Pfsense

El libro pfSense
Lanzamiento
subido por Garbage, comunidad.dragonjar.org
El equipo de pfSense
28 de de marzo de, 2017

CONTENIDO
1 Prefacio 1
1.1 Reconocimientos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1
1.2 Evaluación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
1.3 Convenciones tipográficas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
1.4 Autores . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
2 Prólogo 5
3 Introducción 7
3.1 ¿Qué significa para pfSense / media? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
3.2 ¿Por qué FreeBSD? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
3.3 Implementaciones comunes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
3.4 Terminología interfaz de nomenclatura . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
3.5 Búsqueda de información y obtención de ayuda . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
3.6 Proyecto de Inicio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
4 Conceptos de Redes 13
4.1 Comprensión de direcciones IP públicas y privadas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
4.2 Conceptos de subredes IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
4.3 Dirección IP, subred y Puerta Con fi guración . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
4.4 Comprensión de la notación de la máscara de subred en CIDR . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
4.5 CIDR Sumarización . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . dieciséis
4.6 Dominios de difusión . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17

4.7 IPv6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
4.8 Breve introducción a las capas del modelo OSI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
5 Hardware 31
5.1 Requisitos mínimos de hardware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
Selección 5.2 Hardware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
5.3 Hardware Orientación Dimensionamiento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
5.4 Hardware Tuning y solución de problemas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
Compatibilidad de Hardware 5.5 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
6 Instalación y actualización 39
6.1 Descarga del medio de instalación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
6.2 Preparar el medio de instalación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
6.3 conectarse a la consola . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46
6.4 Realizar la instalación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
6.5 Asignación de interfaces . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
6.6 Técnicas de instalación alternativas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55
6.7 Solución de problemas de instalación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56
yo
6.8 Actualización de una instalación existente . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
6.9 Ajustes del sistema de archivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
7 Con fi guración 63
Asistente 7.1 Configuración . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63
7.2 Interfaz Con fi guración . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70
7.3 Administración de listas en la GUI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72
7,4 navegar rápidamente la interfaz gráfica de usuario con accesos directos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72
7.5 Opciones Generales de Con fi guración . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73
7.6 Opciones avanzadas de Con fi guración . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75
7.7 Información básica del menú de la consola . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96
7.8 Sincronización de la hora . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102
7.9 Solución de problemas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104
7,10 pfSense XML Con fi guración del archivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107
7.11 ¿Qué hacer cuando se cerró la puerta de los WebGUI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108
7.12 Conexión a la WebGUI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112
8 Interfaz Tipos y con fi guración 115

8.1 Grupos de interfaz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115
8.2 Wireless . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117
8.3 VLAN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117
8.4 QinQs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117
8.5 Puentes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117
8.6 OpenVPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117
8.7 PPP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118
8,8 GRE (Generic Routing Encapsulation) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121
8,9 GIF (interfaz de túnel Generic) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121
8,10 LAGG (Link Aggregation) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122
8.11 Interfaz Con fi guración . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124
8.12 Tipos de WAN IPv4 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126
8.13 Tipos de WAN IPv6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128
8.14 interfaces físicas y virtuales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130
9 Gestión de usuarios y autenticación 131

Gestión del usuario 9.1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131
9.2 Servidores de autenticación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134
9.3 Ejemplos de autenticación externo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137
9.5 apoyo a lo largo pfSense . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141
10 Certi fi cado de Gestión 143

10.1 Certi fi cado de Gestión de la autoridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143
10.2 Certi fi cado de Gestión . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146
Gestión cado lista de revocación 10.3 Certi fi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 150
10.4 Introducción básica a X.509 Public Key Infrastructure . . . . . . . . . . . . . . . . . . . . . . . . . 152
11 Copia de seguridad y recuperación 155

Las copias de seguridad 11.1 decisiones en el WebGUI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155
11.2 Uso de la fi AutoCon gBackup Paquete . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155
11.3 factibles otros métodos de copia de seguridad remota . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 158
11.4 Restauración de copias de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 159
11.5 Los archivos de copia de seguridad y directorios con el paquete de copia de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . 162
11.6 Advertencias y Gotchas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163
11.7 Estrategias de respaldo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 164
ii
12 Firewall 165
12.1 Firewalling Fundamentals . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 165
12,2 Ingress Filtering . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167
12.3 Filtrado de Egreso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167
12.4 Introducción a la pantalla de las reglas del cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 170
12.5 Alias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174
12.6 de reglas de cortafuegos Buenas Prácticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181
Metodología 12.7 Regla . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 183
12.8 Con fi guración fi reglas de cortafuego . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 188
12.9 Reglas flotantes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 194
12.10 Métodos de uso de direcciones IP públicas adicionales . . . . . . . . . . . . . . . . . . . . . . . . . . . 196
12.11 direcciones IP virtuales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 199
12.12 Reglas basada en el tiempo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201
12.13 Ver los Registros del cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203
12.14 ¿Cómo se bloquea el acceso a un sitio Web? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207
12.15 Solución de problemas de las reglas del cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 208
Traducción de Direcciones de Red 13 211

13.1 puerto reenvía . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211
13.2 1: 1 NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 217
13,3 Ordenamiento de NAT y Firewall Processing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 220
13.4 NAT reflexión . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 222
13.5 de salida NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 225
13.6 La elección de una fi guración Con NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 228
13.7 NAT y Protocolo de compatibilidad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 229
13.8 de red IPv6 Prefijo x Traducción (TNP) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 232
13.10 predeterminado NAT Con fi guración . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 237
14 enrutamiento 239
14.1 Gateways . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 239
14.2 Configuración de puerta de enlace . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 240
14.3 Grupos de puerta de enlace . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 243
14,4 rutas estáticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 243
14.5 Las direcciones de enrutamiento IP públicas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 247
14.6 Protocolos de enrutamiento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 250
14.7 Solución de problemas de rutas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 252
15 Bridging 257
15.1 Creación de un puente . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 257
15.2 Opciones avanzadas Bridge . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 257
15.3 Bridging e Interfaces . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 260
15.4 Bridging y rewalling fi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 262
15.5 puente entre dos redes internas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 263
15.6 interoperabilidad Bridging . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 264
15.7 Tipos de puentes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 265
15.8 Bridging y bucles de Capa 2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 266
16 LAN virtuales (VLAN) 267

16.1 Terminología . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 267
16.2 VLAN y Seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 268
16.3 pfSense VLAN Con fi guración . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 269
16.4 Interruptor de VLAN con fi guración . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 273
16,5 pfSense QinQ Con fi guración . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 283
16.6 Requisitos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 285
iii
17 Conexiones WAN múltiples 287
17.1 Multi-WAN Terminología y conceptos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 287
17.2 Estrategias de políticas de encaminamiento, de carga y failover . . . . . . . . . . . . . . . . . . . . . . . . 289
17.3 Multi-WAN Advertencias y consideraciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 290
17.4 Resumen de los requisitos Multi-WAN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 292
17.5 de equilibrio de carga y conmutación por error con Grupos de puerta de enlace . . . . . . . . . . . . . . . . . . . . . . . . . . . 292
17.6 Interfaz y DNS Con fi guración . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 294
17.7 Multi-WAN y NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 295
17.8 Políticas de Enrutamiento con fi guración . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 296
17.9 Comprobación de la funcionalidad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 298
17.11 Multi-WAN en un palo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 301
17.12 Multi-WAN para IPv6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 301
17.13 Multi-Link PPPoE (MLPPP) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 303
17.14 La elección de conectividad a Internet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 304
18 Redes Privadas Virtuales 307

18.1 La elección de una solución VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 307
18.2 VPN y reglas del cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 309
18.3 VPNs y IPv6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 310
18.4 PPTP Advertencia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 311
18.5 implementaciones comunes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 311
19 IPsec 315
19.1 IPsec e IPv6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 315
19.2 Selección de opciones de con fi guración . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 315
19.3 reglas de cortafuego IPsec y fi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 324
19.4 de sitio a sitio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 324
19,5 móvil IPsec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 333
19.6 Prueba de conectividad IPsec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 368
19.7 Solución de problemas de IPsec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 369
19.8 Con fi gurar dispositivos de IPsec de terceros . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 377
19.9 Terminología de IPsec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 380
20 OpenVPN 383
20.1 OpenVPN e IPv6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 383
20.2 OpenVPN de Con fi guración Opciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 383
20.3 Uso del Asistente del servidor OpenVPN para el acceso remoto . . . . . . . . . . . . . . . . . . . . . . . . . 394
20.4 Con fi gurar usuarios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 400
20.5 Instalación de cliente OpenVPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 401
20.6 de sitio a sitio Ejemplo (Shared Key) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 413
20.7 de sitio a sitio Ejemplo Con fi guración (SSL / TLS) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 416
20.8 Comprobación del estado de los clientes y servidores OpenVPN . . . . . . . . . . . . . . . . . . . . . . . . . 420
20.9 Permitir fi c tráfico al servidor OpenVPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 421
20,10 Permitir tráfico c sobre OpenVPN Tunnels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 422
20.11 clientes OpenVPN y acceso a Internet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 422
20.12 Asignación de OpenVPN Interfaces . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 422
20.13 NAT con conexiones OpenVPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 424
20.14 OpenVPN y Multi-WAN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 425
20.15 OpenVPN y la carpa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 429
20.16 Conexiones en puente de OpenVPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 429
20.17 Las opciones de personalización con fi guración . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 431
20.18 comparte un puerto con OpenVPN y un servidor Web . . . . . . . . . . . . . . . . . . . . . . . . . . . . 432
20.19 Los parámetros de control de cliente a través de RADIUS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 432
iv
20.20 Solución de problemas OpenVPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 433
20.21 OpenVPN y Certificados fi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 437
21 L2TP VPN 439

21.1 L2TP y reglas del cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 439
21.2 L2TP y Multi-WAN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 439
21.3 Servidor L2TP con fi guración . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 439
21.4 L2TP con IPsec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 441
21.5 Solución de problemas L2TP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 444
21.6 L2TP Logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 445
Advertencia 21,7 L2TP Seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 446
22 Traf fi c Shaper 447

22.1 Lo que el fi co talladora Traf puede hacer por usted . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 447
22.2 Las limitaciones de hardware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 448
22.3 Tipos ALTQ Programador . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 448
22.4 Con fi gurar la fi co talladora ALTQ Traf Con el Asistente . . . . . . . . . . . . . . . . . . . . . . . . . 450
22.5 Supervisión de las colas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 456
22.6 Personalización avanzada . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 456
22.7 limitadores . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 459
22.8 Capa 7 Inspección . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 462
22,9 Traf fi c Shaping y VPNs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 464
22.10 Solución de problemas de la talladora . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 465
22.11 Traf Fundamentos Shaping fi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 466
23 Servidor de equilibrio de carga 467

Opciones de equilibrio de carga con fi guración 23.1 Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 467
23.2 Web Server Load Balancing Ejemplo Con fi guración . . . . . . . . . . . . . . . . . . . . . . . . . . 471
23.3 Solución de problemas del servidor de equilibrio de carga . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 477
24 Wireless 479
24.1 recomendados de hardware inalámbrico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 479
24.2 Trabajar con Access Point Wireless Virtual Interfaces . . . . . . . . . . . . . . . . . . . . . . . . . 482
24.3 WAN inalámbrica . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 483
24.4 Bridging e inalámbrico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 486
24.5 mediante un punto de acceso externo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 487
24.6 pfSense como un Punto de Acceso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 489
24,7 protección adicional para una red inalámbrica . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 495
24.8 Con fi gurar un Secure Wireless Hotspot . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 496
24.9 Solución de problemas de conexiones inalámbricas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 498
25 portal cautivo 501

25.1 Zonas portal cautivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 501
25.2 Escenarios portal cautivo Común . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 501
25.3 Zona de Con fi guración Opciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 502
25.4 Control de dirección MAC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 510
25.5 mascotas Dirección IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 512
25.6 Los nombres de host animales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 512
25.7 Vales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 513
Gestor de 25.8 Archivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 517
25.9 Visualización de los usuarios autenticados del portal cautivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 518
25.10 Solución de portal cautivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 519
25.11 Limitaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 520
26 de alta disponibilidad 523
v
26.1 pfsync general . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 523
26,2 pfSense XML-RPC Con fi g de sincronización general . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 524
26,3 Ejemplo redundante Con fi guración . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 524
26.4 Multi-WAN con HA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 530
26.5 Verificación de la funcionalidad de conmutación por error . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 532
26,6 proporcionar redundancia Sin NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 534
26.7 Capa 2 Redundancia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 537
26.8 de alta disponibilidad con Bridging . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 538
26.9 Utilización de alias IP para reducir el latido del corazón de trá fi co . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 538
26.10 Interfaz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 539
26.11 Solución de problemas de alta disponibilidad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 539
26.12 CARP general . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 543
27 Servicios 547
Servidor DHCP IPv4 27.1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 547
27.2 IPv6 del servidor DHCP del router y Anuncios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 554
27.3 DHCP y DHCPv6 Relay . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 556
27.4 de resolución de DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 557
27,5 DNS Forwarder . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 562
27.6 DNS dinámico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 565
27.7 SNMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 568
27.8 UPnP y NAT-PMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 570
27.9 NTPD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 572
27.10 Wake on LAN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 577
27.11 Servidor PPPoE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 579
27.12 proxy IGMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 580
28 SystemMonitoring 583
28.1 Registros del sistema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 583
28.2 Registro remoto con Syslog . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 587
28,3 tablero de instrumentos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 589
28,4 puerto de estado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 594
28.5 Estado del servicio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 595
28.6 Gráficos de seguimiento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 595
28.7 Firewall Unidos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 603
28,8 Traf fi c gráficos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 608
28.9 Sistema de Actividad (Arriba) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 609
28.10 PFINFO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 609
28.11 SMART del disco duro de estado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 610
28.12 cationes fi SMTP y Growl Noti . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 615
28.13 Visualización del contenido de las Tablas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 615
28.14 Pruebas de DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 616
28.15 Prueba de un puerto TCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 616
29 Paquetes 619
29.1 Instalación de Paquetes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 619
29.2 reinstalar y actualizar paquetes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 620
29.3 Paquetes de desinstalación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 621
29.4 Paquetes en desarrollo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 621
29.5 Una breve introducción a proxies web y presentación de informes: calamar, SquidGuard y Lightsquid . . . . . . . 621
29.6 Introducción a los Paquetes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 625
Software de Terceros y 30 pfSense 627

30.1 autenticación RADIUS con Windows Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 627
30.2 Syslog Server en Windows con Kiwi Syslog . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 633
vi
30.3 Uso de Software de Sistema de Puertos de FreeBSD (Paquetes) . . . . . . . . . . . . . . . . . . . . . . . 633
30.4 Con fi gura BIND como un RFC 2136 Servidor DNS dinámico . . . . . . . . . . . . . . . . . . . . . . . . 635
31 de paquetes Capturing 639

31.1 Selección de la interfaz adecuada . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 639
31.2 La limitación de volumen de captura . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 639
31.3 capturas de paquetes desde los WebGUI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 640
31.4 Uso de tcpdump desde la línea de comandos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 641
31.5 Uso de Wireshark con pfSense . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 649
31.6 Referencias Adicionales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 652
31,7 marco de captura de referencia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 652
32 Guía de menús 655

32.1 Sistema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 655
32.2 Interfaces . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 655
32.3 Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 656
32.4 Servicios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 656
32.5 VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 657
32.6 Estado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 657
32.7 Diagnóstico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 658
vii
viii
CAPÍTULO
UNO
PREFACIO
Expresiones de gratitud
Este libro, y la propia pfSense no serían posibles sin un gran equipo de desarrolladores, contribuyentes, porteros SUP- corporativos, y una comunidad
maravillosa. El proyecto ha recibido contribuciones de código de más de 200 personas, con 14 de ellos contribuye considerablemente y de manera rutinaria
suficiente para obtener acceso de envío. Cientos de personas han contribuido fi nanciera con el hardware y otros recursos necesarios. Miles de personas más
han hecho su parte apoyando el proyecto ayudando a otros en la lista de correo, foros, e IRC. Nuestro agradecimiento a todos los que han hecho su parte para
que el proyecto del gran éxito se ha convertido.
pfSense Desarrolladores
El equipo de desarrollo de pfSense activa actual, que se enumeran por orden de antigüedad.
• Co-fundador Chris Buechler
• Bill Marquette
• Holger Bauer
• Erik Kristensen
• Seth Mos
• matthew Grooms
• Renato Botelho
También nos gustaría dar las gracias a todos los desarrolladores de FreeBSD, especí fi camente, los que han ayudado considerablemente con pfSense.
• Max Laier
• Cristiano SJ Peron
• Andrew Thompson
• Bjoern A. Zeeb
Agradecimientos personales
De Chris
Tengo que dar las gracias a mi esposa y el crédito considerable para la realización de este libro y el éxito del proyecto en general. Este libro y el
proyecto han dado lugar a un sinnúmero de días largos, noches, y meses sin descanso de un día, y su apoyo ha sido crucial.
1
El libro pfSense, Liberación
También me gustaría dar las gracias a las muchas empresas que han adquirido nuestro apoyo y suscripciones de revendedor que me permite dar el salto a trabajar a
tiempo completo en el proyecto a principios de 2009.
También debo agradecer a Jim para saltar en este libro y que proporciona una ayuda considerable en la realización de la misma. Ya han pasado dos años en la
fabricación, y mucho más trabajo de lo que había imaginado. Puede haber sido obsoleta antes de que llegara terminado si no fuera por su ayuda en los últimos
meses. Además, gracias a Jeremy Reed, nuestro director y editor, por su ayuda con el libro.
Por último, mi agradecimiento a todos los que han contribuido al proyecto pfSense de cualquier manera, especialmente los desarrolladores que han dado enormes cantidades de
tiempo para el proyecto durante los últimos nueve años.
De Jim
Me gustaría dar las gracias a mi esposa e hijo, que me aguantan lo largo de mi participación en el proceso de escritura no sólo para el primer libro, pero
el segundo también. Sin ellos, habría vuelto loco hace mucho tiempo. También me gustaría dar las gracias a Rick Yaney de HPC Internet, por ser de
apoyo de pfSense, FreeBSD, y el software de código abierto en general.
Toda la comunidad pfSense es merecedor de aún más gracias a su vez, es la mejor y más solidaria grupo de usuarios y colaboradores de
software de código abierto que he encontrado.
Los revisores
Las siguientes personas hicieron comentarios y la penetración muy necesaria para ayudar a mejorar el libro y su exactitud. Listados en orden alfabético
por el apellido.
• Jon Bruce
• mark Foster
• Bryan Irvine
• Warren Midgley
• Eirik Øverby
Realimentación
El editor y autores animan a sus comentarios para este libro y la distribución pfSense. Por favor envíe sus sugerencias, críticas y / o elogios para el
libro al pfSense book@pfsense.org .
Para consultas generales relacionadas con el proyecto pfSense, publica una entrada en la lista de correo o foros. Los enlaces a estos recursos se pueden encontrar en http://pfsense.org/support
Convenciones tipográficas
En todo el libro una serie de convenciones se utilizan para denotar ciertos conceptos, información o acciones. La siguiente lista da ejemplos de
cómo se formatean en el libro.
Las selecciones de menú Las reglas del cortafuegos
Etiquetas de elementos GUI / Nombres Destino
Botones Aplicar cambios
2 Capítulo 1. Prefacio
Prompt para entrada Quieres proceder?
Entrada del usuario Descripción de la regla
Los nombres de archivo / boot / loader.conf
Los nombres de los comandos o programas comandos gzip
escritos en el intérprete de comandos :: # ls -l
Los artículos que deben ser reemplazados con los valores especí fi cos a su configuración 192.168.1.1
Notas especiales .. Nota: Tenga cuidado con esto!
líneas literales largas en ejemplos de salida pueden ser divididos con el (hookleftarrow). Largo de la cáscara ejemplos de línea de comandos se pueden dividir
utilizando la barra invertida () como continuación de línea shell. Bienvenido a El libro pfSense, escrito por pfSense co-fundador Chris Buechler y miembro coreteam
Jim Pingle. Este libro abarca desde el proceso de instalación y con fi guración básica de red avanzada y rewalling fi usar este popular de distribución de software del
router de código abierto y fi cortafuegos.
Este libro está diseñado para ser un amable guía paso a paso para tareas de red y de seguridad común junto con una referencia completa de las
capacidades de pfSense. El libro pfSense cubre algunos de los siguientes temas:
• Una introducción a pfSense y sus características.
• Hardware y la planificación del sistema.
• Instalación y actualización de pfSense.
• Mediante la interfaz con fi guración basada en la web.
• Copia de seguridad y restauración.
• fundamentos de cortafuegos, incluyendo la de fi nición y reglas de solución de problemas.
• Traducción de puertos de reenvío y de direcciones de red (NAT).
• establecimiento de una red general y enrutamiento con fi guración.
• Construyendo puentes, redes de área local virtuales (VLAN), y Multi-WAN.
• Redes privadas virtuales utilizando IPsec y OpenVPN.
• Traf fi c conformación y el equilibrio de carga.
• La red inalámbrica y las configuraciones de portal cautivo.
• rewalls fi redundantes y de alta disponibilidad.
• Diversos servicios relacionados con la red.
• Monitorización de la instalación, el registro, análisis de tráfico c, snif fi ng, paquete de captura, y solución de problemas.
• Paquetes de software y las instalaciones y actualizaciones de software de terceros. Al final de este libro, podrás encontrar una Guía de menús con
las opciones de menú estándar disponibles en pfSense.
1.3. Convenciones tipográficas 3

autores
Chris Buechler
Uno de los fundadores del proyecto pfSense, Chris es también uno de sus promotores más activos. Él ha estado en la industria de TI durante más de una década,
trabajando extensamente con rewalls fi y FreeBSD para la mayor parte de ese tiempo. Él ha proporcionado la seguridad, la red y los servicios relacionados para las
organizaciones en el sector público y privado, que varían en tamaño desde pequeñas organizaciones a las organizaciones del sector público y grandes compañías de
Fortune 500. Posee numerosos certi fi caciones de la industria incluyendo el CISSP, SSCP, MCSE y CCNA entre otros. Su página web personal se puede encontrar en http://chrisbuechler.com
.
Jim Pingle
Jim ha estado trabajando con FreeBSD más de diez años y profesionalmente durante los últimos ocho. Ahora, un empleado de tiempo completo de Netgate , Que
proporciona apoyo global para pfSense suscriptores de apoyo comercial. Como ex administrador del sistema para un ISP local en Bedford, Indiana EE.UU., HPC
Servicios de internet, trabajó con los servidores de FreeBSD, diversos equipos de enrutamiento y circuitos, y, por supuesto, ficción basada en pfSense rewalls
tanto interna como para muchos clientes. Jim se graduó en 2002 con una licenciatura en Sistemas de Información de Indiana-Purdue Fort Wayne. También
contribuye a varios proyectos de código abierto, además de pfSense, más notablemente RoundCube, Webmail, y glTail. Cuando está lejos del equipo, Jim
disfruta pasar tiempo con su familia, la lectura, la toma de fotografías, y de ser un adicto a la televisión. Su página web personal se puede encontrar en http://pingle.org
.
4 Capítulo 1. Prefacio
CAPÍTULO
DOS
PREFACIO
Mis amigos y compañeros de trabajo saben que construyo rewalls fi. Por lo menos una vez al mes, alguien dice “Mi empresa necesita un cortafuego con X e Y, y las
cotizaciones de precios que he recibido son decenas de miles de dólares. ¿Puede usted ayudarnos?”Cualquiera que construye rewalls fi conoce a esta pregunta podría
formularse de manera más realista como“¿Podría por favor venir una noche y una palmada a algunos equipos para mí, entonces me permitirá interrumpir al azar para los
próximos tres a cinco años para has instalar nuevas características, problemas de depuración, configurar las funciones que no sabían lo suficiente para solicitar, asistir a
reuniones para resolver problemas que no puede ser cuestiones cortafuego pero alguien piensa que podría ser el cortafuego, e identificar soluciones para mis
necesidades desconocidos innumerables ? Ah, y asegúrese de probar cada posible caso de uso antes de implementar cualquier cosa “.
Rechazando estas peticiones me hace parecer grosero. La aceptación de estas solicitudes arruina mi alegre comportamiento. Durante mucho tiempo, no edificar rewalls fi
para nadie, excepto para mi empleador. pfSense me permite ser una persona más agradable sin tener que trabajar realmente en él.
Con pfSense, puedo desplegar un cortafuego en tan sólo un par de horas con la mayor parte de ese tiempo la instalación de cables y explicar la diferencia entre “dentro” y
“fuera”. Extensa comunidad de la documentación y el usuario de pfSense me ofrece una forma sencilla de responder a cualquier pregunta con Simply “qué se mira eso?”. Si
pfSense no admite una característica entonces es probable que no puedo apoyar tampoco. Pero pfSense apoya todo lo que podría pedir - con una interfaz amigable para
arrancar. La amplia base de usuarios significa que las características se prueban en muchos entornos diferentes y, en general simplemente funciona aun cuando interactúan
con PC con Windows ME niños del CEO conectado a Internet mediante Ethernet sobre ATM a través de una paloma mensajera. Lo mejor de todo, pfSense está construida en
gran parte del mismo software que haría uso de mí mismo. Confío en que el sistema operativo FreeBSD subyacente sea seguro, estable, y e fi ciente.
Las actualizaciones de seguridad? Basta con hacer clic en un botón y reiniciar el sistema.
Es necesario nuevas características? Sólo encenderlos. pfSense se encarga de la agrupación, trá fi co conformado, balanceo de carga, la integración con el equipo
existente a través de RADIUS, IPsec, monitoreo, DNS dinámico, y más.
-proveedores de la industria de renombre cobran tarifas exorbitantes para apoyar lo que pfSense ofrece libremente. Si su empleador insiste en pagar por contratos de
soporte, o si simplemente se sienta más seguro sabiendo que puede coger el teléfono y gritar para pedir ayuda, usted puede conseguir acuerdos de apoyo pfSense muy
razonable. Si no es necesario un contrato de soporte, me he enterado de que Chris, Jim, o cualquier otra persona con un poco pfSense cometer permitirá a los usuarios
agradecidos pfSense a comprar una cerveza o seis. En lo personal, no construyo rewalls fi desde cero más. Cuando necesito un cortafuego, yo uso pfSense.
- Michael W. Lucas
5
6 Capítulo 2. Introducción
CAPÍTULO
TRES
INTRODUCCIÓN
¿Qué significa para pfSense / media?
El proyecto duró meses sin nombre. De hecho, la cárcel de FreeBSD que corría el servidor CVS fue llamado proyecto X hasta que el proyecto se ha migrado a
git hace varios años.
La localización de un nombre de dominio disponible era el principal di fi cultad. Los fundadores del proyecto, Scott y Chris, corrieron a través de numerosas
posibilidades, finalmente se instaló en pfSense porque el cortafuego haría sentido del paquete de software de fi ltrado utiliza, pf.
¿Por qué FreeBSD?
Hay numerosos factores que fueron objeto de consideración a la hora de elegir un sistema operativo base para el proyecto. Esta sección describe las razones principales para
la selección de FreeBSD.
Soporte inalámbrico
Soporte inalámbrico es una característica crítica para muchos usuarios. En 2004, el apoyo inalámbrico en OpenBSDwas muy limitada en comparación con FreeBSD.
OpenBSD no apoyó los conductores o los protocolos de seguridad y se ofreció ningún plan para su implementación. A día de hoy, FreeBSD supera las capacidades
inalámbricas de OpenBSD.
Rendimiento de la red
rendimiento de la red en FreeBSD es significativamente mejor que la de OpenBSD. Para pequeñas y despliegues de tamaño medio, por regla general, no importa;
escalabilidad superior es la principal preocupación en OpenBSD. Un desarrollador pfSense gestión de varios cientos de rewalls fi OpenBSD utilizando PF se vio
obligado a cambiar sus sistemas de alta carga a PF en FreeBSD para manejar las altas paquetes por segundo tasa requerida por partes de su red. El rendimiento
de la red en OpenBSD ha mejorado desde 2004, pero todavía existen limitaciones.
El soporte multi-procesador para PF en FreeBSD permite una mayor escalabilidad y es utilizado por pfSense como se ve en este análisis rendimiento de
la red: https://github.com/gvnn3/netperf/blob/master/Documentation/netperf.pdf .
La familiaridad y la facilidad de tenedor
El código para m0n0wall se basa en FreeBSD y pfSense fork de m0n0wall. Cambiar el sistema operativo base requeriría prohibitivamente grandes
modificaciones y podría haber introducido limitaciones de otros sistemas operativos, lo que requiere características para ser suprimida o alterada.
7
Soporte del sistema operativo alternativo
No hay planes de apoyo a cualquier otro sistema operativo de base en este momento.
Los despliegues comunes
pfSense puede satisfacer las necesidades de casi cualquier tipo y tamaño de entorno de red, desde un centro de datos de SOHO ambientes. En esta sección se describen
las implementaciones más comunes.
Firewall perimetral
La implementación más común de pfSense es un cortafuego perimetral. pfSense tiene capacidad para redes que requieren múltiples conexiones a
Internet, múltiples redes LAN, y múltiples redes DMZ. BGP (Border Gateway Protocol), capacidades de redundancia de conexión, y el equilibrio de carga
son con fi gurable también.
Ver también:
Estas funciones avanzadas se describen adicionalmente en enrutamiento y Las conexiones WAN múltiples .
LAN o WAN del router
pfSense con fi gura como un router LAN o WAN y cortafuego perimetral es una implementación común en redes pequeñas. LAN y WAN de enrutamiento son funciones
separadas en redes más grandes.
Router LAN
pfSense es una solución probada para la conexión de varios segmentos de red internos. Esto es más comúnmente desplegado con VLAN con fi gurada con
trunking 802.1Q, que se describe más en LAN virtuales (VLAN) . múltiples interfaces Ethernet también se utilizan en algunos entornos. De alto volumen LAN tráfico
c entornos con menos requisitos de fi ltrado puede necesitar capa 3 conmutadores o routers basados en ASIC en su lugar.
router WAN
pfSense es una gran solución para proveedores de servicios de Internet. Ofrece toda la funcionalidad requerida por la mayoría de las redes a un precio mucho más bajo
que otras ofertas comerciales.
Electrodomésticos de propósito especial
pfSense puede ser utilizado para escenarios de implementación menos comunes como un dispositivo autónomo. Los ejemplos incluyen: aparato VPN, aparato Sniffer,
y dispositivo de servidor DHCP.
VPN Appliance
pfSense software instalado como un dispositivo de red privada virtual VPN separada añade capacidades sin interrumpir la infraestructura fi cortafuegos
existente, e incluye múltiples protocolos VPN.
Sniffer Appliance
pfSense ofrece una interfaz web para el tcpdump analizador de paquetes. El capturado. gorra los archivos se descargan y se analizaron en Wireshark .
Ver también:
Para obtener más información sobre cómo utilizar las funciones de captura de paquetes de pfSense, véase La captura de paquetes .
DHCP Server Appliance
pfSense se puede implementar estrictamente como un servidor de protocolo de configuración de host de Con fi dinámico, sin embargo, hay limitaciones de la interfaz gráfica de usuario avanzada
para pfSense con fi guración del daemon de DHCP de ISC.
Ver también:
Para obtener más información acerca de con fi gurar el servicio DHCP en pfSense, véase Servidor DHCP IPv4 y IPv6 servidor DHCP del router y Anuncios
Terminología interfaz de nomenclatura
Todas las interfaces en pfSense se pueden asignar cualquier nombre que desee, pero todos ellos comienzan con nombres predeterminados: WAN, LAN y TPO.
PÁLIDO
Corto para Red de área amplia, WAN es la red pública no es de confianza fuera del router. En otras palabras, la interfaz WAN es la conexión del
cortafuego a Internet u otra red de aguas arriba. En una implementación multi-WAN, WAN es la primera o la conexión a Internet primaria.
Como mínimo, el cortafuego debe tener una interfaz, y que es la WAN.
LAN
Corto para Red de área local, LAN es comúnmente el lado privado de un cortafuego. Por lo general utiliza una dirección IP privada
esquema para los clientes locales. En implementaciones pequeñas, en la LAN es la única interfaz interna.
OPTAR
OPTAR o Opcional se refieren a las interfaces de interfaces adicionales distintos de WAN y LAN. OPT las interfaces pueden ser adiciones cionales segmentos de LAN,
conexiones WAN, segmentos de DMZ, interconexiones con otras redes privadas, y así sucesivamente.
DMZ
Abreviatura de la expresión militar zona desmilitarizada, DMZ se refiere a la memoria intermedia entre un área protegida y una zona de guerra. En las redes, es
un área donde los servidores públicos son accesibles desde Internet a través de la WAN, pero aislado de la LAN. El DMZ mantiene los sistemas de otros
segmentos de ser puesto en peligro si se ve comprometida la red, al mismo tiempo proteger hosts en la DMZ de otros segmentos locales y de Internet en
general.
3.4. Terminología interfaz de nomenclatura 9

Advertencia: Algunas compañías emplean mal el término “zona de distensión” en sus productos fi cortafuego como referencia a 1: 1 NAT en la dirección IP WAN que expone una
serie en la LAN. Para más información, ver 1: 1 NAT en el IP WAN, también conocido como “zona de distensión” en Linksys .
FreeBSD nomenclatura interfaz
El nombre de una interfaz de FreeBSD comienza con el nombre de su controlador de red. Esta es seguida luego por un número a partir de
0 que aumenta de forma incremental en uno por cada interfaz adicional compartiendo ese controlador. Por ejemplo, un conductor común utilizado por la red Gigabit Intel
tarjetas de interfaz es IGB. La primera tarjeta de este tipo en un sistema será igb0, la segunda es igb1,
y así. Otros nombres comunes incluyen controladores CXL ( Chelsio 10G), em ( También Intel 1G), ix ( Intel 10G), BGE ( varios conjuntos de chips Broadcom), entre
muchos otros. Si un sistema se mezcla una tarjeta de Intel y una tarjeta Chelsio, las interfaces serán igb0 y cxl0 respectivamente.
Ver también:
asignación de las interfaces y los nombres están cubiertos aún más en Instalación y actualización .
Búsqueda de información y obtención de ayuda
En esta sección se ofrece orientación sobre hallazgo información de este libro, en pfSense en general, así como proporcionar más recursos.
Encontrando informacion
La función de búsqueda en el libro es la forma más fácil de fi nd información sobre un tema específico. Las características y las implementaciones de pfSense más
comunes se incluyen en este libro. Al leer la versión HTML del libro, la función de búsqueda se encuentra en la parte superior izquierda de la página. Al leer una copia de
estilo de libros electrónicos, consulte la documentación para el software lector de libros para obtener información sobre cómo buscar.
Hay una gran cantidad de experiencias y de información de usuario adicionales disponibles en los diversos sitios web pfsense.org. La mejor manera de buscar en
los sitios es una búsqueda Anexión de Google sitio: pfsense.org a la consulta. Esto buscará la página web, foro, el sitio Redmine, la documentación de libre acceso,
etc., que son todas las fuentes de fi ciales de información.
Obteniendo ayuda
Un icono de ayuda está disponible en casi todas las páginas, , y enlaces a la página asociada en la documentación pfsense.org.
El proyecto pfSense ofrece varias otras maneras de obtener ayuda, incluyendo una foro , documentación de acceso abierto , las listas de distribución y de IRC (Internet
Relay Chat, ## pfSense en irc.freenode.net). El soporte comercial también está disponible en el Portal pfSense . Más información se puede encontrar en el sitio web en
pfSense Apoyo a la obtención de Muchos de estos enlaces son accesibles desde la interfaz web con fi gurator bajo el menú de Ayuda en pfSense.
El proyecto pfSense es un código abierto de distribución gratuita personalizada de FreeBSD adaptado para su uso como un cortafuego y el router totalmente
gestionado por una interfaz web fácil de usar. Esta interfaz web se conoce como el gurator GUI con fi basada en web, o WebGUI para abreviar. No se requieren
conocimientos de FreeBSD para desplegar y utilizar pfSense. De hecho, la mayoría de los usuarios nunca han utilizado FreeBSD fuera del pfSense. Además de ser
una plataforma potente, flexible rewalling fi y enrutamiento, pfSense incluye una larga lista de características relacionadas. El sistema de paquetes pfSense permite
además la capacidad de expansión sin añadir hinchazón y vulnerabilidades de seguridad potenciales para la distribución base. pfSense es un proyecto popular con
millones de descargas desde su creación y cientos de miles de instalaciones activas. Se ha probado con éxito
en un sinnúmero de instalaciones que van desde la protección del equipo individual en pequeñas redes domésticas a miles de dispositivos de red en grandes
corporaciones, universidades y otras organizaciones.
Para descargar la versión más reciente, consulte las versiones anteriores, o para actualizar siga las guías situadas en el página cargas pfSense Down- .
proyecto de Inicio
Este proyecto fue fundado en 2004 por Chris Buechler y Scott Ullrich. Chris contribuyó a m0n0wall durante algún tiempo antes y nos pareció que es una gran
solución. Aunque encantados con el proyecto, muchos usuarios deseaban para más capacidades que los acomodados por un proyecto enfocado estrictamente
hacia los dispositivos integrados con sus recursos de hardware limitados. Introduzca pfSense. En 2004, hubo numerosas soluciones integradas con 64 MB de
memoria RAM que no podía AC- comodato el conjunto de características deseada de pfSense, por lo tanto pfSense se expandió a trabajar en la PC más capaz y el
tipo de servidor de hardware.
3.6. proyecto de Inicio 11

CAPÍTULO
LAS CUATRO
los conceptos de redes
La comprensión de las direcciones IP públicas y privadas
Las direcciones IP privadas
El estándar de red RFC 1918 la define reservados subredes IPv4 para uso exclusivo en las redes privadas (Tabla RFC 1918 Espacio de direcciones IP
privadas ). RFC 4193 de fi ne únicos direcciones locales (ULA) para IPv6 (Tabla RFC 4193 único espacio de direcciones local ). En la mayoría de los
entornos, una subred IP privada de RFC 1918 se elige y se utiliza en todos los dispositivos de la red interna. Los dispositivos se conectan a Internet a
través de un cortafuego o enrutador implementar el software de dirección de red (NAT), como pfSense. IPv6 está totalmente dirigido desde la red interna
sin NAT Direcciones Global Unicast (GUA). NAT se explicará adicionalmente en Traducción de Direcciones de Red .
Tabla 4.1: RFC 1918 espacio de direcciones IP privadas
Rango CIDR Intervalo de direcciones IP
10.0.0.0/8 10.0.0.0 - 10.255.255.255

172.16.0.0/12 172.16.0.0 - 172.31.255.255
192.168.0.0/16 192.168.0.0 - 192.168.255.255 Tabla 4.2: RFC
4193 único espacio de direcciones local
Pre fi x Intervalo de direcciones IP
FC00 :: / 7 FC00 :: - FDFF: ffff: ffff: ffff: ffff: ffff: ffff: ffff
Una lista completa de las redes IPv4 de uso especial se puede encontrar en RFC 3330 . Hay direcciones IPv4 privadas, como 1.0.0.0/8 y 2.0.0.0/8, que ya han
sido asignados a la piscina IPv4 menguante. El uso de estas direcciones son problemáticos y no se recomienda. También, evitar el uso de 169.254.0.0/16, que
de acuerdo con RFC 3927 está reservado para “enlace local” con fi guración automática. No debe ser asignada por DHCP o establecer manualmente y routers
no permitirá que los paquetes de subred para atravesar fuera de un dominio de difusión fi co. Hay espacio de direcciones de su fi ciente a un lado por el RFC
1918, lo que no hay necesidad de desviarse de la lista que se muestra en la tabla RFC 1918 Espacio de direcciones IP privadas . Inadecuada frente dará lugar a
fallo en la red y que debe corregirse.
Las direcciones IP públicas
Con la excepción de las redes más grandes, las direcciones IP públicas son asignadas por los proveedores de servicios de Internet. Redes que requieren cientos
o miles de direcciones IP públicas suelen tener espacio de direcciones asignado directamente desde su Registro Regional de Internet (RIR). Un RIR es una
organización que supervisa la asignación y registro de direcciones IP públicas en unas regiones designadas del mundo.
La mayoría de las conexiones de Internet residenciales se les asigna una única dirección IPv4 pública. La mayoría de las conexiones de clase de negocios se asignan varias
direcciones IP públicas. Una única dirección IP pública es adecuado en muchas circunstancias y se puede utilizar
13
en conjunción con NAT para conectar cientos de sistemas de direccionamiento privado a Internet. Este libro le ayudará a determinar el número de
direcciones IP públicas requeridas.
La mayoría de las implementaciones IPv6 dar al usuario final al menos un pre x red fi / 64 para su uso como una red interna enrutado. Para cada sitio, esto es más o
menos 2 64 Direcciones IPv6, o 18 trillón direcciones, totalmente enrutan a través de Internet sin necesidad de NAT.
Reservado y direcciones Documentación
Además de los bloques de fi nido en el RFC 1918, RFC 5735 describe los bloques reservados para otros fines especiales, tales como la documentación, las pruebas y la
evaluación comparativa. RFC 6598 actualizaciones RFC 5735 y en el espacio de direcciones de fi ne de Carrier Grade NAT así como. Estas redes especiales incluyen:
Tabla 4.3: RFC 5735 Espacio de direcciones reservados
Rango CIDR Propósito

192.0.2.0/24 Código de documentación y ejemplo
198.51.100.0/24 Documentación y código de ejemplo
203.0.113.0/24 Documentación y código de ejemplo
198.18.0.0/25 dispositivos de red de evaluación comparativa
100.64.0.0/10 Con calidad de operador espacio NAT
A lo largo del libro, utilizamos ejemplos con las direcciones de la documentación anterior varía, así como RFC 1918 redes ya que son más familiar
para los usuarios.
Algunos encontramos estas direcciones tentador utilizar para redes privadas virtuales o incluso redes locales. No se recomienda su uso para otra cosa que sus
fines previstos nada, pero son mucho menos propensos a ser visto “en estado salvaje” que RFC 1918 redes.
Conceptos de subredes IP
Cuando con fi gurar los ajustes de TCP / IP en un dispositivo, una máscara de subred (o pre fi x longitud para IPv6) deben ser especi fi cado. Esta máscara permite al
sistema determinar qué direcciones IP están en la red local y que debe ser alcanzado por una puerta de entrada en la tabla de enrutamiento del sistema. La dirección IP
de la LAN por defecto de 192.168.1.1 con una máscara de 255.255.255.0, o / 24 en notación CIDR tiene una dirección de red 192.168.1.0/24. CIDR se discute en La
comprensión de la máscara de subred CIDR notación .
Dirección IP, subred y Puerta Con fi guración
El TCP / IP con fi guración de un host consta de la dirección, máscara de subred (o pre fi x longitud para IPv6) y puerta de enlace. La dirección IP se combina con la máscara de
subred es como el anfitrión de identi fi ca las direcciones IP que están en su red local. Direcciones fuera de la red local se envían a con fi gurada puerta de enlace
predeterminada del huésped, que se supone va a pasar el trá fi co en el destino deseado. Una excepción a esta regla es una ruta estática que instruye a un router o sistema
para ponerse en contacto con especí fi co subredes no locales accesible a través de routers conectados localmente. Esta lista de pasarelas y rutas estáticas se mantiene en la
tabla de enrutamiento de cada huésped. Para ver la tabla de enrutamiento utilizado por pfSense, véase Visualización de rutas . Más información acerca del enrutamiento se puede
encontrar en enrutamiento .
En una implementación típica pfSense, los anfitriones se les asigna una dirección IP, máscara de subred y la puerta de entrada dentro del rango de LAN del dispositivo
pfSense. La dirección IP de LAN del pfSense se convierte en la puerta de enlace predeterminada. Para los hosts de conexión por una interfaz distinta de LAN, utilice la
configuración con fi apropiado para la interfaz a la que está conectado el dispositivo. Hosts dentro de una única red se comunican directamente entre sí sin la
intervención de la entrada de defecto. Esto significa que ningún cortafuego, incluyendo pfSense, puede controlar la comunicación host-a-host dentro de un segmento de
red.
14 Capítulo 4. Conceptos de Redes

Si se requiere esta funcionalidad, los anfitriones necesitan ser segmentado mediante el uso de múltiples conmutadores, VLAN, o emplear la función de interruptor
equivalente como PVLAN. VLAN se cubren en LAN virtuales (VLAN) .
La comprensión de la máscara de subred CIDR notación
pfSense utiliza la notación CIDR (Classless Inter-Domain Routing) en lugar de la subred común máscara 255.xxx cuando con fi gurar direcciones y redes.
Consulte la siguiente tabla CIDR Tabla de Subred : para hallar el CIDR equivalente de una máscara de subred decimal.
Tabla 4.4: Tabla de subred en CIDR
Máscara de subred CIDR Prefijo x IP total Direcciones IP utilizable Direcciones Número de redes / 24
255.255.255.255 / 32 1 1 1 / 256a
255.255.255.254 / 31 2 2* 1 / 128a
255.255.255.252 / 30 4 2 1 / 64a
255.255.255.248 / 29 8 6 1 / 32a
255.255.255.240 / 28 dieciséis 14 1 / 16avo
255.255.255.224 / 27 32 30 1 / octava
255.255.255.192 / 26 64 62 1 / cuarto
255.255.255.128 / 25 128 126 1 medio
255.255.255.0 / 24 256 254 1

