema pcpal de la red
      Total de Usuario aproximadamente 60 en todas las redes
      Equipo en el que se va a instalar el PFsense es un HP-Proliant ML350 g3 con 8gb ram i386 y 4 discos en raid
      Muchas Gracias
      Saludos Feliz Dia

      1 Reply Last reply Reply Quote 0
      • J
        javcasta
        last edited by

        Hola.

        Lo 1º que yo haria es ver la compatibilidad de HW y como configurar la BIOS, etc, para que soporte pfSense 2.3 amd64

        Los HP Proliant ML350 suelen necesitar ajustes de BIOS para poderles instalar pfSense 2.3 ("un sabor" de FreeBSD 10.3).

        • https://www.freebsd.org/releases/10.3R/hardware.html

        • https://forum.pfsense.org/index.php?topic=47378.msg248923;topicseen#msg248923

        • https://forum.pfsense.org/index.php?topic=83380.msg456657;topicseen#msg456657

        • https://forum.pfsense.org/index.php?topic=107106.msg598388;topicseen#msg598388

        Y una vez comprobado que todo es compatible (CPUs, HD sean raid o no, NICs, etc) instalar, e instalar el paquete squid y definir reglas de capa 3. Hay mucha doc en el foro. En mi página también puedes encontrar algo.

        Salu2

        Javier Castañón
        Técnico de comunicaciones, soporte y sistemas.

        Mi web: https://javcasta.com/

        Soporte scripting/pfSense https://javcasta.com/soporte/

        1 Reply Last reply Reply Quote 0
        • J
          javiermoreno
          last edited by

          Muchas gracias, te comento que mi server es 32bit.

          Saludos

          1 Reply Last reply Reply Quote 0
          • J
            javcasta
            last edited by

            Hola.

            Pues más fácil creo que lo tienes.

            Salu2

            Javier Castañón
            Técnico de comunicaciones, soporte y sistemas.

            Mi web: https://javcasta.com/

            Soporte scripting/pfSense https://javcasta.com/soporte/

            1 Reply Last reply Reply Quote 0
            • J
              javiermoreno
              last edited by

              Luego de mirar comprobe que mi equipo si es compatible y procedi a instalar, no tuve ningún problema en la instalación.
              Ahora bien una vez instalado estaba ya ejecutando primer setup y el servidor se reinicio cuando arranco de nuevo siguió reiniciando hasta que me entre en el bios y puse el MPS en automatico, ahora si arranco y quedo estable solo que  detecto 1 solo procesador y yo tengo 2 xeon tampoco me detecta los 6 gb ram aunque esto si debe ser normal en una instalación básica, seguiré investigando como puedo usar el resto de la memoria y el otro procesador que aparentemente no detecta ya que mi hardware es 32.
              Ahora bien procedi a la configuración del proxy en modo no transparente genere el certificado y demás cosas.
              Instale el certificado en el equipo cliente configure el proxy manualmente y todo bien me filtra lo que quiero en http incluyendo blacklist en este parte todo funciona bien, en https filtra pero el mensaje de negado no es el adecuado anexo imagen.
              Por ahora solo tengo este problema creo seguire investigando la parte del hardware.
              Muchas gracias por la ayuda y si se les ocurre algo del error de la imagen les agradezco los comentarios.
              Feliz dia.

              1 Reply Last reply Reply Quote 0
              • J
                javcasta
                last edited by

                Hola.

                Hasta donde yo sé, un host con 2 procesadores o dual core, son arquitectura de 64bits …

                http://h18000.www1.hp.com/products/quickspecs/archives_Division/11430_div_v22/11430_div.HTML

                Con un pfSense de 32 bits, nunca va a detectar más de un procesador.

                Salu2

                Javier Castañón
                Técnico de comunicaciones, soporte y sistemas.

                Mi web: https://javcasta.com/

                Soporte scripting/pfSense https://javcasta.com/soporte/

                1 Reply Last reply Reply Quote 0
                • J
                  javiermoreno
                  last edited by

                  @javcasta:

                  Hola.

