PfSense con switch gestionable para sustituir a un sonicwall



  • Buenas a todos!

    soy nuevo aqui, os llevo leyendo unos días y me parece tremendamente interesante el pfSense y todo lo que comentais aquí.

    soy administrador de sistemas de una empresa y tenemos funcionando un sonicwall pro2040, nos han indicado que ya han descatalogado este firewall y nos han prorrogado un año más (el último) el mantenimiento pagando unos 680 euros anuales.

    Como alternativa, los partners de Sonic que nos ayudan nos han ofrecido el nsa250m, unos 3000 euros, a eso sumaríamos la puesta en marcha, migración de un firewall a otro. El tema nos saldría por un pico.

    Tengo que decir que estoy contento con el sonic, pero me come la curiosidad de probar el pfsense. Esta curiosidad la tengo por que he invertido tiempo en aprender un poquito de linux y he puesto en marcha diversas máquinas linux para almacenamiento en red y funcionan perfectas, por supuesto, mejor que las windows para esas tareas.

    Os comento la idea que tengo por si me podeis aconsejar:

    Por menos de 200 euros tendríamos el hardware.

    Lo que nosotros utilizamos actualmente del firewall son algunos túneles vpn con el cliente vpn de sonic instalado en los windows de los clientes (máximo de 10), túneles de sonic al sonic del partner para que nos de soporte (un par de túneles), y restricciones de acceso a internet de determinadas IPs. Tenemos 2 accesos a internet (ni balanceados, ni nada) y una dmz. Respecto a la navegación/tráfico serían 60 usuarios que pueden usar una pequeña parte de la jornada laboral internet, pero simultaneamente que usen internet a la vez pueden ser 10 o 15 como máximo, además de la entrada y salida del servidor de correo que tenemos en la dmz.

    El tema es que quiero trastear y aprender con el pfSense y si puedo sustituir el sonic por un firewall libre, mejor que mejor.

    Gracias de antemano por vuestra ayuda y un saludo  :)



  • Hola !
    pues decirte que el pfsense , es un sistema duro como una roca , el link que mencionas en tu post , lo abri yo , que ya tenia una pfsense funcionando con 3 tarjetas de red , y lo pase a un atom barato y que no consume nada con 4 Gb de ram  qu e cuestan 13 euros cada modulo de 2 Gb , y una sola tarjeta de red integrada .
    La tarjeta que funciona seguro es esta:
    http://www.amazon.es/Intel-Innovation-D525MW-Placa-memoria/dp/B0041RSC94/ref=sr_1_2?s=electronics&ie=UTF8&qid=1342725355&sr=1-2
    vamos que no hay que ni pensarlo , eso si al principio tienes que trabajar un poquito. Pero tanto en ingles como en español en este foro la gente te ayuda.
    Te deseo mucha suerte
    una foto de como quedo :



  • Gracias pulpito! Hemos revisado la instalación a hacer con el tipo de hardware que comentas y tiene pinta de salir algo más potente por unos pocos euros más.

    Entonces, partiendo de lo que indicas, creo que compraríamos:

    En la web oficial la placa que indicas no aparece, pero esta…
    http://www.appinformatica.com/placas-base-intel-intel.-boxd2700mud-atom-d2700-2.13ghz-mitx.php
    Parece ser la evolución, unos 80 euros, supongo que funcionará, ¿no crees?

    El disco duro pondríamos el siguiente (hemos buscado el de menor capacidad):
    http://www.pcbox.com/comprar-disco-duro-30gb-2-5-corsair-ssd-accelerator-serie-sata2_cor138.aspx
    que sale por unos 60 euros

    Adaptador de 2,5 a 3,5 pulgadas:
    http://www.pcbox.com/comprar-adaptador-2-5-a-3-5-interno-ocz-ssd-bracket-2_ocz30.aspx
    unos 8 euros

    2 placas de RAM de las siguientes, para tener 4 Gb:
    http://www.pcbox.com/comprar-memoria-portatil-2-gb-ddr3-1066-kingston-cl7_kgn1285.aspx
    sale por unos 30 euros

    Y la caja siguiente que lleva la fuente standard incluida:
    http://www.appinformatica.com/torres-foxconn-rm-233-mini-itx-c-fte.-tfx.php
    unos 40 euros

    el switch comentado unos 40 euros.