255.255.254.0 / 23 512 510 2
255.255.252.0 / 22 1024 1022 4
255.255.248.0 / 21 2048 2046 8
255.255.240.0 / 20 4096 4094 dieciséis
255.255.224.0 / 19 8192 8190 32

255.255.192.0 / 18 16384 16382 64
255.255.128.0 / 17 32.768 32.766 128
255.255.0.0 /dieciséis 65536 65.534 256
255.254.0.0 /15 131.072 131070 512
255.252.0.0 / 14 262.144 262142 1024
255.248.0.0 / 13 524.288 524286 2048
255.240.0.0 / 12 1048576 1048574 4096
255.224.0 0 / 11 2097152 2097150 8192
255.192.0.0 / 10 4194304 4194302 16384
255.128.0.0 /9 8388608 8388606 32.768
255.0.0.0 /8 16777216 16777214 65536
254.0.0.0 /7 33554432 33554430 131.072
252.0.0.0 /6 67108864 67108862 262.144
248.0.0.0 /5 134217728 134217726 1048576
240.0.0.0 /4 268435456 268435454 2097152
224.0.0.0 /3 536870912 536870910 4194304
192.0.0.0 /2 1073741824 1073741822 8388608
128.0.0.0 /1 2147483648 2147483646 16777216
0.0.0.0 /0 4294967296 4294967294 33554432
Nota: El uso de redes / 31 es un caso especial de fi nida por RFC 3021 donde las dos direcciones IP de la subred son utilizables para enlaces punto a punto para conservar
espacio de direcciones IPv4. No todos los sistemas operativos de apoyo RFC 3021 , A fin de utilizarlo con precaución. En los sistemas que no son compatibles RFC 3021 , La
subred no se puede utilizar porque los únicos dos direcciones definido por la máscara de subred de la ruta son nulas y no hay emisión y direcciones de host utilizables.
4.4. La comprensión de la máscara de subred CIDR notación 15

pfSense 2.3.3-RELEASE apoya el uso de / 31 redes para las interfaces y las direcciones IP virtuales
Entonces, ¿dónde los números CIDR vienen?
El número CIDR viene del número de unos en la máscara de subred cuando se convierte a binario. La máscara de subred 255.255.255.0 común es
11111111.11111111.11111111.00000000 en binario. Esto se suma a las 24 queridos, o / 24 (pronunciado 'slash veinticuatro').
Una máscara de subred de 255.255.255.192 es 11111111.11111111.11111111.11000000 en binario, o 26 queridos, por lo tanto / 26.
Recapitulación CIDR
Además de especificar máscaras de subred, CIDR también se puede emplear para los propósitos de IP o de integración de la red. La columna “Total de
direcciones IP” en CIDR Tabla de Subred indica cuántas direcciones se resume en una máscara CIDR dado. Para propósitos de resumen de red, el
“número de / 24 redes” columna es útil. CIDR resumen se puede utilizar en varias partes de la interfaz web pfSense, incluidas las normas fi cortafuego,
NAT, IPs virtuales, IPsec y rutas estáticas.
direcciones IP o redes que pueden estar contenidos dentro de una sola máscara CIDR se conocen como “summarizable CIDR”. En el diseño de una red,
asegurar que todas las subredes IP privadas en uso en un lugar determinado son CIDR summarizable. Por ejemplo, si se requieren tres / 24 subredes en una
localización, una red / 22 subredes en cuatro / 24 redes debe ser utilizado. La siguiente tabla muestra los cuatro / 24 subredes utilizadas con la subred
10.70.64.0/22.
Tabla 4.5: CIDR sumarización de ruta
10.70.64.0/22 divide en / 24 redes

10.70.64.0/24
10.70.65.0/24
10.70.66.0/24
10.70.67.0/24
Esto mantiene el encaminamiento más manejable para redes multi-sitio conectado a otra ubicación física mediante el uso de un circuito WAN privada o VPN.
Con subredes summarizable CIDR, un destino de la ruta cubre todas las redes en cada lugar. Sin ella, hay varias redes diferentes de destino por ubicación.
La tabla anterior se desarrolló utilizando una calculadora de red que se encuentra en el subnetmask.info sitio web. La calculadora convierte de decimal con
puntos para CIDRmask, y viceversa, como se muestra en la figura Máscara de subred convertidor .
Si el CIDR Tabla de Subred proporcionada en este capítulo no está disponible, esta herramienta se puede utilizar para convertir un CIDR pre fi x a salpicado notación decimal.
Introduzca un CIDR pre fi jo o una máscara decimal con puntos y haga clic en el apropiado Calcular botón para hallar la conversión.
Fig. 4.1: Máscara convertidor de subred
Introduzca la máscara decimal con puntos en la sección Red / Calculadora nodo a lo largo con una de las / 24 redes. Hacer clic
Calcular para rellenar las cajas inferior con la zona de cobertura de esa particular / 24 como se ha demostrado en la figura
dieciséis Capítulo 4. Conceptos de Redes

Calculadora de red / nodo . En este ejemplo, la dirección de red es 10.70.64.0/22, y las utilizables / 24 redes son 64 a través de 67. El término “dirección de
Broadcast” en esta tabla se refiere la dirección más alta dentro del rango.
Fig. 4.2: Calculadora de red / nodo
Encontrar un juego de red CIDR
Rangos de IPv4 en el formato de xxxx-aaaa se admiten en Alias. Para los alias de tipo de red, un rango de IPv4 se convierte automáticamente en el
conjunto equivalente de bloques CIDR. Para los alias de tipo host, una serie se convierte en una lista de direcciones IPv4. Ver alias para más información.
Si una coincidencia exacta no es necesario, se pueden introducir números en la calculadora / de nodo de red para aproximar la sumarización deseada.
Los dominios de difusión
Un dominio de difusión es la porción de una red que comparten el mismo segmento de la capa 2. En una red con un solo interruptor sin VLAN, el dominio de
difusión es todo ese interruptor. En una red con varios conmutadores interconectados sin el uso de VLAN, el dominio de difusión incluye todos esos
interruptores. Un único dominio de difusión poder contener más de un buen diseño de red IPv4 o IPv6 subred, sin embargo, que generalmente no se
considera. subredes IP deben ser segregados en dominios de difusión separados mediante el uso de conmutadores o VLANs separadas. La excepción a
esto se está ejecutando tanto las redes IPv4 e IPv6 dentro de un único dominio de difusión. Esto se conoce como doble pila y es una técnica común y útil
mediante IPv4 e IPv6 para la conectividad de los ejércitos. Los dominios de difusión se pueden combinar puenteando dos interfaces de red juntos, pero se
debe tener cuidado para evitar bucles de conmutación en este escenario. También hay algunos proxies para ciertos protocolos que no combinan dominios
de difusión pero producen el mismo efecto neto, como un relé DHCP que retransmite las peticiones DHCP en un dominio de difusión en otra interfaz. Más
información sobre dominios de difusión y cómo combinarlos puede encontrarse en Bridging .
IPv6
Lo esencial
IPv6 permite exponencialmente más espacio de direcciones IP que IPv4. IPv4 utiliza una dirección de 32 bits, lo que permite 2 32 o más de 4 mil millones de
direcciones, menos si se eliminan los bloques reservados considerables e IPs quemadas por subredes. IPv6 utiliza una dirección de 128 bits, que es 2 128 o 3,403 x
10 38 direcciones IP. El tamaño estándar IPv6 subred definida por la IETF es un / 64, que contiene 2 64 IPs, o 18.4 trillón direcciones. Todo el espacio IPv4 puede
encajar dentro de una subred IPv6 típica muchas veces con espacio de sobra.
4.6. Los dominios de difusión 17

Una de las mejoras más sutiles con IPv6 es que no hay direcciones IP se pierden a subredes. Con IPv4, dos direcciones IP se pierden por subred para dar cuenta de
una dirección IP de ruta y emisión nula. En IPv6, difusión se realiza a través de los mismos mecanismos utilizados para multidifusión implica direcciones especiales
enviados a todo el segmento de red. Las mejoras adicionales incluyen encriptación integrada de paquetes, tamaños de paquetes potenciales más grandes, y otros
elementos de diseño que hacen que sea más fácil para los routers para manejar IPv6 a nivel de paquete.
A diferencia de IPv4, todos los paquetes se encaminan en IPv6 sin NAT. Cada dirección IP es directamente accesible por otro, a menos detenido por un cortafuego. Esto
puede ser un concepto muy dif fi cil de entender para las personas que están acostumbrados a tener existe la LAN con un fi co subred privada específica y luego realizar
NAT para cualquiera que sea la dirección externa pasa a ser. Hay diferencias fundamentales en el funcionamiento de IPv6 en comparación con IPv4, pero la mayoría son
sólo eso: las diferencias. Algunas cosas son más simples que IPv4, otros son un poco más complicado, pero en su mayor parte es simplemente diferente. Las principales
diferencias se producen en la capa 2 (ARP vs. NDP por ejemplo) y la capa 3 (IPv4 vs. direccionamiento IPv6). Los protocolos utilizados en las capas superiores son
idénticos; sólo el mecanismo de transporte para esos protocolos ha cambiado. HTTP es todavía HTTP, SMTP es todavía SMTP, etc.
Cortafuegos y VPN Preocupaciones
IPv6 restaura la verdadera conectividad peer-to-peer originalmente en su lugar con IPv4 haciendo fi adecuada cortafuegos controla aún más importante. En IPv4, NAT fue
mal utilizado como un control adicional fi cortafuegos. En IPv6, NAT se retira. Puerto hacia delante ya no son necesarios en el acceso IPv6 de manera remota será
manejado por reglas fi cortafuego. Se debe tener cuidado para asegurarse de LAN VPN encriptado a LAN trá fi co no se encamina directamente al sitio remoto. Ver IPv6
VPN y reglas del cortafuegos para una discusión más a fondo en IPv6 preocupaciones fi cortafuego con respecto a VPN tráfico c.
requisitos
IPv6 requiere una red IPv6 habilitado. conectividad IPv6 entregado directamente por un ISP es ideal. Algunos ISP implementar una configuración de doble pila con fi
en el que IPv4 e IPv6 se suministran simultáneamente en el mismo transporte. Otros ISP utilizan túneles o de despliegue de IPv6 para proporcionar tipos
indirectamente. También es posible utilizar un proveedor de terceros, tales como
tunnelbroker servicio de Hurricane Electric o SixXS .
Además de los servicios, el software también debe ser compatible con IPv6. pfSense ha sido con capacidad IPv6 desde 2.1-RELEASE. sistemas operativos y aplicaciones
del cliente también debe ser compatible con IPv6. Muchos sistemas operativos comunes y las aplicaciones soportan sin problemas. Microsoft Windows ha apoyado IPv6
en el estado listo para la producción desde el año 2002, aunque las versiones más recientes manejan mucho mejor. OS X ha apoyado IPv6 desde 2001 con la versión
10.1 “PUMA”. Tanto FreeBSD y Linux soportan en el sistema operativo. La mayoría de los navegadores web y clientes de correo soportan IPv6, al igual que las versiones
recientes de otras aplicaciones comunes. Para garantizar la fiabilidad, siempre es beneficioso emplear las últimas actualizaciones. Algunos sistemas operativos móviles
tienen diferentes niveles de soporte para IPv6. Android y el IOS tanto soporte IPv6, pero solo para Android tiene soporte para automóvil sin estado con fi guración para
obtener una dirección IP y no DHCPv6. IPv6 es parte de las especificaciones de LTE por lo que cualquier dispositivo móvil que soporta redes LTE soporta IPv6 también.
Tipos IPv6 WAN
Los detalles se pueden encontrar en Tipos IPv6 WAN , Pero algunas de las formas más comunes de despliegue de IPv6 son:
direccionamiento estático IPv6 nativas y utilizando ya sea por cuenta propia o en una pila dual junto con fi guración
IPv4.
DHCPv6 Dirección obtenida automáticamente por DHCPv6 a un servidor ascendente. Pre fi x delegación podrá también
ser utilizado con DHCPv6 para entregar una subred encaminado a un cliente DHCPv6.
direcciones sin estado con fi guración automática (SLAAC) determina automáticamente la dirección IPv6 por consul-
ing mensajes de anuncio de enrutador y la generación de una dirección IP dentro de un pre fi jo. Esto no es muy

útil para un router, ya que no hay manera de ruta de una red para el “interior” de la cortafuego. Puede ser útil para los modos de
electrodomésticos.
6RD túnel Un método de tunelización IPv6 tráfico dentro de IPv4 c. Esto es utilizado por los ISP para una rápida IPv6 Desplegar
ción.
6a4 túnel Al igual que en 6RD pero con diferentes mecanismos y limitaciones.
GIF túnel No es técnicamente un tipo de WAN directa, sino que se utiliza comúnmente. Cliente construye un GIF IPv4
túnel a un proveedor de túnel IPv6 tráfico c.
Aunque no es técnicamente un tipo de WAN, la conectividad IPv6 puede estar dispuesto también sobre OpenVPN o IPsec con IKEv2. OpenVPN y IPsec en modo de
IKEv2 pueden llevar IPv4 y IPv6 tráfico c simultáneamente, de modo que pueden ofrecer IPv6 sobre IPv4, aunque con más sobrecarga que un corredor de túnel típico
que utiliza GIF. Estas son buenas opciones para una empresa que tiene IPv6 en un centro de datos principal o fi cina, pero no en una ubicación remota.
Formato de dirección
Una dirección IPv6 consta de 32 dígitos hexadecimales, en 8 secciones de 4 dígitos cada uno, separados por dos puntos. Se ve algo como esto: 1234:
5678: 90ab: cdef: 1234: 5678: 90ab: cdef
Las direcciones IPv6 tienen varios accesos directos que les permiten ser comprimido en cadenas más pequeñas siguiendo ciertas reglas. Si hay algún ceros a la izquierda
en una sección, pueden dejarse fuera. 0001: 0001: 0001: 0001: 0001: 0001: 0001: 0001 podría ser escrito como 1: 1: 1: 1: 1: 1: 1: 1.
Cualquier número de partes de la dirección consta de sólo ceros puede ser comprimido mediante el uso de :: pero esto sólo puede hacerse una vez en una
dirección IPv6 para evitar la ambigüedad. Un buen ejemplo de esto es anfitrión local, comprimiendo
0000: 0000: 0000: 0000: 0000: 0000: 0000: 0001 a :: 1. En cualquier momento :: aparece en una dirección IPv6, los valores ser- Tween son todos ceros. Una
dirección IP como fe80: 1111: 2222: 0000: 0000: 0000: 7777: 8888, puede ser representado como fe80: 1111: 2222 :: 7777: 8888. Sin embargo, fe80: 1111: 0000:
0000: 4444: 0000: 0000: 8888 No se puede reducir el uso de
:: mas de una vez. Sería ser tanto fe80: 1111 :: 4444: 0: 0: 8888 o fe80: 1111: 0: 0: 4444 :: 8888 pero no poder ser
fe80: 1111 :: 4444 :: 8888 porque no hay manera de saber cuántos ceros han sido sustituidos por cualquiera :: operador.
La determinación de un esquema de direcciones IPv6
Debido a la mayor longitud de las direcciones, la gran espacio provisto en incluso un básico / 64 de subred, y la capacidad de utilizar dígitos hexadecimales, hay más
libertad para diseñar las direcciones de red de dispositivos.
En los servidores que utilizan múltiples alias de direcciones IP para los hosts virtuales, cárceles, etc, un esquema de direccionamiento útil es usar la séptima sección de la
dirección IPv6 para denotar el servidor. A continuación, utilice la sección octava de alias IPv6 individuales. todas las IPs de estos grupos en un único host reconocible. Por
ejemplo, el servidor sí mismo sería 2001: db8: 1: 1 :: A: 1, y luego el alias IP primeros serían 2001: db8: 1: 1 :: A: 2, entonces * 2001: db8: 1: 1 :: A: 3, etc. El siguiente servidor
sería * 2001: db8: 1: 1 :: b: 1,
y repite el mismo patrón.
Algunos administradores les gusta divertirse con sus direcciones IPv6 utilizando letras hexadecimales y de números / letras alents valente a hacer que las palabras de sus
direcciones IP. Las listas de palabras hexadecimales en la web se puede utilizar para crear direcciones IP más memorables como 2001: db8: 1: 1 :: muertos: carne de res.
Decimal vs Confusión hexadecimal
Creación de direcciones IPv6 consecutivos con una base hexadecimal puede causar confusión. valores hexadecimales son base 16 a diferencia de los valores
decimales que son la base 10. Por ejemplo, la dirección IPv6 2001: db8: 1: 1 :: 9 es seguido por
2001: db8: 1: 1 :: a, No 2001: db8: 1: 1 :: 10. Al ir a la derecha 2001: db8: 1: 1 :: 10, los valores de FA se ha saltado, dejando un hueco. esquemas de numeración
consecutivas no son necesarios y su uso se deja a la discreción del diseñador de la red. Para algunos, es psicológicamente más fácil de evitar el uso de los
dígitos hexadecimales.
4.7. IPv6 19
Dado que todas las direcciones IPv4 se pueden expresar en formato IPv6, este problema surgirá cuando se diseña una red de doble pila que mantiene una sección de
la dirección IPv6 lo mismo que su contraparte IPv4.
La división en subredes IPv6
IPv6 subredes es más fácil que IPv4. También es diferente. ¿Quieres dividir o combinar una subred? Todo lo que se necesita es añadir o cortar dígitos y
ajustar la longitud fi x pre por un múltiplo de cuatro. Ya no hay una necesidad de calcular inicio de subred / direcciones finales, direcciones útiles, la ruta nula,
o la dirección de difusión.
IPv4 tenía una máscara de subred (notación quad de puntos) que más tarde fue sustituido por enmascaramiento CIDR. IPv6 no tiene una máscara de subred, sino que lo
llama un pre fi x longitud, a menudo abreviado como “Pre fi x”. Pre fi x longitud y CIDR trabajo enmascaramiento de manera similar; La longitud fi x pre denota el número de
bits de la dirección de fi ne la red en la que existe. Más comúnmente los prefijos utilizados con IPv6 son múltiplos de cuatro, como se ve en la Tabla IPv6 Tabla de Subred , pero
pueden ser cualquier número entre 0 y 128.
El uso de pre fi x longitudes en múltiplos de cuatro hace que sea más fácil para los seres humanos para distinguir subredes IPv6. Todo lo que se requiere para diseñar una subred grande
o más pequeño es ajustar el pre fi jo por múltiplo de cuatro. Para referencia, véase la tabla IPv6 Tabla de Subred
una lista de los posibles direcciones IPv6, así como el número de direcciones IP están contenidas dentro de cada subred.
Tabla 4.6: IPv6 subred Tabla
Pre fi x subred Ejemplo Direcciones IP totales # De / 64 redes
4 x:: 2 124 2 60
8 xx :: 2 120 2 56
12 xxx :: 2 116 2 52
dieciséis xxxx :: 2 112 2 48
20 xxxx: x :: 2 108 2 44
24 xxxx: xx :: 2 104 2 40
28 xxxx: xxx :: 2 100 2 36
32 xxxx: xxxx :: 2 96 4294967296
36 xxxx: xxxx: x :: 2 92 268435456
40 xxxx: xxxx: xx :: 2 88 16777216
44 xxxx: xxxx: xxx :: 2 84 1048576
48 xxxx: xxxx: xxxx :: 2 80 65536
52 xxxx: xxxx: xxxx: x :: 2 76 4096
56 xxxx: xxxx: xxxx: xx :: 2 72 256
60 xxxx: xxxx: xxxx: xxx :: 2 68 dieciséis
64 xxxx: xxxx: xxxx: xxxx :: 2 64 ( 18,446,744,073,709,551,616) 1

68 xxxx: xxxx: xxxx: xxxx: x :: 2 60 ( 1,152,921,504,606,846,976) 0
72 xxxx: xxxx: xxxx: xxxx: xx :: 2 56 ( 72,057,594,037,927,936) 0
76 xxxx: xxxx: xxxx: xxxx: xxx :: 2 52 ( 4,503,599,627,370,496) 0
80 xxxx: xxxx: xxxx: xxxx: xxxx :: 2 48 ( 281,474,976,710,656) 0
84 xxxx: xxxx: xxxx: xxxx: xxxx: x :: 2 44 ( 17,592,186,044,416) 0
88 xxxx: xxxx: xxxx: xxxx: xxxx: xx :: 2 40 ( 1,099,511,627,776) 0
92 xxxx: xxxx: xxxx: xxxx: xxxx: xxx :: 2 36 ( 68719476736) 0
96 xxxx: xxxx: xxxx: xxxx: xxxx: xxxx :: 2 32 ( 4294967296) 0
100 xxxx: xxxx: xxxx: xxxx: xxxx: xxxx: x :: 2 28 ( 268435456) 0
104 xxxx: xxxx: xxxx: xxxx: xxxx: xxxx: xx :: 2 24 ( 16.777.216) 0
108 xxxx: xxxx: xxxx: xxxx: xxxx: xxxx: xxx :: 2 20 ( 1.048.576) 0
112 xxxx: xxxx: xxxx: xxxx: xxxx: xxxx: xxxx :: 2 dieciséis ( 65.536) 0
116 xxxx: xxxx: xxxx: xxxx: xxxx: xxxx: xxxx: x :: 2 12 ( 4096) 0
120 xxxx: xxxx: xxxx: xxxx: xxxx: xxxx: xxxx: xx :: 2 8 ( 256) 0
Continúa en la siguiente página

Tabla 4.6 - viene de la página anterior

Pre fi x subred Ejemplo Direcciones IP totales # De / 64 redes
124 xxxx: xxxx: xxxx: xxxx: xxxx: xxxx: xxxx: xxx :: 2 4 ( dieciséis) 0
128 xxxx: xxxx: xxxx: xxxx: xxxx: xxxx: xxxx: xxxx 2 0 ( 1) 0
A / 64 es una subred IPv6 tamaño estándar tal como se define por el IETF. Es subred más pequeña que se utiliza a nivel local si se desea con auto fi gu- ración.
Típicamente, un ISP asigna un / 64 o menor de subred para establecer el servicio en la WAN. Una red adicional se encamina el uso de LAN. El tamaño de la
asignación depende de la ISP, pero no es raro ver a los usuarios finales reciben al menos un / 64 e incluso hasta a un / 48.
Un proveedor de servicios túnel como tunnelbroker.net dirigido por Hurricane Electric destinará a / 48, además de un enrutado / 64 de subred y una interconexión
/ 64.
Asignaciones de mayor que / 64 generalmente adoptan la primera / 64 para LAN y subdividen el resto para requisitos tales como túnel VPN, DMZ, o una red de
invitados.
Las subredes IPv6 especiales
redes de uso especial se reservan en IPv6. Una lista completa de éstos se pueden encontrar en el Artículo de Wikipedia IPv6 . Seis ejemplos de redes IPv6 especiales y
sus direcciones se muestran a continuación en Redes IPv6 especiales y direcciones .
Tabla 4.7: redes IPv6 especiales y direcciones
Red Propósito
2001: db8 :: / 32 Documentación pre fi x, usado para los ejemplos, como las que encontramos en este libro. :: 1
localhost
FC00 :: / 7 Las direcciones únicas locales (ULA) - también conocido como direcciones IPv6 “privado”.
fe80 :: / 10 Enlazar las direcciones locales, válidas sólo dentro de un único dominio de difusión.
2001 :: / 16 Las direcciones únicos globales (GUA) - enrutable direcciones IPv6.

FF00 :: 0/8 Las direcciones de multidifusión
Descubrimiento vecino
IPv4 acoge encontramos uno al otro en un segmento local utilizando mensajes de difusión ARP, pero los hosts IPv6 encontramos entre sí mediante el envío de mensajes Neighbor
Discovery Protocol (NDP). Como ARP, NDP funciona dentro de un dominio de difusión dada de encontrar otros hosts dentro de una subred específica.
Mediante el envío de paquetes especiales ICMPv6 a las direcciones de multidifusión reservados, NDP manejar las tareas de descubrimiento de vecinos, solicitudes de
enrutador, y redirige ruta similar a la de IPv4 ICMP redirige.
pfSense añade automáticamente la normativa de cortafuego en IPv6 habilitadas las interfaces que permiten NDP para funcionar. Todos los vecinos actuales conocidos en IPv6 se ve en la
interfaz gráfica de usuario fi cortafuegos en Diagnóstico> NDP tabla.
anuncios de enrutador
Los enrutadores IPv6 se encuentran a través de sus mensajes de anuncio de enrutador (RA) en lugar de por el DHCP. Se espera que los routers habilitados para IPv6
que apoyan la asignación dinámica de direcciones para anunciarse en la red a todos los clientes y responder a router solicitaciones. Al actuar como un cliente (interfaces
WAN), pfSense acepta RAmessages de enrutadores de aguas arriba. Al actuar como un router, pfSense proporciona mensajes de RA a los clientes en sus redes
internas. Ver Anuncios de enrutador (O: “¿Dónde está la opción de puerta de enlace DHCPv6”) para más detalles.
4.7. IPv6 21
Asignación de direcciones
direcciones de cliente pueden ser asignados por direccionamiento estático a través de SLAAC ( Anuncios de enrutador (O: “¿Dónde está la opción de puerta de enlace
DHCPv6”) ), DHCP6 ( IPv6 servidor DHCP del router y Anuncios ), U otros métodos de tunelización, tales como OpenVPN.
DHCP6 Pre fi x Delegación
DHCP6 Pre fi x Delegación ofrece una subred IPv6 encaminado a un cliente DHCP6. Una interfaz de tipo Wan se puede configurar para recibir un pre fi x sobre
DHCP6 ( DHCP6 , Track Interface ). Un enrutador que funciona en el borde de una red grande puede proporcionar pre fi x delegación a otros routers dentro de la
red ( DHCPv6 Pre fi x Delegación ).
IPv6 y NAT
Aunque IPv6 elimina la mayor necesidad de NAT, hay situaciones raras que requieren el uso de NAT con IPv6 como Multi-WAN para IPv6 en redes de
empresas pequeñas o residenciales.
Se ha ido el tipo tradicional de puerto fea traducido NAT (PAT), donde las direcciones internas se convierten utilizando los puertos en una sola dirección IP externa.
Es reemplazado por una traducción de direcciones de red recta llamada Red Pre fi x Traducción (TNP). Este servicio está disponible en pfSense bajo Firewall> NAT sobre
el NPT lengüeta. NPT traduce un pre fi jo a otro. Asi que
2001: db8: 1111: 2222 :: / 64 se traduce a * 2001: db8: 3333: 4444 :: / 64. Aunque los pre fi x cambia, el resto de la dirección será idéntica para un huésped dado en
esa subred. Para más información sobre NPT, consulte IPv6 Red Pre fi x Traducción (TNP) . Hay un mecanismo incorporado en IPv6 para acceder anfitriones IPv4
utilizando una notación dirección especial, como :: ffff: 192.168.1.1.

El comportamiento de estas direcciones puede variar entre sistema operativo y la aplicación y no es fiable.
IPv6 y pfSense
A menos que se indique lo contrario, es seguro asumir que el IPv6 es soportado por pfSense en un área o función determinada. Algunas áreas notables de pfSense
que las no haga soporte IPv6 son: proveedores de portal cautivo y la mayoría de DynDNS.
Nota: En los sistemas actualizados de versiones de pfSense anteriores a 2,1, IPv6 tráfico c es bloqueado por defecto. Para permitir IPv6:
• Navegar a Sistema> Avanzado sobre el Redes lengüeta
• Comprobar Permitir IPv6
• Hacer clic Salvar
Paquetes pfSense
Algunos paquetes son mantenidos por la comunidad, por lo que el soporte de IPv6 varía. En la mayoría de los casos el soporte IPv6 depende de las capacidades del software
subyacente. Es seguro asumir que un paquete no soporta IPv6 a menos que se indique lo contrario. Los paquetes se actualizan periódicamente de modo que lo mejor es poner a
prueba un paquete para determinar si es compatible con IPv6.
Conexión con un túnel de Service Broker
Un lugar que no tiene acceso a la conectividad IPv6 nativa puede obtenerla usando un servicio de proveedor de túneles como
Hurricane Electric o SixXS . Un sitio de núcleo con IPv6 puede ofrecer conectividad IPv6 a un sitio remoto mediante el uso de un túnel VPN o GIF.

Esta sección proporciona el proceso para conectar pfSense con Hurricane Electric (a menudo abreviado a HE.net o HE) para el tránsito IPv6. Usando HE.net es simple y fácil.
Permite la configuración multi-túnel, cada uno con un transporte / 64 y un enrutado / 64. También se incluye un enrutado / 48 para ser utilizado con uno de los túneles. Es una
gran manera de obtener una gran cantidad de espacio IPv6 encaminado a experimentar y aprender, todo de forma gratuita.
Inscribirse para el servicio
Antes de que un túnel se puede crear, peticiones de eco ICMP se debe permitir a la WAN. Una regla para pasar peticiones de eco ICMP desde una fuente de alguna Es
una buena medida temporal. Una vez que el punto final del túnel para HE.net ha sido elegido, la regla puede ser más específico.
Para empezar a trabajar en HE.net, crea en www.tunnelbroker.net . Los / 64 redes se asignan después de registrarse y seleccionar un servidor regional túnel IPv6. Un
resumen de la configuración del túnel con fi se puede ver en la página web de HE.net como se ve en la figura HE.net Túnel Con fi g Resumen . Contiene información
importante, como el usuario de Identificación del túnel, la dirección IPv4 del servidor ( dirección IP del servidor de túnel), Dirección IPv4 cliente ( la ficción de la dirección
IP externa cortafuegos), la Servidor
y Direcciones IPv6 de cliente ( que representa las direcciones IPv6 dentro del túnel), y el Enrutados equis fi IPv6 Pre.
Fig. 4.3: HE.net Túnel Con fi g Resumen
los Avanzado pestaña en el sitio proveedor de túneles tiene dos opciones adicionales notables: Un deslizador MTU y una clave de actualización para actualizar la dirección de túnel. Si la
WAN utiliza para dar por terminado el túnel GIF es PPPoE u otro tipo de WAN mínima MTU, mueva el control deslizante hacia abajo según sea necesario. Por ejemplo, una MTU más
común para las líneas de PPPoE con un proveedor de túneles sería 1452. Si la WAN tiene una dirección IP dinámica, tenga en cuenta el actualización de la clave para su uso posterior
en esta sección. Una vez que la configuración inicial para el servicio del túnel se ha completado, pfSense con fi gura para utilizar el túnel.
4.7. IPv6 23
Permitir IPv6 Traf fi c
En las nuevas instalaciones de pfSense después de 2.1, IPv6 trá fi co está permitido por defecto. Si la con fi guración en el cortafuego ha sido actualizado desde versiones
anteriores, a continuación, IPv6 todavía ser bloqueada. Para habilitar IPv6 trá fi co, realice lo siguiente:
• Comprobar Permitir IPv6 si no se ha comprobado
Permitir ICMP
Peticiones de eco ICMP deben ser permitidos en la dirección WAN que está terminando el túnel para asegurarse de que está en línea y accesible. Si ICMP está bloqueado, el
proveedor de túneles puede negarse a la configuración del túnel a la dirección IPv4. Editar la regla ICMP hecho anteriormente en esta sección, o crear una nueva regla para
permitir peticiones de eco ICMP. Establecer la dirección IP de origen del
Dirección IPv4 del servidor en el túnel con fi guración como se muestra en la figura Regla Ejemplo ICMP para garantizar la conectividad.
Fig. 4.4: Regla Ejemplo ICMP
Crear y asignar la interfaz GIF
A continuación, crear la interfaz de túnel GIF en pfSense. Complete los campos con la información correspondiente del túnel corredor resumen con
fi guración.
• Navegar a Interfaces> (asignar) sobre el GIF lengüeta.
• Hacer clic Añadir añadir una nueva entrada.
• Selecciona el Interfaz de padres a la WANwhere el túnel termina. Este sería el WANwhich tiene la Dirección del cliente IPv4 en el corredor de
túnel.
• Selecciona el GIF dirección remota en pfSense a la Dirección IPv4 del servidor en el resumen.
• Selecciona el GIF túnel Dirección Local en pfSense a la Cliente de direcciones IPv6 en el resumen.
• Selecciona el GIF túnel dirección remota en pfSense a la Dirección IPv6 del servidor en el resumen, a lo largo de la con fi pre x longitud (típicamente / 64).
• Deja restante opciones en blanco o sin marcar.
• Entrar a Descripción.
• Hacer clic Salvar.
Ver figura Ejemplo GIF túnel .
Si este túnel se está con fi gurado en una WAN con una IP dinámica, consulte La actualización del Punto Final de Túnel para obtener información sobre cómo mantener el
punto final del túnel IP actualiza con HE.net. Una vez que se haya creado el túnel GIF, se debe asignar:
• Navegar a Interfaces> (asignar), Las asignaciones de interfaz lengüeta.
• Seleccione el GIF recién creado en virtud Puertos de red disponibles.
• Hacer clic Añadir para agregarlo como una nueva interfaz.

Fig. 4.5: Ejemplo GIF túnel
Con fi gura la nueva interfaz OPT
La nueva interfaz es ahora accesible bajo Interfaces> OptX, dónde x depende de la cantidad asignada a la interfaz.
• Navegar a la página nueva fi guración interfaz de aire. ( Interfaces> OptX)
• Comprobar Habilitar interfaz.
• Introduzca un nombre para la interfaz en el Descripción campo, por ejemplo WANv6.
• Salir Con IPv6 Tipo fi guración como Ninguna.
• Hacer clic Aplicar cambios.
Configuración de la puerta de enlace IPv6
Cuando la interfaz está con fi gurado como se indica anteriormente, se añade una puerta de enlace dinámico IPv6 automáticamente, pero todavía no está marcado como predeterminado.
• Navegar a Sistema> Enrutamiento
• Editar la puerta de enlace dinámico IPv6 con el mismo nombre que la WAN IPv6 creado anteriormente.
• Comprobar Puerta de enlace predeterminada.
• Hacer clic Aplicar cambios.
4.7. IPv6 25
Fig. 4.6: Ejemplo interfaz de túnel
Fig. 4.7: Ejemplo de túnel de puerta de enlace

Navegar a Estado> Gateways para ver el estado de puerta de enlace. La puerta de enlace se mostrará como “en línea” si la con fi guración se realiza correctamente, como se ve en la figura Ejemplo
túnel de puerta de enlace de estado .
Fig 4.8:. Ejemplo de túnel de puerta de enlace Status
Configuración de DNS IPv6
Los servidores DNS probables consultas de DNS con la respuesta ya resultados AAAA. Introducción de los servidores DNS suministrados por el servicio de agente de túnel
bajo Sistema> Configuración general es recomendado. Introduzca al menos un servidor DNS IPv6 o utilizar los servidores de DNS públicos IPv6 de Google en 2001: 4860:
4860 :: 8888 y 2001: 4860: 4860 :: 8844. Si la resolución DNS se utiliza en el modo de no reenvío, se hablará con los servidores raíz IPv6 automáticamente una vez que la
conectividad IPv6 es funcional.
Configuración de LAN para IPv6
Una vez que el túnel está con fi gurado y en línea, el propio cortafuego tiene conectividad IPv6. Para asegurar que los clientes pueden acceder a Internet en IPV6, la LAN debe
ser con fi gurada también. Un método consiste en establecer como LAN pila dual IPv4 e IPv6.
• Navegar a Interfaces> LAN
• Seleccionar Con IPv6 Tipo fi guración como IPv6 estática
• Introduzca una dirección IPv6 de la Enrutado / 64 en el corredor de túnel con fi guración con un fi x longitud pre de 64. Por ejemplo, * 2001: db8: 1111:
2222 :: 1 para el IPv6 LAN abordar si el Enrutado / 64 es 2001: db8: 1111: 2222 :: / 64.
• Hacer clic Aplicar cambios
A / 64 desde dentro de la enrutada / 48 es otra opción disponible.
Configuración DHCPv6 y / o router anuncios
Para asignar direcciones IPv6 a los clientes de forma automática, la configuración del router anuncios y / o DHCPv6. Esto se explica en detalle en IPv6 servidor
DHCP del router y Anuncios . Un breve resumen es el siguiente:
• Navegar a Servicios> DHCPv6 servidor / RA
• Comprobar Habilitar
• Introducir un rango de direcciones IP IPv6 dentro de la nueva subred IPv6 de LAN
• Cambiar a la anuncios de enrutador lengüeta
• Selecciona el Modo a Gestionado ( DHCPv6 solamente) o asistida ( DHCPv6 + SLAAC)
Los modos se describen con mayor detalle en Anuncios de enrutador (O: “¿Dónde está la opción de puerta de enlace DHCPv6”) .
Para asignar direcciones IPv6 a los sistemas LAN manualmente, utilizar la dirección IPv6 de LAN del cortafuego como puerta de entrada con una correcta adecuación pre fi x longitud,
y recoger direcciones desde dentro de la subred LAN.
4.7. IPv6 27
Añadir reglas del cortafuegos
Una vez asignadas las direcciones de LAN, añadir reglas fi cortafuego para permitir que el tráfico IPv6 C a fluir.
• Navegar a Firewall> Reglas, LAN lengüeta.
• Compruebe la lista para una regla de IPv6 existentes. Si una regla para pasar IPv6 trá fi co ya existe, entonces no es necesaria ninguna acción adicional.
• Hacer clic Añadir añadir una nueva regla a la parte inferior de la lista
• Selecciona el TCP / IP versión a IPv6
• Entrar en la subred LAN IPv6 como el Fuente
• Elige una Destino de Alguna.
Para los servidores habilitados para IPv6 en los servicios públicos LANwith, añadir reglas fi cortafuego en la ficha de la IPv6WAN (la interfaz asignado GIF) para permitir IPv6 trá fi co
para llegar a los servidores en los puertos necesarios.
¡Intentalo!
Una vez que las reglas cortafuego están en su lugar, comprobar si hay conectividad IPv6. Un buen sitio para probar con es test-ipv6.com . Se muestra un ejemplo de los resultados de
salida de un éxito con fi guración desde un cliente en LAN aquí figura Resultados de la prueba de IPv6 .
Fig. 4.9: Ensayo de IPv6 Resultados
La actualización del Punto Final de Túnel
Para una dynamicWAN, como DHCP o PPPoE, HE.net todavía se puede utilizar como un corredor de túnel. pfSense incluye un tipo de DynDNS que actualizará la dirección
IP del extremo del túnel siempre que cambie el IP de la interfaz WAN. Si se desea DynDNS, puede ser con fi gurado de la siguiente manera:
• Navegar a Servicios> DynDNS
• Hacer clic Añadir añadir una nueva entrada.

• Selecciona el Tipo de servicio ser HE.net Tunnelbroker.
• Seleccionar PÁLIDO como el Interfaz de monitor.
• Introducir el Identificación del túnel desde el corredor de túnel con fi guración en el nombre de host campo.
• Introducir el Nombre de usuario para el sitio broker túnel.
• Ingrese la Contraseña o actualización de la clave para el sitio broker túnel en el Contraseña campo.
• Entrar a Descripción.
• Hacer clic Guardar y Fuerza de actualización.
Si y cuando cambia la dirección IP WAN, pfSense se actualizará automáticamente el proveedor de túneles.
El control de Preferencia IPv6 para tráfico c de la fi sí cortafuegos
Por defecto, pfSense preferirá IPv6 cuando se con fi gurado. Si el enrutamiento IPv6 no es funcional, pero el sistema cree que es, pfSense puede fallar para comprobar
actualizaciones o paquetes de descarga correctamente.
Para cambiar este comportamiento, pfSense proporciona un método en la interfaz gráfica de usuario para controlar si los servicios en la fi cortafuegos prefieren IPv4 a través de IPv6:
• Comprobar Preferir utilizar IPv4 incluso si IPv6 está disponible
Una vez que los ajustes se han guardado, el fi cortafuegos en sí preferirá IPv4 para la comunicación saliente. En todo el mundo, la disponibilidad de nuevas
direcciones IPv4 está disminuyendo. La cantidad de espacio libre varía según la región, pero algunos ya se han agotado las asignaciones y otras se acerca
rápidamente a sus límites. Al 31 de enero del 2011, IANA asignado la totalidad de su espacio a Registros Regionales de Internet (RIR). A su vez, estas
asignaciones RIR han agotado en algunos lugares como APNIC (Asia / Pacífico), RIPE (Europa), y LACNIC (América Latina y el Caribe) para redes / 8. Aunque
algunas asignaciones más pequeños todavía están disponibles, cada vez es más difícil obtener nuevo espacio de direcciones IPv4 en estas regiones. ARIN
(América del Norte) se agotó en 24 de de septiembre de, el año 2015 .
Para dar cuenta de esto, IPv6 fue creado como un reemplazo para IPv4. Disponible en algunas formas desde la década de 1990, factores como la inercia, la complejidad y el
coste de desarrollo o la compra de routers y software compatibles se ha desacelerado su captación hasta que el los últimos años . Incluso entonces, ha sido bastante lento con
sólo el 8% de los usuarios de Google que tienen la conectividad IPv6, julio de 2015.
Con los años, el soporte para IPv6 en software, sistemas operativos y routers ha mejorado la situación está preparado para mejorar. Todavía le corresponde a los ISP a empezar a
entregar conectividad IPv6 a los usuarios. Es una situación de Catch-22: Los proveedores de contenido son lentos para proporcionar IPv6 porque pocos usuarios lo tienen.
Mientras tanto, los usuarios no tienen porque no hay una gran cantidad de contenido IPv6 e incluso menos contenido disponible sólo a través de IPv6. Los usuarios no saben que
se necesitan para que no exigen el servicio de sus proveedores de Internet.
Algunos proveedores están experimentando con Carrier Grade NAT (CGN) para estirar las redes IPv4 más lejos. CGN coloca sus clientes residenciales IPv4 detrás de
otra capa de protocolos NAT rompiendo además que ya no se ocupan de una capa de NAT. proveedores de datos móviles han estado haciendo esto desde hace
algún tiempo, pero las aplicaciones que se encuentran típicamente en los dispositivos móviles no se ven afectados ya que funcionan como si fueran detrás de un estilo
típico del router NAT SOHO. Mientras que la solución de un problema, crea otros como observa cuando se utiliza como CGN WAN de un cortafuego, cuando la
inmovilización en un PC, o en algunos casos intentan usar una VPN IPsec tradicional sin NAT-T, o PPTP. ISP emplean CGN deben utilizarse sólo si no hay otra
opción.
Hay muchos libros y sitios web disponibles con volúmenes de información en profundidad sobre IPv6. El artículo de Wikipedia sobre IPv6, http://en.wikipedia.org/wiki/IPv6
, Es una gran fuente de información y enlaces a otras fuentes adicionales. Vale la pena utilizar como punto de partida para más información sobre IPv6. También
hay muchos buenos libros sobre IPv6 disponible, pero
4.7. IPv6 29
tener cuidado de comprar libros con revisiones recientes. Se han producido cambios en el IPv6 especí fi cación en los últimos años y es posible que el
material podría haber cambiado desde la impresión del libro.
Ver también:
Los clientes con una pfSense Suscripción Oro puede acceder al Hangouts Archivo para ver el Hangout de julio de 2015 sobre IPv6 Fundamentos
Este libro no es una introducción a las redes pero hay ciertos conceptos de red que necesitan ser abordados. Para los lectores sin conocimientos básicos de redes
fundamental, se sugiere la localización de material introductorio adicional que este capítulo no proporcionará toda la información necesaria de manera adecuada. IPv6
conceptos son introducidos más adelante en este capítulo bajo IPv6 . Para mayor claridad, las direcciones IP tradicionales se conocen como direcciones IPv4. Excepto
cuando se indique lo contrario, la mayoría de las funciones trabajarán con cualquiera de las direcciones IPv4 o IPv6. La dirección IP término general hace referencia a
IPv4 o IPv6.
Breve introducción a las capas del modelo OSI
El modelo OSI tiene un marco de red que consta de siete capas. Estas capas se enumeran en la jerarquía de menor a mayor. Una breve descripción de
cada nivel se describe a continuación. Más información se puede encontrar en muchos textos de redes y en la Wikipedia ( http://en.wikipedia.org/wiki/OSI_model
).
Capa 1 - Física Se refiere a cualquiera de cableado eléctrico u óptico que transporta datos en bruto a todo el mayor
capas.
Capa 2 - Enlace de Datos Típicamente se refiere a Ethernet u otro protocolo similar que se está hablando en la
cable. Este libro a menudo se refiere a la capa 2 en el sentido de los conmutadores Ethernet u otros temas relacionados, tales como direcciones MAC y
ARP.
Capa 3 - Capa de Red Los protocolos utilizados para mover datos a lo largo de una trayectoria desde un huésped a otro, tales
como IPv4, IPv6, enrutamiento, subredes etc.
Capa 4 - Capa de Transporte La transferencia de datos entre los usuarios, por lo general se refiere a TCP o UDP o de otros similares
protocolos.
Capa 5 - Capa de Sesión Gestiona las conexiones y sesiones (típicamente referido como “diálogos”) entre
usuarios, y cómo se conectan y desconectan con gracia.
Capa 6 - Capa de Presentación Maneja cualquier conversión entre formatos de datos requeridos por los usuarios, tales como
diferentes juegos de caracteres, codificaciones, compresión, encriptación, etc.
Capa 7 - Capa de aplicación Interactúa con la aplicación de usuario o software, incluye protocolos familiares
tales como HTTP, SMTP, SIP, etc.