                  Hasta donde yo sé, un host con 2 procesadores o dual core, son arquitectura de 64bits …

                  http://h18000.www1.hp.com/products/quickspecs/archives_Division/11430_div_v22/11430_div.HTML

                  Con un pfSense de 32 bits, nunca va a detectar más de un procesador.

                  Salu2

                  Gracias por responder mi server tiene 2 procesadores intel xeon de 3.06 y segun el modelo no son 64

                  http://ark.intel.com/products/27278/Intel-Xeon-Processor-3_06-GHz-512K-Cache-533-MHz-FSB

                  Entonces no necesariamente tener dos procesadores significa que son 64, yo tambien pensaba lo mismo hasta que se me atravesó este equipo
                  Saludos

                  1 Reply Last reply Reply Quote 0
                  • J
                    javcasta
                    last edited by

                    Hola.

                    Una arquitectura de 32bits, limita su ram (direccionamiento de bits 2^32) a 4GB.

                    Y en el link que puse antes, dice:

                    512MB of 2-way interleaving capable PC2100 DDR SDRAM, with Advanced ECC capabilities (Array models only; 256MB standard on other models): Expandable to 8GB

                    Se puede expandir a 8GB… y eso ninguna arquiterctura de 32 bits lo admite.

                    Y siendo un dual-core, y con slots pci de 64bits, sigo pensando que tienes un X64 o amd64, o como lo queramos llamar, entre manos.

                    Yo intentaria arracar un live pfSense con un cd de pfSense 2.2.6 amd64 desde CD o stick flash a ver si te lo pilla (seguro que necesita ajustes de bios)

                    Salu2

                    Javier Castañón
                    Técnico de comunicaciones, soporte y sistemas.

                    Mi web: https://javcasta.com/

                    Soporte scripting/pfSense https://javcasta.com/soporte/

                    1 Reply Last reply Reply Quote 0
                    • J
                      juancho
                      last edited by

                      sysctl -a | egrep -i 'hw.machine|hw.model|hw.ncpu'  o este sysctl hw.model hw.machine hw.ncpu

                      –
                      Juan Carlos Reyes
                      Powered by Debian
                      o
                      L_/
                      OL

                      1 Reply Last reply Reply Quote 0
                      • J
                        javiermoreno
                        last edited by

                        @juancho:

                        sysctl -a | egrep -i 'hw.machine|hw.model|hw.ncpu'  o este sysctl hw.model hw.machine hw.ncpu

                        Aqui lo que dice ya probe una live cd 64 bit y no arranco se queda reiniciando constantemente.

                        1 Reply Last reply Reply Quote 0
                        • J
                          javcasta
                          last edited by

                          Hola

                          Ese comando muestra una salida para un sistema operativo de 32 bits, lo cual es como hacer "trampa", si yo instalo sobre una máquina con arquitectura 64bits un OS (linux, freeBSD, etc) de 32 bits (que claro que se puede), obtendré siempre outputs para esos comandos, salidas para máquina de 32 bits.

                          Para los servidores HP, hay que retocar la BIOs, sí o sí (desactivando y activando algunas opciones que afectan al HW), busca en el foro y google, que creo que sí se puede, he leido algo sobre el tema y sé que da mucha lata a quien lo ha hecho, pero no hay nada fácil.. :)

                          A no ser que te conformes con que trabaje con una sola cpu y como máximo de RAM 4GB.

                          Salu2

                          Javier Castañón
                          Técnico de comunicaciones, soporte y sistemas.

                          Mi web: https://javcasta.com/

                          Soporte scripting/pfSense https://javcasta.com/soporte/

                          1 Reply Last reply Reply Quote 0
                          • A
                            alejandrolione
                            last edited by

                            Buenas aca hay algunos temas para aclarar:

                            1–-El cpu que viene acompañando a la serie g3 de proliant no posee instrucciones de 64bit (AMD64) por tanto no se puede  correr sistemas de esa estructura.