    El lector de CD ya lo tendríamos para hacer la instalación, luego lo quitaríamos.

    En total saldrían unos 258 euros el hardware.

    ¿Como lo ves? ¿Crees que con 30 Gb de disco duro habría suficiente si se nos ocurre activar la opción de proxy del pfSense?

    Gracias de antemano y un saludo

    Jorge



  • Hola Jorge ,
    yo no soy experto en hardware,y tampoco en pfsense, solo se que , en principio , yo no me puse metas muy altas al iniciarme con esto.
    Bajo mi punto de vista , creo que , para empezar lo mejor es empezar con cualquier caja o cpu que funcione y sea vieja e instalarle un pfsense con varias tarjetas de red.
    Hacer que todo funcione y pelearse con las reglas y otros asuntos perifericos.
    Cuando esto este funcionando , (es lo que yo hice), entonces me compre la cajita pequeña que ves en la foto y puse un disco duro barato barato, para que funcione y pase todas las reglas al nuevo pfsense con las tres interfases virtuales un una sola tarjeta de red.
    De los que envias , a mi me salen ciudades y no veo lo que me dices ni ningun hardware.
    Haber si tengo mas suerte:
    el disco duro que me compre 13 euros
    http://www.ebay.de/itm/30G-30GB-HDD-2-5-IDE-Hard-Disk-for-Laptop-PC-/170702998006?pt=DE_Elektronik_Computer_Computer_Festplatten&hash=item27beb109f6
    la placa base:
    http://www.amazon.es/Intel-Innovation-D525MW-Placa-memoria/dp/B0041RSC94/ref=sr_1_2?s=electronics&ie=UTF8&qid=1343057546&sr=1-2
    dos memorias de 2Gb baratas:
    http://www.amazon.es/Kingston-Memoria-PC3-6400-204-pin-Portátil/dp/B003XME83W/ref=pd_bxgy_e_img_b

    y una caja muy barata y pequeña, en estos tiempos no me gasto un duro de mas, o incluso cualquier caja antigua, ¿que mas da ? si no hace ruido.
    La placa base tiene un chip intel que maneja bien lo de las vlan, lo se porque esta funcionando.
    Todo esto que te digo es lo que yo hice y eso no supone en absoluto garantia de nada .
    eso si yo voy pasito a pasito , si te  metes en muchas guerras a la vez , seguro pierdes, eso es lo que a mi me pasa , ir poco a poco , y haciendo backups , para hacer una retirada en orden.
    saludos



  • Buenas pulpito,

    nuestras metas no son muy altas, simplemente aprender a manejarlo, disfrutar con ello y postearlo aquí en el foro para que se beneficien todos los usuarios, como hiciste tu en su día, luego ya sustituir el firewall comercial que tenemos por este.
    El hardware ya lo hemos pedido por que tiene un coste bajo para la empresa (unos 250 euros) y estamos seguros de que va a funcionar. Una de las cosas  más importantes es la tarjeta de red y esta placa lleva una Intel 82574L Gigabit Ethernet Controller, que hemos visto que se soporta en los foros del pfsense, al desarrollar intel los drivers para freeBSD.
    De momento empezaremos a trastear con máquinas virtuales (vmware player, virtualbox, etc.) y sin VLANs para conocer un poco el pfsense y como se comporta, probar las reglas como tu indicabas, etc. Las dudas las iremos buscando en el foro.
    También tenemos intención de comprar el libro oficial como manual de referencia, aunque sea de una versión anterior, seguro que tiene información interesante y de paso apoyamos el proyecto.

