Instalación pfsense en un servidor virtualizado



  • Hola,

    Soy nueva en el mundo pfsense y quiero hacer una pregunta.

    Debo instalar un portal cautivo con pfsense en un servidor virtualizado con vmware.
    Hice pruebas con una máquina cliente igualmente virtualizada, pero ahora necesito hacerlas con pc reales de forma inalámbrica
    Que debo hacer?

    Saludos!!



  • No creo que haya diferencia entre una máquina virtual y una "real", salvo el nombre de las NIC, si puedes definir mejor tu problema, con gusto te puedo dar ideas o ayudar, o cualquier otro usuario del foro.

    Cuando hice mis primeras pruebas en pfSense, todo lo hice virtualizado con virtualbox, luego de probar todas las cosas que necesitaba, hice la instalación en los hierros (DL-360 HP G7) y configuré todo de la misma manera, salvo que las NICs tenían otros alias.

    Saludos



  • Muchas gracias Rodria!!
    Te explico:

    Tengo una red wifi donde la gente que se conecta lo hace a través de filtrado de MAC.
    Debo hacer un portal cautivo para la gente "invitada" que viene a este lugar. La red que está con filtro de MAC, Esta en una vlan y la de invitados estará en otra.
    Mi duda es como configuro la vlan de los invitados en el portal cautivo sin tener conflictos con la otra vlan.

    Atenta a sus respuestas.



  • No he trabajado en eso con pfSense, pero presumo que debe ser igual que en Cisco, por cada VLAN debes tener un SSID y tus invitados ingresas al SSID que configures para ellos, y tu usas el SSID de tu red interna.

    Solo para aclarar algo, el hecho de filtrar las MAC Addr no te asegura que alguien no se meta, puedes sniffear el "aire" y ver las redes inalámbricas, las máquinas que hacen peticiones a esa red y por ende, capturar su MacAddress, clonarla en tu máquina y listo, acceder a la red inalámbrica… cosas como WAP2, Radius, entre otras opciones más complejas puede asegurar mejor su red.

    Saludos



  • Saludos mi estimado el tema del clonaje de mac ya se ha hablado mucho el compañero solo debe colocar el portal cautivo en una subdred diferente siempre y cuando este vaya  a ser usado solo como publicidad inalambrica al estilo hostpot…. Ahora bien si el tema es dar acceso a internet recomiendo tomar las previsiones necesarias en pfsense para asegurar la lan de clientes que dara acceso a clientes inalambricos...



  • Amnarl como publicidad inalambrica? pretendo crear una vlan diferente para la gente externa que se quiere conectar al wifi de la empresa… de esa vlan quiero que salgan a internet, a través de un porta cautivo. mi duda es como hacer que el pfsense funcione de manera correcta en un servidor virtualizado. ya que pretendemos alojarlo en un servidor con maquinas virtuales en su interior.
    Que debe contener?

    Gracias y saludos!!



  • Ok uso de portal cautivo para publicitar el negocio muchos WISP lo hacen. El trabajar virtualizado es lo mismo que usarlo en pc fisica no cambia nada mas que el software que vayas a usar para virtualizar….  Lo que no entiendo es porque deseas manejar por medio de portal cautivo los clientes inlambricos ...



  • Amnarl, quiero implementarlo como una mejora a la red, ya que viene gente como por ejemplo consultores externos a la empresa y para poder conectarse se les pide la MAC, solo es por una cuestion de orden y control de MAC's conectadas. Por eso solicito orientación, ya que estoy haciendo practica en esta empresa y me encargaron realizar una mejora a la red wifi.

    Estaría muy agradecida por su ayuda  :D



  • Yo resolvi eso con una Vlan+switch administrable +Access point.

    Esta vlan esta totalmente desvinculada de las redes de la empresa,  igual tiene sus niveles de seguridad para evitar que cualquiera se conecte. al llegar una "visita" simplemente le doy la clave y me olvido de registrar mac y todo eso. (anteriormente tenia que hacer eso). ahora me quite ese dolor de cabeza



  • Juancho,
    Podrías ayudarme en este tema?? lo mismo que hiciste tú, es lo que yo quiero implementar como mejora

    Estaría agradecida de tu ayuda  ;D



  • Trabajar acceso inalambrico por medio de claves??? Dioos que puedo decir…



  • amnarl, el  hecho de usar claves para la parte inalambrica creo que no es algo nuevo y para el caso en el que los usuarios no son permanentes ayudo mucho tener un sistema como este,  el sistema puede tener muchas variaciones. incluyendo la autenticacion por radius y algun sistema que pueda incluso generar las claves de manera dinámica como lo hace el controlador de Ruckus Wireless que basicamente se autogestiona.  O simplemente pedirsela a la persona de recepcion que podria generarla via algun sistema web con la anuencia del depto de TI.

    La red de invitados puede ser una interface independiente o una VLAN que unicamente permita el acceso hacia internet , para el caso de usuarios de la empresa fijos o temporales se puede asociar otro ESSID a otra VLAN o incluso a interfaces diferentes.  Hay muchas maneras de resolver las cosas , el hecho de que no nos parezcan lo mejor para nosotros no implica que no le sean útiles a otras personas. Venimos para el foro tratando de encontrar algo de ayuda.  Es muy posible que encontremos critica y hasta burla pero si posteamos creo que debemos de dar por lo menos alguna alternativa util.

    Saludos



  • @amnarl:

    Trabajar acceso inalambrico por medio de claves??? Dioos que puedo decir…

    Matarme la cabeza con un radius o portal, para personas quequizas nunca vuelvan a ira la empresa, no creo que sea algo por lo que deba sufrir. La solucion que tengo funciona  y es segura. No tengo mi red comprometida por eso al final es lo que importa.