                            2---La estructura no limita la cantidad de hilos, ya sea procesadores, nucleos (virtuales o fisicos). Tengan en cuenta que desde los pentium 1 ya existian placas multiprocesador y en ese entonces ni se hablaba de 64bit.

                            3---La cantidad de ram que acepta ese srv es maximo 8gb, la respuesta al por que es simple, cuando todavia no existian los 64bits (al menos en x86) se ideo una instruccion llamada "PAE" la cual direccionaba 36BITS por software sobre los 32BITS hardware, esto permitia extender ese teorico 4gb.

                            4---Los slot pci64 no tienen que ver con el procesamiento del cpu si no que los pci comuns tenian un ancho de bus de 32bits que para los srv solia quedar corto para eso IBM amplio al doble este bus, entonces solo hablamos de cuantos datos (por asi decirlo) pueden circular en el bus pci al mismo tiempo (el doble que en el bus standar)

                            5---No hay manera de hacer que un cpu 32 trabaje en 64, solamente si trae la intruccion PAE puede trabajar en 36 lo que  es  suficiente para la ram que mencionas.

                            6---Dual procesor o dual core no es lo mismo y en cualquiera de los casos existen en 32 y en 64 bits.

                            De todas maneras cabe la posibilidad de averiguar si en ese mother puede instalarce algun procesador compatible x64 lo cual puede ser.
                            Ahora Depende las funciones que quieras darle a tu pf puede ser util o no.

                            Pasando en limpio el tema hardware:
                            Si te es necesario usar toda la ram posible hay dos opciones:

                            1---Buscar procesador x64 compatible con tu mother, lo cual es bastante posible
                                2---Ver como utilizar direccionamiento 36bits (PAE) en freebsd

                            ¿Pudiste ingresar al panel web de pf para asi ver cuanta ram y nucleos, procesadores o hilos reconoce?

                            Seria bueno saber cuanta ram te indica para aprender, al menos desde mi conocimiento, si la intruccion PAE viene habilitada por defaul o hay que hacer algo para que funcione.

                            En relacion a el procesador a tener en cuenta varias cosas:
                                1---Ese srv soporta hasta 2 cpu (lo cual no significa que esten instaladas)
                                2---Ese cpu tiene solo 1 nucleo pero desde windows se verian 2 por que tiene Hyper-Threading (1 nucleo fisico + 1 virtual)    esto si se puede deshabilitar desde bios. Nuevamente aca desconosco el soporte para esta tecnologia por parte de freebsd

                            ok hasta aca llegamos si podes controlar y pasar data sobre esto, cerramos este punto y avanzamos sobre lo que sigue

                            S.C.

                            1 Reply Last reply Reply Quote 0
                            • J
                              javiermoreno
                              last edited by

                              Ok, gracias por los comentarios.

                              Efectivamente ya estaba leyendo como activar PAE, toca compilar kernel
                              He usado este equipo con otros OS y siempre toca hacer algo para que reconozca los 6gb de RAM de ahi lo que dije al principio que me parecia normal esto.
                              En cuanto al procesador tengo 2 procesadores XEON físicamente y tengo Hyper-Threading  activo en el BIOS.
                              Anexo lo que sale en la pantalla del pfsense.
                              Ya tengo instalado y funcionando en un entorno controlado pequeño filtrando en modo no transparente etc y esto marcha bien, pero me preocupa que muchas veces el procesaor dice 100% usado lo que me hace pensar que si lo pongo en producción en mi entorno completo colapsara, incluso actualmente se activan los ventiladores adicionales de temperatura a pesar de estar en ambiento con aire acondicionado a 16grados.
                              Creo que no seguiré adelanto si no logro que reconozco al menos los 2 procesadores ya que  pensaba hasta sustituir los mikrotik hacer enrutamiento y todo desde el pfsense dejandolos solo para puente.

                              1 Reply Last reply Reply Quote 0
                              • J
                                javcasta
                                last edited by

                                Hola.

                                Muy buena la info y la explicación alejandrolione.