    EDITO INICIO:

    Por cierto, los enlaces podían no funcionarte al ser búsquedas en una franquicia pero en tiendas locales, te pongo los de amazon para que los puedas ver bien, simplemente te indico la placa y el disco duro:

    La placa:
    http://www.amazon.com/Desktop-Board-D2700MUD-BOXD2700MUD–/dp/B007I55S3E/ref=sr_1_5?ie=UTF8&qid=1343137718&sr=8-5&keywords=BOXD2700MUD

    El disco duro:
    http://www.amazon.com/Corsair-Accelerator-Cache-Drive-CSSD-C30GB/dp/B007HBLFKY/ref=sr_1_1?s=electronics&ie=UTF8&qid=1343138011&sr=1-1&keywords=CSSD-C30GB

    EDITO FIN

    Muchas gracias de nuevo por tu apoyo, iremos posteando en este hilo la evolución del tema.

    Un saludo a todos!



  • Pues lo de comprar el libro…
    como que no tiene caso si vas a usar la version 2.0.1 ya que esta difiere de la 1.x.x.
    A menos que alguien me corrija y me diga que ya hay un libro para la 2.0.1. Saludos.



  • hola, si hay libros para pfsense 2.x, esta en esta url, (Esta en ingles) http://www.amazon.com/pfSense-2-Cookbook-Matt-Williamson/dp/1849514860

    ok, el problema con la caja, es que las nics soporten VLAN TAG, a ver que es eso, cuando creas una vlan, los paquetes salen etiquetados con 4 bits adicionales que son la identificacion de la VLAN, dicen! por alli que la mayoria de las tarjetas ya soportan el VLAN tag, yo principalmente no lo creo, pero debes buscar el modelo especifico de la tarjeta y hacer la prueba(buscar en internet que soporte el standar  802.1Q), ok, el detalle de si la tarjeta no soporta vlan tag es otro rollo(no se explicarlo por aca pero intentare), por defecto la trama de red es de (MTU) 1500 si le agregamos los 4 bits de vlan tag pasamos el tamaño, debes cambiar el mtu en el pfsense a 1496 o mas bajo para que quedes justo, debes tener en consideracion para la eso revisa este post http://www.smallnetbuilder.com/security/security-howto/31406-build-your-own-ids-firewall-with-pfsense?start=1,

    vamos con el switch, el cable, que va del puerto X del switch al pfsense debes configurarlo como trunk port o link agregation o algo asi, (usamos cisco en mi empresa disculpame)
    luego identificas los puertos que quieres para las vlan y los etiquetas y deberia funcionar todo, y con eso estarias bien

    YO presonalmente, tengo un pfsense para 1400 o 2000 equipos y funciona sumamente bien, he leido de instalaciones de mas de 10K equipos, facilmente lo reemplazaria por un sonicwall, OJO, todo depende del hardware que eligas,

    revisa estos enlaces para la determinacion del hardware
    http://www.pfsense.org/index.php?option=com_content&task=view&id=52&Itemid=49
    http://www.pfsense.org/index.php?option=com_content&task=view&id=46&Itemid=51

    te coloco un ejemplo del libro de calculo de hardware:

    Now, let’s determine our own requirements:
    ‰‰‰‰
    Our medium-sized business, Any Company USA, has 100 typical business
    users. Our network infrastructure consists of CAT5 cable and 100 Mbps
    switches. The majority of our traffic is web browsing, e-mails, and small
    file sharing. Our 100-Mbps Internet connection is ample, and our primary
    concern is being able to use what we’re paying for.
    We want to provide VPN access for employees on the go, but we expect no
    more than a handful of VPN connections at any given time and throughput
    for these external users isn’t a primary concern. Of the additional packages
    available to pfSense, we’ve decided we’d like to use the NTop package to
    help us analyze our traffic and identify problems.

