PfSense con switch gestionable para sustituir a un sonicwall
-
Buenas a todos!
soy nuevo aqui, os llevo leyendo unos días y me parece tremendamente interesante el pfSense y todo lo que comentais aquí.
soy administrador de sistemas de una empresa y tenemos funcionando un sonicwall pro2040, nos han indicado que ya han descatalogado este firewall y nos han prorrogado un año más (el último) el mantenimiento pagando unos 680 euros anuales.
Como alternativa, los partners de Sonic que nos ayudan nos han ofrecido el nsa250m, unos 3000 euros, a eso sumaríamos la puesta en marcha, migración de un firewall a otro. El tema nos saldría por un pico.
Tengo que decir que estoy contento con el sonic, pero me come la curiosidad de probar el pfsense. Esta curiosidad la tengo por que he invertido tiempo en aprender un poquito de linux y he puesto en marcha diversas máquinas linux para almacenamiento en red y funcionan perfectas, por supuesto, mejor que las windows para esas tareas.
Os comento la idea que tengo por si me podeis aconsejar:
- Partir de una placa sencillita, tipo la ALIX.3D3 (http://store.netgate.com/ALIX3D3-Indoor-Kit-P176.aspx), 170 dólares que al cambio saldría por unos 140 euros. Lleva 1 LAN, 2 miniPCI, 256MB RAM, USB, VGA, Audio, CPU: 500 MHz AMD Geode LX800 CPU
- NETGEAR GS105E, switch gestionable que permite VLANs, veo que está sobre los 40 euros (http://www.appinformatica.com/hubs-switch-netgear-gs105e-switch-5p-giga-vlan-qos-monitoriza.php)
- Utilizar VLANs como se indica en este post (http://forum.pfsense.org/index.php/topic,47388.0.html)
Por menos de 200 euros tendríamos el hardware.
Lo que nosotros utilizamos actualmente del firewall son algunos túneles vpn con el cliente vpn de sonic instalado en los windows de los clientes (máximo de 10), túneles de sonic al sonic del partner para que nos de soporte (un par de túneles), y restricciones de acceso a internet de determinadas IPs. Tenemos 2 accesos a internet (ni balanceados, ni nada) y una dmz. Respecto a la navegación/tráfico serían 60 usuarios que pueden usar una pequeña parte de la jornada laboral internet, pero simultaneamente que usen internet a la vez pueden ser 10 o 15 como máximo, además de la entrada y salida del servidor de correo que tenemos en la dmz.
El tema es que quiero trastear y aprender con el pfSense y si puedo sustituir el sonic por un firewall libre, mejor que mejor.
Gracias de antemano por vuestra ayuda y un saludo :)
-
Hola !
pues decirte que el pfsense , es un sistema duro como una roca , el link que mencionas en tu post , lo abri yo , que ya tenia una pfsense funcionando con 3 tarjetas de red , y lo pase a un atom barato y que no consume nada con 4 Gb de ram qu e cuestan 13 euros cada modulo de 2 Gb , y una sola tarjeta de red integrada .
La tarjeta que funciona seguro es esta:
http://www.amazon.es/Intel-Innovation-D525MW-Placa-memoria/dp/B0041RSC94/ref=sr_1_2?s=electronics&ie=UTF8&qid=1342725355&sr=1-2
vamos que no hay que ni pensarlo , eso si al principio tienes que trabajar un poquito. Pero tanto en ingles como en español en este foro la gente te ayuda.
Te deseo mucha suerte
una foto de como quedo :
-
Gracias pulpito! Hemos revisado la instalación a hacer con el tipo de hardware que comentas y tiene pinta de salir algo más potente por unos pocos euros más.