                                Resumiendo que la serie g3 esta obsoleta ("viejuna").

                                Desde luego es una pena que no se pudieran usar los 2 procesadores y hasta los 8GB de ram, seria un muy buen HW a pesar de estar obsoleto.

                                Un link para: Large Memory Configuration (PAE) Kernel for FreeBSD 9.2 i386 (x86)

                                https://forums.freebsd.org/threads/43177/

                                Ni idea si el sabor/MOD pfSense 2.3 de freeBSD 10.3 aceptaria soporte para PAE.
                                Imagino que en el foro en inglés debe de haber más info.

                                Salu2

                                Javier Castañón
                                Técnico de comunicaciones, soporte y sistemas.

                                Mi web: https://javcasta.com/

                                Soporte scripting/pfSense https://javcasta.com/soporte/

                                1 Reply Last reply Reply Quote 0
                                • A
                                  alejandrolione
                                  last edited by

                                  Si vas a    Diagnostics/CommandPrompt podes poner en Execute Shell Command escribis el comando: dmesg -a esto va a darte la salida que vemos cuando el srv inicia, entre otras cosas se llega a ver si levanta los nucleos por ejemplo:

                                  lapic6: Forcing LINT1 to edge trigger
                                  SMP: AP CPU #3 Launched!
                                  lapic2: Forcing LINT1 to edge trigger
                                  SMP: AP CPU #1 Launched!
                                  lapic4: Forcing LINT1 to edge trigger
                                  SMP: AP CPU #2 Launched!

                                  La lista es larga asi que a leer detenidamente, si se presta atencion se ve que pareceria iniciar solo 3 esto es por que el 0 siempre esta, aca solo muestra los extras.

                                  El problema es que muchos modulos internos del cpu o a veces incorporados en el mother que son los encargados de informar temperatura, carga, etc. pueden no tener soporte en pf dado esto se aprecian errores en la informacion.
                                  Por ejemplo en los procesadores via c7 es normal que informe que la temperatura es 379 ºc cuando solo al tacto se nota frio.
                                  El srv que tenes tiene potencia sobrada para muchisimo trabajo pero en ese tipo de hardware es comun tener que trabajar para ponerlo a punto.

                                  1 Reply Last reply Reply Quote 0
                                  • J
                                    javcasta
                                    last edited by

                                    Hola.

                                    Filtra el dmesg, con dmesg -a | grep cpu, por ejemplo

                                    [2.3-RELEASE][root@pfSense3.localdomain.local]: dmesg -a | grep cpu
                                    cpu0 (BSP): APIC ID:  0
                                    cpu1 (AP): APIC ID:  2
                                    cpu0: <acpi cpu="">on acpi0
                                    cpu1: <acpi cpu="">on acpi0
                                    cpu0 (BSP): APIC ID:  0
                                    cpu1 (AP): APIC ID:  2
                                    cpu0: <acpi cpu="">on acpi0
                                    cpu1: <acpi cpu="">on acpi0
                                    cpu0 (BSP): APIC ID:  0
                                    cpu1 (AP): APIC ID:  2
                                    cpu0: <acpi cpu="">on acpi0
                                    cpu1: <acpi cpu="">on acpi0
                                    cpu0 (BSP): APIC ID:  0
                                    cpu1 (AP): APIC ID:  2
                                    cpu0: <acpi cpu="">on acpi0
                                    cpu1: <acpi cpu="">on acpi0</acpi></acpi></acpi></acpi></acpi></acpi></acpi></acpi>

                                    Salu2

                                    Javier Castañón
                                    Técnico de comunicaciones, soporte y sistemas.

                                    Mi web: https://javcasta.com/

                                    Soporte scripting/pfSense https://javcasta.com/soporte/

                                    1 Reply Last reply Reply Quote 0
                                    • A
                                      alejandrolione
                                      last edited by

                                      llendo al BIOS del srv busca una opcion que dice "installed OS" y seguramente indica windows, reemplaza esta opcion por "other" esto deberia solucionar el problema del multiprocesamiento.