    Lastly, given the money we’re saving using the open source pfSense
    platform, we’re going to build an additional fail-over firewall to comply with
    our organization’s redundancy IT policy.

    1. At this point we’ve identified our requirements as:
      ‰‰‰‰‰‰
      1 Gbps network hardware (cables and switches)
      Unencrypted throughput of 100 Mbps
      Encrypted throughput (VPN) of 20 Mbps
      1-GHz CPU, 1-GB RAM
      A second identical machine to be used as a failover

    NOTA: DISCULPAME SI EXPLIQUE ALGO QUE YA SABIAS, no fue mi intencion, empece hacer el post pequeño y pues me


  • Rebel Alliance

    @MX:

    Pues lo de comprar el libro…
    como que no tiene caso si vas a usar la version 2.0.1 ya que esta difiere de la 1.x.x.
    A menos que alguien me corrija y me diga que ya hay un libro para la 2.0.1. Saludos.

    @milanojs:

    hola, si hay libros para pfsense 2.x, esta en esta url, (Esta en ingles) http://www.amazon.com/pfSense-2-Cookbook-Matt-Williamson/dp/1849514860

    Aqui pueden leer lo que a uno de los creadores de pfSense respect a los 2 libros:

    http://forum.pfsense.org/index.php/topic,44741.0.html

    Saludos



  • Hola a todos de nuevo!

    Ante todo disculpad que no haya contestado antes, me he tomado una semana de vacaciones y he desconectado un poco. Como libro de lectura para desconectar he cogido el pfSense - The definitive guide ;D, está muy bien escrito y explicado, es una gozada.

    Gracias MX, milanojs y ptt por vuestras respuestas.

    Respecto a si la tarjeta de red es compatible y soporta VLAN, en el manual de la placa (http://downloadmirror.intel.com/20716/eng/D2700MUD_TechProdSpec02.pdf) indica lo siguiente:

    The LAN subsystem consists of the following:
    • Intel NM10 Express Chipset
    • Intel 82574L Gigabit Ethernet Controller for 10/100/1000 Mb/s Ethernet LAN
    connectivity
    • RJ-45 LAN connector with integrated status LEDs

    Si busco informacion sobre la intel 82574L en el foro (http://forum.pfsense.org/index.php/topic,46846.msg245859.html) y en los foros de FreeBSD (http://forums.freebsd.org/showthread.php?t=22217) si que parece ser compatible con el pfSense.

    Respecto a si soporta VLANs, en la documentación de la tarjeta (http://www.intel.com/content/dam/doc/product-brief/82574l-82574it-gbe-controller-brief.pdf) observo lo siguiente:

    Host Offloading Features

    IEEE 802.1q Virtual Local Area Network (VLAN) support with VLAN tag
    insertion, stripping and packet filtering for up to 4096 VLAN tags
    • Adding (for transmits) and ping (for receives) of VLAN tags
    • Filtering packets belonging to certain VLANs
    ...

    y en el foro (http://forum.pfsense.org/index.php?topic=40687.0) confirman que funciona correctamente el tema de las VLANs.

    Hay una cosa que me asusta un poco y es esto: http://forum.pfsense.org/index.php/topic,52448.0.html, ¿están incluidas estas actualizaciones en la última versión estable del pfsense? ¿Deberé instalar una versión beta para que funcione el hardware con seguridad? ¿Debería parchear la instalación de alguna manera? Para esto si que necesitaría una aclaración.

    milanojs te agradezco mucho el detalle de tu explicación, me alegra saber que el pfsense puede dar cobertura a una cantidad de equipos tan grande, me tranquiliza.

    El hardware ya lo tenemos, esta semana instalaré el pfsense a ver que tal funciona y configuraré el switch gestionable, posteándo aquí la configuración por si alguien se puede beneficiar de ello.

    Gracias de nuevo a todos y un saludo

    Jorge


Locked