Entonces, partiendo de lo que indicas, creo que compraríamos:
En la web oficial la placa que indicas no aparece, pero esta…
http://www.appinformatica.com/placas-base-intel-intel.-boxd2700mud-atom-d2700-2.13ghz-mitx.php
Parece ser la evolución, unos 80 euros, supongo que funcionará, ¿no crees?El disco duro pondríamos el siguiente (hemos buscado el de menor capacidad):
http://www.pcbox.com/comprar-disco-duro-30gb-2-5-corsair-ssd-accelerator-serie-sata2_cor138.aspx
que sale por unos 60 eurosAdaptador de 2,5 a 3,5 pulgadas:
http://www.pcbox.com/comprar-adaptador-2-5-a-3-5-interno-ocz-ssd-bracket-2_ocz30.aspx
unos 8 euros2 placas de RAM de las siguientes, para tener 4 Gb:
http://www.pcbox.com/comprar-memoria-portatil-2-gb-ddr3-1066-kingston-cl7_kgn1285.aspx
sale por unos 30 eurosY la caja siguiente que lleva la fuente standard incluida:
http://www.appinformatica.com/torres-foxconn-rm-233-mini-itx-c-fte.-tfx.php
unos 40 eurosel switch comentado unos 40 euros.
El lector de CD ya lo tendríamos para hacer la instalación, luego lo quitaríamos.
En total saldrían unos 258 euros el hardware.
¿Como lo ves? ¿Crees que con 30 Gb de disco duro habría suficiente si se nos ocurre activar la opción de proxy del pfSense?
Gracias de antemano y un saludo
Jorge
-
Hola Jorge ,
yo no soy experto en hardware,y tampoco en pfsense, solo se que , en principio , yo no me puse metas muy altas al iniciarme con esto.
Bajo mi punto de vista , creo que , para empezar lo mejor es empezar con cualquier caja o cpu que funcione y sea vieja e instalarle un pfsense con varias tarjetas de red.
Hacer que todo funcione y pelearse con las reglas y otros asuntos perifericos.
Cuando esto este funcionando , (es lo que yo hice), entonces me compre la cajita pequeña que ves en la foto y puse un disco duro barato barato, para que funcione y pase todas las reglas al nuevo pfsense con las tres interfases virtuales un una sola tarjeta de red.
De los que envias , a mi me salen ciudades y no veo lo que me dices ni ningun hardware.
Haber si tengo mas suerte:
el disco duro que me compre 13 euros
http://www.ebay.de/itm/30G-30GB-HDD-2-5-IDE-Hard-Disk-for-Laptop-PC-/170702998006?pt=DE_Elektronik_Computer_Computer_Festplatten&hash=item27beb109f6
la placa base:
http://www.amazon.es/Intel-Innovation-D525MW-Placa-memoria/dp/B0041RSC94/ref=sr_1_2?s=electronics&ie=UTF8&qid=1343057546&sr=1-2
dos memorias de 2Gb baratas:
http://www.amazon.es/Kingston-Memoria-PC3-6400-204-pin-Port%C3%A1til/dp/B003XME83W/ref=pd_bxgy_e_img_by una caja muy barata y pequeña, en estos tiempos no me gasto un duro de mas, o incluso cualquier caja antigua, ¿que mas da ? si no hace ruido.
La placa base tiene un chip intel que maneja bien lo de las vlan, lo se porque esta funcionando.
Todo esto que te digo es lo que yo hice y eso no supone en absoluto garantia de nada .
eso si yo voy pasito a pasito , si te metes en muchas guerras a la vez , seguro pierdes, eso es lo que a mi me pasa , ir poco a poco , y haciendo backups , para hacer una retirada en orden.
saludos -
Buenas pulpito,
nuestras metas no son muy altas, simplemente aprender a manejarlo, disfrutar con ello y postearlo aquí en el foro para que se beneficien todos los usuarios, como hiciste tu en su día, luego ya sustituir el firewall comercial que tenemos por este.
El hardware ya lo hemos pedido por que tiene un coste bajo para la empresa (unos 250 euros) y estamos seguros de que va a funcionar. Una de las cosas más importantes es la tarjeta de red y esta placa lleva una Intel 82574L Gigabit Ethernet Controller, que hemos visto que se soporta en los foros del pfsense, al desarrollar intel los drivers para freeBSD.