CAPÍTULO
CINCO
HARDWARE
Requisitos mínimos de hardware
Los requisitos mínimos de hardware para pfSense 2.3.3-RELEASE son:
• CPU de 600 MHz o más rápido
• RAM 512 MB o más
• 4 GB o mayores unidades de disco (SSD, HDD, etc)
• Una o más tarjetas de interfaz de red compatibles
• unidad USB de arranque o CD / DVD-ROM para la instalación inicial
Nota: Los requisitos mínimos no son adecuados para todos los entornos; ver Hardware Orientación Dimensionamiento para detalles.
Selección de hardware
El uso de los sistemas operativos de código abierto con el hardware no probado puede crear el hardware / software de conflictos. Sintonización de hardware y solución de problemas ofrece
consejos sobre cómo resolver diversas cuestiones.
La prevención de dolores de cabeza de hardware
Uso O fi cial pfSense hardware
Es muy recomendable el uso de hardware o fi cial de la pfSense tienda . Nuestro hardware ha sido desarrollado para asegurar a la comunidad que especí fi c
plataformas de hardware han sido probado y validado a fondo.
Buscar las experiencias de los demás
Las experiencias de otros son una valiosa fuente de conocimiento que se puede encontrar mediante la investigación de pfSense y compatibilidad hardware en
línea, especialmente en el Foro pfSense . Los informes de fallos no necesariamente deben considerarse de fi nitiva, porque los problemas pueden surgir de una
serie de cuestiones que no sean incompatibilidad de hardware. Si el hardware en cuestión es de un fabricante importante, una búsqueda en Internet por marca,
modelo y
sitio: pfsense.org buscará en la página web pfSense.org para experiencias de usuario pertinentes. En busca de la marca, el modelo, y pfSense quepan experiencias de
los usuarios nd en otros sitios web o los archivos de la lista de correo. La repetición de la misma búsqueda con FreeBSD en lugar de pfSense También se puede llegar
a experiencias útiles.
31
Convenciones de nombres
A lo largo de este libro nos referimos a la arquitectura de hardware de 64 bits como “amd64”, la designación arquitectura utilizada por FreeBSD. Intel ha adoptado la
arquitectura creada por AMD para x86-64, así el nombre amd64 se refiere a todas las CPU de 64 bits x86.
El cortafuego-SG 1000 se basa en la arquitectura ARMv6, pero ya que la SG-1000 es actualmente el único dispositivo de ARM compatible con pfSense, nos
referiremos a SG-1000 por su nombre en lugar de utilizar un tipo ARM genérico o el nombre de la arquitectura.
Hardware Orientación Dimensionamiento
Al dimensionar el hardware de pfSense, se requiere el rendimiento y características necesarias son los factores principales que rigen la selección de hardware.
Consideraciones de rendimiento
Los requisitos mínimos son suficientes si se requiere menos de 100 Mbps de rendimiento sin cifrar. Para conocer los requisitos de rendimiento mayores, siga
estas pautas en base a extensas pruebas y experiencias de implementación. El hardware se hace referencia en esta sección está disponible en el pfSense tienda .
Las especificaciones generales del hardware se pueden encontrar en la Tabla pfSense hardware .
Tabla 5.1: pfSense hardware
Modelo UPC Reloj núcleos de memoria RAM NIC velocidad

SG-1000 TI ARM Cortex-A8 AM3352 600 MHz 1 512 MB 2x1G
SG-2220 Intel Atom C2338 Rangeley 1,7 GHz 2 2 GB 2x1G
SG-2440 Intel Atom C2358 Rangeley 1,7 GHz 2 4GB 2x1G
SG-4860 Intel Atom C2558 Rangeley 2.4 GHz 4 8 GB 6x1G
SG-8860 Intel Atom C2758 Rangeley 2.4 GHz 8 8 GB 6x1G
XG-2758 Intel Atom C2758 Rangeley 2.4 GHz 8 16 GB 2x10G, 4x1G
C2758 Intel Atom C2758 Rangeley 2.4 GHz 8 8 GB 4x1G + 2x10G
XG-1540 Intel Xeon-DE D-1541 2.0 GHz 8 16-32 GB 2x10G, 2x1G
La mesa Rendimiento máximo en que la CPU 1400 - Byte paquetes compara el rendimiento entre varios modelos de hardware. La tabla contiene datos de
paquetes por segundo (PPS) y el rendimiento en Mbit / s para TCP y UDP. Un tamaño de paquete de 1.400 bytes se utilizó para esta prueba.
Advertencia: Las cifras a continuación muestra los resultados de las pruebas en curso y no re fl ejan con precisión el rendimiento potencial de cada dispositivo.
32 Capítulo 5. Hardware
Tabla 5.2: Rendimiento máximo en que la CPU 1400 - Byte Packets
UDP - 1400 Byte paquetes TCP - 1400 Byte paquetes PPS

Modelo
Mbit / s PPS Mbit / s
SG-1000 21300 238 19 290 216
SG-2220 86840 973 87 120 976
SG-2440 87770 983 87 760 983
SG-4860 87770 983 87 760 983
SG-8860 87920 985 87 760 983
XG-2758 875 750 9810 874 110 9790
C2758 877 560 9830 874 330 9790
XG-1540 818 960 9170 815 760 9140
Como se muestra por los resultados anteriores, en este tamaño relativamente grande de paquetes mayoría de los modelos pueden llegar a la velocidad máxima de su tipo de tarjeta de red más
rápida disponible, lo que representa de arriba.
Por el contrario, mira a las mismas estadísticas, pero esta vez utilizando paquetes de 64 bytes, que contienen la carga útil más pequeña posible. Estos se muestran en la
Tabla Throughput máximo por la CPU - 64 Byte paquetes
Tabla 5.3: Throughput máximo por la CPU - 64 Byte paquetes
UDP - 64 Byte paquetes TCP - 64 Byte paquetes PPS Mbit / s

Modelo
PPS Mbit / s
SG-1000
SG-2220
SG-2440
SG-4860
SG-8860
XG-2758
C2758
XG-1540
Con tamaños de paquetes más pequeños, los paquetes por segundo tasa es generalmente más alta, pero típicamente con un menor rendimiento global. Esto es debido a
que el hardware tiene que trabajar mucho más para mover el mayor volumen de paquetes más pequeños. En las redes reales del trá fi co flujo caerá posiblemente entre
estos tamaños, pero depende por completo sobre el medio ambiente y el tipo de tráfico involucrados c. Mesa 500 000 pps en varios tamaños de cuadro enumera algunos
tamaños de paquete común y el rendimiento alcanzado a una tasa ejemplo de 500.000 paquetes por segundo.
Tabla 5.4: 500.000 pps en Vari Tamaños ous Frame
Rendimiento Tamaño de bastidor en 500 Kpps

64 bytes 244 Mbps
500 bytes 1,87 Gbps
1000 bytes 3.73 Gbps
1500 bytes 5,59 Gbps
diferencia de rendimiento de red de tipo de adaptador
La elección de la NIC tiene un impacto significativo en el rendimiento. , tarjetas baratas de gama baja consumen signi fi cativamente más CPU que las tarjetas de mejor
calidad como Intel. El primer cuello de botella con un rendimiento fi cortafuegos es la CPU. rendimiento
5.3. Hardware Orientación Dimensionamiento 33

mejora de forma significativa mediante el uso de una tarjeta de red de mejor calidad con una CPU lenta. Por el contrario, el aumento de la velocidad de la CPU no aumentará
proporcionalmente el rendimiento cuando se combina con una baja calidad NIC.
Consideraciones de características
Características, servicios y paquetes habilitados en el cortafuego pueden disminuir el rendimiento potencial total, ya que consumen recursos de hardware que de otro modo
podrían ser utilizados para transferir el tráfico de red fi co. Esto es especialmente cierto para los paquetes que interceptan o inspeccionar red tráfico c, tales como Snort o
Suricata.
La mayoría de las características del sistema de base Do factor de fi cativamente no signi en el hardware de tamaño pero algunos potencialmente pueden tener un impacto considerable en la
utilización del hardware.
Tablas de estado grandes
conexiones de red activas a través del cortafuego se registran en la tabla de estados fi cortafuegos. Cada conexión a través del cortafuego consume dos estados: uno
que entra en el cortafuego y uno dejando el cortafuego. Por ejemplo, si un cortafuego debe manejar 100.000 conexiones de cliente del servidor web simultáneas de la
tabla de estado debe ser capaz de mantener 200.000 estados.
Ver también:
Unidos se retoma en el firewall .
Servidores de seguridad en entornos que requieren un gran número de estados simultáneos deben tener suf RAM fi ciente para contener la tabla de estado. Cada estado tiene
aproximadamente 1 KB de RAM, lo que hace el cálculo de los requisitos de memoria relativamente fácil. Mesa Gran estado de consumo de la tabla de memoria RAM proporciona
una guía para la cantidad de memoria necesaria para los tamaños de la tabla de estado de mayor tamaño. Esto es únicamente la memoria utilizada para el seguimiento del
estado. El sistema operativo en sí mismo, junto con otros servicios requerirá por lo menos 175 a 256 MB de RAM adicional y posiblemente más, dependiendo de las
características utilizadas.
Tabla 5.5: Ampliación de estado de consumo de la tabla de memoria RAM
Unidos Conexiones de RAM necesarios

100.000 50000 ~ 97 MB
500.000 250.000 ~ 488 MB
1.000.000 500.000 ~ 976 MB
3,000,000 1,500,000 ~ 2900 MB
8,000,000 4,000,000 ~ 7800 MB
Es más seguro a sobreestimar los requisitos. Basado en la información anterior, una buena estimación sería que 100.000 estados consumen alrededor de 100 MB
de RAM, o que 1.000.000 estados consumirían aproximadamente 1 GB de RAM.
VPN (todos los tipos)
La pregunta clientes suelen preguntar acerca de las VPN es “¿Cuántas conexiones puede mi mango hardware?” Eso es un factor secundario en la mayoría de las
implementaciones y es de menor consideración. Esa métrica es una reliquia de cómo otros vendedores han licenciado capacidades de VPN en el pasado y no tiene un
equivalente directo especí fi ca en pfSense. La consideración principal en hardware de tamaño para VPN es el rendimiento potencial de la VPN tráfico c.
Cifrar y descifrar el tráfico de red fi co con todos los tipos de VPN es la CPU. pfSense ofrece varias opciones de cifrado para su uso con IPsec. Los diversos
sistemas de cifrado actúan de forma diferente y el rendimiento máximo de un cortafuego es dependiente del sistema de cifrado utilizado y si o no que cifrado
puede ser acelerada por el hardware. aceleradores criptográficos de hardware aumentan en gran medida el máximo rendimiento VPN y eliminar en gran
medida la diferencia rendimiento entre sistemas de cifrado aceleradas. Mesa VPN mediante el modelo de hardware, todos los valores son Mbit / s ilustra la
capacidad máxima de hardware diferentes disponibles en la tienda pfSense utilizando IPsec y OpenVPN.
Para IPsec, AES-GCM es acelerado por AES-NI y es más rápido no sólo por eso, sino porque también no tante necesaria una algoritmo de autenticación por
separado. IPsec también tiene menos sobrecarga de procesamiento del sistema por paquete operativo de OpenVPN, por lo que por el momento IPsec será casi
siempre más rápido que OpenVPN.
Tabla 5.6: VPN mediante el modelo de hardware, todos los valores son Mbit / s
OpenVPN / AES-128 + SHA1 IPsec / IKEv2 + AES-GCM TCP, TCP 64B,

Modelo
1400B TCP, TCP 64B, 1400B
SG-1000 16 17 22 22
SG-2220 64 sesenta y cinco 256 322
SG-2440 64 sesenta y cinco 258 325
SG-4860 72 73 380 418
SG-8860 70 72 386 445
XG-2758 68 68 174 435
C2758 133 143 511 556
XG-1540 164 166 224 780
Donde el alto rendimiento de VPN es un requisito para un cortafuego, la aceleración criptográfica de hardware es de suma importancia para garantizar no sólo la velocidad
de transmisión rápida, pero también menos recursos de la CPU. La reducción de la sobrecarga de la CPU significa la VPN no bajará el rendimiento de otros servicios en el
cortafuego. La corriente mejor aceleración disponible está disponible mediante el uso de una CPU que incluye soporte AES-NI combinado con AES-GCM en IPsec.
paquetes
Ciertos paquetes tienen un fi impacto significativo en los requisitos de hardware, y su uso se deben tener en cuenta al seleccionar el hardware.
Resoplido / Suricata
Bufar y Suricata son paquetes de pfSense para la detección de intrusiones en la red. Dependiendo de su con fi guración, pueden requerir una cantidad significativa de
memoria RAM. 1 GB debe considerarse como un mínimo, pero algunos fi guraciones puede necesitar 2 GB o más.
Suricata es multi-hilo y potencialmente puede tomar ventaja de NetMap para IPS en línea si el hardware de un traductor humano.
Calamar
Squid es un servidor proxy caché de HTTP disponible como un paquete pfSense. El rendimiento del disco I / O es una con- sideración importante para los usuarios de calamar ya que
determina el rendimiento de caché. Por el contrario, la velocidad del disco es en gran medida irrelevante para la mayoría de rewalls fi pfSense ya que la única actividad del disco
significativo es el tiempo de arranque y mejorar el tiempo; que no tiene relevancia para rendimiento de la red u otra operación normal.
Incluso en el caso del calamar cualquier disco duro va a bastar fi cina en entornos pequeños. Para más de 200 implementaciones de usuario, un SSD de alta calidad a partir de un Tier-1 OEM es
una herramienta imprescindible. Un SSD de baja calidad puede no ser capaz de soportar las numerosas escrituras que participan en el mantenimiento de los datos almacenados en caché.
El tamaño de la memoria caché de calamar también es un factor en la cantidad de RAM necesaria para el cortafuego. Calamar consume 14MB madamente aproximado de RAM
por 1 GB de memoria caché en AMD64. A ese ritmo, un caché de 100 GB requeriría 1,4 GB de RAM para la gestión de la caché solo, sin contar otra memoria RAM necesita para
el calamar.
5.3. Hardware Orientación Dimensionamiento 35

Sintonización de hardware y solución de problemas
El sistema operativo subyacente por debajo de pfSense puede ser fi ne-sintonizado de muchas maneras. Algunos de estos sintonizables están disponibles en pfSense bajo Opciones
avanzadas ( Ver Tab optimizables del sistema ). Otros se describen en la página principal de FreeBSD sintonización (7) .
La instalación por defecto de software de pfSense incluye un conjunto cabal de los valores sintonizados para un buen rendimiento sin ser demasiado agresivo. Hay casos
en que el hardware o los controladores requieren un cambio de valores o fi carga de trabajo de la red específica requiere cambios para funcionar óptimamente. El
hardware se vende en el pfSense tienda se afina aún más ya que tenemos un conocimiento detallado del hardware, eliminando la necesidad de basarse en hipótesis más
generales. Los cambios comunes a lo largo de estas líneas para otros equipos se pueden encontrar en la página de documentación wiki para Tuning y solución de
problemas Tarjetas de Red .
Nota: Cambios a / boot / loader.conf.local requerir un reinicio fi cortafuegos para tener efecto.
mbuf Agotamiento
Un problema común encontrado los usuarios de hardware básico es el agotamiento mbuf. Para más detalles sobre mbufs y monitoreo mbuf uso, consulte Las agrupaciones
mbuf . Si el cortafuego se queda sin mbufs, que puede conducir a una situación de pánico del kernel y reiniciar el sistema bajo ciertas cargas de la red que agota todos los
buffers de memoria de red disponibles. Esto es más común con NIC que utilizan varias colas o se optimizan de otro modo para el rendimiento en el uso de recursos.
Además, aumenta el uso mbuf cuando el cortafuego está utilizando ciertas características tales como limitadores Para aumentar la cantidad de mbufs disponibles, añada lo
siguiente a
/boot/loader.conf.local:
Kern . ipc . NMBCLUSTERS = "1000000"
Además, las tarjetas pueden necesitar otros valores similares plantearon como kern.ipc.nmbjumbop. Además de los gráficos mencionados anteriormente, comprobar la
salida del comando -m netstat para verificar si algunas áreas están a punto de agotarse.
Conde NIC cola
Por motivos de rendimiento de algunos tipos de tarjetas de redes utilizan varias colas para procesar paquetes. En los sistemas multi-núcleo, por lo general un conductor
tendrá que usar una cola por núcleo de CPU. UN pocos casos existir donde esto puede conducir a problemas de estabilidad, que se pueden resolver mediante la
reducción del número de colas utilizados por el NIC. Para reducir el número de colas, especifique el nuevo valor en / boot / loader.conf.local, como:
HW . IGB . num_queues = 1
El nombre de la OID sysctl varía según la tarjeta de red, pero por lo general se encuentra en la salida de sysctl -a, debajo
HW. <drivername>.
Desactivar MSIX
Otro problema común es una NIC no apoyar adecuadamente MSIX a pesar de sus reclamaciones. MSIX se puede desactivar mediante la adición de la siguiente línea a / boot /
loader.conf.local:
HW . pci . enable_msix = 0
La distribución de software pfSense es compatible con la mayoría del hardware soportado por FreeBSD. pfSense versión 2.4 y más tarde es compatible con 64 bits
(amd64, x86-64) de la arquitectura hardware y el cortafuego basado SG-1000 ARM-.
pfSense versión 2.3.x y antes era compatible con 32 bits (i386, x86) y 64 bits (amd64, x86-64) hardware arquitectura.
arquitecturas de hardware alternativas tales como ARM (aparte de SG-1000), PowerPC, MIPS, SPARC, etc., no son compatibles en este tiempo.
de compatibilidad de hardware
La mejor manera de asegurar que el hardware es compatible con el software de pfSense es comprar el hardware de la pfSense tienda
que ha sido probado y conocido para trabajar bien con pfSense. El hardware en la tienda se prueba con cada nueva versión del software de pfSense y está afinado
para el rendimiento.
Para las soluciones de fabricación casera, las Notas Hardware FreeBSD es el mejor recurso para determinar la compatibilidad de hardware. pfSense versión
2.3.3-RELEASE se basa en 10.3-RELEASE, hardware tan compatibles se encuentra en el notas de hardware en el sitio web de FreeBSD . Otro buen recurso es la sección
de hardware de la FAQ de FreeBSD .
Adaptadores de red
Una amplia variedad de tarjetas de Ethernet por cable (NIC) están soportados por FreeBSD, y son por lo tanto compatible con pfSense rewalls fi. Sin embargo,
no todos los adaptadores de red son iguales. El hardware puede variar en gran medida de la calidad de un fabricante a otro.
Recomendamos Intel PRO / 1000 de 1 Gb y PRO / 10GbE NIC 10 Gb porque no tienen soporte de controladores sólidos en FreeBSD y que funcionan muy bien. La
mayoría del hardware se vende en el pfSense tienda contiene NIC Intel.
De las varias otras tarjetas PCIe / PCI soportados por FreeBSD, algunos trabajos definir. Otros pueden tener problemas como VLAN no funciona correctamente, no ser
capaz de ajustar la velocidad o dúplex, o el bajo rendimiento. En algunos casos, FreeBSD puede apoyar una tarjeta de red en particular, pero, con implementaciones fi cos
del chipset, la compatibilidad de controladores o puede ser pobre. En caso de duda, buscar la Foro pfSense para las experiencias de otras personas que utilizan el mismo o
similar hardware. Cuando un cortafuego requiere el uso de VLAN, seleccione los adaptadores que soportan el procesamiento de VLAN en el hardware. Esto se discute en LAN
virtuales (VLAN) .
Adaptadores de red USB
No recomendamos el uso de adaptadores de red USB de anymake / modelo debido a su falta de fiabilidad y un rendimiento deficiente.
Los adaptadores inalámbricos
adaptadores inalámbricos compatibles y recomendaciones están cubiertas de Inalámbrico .
5.5. de compatibilidad de hardware 37

CAPÍTULO
SEIS
Instalación y actualización
Hardware de la pfSense tienda está pre-cargado con software pfSense. Para volver a instalar el software de pfSense o para instalarlo en otro hardware, descargar una imagen
de instalación como se describe en este capítulo.
Advertencia: Hardware precargado con el software de pfSense de vendedores comerciales que no sean el pfSense tienda
o socios autorizados no deben ser de confianza. Los terceros pueden haber hecho, alteraciones o adiciones no autorizadas desconocidos para el software. La venta
de copias pre-cargado de software de pfSense es una violación de la Instrucciones de uso de marca comercial .
Si el software de pfSense se pre-cargado en el hardware de terceros por un proveedor, limpie el sistema y volver a instalarlo con una copia original.
Si algo va mal durante el proceso de instalación, consulte Solución de problemas de instalación . En este capítulo también cubre las instalaciones de software
actualización pfSense ( Actualización de una instalación existente ) Que les mantiene al día con lo último en seguridad, equis fallo fi, y nuevas características.
Medios descarga de instalación
Los clientes que han comprado rewalls Fi de la pfSense tienda pueden descargar imágenes de instalación ajustada de fábrica de su cuenta en el Portal pfSense .
los Documentación Netgate El sitio contiene instrucciones especí fi cas para cada modelo, a fin de comprobar que el sitio primero antes de descargar imágenes
en base a la información de este capítulo. Para el hardware de la tienda de pfSense que ya no tiene soporte, o de otro hardware, seguir leyendo.
• Navegar a www.pfsense.org en un navegador web en un PC cliente.
• Hacer clic Descargas.
• Seleccione un Tipo de archivo de Instalar.
• Seleccione una Arquitectura:
AMD64 (64-bit) Para 64-bit x86-64 hardware de Intel o AMD.
Netgate IDA Para la mayoría de la serie SG fi rewalls de la pfSense tienda , Específicamente, los modelos que contienen un puerto USB de la
consola en COM2.
• Seleccione un Plataforma para una instalación de 64 bits:
Memstick USB Installer Una imagen de disco que puede escribirse en una memoria USB (memory stick)
y arrancado en el hardware de destino para la instalación.
Imagen de CD (ISO) Instalador Para instalar desde medios ópticos o para su uso con IPMI o hipervisores cuales
puede arrancar desde imágenes ISO.
• Seleccione un Consola para Memstick USB Installer imágenes:
39
VGA Se instala utilizando un monitor y un teclado conectado al hardware de destino.
De serie Se instala utilizando una consola serie en COM1 del hardware de destino. Esta opción requiere un examen físico
puerto de la consola.
• Seleccione un Espejo que está cerca de la PC del cliente geográficamente.
• Hacer clic Descargar.
• Copiar la suma SHA-256 mostrada por la página para verificar la descarga más tarde.
Nota: Para ver una lista de todos los archivos en el espejo, no se ha seleccionado ninguna opción de los menús desplegables a excepción de un espejo continuación, haga clic Descargar.
Propina: Para versiones anteriores de software de pfSense, mira en el Archivo de software
Los nombres fi l de pfSense versión de software 2.3.3-RELEASE son:
Memstick USB Installer (Netgate ADI) pfSense-CE-memory stick-ADI-2.3.3-Release- <arch> .img.gz
Memstick USB Installer (VGA) pfSense-CE-memory stick-2.3.3-Release- <arch> .img.gz
Memstick instalador USB (Serie) pfSense-CE-memory stick-serie-2.3.3-Release- <arch> .img.gz
ISO instalador Imagen pfSense-CE-2.3.3-Release- <arch> .iso.gz
Ver también:
En cualquier punto de la instalación si algo no sale como se describe, cheque Solución de problemas de instalación .
Verificación de la integridad de la descarga
La integridad de la imagen del instalador puede ser veri fi cado mediante la comparación de un valor hash calculado de la fi l descargado contra un control calculado por el proyecto
cuando el pfSense archivos fueron creados originalmente. Los valores hash actuales proporcionados por el uso de proyectos SHA-256 .
La suma SHA-256 que aparece en la página de descarga es la mejor fuente, ya que no se sale el mismo directorio que las imágenes de descarga. A fi l que contiene la
suma SHA-256 también está disponible en los espejos con el mismo nombre de archivo fi la imagen del instalador elegido como, pero que termina en. sha256.
Utilice el acompañamiento suma SHA-256 del sitio de descargas o. sha256 fi l para verificar que la descarga se ha realizado con éxito y es una de la liberación o fi
cial de software de pfSense.
Advertencia: Las sumas SHA-256 se calculan en contra de las versiones comprimidas de la descargados fi les. Comparar el hash antes de descomprimir el
archivo.
Hash veri fi cación en Windows
Los usuarios de Windows pueden instalar HashTab o un programa similar para ver SHA-256 hash para cualquier dado fi l. El hash SHA-256 generada puede ser
comparada con la suma SHA-256 del sitio de descargas o el contenido de la. sha256 fi l del servidor de descarga. Los . sha256 fi l se puede ver en cualquier editor de
texto sin formato como Bloc de notas. Con HashTab instalado, para comprobar el hash de un expediente:
• Haga clic derecho sobre el archivo descargado fi l.
• Haga clic en el hash de archivo lengüeta. HashTab tomará unos momentos para calcular el hash.
40 Capítulo 6. Instalación y actualización

• Pase el ratón sobre el hash SHA-256 para ver el hash completo.
• Pegar la suma SHA-256 del sitio de descargas o desde el. sha256 fi l en el La comparación de hash caja para comprobar automáticamente si coincide
con el hash.
• Hacer clic Cancelar para desestimar el expediente propiedades de diálogo sin hacer cambios. Si un hash
SHA-256 no se muestra en HashTab:
• Haga clic en Configuración
• Marque la casilla SHA-256
• Haga clic en Aceptar
Hash veri fi cación en BSD y Linux
los sha256 comando viene de serie en FreeBSD y muchos otros sistemas operativos UNIX y UNIX. Un hash SHA-256 puede ser generada
mediante la ejecución del siguiente comando desde el directorio que contiene el Down- cargado fi le:
# sha256 pfSense-CE-memstick-ADI-2.3.3-RELEASE-amd64.img.gz
Comparar el hash resultante con la suma SHA-256 que aparece en el sitio de descarga o el contenido de la. sha256 fi l descargado desde el sitio web de pfSense.
sistemas GNU o Linux proporcionan una sha256sum comando que funciona de manera similar.
Hash veri fi cación en OS X
OS X también incluye la sha256 mando, igual que FreeBSD, pero también hay disponibles aplicaciones GUI como QuickHash . HashTab También está
disponible para OS X.
Preparar el medio de instalación
La imagen de instalación descargado en el apartado anterior debe primero ser transferida a los medios de comunicación adecuado. Los archivos que no se pueden copiar a los medios de
comunicación directamente, sino que deben escribirse usando las herramientas apropiadas.
La principal diferencia entre la imagen ISO memory stick USB y está en cómo las imágenes se graban en un disco de instalación. Ambos tipos de imágenes instalan
software pfSense a un disco de destino. Otra diferencia entre los tipos de consola para las diferentes imágenes memory stick USB. Después de la instalación, cada
uno de ellos conservan sus ajustes de la consola apropiadas.
Nota: Si el hardware de destino no tiene una unidad óptica y no puede arrancar desde USB, instale el software en el disco de destino con un conjunto
diferente de hardware. Ver Técnicas de instalación alternativos para más información.
Descomprimir el medio de instalación
La imagen del disco de instalación se comprime cuando se descargan a ahorrar ancho de banda y almacenamiento. Descomprimir el expediente antes de escribir
esta imagen a un disco de instalación. Los . gz extensión en la fi le indica que el expediente está comprimido con gzip. La imagen puede ser descomprimido en
Windows utilizando 7-Zip O en BSD / Linux / Mac con el gunzip o gzip -d comandos.
6.2. Preparar el medio de instalación 41

Escribiendo el medio de instalación
Creación de un disco de instalación requiere un procedimiento diferente dependiendo del tipo de medio. Siga las instrucciones en la sección apropiada para el
tipo de soporte elegido.
Preparar un memory stick USB
Advertencia: Tenga mucho cuidado al escribir las imágenes de disco! Si el PC cliente contiene otras unidades de disco duro, es posible seleccionar la unidad incorrecta y
sobrescribir una parte de esa unidad con el disco de instalación. Esto hace que el disco completamente ilegible, excepto para ciertos programas de recuperación de
disco, en todo caso.
Conectar el memory stick USB a la estación de trabajo
Comience por conectar el memory stick USB a la estación de trabajo que contiene la imagen en los medios de instalación. Busque el nombre del dispositivo que el sistema
cliente designa para la unidad. El dispositivo varía según la plataforma, aquí hay algunos ejemplos:
• Linux: / dev / sdX dónde x es una letra minúscula. Busque los mensajes sobre la unidad de fijación en el sistema de archivos de registro o ejecutando dmesg.
• FreeBSD: / dev / Dax dónde x es un dígito decimal. Busque los mensajes sobre la unidad de fijación en el sistema de archivos de registro o ejecutando dmesg.
• Ventanas: la unidad será nombrado después de una sola letra mayúscula, por ejemplo, RE. Utilice el Explorador o examinar el panel de control del sistema y mirar los
discos disponibles para uno que coincida con la unidad.
• En Mac OS X: / dev / diskX dónde x es un dígito decimal. correr lista diskutil desde un símbolo del sistema o utilizar la herramienta de interfaz gráfica de usuario Utilidad de Discos.
Nota: En Mac OS X, si el disco se llama diskX entonces el dispositivo para pasar a la utilidad de la escritura es en realidad
rdiskX lo que es necesidad más rápidamente para este tipo de operaciones de bajo nivel.
Nota: También asegúrese de que el nombre del dispositivo se refiere propio dispositivo en lugar de una partición en el dispositivo. Por ejemplo,
/ Dev / sdb1 en Linux es la primera partición fi en el disco, por lo que estaría escribiendo a una partición en el dispositivo y la unidad no puede llegar a ser de arranque. En
ese caso, el uso / dev / sdb en su lugar por lo que la utilidad de imagen de disco escribe a todo el disco.
Limpieza de la memory stick USB
Este paso es opcional a menos que la imagen no se pueda escribir en el memory stick USB.
La unidad de destino ya contenga las particiones que pueden impedir que se escriban correctamente por las herramientas de imagen de disco. Para obtener un nuevo
comienzo, borrar todas las particiones del disco. Esto se puede hacer de diferentes maneras en Windows o en UNIX.
ventanas los Gestión de discos interfaz de Windows es una manera de eliminar las particiones de un disco, pero a menudo se ha desactivado la operación.
El método más simple y más fiable es la utilización diskpart.
• Iniciar un símbolo del sistema ( cmd.exe) como administrador
• Correr diskpart
• Entrar list disk para mostrar los discos conectados al PC cliente

• Busque el memory stick USB de destino en la lista y observe su número de disco
• Entrar select disk n dónde norte es el número de disco de la memory stick USB de destino de la lista en la salida del comando anterior
• Entrar limpiar para eliminar las particiones del disco
• Entrar salida para detener diskpart y volver a la línea de comandos
• Entrar salida de nuevo para cerrar la ventana de comandos
Linux, FreeBSD, Mac OS X los dd comando es la forma más fácil de borrar la tabla de particiones del USBmemstick en UNIX y sistemas
operativos tipo Unix como Linux, FreeBSD y OS X.
$ Sudo dd if = / dev / zero of = memstick_disk_path bs = 1M count = 1 Reemplazar memstick_disk_path con la ruta de acceso al dispositivo de disco
memstick, por ejemplo / dev / sdb, / dev / DA1, o

/ Dev / rdisk3.
Escribir la imagen
Ahora es el momento de escribir la imagen en la memory stick USB. El procedimiento exacto varía según el sistema operativo.
Nota: Las siguientes instrucciones asumen la imagen fi medio de instalación le ha descomprimido por una primera utilidad fi apropiado. Para más detalles, véase Descomprimir
el medio de instalación .
Advertencia: Las operaciones de esta sección se sobreponen por completo cualquier contenido existente en el USB memory stick! Compruebe el memory stick USB primero para cualquier
archivos para guardar o copia de seguridad.
Linux, FreeBSD, Mac OS X En Linux, FreeBSD y Mac OS X, escribir la imagen en la unidad mediante el dd Mand com-. Se necesita esta forma general:
dd if = image_file_name de = usb_disk_device_name
Escribir en el disco de esta manera por lo general requiere privilegios elevados, por lo que el usuario escribir la imagen lo más probable es que tenga que utilizar sudo para ejecutar
el comando. Ejemplo dd comandos de escritura de disco:
• Linux:
sudo dd if = pfSense-CE-memstick-ADI-2.3.3-RELEASE-amd64.img of = / dev / sdb bs = 4M
• FreeBSD:
sudo dd if = pfSense-CE-memstick-ADI-2.3.3-RELEASE-amd64.img of = / dev / da1 bs = 4m
• Mac OS X:
sudo dd if = pfSense-CE-memstick-ADI-2.3.3-RELEASE-amd64.img of = / dev / rdisk3 bs = 4m
los bs = X parámetro es opcional y le dice dd para realizar lecturas y escrituras en 4 bloques MB de datos a la vez. El tamaño de bloque predeterminado utilizado por dd es de 512 bytes.
Especificación de un tamaño de bloque más grande puede forma significativa generando aumentan la velocidad de escritura.
ventanas Con el fin de grabar una imagen en una unidad de una estación de trabajo Windows, utilice una herramienta de interfaz gráfica de usuario, tales como Win32 disco Imager o Rufus .
La misma Linux dd comandos mencionados anteriormente también se puede utilizar dentro de Cygwin si el símbolo del sistema Cygwin se lanza como un usuario de nivel de administrador.

Win32 disco Imager
• Descargar e instalar Win32 disco Imager
• Comience Win32 disco Imager como Administrador
• Haga clic en el icono de la carpeta
• Vaya a la ubicación de la imagen en los medios de instalación descomprimida
• Seleccione la imagen
• Elija el destino USB memory stick coche de la Dispositivo desplegable
• Hacer clic Escribir
• Esperar a que la imagen de la escritura fi nal
Rufus
• Descargar e instalar Rufus
• Comience como Rufus Administrador
• Elija el destino USB memory stick coche de la Dispositivo desplegable
• Seleccionar DD imagen Del desplegable junto a Crear disco de arranque usando
• Haga clic en el icono del CD-ROM junto a Crear disco de arranque usando
• Vaya a la ubicación de la imagen en los medios de instalación descomprimida
• Seleccione la imagen
• Hacer clic comienzo
• Esperar a que la imagen de la escritura fi nal
Solución de problemas
Si la escritura del disco falla, sobre todo en Windows, limpiar el memory stick USB como se sugiere en Limpieza de la memory stick USB
vuelva a intentarlo. Si el error persiste, pruebe con un memory stick USB diferente.
Preparar un CD / DVD
Para usar una imagen ISO fi l con una unidad de disco óptico, la imagen ISO se debe grabar en un disco CD o DVD de software de escritura apropiada.
Dado que la imagen ISO es una imagen del disco completo, debe ser quemado apropiadamente para una imagen fi les no como un CD de datos que contiene el único ISO fi l. La quema de los
procedimientos varían según el sistema operativo y el software disponible.
La quema en Windows
Windows 7 y más adelante incluyen la capacidad de grabar imágenes ISO de forma nativa sin necesidad de software adicional. Además de eso, prácticamente todas las principales
paquete de software de grabación de CD para Windows incluye la posibilidad de grabar imágenes ISO. Consulte la docu- mentación para el programa de grabación de CD. Una
búsqueda en Google con el nombre del software de grabación y grabar iso También ayuda a localizar las instrucciones.

La quema con Windows Para grabar una imagen de disco de forma nativa en Windows 7 o posterior:
• Abra Windows Explorer y busque la imagen ISO descomprimida fi l
• Haga clic derecho en la imagen ISO fi l
• Hacer clic Grabar una imagen de disco
• Seleccione la apropiada grabadora de discos unidad en la lista desplegable
• Inserte un CD o DVD
• Hacer clic Quemar
Las versiones posteriores tales como Windows 10 también muestran una Herramientas de imagen de disco pestaña en la cinta cuando una imagen ISO es seleccionado en el Explorador de
Windows. Que tiene una pestaña Quemar icono que también invoca la misma interfaz de grabación de discos.
La quema con Nero Para grabar una imagen ISO con Nero:
• Abra Windows Explorer y busque la imagen ISO descomprimida fi l
• Hacer clic Abrir con
• Seleccionar Nerón
• Siga las indicaciones que aparecen en Nero para grabar el disco
La primera vez se utiliza Nero, puede ser necesario seleccionarlo en la Elegir programa predeterminado lista. Este proceso puede trabajar con otro software de
grabación de CD comercial también.
Ardiendo con ISORecorder Si el PC cliente nos usingWindows XP, 2003 o Vista, la libre disposición ISORecorder
herramienta puede escribir imágenes ISO en un disco.
• Descargar e instalar la versión adecuada de ISO Recorder
• Vaya a la carpeta en la unidad que contiene la imagen ISO descomprimida fi l
• Hacer clic Copia de la imagen en un CD
Otro Software Libre Burning Otras opciones gratuitas para los usuarios de Windows incluyen CDBurnerXP , InfraRecorder y
ImgBurn . Antes de descargar e instalar cualquier programa, comprobar su lista de características para asegurarse de que es capaz de grabar una imagen ISO.
Ardor en Linux
distribuciones de Linux como Ubuntu típicamente incluyen una aplicación de grabación de CD de interfaz gráfica de usuario que puede manejar imágenes ISO. Si una aplicación de
grabación de CD está integrado con el gestor de ventanas, pruebe uno de los siguientes:
• Haz clic derecho en la imagen de la ISO descomprimida fi l
• Escoger Abrir con
• Escoger escritor de imagen de disco
O:
• Haz clic derecho en la imagen de la ISO descomprimida fi l

• Escoger Escribe disco para
Otras aplicaciones populares incluyen K3B y Brasero Disc Burner.
Si una aplicación gráfica quema no está disponible, puede ser posible grabar desde la línea de comandos. En primer lugar, determinar el dispositivo de
grabación SCSI ID / LUN (número de unidad lógica) con el siguiente comando:
$ Cdrecord --scanbus scsibus6:
6,0,0 600) 'TSSTcorp' 'CDDVDW SE-S084C' 'TU00' CD-ROM extraíble
Tenga en cuenta la identificación SCSI / LUN es 6,0,0 en este ejemplo. Grabar la imagen como en el siguiente ejemplo, reemplazando < Máxima velocidad> con la velocidad del
quemador (por ejemplo, 24) y
<Lun> con el ID de SCSI / LUN de la grabadora:
$ Sudo cdrecord --dev = <lun> --speed = <velocidad máxima> pfSense-CE-2.3.3-RELEASE-amd64.iso
Ardor en FreeBSD
FreeBSD puede usar el mismo cdrecord Opciones como Linux anteriores mediante la instalación de sysutils / cdrtools desde los puertos o paquetes, y también se pueden
utilizar las aplicaciones GUI como K3B o Brasero Disc Burner si están instalados en los puertos.
Ver también:
Para obtener más información sobre la creación de CD en FreeBSD, consulte la entrada de grabación de CD en el Manual de FreeBSD .
Verificación de la Disco
Después de escribir el disco, verifique que se quemó correctamente mirando el archivos en el disco. Más de 20 carpetas deben ser visibles, incluyendo bin, bota, cf,
conf, y más. Si sólo hay un gran ISO fi l es visible, el disco no se ha grabado correctamente. Repita los pasos enumerados anteriormente ardientes y asegúrese de
quemar la ISO fi l de una imagen de CD y no como fi datos le.
Conectarse a la consola
Una conexión a la consola en el hardware de destino es un requisito para ejecutar el instalador. Para el hardware con una consola VGA, esto es tan simple como
conectar un monitor y un teclado. Para el hardware de una consola serie, el proceso es más complicado y requiere un PC cliente con un puerto apropiado y
software de terminal. Siga las siguientes instrucciones para conectarse a través de una consola serie.
Conexión a una consola serie
Las instrucciones de esta sección cubren temas generales de la consola serie. Algunos dispositivos, como rewalls Fi de la pfSense tienda , Requieren métodos
ligeramente diferentes para conectarse a la consola serie. Para los dispositivos de la pfSense tienda , visita el
Documentación Netgate para fi instrucciones de la consola en serie-modelo específico.
Requisitos de serie de la consola
Conexión a una consola de serie en la mayoría de rewalls Fi requiere el hardware correcto en cada parte del enlace, incluyendo:
• El PC cliente debe tener un puerto serie físico o un adaptador USB-a-Serial

• El cortafuego debe tener un puerto serie físico
• UN módem nulo por cable y / o adaptador de serie Para la mayor parte de la fi rewalls adquirir en la pfSense tienda , El único requisito de hardware es un
cable USB A a mini-B. Ver Documentación Netgate para especi fi cs.
Además de la conexión de hardware adecuado, un programa cliente de consola de serie también debe estar disponible en el PC cliente, y la velocidad de serie y otros
ajustes debe estar disponible.
Conectar un cable serie
Primero un módem nulo cable serial se debe conectar entre el cortafuego y un PC cliente. Dependiendo del puerto y el cable serie ocupados, un cable serie cambiador de
género También puede ser necesario para que coincida con los puertos disponibles. Si un cable serie de módem nulo verdadera no está disponible, un adaptador de módem
nulo se puede utilizar para convertir un cable serie estándar en un cable de módem nulo.
Si el PC cliente no tiene un puerto serie físico, utilice un adaptador de USB a serie.
Localizar el puerto serie del cliente
En el PC cliente, el nombre del dispositivo de puerto serie debe ser determinada para que el software cliente se puede utilizar en el puerto correcto.
ventanas
En los clientes de Windows, un puerto serie físico es típicamente COM1. Con un adaptador de USB a serie, puede ser COM3. Abierto
Administrador de dispositivos en Windows y ampliar Puertos (COM y LPT) de encontrar la asignación de puerto.
Mac OS X
En Mac OS X, el nombre puede ser difícil para un usuario determinar ya que varía en función del nombre del controlador y el tipo. Algunos ejemplos
comunes incluyen / dev / cu.SLAB_USBtoUART y / dev / cu.usbserial- <modelo>.
Linux
El dispositivo asociado con un adaptador de USB a serie es probable que aparezca como / dev / ttyUSB0. Busque los mensajes sobre el dispositivo de fijación en el
sistema de archivos de registro o ejecutando dmesg.
Nota: Si el dispositivo no aparece en / dev /, comprobar para ver si el dispositivo requiere controladores adicionales.
FreeBSD
El dispositivo asociado con un adaptador de USB a serie es probable que aparezca como / dev / cuaU0. Busque los mensajes sobre el dispositivo de fijación en el sistema de
archivos de registro o ejecutando dmesg.
6.3. Conectarse a la consola 47

Determinación de la configuración de la consola serie
Los ajustes para el puerto serie, incluyendo la velocidad, deben ser conocidos antes de que un cliente puede conectarse con éxito a una consola serie.
Se utiliza Cualquiera que sea el cliente serie, asegúrese de que está configurado para la velocidad adecuada (115200), los bits de datos (8), paridad (n), y los bits de parada (1). Esto normalmente
se escribe como 115200/8 / N / 1.
Nota: Algunos valores por defecto de hardware a una velocidad más lenta. Motores de PC ALIX defecto a 38400/8 / N / 1 y por defecto de hardware Soekris a 19200/8 /
N / 1. Esto es relevante para la BIOS y la salida inicial, no pfSense que por defecto es 115200.
Se requiere que muchos clientes en serie por defecto 9600/8 / N / 1, por lo que estos ajustes para conectarse. Utilizar 115200/8 / N / 1 con pfSense independientemente de la
configuración del hardware / BIOS.
Para el hardware utilizando velocidades de serie del BIOS que no sea 115.200, cambiar la velocidad en baudios a 115200 en la configuración del BIOS para que el BIOS y pfSense son ambos
accesibles con la misma configuración. Consulte el manual de hardware para obtener información sobre la configuración de la velocidad de transmisión.
115200 es la velocidad por defecto pfSense utiliza fuera de la caja, pero la velocidad de serie utilizado por pfSense se puede cambiar más adelante. Ver
Serie velocidad de la consola .
Localizar un cliente de serie
Un programa cliente de serie debe ser utilizado en el PC cliente. El cliente más popular para Windows es Masilla , Que es gratuito y funciona bien. Masilla También está
disponible para Linux y se puede instalar en OS X usando cerveza. En los sistemas operativos UNIX y tipo UNIX, la pantalla programa es fácilmente disponibles o se
instala fácilmente y también puede ser utilizado para conectar a los puertos serie desde una consola programa o sistema de terminales.
ventanas
Masilla es la libre elección más popular para la comunicación en serie en Windows. SecureCRT es otro cliente que funciona bien.
Advertencia: No utilizar Hyperterminal. Incluso si ya está presente en el PC cliente, es poco fiable y propenso a dar formato incorrectamente y la pérdida
de datos.
Mac OS X
En los clientes de Mac OS X, GNU pantalla utilidad es la opción más fácil y más común. ZTerm y Cu (similares a FreeBSD) se pueden utilizar también.
Linux
En los clientes Linux, GNU pantalla utilidad es la opción más fácil y más común. Programas como masilla,
minicom, o Dterm se puede utilizar también.
FreeBSD
En los clientes de FreeBSD, GNU pantalla utilidad es la opción más fácil y más común.