                                      Comenta como te fue asi vemos si podemos hacer algo mas por vos.
                                      Tambien tene en cuenta que la actualizacion de BIOS en estos equipos suele ser bastante importante, habiendo leido el detalle de la actualizacion antes.

                                      S.C.

                                      edito: el comando que pone el compañero javcasta te ahorra buen tiempo de mirar el log pero tene en cuenta usar CPU con letras mayusculas que no es lo mismo.

                                      1 Reply Last reply Reply Quote 0
                                      • J
                                        javcasta
                                        last edited by

                                        Hola.

                                        Sí, mejor con esto: dmesg -a | grep -E "cpu | CPU"
                                        –---

                                        <<<--añadido--- al copiar comandos, directamente de una pag web, ojo que las comillas no son las adecuadas.

                                        dmesg -a | grep -E "cpu | CPU"
                                        ```<< de aquí si se puede copiar sin problemas.
                                        –---
                                        
                                        > [2.3-RELEASE][root@pfSense3.localdomain.local]: dmesg -a | grep -E "cpu | CPU"
                                        > CPU: AMD Phenom™ 9500 Quad-Core Processor (2194.50-MHz K8-class CPU)
                                        > FreeBSD/SMP: Multiprocessor System Detected: 2 CPUs
                                        > cpu0: <acpi cpu="">on acpi0
                                        > cpu1: <acpi cpu="">on acpi0
                                        > SMP: AP CPU #1 Launched!
                                        > CPU: AMD Phenom(tm) 9500 Quad-Core Processor (2194.50-MHz K8-class CPU)
                                        > FreeBSD/SMP: Multiprocessor System Detected: 2 CPUs
                                        > cpu0: <acpi cpu="">on acpi0
                                        > cpu1: <acpi cpu="">on acpi0
                                        > SMP: AP CPU #1 Launched!
                                        > CPU: AMD Phenom(tm) 9500 Quad-Core Processor (2194.50-MHz K8-class CPU)
                                        > FreeBSD/SMP: Multiprocessor System Detected: 2 CPUs
                                        > cpu0: <acpi cpu="">on acpi0
                                        > cpu1: <acpi cpu="">on acpi0
                                        > SMP: AP CPU #1 Launched!
                                        > CPU: AMD Phenom(tm) 9500 Quad-Core Processor (2194.50-MHz K8-class CPU)
                                        > FreeBSD/SMP: Multiprocessor System Detected: 2 CPUs
                                        > cpu0: <acpi cpu="">on acpi0
                                        > cpu1: <acpi cpu="">on acpi0
                                        > SMP: AP CPU #1 Launched!</acpi></acpi></acpi></acpi></acpi></acpi></acpi></acpi>
                                        
                                        Salu2

                                        Javier Castañón
                                        Técnico de comunicaciones, soporte y sistemas.

                                        Mi web: https://javcasta.com/

                                        Soporte scripting/pfSense https://javcasta.com/soporte/

                                        1 Reply Last reply Reply Quote 0
                                        • J
                                          javiermoreno
                                          last edited by

                                          Amigo Alejandro gracias

                                          no logro encontrar nada que me indique que levanta mas de 1 cpu
                                          anexo el log por si acaso le quieres ver
                                          Saludos

                                          log.txt

                                          1 Reply Last reply Reply Quote 0
                                          • A
                                            alejandrolione
                                            last edited by

                                            La mayoria de los srv de esta flia tiene este problema.
                                            Esto se soluciona en el BIOS, busca la opcion "installed OS" y seguramente indica windows, reemplaza esta opcion por "other"

                                            De esta manera, al menos en mi experiencia se soluciona

                                            Sobre el log enviado: claramente no esta usando SMP realiza el procedimiento arriba mencionado, lo bueno es que con este log tambien confirmamos que este cpu tiene la instruccion PAE.

                                            Deberias poder usar toda la memoria y el multiprocesamiento

                                            S.C.

                                            1 Reply Last reply Reply Quote 0
                                            • First post
                                              Last post
                                            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.