De momento empezaremos a trastear con máquinas virtuales (vmware player, virtualbox, etc.) y sin VLANs para conocer un poco el pfsense y como se comporta, probar las reglas como tu indicabas, etc. Las dudas las iremos buscando en el foro.
También tenemos intención de comprar el libro oficial como manual de referencia, aunque sea de una versión anterior, seguro que tiene información interesante y de paso apoyamos el proyecto.EDITO INICIO:
Por cierto, los enlaces podían no funcionarte al ser búsquedas en una franquicia pero en tiendas locales, te pongo los de amazon para que los puedas ver bien, simplemente te indico la placa y el disco duro:
La placa:
http://www.amazon.com/Desktop-Board-D2700MUD-BOXD2700MUD–/dp/B007I55S3E/ref=sr_1_5?ie=UTF8&qid=1343137718&sr=8-5&keywords=BOXD2700MUDEl disco duro:
http://www.amazon.com/Corsair-Accelerator-Cache-Drive-CSSD-C30GB/dp/B007HBLFKY/ref=sr_1_1?s=electronics&ie=UTF8&qid=1343138011&sr=1-1&keywords=CSSD-C30GBEDITO FIN
Muchas gracias de nuevo por tu apoyo, iremos posteando en este hilo la evolución del tema.
Un saludo a todos!
-
Pues lo de comprar el libro…
como que no tiene caso si vas a usar la version 2.0.1 ya que esta difiere de la 1.x.x.
A menos que alguien me corrija y me diga que ya hay un libro para la 2.0.1. Saludos. -
hola, si hay libros para pfsense 2.x, esta en esta url, (Esta en ingles) http://www.amazon.com/pfSense-2-Cookbook-Matt-Williamson/dp/1849514860
ok, el problema con la caja, es que las nics soporten VLAN TAG, a ver que es eso, cuando creas una vlan, los paquetes salen etiquetados con 4 bits adicionales que son la identificacion de la VLAN, dicen! por alli que la mayoria de las tarjetas ya soportan el VLAN tag, yo principalmente no lo creo, pero debes buscar el modelo especifico de la tarjeta y hacer la prueba(buscar en internet que soporte el standar 802.1Q), ok, el detalle de si la tarjeta no soporta vlan tag es otro rollo(no se explicarlo por aca pero intentare), por defecto la trama de red es de (MTU) 1500 si le agregamos los 4 bits de vlan tag pasamos el tamaño, debes cambiar el mtu en el pfsense a 1496 o mas bajo para que quedes justo, debes tener en consideracion para la eso revisa este post http://www.smallnetbuilder.com/security/security-howto/31406-build-your-own-ids-firewall-with-pfsense?start=1,
vamos con el switch, el cable, que va del puerto X del switch al pfsense debes configurarlo como trunk port o link agregation o algo asi, (usamos cisco en mi empresa disculpame)
luego identificas los puertos que quieres para las vlan y los etiquetas y deberia funcionar todo, y con eso estarias bienYO presonalmente, tengo un pfsense para 1400 o 2000 equipos y funciona sumamente bien, he leido de instalaciones de mas de 10K equipos, facilmente lo reemplazaria por un sonicwall, OJO, todo depende del hardware que eligas,
revisa estos enlaces para la determinacion del hardware
http://www.pfsense.org/index.php?option=com_content&task=view&id=52&Itemid=49
http://www.pfsense.org/index.php?option=com_content&task=view&id=46&Itemid=51te coloco un ejemplo del libro de calculo de hardware:
Now, let’s determine our own requirements:
Our medium-sized business, Any Company USA, has 100 typical business
users. Our network infrastructure consists of CAT5 cable and 100 Mbps
switches. The majority of our traffic is web browsing, e-mails, and small
file sharing. Our 100-Mbps Internet connection is ample, and our primary
concern is being able to use what we’re paying for.