Como alternativa, utilice el programa incorporado propina. Mecanografía com1 punta ( O inclinar ucom1 si se utiliza un adaptador de serie USB) se conectará al puerto serie
primero. Desconectar escribiendo ~. al comienzo de una línea.
Iniciar un cliente de serie
Ahora que todos los requisitos se han cumplido, es el momento de ejecutar el cliente de serie.
Si el software de cliente no está cubierto en esta sección, consulte la documentación para determinar cómo hacer una conexión en serie.
Masilla
• Inicio PuTTY
• Seleccionar De serie para el Tipo de conección
• Introduzca el nombre del dispositivo de puerto serie Línea de serie, p.ej COM3 o / dev / ttyUSB0.
• Introduzca la adecuada Velocidad, p.ej 115200
• Hacer clic Abierto
pantalla de GNU
• Abrir una terminal / comando
• invocar la pantalla de comandos utilizando la ruta al puerto serie, por ejemplo:
$ Sudo pantalla / dev / ttyUSB0 115200
En algunos casos puede haber una codificación desajuste terminal. Si esto ocurre, ejecute pantalla en el modo UTF-8:
sudo pantalla -U $ /dev/cu.SLAB_USBtoUART 115200
Realizar la instalación
Esta sección describe el proceso de instalación de software pfSense a una unidad de destino, tal como un SSD o HDD. En pocas palabras, esto implica el arranque
desde la memory stick de instalación o CD / DVD y luego de completar el programa de instalación.
Nota: Si el instalador detecta un error al intentar arrancar o instalar desde el medio de instalación, consulte Solución de problemas de instalación .
Los siguientes artículos son los requisitos para ejecutar el instalador:
• Medios descarga de instalación
• Preparar el medio de instalación
• Conectarse a la consola
6.4. Realizar la instalación 49

Arrancar el medio de instalación
Para instalaciones USBmemstick, inserte el poder USBmemstick y luego en el sistema de destino. El BIOS puede requerir el disco para ser insertado antes del
arranque del hardware.
Para las instalaciones de CD / DVD, el poder en el hardware y luego coloque el CD en una unidad óptica. pfSense comenzará a
arrancar y pondrá en marcha automáticamente el instalador.
Especificando el orden de arranque en la BIOS
Si el sistema de destino no arranca desde el memory stick USB o un CD, la razón más probable es que el dispositivo dado no se encontró lo suficientemente temprano en la lista de
medios de arranque en la BIOS. Muchas placas base más recientes apoyan un menú de inicio para una sola vez invocado presionando una tecla durante la POST, comúnmente Esc o
F12.
De no ser así, cambiar el orden de arranque en la BIOS. En primer lugar, encienda el hardware y entrar en la configuración del BIOS. La opción de orden de inicio se encuentra
normalmente bajo una Bota o prioridad de arranque dirigía, pero podría estar en cualquier lugar. Si el apoyo para el arranque desde una unidad USB o óptica no está permitido, o tiene
una prioridad menor que el arranque desde un disco duro con otro sistema operativo, el hardware no va a arrancar desde el soporte de instalación. Consultar el manual de la placa para
obtener información más detallada sobre la alteración del orden de arranque.
Instalación de la unidad de disco duro
Para memsticks USB con una conexión de consola serie, el primer indicador de fi le pedirá el tipo de terminal que se utilizará para el instalador. Para la pantalla de la masilla o
GNU, xterm es el mejor tipo para su uso. Los siguientes tipos de terminales pueden ser utilizados:
ANSI terminal de Genérico con código de colores
VT100 Terminal genérica sin color, la opción más básica / compatibles, seleccionar si no hay otros trabajan
xterm X ventana de terminal. Compatible con la mayoría de los clientes modernos (por ejemplo, la masilla, pantalla)
cons25w FreeBSD terminal de consola al estilo de las consolas VGA, cons25w
se asume por el instalador.
Nota: Para aceptar todos los valores predeterminados y utilizar una instalación típica, pulse Entrar en cada pregunta hasta que los acabados instalador fi.
Una vez que el instalador pone en marcha, la navegación por sus pantallas es bastante intuitiva y funciona de la siguiente manera:
• Para seleccionar elementos, utilice las teclas de flecha para mover el foco de selección hasta que se resalte el elemento deseado.
• Para pantallas de instalación que contiene una lista, utilice el arriba y abajo las teclas de flecha para resaltar las entradas en la lista. Utilizar el
izquierda y derecho las teclas de flecha para resaltar las acciones en la parte inferior de la pantalla, como Seleccionar y Cancelar.
• Prensado Entrar selecciona una opción y activa la acción asociada con esa opción.
Inicio del instalador
En primer lugar, la instalación ofrece la oportunidad para poner en marcha el Instalar proceso o una Shell rescate. Para continuar con la instalación, pulse Entrar mientras
Instalar se selecciona. los Shell rescate opción inicia un intérprete de comandos básicos que los usuarios avanzados pueden realizar tareas para preparar el sistema de manera no totalmente
soportados por el instalador, o para realizar pruebas de diagnóstico o reparaciones en el cortafuego. los Selección de configuración de teclado la pantalla es el siguiente. Para la mayoría de los
usuarios con un teclado estándar de PC, pulse Entrar para seleccionar
Continuar con el mapa de teclado por defecto. Si el teclado se utiliza para la consola tiene un diseño diferente, encontramos que en la lista y seleccione en su lugar.

Selección partición / sistema de archivos
los particionamiento paso selecciona el sistema de ficheros fi de disco de destino del cortafuego. En pfSense 2.3.x y antes, la única opción era UFS. El nuevo ZFS Tipo de fi sistema
de ficheros es más fiable y tiene más características que el formato UFS mayores, sin embargo ZFS puede ser una memoria de hambre. De cualquier sistema de ficheros fi va a
funcionar en el hardware con varios GB de RAM, pero si el uso de RAM es crítica para otras tareas que se ejecutarán en este fi cortafuegos, UFS es una opción más
conservadora. Para el hardware que requiere UEFI, utilizar ZFS.
El proceso varía ligeramente dependiendo del tipo de sistema de ficheros fi seleccionado, así que siga la siguiente sección que coincide con el tipo fi sistema de archivos usado por este fi
cortafuegos.
Nota: Si el instalador no puede hallar cualquier unidad, o si muestra unidades incorrectas, es posible que la unidad deseada está conectado a un controlador no soportado o un
controlador de conjunto para un modo no soportado en el BIOS. Ver Solución de problemas de instalación
en busca de ayuda.
UFS
• Seleccionar Auto (UFS)
• Seleccione el disco de destino donde el instalador escribirá el software pfSense, por ejemplo, ada0. El instalador mostrará cada disco duro
apoyado unido al cortafuego, junto con los volúmenes RAID o gmirror compatibles.
• Seleccionar disco entero
• Seleccionar Sí a con fi rmar que el instalador puede sobrescribir el disco entero
• Seleccione el esquema de partición a utilizar para el disco:
GPT La disposición de la tabla de particiones GUID. Utilizado por la mayoría de los sistemas x86 modernos. pueden no funcionar en
más viejos versiones de hardware / BIOS. Prueba este primer método. BSD Las etiquetas BSD sin un MBR, que solía ser conocido como “el
modo peligrosamente dedicado”. Esta

método debería funcionar en la mayoría de hardware que no puede usar GPT. Este fue el método utilizado por las versiones anteriores de software de
pfSense.
MBR Seleccione esta opción sólo si GPT y BSD no funcionan en un pedazo específico de hardware.
Otros Las otras opciones no son relevantes para el hardware que es capaz de ejecutar software de pfSense.
• Seleccionar Terminar para aceptar la distribución de la partición automática elegido por el instalador.
Nota: Los tamaños de las particiones y como se puede personalizar aquí, pero no recomendamos tomar ese paso. Para casi todas las instalaciones, los tamaños
predeterminados son correctos y óptima.
• Seleccionar Cometer para escribir la distribución de la partición del disco de destino.
• Avance a la Continuar con la instalación .
ZFS
• Seleccionar Auto (ZFS)
• Seleccionar Tipo de piscina / discos
- Selecciona el Virtual Tipo de dispositivo. ZFS es compatible con múltiples discos de varias maneras para obtener redundancia y / o una capacidad extra. Aunque el
uso de varios discos con ZFS es RAID por software, que es bastante fiable y mejor que el uso de un solo disco.
6.4. Realizar la instalación 51

raya Un solo disco, o varios discos suman para hacer un disco más grande. Para rewalls fi
con un único disco de destino, esta es la opción correcta. ( RAID 0)
espejo Dos o más discos que contienen todos el mismo contenido para la redundancia. Puede mantener operativo
Incluso si un disco muere. (RAID 1)
RAID10 RAID 1 + 0, nx espejos de 2 vías. Una combinación de rayas y de espejos, lo que da redun-
Dancy y la capacidad adicional. Puede perder un disco de cualquier par en cualquier momento.
raidzX Simple, doble, triple o RAID redundante. Utiliza 1, 2 ó 3 discos de paridad con una piscina
para dar una capacidad extra y la redundancia, por lo que ya sea uno, dos, o tres discos pueden fallar antes de que se vea
comprometida una piscina. Aunque similar a RAID 5 y 6, el diseño RAIDZ tiene diferencias significativas.
- Seleccione los discos para usar con el seleccionado Virtual Tipo de dispositivo. Utilizar el arriba y abajo las teclas de flecha para resaltar un disco y Espacio para
seleccionar los discos. Seleccionar un disco, incluso si sólo hay uno en la lista. Para los espejos o los tipos de RAID, seleccione suficientes discos para cumplir llenar
los requisitos para el tipo elegido.
- Seleccione OK con el izquierda y derecho teclas de flecha.
- Elegir un suplente Esquema de partición sólo si el defecto, GPT (BIOS) no funcionará. Las opciones posibles son:
GPT (BIOS) La disposición de la tabla de particiones GUID y el arranque de BIOS. Utilizado por la mayoría x86 moderna
Los sistemas. Prueba este primer método. GPT (UEFI) GPT
con el cargador de arranque UEFI.
GPT (BIOS + UEFI) GPT con la BIOS y el arranque UEFI.
MBR (BIOS) Heredados particiones MBR estilo con el arranque de BIOS.
GPT + Activo (BIOS) GPT con la rodaja de arranque ajustado activo, con el arranque de BIOS.
GPT + Lenovo Fix (BIOS) GPT con una Lenovo-específico de arranque fi x.
- Cambiar el tamaño de intercambio por defecto (opcional) seleccionando Tamaño de intercambio y luego introduciendo un nuevo valor. Normalmente, el tamaño óptimo es 2
veces la memoria RAM disponible en el cortafuego, pero con discos más pequeños que pueden ser demasiado.
- Deje las otras opciones en la pantalla a sus valores por defecto.
- Mover la selección de nuevo a Instalar y garantizar Seleccionar se pone de relieve por la acción en la parte inferior de la pantalla.
- prensa Entrar continuar
• Seleccionar Sí para confirmar la selección del disco de destino, y para reconocer que el contenido del disco (s) objetivo serán destruidos.
• Avance a la Continuar con la instalación .
Continuar con la instalación
• Sentarse, esperar, y tienen unos sorbos de café mientras el proceso de instalación formatea la unidad (s) y copias pfSense archivos en el disco (s) objetivo.
• Seleccionar No cuando se le solicite para hacer final modificaciones.
• Seleccionar Reiniciar para reiniciar el cortafuego
• Retire el soporte de instalación del cortafuego durante el reinicio, cuando el hardware está iniciando una copia de seguridad, pero antes de que se inicie desde el
disco.
Felicidades, la instalación del software pfSense es completa!

asignar Interfaces
Después de que el instalador haya finalizado y se reinicia cortafuegos fi, fi el software cortafuegos busca interfaces de red e intenta adjudicar asignaciones de interfaz
automáticamente.
La asignación automática interfaz pro fi les utilizado por el cortafuego son:
RCC-VE 4860/8860 WAN: igb1, LAN: igb0
RCC-VE 2220/2440 WAN: igb0, LAN: igb1
APU WAN: re1, LAN: RE2
Otros dispositivos Para otros dispositivos del cortafuego busca interfaces comunes e intenta asignarlas
apropiadamente, por ejemplo: WAN: igb0, LAN: igb1 WAN: em0, LAN: em1 WAN: re1, LAN: re2 La fábrica fi rmware para dispositivos de la
pfSense tienda incluye asignaciones predeterminadas adicionales adecuadas para el hardware, que varía dependiendo de la hardware ordenado
con el dispositivo.
Si el cortafuego no puede determinar automáticamente la disposición de interfaz de red, presentará un símbolo para la asignación de interfaz como en la figura Asignación
de interfaz de pantalla . Aquí es donde las tarjetas de red instaladas en el cortafuego se dan sus papeles como WAN, LAN y las interfaces opcionales (OPT1,
OPT2 ... OPtn).
Fig. 6.1: pantalla de asignación de interfaz
La fi cortafuegos muestra una lista de las interfaces de red detectadas y sus direcciones MAC (Media Access Control), junto con una indicación de su estado
de enlace si eso es soportado por la tarjeta de red. El estado de enlace se denota por ( arriba)
aparece después de la dirección MAC si se detecta un enlace en esa interfaz.
6.5. asignar Interfaces 53

Nota: La dirección de control de acceso al medio (MAC) de una tarjeta de red es una única er identificado asignado a cada tarjeta, y no hay dos tarjetas de red debería tener
la misma dirección MAC. Si una dirección MAC duplicada está presente en una red, ya sea por casualidad o por intencional ng spoo fi, todos los nodos con fl contradictorios
se experimentan problemas de conectividad.
Después de imprimir la lista de interfaces de red, el cortafuego solicita VLAN con fi guración. Si se desean VLAN, respuesta
Y, de otro modo, el tipo de norte, entonces presione Entrar.
Ver también:
Para obtener información acerca de con fi gurar las VLAN, consulte LAN virtuales (VLAN) .
El cortafuego se solicita ajustar la interfaz WAN primera. A medida que el cortafuego típicamente contiene más de una tarjeta de red, un dilema puede presentarse a sí
misma: ¿Cómo decir qué tarjeta de red es cuál? Si la identidad de cada tarjeta ya se conoce, introduzca los nombres de los dispositivos adecuados para cada interfaz. Si
la diferencia entre las tarjetas de red es desconocida, la forma más fácil cifra a cabo es utilizar la función de detección automática. Para la asignación automática de
interfaz, siga este procedimiento:
• Desconecte todos los cables de la red del cortafuego
• Tipo un y pulse Entrar
• Conectar un cable de red en la interfaz WAN del cortafuego
• Espere unos minutos para que el cortafuego para detectar el evento de enlace de hasta
• prensa Entrar
Si todo va bien, el cortafuego puede determinar qué interfaz usar para la WAN.
Repita el mismo proceso para la LAN y las interfaces opcionales, si alguno fuera necesario. Si el cortafuego imprime un mensaje que indica “No se detectó enlace de arriba”,
véase La asignación manual de Interfaces para más información sobre la clasificación de las identidades de tarjetas de red.
Una vez que la lista de interfaces para el cortafuego es correcta, pulse Entrar en el indicador para las interfaces adicionales. El cortafuego le preguntará ¿Desea continuar
(y | n)? Si la lista de asignación de interfaz de red es correcta, el tipo y entonces presione Entrar.
Si la asignación es incorrecta, el tipo norte y pulse Entrar repetir el proceso de asignación.
Nota: Además del modo normal de enrutamiento / fi cortafuegos con múltiples interfaces, un cortafuego también se puede ejecutar en Modo aparato donde tiene sólo una
única interfaz ( PÁLIDO). El cortafuego coloca la regla anti-bloqueo de interfaz gráfica de usuario en la interfaz WAN por lo que un cliente puede acceder a la interfaz web fi
cortafuegos de esa red. Las funciones de enrutamiento y NAT habituales no son activos en este modo puesto que no hay interfaz interna o de la red. Este tipo de con fi
guración es útil para dispositivos VPN, servidores DHCP y otras funciones independientes.
La asignación manual de Interfaces
Si la función de detección automática no funciona, todavía hay esperanza de decir la diferencia entre las tarjetas de red antes de la instalación. Una forma es mediante
la dirección MAC, la que imprime el fi cortafuego junto a los nombres de interfaz en la pantalla de asignación:
vmx0 00: 0C: 29: 50: a4: 04

vmx1 00: 0C: 29: 50: ec: 2f
La dirección MAC a veces se imprime en una etiqueta en algún lugar físicamente en la tarjeta de red. Para los sistemas izadas virtual-, la máquina
virtual con fi guración por lo general contiene la dirección MAC para cada tarjeta de red. Las direcciones MAC son asignadas por el fabricante, y hay
varias bases de datos en línea que ofrecen cionalidad de búsqueda inversa para fun- direcciones MAC con el fin de hallar la empresa que hizo la
tarjeta: http://www.8086.net/tools/mac/ ,
http://www.coffer.com/mac_ fi nd / y http://aruljohn.com/mac.pl , Entre muchos otros.

Tarjetas de red de diferentes marcas, modelos o conjuntos de chips a veces pueden ser detectados con diferentes conductores. Puede ser posible decir una tarjeta
basado en Intel con el IGB conductor, aparte de una tarjeta Broadcom utilizando el bge conductor mirando las tarjetas ellos mismos y la comparación de los nombres
impresos en el circuito.
El orden de sondeo de tarjetas de red puede ser impredecible, dependiendo de cómo está diseñado el hardware. En unos pocos casos, los dispositivos con un gran número
de puertos pueden utilizar diferentes conjuntos de chips que sonda en diferentes maneras, lo que resulta en un orden inesperado. Add-on y tarjetas de red multi-puerto
generalmente se sondearon con el fin de autobuses, pero que puede variar de placa a placa. Si el hardware ha Onboard NIC que son la misma marca que un complemento
NIC, tenga en cuenta que algunos sistemas lista de la primera NIC a bordo, y otros no lo harán. En los casos en que la orden de la sonda hace varias tarjetas de red del
mismo tipo ambigua, puede tardar ensayo y error para determinar las clasificaciones de puertos y controladores combinaciones nombre / número. Después de que las
tarjetas de red han sido identi fi ed, escriba el nombre de cada tarjeta en la pantalla de asignación de interfaz cuando se le solicite. En el ejemplo anterior, vmx0 será WAN y vmx1
será LAN. Asignarles estas funciones, siga este procedimiento:
• Tipo vmx0 y pulse Entrar cuando se le solicite para la dirección WAN
• Tipo vmx1 y pulse Entrar cuando se le solicite para la dirección de LAN
• prensa Entrar de nuevo para detener el proceso de asignación, ya que este ejemplo no contiene ningún interfaces opcionales.
• Tipo y y pulse Entrar para confirmar las asignaciones de interfaz
Técnicas de instalación alternativos
Esta sección describe los métodos alternativos de instalación que pueden ser más fácil para ciertos requisitos de hardware raras.
Instalación con unidad en un equipo diferente
Si es difícil o imposible de arrancar fromUSB o desde una unidad de DVD / CD para el hardware de destino, otro equipo se puede utilizar para instalar el software de
pfSense en el disco duro de destino. La unidad puede entonces ser movido a la máquina original. Después de la instalación, permite la instalación de la máquina para
reiniciar y apagarlo una vez que se vuelve a la pantalla de la BIOS. Quitar el disco duro de la máquina de instalación y colocarlo en el cortafuegos de destino fi. Después
del arranque, el cortafuego le pedirá para la asignación de interfaz y luego el resto de la con fi guración se puede realizar como de costumbre.
Nota: Las versiones actuales de las técnicas de uso de software pfSense como GPT Identificación, UFS Identificación y metadatos ZFS para montar discos, por lo que a pesar de que el
dispositivo pueden aparecer con un controlador de disco diferente en el hardware de destino real, el sistema operativo todavía será capaz de localizar y montar el disco apropiado.
Instalación completa de VMware con la redirección de USB
redirección USB en VMware Player andWorkstation se puede utilizar para instalar en un disco duro. La mayoría de cualquier USB a SATA / IDE o adaptador parecido
funcionará para este propósito. Las siguientes instrucciones son específico a VMware Workstation 12, pero también trabajarán en otras versiones recientes.
• Enchufe la unidad de destino en el adaptador de SATA / IDE o escritor de tarjetas SD / CF
• Conecte el adaptador / escritor en el PC cliente
• Abrir la estación de trabajo de VMware en el PC cliente
• Crear una máquina virtual, que debe tener activado USB (Se está activado por defecto)
• Establecer la máquina virtual para conectar la imagen ISO de instalación en el arranque en su unidad de CD / DVD virtual
6.6. Técnicas de instalación alternativos 55

• Iniciar la máquina virtual
• prensa Esc durante la pantalla de VM BIOS para cargar el menú de arranque
• Encontrar el icono del adaptador USB en la parte inferior de la ventana de VMware
• Haga clic en el icono del adaptador USB
• Hacer clic Conecta (desconexión del sistema principal)
• Seleccionar Lector de CD ROM desde el menú de inicio
• Continuar a través de la instalación de la misma como una normal, asegurarse de que la unidad correcta se selecciona durante el proceso de instalación
• Apagar la máquina virtual
• Retire el disco de destino desde el PC cliente
• Coloque el disco de destino para el hardware cortafuego previsto
Las versiones anteriores de VMware estación de trabajo puede utilizar la redirección automática USB para lograr el mismo objetivo. Desconecte el dispositivo USB, haga clic dentro de la
máquina virtual para darle el foco, y luego conectar el dispositivo USB. La máquina virtual debe adjuntar a la unidad USB.
Solución de problemas de instalación
La gran mayoría de las veces, las instalaciones se fi nal sin problemas. Si los problemas de pop-up, las siguientes secciones se describen los problemas más
comunes y las medidas para resolverlos.
Arrancar desde el medio de instalación se produce un error
Debido a la amplia variedad de combinaciones de hardware en uso, no es raro que un CD o memory stick para arrancar de forma incorrecta (o en absoluto). Dada la naturaleza
impredecible de soporte de hardware de los productos básicos, el uso de hardware de la pfSense tienda
es la ruta de acceso única garantía de éxito.
Dicho esto, los problemas y soluciones más comunes son:
Soporte USB memory stick Algunas implementaciones de BIOS pueden ser exigente con el apoyo memory stick USB. Si
el arranque desde un palo falla, intente una diferente.
3 puertos USB Ciertas combinaciones de palos y puertos USB, especialmente los puertos USB 3.0, puede no funcionar
correctamente. Pruebe con un memory stick USB 2.0 en un puerto USB 2.0.
problemas de BIOS Actualizar los datos más recientes del BIOS y desactivar todos los dispositivos periféricos que no sean necesarios, tales como Firewire,
Las unidades de disquete y audio.
Unidad óptica sucia Limpiar la unidad con un disco de limpieza o una lata de aire comprimido, o utilice otra unidad.
Mal de medios ópticos Grabe otro disco y / o grabar el disco a una velocidad inferior. Tal vez intente otra marca
de los medios de comunicación.
SATA / IDE Problemas con el cable Pruebe con un cable SATA / IDE diferente entre la unidad de CD-ROM y el controlador
o la placa base
Problemas del gestor de arranque Ha habido casos en los que las versiones especí fi cos del cargador de arranque de CD de FreeBSD
no trabajar en un determinado hardware. En estos casos, véase Técnicas de instalación alternativos para llevar a cabo la instalación de la unidad de destino
en un PC independiente y luego moverlo al hardware de destino. Hay más técnicas de solución de problemas enumerados en el Wiki de documentación bajo
pfSense Solución de problemas de arranque .

Arrancar desde el disco duro después de la instalación falla,
Después de la instalación y se reinicia el cortafuego, hay condiciones que pueden impedir que el sistema operativo desde el arranque plenamente. Las razones más
comunes son por lo general relacionados con la BIOS. Por ejemplo, una aplicación BIOS no puede arrancar desde un disco utilizando GPT o ZFS, o puede requerir
UEFI.
Algunos de estos pueden ser trabajadas en torno al elegir diferentes opciones para el diseño de particiones durante el proceso de instalación. Actualización de la BIOS a
la última versión disponible también puede ayudar.
La alteración de las opciones SATA en el BIOS ha mejorado el arranque en algunas situaciones también. Si se utiliza un disco duro SATA, experimente cambiando
las opciones SATA en el BIOS para la configuración, tales como AHCI, Legacy, o IDE. AHCI es el mejor modo de utilizar con las versiones actuales de software de
pfSense.
Al igual que en la sección anterior, hay más técnicas de resolución de problemas en la documentación en línea bajo Solución de problemas de arranque .
Interfaz de enlace de arriba no se detecta
Si el cortafuego se queja de que no detectó un enlace de interfaz de hasta eventos durante la asignación automática, primero asegúrese de que el cable esté
desconectado y que la interfaz no tiene una luz de enlace antes de elegir la opción de detección de enlace. Después de seleccionar la opción, conecte el cable de nuevo
en la interfaz y asegurarse de que tiene una luz de enlace antes de pulsar Entrar.
Prueba o reemplazar el cable en cuestión si no muestra una luz de enlace en el conmutador y / o puerto NIC una vez que se conecta. Si un cable de red está conectado directamente
entre dos ordenadores y no a un conmutador, y una de esas piezas de hardware es más antiguo (por ejemplo, tarjeta de red 10/100) asegurarse de que una cable cruzado esta
siendo usado. Adaptadores Gigabit todo el apoyo Auto-MDIX y se encargará de esto internamente, pero muchos más viejos adaptadores 10/100 no lo hacen. Del mismo modo, si la
conexión de un cortafuego que ejecuta el software pfSense a un interruptor que no es compatible con Auto-MDIX, utilice un cable de conexión directa.
Si la interfaz está conectado correctamente pero el cortafuego aún no detecta el evento de enlace, la interfaz de red no puede detectar correctamente o reportar el estado del
enlace con el sistema operativo o el controlador. En este caso, la asignación manual de las interfaces es necesario.
Solución de problemas de hardware
las siguientes sugerencias le ayudarán a resolver los problemas generales de hardware.
El arranque desde USB
Si el inicio se detiene con una mountroot> pedirá al arrancar desde el CD en vivo, por lo general con las unidades de CD / DVD USB, escapar al indicador de cargador
desde el menú de inicio y ejecutar el siguiente:
establecer kern.cam.boot_delay = 10000 arranque
Momento en el que el arranque continuará con normalidad.
Si el cortafuego está funcionando de forma permanente de un medio que requiere este retraso, editar / boot / loader.conf.local
e insertar la línea siguiente:
Kern . leva . boot_delay = 10000
6.7. Solución de problemas de instalación 57

Retire hardware innecesario
Si el cortafuego contiene hardware que no se utilizará, eliminar o desactivarlo. Esto normalmente no es un problema, pero puede causar problemas y tiene el
potencial de reducir el rendimiento. Si una pieza no utilizada de hardware es extraíble, lo saca del cortafuego o desactivar en el BIOS.
Desactivar PNP OS en el BIOS
Se trata de un fi x común para hardware antiguo. pantallas con fi guración del BIOS pueden contener un escenario de PNP OS o Plug and Play del sistema operativo, que debe ser ajustado a inhabilitar
o no . Unos pocos tienen una configuración para el sistema operativo, el cual tiene que ajustarse a
otro.
Actualizar el BIOS
La segunda fi x más común para los problemas de hardware está actualizando el BIOS a la última revisión. La gente parece tener un tiempo difícil creer esto, pero confía en
nosotros, lo hace. actualizaciones de BIOS fi comúnmente x errores en el hardware. No es raro para golpear problemas provocados por errores de hardware en sistemas que
han estado estable con Windows durante largos períodos de tiempo. Ya sea Windows no provocan el error, o tiene un trabajo alrededor, como hemos encontrado este en
múltiples ocasiones. Cosas que las actualizaciones de BIOS se fi x incluyen: El no poder arrancar, problemas de tiempo, manteniendo la inestabilidad general, y otras
cuestiones como la compatibilidad de hardware.
Restablecer la configuración del BIOS a los valores de fábrica
sistemas de reciclados pueden tener una atípica BIOS con fi guración. La mayoría contienen una opción que permite opciones por defecto de fábrica para ser cargado. Utilice esta opción para
obtener un nuevo comienzo en la configuración del BIOS.
Otros parámetros de la BIOS
Si el BIOS permite la administración de energía con fi guración, intente alternar esa opción. Buscar otra cosa que parezca relevante a cualquier aspecto de la instalación está
fallando. Si se llega a este punto, el hardware de destino es probablemente una causa perdida y otro soporte físico, puede ser necesario. También comprobar para ver si el BIOS
tiene un registro de eventos que pueden enumerar los errores de hardware tales como fallos en las pruebas de memoria.
Si el hardware utiliza un chipset nuevo o reciente, una versión de desarrollo de software de pfSense puede trabajar. Comprobar el
Las instantáneas la página para ver si hay un desarrollo (por ejemplo, beta o Release Candidate) para tratar de construir.
Otros Problemas de hardware
El hardware de destino puede estar defectuoso, que las pruebas con el software de diagnóstico puede revelar. Pruebe el disco duro con el software de diagnóstico del OEM, y
compruebe la memoria con un programa como Memtest86 +. Estos y más herramientas están disponibles en el “ Ultimate Boot CD ”, Que está precargado con muchas herramientas de
diagnóstico de hardware libre. También asegúrese de que todos los ventiladores están girando a gran velocidad, y que no hay componentes están sobrecalentando. Si este es el
hardware más antiguo reutilizado, comprimido de limpieza / aire comprimido de los ventiladores y disipadores de calor puede hacer maravillas.
Actualización de una instalación existente
pfSense software se puede actualizar de forma fiable a partir de una versión anterior a una versión actual.

Al mantener un cortafuego que ejecuta el software actualizado con pfSense un comunicado el apoyo actual, nunca será obsoleto. Lanzamos periódicamente nuevas versiones que
contienen nuevas características, actualizaciones, equis fallo fi, y varios otros cambios. En la mayoría de los casos, la actualización de una instalación pfSense es fácil. Si el cortafuego
está actualizando a una nueva versión que es un solo punto de desenganche (por ejemplo, 2.3.2 a 2.3.3), la actualización es típicamente menor y poco probable que cause problemas.
El problema más común que se presenta durante las actualizaciones es fi regresiones hardware específico de una versión de FreeBSD a otro, aunque esto sea muy rara.
comunicados actualizados Fi x más hardware que se rompen, pero regresiones son siempre posibles. saltos más grandes, por ejemplo de 2.1.5 a 2.3.3 deben ser
manipulados con cuidado, e idealmente a prueba en un hardware idéntico en un entorno de prueba antes de su uso en la producción.
Hemos puesto notas de actualización, junto con los comunicados para ayudar a guiar a través de cualquier trampa de actualización potenciales. Estas notas varían de una versión a otra, la
versión más actualizada se puede encontrar en la Guía de actualización .
Hacer una copia de seguridad ... y un plan de reserva
Antes de realizar cualquier modificaciones a un cortafuego, lo mejor es hacer una copia de seguridad mediante la WebGUI:
• Navegar a Diagnóstico> Backup / Restore
• Selecciona el Área de copia de seguridad a TODAS en el Con fi guración de copia de seguridad sección de la página
• Hacer clic Descargar
• Guarde esto en alguna parte fi l de seguridad
Mantener varias copias de la copia de seguridad fi l en diferentes lugares seguros. Los clientes con una pfSense Suscripción Oro
debe considerar el uso de la Auto Con fi g de copia de seguridad paquete. Los clientes que utilizan la fi g paquete de copia de seguridad automática Con pueden hacer una copia
de seguridad manual con una nota que identifica el cambio, que se cifra y se almacena en nuestros servidores. Otra buena práctica es tener a mano un medio de instalación para
el lanzamiento está ejecutando actualmente y para la nueva versión, en caso de que algo va mal y se requiere una reinstalación. Si eso ocurriera, tener el respaldo fi l en la mano
y se refieren a
Copia de seguridad y recuperación .
La actualización
Hay varios métodos disponibles para actualizar una instalación normal del software de pfSense. O bien el WebGUI o la consola se pueden utilizar.
Actualización con los WebGUI
los Actualización automática característica contacto con un servidor pfsense.org y determina si existe una versión más reciente que la versión en el cortafuego. Esta
comprobación se realiza cuando un administrador visita el tablero de instrumentos o Sistema> Actualizar.
Hacer clic Con fi rm en Sistema> Actualizar para iniciar la actualización si hay uno disponible.
La actualización tarda unos minutos para descargar y aplicar, dependiendo de la velocidad de la conexión a Internet utilizada y la velocidad del hardware fi
cortafuegos. El cortafuego se reiniciará automáticamente cuando terminado.
La actualización mediante la consola
Una actualización también se puede ejecutar desde la consola. La opción de la consola está disponible en todos los medios disponibles para acceso a la consola: Video /
teclado, consola serie, o SSH. Una vez conectado a la consola del cortafuego, iniciar el proceso de actualización mediante la opción de menú de elección 13.
Como alternativa, desde el intérprete de comandos se ejecuta como root, ejecutar manualmente el comando siguiente:
6.8. Actualización de una instalación existente 59

# pfSense-actualización
Versiones anteriores
Las versiones de software antes de pfSense 2.3 utilizan un método de actualización diferente. Para instalaciones “completas”, una TGZ fi l fue utilizado por el cortafuego para copiar en
el nuevo archivos. Este método fue problemática y ya no se utiliza. Sin embargo, por el momento, actualizar los archivos en ese formato todavía son proporcionados por el proyecto con
el fin de llevar a fi mayores rewalls al día. En las versiones anteriores, una actualización automática seguirá funcionando. Después de ejecutar la actualización automática puede haber
versiones más recientes disponibles, por lo que una vez que el cortafuego está ejecutando una versión de pfSense 2.4 o posterior, ejecute otra actualización si el cortafuego detecta que
es necesario.
Reinstalación / Actualización de con fi guración
Si una actualización no funcionará correctamente en una instalación existente, la con fi guración fi l puede ser restaurado a una copia recién instalada de software
de pfSense. Una con fi guración mayor siempre se pueden importar en una nueva versión. El código de actualización hará cambios necesarios en la con fi
guración por lo que funciona con la versión actual del software.
Ajustes de actualización
Rama / Seguimiento instantáneas
Por defecto, la verificación de actualización sólo busca o fi cialmente publicado versiones de software de pfSense, pero este método también se puede utilizar para realizar un
seguimiento de las instantáneas de desarrollo. La ubicación de actualización se puede cambiar visitando Sistema> Actualizar, Ajustes Actualizar pestaña y seleccionar un diferente Rama
en el Rama firmware sección.
Estable Las versiones son la mejor opción, ya que ven la mayoría de las pruebas y son razonablemente segura y sin problemas. Sin embargo, como con cualquier actualización, visite
el sitio web de pfSense y leer las notas de actualización para esa versión, y compruebe el Guía de actualización . Escoger Las instantáneas de desarrollo para cambiar un cortafuego a
rastrear el desarrollo de instantáneas se acumula. Estos por lo general son instantáneas para la próxima versión de menor importancia rama de mantenimiento. En algunos casos,
una Próxima versión opción estará en la lista. Esta opción hace que las instantáneas de la pista fi cortafuego para la próxima versión de actualización. Esto es más arriesgado, pero en
algunos casos puede ser necesaria para hardware nuevo o nuevas características que aún no se liberan. Consultar el foro y en una prueba de laboratorio para ver si estas
instantáneas son estables en un entorno particular. No recomendamos en general, la ejecución de estos en la producción.
Comprobar salpicadero
los Comprobar salpicadero casilla de verificación en Sistema> Actualizar, Ajustes Actualizar pestaña controla si o no una comprobación de actualización se lleva a cabo por el Información
del sistema widget en el tablero de instrumentos. En rewalls fi con bajos recursos o discos lentos, la desactivación de esta comprobación se reducirá la carga causada por ejecutar la
verificación cada vez que un administrador ve el tablero de instrumentos.
GitSync
Esta sección es para los desarrolladores y no debe ser utilizado por los usuarios finales. Deja configuración de esta área vacía o desactivada.

Ajustes del sistema de ficheros
La configuración predeterminada para el sistema de ficheros fi son los mejores para la mayoría de los ambientes, sin embargo, hay ocasiones que requieren pequeños cambios para mejorar la
estabilidad, el rendimiento o la longevidad del sistema de ficheros fi.
Habilitación de soporte TRIM
El instalador de la versión de fábrica de conjuntos pfSense TRIM automáticamente. Tanto la fábrica y la versión CE de pfSense
2,4 soporte TRIM nativa al utilizar ZFS.
Si bien es posible activar manualmente TRIM, el apoyo es impredecible en hardware, por lo que no proporcionan instrucciones sobre cómo activar la función.
Desencadenando un sistema de archivos Comprobar
pfSense se ejecutará una verificación de fi cheros ( fsck) en el arranque cuando se detecta un sistema de ficheros fi impuro, por lo general a partir después de un corte de energía u
otro reinicio o apagado repentino impuro. En casos raros, que no siempre es suficiente, ya que un sistema de ficheros fi se puede dañar de otras formas que no siempre pueden
dejar la unidad marcada impuro. En estos casos:
• Conectarse a la consola
• Elija la opción de menú para reiniciar desde el menú de la consola ( 5)
• Entrar F ( mayúscula “f”) para forzar una comprobación fi sistema de archivos durante la secuencia de arranque, incluso si la unidad se considera limpia
Esa opción no está presente en todos los rewalls fi ya que no es compatible con ciertas implementaciones del BIOS. Si esa opción no está presente:
• Reinicie el cortafuego en modo monousuario por la opción de elegir 2 desde el menú de inicio
• prensa Entrar cuando se le pida una cáscara
• Entrar fsck -y /
• Repita el comando al menos 3 veces, o hasta que no se encuentran errores, incluso si el sistema de ficheros fi se informó limpia
6.9. Ajustes del sistema de ficheros 61


CAPÍTULO
SIETE
CONFIGURACIÓN
Asistente de configuración
La primera vez un usuario inicia sesión en pfSense, el cortafuego presenta el asistente de configuración de forma automática. La primera página del asistente se muestra en la figura Asistente de
configuración de pantalla de inicio .
Hacer clic Siguiente para iniciar el proceso de con fi guración utilizando el asistente.
Propina: Usando el asistente de configuración es opcional. Haga clic en el logotipo de pfSense en la parte superior izquierda de la página para salir del asistente en cualquier momento.
Fig. 7.1: Pantalla de Asistente para la instalación partir
Pantalla de información general
La siguiente pantalla (Figura Pantalla de información general ) con fi guras el nombre de esta fi cortafuegos, el dominio en el que reside, y los servidores de DNS
para el cortafuego.
nombre de host los nombre de host puede ser casi cualquier cosa, pero debe comenzar con una letra y puede contener solamente
letras, números, o un guión.
Dominio Introduzca un dominio, por ejemplo, example.com. Si esta red no tiene un dominio, utilice
<Algo> .localdomain, donde < algo> es otro identi fi cador: a nombre de la empresa, apellido, apodo, etc. Por ejemplo, company.localdomain
El nombre de host y de dominio se combinan para formar el nombre de dominio totalmente calificado fi cado de esta fi
cortafuegos.
/ Servidor DNS secundario primaria La dirección IP del servidor DNS primario y secundario del servidor DNS
puede ser llenada en caso necesario y si son conocidos.
Estos servidores DNS se pueden dejar en blanco si el Resolver DNS se mantendrá activo usando Tings su conjunto- por defecto. El valor por
defecto pfSense con fi guración tiene la resolución DNS activo en el modo de resolución (modo de no reenvío), cuando se establece esta manera, la
resolución DNS no necesita servidores DNS de reenvío como se
63
se comunicará directamente con los servidores DNS raíz y otros servidores DNS autorizados. Para forzar el cortafuego de usar estos
servidores DNS con fi gura, habilitar el modo de reenvío en el Resolver DNS o utilizar el DNS Forwarder.
Si este fi cortafuegos tiene un tipo de WAN dinámica como DHCP, PPPoE PPTP o éstos pueden ser asignados automáticamente por el ISP y
pueden dejarse en blanco.
DNS anulación Cuando se activa, una dinámica WAN ISP puede suministrar servidores DNS que anulan los
a mano. Para forzar el uso de sólo los servidores DNS con fi gurar manualmente, desactive esta opción.
Ver también:
Para obtener más información acerca de con fi gurar el Resolver DNS, consulte de resolución de DNS
Hacer clic Siguiente continuar.
Fig 7.2:. Pantalla de Información General
NTP y la zona horaria con fi guración
La siguiente pantalla (Figura NTP y la zona horaria pantalla de configuración ) tiene opciones relacionadas con el tiempo.
nombre de host del servidor de tiempo Un nombre de host del servidor Network Time Protocol (NTP) o la dirección IP. A menos que una espe-
Se requiere fi ci c servidor NTP, tales como uno en LAN, lo mejor es dejar el nombre de host del servidor de tiempo en el valor
predeterminado 0.pfsense.pool.ntp.org. Este valor se elige un servidor aleatorio de un grupo de conocidos buenos anfitriones NTP.
Para utilizar múltiples servidores de tiempo, añadirlos en la misma caja, separando cada servidor por un espacio. Por ejemplo, el uso de tres
servidores NTP de la piscina, entre:
0.pfsense.pool.ntp.org 1.pfsense.pool.ntp.org 2.pfsense.pool.ntp.org
Esta numeración es especí fi ca a la forma. pool.ntp.org opera y asegura cada dirección se extrae de una piscina única de servidores NTP
por lo que el mismo servidor no se acostumbra dos veces.
Zona horaria Elija una zona geográfica llamada que se adapte mejor ubicación de este fi cortafuegos, o cualquier otra
zona deseada.
64 Capítulo 7. Con fi guración

Fig 7.3:. Pantalla de configuración de NTP y la zona horaria
Con fi guración WAN
La página siguiente del asistente con fi guras de la interfaz WAN del cortafuego. Esta es la red externa hacia el ISP o router aguas arriba, por lo que el asistente
ofrece opciones estafadores fi guración para soportar varios tipos de conexión ISP común.
Tipo de WAN los Tipo seleccionado ( Figura Con fi guración WAN ) debe coincidir con el tipo de WAN requerido por
el ISP, o lo que el anterior cortafuego o enrutador fue con fi gurada para su uso. Las opciones posibles son
Estática, DHCP, PPPoE, y PPTP. La opción por defecto es DHCP debido al hecho de que es el más común, y para la mayoría de los
casos este valor permite que un cortafuego que “sólo trabajo” sin adicional con fi guración. Si no se conoce el tipo de WAN, o no son
conocidos ajustes especí fi cas para la WAN, esta información debe ser obtenida del ISP. Si el tipo de WAN requerido no está
disponible en el asistente, o para leer más información sobre los diferentes tipos de WAN, consulte Tipos de interfaz y con fi guración .
Nota: Si la interfaz WAN inalámbrica es, opciones adicionales serán presentados por el asistente que no están cubiertas durante este
recorrido del asistente de configuración estándar. Referirse a Inalámbrico , Que tiene una sección de WAN inalámbrica para obtener
información adicional. Si alguna de las opciones no son claras, omitir la configuración WAN, por ahora, y luego realizar la con fi guración
inalámbrica después.
Fig 7.4:. WAN Con fi guración
Dirección MAC Este campo, que se muestra en la figura General de la WAN con fi guración , cambia la dirección MAC utilizada
en la interfaz de red WAN. Esto también se conoce como “spoo fi ng” la dirección de MAC.
Nota: Los problemas aliviados por spoo fi ng una dirección MAC suelen ser temporales y fácil de trabajar alrededor. El mejor curso
de acción es mantener la dirección MAC original del hardware, recurriendo a SPOO fi ng sólo cuando sea absolutamente
necesario.
Cambio de la dirección de MAC puede ser útil cuando la sustitución de una pieza existente de equipo de red. Ciertos proveedores de Internet, principalmente
los proveedores de cable, no funcionará correctamente si hay una nueva dirección MAC es cados encuen-. Algunos proveedores de Internet requieren
apagar y encender el módem, otros requieren el registro de la nueva
7.1. Asistente de configuración sesenta y cinco

abordar a través del teléfono. Además, si esta conexión WAN está en un segmento de red con otros sistemas que lo ubican a través de ARP, el
cambio del MAC para que coincida y más viejo pedazo de equipo también puede ayudar a facilitar la transición, en lugar de tener que borrar las
memorias caché ARP o actualizar las entradas ARP estáticas.
Advertencia: Si alguna vez se utilizó este cortafuego como parte de una Clúster de alta disponibilidad , No suplantar la dirección MAC.
Unidad de transmisión máxima (MTU) El campo MTU, que se muestra en la figura General de la WAN con fi guración ,
normalmente puede dejarse en blanco, pero se puede cambiar cuando sea necesario. Algunas situaciones pueden requerir una MTU inferior para asegurar los
paquetes están dimensionados adecuadamente para una conexión a Internet. En la mayoría de los casos, el valor por defecto asume valores para el tipo de conexión
WAN funcionarán correctamente.
Tamaño máximo del segmento (MSS) MSS, que se muestra en la figura General de la WAN con fi guración puede ser típicamente
se deja en blanco, pero se puede cambiar cuando sea necesario. Este campo permite MSS de sujeción, lo que garantiza tamaños de paquetes TCP se mantienen
adecuadamente pequeño para una conexión de Internet en particular.
Fig 7.5:. General de la WAN con fi guración
Estática fi guración IP de Con Si se selecciona la opción “estático” para el tipo de WAN, la dirección IP, subred
Máscara, y aguas arriba de puerta de enlace deben ser todos llenada en la (Figura Configuración IP estáticas ). Esta información se debe
obtener de la ISP o quien controla la red en el lado WAN de esta fi cortafuegos. los Dirección IP y aguas arriba de puerta de enlace Ambos
deben residir en la misma subred.
Fig. 7.6: Configuración de IP estática
nombre de servidor Este campo (Figura DHCP Configuración de nombre de host ) Sólo se necesita por algunos proveedores de Internet. Esta
valor se envía junto con la solicitud DHCP para obtener una dirección IP WAN. Si el valor de este campo es desconocida, trate de dejarlo en
blanco a menos que se indique lo contrario por el ISP.
PPPoE Con fi guración Cuando se utiliza el (Protocolo Punto a Punto sobre Ethernet) PPPoE tipo de WAN (Fig-
Ure PPPoE Con fi guración ), los Nombre de usuario PPPoE y PPPoE contraseña Se requieren campos, como mínimo. Los valores de
estos campos son determinados por el ISP.