    P.D tengo una solucion parecida y esa ni clave tiene :D :D :D ;)..



  • Esta bien Juancho, pero igual no aportas nada en el comentario. Cual seria la sugerencia ?

    No todo mundo entiende de Vians o switches de capa 2 o tres . Tal vez una solución sería colocar otra interface con sus reglas de Shaping y salida de tráfico , no se , se me ocurre .



  • Yo hago la pregunta por este medio estimados porque estoy en proceso de practica… y lamentablemente no tengo mucho apoyo de las personas que trabajan en la parte de redes en esta empresa, he tenido que hacer todo yo sola y nadie me explica... por eso pregunto por este foro, ya que quiero darle luego la solución a la mejora de la red inalambrica.

    Puede que sea buena o no la solución, pero solo necesito que me ayuden, porque estoy urgida con este tema.

    Saludos.


  • Rebel Alliance

    Pues, en ese caso, debes crear la VLAN (en la que estará el CP para los invitados) tanto en Tu/s Switch/es como en el pfSense, y luego activas el CP en dicha VLAN ;)

    https://forum.pfsense.org/index.php?topic=23409.0



  • Sres el tema es que realmente un portal cautivo dejando entrar hosts para darle conexion a internet en la misma subred de clientes es un fallo de seguridad barbaro a eso me refiero y las conexiones con claves como seguridad hoy dia no es una solucion profesional . Lo que yo sugiero es colocar otra subred bien sea fisica o por medio de vlan por donde pueda conectar a esos clientes ocasionales y habilitar la conexion por ese tiempo especifico estableciendo los parametros de su conexion y hasta donde pueden llegar. Que si usara radius u otra forma de activar la conexion a dichos clientes ya lo dejo a criterio de la compañera en lo personal le pudiera recomendar como dijo el compañero acriollo y dependiendo de sus conocimiento en sistemas web o la posibilidad dentro de su organizacion de usarlo, crear un sistema web donde el personal autorizado le cargue la informacion del equipo si sera por filtro de mac en pfsense que hara el servicio para asi activar la conexion en el portal durante el tiempo de estadia de dicho personal que requiere la conexion.

    Jamas uno se imagina las cosas que pueden suceder en entornos como esos poco seguro y en la seguridad informatica si a veces hay que se medio paranoico protegerse de toda posible intrusion vuelvo y repito uno nunca sabe cuales son las intensiones de personas inclusive que pertenezcan a la organizacion por ello es mejor estar prevenidos mas en entorno donde hay data importante y sensible a cualquier usuario mal intencionado.

    Espero me entiendan la sugerencia planteada a la compañera

    NOTA: En ningun momento estoy estableciendo algun tipo de burla o quizas malos comentarios con mi respuesta anterior solo que me causo admiracion que en una organizacion estemos pensando en que la proteccion de acceso inalambrico sea por una clave al estilo routers en hogares cuando no es una cosa de otro mundo saber que existen sistemas al estilo mkbrutus que en tan solo 5 min pueden a fuerza bruta decifrar un password.



  • @amnarl:

    Sres el tema es que realmente un portal cautivo dejando entrar hosts para darle conexion a internet en la misma subred de clientes es un fallo de seguridad barbaro a eso me refiero y las conexiones con claves como seguridad hoy dia no es una solucion profesional

    NOTA: En ningun momento estoy estableciendo algun tipo de burla o quizas malos comentarios con mi respuesta anterior solo que me causo admiracion que en una organizacion estemos pensando en que la proteccion de acceso inalambrico sea por una clave al estilo routers en hogares cuando no es una cosa de otro mundo saber que existen sistemas al estilo mkbrutus que en tan solo 5 min pueden a fuerza bruta decifrar un password.

    Evidentemente, sabemos que aca son muchos los profesionales que hay no se trata de eso, pero si ves en mi intervencion inicial, claramente se le recomienda a la compañera, que esas redes deben estar separadas por cuestiones de seguridad

    @juancho:

    Yo resolvi eso con una Vlan+switch administrable +Access point.

    Esta vlan esta totalmente desvinculada de las redes de la empresa,  igual tiene sus niveles de seguridad para evitar que cualquiera se conecte. al llegar una "visita" simplemente le doy la clave y me olvido de registrar mac y todo eso. (anteriormente tenia que hacer eso). ahora me quite ese dolor de cabeza

    aunque en realidad es una interfaz directa del pfsense a un switch administrable donde se crea la vlan para conectar los 5 AP a su red. No le veo la falta de seguridad ni la mala recomendacion..



  • Hola, creo que la idea desde un inicio es la de colocar la parte de invitados en otra subred con las respectivas reglas de seguridad, shaping, etc.

    El dilema esta en como implementarlo, pero todo depende de las habilidades de cada uno o la facilidad para adquirirlas, informacion hay bastante en el foro.

    Las opcione son :

    Switch + VLANs + proceso de autenticacion
    Interface independiente en el pfsense + proceso de autenticacion
    Aps L2/L3 +  Switch + proceso de autenticaion

    Como siempre hay varias maneras de atacar el problema y ya uno como administrador deberá de tomar las decisiones y responsabilidades correspondientes.

    Ojala esto abone en algo positivo.



  • Estimados,

    Para realizar el proceso de DHCP, debo crearlo en el mismo pfsense y después engancharlo a un DHCP diferente? o debo direccionarlo directamente al DHCP que hay en la empresa?

    Muchas gracias por la ayuda.


Log in to reply