We want to provide VPN access for employees on the go, but we expect no
more than a handful of VPN connections at any given time and throughput
for these external users isn’t a primary concern. Of the additional packages
available to pfSense, we’ve decided we’d like to use the NTop package to
help us analyze our traffic and identify problems.Lastly, given the money we’re saving using the open source pfSense
platform, we’re going to build an additional fail-over firewall to comply with
our organization’s redundancy IT policy.
3. At this point we’ve identified our requirements as:
1 Gbps network hardware (cables and switches)
Unencrypted throughput of 100 Mbps
Encrypted throughput (VPN) of 20 Mbps
1-GHz CPU, 1-GB RAM
A second identical machine to be used as a failoverNOTA: DISCULPAME SI EXPLIQUE ALGO QUE YA SABIAS, no fue mi intencion, empece hacer el post pequeño y pues me
-
@MX:
Pues lo de comprar el libro…
como que no tiene caso si vas a usar la version 2.0.1 ya que esta difiere de la 1.x.x.
A menos que alguien me corrija y me diga que ya hay un libro para la 2.0.1. Saludos.hola, si hay libros para pfsense 2.x, esta en esta url, (Esta en ingles) http://www.amazon.com/pfSense-2-Cookbook-Matt-Williamson/dp/1849514860
Aqui pueden leer lo que a uno de los creadores de pfSense respect a los 2 libros:
http://forum.pfsense.org/index.php/topic,44741.0.html
Saludos
-
Hola a todos de nuevo!
Ante todo disculpad que no haya contestado antes, me he tomado una semana de vacaciones y he desconectado un poco. Como libro de lectura para desconectar he cogido el pfSense - The definitive guide ;D, está muy bien escrito y explicado, es una gozada.
Gracias MX, milanojs y ptt por vuestras respuestas.
Respecto a si la tarjeta de red es compatible y soporta VLAN, en el manual de la placa (http://downloadmirror.intel.com/20716/eng/D2700MUD_TechProdSpec02.pdf) indica lo siguiente:
The LAN subsystem consists of the following:
• Intel NM10 Express Chipset
• Intel 82574L Gigabit Ethernet Controller for 10/100/1000 Mb/s Ethernet LAN
connectivity
• RJ-45 LAN connector with integrated status LEDsSi busco informacion sobre la intel 82574L en el foro (http://forum.pfsense.org/index.php/topic,46846.msg245859.html) y en los foros de FreeBSD (http://forums.freebsd.org/showthread.php?t=22217) si que parece ser compatible con el pfSense.
Respecto a si soporta VLANs, en la documentación de la tarjeta (http://www.intel.com/content/dam/doc/product-brief/82574l-82574it-gbe-controller-brief.pdf) observo lo siguiente:
Host Offloading Features
…
IEEE 802.1q Virtual Local Area Network (VLAN) support with VLAN tag
insertion, stripping and packet filtering for up to 4096 VLAN tags
• Adding (for transmits) and ping (for receives) of VLAN tags
• Filtering packets belonging to certain VLANs
...y en el foro (http://forum.pfsense.org/index.php?topic=40687.0) confirman que funciona correctamente el tema de las VLANs.
Hay una cosa que me asusta un poco y es esto: http://forum.pfsense.org/index.php/topic,52448.0.html, ¿están incluidas estas actualizaciones en la última versión estable del pfsense? ¿Deberé instalar una versión beta para que funcione el hardware con seguridad? ¿Debería parchear la instalación de alguna manera? Para esto si que necesitaría una aclaración.
milanojs te agradezco mucho el detalle de tu explicación, me alegra saber que el pfsense puede dar cobertura a una cantidad de equipos tan grande, me tranquiliza.
El hardware ya lo tenemos, esta semana instalaré el pfsense a ver que tal funciona y configuraré el switch gestionable, posteándo aquí la configuración por si alguien se puede beneficiar de ello.
Gracias de nuevo a todos y un saludo
Jorge