Fig 7.7:. DHCP Configuración de nombre de host
Nombre de usuario PPPoE El nombre de usuario para la autenticación PPPoE. El formato es controlado por
el ISP, pero comúnmente se utiliza un estilo de dirección de correo electrónico, como myname@example.com.
PPPoE contraseña La contraseña para acceder a la cuenta fi especificados por el nombre de usuario anteriormente.
La contraseña está enmascarado por defecto. Para ver la contraseña introducida, comprobar Revelar caracteres de la
contraseña. Nombre del servicio PPPoE El nombre del servicio PPPoE puede ser requerido por un ISP, pero es typ-
camente deja en blanco. En caso de duda, dejarlo en blanco o en contacto con el ISP y preguntar si es necesario.
Marcación PPPoE bajo demanda Causas pfSense para dejar la conexión abajo / de ine fl hasta que los datos
Se solicita que necesitaría la conexión a Internet. inicios de sesión PPPoE suceden muy rápido, por lo que en la mayoría de los
casos la demora mientras que la conexión es de configuración sería insignificante. Si los servicios públicos están alojados
detrás de esta fi cortafuegos, no seleccione esta opción como una conexión en línea se debe mantener lo más posible en ese
caso. También tenga en cuenta que esta elección no caerá una conexión existente.
PPPoE de espera en inactividad especi fi ca la cantidad de tiempo pfSense le permitirá la conexión PPPoE
permanecerá sin transmisión de datos antes de desconectar. Esto sólo es útil cuando se combina con el dial en la
demanda, y típicamente se deja en blanco (desactivado).
Nota: Esta opción también requiere la desactivación de la vigilancia de puerta de enlace, de lo contrario la conexión nunca va a estar
inactivo.
Fig 7.8:. PPPoE Con fi guración
PPTP Con fi guración El PPTP (Point-to-Point Protocolo de túnel) WAN tipo (figura PPTP WAN
Con fi guración ) es para los ISP que requieren un inicio de sesión PPTP, no para la conexión a una VPN PPTP remoto. Estos valores, al igual que la
configuración PPPoE, serán proporcionados por el ISP. Se requieren unas cuantas opciones adicionales:
Dirección IP local La dirección local (generalmente privados) utilizada por este fi cortafuegos para establecer la
7.1. Asistente de configuración 67

conexión PPTP.
Máscara de subred en CIDR La máscara de subred de la dirección local.
Dirección IP remota La dirección del servidor PPTP, que es por lo general dentro de la misma subred que
el dirección IP local.
Fig 7.9:. PPTP WAN Con fi guración
Estas dos últimas opciones, visto en la figura Built-in Ingress opciones de filtrado , son útiles para la prevención de inválido tráfico c entren en la red protegida por este
fi cortafuegos, también conocido como “Ingress Filtering”.
Bloquear RFC 1918 Redes Privadas Bloquea las conexiones proceden de redes privadas registradas tales
como 192.168.xx y 10.xxx intentar entrar en la interfaz WAN. Una lista completa de estas redes está en Las direcciones IP privadas .
Bloque Bogon Redes Cuando está activo, los bloques fi cortafuego tráfico c entren si se obtiene de re-
servido o espacio no asignado IP que no debe estar en uso. La lista de redes Bogon se actualiza periódicamente en el
fondo, y no requiere mantenimiento manual. redes Bogon se explican más detalladamente en Bloque Bogon Redes .
Hacer clic Siguiente para continuar una vez que las configuraciones WAN han sido llenada fi en.
Fig. 7.10: incorporado en Ingress Opciones de filtro

Interfaz de red LAN con fi guración
Esta página del asistente con fi guras de la Dirección IP de la LAN y Máscara de subred ( Figura Con fi guración LAN ).
Si este fi cortafuegos no se conecta a cualquier otra red a través de VPN, el valor predeterminado 192.168.1.0/24 la red puede ser aceptable. Si esta red
debe estar conectado a otra red, incluso a través de VPN desde lugares remotos, elegir un rango de direcciones IP privada mucho más oscuro que el defecto
común de 192.168.1.0/24. dentro del espacio IP 172.16.0.0/12 1918 bloque de direcciones privadas RFC es generalmente utiliza la menor frecuencia, por lo
que elegir algo entre 172.16.xx y 172.31.xx para ayudar a evitar la conectividad VPN di fi cultades. Si la LAN es 192.168.1.x y un cliente remoto se encuentra
en un punto de acceso inalámbrico utilizando 192.168.1.x ( muy común), el cliente no podrá comunicarse a través de la VPN. En ese caso, 192.168.1.x es la
red local para el cliente en el punto de acceso, no la red remota a través de la VPN. Si el Dirección IP de la LAN debe ser cambiado, entrar en él aquí, junto
con un nuevo Máscara de subred. Si se cambian estos ajustes, la dirección IP del ordenador utilizado para completar el asistente también debe cambiarse si
está conectado a través de la LAN. Liberar / renovar su concesión DHCP, o llevar a cabo una “reparación” o “diagnosticar” en la interfaz de red cuando
terminado con el asistente de configuración.
Fig 7.11:. Con fi guración LAN
Configurar contraseña de administrador
A continuación, cambiar la contraseña de administración para la WebGUI como se muestra en la figura Cambiar contraseña administrativa . Lo más recomendable es utilizar una
contraseña fuerte y segura, pero no hay restricciones son aplicadas automáticamente. Introduzca la contraseña en el Clave de administrador y la caja de con fi rmación para asegurarse
de que se ha introducido correctamente.
Advertencia: No deje la contraseña establecida en el valor predeterminado pfSense. Si el acceso a la administración a través de cortafuego WebGUI o SSH está expuesto a
Internet, intencional o accidentalmente, el cortafuego fácilmente podría verse comprometida si se sigue utilizando la contraseña predeterminada.
7.1. Asistente de configuración 69

Fig 7.12:. Cambiar contraseña administrativa
Finalización del asistente de configuración
Esto completa el asistente de configuración con fi guración. Hacer clic Recargar ( Figura Recargar pfSense WebGUI ) y WebGUI aplicará la configuración del asistente y
volver a cargar los servicios modificados por el asistente.
Propina: Si la dirección IP de la LAN se cambió en el asistente y el asistente se ejecuta desde la LAN, ajuste la dirección IP del equipo cliente después de hacer
clic en consecuencia Recargar.
Cuando se le pida que vuelva a iniciar sesión, introduzca la nueva contraseña. Los restos de nombre de usuario administración.
Fig. 7.13: Actualizar pfSense WebGUI
En este punto el cortafuego tendrá conectividad básica a Internet a través de la WAN y los clientes de la LAN será capaz de llegar a los sitios de Internet a través
de este fi cortafuegos.
Si en algún momento esta con fi guración inicial se debe repetir, revisar el asistente en Sistema> SetupWizard desde dentro de la WebGUI.
Interfaz Con fi guración
Aspectos básicos de la interfaz con fi guración se pueden realizar en la consola y en el asistente de configuración para empezar, pero los cambios también se pueden hacer después de la
configuración inicial de las páginas que visitan en el marco del Interfaces menú. Algunas funciones básicas están cubiertas aquí, los detalles se pueden encontrar en Tipos de interfaz y con fi
guración .
asignar las interfaces
Interfaces adicionales añadidos después de la configuración inicial se pueden asignar papeles visitando Interfaces> (asignar). Hay numerosas pestañas en esa página
utilizados para la asignación y la creación de diferentes tipos de interfaces. Las dos pestañas más comúnmente utilizados son asignación de las interfaces y VLAN.

Ver también:
VLAN con fi guración está cubierto de LAN virtuales (VLAN) . los asignación de las interfaces pestaña muestra una lista de todas las interfaces actualmente asignados:
WAN, LAN, y cualquier OptX entradas con fi gura en el cortafuego. Al lado de cada interfaz es una lista desplegable de todas las interfaces de red / puertos que se
encuentran en el sistema. Esta lista incluye las interfaces de hardware, así como interfaces VLAN y otros tipos de interfaces virtuales. La dirección MAC, etiqueta VLAN,
o otra información de identificación se imprime a lo largo de lado el nombre de interfaz para ayudar en la identificación fi. Las otras pestañas, al igual que la VLAN pestaña,
están ahí para crear interfaces adicionales que luego pueden ser asignados. Todos estos tipos de interfaz están cubiertos en Tipos de interfaz y con fi guración . Para
cambiar una asignación de interfaz existente a otro puerto de red:
• Navegar a Interfaces> (asignar)
• Busque la interfaz para cambiar en la lista
• Seleccione el nuevo puerto de red de la lista desplegable en la fila para esa interfaz
Para añadir una nueva interfaz de la lista de puertos de red no utilizados:
• Seleccione el puerto a utilizar en la lista desplegable llamada Puertos de red disponibles
• Hacer clic Añadir
Esta acción añadirá otra línea con una nueva interfaz OPT numerado más alto que cualquier interfaz OPT existente, o si esta es la primera interfaz
adicional, OPT1.
Interfaz de Con fi guración Fundamentos
Las interfaces se con fi gura por la elección de su entrada por debajo de la Interfaces menú. Por ejemplo, para con fi gurar el interfaz WAN, seleccione Interfaces>
WAN. Casi todas las opciones que se encuentran bajo Interfaces> WAN son idénticos a los mencionados en la parte de WAN de la Asistente de configuración.
Cada interfaz es con fi gurado de la misma manera y cualquier interfaz puede ser con fi gurada como cualquier tipo de interfaz (estática, DHCP, PPPoE,
etc). Además, el bloqueo de las redes privadas y redes Bogon se puede realizar en cualquier interfaz. Cada interfaz se puede cambiar, incluyendo WAN y
LAN, a un nombre personalizado. Además, cada interfaz se puede activar y desactivar a voluntad, siempre y cuando un mínimo de una interfaz permanece
habilitado.
Ver también:
Para información detallada con fi guración de la interfaz, consulte Tipos de interfaz y con fi guración
los Con IPv4 Tipo fi guración se puede cambiar entre IPv4 estática, DHCP, PPPoE, PPP, PPTP, L2TP, o Ninguna para salir de la interfaz sin una dirección IPv4. Cuando IPv4
estática se utiliza, una Dirección IPv4, máscara de subred y Aguas arriba de puerta de enlace IPv4 puede ser establecido. Si se elige una de las otras opciones, a
continuación, escriba especí fi cos fi campos parecen con fi gura cada tipo. los Con IPv6 Tipo fi guración se puede configurar para IPv6 estática, DHCP6, SLAAC, Túnel
6rd, túnel 6to4, Track Interface,
o Ninguna dejar IPv6 fi gurada incond en la interfaz. Cuando se selecciona IPv6 estática, establecer una dirección IPv6, pre fi x longitud, y Aguas arriba IPv6 Gateway.
Si esto una interfaz inalámbrica, la página contendrá muchas opciones adicionales para con fi gurar la parte inalámbrica de la interfaz. Consultar Inalámbrico para
detalles.
Nota: Selección de una Puerta de la lista desplegable, o la adición de una nueva puerta de enlace y seleccionándolo, hará que pfSense para el tratamiento de dicha interfaz como una
interfaz de tipo de WAN para NAT y funciones relacionadas. Esto no es deseable para la orientación interna
7.2. Interfaz Con fi guración 71

interfaces, tales como LAN o una DMZ. Gateways todavía pueden ser utilizados en las interfaces a las rutas estáticas y otros fines sin la selección de una Puerta
aquí en la página de interfaces.
Administración de listas en la GUI
El pfSense WebGUI tiene un conjunto común de iconos que se utilizan para la gestión de listas y colecciones de objetos pasantes a cabo el cortafuego. No cada icono
se utiliza en todas las páginas, pero sus significados son consistentes en función del contexto en el que se ven. Ejemplos de tales listas incluyen reglas fi cortafuego,
las reglas de NAT, IPSec, OpenVPN, y certi fi cados.
Añadir un nuevo elemento a una lista
Añadir un elemento al principio de una lista
Añadir un elemento al final de una lista
Editar un artículo existente
Copiar un elemento (crear un nuevo elemento basado en el elemento seleccionado)
Desactivar un elemento activo
Habilitar un elemento deshabilitado
Eliminar un elemento
Se utiliza para mover las entradas después de seleccionar uno o más elementos. Haga clic para mover los elementos seleccionados por encima de esta fila. Mayús
y haga clic para mover los elementos seleccionados por debajo de esta fila.
Las secciones pueden tener sus propios iconos especí fi cos para cada área. Consulte las secciones correspondientes de este libro para especi fi cs sobre los iconos que se
encuentran en otras partes del cortafuego. Por ejemplo, para hallar el significado de los iconos utilizados sólo en la gestión de certi fi cado, busque en Gestión de certi fi cado
Propina: Para determinar qué acción llevar a cabo un icono, coloque el cursor sobre el icono con el puntero del ratón y un mensaje emergente mostrará una breve descripción
del propósito del icono.
Navegar rápidamente a la interfaz gráfica de usuario con accesos directos
Muchas áreas de la GUI tienen iconos de acceso directo presentes en la zona conocida como la “Breadcrumb Bar”, como se ve en la figura
Ejemplo accesos directos . Estos iconos de acceso directo reducen la cantidad de caza necesario para localizar las páginas relacionadas, lo que permite a un administrador fi cortafuegos para
navegar rápidamente entre las páginas de un servicio de estado, registros, y con fi guración. Los accesos directos para un tema determinado están presentes en todas las páginas relacionadas
con ese tema. Por ejemplo, en la figura Ejemplo accesos directos , los accesos directos tienen los siguientes efectos:
Comienza el servicio Si se detiene el servicio, este icono permite iniciar el servicio.
Reiniciar servicio Si el servicio se está ejecutando, este icono se reinicia el servicio.

Fig. 7.14: Atajos Ejemplo
Parada de servicio Si el servicio se está ejecutando, este icono se detiene el servicio.
Los ajustes relacionados Cuando aparezca este icono, que navega a la página de configuración de esta sección.
Página de estado de enlace Un enlace a la página de estado de esta sección, si es que existe.
Página Registro de Enlace Si esta sección tiene una página de registro relacionadas, este icono enlaces allí.
Ayuda Enlace Carga un tema de ayuda relacionados para esta página. los Estado del servicio página ( Estado> Servicios) también tiene controles de acceso directo para páginas
relacionadas con cada servicio, tal como se muestra en la figura Accesos directos en Estado del servicio . Los iconos tienen el mismo significado que en la sección anterior.
Fig. 7.15: Atajos de Estado del servicio
Opciones generales de Con fi guración
Sistema> Configuración general contiene opciones que establecen los artículos con fi guración básicos para pfSense y la interfaz gráfica de usuario. Algunas de estas opciones también se
encuentran en el Asistente de configuración .
nombre de host los nombre de host es el nombre corto para este fi cortafuegos, tales como firewall1, hq-fw, o sitio1.
El nombre debe comenzar con una letra y puede contener letras, números o un guión.
Dominio Introducir el Dominio nombre para este fi cortafuegos, por ejemplo, example.com. Si esta red no tiene
un dominio, utilice < algo> .localdomain, donde < algo> es otro identi fi cador: a nombre de la empresa, apellido, apodo, etc.
Por ejemplo, company.localdomain
los nombre de host y Dominio nombre se combinan para componer el nombre completo de cali fi cado de dominio (FQDN) de esta fi cortafuegos. Por ejemplo,
si el nombre de host es fw1 y el Dominio es example.com, entonces el FQDN es
fw1.example.com.
Configuración del servidor DNS
Las opciones en esta sección controlan cómo el cortafuego resuelve nombres de host mediante DNS.
Servidor DNS 1-4 Dirección Las direcciones IP de los servidores DNS pueden ser llenada en caso necesario y si
son conocidos.
Estos servidores DNS se pueden dejar en blanco si el Resolver DNS se mantendrá activo usando Tings su conjunto- por defecto. El valor
predeterminado pfSense con fi guración tiene el Resolver DNS activo en el modo de resolución (modo Warding no para-). Cuando se establece esta
forma de resolución de DNS no necesita reenviar los servidores DNS, ya que
7.5. Opciones generales de Con fi guración 73

se comunicará directamente con los servidores DNS raíz y otros servidores DNS autorizados. Para forzar el cortafuego de usar estos
servidores DNS con fi gura, habilitar el modo de reenvío en el Resolver DNS o utilizar el DNS Forwarder.
Ver también:
Para obtener más información acerca de con fi gurar el Resolver DNS, consulte de resolución de DNS
Si este fi cortafuegos tiene un tipo de WAN dinámica como DHCP, PPPoE PPTP o éstos pueden ser asignados automáticamente por el ISP y
pueden dejarse en blanco.
Servidor DNS 1-4 puerta de enlace Además de sus direcciones IP, esta página proporciona una manera de fijar la entrada
utilizado para llegar a cada servidor DNS. Esto es especialmente útil en un escenario multi-WAN a la que, idealmente, el cortafuego tendrá al
menos un servidor DNS con fi gurada por la WAN. Más información sobre DNS para Multi-WAN se puede encontrar en Los servidores DNS y
rutas estáticas .
De modificación del servidor DNS Cuando se activa, una dinámica WAN ISP puede suministrar servidores DNS que override
los establecidos manualmente. Para forzar el uso de sólo los servidores DNS con fi gurar manualmente, desactive esta opción.
Desactivar DNS Forwarder Por defecto, pfSense consultará el Resolver DNS o DNS Forwarder en ejecución
en este fi cortafuegos para resolver nombres de host por sí mismo. Esto se hace haciendo una lista de localhost ( 127.0.0.1) como su servidor DNS primero
internamente. La activación de esta opción deshabilita este comportamiento, obligando al cortafuego de utilizar los servidores DNS con fi gura anterior en lugar de
sí mismo.
Localización
Las opciones de esta sección de control de visualización del reloj del cortafuego y del lenguaje.
Zona horaria Elija una zona geográfica llamada que se adapte mejor ubicación de este fi cortafuegos, o una com-
zona lun tales como UTC. El reloj cortafuego, entradas de registro, y otras áreas de la fi cortafuegos basan su tiempo en esta zona. Cambio de la
zona puede requerir un reinicio para activar plenamente en todas las áreas del cortafuego.
servidores de hora Un nombre de host del servidor Network Time Protocol (NTP) o la dirección IP. A menos que un c NTP específica
Se requiere servidor, como una en la LAN, lo mejor es dejar el servidores de hora valor en el valor predeterminado 0.pfsense.pool.ntp.org.
Este valor se elige un servidor aleatorio de un grupo de conocidos buenos anfitriones NTP.
Para utilizar múltiples servidores de tiempo, añadirlos en la misma caja, separando cada servidor por un espacio. Por ejemplo, el uso de tres
servidores NTP de la piscina, entre:
0.pfsense.pool.ntp.org 1.pfsense.pool.ntp.org 2.pfsense.pool.ntp.org
Esta numeración es especí fi ca a la forma. pool.ntp.org opera y asegura cada dirección se extrae de una piscina única de servidores NTP
por lo que el mismo servidor no se acostumbra dos veces.
Idioma La interfaz gráfica de usuario pfSense ha sido traducida a otros dos idiomas además del defecto en-
ñol idioma. Los idiomas alternativos son Portugués (Brasil) y Turco.
WebCon fi gurator
Las opciones en esta sección controlan varios aspectos del comportamiento de la interfaz gráfica de usuario.
Tema Cambiando el Tema controla la apariencia de la interfaz gráfica de usuario. Varios temas se incluyen en el
sistema de base, y que sólo hacen cambios no cosméticos funcionales a la WebGUI.
Top Navigation Esta opción controla el comportamiento de la barra de menú en la parte superior de cada página. Hay dos
posibles opciones:

Se desplaza con la página El comportamiento por defecto. Cuando se desplaza a la página, la navegación sigue siendo
en la parte superior de la página, por lo que cuando el desplazamiento hacia abajo ya no es visible, ya que se desplaza hacia la parte superior
de la ventana. Esta es la mejor opción para la mayoría de las situaciones.
Fijo Cuando se selecciona, la navegación se mantiene fijo en la parte superior de la ventana, siempre visible
y disponible para su uso. Este comportamiento puede ser conveniente, pero en pantallas más pequeñas, tales como tabletas y
dispositivos móviles, menús largos se pueden cortar, dejando las opciones en la parte inferior inalcanzable.
Nombre de host en el menú Cuando se establece, la ficción de cortafuegos nombre de host o Nombre de dominio completo cali fi cado Estará en-
cluded en la barra de menú para referencia. Esto puede ayudar al mantenimiento de múltiples rewalls fi, lo que hace que sea más fácil
distinguirlos sin mirar el título del navegador o de texto separado.
Las columnas del tablero de instrumentos El tablero de instrumentos está limitada a 2 columnas de forma predeterminada. En pantallas más amplias, más
columnas se pueden agregar para hacer un mejor uso del espacio horizontal de la pantalla. El número máximo de columnas es 4.
Los paneles asociados Mostrar / Ocultar Unas pocas áreas de la interfaz gráfica de usuario pfSense contienen paneles plegables con ajustes.
Estos paneles ocupan espacio en la pantalla, por lo que están ocultos por defecto. Para los administradores de fi cortafuego que utilizan los paneles con
frecuencia, esto puede ser lento y ineficiente, por lo que las opciones de este grupo permiten que los paneles se muestran por defecto en lugar de
escondido.
disponible Reproductores controla la disponible Reproductores panel en el tablero de instrumentos.
registro del filtro Controla el registro de ltrado fi ( ) Panel utiliza para buscar entradas de registro en virtud de
Estado> Registros del sistema.
de Log Controla los parámetros de cada registro en el De Log ( ) Disponible para el panel
cada registro bajo Estado> Registros del sistema. Ajustes de vigilancia Controla el panel de opciones se utiliza para cambiar
los gráficos en Estado>

Supervisión.
Etiquetas de columna a la izquierda Cuando se activa, las etiquetas de opción en la columna de la izquierda se establecen para cambiar opciones cuando
se hace clic. Esto puede ser conveniente si el administrador fi cortafuegos se utiliza para el comportamiento, pero también puede ser problemático en el
móvil o en casos cuando el comportamiento es inesperado.
Período de actualización del tablero de instrumentos Controla el intervalo en el que se actualizan los datos salpicadero. Mucho de
widgets de actualizar dinámicamente el uso de AJAX. Con muchos widgets cargados, un intervalo de actualización rápida puede causar una
carga alta en el cortafuego, dependiendo del hardware en uso. Lo que permite más tiempo entre actualizaciones reduciría la carga total.
Opciones avanzadas de Con fi guración
Sistema> Avanzado contiene numerosas opciones de carácter avanzado. Pocas de estas opciones requieren un ajuste para el enrutamiento básico / NAT
implementaciones, estas opciones pueden ayudar a personalizar la fi cortafuegos con fi guración de manera benéfico para los entornos más complejos.
Algunas de estas opciones se explica con más detalle en otras secciones del libro, donde la discusión es más actual o relevante, pero todos ellos son
mencionados aquí con una breve descripción.
Administrador de acceso Tab
Las opciones que se encuentran en el El acceso de administrador pestaña gobiernan los diversos métodos para administrar el cortafuego, incluyendo a través de la interfaz web,
SSH, serial, y la consola física.
7.6. Opciones avanzadas de Con fi guración 75

gurator WebCon fi (WebGUI)
Protocolo
El Protocolo WebGUI puede fijarse en cualquiera HTTP o HTTPS. La mejor práctica es utilizar HTTPS para que tráfico c hacia y desde la WebGUI está cifrada.
SSL Certi fi cado
Si se elige HTTPS, un certificado también debe ser elegido de la SSL Certi fi cado la lista desplegable. El certi fi cado por defecto es una generada automáticamente
certi fi cado autofirmado. Esa no es una situación ideal, pero es mejor que ningún cifrado en absoluto.
Propina: Para utilizar un certificado SSL fi cado y la clave firmada externamente, importarlos usando el Certi fi cado de Administrador, a continuación, seleccione el certi fi cado aquí.
La principal desventaja de usar un certificado generado por el mismo encargo es la falta de seguridad de la identidad de la máquina, ya que el certi fi cado no está firmado por
una autoridad de certi fi cado de confianza para el navegador. Además, dado que la mayor parte de los usuarios de Internet a un inválido certi fi cado tal debe ser considerado
un riesgo, los navegadores modernos se han tomando medidas enérgicas contra la forma en que se manejan. Firefox, por ejemplo, da una pantalla de advertencia y obliga al
usuario a importar el certi fi cado y permitir una excepción permanente. Internet Explorer mostrará una pantalla de advertencia con un enlace a seguir, al igual que Chrome.
Opera mostrará un diálogo de advertencia.
Propina: Para generar un nuevo certi fi cado autofirmado para la interfaz gráfica de usuario, conectarse a través de la consola o ssh y desde el intérprete de comandos, ejecute el siguiente
comando:
pfSsh.php reproducción generateguicert
Puerto TCP
Al mover el WebGUI a un puerto alternativo es preferido por algunos administradores de seguridad por razones de la oscuridad, aunque tales prácticas no deben ser
considerados como ofrecer cualquier bene fi cio de seguridad. Traslado de la interfaz gráfica de usuario a otro puerto va a liberar los puertos web estándar para su uso con
puerto remite u otros servicios tales como un HAProxy. Por defecto, el WebGUI utiliza HTTPS en el puerto 443 con una redirección desde el puerto 80 para la mejor
compatibilidad y facilidad de con fi guración inicial. Para cambiar el puerto, introduzca un nuevo número de puerto en el Puerto TCP campo.
Procesos Max
Si varios administradores ver la interfaz gráfica de usuario al mismo tiempo y las páginas están tomando demasiado tiempo para cargar, o en su defecto a la carga, a continuación, aumentar el
Max procesos de valor. Por defecto se establece en 2, por lo que el cortafuego se ejecuta dos procesos de trabajo del servidor web.
WebGUI redirección
Por defecto, para facilitar el acceso y la compatibilidad, el cortafuego se ejecuta una redirección en el puerto 80 de manera que si un navegador intenta acceder al
cortafuego con HTTP, el cortafuego aceptará la solicitud y luego redirigir el navegador a HTTPS en el puerto
443. Esta redirección se puede desactivar mediante la comprobación Desactivar WebCon fi regla gurator redirección. Desactivación de la redirección también permite que otro demonio para
enlazar con el puerto 80.

WebGUI sesión de autocompletar
Por conveniencia, la forma de la conexión permite autocompletar por lo que los navegadores pueden guardar las credenciales de inicio de sesión. En entornos de alta seguridad, tales como los
que deben adherirse a especí normas de cumplimiento de seguridad fi c, este comportamiento no es aceptable. Se puede desactivar mediante la comprobación Desactivar WebCon fi
autocompletar gurator inicio de sesión. Esto sólo controles de autocompletar en el formulario de inicio de sesión.
Advertencia: Pocos navegadores respetan esta opción. Muchos de ellos siguen ofreciendo a guardar las contraseñas, incluso cuando el formulario se especí fi ca que no se debe
permitir. Este comportamiento se debe controlar o cambiar usando las opciones del navegador.
WebGUI mensajes de inicio de sesión
inicios de sesión exitosos resultan en un mensaje que se está imprimiendo a la consola, y en algún hardware estos mensajes de la consola causan un “bip” a ser oído desde el
dispositivo. Para detener este mensaje de registro (y la señal resultante), comprobar Deshabilitar el registro de WebCon fi gurator inicios de sesión con éxito.
Anti-bloqueo
El acceso al puerto y el puerto SSH WebGUI en la interfaz LAN está permitido por defecto independientemente de las reglas filtro Ned fi-de los usuarios, debido a la regla
anti-bloqueo. Cuando dos o más interfaces están presentes, la regla de anti-bloqueo está activo en la interfaz de LAN; Si sólo hay una interfaz es con fi gurado, la regla
anti-bloqueo estará activa en esa interfaz en su lugar. Comprobación Desactivar las reglas anti-bloqueo WebCon fi gurator elimina la regla automática de prevención de
bloqueo. Con esa regla desactivada, es posible controlar las direcciones IP de la LAN pueden acceder a la WebGUI usando reglas fi cortafuego.
Advertencia: Las reglas de filtrado deben estar en su lugar para permitir el acceso GUI antes de habilitar esta opción! Si las reglas de LAN no permiten el acceso a la interfaz gráfica de
usuario, la eliminación de la regla anti-bloqueo bloqueará el acceso a la interfaz gráfica de usuario, lo que podría dejar el administrador sin un medio para alcanzar el cortafuego.
Nota: Restablecimiento de la dirección IP de la LAN de la consola del sistema también se restablece la regla anti-bloqueo. Si el acceso administrativo está bloqueada después
de habilitar esto, elija la opción de menú de la consola 2, luego optar por configurar la dirección IP de la LAN, y entrar en la misma dirección IP exacta y la información adjunta.
Comprobar DNS Rebind
Los bloques fi cortafuego privadas respuestas de direcciones IP de los servidores DNS configurada con fi por defecto, para prevenir ataques de revinculación DNS. Marque esta
casilla para desactivar la protección de revinculación DNS si interfiere con WebCon Fi gurator o resolución de nombres.
Ver también:
Más detalles sobre los ataques de revinculación DNS puede encontrar en Wikipedia .
El caso más común para la desactivación de esto sería cuando el cortafuego está configurado para utilizar un servidor DNS interno que devolverá respuestas
(RFC1918) privados de nombres de host. Al acceder al cortafuego por dirección IP, estos controles no se aplican porque el ataque sólo es relevante cuando se utiliza
un nombre de host.
Propina: En lugar de desactivar todas las protecciones de revinculación DNS, se puede desactivar de forma selectiva en función de cada dominio en el Resolver DNS o
DNS Forwarder. Ver De resolución de DNS y DNS Protección Revinculación y DNS y DNS Forwarder Protección Revinculación .

HTTP_REFERER aplicación de navegador
La interfaz gráfica de usuario comprueba la URL de referencia cuando se accede a prevenir una forma en otro sitio de la presentación de una solicitud al cortafuego, el cambio de una
opción cuando el administrador no tenía la intención de que eso ocurra. Esto también rompe algunos comportamientos deseables conveniencia, tales como tener una página que vincula a
varios dispositivos de fi cortafuego. Para desactivar este comportamiento, compruebe Desactivar la comprobación de la aplicación de HTTP_REFERER.
Los nombres de host alternativos
Mantener Los cheques Vuelva a vincular DNS y Aplicación HTTP_REFERER activo, pero controlar su comportamiento ligeramente, llenar en
Los nombres de host alternativos en el cuadro. Por defecto, el sistema permitirá el acceso a la fi nombre de host con gurado en el cortafuego y todas las direcciones IP con fi gura en el
cortafuego. Adición de nombres de host en este campo permitirá a los nombres de host que se utilizarán para el acceso y la interfaz gráfica de usuario para hacer referencia propósitos URL.
Man-in-the-middle / advertencia
Si un navegador intenta acceder a la interfaz gráfica de usuario con una dirección IP que no está con fi gurado en el cortafuego, tal como un puerto hacia delante de otro fi
cortafuegos, un mensaje será impreso que indica que el acceso al cortafuego puede verse comprometida debido a un Hombre-In -La-Middle (MITM) ataque.
Si un desvío de tales fue deliberadamente con fi gurada en el cortafuego o en un fi cortafuegos delante de éste, el mensaje puede ser ignorado. Si el acceso al cortafuego debería
haber sido directa, a continuación, tener mucho cuidado antes de iniciar sesión para asegurar las credenciales de acceso no se enrutan a través de un sistema que no se confía. El
acceso no está deshabilitada en este caso, sólo una advertencia, por lo que no hay ninguna opción para desactivar este comportamiento.
Ficha del examinador texto
Por defecto, el cortafuegos fi interfaz gráfica de usuario imprime el nombre de host fi cortafuegos primera en el título de la página / ficha, seguido del nombre de la página. Para revertir este
comportamiento y mostrar el primer nombre de la página y segundo nombre de host, cheque la página de visualización del nombre en la primera pestaña del navegador.
Los administradores que tienen acceso a muchos rewalls fi al mismo tiempo en pestañas separadas tienden a preferir tener el primer nombre de host fi (por defecto). Los administradores que
tienen acceso a un cortafuego con muchas páginas en pestañas separadas tienden a preferir tener el nombre de primera página.
Secure Shell (SSH)
El servidor Secure Shell (SSH) se puede habilitar que permite acceso a la consola remota y gestión del archivo. Un usuario puede conectar con cualquier cliente SSH estándar,
como el cliente de línea de comandos ssh OpenSSH, masilla, SecureCRT o iTerm. Para acceder a la cuenta de administrador, o bien el administración nombre de usuario o raíz cuenta
puede ser utilizada, y ambos aceptan la contraseña de administrador WebGUI de inicio de sesión.
Los usuarios en el Administrador de usuarios que tienen el Usuario - sistema - acceso a la cuenta de Shell privilegio también se lowed al- iniciar sesión a través de ssh.
Estos usuarios no tienen privilegios de acceso raíz, y no se imprimen en el menú al iniciar la sesión debido a que muchas de las opciones requieren privilegios de root.
Propina: Para conceder a los usuarios privilegios de concha adicionales, utilice el sudo paquete.
Las transferencias de archivos desde y hacia el fi cortafuegos pfSense también son posibles mediante el uso de un cliente de Secure Copy (SCP), como línea de comandos de OpenSSH SCP,
FileZilla, WinSCP o Fugu. Para utilizar SCP, conecte como el raíz usuario, no administración. Si un usuario tiene la costumbre Usuario - sistema - Copiar archivos permiso, o todos los
accesos, entonces ellos también pueden utilizar SCP.

Propina: clientes SSH deben mantenerse actualizados. Conforme pasa el tiempo, las normas de seguridad evolucionan y la configuración del servidor SSH utilizados por pfSense
cambiarán. Los clientes que han sido superados pueden no ser capaces de conectarse a través de las claves de seguridad fuertes y algoritmos requeridos por sshd en pfSense. Si un
cliente no se conecta, comprobar si hay una actualización del proveedor.
Activar Secure Shell
Para habilitar el demonio SSH, comprobar Activar Secure Shell. Después de guardar con esta opción activada, el cortafuego va a generar claves SSH si no
están ya presentes y luego iniciar el demonio SSH.
método de autentificación
SSH puede ser con fi gurado a sólo permiten inicios de sesión basados en clave y no una contraseña. inicios de sesión basados en clave son una práctica mucho más seguro, aunque sí tener una
mayor preparación para con fi gura. Para forzar la autenticación basada en claves, compruebe contraseña de inicio de sesión para deshabilitar Secure Shell.
Las claves de usuario de inicio de sesión basado en claves se agregan mediante la edición de los usuarios en el UserManager ( Gestión de usuarios y autenticación ). Al editar un
usuario, pegue las claves públicas permitidos en el llaves autorizadas texto de campo por su cuenta.
Puerto SSH
Al mover el servidor SSH a un puerto alternativo proporciona una mejora insignificante de seguridad, y libera el puerto para otros usos. Para cambiar el puerto,
escriba el nuevo puerto en el Puerto SSH caja.
Propina: escáneres de fuerza bruta SSH se centran en golpear el puerto TCP 22, pero si el demonio está abierto a Internet en otro puerto, con el tiempo serán encontrados y
golpeados por los escáneres.
Las mejores prácticas para SSH
Si esto cortafuego se instala en un entorno que requiere dejando el acceso SSH sin restricciones por las reglas de cortafuego, lo cual es peligroso, se recomienda
encarecidamente mover el servicio SSH a un puerto aleatorio alternativo y forzando la autenticación basada en clave. Pasando a un puerto alternativo evitará que ingrese el
ruido de muchos, pero no todos, de fuerza bruta los intentos de inicio de sesión SSH y exploraciones ocasionales. Todavía se puede encontrar con un escaneo de puertos,
por lo que el cambio a la autenticación basada en clave siempre debe hacerse en cada servidor SSH de acceso público para eliminar la posibilidad de éxito de los ataques de
fuerza bruta. Múltiples intentos fallidos de acceso desde la misma dirección IP resultará en el bloqueo a cabo la dirección IP intentar autenticar, pero que por sí sola no se
considera la protección su fi ciente.
Comunicaciones serie
Si pfSense se ejecuta en hardware sin un monitor o si va a correr “sin cabeza” (sin teclado y vídeo adjunto), entonces la consola serie se puede
habilitar para mantener el control físico, siempre que el hardware tiene un puerto serie (no USB ).
Si se detecta el hardware que no tiene un puerto VGA, la consola serie es forzado dentro y no se puede desactivar, y las opciones de serie están todos ocultado a excepción
de la velocidad.

Terminal de serie
Cuando Terminal de serie se establece, la consola está habilitada en el puerto serie primero. Esta consola recibirá los mensajes de arranque del núcleo y un menú después
de que el cortafuego tiene el arranque terminado. Esto no va a desactivar la consola del teclado y vídeo a bordo.
Para conectar a la consola serie, utilice un cable de módem nulo conectado a un puerto serie o el adaptador en otro PC o dispositivo serie.
Ver también:
Para obtener más información sobre la conexión a una consola serie, véase Conexión a una consola serie y Iniciar un cliente de serie .
Al realizar cualquier cambio en la consola serie, el cortafuego se debe reiniciar antes de que entren en vigor.
Serie velocidad de la consola
La velocidad de la consola en serie por defecto es 115200 bps y casi todo el hardware funciona bien a esa velocidad. En raros casos, puede ser necesaria una velocidad más
lenta que se puede establecer aquí escogiendo la velocidad deseada de la velocidad de serie desplegable. Al actualizar desde una versión anterior, esta puede permanecer en un
valor mayor como 9600 o 38400 para que coincida con el BIOS en hardware antiguo. El aumento de la velocidad de 115200 es casi siempre seguro y más útil que las velocidades
más lentas.
Consola primaria
En el hardware tanto con la consola serie habilitado y un puerto VGA disponible, la Consola primaria selector elige cuál es la consola preferida, por lo que recibirá los
mensajes de registro de arranque de pfSense. Otros mensajes del kernel del sistema operativo se mostrarán en todas las conexiones de la consola, y ambas consolas
tendrán un menú utilizable.
En los casos en que el arranque no puede completar, la consola preferida debe ser utilizado para resolver el problema, tales como interfaces de reasignación.
menú de la consola
Normalmente, el menú de la consola se muestra siempre en la consola del sistema, y el menú estará disponible siempre y cuando alguien tiene acceso físico a la
consola. En entornos de alta seguridad esto no es deseable. Esta opción permite que la consola ser protegido por contraseña. El mismo nombre de usuario y
contraseña se pueden usar aquí que se utiliza para la WebGUI. Después de configurar esta opción, el cortafuego se debe reiniciar antes de que entre en vigor.
Nota: Aunque esto va a dejar de oprimir accidentalmente una tecla y mantener alejados a los usuarios ocasionales, esto es de ninguna manera un método de seguridad perfecta. Una
persona con conocimientos con acceso físico todavía puede restablecer las contraseñas (véase Contraseña olvidada con una consola Bloqueado ). Considerar otros métodos de seguridad
física si la seguridad de la consola es un requisito.
Firewall / NAT Tab
servidor de seguridad avanzada
compatibilidad IP Do-Not-Fragmento
Esta opción es una solución alternativa para los sistemas operativos que generan paquetes fragmentados con la no fragmentar (DF) conjunto de bits. Linux NFS (Network
File System) es conocido por ello, así como algunos sistemas de VoIP.

Cuando esta opción está activada, el cortafuego no caerá estos paquetes mal formados, sino que la clara no fragmentar bits. El cortafuego también de forma aleatoria la IP
identificación de campo de los paquetes salientes para compensar los sistemas operativos que establecen el bit DF, pero establecen una identificación de cabecera de campo
cero IP.
la generación de IP ID aleatorio
Si Insertar un ID más fuerte en la cabecera IP de los paquetes que pasan a través del filtro se comprueba el cortafuego reemplaza el IP identificación campo de paquetes
con valores aleatorios para compensar los sistemas operativos que usan valores predecibles. Esta opción sólo se aplica a los paquetes que no están fragmentados
después del reensamblaje de paquetes opcional.
Opciones de optimización de firewall
El modo de optimización controla cómo el cortafuego expira entradas de la tabla de estado:
Normal El algoritmo de optimización estándar, que es óptimo para la mayoría de los entornos.
Alta latencia Se utiliza para enlaces de alta latencia, tales como enlaces por satélite. Expira conexiones inactivas a más tardar
defecto.
Agresivo Expira conexiones inactivas más rápido. Más e fi ciente el uso de CPU y memoria, pero puede caer legit-
imate conexiones antes de lo esperado. Esta opción también puede mejorar el rendimiento en las implementaciones de alta trá fi co con una gran
cantidad de conexiones, tales como servicios web.
Conservador Trata de evitar la caída de las conexiones legítimas a expensas de un aumento de la memoria
el uso y la utilización de la CPU. Puede ayudar en entornos que requieren conexiones UDP de larga vida, pero sobre todo de inactividad, tales como
VoIP.
Desactivar el firewall
Cuando Desactivar todos fi ltrado de paquetes se establece, la fi cortafuegos pfSense se convierte en una plataforma de sólo enrutamiento. Esto se acompa- plished deshabilitando PF por
completo, y como consecuencia, NAT está desactivado, ya que también está a cargo de pf.
Propina: Deshabilitar solamente NAT, no utilice esta opción. Consultar Desactivación de salida NAT para más información sobre el control del comportamiento de NAT saliente.
Desactivar Firewall Scrub
Cuando se establece, la opción de lavado en PF está desactivado. los fregar en la acción PF puede interferir con NFS, y en casos raros, con VoIP tráfico c
también. Por defecto, utiliza el pfSense Vuelva a montar fragmento opción, que vuelve a ensamblar los paquetes fragmentados antes de enviarlos a su
destino, cuando sea posible. Más información sobre el fregar
característica de PF se pueden encontrar en la Documentación OpenBSD PF Scrub .
Nota: Desactivación fregar También desactiva otras características que dependen de fregar para funcionar, como compensación bit DF y la aleatorización ID.
Desactivación fregar no desactive MSS de sujeción si está activo para VPNs, o cuando un valor de MSS es con fi gurado en una interfaz.
Tiempos de espera del servidor de seguridad adaptativos
Tiempos de espera de adaptación manejo en estado de control PF cuando la tabla de estado está casi llena. Usando estos tiempos de espera, un administrador de fi cortafuegos puede
controlar cómo los estados han caducado o se purgan cuando hay poco o ningún espacio restante para almacenar nueva

estados de conexión.
Tiempos de espera de adaptación están activadas por defecto y los valores por defecto se calcula automáticamente en función de la fi con gurado
Firewall Unidos Máxima valor.
Inicio adaptativo escalamiento de adaptación se inicia una vez que la tabla de estado alcanza este nivel, expresado como un número
de los estados. Inicio adaptativo por defecto es 60% de Firewall Unidos máxima. Fin de adaptación Cuando el tamaño de la tabla de estado
alcanza este valor, expresado como un número de tabla de estado

entradas, todos los valores de tiempo de espera se supone que son cero, lo que hace que pf para purgar todas las entradas de estado inmediatamente.
Esta configuración define el factor de escala, que debe ser mayor que el número total de estados permitidos. Fin de adaptación por defecto es 120% de Firewall
Unidos máxima.
Cuando el número de estados de conexión excede el umbral fijado por Adaptativo Inicio, Los valores de tiempo de espera se escalan linealmente con el factor basado en
howmany se utilizan estados entre el inicio y el recuento de estado final. El factor de ajuste de tiempo de espera se calcula de la siguiente manera: (número de estados hasta
que la Fin de adaptación valor que se alcanza) / (diferencia entre el Fin de adaptación y Inicio adaptativo valores).
Nota: Como ejemplo, considere un cortafuego con Inicio adaptativo ajustado a 600000, Fin de adaptación ajustado a 1200000 y
Firewall Unidos Máxima ajustado a 1.000.000. En esta situación, cuando los tramos de tamaño de tabla de estado 900000 entradas de los tiempos de espera del estado serán escalados
a 50% de sus valores normales.
(1.200.000 - 900.000) / (1.200.000 - 600.000) = 300.000 / 600.000 = 0,50, 50%
Continuando con el ejemplo, cuando la tabla de estado es completo en 1.000.000 estados los valores de tiempo de espera se reducirán a un tercio de sus valores originales.
Firewall Unidos Máxima
Este valor es el número máximo de conexiones que el cortafuego puede albergar en su tabla de estados. El tamaño predeterminado se calcula sobre la base de 10% de RAM
total. Este valor por defecto es su fi ciente para la mayoría de las instalaciones, pero se puede ajustar más o menos dependiendo de la carga y la memoria disponible.
Cada estado consume aproximadamente 1 KB de memoria RAM, o aproximadamente 1 MB de RAM por cada 1000 estados. El cortafuego debe tener memoria RAM libre
adecuado para contener toda la tabla de estado antes de aumentar este valor. estados del servidor de seguridad se discuten en El filtrado stateful .
Propina: En un cortafuego con 8 GB de RAM la tabla de estado tendría un tamaño predeterminado de aproximadamente 800.000 estados. Una costumbre Firewall Unidos
Máxima valor de 4.000.000 consumiría aproximadamente 4 GB de RAM, la mitad del total de 8 GB disponibles.
Firewall entradas de tabla de máximos
Este valor define el número máximo de entradas que pueden existir en el interior de las tablas de direcciones utilizadas por el cortafuego para las colecciones de direcciones como
alias, registros ssh / GUI de bloqueo, los anfitriones bloqueados por alertas de Snort, y así sucesivamente. Por defecto es de 200.000 entradas. Si el cortafuego tiene
características habilitadas que puede cargar grandes bloques de espacio de direcciones en alias como alias URL de tabla o el paquete pfBlocker, a continuación, aumentar este
valor para cómodamente incluir al menos el doble de la cantidad total de entradas contenidas en todos los alias combinados.
Firewall máxima Fragmento entradas
Cuando se habilita fregar el cortafuego mantiene una tabla de fragmentos de paquete en espera de ser vuelto a montar. Por defecto esta tabla puede contener fragmentos
de 5000. En casos raros una red puede tener una tasa inusualmente alta de paquetes fragmentados que

puede requerir más espacio en esta tabla. Cuando se alcanza este límite, el siguiente mensaje de registro aparecerá en el registro de sistema principal:
kernel: [Zona: entradas de fragmentación PF] entradas de fragmentación PF alcanzado el límite
Filtrado de rutas estáticas
los reglas fi cortafuego bypass para tráfico c en la misma interfaz opción se aplica si el cortafuego tiene una o más rutas estáticas de fi nido. Si esta opción está
activada, trá fi co que entra y sale a través de la misma interfaz no se comprobará por el cortafuego. Esto puede ser necesario en situaciones en que varias
subredes están conectadas a la misma interfaz, para evitar el bloqueo tráfico c que se pasa a través del cortafuego en una única dirección debido a enrutamiento
asimétrico. Ver Derivación de reglas de firewall para trá fi co en una misma interfaz para una discusión más a fondo sobre ese tema.
Desactivar reglas VPN añadido Auto
Por defecto, cuando IPsec está habilitado reglas fi cortafuego se añaden automáticamente a la interfaz adecuada que permitirá el túnel de establecer. Cuando Desactivar
reglas VPN añadido Auto está marcada, el cortafuego no añadirá automáticamente estas normas. Al desactivar estas reglas automáticas, el administrador fi cortafuegos
tiene control sobre lo que se les permite dos direcciones para conectarse a una VPN. Para más información sobre estas reglas se puede encontrar en VPN y reglas del
cortafuegos .
Responder a desactivar
En amulti-WAN con fi guración del cortafuego tiene un comportamiento por defecto fi benéfico que asegura trá fi co sale de la misma interfaz que llegó a través. Esto
se logra usando la palabra clave PF responder a que se añade automáticamente a la interfaz reglas cortafuego pestaña fi para interfaces de tipo WAN. Cuando una
conexión coincide con una regla responder a, el cortafuego recuerda el camino a través del cual se realizó la conexión y rutas fi respuesta el tráfico de nuevo a la puerta
de entrada para esa interfaz c.
Propina: las interfaces de tipo WAN son interfaces que tienen un conjunto de puerta de enlace en su Interfaces Menú de entrada de con fi guración, o interfaces que tienen una
puerta de enlace dinámico, como DHCP, PPPoE, o asignado OpenVPN, GIF o interfaces de GRE.
En situaciones como puente, este comportamiento no es deseable si la dirección IP WAN puerta de entrada es diferente de la dirección de puerta de enlace IP de los hosts
detrás de la interfaz de puente. Desactivación responder a permitirá a los clientes comunicarse con la pasarela adecuada.
Otro caso que tiene problemas con responder a implica el enrutamiento estático a otros sistemas en una subred más grande WAN. invalidante responder a en este caso sería
ayudar a asegurar que las respuestas vuelven al router adecuado en lugar de ser redirigida hacia la puerta de entrada.
Este comportamiento también se puede desactivar en las reglas fi cortafuego individuales más que a nivel mundial el uso de esta opción.
Desactivar reglas Negate
En una multi-WAN con fi guración de trá fi co de redes conectadas directamente y redes VPN normalmente debe todavía fluir correctamente cuando se utiliza la política de
enrutamiento. pfSense insertará reglas para pasar este tráfico VPN local y fi c sin una puerta de enlace específica ed, para mantener la conectividad. En algunos casos, estas
reglas de negación pueden coincidir sobre-tra fi co y permitir que más de lo previsto.
Propina: Se recomienda crear reglas de negación manuales en la parte superior de las interfaces internas, tales como LAN. Estas reglas deben pasar a destinos locales y VPN sin una
puerta de entrada fijado en la norma, en honor a la tabla de enrutamiento del sistema. Estas reglas no tienen que estar en la cima de las normas de interfaz, pero deben estar por encima
de las reglas que tienen un conjunto de puerta de enlace.

Alias de nombres de host Resolver Intervalo
Esta opción controla la frecuencia con nombres de host en los alias se resuelven y actualizados por el filterdns demonio. Por defecto es 300 segundos (5 minutos). En Con
fi guración con un pequeño número de nombres de host o un servidor DNS / baja carga rápida, disminuir este valor para recoger los cambios más rápido.
Compruebe Certi fi cado de direcciones URL Alias
Cuando Verificar HTTPS certi fi cados al descargar alias URL se establece, el cortafuego requerirá un HTTPS certi fi cado válido para los servidores web utilizados en
los alias de tabla URL. Este comportamiento es más seguro, pero si el servidor web es privada y usa un certi fi cado autofirmado, puede ser más conveniente hacer
caso omiso de la validez del certi fi cado y permitir que los datos sean descargados.
Advertencia: Siempre recomendamos el uso de un certi fi cado del servidor con una cadena válida de confianza para este tipo de papel, en lugar de debilitar la seguridad al
permitir que un certificado autofirmado.
Bogon Redes
los Frecuencia de actualización desplegable para Bogon Redes controla la frecuencia de actualización de estas listas. Más informa- ción en las redes Bogon puede
encontrarse en redes de bloques Bogon .
Traducción de Direcciones de Red
NAT La reflexión de puerto reenvía
los NAT Re modo de reflexión para los delanteros del puerto opción controla cómo se aplica NAT reflexión es manejado por el cortafuego. Estos NAT redirigir reglas permiten a los
clientes acceder puerto remite utilizando las direcciones IP públicas sobre el cortafuego desde dentro de las redes internas locales.
Ver también:
Referirse a NAT La reflexión para una discusión sobre el fondo de NAT La reflexión cuando se compara con otras técnicas tales como DNS dividido.
Hay tres modos posibles de NAT La reflexión:
Discapacitado El valor por defecto. Cuando se desactiva, puerto remite sólo son accesibles desde WAN y no de
dentro de las redes locales.
pura NAT Este modo utiliza un conjunto de reglas de NAT para dirigir paquetes al destino del puerto hacia delante. tiene
mejor escalabilidad, pero debe ser posible determinar con precisión la dirección de la interfaz y la puerta de enlace IP utilizado para la comunicación
con el objetivo en el momento se cargan las reglas. No hay límites inherentes al número de puertos que no sean los límites de los protocolos. Todos
los protocolos disponibles para los delanteros de puertos son compatibles.
Cuando se activa esta opción, Automático de salida NAT para la reflexión También debe habilitarse si los clientes y los servidores
están en la misma red local.
NAT + Proxy NAT + Proxy modo utiliza un programa de ayuda para enviar paquetes a la meta del puerto hacia delante.
La conexión es recibida por la re fl exión demonio y actúa como un proxy, creando una nueva conexión con el servidor local. Este
comportamiento se pone una carga mayor en el cortafuego, pero es útil en configuraciones donde la interfaz y / o la dirección IP de la
pasarela se utiliza para la comunicación con el objetivo no puede determinarse con precisión en el tiempo se cargan las reglas. NAT + Proxy re
fl exión reglas no se crean para los rangos

mayor de 500 puertos y no será utilizado durante más de 1000 puertos en total entre todos los desvíos de puerto. Sólo hacia delante del puerto TCP
son compatibles.
reglas NAT individuales tienen la opción de anular el NAT mundial reflexión con fi guración, por lo que pueden tener NAT reflexión forzado dentro o fuera sobre
una base caso por caso.
Reflexión Tiempo de espera
los Reflexión Tiempo de espera ajuste de fuerza a un tiempo de espera en las conexiones realizadas al realizar NAT reflexión para los delanteros del puerto de NAT + Proxy modo.
Si las conexiones se quedan abiertos y recursos que consumen, esta opción puede mitigar este problema.
NAT La reflexión de 1: 1 NAT
Cuando se activa, esta opción agrega re fl adicional normas exión que permiten el acceso a 1: 1 asignaciones de vestidos ad-IP externas de las redes internas.
Esto proporciona la misma funcionalidad que ya existe para los delanteros del puerto, pero para 1: 1 NAT. Hay escenarios de enrutamiento complejas que
pueden hacer que esta opción ineficaz. Esta opción sólo afecta a la entrante ruta de 1: 1 NAT, no saliente. El estilo regla subyacente es similar a la pura NAT Modo
de puerto remite. Al igual que con puerto remite, hay opciones por entrada para anular este comportamiento.
Automático de salida NAT para la reflexión
Cuando se activa, esta opción crea automáticamente reglas NAT salientes que ayudan reglas reflexión que dirigen trá fi co de vuelta a la misma subred desde la que
se originó. Estas reglas adicionales permiten puro NAT y 1: 1 NAT reflexión a funcionar plenamente cuando los clientes y los servidores están en la misma subred. En
la mayoría de los casos, esta casilla debe estar marcada para NAT reflexión a trabajar.
Nota: Este comportamiento es necesario porque cuando los clientes y servidores se encuentran en la misma subred, la fuente c fi tráfico se debe cambiar para que
la conexión parece originarse desde el cortafuego. De lo contrario, el retorno de trá fi co pasará por alto el cortafuego y la conexión no tendrá éxito.
TFTP Proxy
El built-in de proxy TFTP se pueden citar las conexiones del poder a los servidores TFTP fuera del cortafuego, de modo que las conexiones de clientes a
servidores remotos TFTP. Ctrl-clic o shift-clic para seleccionar varias entradas de la lista. Si se eligen ninguna interfaz, el servicio TFTP proxy está desactivada.
Tiempos de espera estatales
los Tiempo de espera de estado sección permite definir un ajuste de los tiempos de espera de estado para varios protocolos. Estos son típicamente manejados automáticamente por el
cortafuego y los valores son dictadas por el Opciones de optimización de firewall Opciones. En casos raros, estos tiempos de espera pueden necesitar ajustado hacia arriba o hacia abajo para
dar cuenta de las irregularidades en el comportamiento del dispositivo o necesidades de sitio-específico. Todos los valores se expresan en segundos, y controlar la duración de una conexión en
ese estado se retiene en la tabla de estado.
Ver también:
La información en las siguientes opciones Referencia condiciones de estado cortafuego como se describe en Interpretación Unidos .
En primer lugar TCP El primer paquete de una conexión TCP.

Apertura TCP El estado antes de que el host de destino ha respondido (por ejemplo, SYN_SENT: CERRADO).
TCP establecida Una conexión TCP establecida en el que el enlace de tres vías se ha completado.
Cierre TCP Un lado ha enviado un paquete TCP FIN.
TCP FINWait Ambas partes han intercambiado paquetes FIN y la conexión se está cerrando. Algunos
servidores pueden continuar enviando paquetes durante este tiempo.
TCP cerrada Un lado ha enviado un restablecimiento de conexión de paquetes (TCP RST).
En primer lugar UDP El paquete UDP primera de una conexión se ha recibido.
UDP individual El anfitrión fuente ha enviado un solo paquete pero el destino no ha respondido (por ejemplo,
INDIVIDUAL: NO_TRAFFIC).
múltiple UDP Ambas partes han enviado paquetes.
En primer lugar ICMP Un paquete ICMP se ha recibido.
ICMP de error Un error ICMP se ha recibido en respuesta a un paquete ICMP.
Otro Primero, otra individual, otra Múltiple Lo mismo que UDP, pero para otros protocolos.
pestaña redes
Opciones IPv6
Permitir IPv6
Cuando el Permitir IPv6 opción no está marcada, todos IPv6 trá fi co será bloqueado.
Esta opción está activada de forma predeterminada en las nuevas configuraciones fi para que el cortafuego es capaz de transmitir y recibir tráfico IPv6 c si las reglas
permiten que pase. Esta opción controla un conjunto de reglas de bloqueo que impiden IPv6 tráfico c de ser manejado por el cortafuego para permitir la compatibilidad
con fi guraciones importados de o actualizado de versiones de pfSense mayores de 2,1.
Nota: Esta opción no desactiva las funciones IPv6 o evitar que sea con fi gurado, que sólo controla trá fi co flujo.
IPv6 sobre IPv4 de túnel
los Habilitar IPv4 NAT encapsulación de paquetes IPv6 opción permite protocolo IP 41 / RFC 2893 de reenvío a una dirección IPv4 especificados en el dirección
IP campo.
Cuando con fi gurado, este reenvía todas las llamadas entrantes protocolo 41 / IPv6 trá fi co a un host detrás de esta fi cortafuegos en vez de manejar de forma local.
Propina: La activación de esta opción no añadir reglas fi cortafuego para permitir el protocolo 41 de trá fi co. Una regla debe existir en la interfaz WAN para permitir que el
tráfico pase a través de c para el host receptor local.
Prefiero IPv4 sobre IPv6
Cuando se establece, esta opción hará que el cortafuego sí mismo preferir el envío de trá fi co con direcciones IPv4 en lugar de IPv6 anfitriones cuando una consulta DNS devuelve los resultados
para ambos.

En casos excepcionales cuando el cortafuego ha configurada parcialmente con fi, pero no totalmente enrutados, IPv6 esto puede permitir que el cortafuego para continuar llegando a los servidores
de Internet a través de IPv4.
Nota: Esta opción controla el comportamiento de la ficción en sí, tales como cortafuegos cuando hay actualizaciones de votación, la instalación de paquetes, reglas de descarga, y traer
otros datos. Que no puede influir en el comportamiento de los clientes detrás del cortafuego.
Interfaces de red
sondeo dispositivo
Advertencia: polling dispositivo tiene un efecto perjudicial en el hardware moderno y es innecesario, disminuyendo Mance perfor- y causando varios
problemas. La opción se ha quitado de pfSense partir de la versión 2.4.
sondeo dispositivo es una técnica que permite que el sistema periódicamente los dispositivos de red de la encuesta para los nuevos datos en lugar de depender de las interrupciones.
Esto evita que el WebGUI cortafuego, SSH, etc. de ser inaccesible debido a interrumpir inundaciones cuando está bajo carga extrema, a costa de una mayor latencia. La necesidad
de la votación ha sido prácticamente eliminado gracias a los avances del sistema operativo y los métodos más e fi ciente de tratamiento de interrupciones, tales como MSI / MSIX.
Nota: Con el sondeo activada, aparecerá el sistema para utilizar el 100% de la CPU. Esto es normal, ya que el subproceso de sondeo es el uso de la CPU para buscar paquetes. El hilo de
votación se ejecuta con una prioridad inferior, de modo que si otros programas necesitan tiempo de CPU, será renunciar a ella, según sea necesario. El inconveniente es que esta opción
hace que el gráfico de la CPU menos útil.
Hardware suma de comprobación del oading fl
Cuando se activa, esta opción deshabilita la suma de comprobación de hardware de oading fl en las tarjetas de red. Suma de comprobación de oading fl suele ser beneficioso, ya que
permite la suma de comprobación que se calcula (saliente) o veri fi (entrante) en el hardware a un ritmo mucho más rápido de lo que podría ser manejado por software.
Nota: Cuando se habilita la suma de comprobación de oading fl, una captura de paquetes verá vacío (todo cero) o pabellón sumas de comprobación de paquetes incorrectos. Estos son usuales
para la manipulación de suma de control está sucediendo en el hardware.
Suma de comprobación de oading fl se rompe en algún hardware, en especial tarjetas Realtek y tarjetas virtuales / emulados como los relativos a Xen / KVM. Los síntomas
típicos de la suma de comprobación roto de oading fl incluyen paquetes y un rendimiento deficiente rendimiento dañados.
Propina: En los casos de virtualización como Xen / KVM puede ser necesario desactivar la suma de comprobación de oading fl en el host, así como la máquina virtual. Si el rendimiento es aún
pobre o tiene errores en este tipo de máquinas virtuales, cambiar el tipo de tarjeta de red, si es posible.
TCP hardware segmentación de oading fl
Al activar esta opción desactivará el hardware TCP segmentación de fl oading (TSO, TSO4, TSO6). TSO hace que el NIC para manejar paquetes de separarse en trozos de
tamaño MTU en lugar de la manipulación que a nivel de sistema operativo. Esto puede ser más rápido para servidores y aparatos, ya que permite que el sistema operativo de fl
OAD esa tarea a un hardware dedicado, pero cuando actúa como un cortafuego o enrutador este comportamiento es altamente indeseable ya que en realidad aumenta la carga
ya que esta tarea ya se ha realizado en otras partes de la red, rompiendo así el principio de extremo a extremo mediante la modificación de los paquetes que no se originaron en
este host.

Advertencia: Esta opción no es deseable para los routers y rewalls fi, pero puede beneficiarse estaciones de trabajo y los electrodomésticos. Se está desactivado por defecto, y debe
permanecer desactivado a menos que el cortafuego está actuando principalmente o exclusivamente en un papel Ance / punto final muy favorable.
No desactive esta opción a menos que lo indique expresamente por un representante de soporte. Este oading de fl se rompe en algunos controladores de hardware, y puede
afectar negativamente al rendimiento de las tarjetas de red y las funciones afectadas.
Hardware grande de recepción del oading fl
Al activar esta opción desactivará hardware de gran reciben de oading FL (LRO). LRO es similar a TSO, pero por el camino de entrada en lugar de saliente. Se permite
a la NIC recibir un gran número de paquetes más pequeños antes de pasarlos al sistema operativo como un trozo más grande. Esto puede ser más rápido para
servidores y aparatos, ya que de fl OAD lo que normalmente sería una tarea de procesamiento pesado a la tarjeta de red. Cuando actúa como un cortafuego o
enrutador esto es altamente indeseable ya que retrasa la recepción y envío de paquetes que no están destinados de este alojamiento, y que tendrá que ser dividido de
nuevo otra vez en el camino de ida, el aumento de la carga de trabajo de forma significativa y romper el principio de extremo a extremo.
Advertencia: Esta opción no es deseable para los routers y rewalls fi, pero puede beneficiarse estaciones de trabajo y los electrodomésticos. Se está desactivado por defecto, y debe
permanecer desactivado a menos que el cortafuego está actuando principalmente o exclusivamente en un papel Ance / punto final muy favorable.
No desactive esta opción a menos que lo indique expresamente por un representante de soporte. Este oading de fl se rompe en algunos controladores de hardware, y puede
afectar negativamente al rendimiento de las tarjetas de red y las funciones afectadas.
Suprimir los mensajes ARP
El cortafuego hace una entrada de registro en el registro del sistema principal cuando aparece una dirección IP para cambiar a una dirección MAC diferente. Esta entrada de
registro señala que el dispositivo se ha movido direcciones, y registra la dirección IP y las viejas y nuevas direcciones MAC.
Este evento puede ser un comportamiento completamente benigna (por ejemplo, la agrupación de NIC en un servidor de Microsoft, un dispositivo que está siendo sustituido) o un
problema del cliente legítimo (por ejemplo, IP conflicto), y podría aparecer constantemente o rara vez o nunca. Todo depende del entorno de red.
Recomendamos permitir estos mensajes ARP a ser impresos para iniciar la sesión, ya que hay una posibilidad de que reportará un problema digno de la atención de un
administrador de red. Sin embargo, si el entorno de red contiene sistemas que generan estos mensajes mientras se opera con normalidad, suprimiendo los errores pueden
hacer que el registro del sistema más útil, ya que no va a estar atestado de mensajes de registro que no sean necesarios.
Ficha Varios
El soporte de proxy
Si este fi cortafuegos reside en una red que requiere un proxy para acceder a Internet saliente, introduzca las opciones de proxy en esta sección para que las solicitudes del
cortafuego para artículos tales como paquetes y actualizaciones se enviarán a través del proxy.
URL del proxy
Esta opción especi fi ca la ubicación del proxy para realizar las conexiones externas. Debe ser una dirección IP o un nombre de dominio totalmente calificado fi cado.

Puerto proxy
El puerto a usar cuando se conecta a la URL del proxy. Por defecto es el puerto 8080 para las direcciones URL de proxy HTTP, y 443 para las direcciones URL de proxy SSL. El puerto
está determinada por el proxy, y puede ser un valor diferente del todo (por ejemplo, 3128). Consulte con el administrador del proxy para hallar el valor del puerto adecuado.
Nombre de usuario de proxy
Si es necesario, este es el nombre de usuario que se envía para la autenticación de proxy.
Contraseña de proxy
Si es necesario, esta es la contraseña asociada con el nombre de usuario establecido en la opción anterior.
Balanceo de carga
Conexiones pegajosas
Cuando pfSense se dirige a realizar el equilibrio de carga, las conexiones sucesivas serán redirigidos de manera round-robin a un servidor web o puerta de enlace, el
equilibrio de la carga en todos los servidores o caminos disponibles. Cuando Conexiones pegajosas está activo se cambia este comportamiento para que las conexiones de la
misma fuente se envían al mismo servidor web o a través de la misma puerta de enlace, en lugar de ser enviado de una forma round-robin puramente.
Conexiones pegajosas afecta el equilibrio tanto de carga saliente (Multi-WAN), así como el equilibrio de carga de servidor cuando ES- abled. Esta asociación “pegajosa”
existirá siempre que los estados están en la tabla para las conexiones desde una dirección de origen dado. Una vez que los estados para esa fuente de expirar, también
lo hará la asociación pegajosa. Más conexiones desde que host de origen serán redirigidos al siguiente servidor web en la piscina o en la siguiente puerta de enlace
disponible en el grupo. Para fi tráfico saliente c usando un grupo de puerta de enlace de equilibrio de carga, la asociación pegajosa es entre el usuario y una puerta de
enlace. Mientras la dirección local tiene estados en la tabla de estado, todas sus conexiones fluirá fuera de una única puerta de enlace. Esto puede ayudar con
protocolos como HTTPS y FTP, donde el servidor puede ser estrictos con todas las conexiones procedentes de la misma fuente, o cuando una conexión de entrada
adicional debe ser recibido de la misma fuente. La desventaja de este comportamiento es que el equilibrio no es tan e fi ciente, un gran consumidor podría dominar una
sola WAN en lugar de tener sus conexiones hacia fuera.
Para el equilibrio de carga del servidor, se describe adicionalmente en Servidor de equilibrio de carga , Conexiones adhesivas son deseables para aplicaciones que se basan en las mismas
direcciones IP de los servidores que se mantiene a lo largo de un determinado período de sesiones para un usuario. aplicaciones web de los servidores pueden no ser lo suficientemente
inteligente como para permitir una sesión de usuario que exista en varios servidores de back-end, al mismo tiempo, por lo que este permite al usuario alcanzar siempre el mismo servidor, siempre
y cuando se navega por un sitio. Este comportamiento puede no ser necesaria dependiendo del contenido del servidor.
Propina: Para obtener más control sobre cómo las conexiones de usuario están asociados con los servidores en un escenario de equilibrio de carga, considere utilizar el paquete HAProxy
en lugar de la incorporada en el relayd equilibrador de carga. HAProxy admite varios métodos de asegurando que los usuarios se dirigen adecuadamente a un servidor back-end.
los Tiempo de espera de seguimiento Fuente para los controles conexiones adhesivas cuánto tiempo se mantendrá la asociación pegajosa para un anfitrión después de la totalidad de los
estados de acogida que expirará. El valor es especificado en segundos. Por defecto, no se establece este valor, por lo que la asociación se retira tan pronto como los estados expiran. Si las
conexiones adhesivas parecen funcionar inicialmente, pero parecen detenerse por la mitad sesiones, aumentar este valor para mantener una asociación más tiempo. navegadores web a
menudo tienen conexiones abiertas por un tiempo ya que los usuarios están en un sitio, pero si hay una gran cantidad de tiempo de inactividad, las conexiones pueden estar cerrados y los
estados pueden caducar.

Puerta de enlace predeterminada de conmutación
Habilitar puerta de enlace predeterminada de conmutación permite a las puertas de enlace no predeterminadas adicionales para hacerse cargo de si el BE- puerta de enlace predeterminada viene
inalcanzable. Este comportamiento está desactivado por defecto. Con múltiples redes WAN, conmutación de la puerta de enlace predeterminada auto- máticamente se asegurará de que el
cortafuego siempre tiene una puerta de enlace predeterminada para que trá fi co de la ficción en sí cortafuegos puede salir a Internet para DNS, actualizaciones, paquetes y servicios añadidos
como el calamar.
Propina: Cuando se utiliza el Resolver DNS en el modo de no reenvío por defecto, se requiere conmutación de entrada de defecto para Multi-WAN funcione correctamente. Si el cambio de
puerta de enlace predeterminada no se puede utilizar, a continuación, considerar el uso de modo de reenvío en su lugar.
Hay casos donde la desconexión la puerta de enlace por defecto no es deseable, sin embargo, tales como cuando el cortafuego tiene puertas de enlace adicionales que no están
conectadas a Internet. En el futuro esta opción se ampliará para que pueda ser controlado en función de cada puerta de enlace.
Advertencia: Esta opción se sabe que no funcione correctamente con un tipo PPP WAN (PPPoE, L2TP, etc) como una puerta de enlace predeterminada.
Ahorro de energía
Cuando Habilitar PowerD está marcada, el powerd se inicia el demonio. Este demonio monitoriza el sistema y puede disminuir o aumentar la frecuencia de la CPU basado en la
actividad del sistema. Si los procesos necesitan el poder, se aumentará la velocidad de la CPU, según sea necesario. Esta opción reducirá la cantidad de calor de una CPU
genera, y también pueden disminuir el consumo de energía.
Nota: El comportamiento de esta opción depende en gran medida del hardware en uso. En algunos casos, la frecuencia de la CPU puede disminuir pero no tienen ningún efecto mensurable
sobre el consumo de energía y / o calor, mientras que otros se enfriarán y utilizar menos energía considerablemente. Se considera seguro para funcionar, pero se deja desactivada de forma
predeterminada a menos que se detecte el hardware soportado.
El modo de powerd también puede ser seleccionado para tres estados del sistema:
Alimentación de CA El funcionamiento normal conectado a la red.
Energía de la batería Modo de usar cuando el cortafuego está funcionando con batería. Soporte para la detección de energía de la batería
varía según el hardware.
Poder desconocido Modo utilizado cuando powerd no se puede determinar la fuente de alimentación. Existen cuatro modos de
opciones para cada uno de estos estados:
Máximo Mantiene el rendimiento lo más alto posible en todo momento.
Mínimo Mantiene el rendimiento en su nivel más bajo, para reducir el consumo de energía.
Adaptado Trata de equilibrar los ahorros por la disminución de rendimiento cuando el sistema está inactivo y el aumento
cuando hay mucha gente.
Hiadaptive Similar a adaptativos pero afinado para mantener un alto rendimiento a costa de una mayor potencia de con-
el consumo. Eleva la frecuencia de la CPU más rápida y lo deja caer más lento. Este es el modo por defecto.
Nota: Algunos de hardware requiere powerd corriendo a funcionar a su máxima frecuencia de la CPU alcanzable. Si el dispositivo de fi cortafuegos no tiene powerd permitido
pero siempre corre a lo que parece ser una baja frecuencia de la CPU, activar powerd
y ponerlo a Máximo durante al menos el Alimentación de CA estado.

Perro guardián
Fi cierto hardware incluye un cortafuegos Perro guardián característica que puede restablecer el hardware cuando el daemon de vigilancia ya no puede interactuar con el hardware
después de un tiempo de espera de fi cado. Esto puede aumentar la fiabilidad restableciendo una unidad cuando un bloqueo duro se encontró que de otro modo podrían requerir
intervención manual.
La desventaja de cualquier vigilancia de hardware es que cualquier su fi cientemente sistema ocupado puede ser indistinguible de uno que ha sufrido un bloqueo duro.
Enable Watchdog Cuando se selecciona, el watchdogd daemon se ejecuta que intenta trabar sobre una SUP-
dispositivo de vigilancia de hardware portado.
Tiempo de espera de vigilancia El tiempo, en segundos, después de lo cual el dispositivo se restablecerá si no responde a
una solicitud de vigilancia. Si un cortafuego regularmente tiene una carga alta y activa accidentalmente el organismo de control, aumente el tiempo de espera.
Criptográfica y Hardware térmica
hardware criptográfico
Hay algunas opciones disponibles para acelerar las operaciones de cifrado a través de hardware. Algunos están construidos en el núcleo, y otros son
módulos cargables. Un módulo opcional se puede seleccionar aquí: AES-NI ( Advanced Encryption Standard, New Instructions). Si AES-NI aceleración
basada CPU ( aesni) se elige, entonces su módulo del kernel se carga cuando se guarda, y en el arranque. los aesni módulo acelerar las operaciones de
AES-GCM, disponible en IPsec. Soporte para AES-NI está integrada en muchos Intel reciente y algunos CPUs AMD. Consulte con el OEM para CPU fi co
o soporte SoC.
Velocidades con AES-NI variar según el apoyo de software subyacente. Algunos programas de software basados en OpenSSL como OpenVPN puede llevar a cabo de
manera diferente con AES-NI descargada desde OpenSSL ha incorporado soporte para AES-NI. apoyo IPsec será mucho mayor con cargado proporcionado AES-NI que
se utiliza AES-GCM y correctamente con fi gurado. Estos controladores gancho en el crypto (9) marco en FreeBSD, por lo que muchos aspectos del sistema utilizará
automáticamente la aceleración para cifrados soportados.
Hay otros dispositivos criptográficos compatibles, como hifn (4) y ubsec (4). En la mayoría de los casos, si se detecta un chip acelerador apoyado, se muestra en el Información
del sistema widget en el tablero de instrumentos.
Los sensores térmicos
pfSense puede leer los datos de temperatura de unas pocas fuentes que se mostrará en el tablero de instrumentos. Si el cortafuego tiene una CPU compatible, la selección de un
sensor térmico se carga el controlador apropiado para leer su temperatura. Los siguientes tipos de sensores son compatibles:
Ninguno / ACPI El cortafuego intentará leer la temperatura de una placa base compatible con ACPI
sensor si uno está presente, de lo contrario no hay lecturas de los sensores están disponibles.
núcleo Intel Carga el coretemp módulo que soporta la lectura de los datos térmicos del núcleo de la serie Intel
CPUs y otras CPU Intel moderna, utilizando sus sensores en el chip, incluyendo procesadores basados en Atom.
AMD K8, K10, K11 y Carga el amdtemp módulo que soporta la lectura de los datos térmicos de mo-
CPUs AMD ern utilizando sus sensores en el chip.
Si el cortafuego no tiene un chip sensor térmico soportado, esta opción no tendrá ningún efecto. Para descargar el módulo seleccionado, establezca esta opción Ninguno /
ACPI y luego reiniciar el sistema.
Nota: los coretemp y amdtemp módulos reportan datos térmicos directamente desde el núcleo de la CPU. Esto puede o no puede

ser indicativa de la temperatura en otras partes del sistema. temperaturas de caso pueden variar mucho de las temperaturas en el dado de la CPU.
horarios
los No matar conexiones cuando expira horario opción controla si los Estados se borran cuando una regla ULed sched- transición a un estado que
bloquearía trá fi co. Si no se controla, las conexiones se terminan cuando ha transcurrido el tiempo previsto. Si se selecciona, las conexiones se dejan
solos y no se cerrarán automáticamente por el cortafuego.
Monitoreo de puerta de enlace
Claro Unidos Cuando una puerta de enlace es de Down
Cuando se utiliza multi-WAN, por defecto el proceso de supervisión no Enjuagar los estados fl cuando una puerta de entrada entra en un estado hacia abajo. estados de lavado para cada
evento de puerta de enlace pueden ser perjudiciales en situaciones en las que una puerta de entrada es inestable. los Vaciar todos los estados cuando un gateway falla opción anula el
comportamiento por defecto, la limpieza de los estados de todas conexiones existentes cuando alguna puerta de enlace falla. estados de compensación puede ayudar a redirigir tráfico c
para conexiones de larga vida tales como VoIP registros de teléfono / tronco a otro WAN, pero también pueden interrumpir las conexiones en curso si una puerta de entrada Minoritarias es
fl apping que todavía matar a todos los estados cuando falla. Más información sobre cómo este impactos multi-WAN se puede encontrar en Matar Estado / conmutación forzada .
Nota: Cuando esto se activa, toda la tabla de estado se borra. Esto es necesario porque no es posible matar a todos los estados de la WAN en su defecto y
los estados del lado LAN asociadas con la WAN no. Extracción de los estados en el lado WAN sola no es efectiva, los estados de la LAN debe ser limpiado
también.
Saltar Reglas Cuando Gateway es de Down
De manera predeterminada, cuando una regla tiene una puerta de entrada conjunto específico y esta pasarela se ha reducido, la puerta de entrada se omite de la regla y trá fi co se envía a través
de la puerta de enlace predeterminada. los No crear reglas cuando la puerta de enlace se ha reducido opción anula ese comportamiento y toda la regla se omite en el conjunto de reglas cuando la
pasarela está abajo. En lugar de fl debido a través de la puerta de enlace predeterminada, el trá fi co coincidirá con una regla diferente en su lugar. Esto es útil si trá fi co sólo se debe utilizar
siempre una especificidad c WAN y nunca flujo por encima de cualquier otra WAN.
Propina: Cuando se utiliza esta opción, cree una regla de rechazo o bloque debajo de la regla de política de enrutamiento con los mismos coinciden con los criterios. Esto evitará que el
tráfico c desde potencialmente búsqueda de otras reglas por debajo de ella en el conjunto de reglas, y teniendo un camino no intencionado.
Configuración del Disco RAM
Los / tmp y / var directorios se utilizan para la escritura de los archivos y el almacenamiento de datos que es temporal y / o volátil. El uso de un disco RAM puede reducir la cantidad de escritura
que ocurre en los discos del cortafuego. Los SSD modernos no tienen preocupaciones de escritura en disco como unidades antiguas hicieron una vez, pero todavía pueden ser una preocupación
cuando se ejecuta desde el almacenamiento de cenizas fl calidad inferior, tal como las memorias USB.
Este comportamiento tiene el beneficio de mantener la mayor parte de las escrituras fuera del disco en el sistema base, pero los paquetes todavía puede escribir con frecuencia en el
disco duro. También requiere manipulación adicional para asegurar que los datos como gráficos RRD y concesiones DHCP se retienen en los reinicios. Los datos para los dos se
guarda durante un apagado o reinicio adecuado, y también periódicamente si con fi gurado.

Utilice discos RAM Cuando se activa, un disco de memoria se crea en el momento del arranque de / tmp y / var / y el
estructura asociada se inicializa. Cuando se activa esta opción, se requiere un reinicio y obligó al guardar.
/ Tmp Tamaño Disco RAM El tamaño de la / tmp disco RAM, en MiB. El valor por defecto es 40, pero debe ser
fija más alto si hay RAM disponible.
/ Var Tamaño Disco RAM El tamaño de la / var disco RAM, en MiB. El valor por defecto es 60, pero debe ser
fijan mucho mayor, especialmente si se utilizan paquetes. 512-1024 es un mejor punto de partida, dependiendo de la RAM fi cortafuegos
disponibles.
Periódica de copia de seguridad RRD El tiempo, en horas, entre copias de seguridad periódicas de los archivos RRD. Si el cortafuego es
reiniciado inesperadamente, la última copia de seguridad se restaura cuando se inicia el fi cortafuego copia de seguridad. Cuanto menor sea el valor, menos los
datos que se perderán en ese caso, pero las copias de seguridad más frecuentes escribir más en el disco.
DHCP periódica Arrendamientos de copia de seguridad El tiempo, en horas, entre copias de seguridad periódicas de la concesión DHCP
bases de datos. Si el cortafuego se reinicia inesperadamente, la última copia de seguridad se restaura cuando se inicia el fi cortafuego copia de seguridad. Cuanto
menor sea el valor, menos los datos que se perderán en ese caso, pero las copias de seguridad más frecuentes escribir más en el disco.
Advertencia: Aparte de los puntos mencionados anteriormente, hay varios elementos que tener cuidado con la hora de elegir si desea o no utilizar la opción de disco
RAM. Se usa incorrectamente, esta opción puede conducir a la pérdida de datos o de otros fallos inesperados.
Los registros del sistema se llevan a cabo en / var pero no están respaldados como las bases de datos RRD y DHCP. Los registros se restablezca fresco en cada
reinicio. Para los registros persistentes, utilizar syslog remoto para enviar los registros a otro dispositivo en la red.
Los paquetes no pueden explicar correctamente el uso de discos RAM, y pueden no funcionar adecuadamente en el arranque o en otras formas. Pruebe cada
paquete, incluyendo si o no funciona inmediatamente después de un reinicio. Estos son los discos RAM, por lo que la cantidad de RAM disponible para otros
programas serán reducidos por la cantidad de espacio utilizado por los discos RAM. Por ejemplo si el cortafuego tiene 2 GB de RAM, y tiene 512 MB para / var y
512 MB de
/ Tmp, entonces sólo 1 GB de RAM estará disponible para el sistema operativo para uso general.
Especial cuidado debe ser tomado al elegir un tamaño de disco, que se discute en la siguiente sección.
RAM tamaños de disco
Configuración de un tamaño demasiado pequeño para / tmp y / var puede realizar copias de fuego, especialmente cuando se trata de paquetes. Los tamaños
sugeridos en la página son una mínimo absoluto y con frecuencia se requieren tamaños mucho más grandes. El fallo más común es que cuando se instala un
paquete, y partes de los lugares paquete táctiles en tanto / tmp y / var y en última instancia, puede llenar el disco RAM y causar otros datos que se perdieron. Otro
fallo común es la creación / var como un disco RAM y luego olvidarse de mover una caché de calamar a un lugar fuera de / var - si no se controla, será llenar el
disco RAM. Por / tmp, un mínimo de 40 Se requiere MiB. Por / var un mínimo de 60 Se requiere MiB. Para determinar el tamaño adecuado, comprobar el uso
actual de la / tmp y / var directorios antes de hacer un cambio. Comprobar el uso de varias veces en el transcurso de unos pocos días, así que no se detecta en un
punto bajo. Viendo el uso durante una instalación del paquete añade otro punto de datos útiles.
Tab optimizables del sistema
los sistema optimizables lengüeta debajo Sistema> Avanzado proporciona un medio para establecer en tiempo de ejecución tunables sistema FreeBSD, también conocido como sysctl
OID. En casi todos los casos, se recomienda dejar estos sintonizables en sus valores por defecto. los administradores de cortafuegos familiarizadas con FreeBSD, o los usuarios Si lo
hace, bajo la dirección de un representante desarrollador o de apoyo, pueden querer ajustar o agregar valores en esta página para que se establecerán como se inicia el sistema.

Nota: Los sintonizables en esta página son diferentes de Cargador de optimizables. cargador de optimizables son de sólo lectura valora una vez que el sistema ha
arrancado, y esos valores se debe establecer en / boot / loader.conf.local.
Creación y edición de optimizables
Para editar una sintonizable existente, haga clic .
Para crear un nuevo sintonizable, haga clic Nuevo Al inicio de la lista.
Al editar o crear un sintonizable, los siguientes campos están disponibles:
sintonizable los sysctl OID para establecer
Valor El valor al que el sintonizable se establecerá.
Nota: Algunos valores tienen requisitos de formato. Debido a la gran cantidad de OID sysctl, la interfaz gráfica de usuario no valida que el
dado Valor trabajará para el elegido Sintonizable.
Descripción Una descripción opcional para la referencia. Hacer clic Salvar cuando
el formulario se ha completado.
OID sintonizables y Valores
Hay muchas posibles OID de sysctl, algunos de ellos pueden cambiarse, algunos son de sólo lectura salidas, y otros deben establecer antes de que arranque el sistema
como cargador optimizables. La lista completa de los OID y sus posibles valores está fuera del alcance de este libro, pero para aquellos interesados en cavar un poco
más profundo, el sysctl página del manual de FreeBSD contiene instrucciones detalladas e información.
noti fi caciones
pfSense notifica al administrador de eventos y errores importantes al mostrar una alerta en la barra de menús, indicado por
el icono. pfSense también puede enviar estas noti fi caciones de forma remota a través de correos electrónicos utilizando SMTP o vía Growl.
El correo electrónico SMTP
E-mail noti fi caciones son entregados por una conexión SMTP directa a un servidor de correo. El servidor debe ser con fi gurada para permitir la retransmisión desde el
cortafuego o aceptar conexiones SMTP autenticadas.
Desactivar SMTP Cuando se activa, no se enviarán SMTP noti fi caciones. Esto es útil a los cationes fi silencio NotI
mientras se mantiene la configuración de SMTP en su lugar para su uso por otros fines, tales como paquetes que utilizan el correo electrónico.
servidor de correo electrónico El nombre de host o IP del servidor de correo electrónico a través del cual las noti fi caciones será
expedido.
Puerto SMTP del servidor de correo electrónico El puerto para la comunicación con el servidor SMTP. la mayor parte
puertos comunes son 25 y 587. En muchos casos, 25 no funcionará a menos que sea a un servidor de correo local o interna. Proveedores de
frecuencia bloquean las conexiones de salida en el puerto 25, a fin de utilizar 587 (el puerto de Envío) cuando sea posible.
Tiempo de espera de conexión al servidor de correo electrónico La cantidad de tiempo, en segundos, que el cortafuego esperará para una
conexión SMTP para completar.

Conexión segura SMTP Cuando se establece, el cortafuego intentará una conexión SSL / TLS para enviar
correo electrónico. El servidor debe tener un certificado SSL válido fi cado y aceptar conexiones SSL / TLS.
De la dirección de correo electrónico La dirección de correo electrónico que se utilizará en el De: cabecera, que especi fi ca la
fuente del mensaje. Algunos servidores SMTP intento de validar esta dirección por lo que la mejor práctica es utilizar una dirección real en
este campo. Esto se establece habitualmente a la misma dirección que Notificación de E-mail.
Notificación E-mail La dirección de correo electrónico para el A: encabezado del mensaje, que es el DES-
nación en la que los correos electrónicos de noti fi cación serán entregados por el cortafuego.
Notificación por correo electrónico de autenticación Nombre de usuario Opcional. Si el servidor de correo requiere un nombre de usuario y la contraseña para
autenticación, introduzca el nombre de usuario aquí.
Notificación por correo electrónico de autenticación de contraseña Opcional. Si el servidor de correo requiere un nombre de usuario y la contraseña para
autenticación, introduzca la contraseña aquí y en la confirmación de campo.
Notificación de correo electrónico Mecanismo de autenticación Este campo específico es el mecanismo de autenticación requerido por el
servidor de correo. La mayoría de los servidores de correo electrónico trabajan con LLANURA autentificación, otros, como Microsoft Exchange pueden requerir INICIAR
SESIÓN autentificación estilo.
Hacer clic Salvar para almacenar la configuración antes de proceder.
Hacer clic Configuración SMTP prueba para generar una fi cación NotI prueba y enviarlo a través de SMTP utilizando la previamente almacenada
ajustes. Guardar las opciones antes de hacer clic en este botón.
Puesta en marcha / sonido Shutdown
Si el hardware fi cortafuegos tiene un altavoz de PC pfSense se reproduzca un sonido cuando se inicie acabados y otra vez cuando se inicia una parada. Comprobar Deshabilitar
el inicio / parada pitido para evitar que el cortafuego de jugar estos sonidos.
Gruñido
Growl proporciona un método discreto de la entrega de cationes fi caciones escritorio. Estas noti fi caciones pop-up en un escritorio y luego ocultar o desaparecer.
Growl está disponible en la tienda de aplicaciones para Mac OS X , Y está disponible en ventanas y
FreeBSD / Linux así como.
Desactivar fi caciones Growl Noti Cuando se selecciona, el cortafuego no enviará Growl noti fi caciones.
Nombre de registro El nombre del servicio del cortafuego utilizará para registrarse en el servidor de Growl. Por defecto
esto es pfSense-Growl. Considere esto como el tipo de NotI fi cación como se ve por el servidor Growl.
Notificación Nombre El nombre del sistema que produce cationes fi caciones. El valor por defecto de pfSense
rugido de alerta puede ser su fi ciente, o personalizarlo con el nombre de host fi cortafuegos o cualquier otro valor para que sea distinta.
Dirección IP La dirección IP a la que el cortafuego enviará Growl Noti fi caciones.
Contraseña La contraseña requerida por el servidor de Growl.
Hacer clic Salvar para almacenar la configuración antes de proceder.
Hacer clic Ajustes de prueba Growl enviar una noti fi cación de prueba a través de Growl utilizando la configuración guardada anteriormente. Guardar antes de intentar una prueba.

Información básica del menú de la consola
tareas básicas con fi guración y mantenimiento se pueden realizar desde la consola del sistema. La consola está disponible utilizando un teclado y un monitor, consola serie, o
mediante el uso de SSH. Los métodos de acceso varían dependiendo del hardware. A continuación se muestra un ejemplo de lo que el menú de la consola se verá así, pero
puede variar ligeramente dependiendo de la versión y de la plataforma:
* * * Bienvenido a pfSense 2.4.0-RELEASE (amd64) en pfSense ***
WAN (wan) - > vmx0 - > v4 / DHCP4: 198.51.100.6/24 v6 / DHCP6: 2001: db8 :: 20c: 29ff: fe78: 6e4e /
64
LAN (LAN) - > vmx1 - > v4: 10.6.0.1/24
v6 / t6: 2001: db8: 1: eea0: 20c: 29ff: fe78: 6e58 / 64
0) Salir (sólo SSH) 9) pfTop

1) Interfaces Asignar 10) Los registros de filtro
2) la interfaz conjunto (s) dirección IP 11) de reinicio webConfigurator
3) Cambiar contraseña webConfigurator 12) herramientas de shell PHP + pfSense
4) Restablecer los valores predeterminados de fábrica 13) Actualización de la consola
5) Sistema de reinicio 14) Disable Secure Shell (sshd)
6) Sistema de Halt 15) Restaurar configuración reciente
7) anfitrión Ping 16) de reinicio PHP-FPM
8) Shell
asignar Interfaces
Esta opción reinicia el Asignación de interfaz tarea, que se cubre en detalle en asignar Interfaces y La asignación manual de Interfaces . Esta opción de
menú puede crear interfaces VLAN, reasignar las interfaces existentes, o asignar nuevos.
la interfaz conjunto (s) dirección IP
La secuencia de comandos para configurar una dirección IP de la interfaz puede establecer WAN, LAN, o direcciones IP de interfaz OPT, pero también hay otras características útiles de este
script:
• El cortafuego le pide para activar o desactivar el servicio DHCP para una interfaz, y para establecer el rango de direcciones IP de DHCP si está activado.
• Si la interfaz gráfica de usuario fi cortafuegos es con fi gurado para HTTPS, las indicaciones del menú para cambiar a HTTP. Esto ayuda en casos en que la con fi guración SSL no está
funcionando correctamente.
• Si la regla anti-bloqueo de LAN ha sido desactivado, la secuencia de comandos permite a la regla anti-bloqueo en caso de que el usuario ha sido bloqueada de la interfaz gráfica de
usuario.
Restablecer la contraseña WebCon fi gurator
Esta opción de menú activa una secuencia de comandos para restablecer el administración contraseña de la cuenta y el estado. La contraseña se restablece en el valor predeterminado de pfSense.
El guión también tiene algunas otras acciones para ayudar a recuperar la entrada en el cortafuego:
• Si la fuente de autenticación interfaz gráfica de usuario se establece en un servidor remoto como RADIUS o LDAP, se le solicita a devolver la fuente de autenticación a la
base de datos local.
• Si el administración la cuenta se ha eliminado, el guión vuelve a crear la cuenta.
• Si el administración cuenta está deshabilitada, el guión vuelve a activar la cuenta.

Restablecer los valores predeterminados de fábrica
Esta opción del menú restaura la con fi guración del sistema a los valores predeterminados de fábrica. También intentará eliminarán los paquetes instalados.
Nota: Esta acción no se hará ningún otro cambio en el sistema de ficheros fi. Si el sistema de archivos se han dañado o alterado de una manera no deseada, lo mejor es
hacer una copia de seguridad, y volver a instalar desde medios de instalación.
Esta acción también está disponible en WebGUI en Diagnóstico> valores predeterminados de fábrica
Reiniciar el sistema
Esta opción del menú se limpia apagar el cortafuegos fi pfSense y reiniciar el sistema operativo. Unas pocas opciones avanzadas
también pueden aparecer en esta página, dependiendo de soporte de hardware:
reinicie normalmente Realiza un reinicio normal en el modo tradicional.
Reroot Esta opción no realiza un reinicio completo, pero una bota estilo “reroot”. Todos los procesos que se están ejecutando
matado, todos los sistemas de ficheros fi se vuelven a montar, y luego la secuencia de inicio del sistema se ejecuta de nuevo. Este tipo de reinicio es mucho más
rápido, ya que no se reinicia el hardware, vuelva a cargar el kernel, o la necesidad de pasar por el proceso de detección de hardware.
Reiniciar en modo de usuario único Esto reiniciará el cortafuego en modo de usuario único para PUR de diagnóstico
plantea. El cortafuego no puede recuperarse automáticamente de este estado, se requiere acceso a la consola para utilizar el modo de usuario único y
reinicie el cortafuego. Esta opción de menú no está disponible en SG-1000.
Advertencia: En el modo de usuario único, y otros sistemas de ficheros fi no están montados los valores por defecto de raíz fi sistema de ficheros
de sólo lectura. El cortafuego también no tiene una conexión de red activa. Esta opción sólo debe utilizarse bajo la supervisión de un
representante de soporte o un usuario con conocimientos avanzados de FreeBSD.
Reiniciar el sistema y realizar una verificación de fi sistema de ficheros Esto reinicia el cortafuego y obliga a un control de sistema de archivos utilizando fi fsck,
corren cinco veces. Esta operación se suele cuestiones correctas con el sistema de ficheros fi en el cortafuego. Esta opción de menú no está
disponible en SG-1000.
Nota: Las opciones de comprobación de modo de usuario único y sistema de ficheros fi requieren una letra mayúscula para ser introducida para confirmar la acción. Esto es necesario
para evitar activar las opciones de forma accidental. Las opciones de reinicio y reroot pueden introducirse en mayúsculas o minúsculas.
Esta acción también está disponible en WebGUI en Diagnóstico> Reiniciar
sistema de interrupción
Esta opción del menú se cierra limpiamente el cortafuego y, o bien se detiene o se apaga, en función del soporte de hardware.
Advertencia: Desaconsejamos totalmente el corte de alimentación de un sistema en funcionamiento. Detener antes de quitar el poder es siempre la opción más segura.
Esta acción también está disponible en WebGUI en Diagnóstico> Sistema Halt
7.7. Información básica del menú de la consola 97

anfitrión Ping
Esta opción de menú se ejecuta un guión que intenta ponerse en contacto con un anfitrión para confirmar si es accesible a través de una red conectada. La secuencia de comandos
solicita al usuario una dirección IP, y luego envía el host de destino que tres peticiones de eco ICMP. La secuencia de comandos muestra la salida de la prueba, incluyendo el
número de paquetes recibidos, números de secuencia, tiempos de respuesta, y el porcentaje de pérdida de paquetes. El script usa silbido cuando se le da una dirección IPv4 o un
nombre de host, y ping6 cuando se le da una dirección IPv6.
Cáscara
Esta opción del menú se inicia un shell de línea de comandos. Una cáscara es muy útil y muy potente, pero también tiene el potencial de ser muy peligroso.
Nota: La mayoría de los usuarios pfSense no necesita tocar la concha, o siquiera sabe que existe.
tareas con fi guración complejos pueden requerir trabajar en la cáscara, y algunas tareas de resolución de problemas son más fáciles de lograr a partir de la cáscara, pero
siempre hay una posibilidad de causar un daño irreparable al sistema.
usuarios de FreeBSD veteranos pueden sentir un poco como en casa, pero hay muchos comandos que no están presentes en un sistema pfSense ya que las partes
innecesarias del sistema operativo se eliminarán de las restricciones de seguridad y tamaño. Una concha de iniciarse en este usos Manner tcsh, y la única otra shell
disponible es sh. Si bien es posible instalar otros proyectiles para la comodidad de los usuarios, no recomendamos ni apoyamos el uso de otras conchas.
pfTop
Esta opción de menú activa pftop que muestra una vista en tiempo real de los estados fi cortafuego, y la cantidad de datos que se han enviado y recibido. Puede ayudar a las sesiones
en forma de puntos que actualmente utilizan grandes cantidades de ancho de banda, y también puede ayudar a diagnosticar otros problemas de conexión a la red.
Ver también:
Ver Estados visualización con pfTop para más información sobre cómo utilizar pfTop.
Registros de filtro
los Registros de filtro opción de menú muestra las entradas del registro fi cortafuego, en tiempo real, en su forma cruda. Los registros primas contienen mucha más información por
línea de la vista del registro en el WebGUI ( Estado> Registros del sistema, pestaña Firewall), pero no toda esta información es fácil de leer.
Propina: Para una fi ed vista de la consola simplificada de los registros en tiempo real con bajo detalle, utilizar este comando shell:
obstruir - F / var / Iniciar sesión / filtrar . Iniciar sesión | filterparser . php
Reinicio WebCon fi gurator
Al reiniciar el gurator WebCon fi reiniciará el proceso del sistema que ejecuta el WebGUI ( nginx). En casos extremadamente raros, el proceso puede haber detenido, y al
reiniciarse se restaurar el acceso a la interfaz gráfica de usuario. Si la interfaz gráfica de usuario no responde y esta opción no restaura el acceso, opción de menú 16
para invocar Reinicio PHP-FPM

después de usar esta opción de menú.

herramientas PHP shell + pfSense
La cáscara PHP es una utilidad de gran alcance que ejecuta código PHP en el contexto del sistema en ejecución. Al igual que con la cáscara normal, también es potencialmente
peligroso de usar. Esto se utiliza principalmente por los desarrolladores y los usuarios experimentados que están íntimamente familiarizado con PHP y la base de código
pfSense.
Secuencias de comandos de reproducción
Hay varios guiones de reproducción para el Shell PHP que automatizan tareas simples o permiten el acceso a la interfaz gráfica de usuario. Estas secuencias de comandos se
ejecutan desde dentro de la cáscara de PHP, así:
pfSense shell: scriptname reproducción
También se pueden ejecutar desde la línea de comandos:
# pfSsh.php reproducción scriptname
Cambia la contraseña
Este script cambia la contraseña de un usuario, y también solicita para restablecer las propiedades de la cuenta si está deshabilitado o caducado.
disablecarp / enablecarp
Estos scripts desactivar y activar las funciones de alta disponibilidad carpa, y se desactivarán las direcciones IP virtuales de tipo CARP. Esta acción no persiste
en los reinicios.
disablecarpmaint / enablecarpmaint
Estos scripts desactivar y activar el modo de mantenimiento CARP, lo que deja CARP activo, pero degrada esta unidad para que el otro nodo puede asumir el
control. Este modo de mantenimiento persistirá en los reinicios.
disabledhcpd
Esta secuencia de comandos elimina todo con DHCP fi guración del cortafuego, desactivando efectivamente el servicio DHCP y eliminar por completo todos sus ajustes.
disablereferercheck
Este script deshabilita el HTTP_REFERER cheque mencionado en HTTP_REFERER aplicación de navegador . Esto puede ayudar a obtener acceso a la interfaz gráfica de usuario si una
sesión del navegador está provocando esta protección.
enableallowallwan
Este script agrega una regla de permitir que todos para IPv4 e IPv6 a la interfaz WAN.
Advertencia: Tenga mucho cuidado con esta opción, que está destinado a ser una temporal medir para obtener acceso a los servicios en la interfaz WAN del cortafuego en
situaciones en las que la LAN no es utilizable. Una vez que las reglas de acceso adecuadas se ponen en marcha, retire las reglas añadidas por este script.

enablesshd
Este script permite que el daemon SSH, lo mismo que la opción de menú de la consola o la opción de interfaz gráfica de usuario.
externalcon fi glocator
Este script buscará una config.xml fi l en un dispositivo externo, como una unidad flash USB, y se moverá en su lugar para su uso por el cortafuego.
gatewaystatus
Este script muestra el estado de la pasarela actual y estadísticas. También acepta un parámetro opcional breve que se imprime sólo el nombre de la pasarela y el
estado, omitiendo las direcciones y datos estadísticos.
generateguicert
Este script crea un nuevo certi fi cado autofirmado para el cortafuego y lo activa para su uso en la interfaz gráfica de usuario. Esto es útil en los casos en que el anterior certi fi
cado es válido o de otro modo no utilizable. También fi LLS en los detalles de certi fi cado utilizando el nombre de host fi cortafuegos y otra información personalizada, para
identificar mejor el anfitrión.
gitsync
Esta escritura compleja sincroniza el PHP y otras fuentes de secuencias de comandos con los archivos del repositorio GitHub pfSense. Es más útil en las instantáneas
de desarrollo para recoger los cambios de cambios más recientes.
Advertencia: Este script puede ser peligroso para su uso en otras circunstancias. Sólo utilice esta bajo la dirección de un desarrollador o soporte
representante bien informado.
Si el script se ejecuta sin ningún parámetro se imprimirá un mensaje de ayuda delineando su uso. Más información se puede encontrar en la pfSense Doc Wiki .
installpkg / listpkg / uninstallpkg
Estos scripts interfaz con el sistema de paquetes pfSense de una manera similar a la interfaz gráfica de usuario. Estos se utilizan principalmente para los problemas del paquete de depuración,
la comparación de la información en config.xml en comparación con la base de datos de paquetes.
pfanchordrill
Este script busca de forma recursiva a través PF anclajes e imprime cualquier regla de cortafuego NAT o fi que fi NDS. Esto puede ayudar a localizar a un comportamiento inesperado en
áreas tales como la relayd equilibrador de carga que se basan en normas de anclas que no son otra cosa visible en la interfaz gráfica de usuario.
pftabledrill
Este script muestra el contenido de todos PF tablas, que contienen direcciones utilizadas en los alias fi cortafuego, así como las tablas del sistema incorporadas para funciones como
el bloqueo de red Bogon, resoplido, y la interfaz gráfica de usuario / bloqueo SSH. Este script es útil para comprobar si un especí fi co dirección IP se encuentra en cualquier mesa, en
lugar de buscar de forma individual.

removepkgcon fi g
Esta secuencia de comandos elimina todo rastro de datos de paquete con fi guración de la ejecución config.xml. Esto puede ser útil si un paquete ha corrompido la
configuración o ha dejado de otro modo los paquetes en un estado incoherente.
removeshaper
Este script elimina altq tráfico c talladora configuración, que puede ser útil si el conformador con fi guración es la prevención de las reglas de carga o es de otra manera
incorrecta y evitando el funcionamiento adecuado del cortafuego.
resetwebgui
Este script se restablece la configuración de la GUI para los widgets, columnas del tablero de instrumentos, el tema y otros ajustes relacionados con la GUI. Se puede devolver la interfaz gráfica
de usuario, especialmente el tablero de instrumentos, a un estado estable si no está funcionando correctamente.
restartdhcpd
Este script se detiene y reinicia el proceso de DHCP.
restartipsec
Este script vuelve a escribir y recarga la IPsec con fi guración de strongSwan.
SVC
Este script le da control sobre los servicios que se ejecutan en el cortafuego, similar a la interacción con los servicios en Estado> Servicios.
La forma general del comando es:
la reproducción SVC <acción> <nombre del servicio> [opciones específicas del servicio]
los acción puede ser detener, iniciar, o reiniciar.
los Nombre del Servicio es el nombre de los servicios que se encuentran bajo Estado> Servicios. Si el nombre incluye un espacio, escriba el nombre entre comillas. los opciones
de servicio especí fi cos varían en función del servicio, que se utilizan para identificar de forma única servicios con varias instancias, como entradas OpenVPN o portal
cautivo. Ejemplos:
• Deja de miniupnpd:
pfSsh.php detener la reproducción SVC miniupnpd
• Reiniciar cliente OpenVPN con ID 2:
pfSsh.php reproducción SVC cliente openvpn reinicio 2
• Iniciar el proceso de Poral cautivo para la zona “Mi Zona”:

la reproducción se inicia pfSsh.php svc Mi Zona portal cautivo
Actualización de la consola
Esta opción de menú se ejecuta el pfSense-actualización script para actualizar el cortafuego a la última versión disponible. Esta es operativamente idéntica a la ejecución de una
actualización de la interfaz gráfica de usuario y requiere una conexión de red de trabajo para alcanzar el servidor de actualizaciones.
Este método de actualización se cubre con más detalle en La actualización mediante la consola .
Activar / Desactivar el Secure Shell (sshd)
Esta opción cambia el estado del daemon de shell seguro, sshd. Esta opción funciona igual que la opción de la WebGUI para activar o desactivar SSH,
pero se puede acceder desde la consola.
Restaurar reciente con fi guración
Esta opción de menú se inicia una secuencia de comandos que enumera y restaura copias de seguridad desde la historia con fi guración. Esto es similar al acceso a la historia con fi
guración de la interfaz gráfica de usuario en Diagnóstico> Backup / Restore sobre el Con fi g Historia lengüeta. Este script puede mostrar los últimos pocos con fi guración fi les, junto
con una marca de tiempo y la descripción del cambio realizado en la con fi guración, el usuario y la dirección IP que ha realizado el cambio, y la con fi g revisión. Esto es
especialmente útil si un error reciente con fi guración accidentalmente eliminado el acceso a la interfaz gráfica de usuario.
Reinicio PHP-FPM
Esta opción de menú se detiene y reinicia el proceso que se ocupa de los procesos PHP para nginx. Si el proceso del servidor web interfaz gráfica de usuario está
funcionando pero no puede ejecutar scripts PHP, invocar esta opción. Ejecutar esta opción junto con Reinicio WebCon fi gurator para el mejor resultado.
tiempo de sincronización
problemas de tiempo y el reloj son relativamente comunes en el hardware, sino en fi rewalls son críticos, especialmente si el cortafuego está llevando a cabo las tareas que implican la
validación de los certi fi cados como parte de una infraestructura de PKI.
Correcta sincronización de tiempo es una necesidad absoluta en sistemas embebidos, algunos de los cuales no tienen una batería a bordo para conservar su configuración de
fecha y hora cuando se desconecta la alimentación.
No sólo va a conseguir todo esto en la línea de ayuda con las tareas críticas del sistema, sino que también asegura que el registro de archivos en el cortafuego son adecuadamente sellos de
tiempo, que ayuda con la solución de problemas, mantenimiento de registros, y la dirección general del sistema.
Tiempo de mantenimiento Problemas
El hardware puede tener signi fi cativos problemas de tiempo de mantenimiento, aunque este tipo de problemas se aíslan generalmente para el hardware más antiguo, de baja calidad.
Todos los relojes de PC a la deriva en cierta medida, pero un poco de hardware pueden desplazarse tanto como un minuto por cada par de minutos que pasan rápidamente y perder la
sincronización. NTP está diseñado para actualizar periódicamente la hora del sistema para dar cuenta de la deriva de lo normal. No puede relojes razonablemente correctas que se
desplazan de forma significativa. Esto es muy raro, pero hay algunos métodos que potencialmente pueden evitar estos problemas.

La mejor manera de evitar problemas de tiempo de mantenimiento es el uso de hardware de calidad que ha sido probado y no experimenta estos problemas, tales como el hardware que
se encuentran en el pfSense tienda .
Hay cuatro elementos para comprobar si el hardware tiene fi cativos problemas de mantenimiento de tiempo significantes.
Network Time Protocol
Por defecto, pfSense intenta sincronizar su tiempo utilizando el conjunto de servidores ntp.org Network Time Protocol (NTP). Esto asegura una fecha y la hora exacta
en el cortafuego, y se adaptará a la deriva del reloj normal. Si la fecha y la hora cortafuego son incorrectos, garantizar la sincronización NTP está funcionando. El
problema más común la prevención de la sincronización es la falta de adecuada con fi guración de DNS en el cortafuego. Si el cortafuego no puede resolver nombres
de host, la sincronización NTP fallará. Los resultados de la sincronización se muestran en el arranque en el registro del sistema, y el estado de la sincronización del
reloj NTP se pueden consultar en Estado> NTP. los NTP Estado Reproductor para el salpicadero también ofrece información básica sobre el servidor NTP
seleccionado para su uso por el cortafuego.
Las actualizaciones de BIOS
Hemos visto hardware antiguo que corría definir por años en Windows encontrará con grandes problemas de cronometraje vez redefinir pleados en FreeBSD (y por
consecuencia, pfSense). Los sistemas se ejecuta una versión del BIOS varias revisiones fuera de fecha. Una de las revisiones refiere a una cuestión de cronometraje que
aparentemente nunca se ve afectada de Windows. La aplicación de la actualización del BIOS fi ja el problema. El primero que fi para comprobar es asegurarse de que el
hardware en cuestión tiene el BIOS más reciente disponible.
configuración PNP OS en la BIOS
Otro hardware podría tener tiempo de mantenimiento de di fi cultades en FreeBSD y pfSense menos PNP OS en el BIOS se fijó a
No. Si el BIOS no tiene una PNP OS opción de configuración fi Con, buscar una OS Ajuste y ajuste a Otro.
Desactivar ACPI
Unos pocos proveedores de BIOS han producido ACPI (Advanced con guración fi e interfaz de energía) implementaciones que son, en el mejor cochecito y peligroso en el
peor. En más de una ocasión nos hemos encontrado con el hardware que no arranca o no funciona correctamente, mientras que el soporte ACPI está activo.
Mientras que el soporte ACPI se puede desactivar en el BIOS, y en el sistema operativo, no se recomienda el uso de hardware que requiere este tipo de cambios.
Ajuste TimeCounter Hardware Configuración
En los sistemas raros, la kern.timecounter.hardware puede ser necesario cambiar el valor sysctl para corregir un reloj inexacta. Esto es conocido por ser un
problema con las versiones anteriores de VMware ESX tales como 5,0 en combinación con una imagen FreeBSD pfSense basado amd64- o. Ese caso
especial fue un error en el hipervisor que es fijo en ESX 5.1 y posteriores. En estos sistemas, el timeCounter por defecto con el tiempo se detendrá el reloj
de relojería, causando problemas con Cryption es-, VPNs, y servicios en general. En otros sistemas, el reloj puede sesgar por grandes cantidades con el
timeCounter mal.
Para cambiar el timeCounter, vaya a Sistema> Opciones avanzadas, sobre el sistema optimizables pestaña y añadir una entrada para definir
kern.timecounter.hardware a i8254
Esto hará que el sistema utilice el chip timeCounter i8254, que normalmente mantiene buen tiempo, pero no puede ser tan rápido como otros métodos. Las otras
opciones TimeCounter se explicarán más adelante en esta sección.
7.8. tiempo de sincronización 103

Si el sistema mantiene la hora después de hacer este cambio, deje la entrada sintonizable en su lugar para hacer este cambio permanente. Si el cambio
no ayudó, retire la sintonizable o tratar de otro valor.
Dependiendo de la plataforma y el hardware, también puede haber otras timecounters apetitosas. Para una lista de tros timecoun- disponibles se encuentran en un
cortafuego, ejecute el siguiente comando:
# sysctl kern.timecounter.choice
El cortafuego se imprimirá una lista de timecounters disponibles y su “calidad” según lo informado por FreeBSD:
kern.timecounter.choice: TSC-bajo (1000) ACPI-safe (850) i8254 (0) ficticia (-1.000.000)
Pruebe cualquiera de esos cuatro valores para la sysctl kern.timecounter.hardware ajuste. En términos de “calidad” en este listado, cuanto mayor sea el
número, mejor, pero la facilidad de uso real varía de un sistema a otro.
TSC Un contador en la CPU, pero está ligada a la velocidad de reloj y no puede ser leído por otras CPU. Puede ser usado
en sistemas SMP metal desnudo pero requiere que TSCs en todas las CPU estar sincronizados. No se puede utilizar de forma fiable en sistemas
con una CPU de velocidad variable o un sistema virtualizado con varias CPU.
i8254 Un chip de reloj encontrado en la mayoría del hardware, que tiende a ser seguro, pero puede tener inconvenientes de rendimiento.
ACPI-safe Si está bien soportado por el hardware, esto es una buena elección, ya que no sufre de
las limitaciones de rendimiento de i8254, pero en la práctica su precisión y velocidad varían ampliamente dependiendo de la aplicación.
ACPI-rápido Una ejecución más rápida de la timeCounter ACPI disponibles en el hardware que no sufre
de problemas de ACPI conocidos.
HPET Alta precisión evento de temporizador disponible en algún hardware. Cuando esté disponible, generalmente es consi-
Ered una buena fuente de conteo de tiempo exacto.
Esto y más información sobre FreeBSD Timecounters se puede encontrar en el documento Timecounters: Ef fi ciente y cronometraje preciso en núcleos
SMP por Poul-Henning Kamp del Proyecto FreeBSD, y en el código fuente de FreeBSD.
Ajustar la frecuencia del núcleo del temporizador
En casos raros ajuste de la frecuencia del núcleo, o temporizador kern.hz sintonizable núcleo, puede mejorar el rendimiento o la estabilidad. Esto es especialmente cierto
en entornos virtualizados. El valor por defecto es 1000, pero en algunos casos 100, 50, o incluso 10 será un mejor valor en función del sistema. Cuando se instala en
pfSense VMware, lo detecta y configura automáticamente este sintonizable a 100, los cuales deben trabajar definen en casi todos los casos con los productos de VMware.
Para ajustar esta configuración, añadir una línea a / boot / loader.conf.local con el nuevo valor:
Kern . hz = 100
Sincronización de tiempo GPS
Para ayudar en el mantenimiento de un reloj de precisión, sincronización de tiempo de GPS también es proporcionada por pfSense en el hardware compatible. Ciertos dispositivos GPS
serie o USB son compatibles, y en combinación con los servidores de tiempo externos, que pueden ayudar a mantener el reloj de precisión. Para más detalles, véase NTPD .
los Asistente de configuración y tareas relacionadas con fi guración funcionarán para la mayoría de las situaciones, pero puede haber problemas para conseguir conexiones a fluir
normalmente en sus direcciones previstos. Algunos de estos problemas pueden ser únicos en un entorno particular o con fi guración, pero se puede trabajar a través de la resolución de
problemas básicos.

No se puede acceder a internet desde WebGUI
Si el WebGUI no es accesible desde la LAN, la primera cosa a comprobar es el cableado. Si el cable es un cable hecho a mano o _shorter_ de 3 pies (un metro),
pruebe con otro cable. Si el PC cliente está conectado directamente a un dispositivo de red del cortafuego, un cable cruzado puede ser necesaria en hardware
antiguo que no tiene el apoyo Auto-MDIX en sus tarjetas de red. Esta no es una preocupación de gigabit o hardware más rápido.
Una vez que hay una luz de enlace en tanto la tarjeta de red del cliente y la interfaz LAN inalámbrica cortafuegos, compruebe la con fi ración TCP / IP gu- en el PC cliente. Si el servidor
DHCP está activado en el cortafuego, ya que es por defecto, asegurarse de que el cliente también está configurado para DHCP. Si DHCP está deshabilitado en el cortafuego, codificar una
dirección IP en el cliente que reside en la misma subred que la dirección IP de la LAN inalámbrica cortafuegos, con la misma máscara de subred, y el uso de la dirección IP de la LAN
inalámbrica cortafuegos como el servidor de puerta de enlace y DNS.
Si la configuración del cableado y la red es correcta, el cliente podrá hacer ping a la dirección IP LAN del cortafuego. Si el PC cliente puede hacer ping, pero no acceder a
la WebGUI, todavía hay unas cuantas cosas para probar. En primer lugar, si el error en el PC cliente es un reset o fallo de conexión, a continuación, ya sea el demonio del
servidor que ejecuta el WebGUI no se está ejecutando o el cliente está intentando utilizar el puerto incorrecto. Si el error es en cambio un tiempo de espera de conexión,
que apunta más hacia una regla fi cortafuegos. Si el cliente recibe un tiempo de espera de conexión, consulte ¿Qué hacer cuando cerró la puerta de los WebGUI . Con una
conexión de red configurada correctamente con fi, esto no debería ocurrir, y que el artículo ofrece formas de solucionar los problemas fi reglas de cortafuegos. a
comprobar que la WAN y LAN no están en la misma subred. Si WAN está configurado para DHCP y está enchufado detrás de otro router NAT, sino que también puede
ser el uso de 192.168.1.1. Si la misma subred está presente en la WAN y LAN, resultados impredecibles pueden ocurrir, incluso no ser capaz de ruta trá fi co o acceder a la
WebGUI. En caso de duda, desconecte el cable WAN, reinicie el cortafuegos fi pfSense, y vuelve a intentarlo.
Si el cliente recibe un restablecimiento de conexión, primero intenta reiniciar proceso del servidor theWebGUI desde la consola del sistema, por lo general la opción 11,
seguido por la opción 16 para reiniciar PHP-FPM. Si eso no ayuda, iniciar una cáscara de la consola (opción 8), y el tipo:
# sockstat | grep nginx
El cortafuego devolverá una lista de todos corriendo nginx procesos y el puerto sobre el que se está escuchando, como este:
raíz nginx 41948 5 tcp4 *: 443 *: *

raíz nginx 41948 6 tcp6 *: 443 *: *
raíz nginx 41948 7 tcp4 *: 80 *: *
raíz nginx 41948 8 tcp6 *: 80 *: *
En esa salida, muestra que el proceso está escuchando en el puerto 443 de cada interfaz en IPv4 e IPv6, así como el puerto 80 para la redirección, pero que
puede variar basado en la fi cortafuegos con fi guración.
Intente conectarse a la dirección IP de la LAN inalámbrica cortafuegos mediante el uso de ese puerto directamente, y con HTTP y HTTPS. Por ejemplo, si la
dirección IP de LAN era 192.168.1.1, y se escucha en el puerto 82, tratar http://192.168.1.1:82
y https://192.168.1.1:82.
Sin Internet desde la LAN
Si el PC cliente es capaz de llegar a la WebGUI pero no el Internet, hay varias cosas a considerar. La interfaz WAN puede no ser adecuadamente con fi gura, la
resolución de DNS puede no estar funcionando, podría haber un problema con las reglas fi cortafuego, las reglas de NAT, o incluso algo tan simple como un
problema de puerta de enlace local.
Problemas de interfaz WAN
En primer lugar, comprobar la interfaz WAN para asegurarse de que está en funcionamiento. Vaya a Estado> Interfaces y mirar el PÁLIDO
estado de la interfaz allí. Si la interfaz está funcionando adecuadamente el estado se mostrará como “arriba”. Si se muestra “ninguna compañía” o “abajo”, vuelva a revisar
el cableado y la configuración WAN bajo Interfaces> WAN.
7.9. Solución de problemas 105

Si la interfaz está utilizando PPPoE o PPTP para el tipo de WAN, hay una línea de estado adicional que indica si el PPP
conexión está activa. Si se trata de abajo, intente presionar el Conectar botón. Si eso no funciona, doble Vea toda la
configuración de la interfaz de Interfaces> WAN, comprobar o reiniciar el ISP CPE (módem cable / DSL, etc.), y tal vez consultar con el ISP para obtener ayuda con respecto a la
configuración y el estado del circuito.
Resolución de Problemas de DNS
Dentro de la WebGUI, vaya a Diagnóstico> Ping y entrar en la dirección de puerta de enlace ISP. La dirección de la pasarela está en la lista de Estado>
Interfaces para la interfaz WAN y bajo Estado> Gateways.
Si la puerta de entrada es desconocido, intente otra dirección válida conocida como 8.8.8.8. Si el cortafuego es capaz de hacer ping esa dirección y recibir una
respuesta, y luego repetir la misma prueba de ping desde el PC cliente. Abra un símbolo del sistema o en la ventana de terminal y de ping esa misma dirección IP.
Si el cliente puede hacer ping por dirección IP, a continuación, intente hacer ping a un sitio web por su nombre como por ejemplo www.google.com. Inténtelo de la interfaz gráfica de usuario fi
cortafuegos y desde el PC cliente. Si la prueba de ping IP funciona, pero el nombre test falla, entonces hay un problema con la resolución de DNS. Ver figura Conectividad de pruebas para Bogon
Actualizaciones para un ejemplo.
Si la resolución de DNS no funciona en el cortafuego, primer cheque que el servicio DNS está habilitado en el cortafuego y cómo es con fi gurado. Por defecto,
un cortafuegos fi pfSense es con fi gurado para usar la resolución DNS en un modo que no requiere ningún servidor DNS fi cas. Consulta los servidores raíz y
otros servidores autorizados directamente. Antiguas instalaciones e instalaciones mejoradas por defecto a la Forwarder DNS, que requiere servidores DNS que
debe inscribirse en Sistema> Configuración general o ser adquirido a partir de una dinámica WAN como DHCP o PPPoE. La resolución DNS también puede
operar en este modo si Habilitar el modo de reenvío se activa en su configuración.
Si la resolución DNS está activo pero el cortafuego no puede resolver nombres de host, el problema suele ser la falta de trabajo conectividad WAN. Aparte de eso,
una posibilidad es que la WAN o equipos de red aguas arriba no pasa correctamente el tráfico DNS fi co de una manera que sea compatible con DNSSEC.
DNSSEC desactivar en las opciones Resolver para ver si se permite la resolución de funcionar. También es posible que la fi ISP filtros de solicitudes de DNS y
requiere el uso de servidores DNS c especí fi. En ese caso, con fi gura servidores DNS y luego activar el modo de reenvío o cambiar a la Forwarder DNS. La
configuración del servidor DNS fi cortafuegos están bajo Sistema> Configuración general, y también son visibles en Estado> Interfaces.
Consulte con ping para estar seguro de estos servidores DNS son accesibles. Si el cortafuego puede llegar a la dirección de la pasarela en el ISP, pero no los servidores DNS,
póngase en contacto con el ISP y comprueba los valores. Si se obtienen los servidores DNS a través de DHCP o PPPoE y el cortafuego no puede llegar a ellos, póngase en contacto
con el ISP. Si todo lo demás falla, considere el uso de DNS público de Google (8.8.8.8, 8.8.4.4) servidores de nombres en la fi cortafuegos en lugar de los proporcionados por el ISP.
Si el DNS funciona desde el fi cortafuegos pfSense pero no desde un PC cliente, que podría ser el Resolver DNS o Forwarder con fi guración en el cortafuego, el aire
cliente fi guración, o las reglas cortafuego. Fuera de la caja, el Resolver DNS se encarga de las consultas DNS para los clientes detrás del cortafuego. Si el PC
cliente son con fi gurada con DHCP, recibirán la dirección IP de la interfaz fi cortafuegos al que están conectados como un servidor DNS, a menos que se cambie
manualmente. Por ejemplo, si un PC está en la interfaz LAN y la fi cortafuegos dirección IP LAN es 192.168.1.1, a continuación, el servidor DNS del cliente también
debe ser 192.168.1.1. Si la resolución de DNS y DNS Forwarder son discapacitados, ajustar los servidores DNS, que se asignan a los clientes DHCP bajo Servicios>
Servidor DHCP. Normalmente, cuando el Resolver DNS y DNS Forwarder están desactivados, los servidores DNS del sistema se asignan directamente a los clientes,
pero si ese no es el caso en la práctica de esta configuración, definen en la configuración de DHCP. Si el PC cliente no está con fi gurado para DHCP, asegúrese de
que tiene los servidores DNS apropiados establecidos: la dirección IP LAN del cortafuegos fi pfSense o un conjunto alternativo de trabajar servidores DNS internos o
externos.
Otra posibilidad para el DNS de trabajo de la fi cortafuegos pfSense pero no un cliente local es una norma demasiado estricta fi cortafuegos de la LAN. Comprobar Registros de
Estado> del sistema, sobre el firewall lengüeta. Si las conexiones bloqueadas aparecen en el registro del cliente local tratando de llegar a un servidor DNS, a continuación, añadir
una regla fi cortafuegos en la parte superior de la LAN reglas para esa interfaz que permitirá conexiones a los servidores DNS de TCP y UDP Puerto 53.

Client Gateway Edición
Para que un pfSense fi cortafuegos para enrutar correctamente el tráfico de Internet fi co para la PC del cliente, que debe ser su puerta de entrada. Si los PC cliente son
con fi gurado con el servidor DHCP integrado en pfSense rewalls fi, este se ajustará automáticamente. Sin embargo, si los clientes reciben información de DHCP desde
un servidor DHCP alternativo o sus direcciones IP se han introducido manualmente, vuelva a comprobar que su puerta de entrada está ajustado para la dirección IP de la
interfaz a la que se conectan en la fi cortafuegos pfSense. Por ejemplo, si los clientes están en la interfaz de pfSense LAN y la dirección IP de la interfaz LAN es 192.168.1.1,
a continuación, la dirección de puerta de enlace en el PC cliente debe establecer en 192.168.1.1.
Problemas de reglas de cortafuegos
Si el valor por defecto “LAN a ninguna” regla ha sido cambiado o eliminado de la interfaz LAN, trá fi co de intentar acceder a Internet desde ordenadores cliente a través del
cortafuegos fi pfSense puede ser bloqueado. Esto es fácilmente confirmada por la navegación a Estado
> Registros del sistema y mirando a la firewall lengüeta. Si hay entradas bloqueado ahí que muestran las conexiones de LAN PC que intentan llegar a los servidores de Internet,
revisar el conjunto de reglas en LAN Firewall> Reglas, sobre el LAN pestaña para hacer los ajustes necesarios para permitir que el trá fi co. Consultar firewall para obtener información
más detallada sobre la edición o creación de reglas adicionales. Si funciona desde el lado de la LAN, pero no de una interfaz OPT, asegúrese de que el cortafuego tiene reglas en su
lugar para permitir que el tráfico pase a c. Regla no se crea de forma predeterminada en las interfaces OPT.
Regla NAT Cuestiones
Si las reglas NAT salientes han sido cambiados de los valores predeterminados, trá fi co de intentar acceder a Internet pueden no tener NAT aplica correctamente.
Navegar a Firewall> NAT, Saliente lengüeta. En la mayoría de los casos, el ajuste debe estar en generación de reglas NAT saliente automática. Si no es así, cambiar a la
configuración, haga clic Salvar y Aplicar cambios, y luego tratar de acceder a Internet desde un PC cliente nuevo. Si eso no ayuda de un PC en la LAN para salir,
entonces el problema es probable que en otros lugares.
Si NAT de salida se establece en generación de reglas NAT de salida Manual y las obras de acceso a Internet de LAN, pero no de una interfaz OPT, añaden
manualmente reglas que coincide con tra fi co procedente de la interfaz de TPO. Mira las reglas existentes para LAN y ajustar en consecuencia, o se refieren a NAT
salientes para obtener más información sobre cómo crear reglas NAT salientes.
Lo mismo se aplica para el trá fi co viene usuarios fromVPN: OpenVPN, IPsec, etc. Si estos usuarios necesitan acceder a Internet a través de este fi cortafuegos
pfSense, necesitarán reglas NAT salientes para sus subredes. Ver NAT salientes para más información.
pfSense XML Con fi guración del archivo
pfSense rewalls fi almacenar toda su configuración en un formato XML con fi guración fi l. Todos los ajustes con fi guración incluidos los ajustes de paquetes se llevan a cabo en
este archivo. Todos los demás con fi guración fi les de los servicios y el comportamiento del sistema se generan dinámicamente en tiempo de ejecución en base a los ajustes
conservados dentro del XML con fi guración fi l. Quienes están familiarizados con FreeBSD y sistemas operativos relacionados han encontrado esto de la manera difícil, cuando
sus cambios en el sistema con fi guración archivos se sobreescriben en repetidas ocasiones por el cortafuego antes de llegar a entender que pfSense se encarga de todo de
forma automática.
La mayoría de la gente nunca va a necesitar saber dónde está la con fi guración fi l reside, pero como referencia se encuentra en
/cf/conf/config.xml. Típicamente, / conf / es un enlace simbólico a / cf / conf, por lo que también puede ser accesible directamente desde / conf / config.xml, pero esto varía
según la plataforma y el diseño fi sistema de ficheros.
7.10. pfSense XML Con fi guración del archivo 107

Edición manual de la con fi guración
Unas pocas opciones con fi guración sólo están disponibles mediante la edición manual de la con fi guración fi l, aunque esto no es necesario en la gran mayoría de las
implementaciones. Algunas de estas opciones se tratan en otras partes de este libro.
Advertencia: Incluso para los administradores experimentados todavía es fácil de editar incorrectamente la con fi guración fi l. Siempre mantenga copias de seguridad y ser
conscientes de que romper la con fi guración dará lugar a consecuencias no deseadas.
El método más seguro y más fácil de editar la con fi guración fi l es hacer una copia de seguridad de Diagnóstico> Backup / Restore, guardar el expediente a
un PC, edite el expediente y realizar los cambios necesarios, a continuación, restaurar la alterado con fi g- URACIÓN fi l para el cortafuego. Utilice un editor
que entiende correctamente los finales de línea de UNIX, y preferiblemente un editor que tiene un manejo especial para XML como resaltado de sintaxis. No
utilice notepad.exe en Windows. Para los administradores familiarizados con el vi redactor, el viconfig comando editar el funcionamiento con fi guración en vivo,
y después de guardar y salir del editor, el cortafuego eliminará la con fi guración de caché / tmp / config.cache
y luego los cambios serán visibles en la interfaz gráfica de usuario. Los cambios no estarán activos hasta que la próxima vez que el servicio correspondiente a la parte editada de la
con fi g se reinicia / Reloaded.
¿Qué hacer cuando cerró la puerta de los WebGUI
Bajo ciertas circunstancias, un administrador puede ser bloqueado fuera de la WebGUI. No tenga miedo si esto sucede; hay una serie de maneras de recuperar el
control. Algunos métodos son un poco complicado, pero es casi siempre posible recuperar el acceso. Los peores escenarios requieren acceso físico, ya que
cualquiera con acceso físico puede pasar por alto las medidas de seguridad.
Advertencia: Deje que las tácticas de esta sección sea una lección. La seguridad física de un cortafuego es crítica, especialmente en ambientes donde el
cortafuego se encuentra físicamente en un área común accesible a personas que no sean administradores autorizados.
Antes de tomar cualquiera de estos pasos, intente las credenciales predeterminadas:
Nombre de usuario administración
Contraseña pfSense
Contraseña olvidada
La contraseña de administrador fi cortafuegos se puede restablecer fácilmente utilizando la consola fi cortafuegos si se ha perdido. Acceder a la consola física (de serie o teclado /
monitor) y la opción de utilizar 3 para restablecer la contraseña WebGUI. Esta opción también puede restablecer la cuenta de administrador si se ha desactivado o expirado. Después
de restablecer la contraseña, el administración el usuario puede iniciar sesión con la contraseña por defecto pfSense.
Contraseña olvidada con una consola Bloqueado
Si la consola está protegida por contraseña, no todo está perdido. Se necesitan dos reinicios de lograr, pero la contraseña se puede restablecer con acceso físico a la
consola:
• Reiniciar el cortafuegos fi pfSense
• Elegir el Bota de usuario único opción ( 2) desde el menú del gestor (el que tiene el logotipo de pfSense ASCII)
• prensa entrar cuando se le solicite para iniciar / bin / sh
• Volver a montar todas las particiones como regrabable:

# / Sbin / mount -a -t UFS
• Ejecute el comando integrado de restablecimiento de contraseña:
# /etc/rc.initial.password
• Siga las instrucciones para restablecer la contraseña
• Reiniciar
Cuando el cortafuego se reinicia, el administración el usuario puede iniciar sesión con la contraseña por defecto pfSense.
HTTP vs Confusión HTTPS
Asegúrese de que el cliente se conecta con el protocolo adecuado, HTTP o HTTPS. Si uno no funciona, intente con el otro. Si la interfaz gráfica de usuario no ha sido con fi
gurado correctamente, el cortafuego puede estar ejecutando el GUI en una inesperada combinación de puerto y protocolo, tales como:
• http: // pfsensebox: 443
• https: // pfsensebox: 80
Para restablecer esto desde la consola, restablezca la dirección IP de la interfaz LAN, introduzca la misma dirección IP, y el guión pedirá para restablecer el WebGUI
volver a HTTP.
El acceso bloqueado con las reglas del cortafuegos
Si un administrador remoto pierde el acceso a la WebGUI debido a un cambio en las reglas fi cortafuegos, a continuación, el acceso todavía puede ser obtenida del lado de la LAN. Las
normas de LAN no pueden impedir el acceso a la interfaz gráfica de usuario a menos que la regla anti-bloqueo se desactiva. La regla anti-bloqueo asegura que los hosts en la LAN son
capaces de acceder a la WebGUI en todo momento, independientemente de las otras reglas en el bloque de interfaz LAN.
Tener que caminar a alguien en el lugar a través de fi jar la regla de la LAN es mejor que perder todo o tener que hacer un viaje a la ubicación fi
cortafuegos!
Remotamente Circumvent Firewall de bloqueo con las Reglas
Hay fewways para manipular el comportamiento cortafuego en el shell para recuperar el acceso a la interfaz gráfica de usuario fi cortafuegos. Las siguientes tácticas se enumeran
en el orden de lo fácil que es y cuánto impacto que tienen en el sistema en funcionamiento.
Añadir una regla con EasyRule
La forma más fácil, asumiendo el administrador conoce la dirección IP de un PC cliente remoto que necesita acceso, es el uso de la
easyrule shell script para añadir una nueva regla de cortafuegos fi. En el siguiente ejemplo, el easyrule guión permitirá el acceso a la interfaz WAN, desde xxxx
( la dirección IP del cliente) a aaaa ( presumiblemente, la dirección IP WAN) en el puerto TCP 443:
# pase easyrule wan tcp xxxx aaaa 443
Una vez el easyrule script agrega la regla, el cliente podrá acceder a la interfaz gráfica de usuario de la dirección de origen fi cado.
7.11. ¿Qué hacer cuando cerró la puerta de los WebGUI 109

Agregar una regla de permitir que todos WAN de la concha
Otra táctica es activar temporalmente un “permitir todo” regla de la WAN para permitir que un cliente en.
Advertencia: Una regla de estilo “permitir todo” es peligroso tener en una interfaz WAN conectado a Internet. No olvide quitar la regla añadida por
este script
Para añadir una regla de “permitir todo” a la interfaz WAN, ejecute el siguiente comando en el intérprete de comandos:
# pfSsh.php reproducción enableallowallwan
Una vez que el administrador de acceso y recupera fi xes la emisión original evitando que lleguen a la interfaz gráfica de usuario, eliminar el “Permitir todo dominio” en la WAN.
Desactivar el cortafuegos
Un administrador puede (muy temporalmente) desactivar reglas fi cortafuego utilizando la consola física o SSH.
Advertencia: Esto desactiva completamente PF que deshabilita reglas cortafuego y NAT. Si la red a cargo de esta fi cortafuegos NAT depende de funcionar, lo
que la mayoría, a continuación, ejecutar este comando interrumpirá la conectividad de la red local a Internet.
Para desactivar el cortafuego, conectarse a la consola o ssh física y la opción de uso 8 para iniciar una concha, y escriba:
# pfctl -d
Este comando desactivará el cortafuego, incluyendo todas las funciones de NAT. El acceso a la WebGUI es ahora posible desde cualquier lugar, por lo menos por
fewminutes o hasta que un proceso en el fi cortafuegos hace que el conjunto de reglas que volver a cargar (que es casi todas las páginas guardar o Aplicar cambios acción).
Una vez que el administrador ha ajustado las reglas y recuperó el acceso necesario, girar el cortafuego de nuevo escribiendo:
# pfctl -e
Manual de conjuntos de reglas de edición
El conjunto de reglas cargado se retiene en / tmp / rules.debug. Si el administrador está familiarizado con la sintaxis PF conjunto de reglas, que pueden editar que fi l fi a veces el problema
de conectividad y volver a cargar esas reglas:
# pfctl -f /tmp/rules.debug
Después de volver a meterse en la WebGUI con ese temporal fi x, el administrador debe realizar cualquier trabajo es re quired en el WebGUI para
hacer la fi x permanente. Cuando las reglas se guardan en la WebGUI, la edición temporal para
/tmp/rules.debug será sobrescrito.
Remotamente Circumvent Firewall de bloqueo y de túnel SSH
Si el acceso remoto a la WebGUI es bloqueado por el cortafuego, pero se permite el acceso SSH, entonces no es una forma relativamente fácil de conseguir en: túnel
SSH.
Si el WebGUI es en el puerto 80, configurar el cliente SSH para redirigir el puerto local 443 ( o 4443, u otro puerto) a puerto remoto localhost: 443. Si el WebGUI fi
cortafuegos está en otro puerto, usar eso como el objetivo en su lugar. A continuación, señalar que el navegador https: // localhost. Añadir el puerto hasta el final de
la URL si es diferente de la predeterminada 443, por ejemplo,
https: // localhost: 4443. Si la interfaz gráfica de usuario está utilizando HTTP, cambie el protocolo de la URL para http: //.

Fig. 7.16: Configuración de un túnel del puerto 80 en la masilla SSH
7.11. ¿Qué hacer cuando cerró la puerta de los WebGUI 111

Llenar las opciones como se muestra en la figura Configuración de un túnel del puerto 80 en la masilla SSH , a continuación, haga clic Añadir.
Una vez que el cliente se conecta y se autentica, WebGUI es accesible desde el puerto local redirigida.
Bloqueó debido a Calamar Con fi guración de error
Si un administrador fi cortafuegos accidentalmente estafadores figuras Squid para utilizar el mismo puerto que el WebGUI, puede causar una condición de carrera para el
control del puerto, dependiendo del servicio (re) comienza en un momento determinado. Si calamar logra hacerse con el control del puerto que WebGUI quiere, entonces
el WebGUI no será accesible a fi jar la con fi guración. El siguiente procedimiento puede ayudar a recuperar el control.
• Conectarse a la consola pfSense fi cortafuegos con SSH o el acceso físico
• Iniciar una concha, la opción 8 desde la consola.
• Terminar el proceso de calamar:
# parada /usr/local/etc/rc.d/squid.sh
Si eso no funciona, pruebe este comando:
# killall -9 calamar
o:
# apagado -k calamar
Una vez que el proceso de calamar está totalmente terminada, la opción de menú de la consola utilizar 11 para reiniciar el proceso WebGUI, y luego intentar acceder a la WebGUI de
nuevo.
Nota: Trabajar de forma rápida o repetir el comando de apagado, como el calamar puede reiniciarse automáticamente por sus guiones Toring moni- internos en función del
método utilizado para detener el proceso.
La mayoría pfSense con fi guración se realiza utilizando el fi gurator interfaz gráfica de usuario basada en web con (WebCon fi gurator), o WebGUI para abreviar. Hay algunas
tareas que también se pueden realizar desde la consola, ya sea un monitor y un teclado, más de un puerto serie, o a través de SSH.
Conexión a la WebGUI
Con el fin de llegar a la WebGUI, conectar con un navegador web desde un ordenador conectado a la LAN. Este ordenador puede estar conectado
directamente con un cable de red o conectado al mismo conmutador como la interfaz LAN del cortafuego. Por defecto, la dirección IP de la LAN de un nuevo
sistema de pfSense es 192.168.1.1 con un / 24 máscara ( 255.255.255.0),
y también hay un servidor DHCP en funcionamiento. Si el equipo está configurado para utilizar DHCP, debe obtener una dirección en la subred LAN de forma automática. A
continuación, abra un navegador y vaya a https://192.168.1.1 .
Advertencia: Si la subred LAN por defecto conflictos con la subred de la WAN, la subred LAN debe ser cambiado antes de conectarlo al resto
de la red.
La dirección IP de la LAN puede ser cambiado y DHCP puede ser desactivada mediante la consola:
• Abra la consola (VGA, serial, o el uso de SSH de otra interfaz)
• la opción 2 en el menú de la consola elegir
• Introduzca la nueva dirección IP de la LAN, máscara de subred, y especificar si se activa o no DHCP.

• Introduzca la dirección de inicio y el final de la piscina DHCP si DHCP está activado. Esto puede ser cualquier intervalo dentro de la subred determinada.
Nota: Al asignar una nueva dirección IP LAN, no puede estar en la misma subred que el WAN o cualquier otra interfaz activa. Si hay otros dispositivos que ya están
presentes en la subred LAN, sino que también no se puede ajustar a la misma dirección IP como un host existente.
Si el servidor DHCP está desactivado, los equipos cliente de la LAN debe tener una dirección IP en la subred LAN pfSense estáticamente con fi gura, tales
como 192.168.1.5, con una máscara de subred que coincide con la dada a pfSense, tales como
255.255.255.0.
Una vez que el ordenador está conectado a la misma LAN que pfSense, navegar hacia la dirección IP de la LAN inalámbrica cortafuegos. La interfaz gráfica de usuario escucha en
HTTPS por defecto, pero si el navegador intenta conectarse a través de HTTP, se redirigir el fi cortafuegos al puerto HTTPS en lugar. Para acceder a la interfaz gráfica de usuario
directamente sin la redirección, el uso https://192.168.1.1 . Al cargar el WebGUI, la fi cortafuegos primera presenta una página de acceso. En esta página, introduzca las credenciales
predeterminadas:
nombre de usuario administración
contraseña pfSense
7.12. Conexión a la WebGUI 113


CAPÍTULO
OCHO
Tipos de interfaces y CONFIGURACIÓN
Grupos de interfaz
A diferencia de las otras interfaces en este capítulo, una Interface Group no es un tipo de interfaz que se puede asignar. grupos de interfaces se utilizan para aplicar
cortafuego o reglas NAT a un conjunto de interfaces en una pestaña común. Si este concepto es desconocida, considerar cómo las reglas fi cortafuego para OpenVPN, el
servidor PPPoE, o el trabajo del servidor L2TP. Existen múltiples interfaces en el sistema operativo subyacente, pero las reglas para todos ellos son gestionados en una
única ficha para cada tipo. Si muchas interfaces de una función similar están presentes en el cortafuego que necesitan reglas prácticamente idénticos, un grupo interfaz
puede ser creado para añadir reglas a todas las interfaces al mismo tiempo. Interfaces todavía pueden tener sus propias reglas individuales, que se procesan después de
que las reglas del grupo. Para crear un grupo de interfaces:
• Navegar a Interfaces> (asignar), Grupos de interfaz lengüeta
• Hacer clic Añadir para crear un nuevo grupo
• Entrar a Nombre del grupo. Este nombre puede contener sólo letras mayúsculas y minúsculas, no hay números, espacios o caracteres especiales
• Entrar a Descripción del Grupo ( Opcional)
• Añadir como interfaces Miembros del grupo ctrl-clic para seleccionar las entradas de la lista de interfaces
grupos de interfaz tienen cada uno una pestaña debajo Cortafuegos> Reglas para gestionar sus reglas. Figura Grupo interfaz Tab reglas del cortafuegos Muestra la pestaña
regla fi cortafuegos para el grupo de fi nido en la fi gura Agregar grupo Interfaz
Ver también:
Con fi gurar reglas de cortafuego para obtener información sobre la gestión de reglas fi cortafuego.
Grupo de reglas de procesamiento de pedidos
El orden de procesamiento de reglas para las reglas de usuario es:
• flotante reglas
• las reglas del grupo Interfaz
• Normas sobre la interfaz directamente
Por ejemplo, si una regla en la ficha grupo coincide con una conexión, no serán consultadas las reglas de la ficha interfaz. Del mismo modo, si una regla flotante con Rápido conjunto
combinado de una conexión, no serán consultadas las reglas del grupo interfaz.
115
Fig. 8.1: Agregar grupo Interfaz
Fig. 8.2: Interfaz Grupo Firewall Reglas Tab
116 Capítulo 8. Tipos de interfaz y con fi guración

El orden de procesamiento evita una combinación de reglas que de otro modo podría ser una buena fi cio. Por ejemplo, si una regla de bloqueo en general está presente en el
grupo, no puede ser anulado por una regla en una interfaz específica. Lo mismo con una regla de pase, una norma de interfaz fi co no puede bloquear el tráfico c transmite una
regla ficha de grupo.
Utilizar con interfaces WAN
No recomendamos el uso de grupos de interfaces con múltiples redes WAN. Si lo hace, puede parecer conveniente, pero las reglas del grupo no reciben el mismo
tratamiento que las reglas actuales de la ficha WAN. Por ejemplo, las normas sobre una pestaña para una interfaz de tipo WAN (puerta de enlace seleccionado en la
interfaz con fi guración) recibirá responder a que permite PF para volver trá fi co hacia atrás a través de la interfaz desde la que entró. normas ficha de grupo no reciben responder
a lo que efectivamente significa que el grupo gobierna única función como se esperaba en la WAN con la entrada de defecto.
Inalámbrico
los Inalámbrico lengüeta debajo Interfaces> (asignar) es para la creación y gestión de interfaces adicionales punto de acceso virtual (VAP). El uso de los VAP permite que múltiples
redes con SSID inalámbrico único que se funcionan con una sola tarjeta, si esa función es compatible con el hardware y el controlador está en uso. Un VAP se crea en el Inalámbrico
ficha, a continuación, asigna en el asignación de las interfaces lengüeta. En profundidad información sobre esta característica se puede encontrar en Inalámbrico .
VLAN
VLAN etiquetada las interfaces, o interfaces de etiquetado 802.1Q, se encuentran en el VLAN lengüeta debajo Interfaces> (asignar).
instancias de VLAN permiten que el sistema para hacer frente a tráfico c etiquetados por un 802.1Q interruptor capaz por separado como si cada etiqueta eran su propia interfaz distinta.
Una VLAN se crea en esta ficha, a continuación, asigna en el asignación de las interfaces lengüeta. En profundidad información sobre esta característica se puede encontrar en LAN
virtuales (VLAN) .
QinQs
La pestaña QinQs bajo Interfaces> (asignar) permite la creación de una interfaz compatible 802.1ad que también se conoce como
VLAN apiladas. Esta característica permite que múltiples etiquetas VLAN a estar contenidos en un único paquete. Esto puede ayudar en la realización de VLAN-etiquetados tráfico c
para otras redes a través de una red intermedia usando una etiqueta diferente o superpuestos. En profundidad información sobre esta característica se puede encontrar en pfSense
QinQ Con fi guración .
puentes
Puentes de interfaz, o múltiples interfaces atados juntos en un dominio de difusión común compartida capa 2, se crean y administran en el puentes lengüeta debajo Interfaces>
(asignar). Más información sobre el cierre, incluyendo la forma de crear y administrar los puentes, se encuentra en Bridging .
OpenVPN
Después de que se crea una instancia de OpenVPN, puede ser asignado bajo Interfaces> (asignar). Asignación de una interfaz OpenVPN permite reglas de interfaz-específico, y permite
que el interfaz que se utiliza en otras partes de la interfaz gráfica de usuario que requiere una interfaz asignada. Esto también provoca la creación de una puerta de enlace dinámico.
Esta puerta de enlace puede ser utilizado para el encaminamiento de política, o en un grupo de puerta de entrada para Multi-WAN. Ver Asignación de OpenVPN Interfaces para más
información.
8.2. Inalámbrico 117

PPP
Hay cuatro tipos de interfaces PPP:
• Llanura PPP para 3G / 4G y dispositivos de módem
• PPPoE para DSL o conexiones similares
• PPTP y L2TP para los ISP que les exigen para la autenticación.
En la mayoría de los casos éstos se gestionan desde los parámetros de la interfaz directa, pero también pueden ser editados bajo Interfaces> (asignar) sobre el PPP lengüeta.
Multi-Link PPP (MLPPP)
Edición de una instancia PPP también permite Multi-Link PPP (MLPPP) con fi gurado para los proveedores compatibles. bonos MLPPP múltiples enlaces PPP en un solo
canal agregado más grande. A diferencia de otras técnicas multi-WAN, con MLPPP es posible utilizar el ancho de banda completo de todos los eslabones de una sola
conexión, y las preocupaciones habituales sobre el equilibrio de carga y conmutación por error no se aplican. El enlace MLPPP se presenta como una interfaz con una
dirección IP, y si un enlace falla, las funciones de conexión lo mismo pero con capacidad reducida. Para obtener más información sobre MLPPP, véase Las conexiones
WAN múltiples .
PPP (Point-to-Point Protocol) Tipos de interfaces
Añadir o editar una entrada de PPP de la siguiente manera:
• Navegar a Interfaces> (asignar) sobre el PPP lengüeta
• Hacer clic para editar una entrada existente o añadir una nueva entrada
• Establecer el tipo de enlace, que cambia las opciones restantes de la página. Los tipos de enlace se explican a lo largo del resto de esta
sección.
PPP (3G / 4G, Modem)
los PPP Tipo de enlace se utiliza para hablar con un módem a través de un dispositivo serie. Esto puede ser cualquier cosa de una red 3G / 4G USB dongle para acceder
a una red celular a un módem de hardware de edad para el acceso telefónico. Al seleccionar la PPP
Tipo de enlace, el Link Interface (s) lista se rellena con dispositivos de serie que pueden utilizarse para comunicarse con un módem. Haga clic en una entrada específico para
seleccionarlo para su uso. Después de seleccionar la interfaz, introducir opcionalmente un Descripción para la entrada PPP.
Nota: El dispositivo en serie para un módem no se detecta automáticamente. Algunos módems presentan como varios dispositivos, y el subdispositivo para la línea PPP
pueden ser cualquiera de las opciones disponibles, pero comenzar con el último dispositivo, vuelva a intentar la primera, y luego otros en entre si ninguno de los función.
Cuando con fi gurar una red 3G / 4G, el Proveedor de servicio Opciones pre-llenar otros campos relevantes en la página.
• Seleccione un País, como Estados Unidos, para activar el Proveedor desplegable con los proveedores de celulares conocidos en ese país
• Seleccione un Proveedor de la lista, como T-Mobile, para activar el Plan desplegable.
• Seleccione un Plan y los campos restantes serán llenada con valores conocidos para ese Proveedor y Plan

los Proveedor de servicio opciones pueden ser con fi gurar manualmente si se necesitan otros valores, o cuando se utiliza un proveedor que no está en la lista:
Nombre de usuario y contraseña Las credenciales utilizadas para el inicio de sesión PPP.
Número de teléfono El número a marcar en el ISP para obtener acceso. Para 3G / 4G esto tiende a ser un número tal
como 99 # o # 777, y de acceso telefónico esto es por lo general un número de teléfono de telefonía tradicional.
Nombre de punto de acceso (APN) Este campo es requerido por algunos proveedores de Internet para identificar el servicio al que el cliente
conecta. Algunos proveedores utilizan esto para distinguir entre los planes de consumo y de negocios, o redes heredadas.
Número de APN ajuste opcional. Por defecto es 1 si el APN está establecido, y se ignoran cuando APN no está definido.
PIN de la SIM Código de seguridad de la tarjeta SIM para evitar el uso no autorizado de la tarjeta. No escriba nada aquí
Si la tarjeta SIM no tiene un PIN.
SIM PINWait Número de segundos de espera para SIM para descubrir la red después de que el PIN se envía a la tarjeta SIM.
Si el retraso no es lo suficientemente largo, la SIMmay no tiene tiempo para inicializar correctamente después de desbloquear.
cadena de inicialización La cadena de inicialización del módem, si es necesario. No incluye A al comienzo de la

mando. La mayoría de los módems modernos no requieren una cadena de inicialización personalizado.
El tiempo de conexión expiro Tiempo de espera para un intento de conexión para tener éxito, en cuestión de segundos. Por defecto es 45 sec
onds.
el tiempo de actividad de registro Cuando se activa, el tiempo de funcionamiento de la conexión se realiza un seguimiento y se muestra en Estado>
Interfaces.
PPPoE (Point-to-Point Protocol over Ethernet)
PPPoE es un método popular de la autenticación y el acceso a una red ISP, encuentra más comúnmente en las redes DSL.
Para con fi gurar un enlace PPPoE, comenzar por establecer Tipo de enlace a PPPoE y completar el resto de la configuración de la siguiente manera:
Link Interface (s) Las interfaces de la lista de redes que pueden ser utilizados para PPPoE. Estos son típicamente física
las interfaces, pero también puede trabajar sobre algunos otros tipos de interfaces, tales como VLAN. Seleccione uno para PPPoE normal o
múltiple para MLPPP.
Descripción Una descripción de texto opcional de la entrada PPP
Nombre de usuario y contraseña Las credenciales para este circuito PPPoE. Estos serán proporcionados por
el ISP, y el nombre de usuario es típicamente en la forma de una dirección de correo electrónico, tales como
mycompany@ispexample.com.
Nombre del Servicio Se deja en blanco para la mayoría de los ISP, algunos requieren que esto se establece en un valor específico. Póngase en contacto con el ISP
para confirmar el valor si la conexión no funciona cuando se deja en blanco.
Con fi gura Nombre del servicio NULL Algunos ISP requieren NULO ser enviado en lugar de un nombre de servicio en blanco.
Marque esta opción cuando el ISP considera que este comportamiento es necesario.
Restablecer periódica Con fi guras un tiempo preestablecido cuando la conexión se cayó y se reinicia. Esto es
rara vez es necesaria, pero en ciertos casos puede manejar mejor las reconexiones cuando un ISP ha forzado reconexiones diarias o
comportamiento peculiar similar.
PPTP (Point-to-Point Tunneling Protocol)
No debe confundirse con una VPN PPTP, este tipo de interfaz PPTP está destinado a conectarse a un ISP y autenticar, lo mismo que funciona PPPoE. Las
opciones para una WAN PPTP son idénticas a las opciones PPPoE del mismo nombre. Consulte la sección anterior para obtener información con fi
guración.
8.7. PPP 119

L2TP (Layer 2 Tunneling Protocol)
L2TP, ya que es con fi gurado aquí, se utiliza para la conexión a un ISP que lo requiere para la autenticación como un tipo de red WAN. L2TP funciona de forma idéntica a
PPTP. Consulte las secciones anteriores para obtener información con fi guración.
Opciones avanzadas de PPP
Todos los tipos de APP tienen varias opciones avanzadas en común que puede ser editado en sus entradas aquí. En la mayoría de los casos éstos
configuración no es necesario modificar. Para mostrar estas opciones, haga clic Mostrar avanzada.
Marque cuando lo desee El comportamiento por defecto de un enlace PPP es conectar de inmediato y lo hará de inmediato
intentará volver a conectarse cuando se pierde un enlace. Este comportamiento se describe como Siempre. Marque cuando lo desee
retrasará este intento de conexión. Cuando se establece, el cortafuego esperará hasta que un paquete intenta salir de la interfaz a través de
este, y luego se conectará. Una vez conectado, no se desconectará automáticamente.
Tiempo de inactividad Una conexión PPP se llevará a cabo abierto inde fi nidamente por defecto. Un valor en Tiempo de inactividad,
especificados en segundos, hará que el cortafuego para supervisar la línea para la actividad. Si no hay trá fi co en el enlace para la cantidad de
tiempo determinado, se desconectará el enlace. Si Marque cuando lo desee También se ha establecido, el cortafuego volverá a marcar bajo
demanda modo.
Nota: pfSense llevará a cabo la vigilancia de puerta de enlace por defecto que generará dos pings ICMP por segundo en la interfaz. Tiempo de
inactividad no funcionará en este caso. Esto se puede evitar mediante la edición de la puerta de entrada para este enlace PPP, y la comprobación Desactivar
la puerta de enlace de Seguimiento.
Compresión (vjcomp) Esta opción controla si o no la compresión de cabeceras Van Jacobson TCP
ser usado. Por defecto se negociará con los pares durante el registro, por lo que si ambas partes admiten la función se va a utilizar.
Comprobación Desactivar vjcomp hará que la función para siempre estar desactivado. normalmente esta característica es beneficiosa, ya
que ahorra varios bytes por paquete de datos TCP. La opción casi siempre debe permanecer habilitado. Esta compresión es ineficaz para
las conexiones TCP con extensiones modernas habilitados como de fecha y hora o un saco, que modifican las opciones de TCP entre
paquetes secuenciales.
TCP MSS Fix La opción tcpmss fi x hace que el demonio PPP para ajustar entrante y saliente TCP SYN
segmentos de manera que el tamaño de segmento máximo solicitado (MSS) no es mayor que la cantidad permitida por la interfaz de MTU. Esto
es necesario en la mayoría de los casos para evitar problemas causados por los routers que la caída de los mensajes ICMP de datagramas de
“demasiado grande”. Sin estos mensajes, la máquina de origen envía datos, pasa el router pícaro continuación, golpea una máquina que tiene
una MTU que no es lo suficientemente grande para los datos. Debido a que la IP “no fragmentar” opción está activada, esta máquina envía un
mensaje ICMP “de Datagrama demasiado grande” de nuevo al autor y descarta el paquete. El router pícaro descarta el mensaje ICMP y el autor
nunca llega a descubrir que se debe reducir el tamaño de los fragmentos o dejar caer el PI opción de sus datos salientes No fragmentar. Si este
comportamiento no es deseable, comprobar Desactivar tcpmss fi x.
Nota: Los valores de MTU y del SMS para la interfaz también se pueden ajustar en la página ración gu- con fi de la interfaz bajo la Interfaces
menú, como Interfaces> WAN.
Secuencia corta (ShortSeq) Esta opción sólo tiene sentido si se negocia MLPPP. Se proscribe más corto
multibrazo cabeceras de fragmentos, el ahorro de dos bytes en cada cuadro. No es necesario deshabilitar esto para conexiones que no
son multi-link. Si MLPPP está activa y esta función debe ser desactivada, compruebe
shortseq Desactivar.
Dirección de control de compresión Field (AFCComp) Esta opción sólo se aplica a tipos de enlaces asíncronos.
Se ahorra dos bytes por trama. Para desactivar esto, compruebe Desactivar ACF compresión.

Compresión de Campo del Protocolo (ProtoComp) Esta opción guarda un byte por cuadro para la mayoría de los marcos. A
desactivar esto, compruebe Desactivar Protocolo de Compresión.
GRE (Generic Routing Encapsulation)
Generic Routing Encapsulation (GRE) es un método de construcción de túneles tráfico c entre dos routers sin cifrado. Se puede utilizar para enrutar paquetes
entre dos lugares que no están conectados directamente, que no requieren cifrado. También se puede combinar con un método de cifrado que no realiza su
propio túnel. IPsec en transporte modo se puede utilizar para GRE túnel encriptado tráfico c de una manera que permite el encaminamiento tradicional o el uso
de los protocolos de enrutamiento. El protocolo GRE fue diseñado originalmente por Cisco, y es el modo de túnel por defecto en muchos de sus dispositivos.
Para crear o administrar una interfaz GRE:
• Navegar a Interfaces> (asignar), GRE lengüeta
• Hacer clic Añadir para crear una nueva instancia de GRE, o haga clic para editar una interfaz existente.
• Completar la configuración de la siguiente manera:
interfaz de padres La interfaz sobre la cual terminará el túnel GRE. A menudo, esto será WAN
o una conexión de tipo WAN.
GRE dirección remota La dirección del par remoto. Esta es la dirección donde los paquetes GRE
será enviada por este fi cortafuegos; La dirección externa enrutable en el otro extremo del túnel.
túnel GRE dirección local La dirección interna para el final del túnel en este fi cortafuegos. La re fi
pared utilizará esta dirección para su propio tráfico c en el túnel, y tunelizado tráfico remoto fi c sería enviado a esta dirección
por el par remoto.
dirección remota túnel GRE La dirección utilizada por el cortafuego interior del túnel para llegar a la otra
fin. Traf fi c destinada para el otro extremo del túnel debe utilizar esta dirección como una puerta de enlace para fines de enrutamiento.
GRE túnel de subred La máscara de subred de la dirección de la interfaz GRE.
Descripción Una breve descripción de este túnel GRE para fines de documentación.
GIF (interfaz de túnel Generic)
Un túnel Generic Interface (GIF) es similar a GRE; Ambos protocolos son un medio para el tráfico túnel fi c entre dos anfitriones sin cifrado. Además de un
túnel IPv4 o IPv6 directamente, GIF se puede usar para IPv6 túnel a través de redes IPv4 y viceversa. túneles GIF se utilizan comúnmente para obtener
conectividad IPv6 a los corredores de túnel, tales como Hurricane Electric y SixXS en lugares donde la conectividad IPv6 no está disponible.
Ver también:
Ver Conexión con un túnel de Service Broker para obtener información sobre la conexión a un servicio tunnelbroker. interfaces de GIF llevan más información a
través del túnel que se puede hacer con GRE, pero GIF no se admite la forma más amplia. Por ejemplo, un túnel GIF es capaz de capa de puenteo 2 entre dos
regiones, en tanto GRE no puede. Para crear o administrar una interfaz GIF:
• Navegar a Interfaces> (asignar), GIF lengüeta
8.8. GRE (Generic Routing Encapsulation) 121

• Hacer clic Añadir para crear una nueva instancia GIF, o haga clic para editar una interfaz existente.
interfaz de padres La interfaz sobre la cual terminará el túnel GIF. A menudo, esto será WAN
o una conexión de tipo WAN.
GIF dirección remota La dirección del par remoto. Esta es la dirección donde los paquetes GIF
será enviada por este fi cortafuegos; La dirección externa enrutable en el otro extremo del túnel. Por ejemplo, en un
túnel IPv6-en-IPv4 a Hurricane Electric, este sería el dirección IPv4 del servidor de túnel, tales como 209.51.181.2.
túnel GIF dirección local La dirección interna para el final del túnel en este fi cortafuegos. El cortafuego
utilizará esta dirección para su propio trá fi co en el túnel y túnel tráfico remoto fi co serían enviados a esta dirección por el
par remoto. Por ejemplo, cuando un túnel IPv6-en-IPv4 a través de Hurricane Electric, se refieren a esto como el Dirección IPv6
cliente. dirección remota túnel GIF La dirección utilizada por el cortafuego interior del túnel para llegar a la otra
fin. Traf fi c destinada para el otro extremo del túnel debe utilizar esta dirección como una puerta de enlace para fines de enrutamiento.
Por ejemplo, cuando un túnel IPv6-en-IPv4 a través de Hurricane Electric, se refieren a esto como el Dirección IPv6 del servidor. GIF túnel
de subred La máscara de subred o pre longitud fi x para la dirección de interfaz. En este ejemplo,
sería 64.
El almacenamiento en caché de rutas La opción de almacenamiento en caché de la ruta activa o desactiva la ruta hacia el extremo remoto
se almacena en caché. Si la ruta a la distancia entre pares es estático, el establecimiento de esto puede evitar una búsqueda de rutas por paquete. Sin
embargo, si el camino hasta el otro lado puede cambiar, esta opción podría resultar en la GIF tráfico no fluya cuando los cambios de ruta c.
Comportamiento ECN friendly La opción de un comportamiento respetuoso con ECN controla si o no la explícita
Congestión Noti fi cación (ECN) práctica -Friendly de copiar el bit TOS en / fuera del tráfico túnel fi c se realiza por el cortafuego. Por
defecto, el cortafuego borra el bit TOS en los paquetes o ajustarlo en el 0, dependiendo de la dirección del tráfico c. Con este conjunto de
opciones, el bit se copia según sea necesario entre los paquetes de interior y exterior para ser más amigable con los routers intermedios
que pueden realizar tráfico c conformación. Este comportamiento se rompe RFC 2893 por lo que sólo se debe utilizar cuando ambos
compañeros están de acuerdo para activar la opción.
Descripción Una breve descripción de este túnel GIF para fines de documentación.
Nota: Si la interfaz GIF se asigna bajo Interfaces> (asignar), selecciona el Con IPv4 Tipo fi guración y Con IPv6 Tipo fi guración a Ninguna. El
cortafuego creará automáticamente una puerta de enlace dinámico en esta situación.
LAGG (Link Aggregation)
La agregación de enlaces es manejado por lagg (4) interfaces de tipo (LAGG) en pfSense. LAGG combina múltiples interfaces físicas juntos como una interfaz lógica.
Hay varias maneras en que esto puede funcionar, ya sea para la obtención de ancho de banda adicional, redundancia, o alguna combinación de los dos. Para crear o
administrar las interfaces LAGG:
• Navegar a Interfaces> (asignar), LAGGs lengüeta
• Hacer clic Añadir para crear un nuevo LAGG, o haga clic para editar una instancia existente.

Interfaces de padres Esta lista contiene todas las interfaces no asignados actualmente y miembros de la corriente
LAGG interfaz al editar una instancia existente. Para añadir interfaces para esta LAGG, seleccione una o más interfaces en esta
lista.
Nota: Una interfaz sólo puede añadir a un grupo LAGG si no se asigna. Si una interfaz no está presente en la lista, es probable
que ya asignado como una interfaz.
Protocolo LAGG Actualmente hay seis modos de funcionamiento diferentes para las interfaces LAGG: LACP, de conmutación por error,
Equilibrar la carga, FEC, Round Robin, y Ninguno.
LACP El protocolo LAGG más comúnmente utilizado. Este modo es compatible con IEEE 802.3ad
Protocolo de Control de agregación de enlaces (LACP) y el Protocolo de marcador. En el modo LACP, la negociación se lleva a
cabo con el interruptor - que también debe ser compatible con LACP - para formar un grupo de puertos que están activos al
mismo tiempo. Esto es lo conocido como Grupo de agregación de enlace, o el LAG. La velocidad y la MTU de cada puerto en
un LAG deben ser idénticos y los puertos también deben ejecutar en duplex completo. Si el enlace se pierde a un puerto en el
GAL, GAL sigue funcionando, pero con una capacidad reducida. De esta manera, un haz LACP LAGG puede ganar tanto la
redundancia y mayor ancho de banda.
Tra fi co está equilibrado entre todos los puertos en el LAG, sin embargo, para la comunicación entre dos máquinas individuales
sólo utilizará un único puerto a la vez debido a que el cliente sólo hablará con una dirección MAC a la vez. Para múltiples
conexiones a través de múltiples dispositivos, esta limitación se convierte efectivamente irrelevante. También la limitación no es
relevante para la conmutación por error.
Además de con fi gurar esta opción en pfSense, el interruptor debe habilitar LACP en estos puertos o tienen los puertos
agrupados en un grupo GAL. Ambas partes deben estar de acuerdo en la con fi guración con el fin de que funcione
correctamente.
conmutación por error Cuando se utiliza la conmutación por error LAGG protocolo de tráfico c sólo será enviado en el primario
interfaz del grupo. Si la interfaz principal falla, entonces trá fi co usará la siguiente interfaz disponible. La
interfaz principal es la interfaz primer seleccionado en la lista, y continuará en orden hasta que llega al final
de las interfaces seleccionadas.
Nota: Por defecto, tráfico c solamente puede ser recibido en la interfaz activa. Crear un sistema para
sintonizable net.link.lagg.failover_rx_all con un valor de 1 para permitir tráfico c para ser recibido en cada
interfaz miembro.
Equilibrio de carga el modo de equilibrio de carga acepta tráfico entrante fi co en cualquier puerto del grupo LAGG
y los saldos de salida trá fi co en cualquiera de los puertos activos en el grupo LAGG. Se trata de una configuración estática que
no supervisa el estado del enlace ni negociar con el interruptor. Salida tráfico c es equilibra la carga sobre la base de todos los
puertos activos en el LAGG utilizando un hash calculado utilizando varios factores, tales como la dirección de origen y destino IP,
la dirección MAC, y la etiqueta de VLAN.
FEC modo FEC soporta Cisco EtherChannel y es un alias para el modo de equilibrio de carga.
round Robin Este modo acepta tráfico entrante fi co en cualquier puerto del grupo y LAGG
envía saliente tráfico c utilizando un algoritmo de programación robin ronda. Normalmente, esto significa que tráfico c será
enviado en secuencia, usando cada interfaz en el grupo a su vez.
Ninguna Este modo desactiva tráfico c en la interfaz LAGG sin desactivar la interfaz
sí mismo. El sistema operativo todavía creen que la interfaz está funcionando y utilizable, pero sin trá fi co será enviado o recibido en el
grupo.
Descripción Una breve nota sobre el propósito de esta instancia LAGG.
8.10. LAGG (Link Aggregation) 123

Después de crear una interfaz LAGG, funciona como cualquier otra interfaz física. Asignar la interfaz lagg bajo Interfaces
> (asignar) y darle una dirección IP, o construir otras cosas en la parte superior de la misma, tales como VLAN. Debido a las limitaciones en FreeBSD, lagg (4) no soporta altq
(4) lo que no es posible utilizar el fi c talladora de tráfico en LAGG interactúa directamente. VLAN (4) soporte de interfaces altq (4) y las VLAN se pueden utilizar en la parte
superior de interfaces LAGG, por lo que usan las VLAN pueden solucionar el problema. Como solución alternativa, limitadores puede controlar el uso de ancho de banda en
las interfaces LAGG.
Para asignar una nueva interfaz:
• Recoger la nueva interfaz de la puertos de red disponibles lista
La nueva interfaz de asignación se mostrará en la lista. La nueva interfaz tendrá un nombre predeterminado asignado por el cortafuego como OPT1 o OPT2, con el
número cada vez mayor en función de su orden de asignación. Las dos primeras interfaces de forma predeterminada a los nombres de WAN y LAN, sino que
puede ser renombrado. Estos nombres aparecen bajo el OptX Interfaces menú, como Interfaces> OPT1. Al seleccionar la opción de menú de la interfaz se abrirá la
página de con fi guración para esa interfaz.
Las siguientes opciones están disponibles para todos los tipos de interfaz.
Descripción
El nombre de la interfaz. Esto va a cambiar el nombre de la interfaz en el Interfaces menú, en los registros bajo
Firewall> Reglas, debajo Servicios> DHCP, y en otros lugares a lo largo de la GUI. Los nombres de interfaces pueden contener sólo letras, números y el único
carácter especial que se permite es un guión bajo ( “_”). El uso de un nombre personalizado hace que sea más fácil de recordar el propósito de una interfaz y para
identificar una interfaz para añadir reglas fi cortafuego o elegir otras funcionalidades por interfaz.
Con IPv4 Tipo fi guración
Con fi guras los valores de IPv4 para la interfaz. Los detalles de esta opción se encuentran en la siguiente sección, Tipos de WAN IPv4 .
Con IPv6 Tipo fi guración
Con fi guras los parámetros de IPv6 para la interfaz. Los detalles de esta opción están en Tipos IPv6 WAN .
Dirección MAC
La dirección MAC de una interfaz se puede cambiar ( “falso”) para imitar una pieza anterior de los equipos.
Advertencia: Se recomienda evitar esta práctica. El viejo MAC generalmente se aclararía por restablecer el equipo al que se conecta este fi cortafuegos, o
en la limpieza de la tabla ARP, o en espera de las antiguas entradas ARP de expirar. Se trata de una solución a largo plazo para un problema temporal.

Spoo fi ng de la dirección MAC de la anterior cortafuego puede permitir una transición suave de un viejo router a un nuevo router, por lo que almacena en caché ARP en los
dispositivos y routers aguas arriba no son una preocupación. También se puede utilizar para engañar a una parte del equipo en la creencia de que está hablando con el mismo
dispositivo que estaba hablando antes, al igual que en los casos en que un determinado enrutador de red está utilizando ARP estática o filtros de otra manera Fi basado en dirección
MAC. Esto es común en los módems de cable, en los que pueden requerir la dirección MAC para ser registrada si cambia.
Una desventaja de SPOO fi ng de la dirección MAC es que a menos que la vieja pieza de equipo se retiró de forma permanente, se corre el riesgo de tener más adelante
una dirección MAC conflicto en la red, que puede conducir a problemas de conectividad. problemas de caché ARP tienden a ser muy temporal, resolviendo de forma
automática en cuestión de minutos o apagando y encendiendo otro equipo. Si la antigua dirección MAC debe ser restaurada, esta opción debe ser descargada y entonces
el cortafuego debe ser reiniciado. Como alternativa, introduzca la dirección MAC original de la tarjeta de red y guardar / aplicar, a continuación, vaciar el valor nuevo.
MTU (Maximum Transmission Unit)
La unidad de transmisión máxima ( MTU) tamaño de campo por lo general puede ser dejado en blanco, pero se puede cambiar cuando sea necesario. Algunas situaciones pueden requerir
una MTU inferior para asegurar los paquetes están dimensionados adecuadamente para una conexión a Internet. En la mayoría de los casos, el valor por defecto asume valores para el
tipo de conexión WAN funcionarán correctamente. Se puede aumentar para aquellos que utilizan tramas gigantes en su red.
En una red Ethernet de estilo típico, el valor predeterminado es de 1500, pero el valor real puede variar dependiendo de la interfaz con fi guración.
MSS (tamaño máximo de segmento)
Al igual que en el campo MTU, el MSS campo “abrazadera” el tamaño máximo de segmento (MSS) de conexiones TCP con el tamaño fi cado con el fin de
evitar problemas con Path MTU Discovery.
Velocidad y dúplex
El valor predeterminado de velocidad de enlace y dúplex es dejar que el cortafuego decidir qué es lo mejor. Esa opción por defecto es típicamente
Selección automática, el que negocia las mejores configuraciones de velocidad y dúplex posibles con los pares, típicamente un interruptor. El ajuste de velocidad y dúplex en una interfaz
debe coincidir con el dispositivo al que está conectado. Por ejemplo, cuando el cortafuego se establece en Selección automática, El interruptor también debe ser con fi gurada para Selección
automática. Si el interruptor u otro dispositivo tiene una velocidad fi específico y duplex forzada, debe ser emparejado por el cortafuego.
Bloque Redes Privadas
Cuando Bloquear las redes privadas está activo pfSense inserta automáticamente una regla que impide cualquier RFC 1918 redes ( 10.0.0.0/8, 172.16.0.0/12,
192.168.0.0/16) y de bucle de retroceso ( 127.0.0.0/8) de la comunicación en esa interfaz. Esta opción es por lo general sólo es deseable en interfaces de
tipo WAN para evitar la posibilidad de numeración privado fi c tráfico que entra a través de una interfaz pública.
redes de bloques Bogon
Cuando redes de bloques Bogon pfSense es activa bloqueará trá fi co de una lista de redes no asignados y reservados. Esta lista se actualiza periódicamente por
el cortafuego de forma automática.
Ahora que todo el espacio IPv4 ha sido asignado, esta lista es bastante pequeño, que contiene la mayoría de las redes que se han reservado de alguna manera por la
IANA. Estas subredes nunca deben estar en uso activo en una red, especialmente uno frente a la Internet, por lo que es una buena práctica para habilitar esta opción
en interfaces de tipo WAN. Para IPv6, la lista es bastante grande,
8.11. Interfaz Con fi guración 125

que contiene trozos considerables de la posible espacio IPv6 que todavía tiene que ser asignado. En los sistemas con bajas cantidades de memoria RAM, esta lista puede ser
demasiado grande, o el valor por defecto de Firewall entradas de tabla de máximos puede ser demasiado pequeña. Ese valor se puede ajustar bajo Sistema> Avanzado sobre el Cortafuegos
y NAT lengüeta.
Tipos de WAN IPv4
Una vez que se ha asignado una interfaz, en la mayoría de los casos se requerirá una dirección IP. Para las conexiones IPv4, las siguientes opciones están disponibles:
IPv4 estática, DHCP, PPP, PPPoE, PPTP y L2TP. Estas opciones son seleccionadas usando la Con IPv4 Tipo fi guración selector en una página de la interfaz (por
ejemplo, Interfaces> WAN).
Ninguna
Cuando Con IPv4 Tipo fi guración se establece en Ninguna, IPv4 está desactivada en la interfaz. Esto es útil si la interfaz no tiene conectividad IPv4 o si la dirección
IP en la interfaz está siendo manejado de alguna otra forma, como por ejemplo para una interfaz de OpenVPN o GIF.
IPv4 estática
Con IPv4 estática, La interfaz contiene una dirección IP fi gurada con forma manual. Cuando elegido, tres campos adicionales están disponibles en la pantalla de interfaz con
fi guración: Dirección IPv4, un selector de máscara de subred CIDR, y el Aguas arriba de puerta de enlace IPv4 campo.
Para con fi gura la interfaz para IPv4 estática en una interfaz interna (por ejemplo, LAN, DMZ):
• Seleccionar IPv4 estática debajo Con IPv4 Tipo fi guración
• Introduzca la dirección IPv4 para la interfaz en el dirección IPv4 caja
• Seleccione la máscara de subred adecuada desde el desplegable CIDR después de que el cuadro de dirección
• No seleccione una Aguas arriba de puerta de enlace IPv4
Para con fi gurar la interfaz para IPv4 estática en una interfaz de tipo de WAN:
• Seleccionar IPv4 estática debajo Con IPv4 Tipo fi guración
• Introduzca la dirección IPv4 para la interfaz en el dirección IPv4 caja
• Seleccione la máscara de subred adecuada desde el desplegable CIDR después de que el cuadro de dirección
• Realice una de las siguientes para utilizar una puerta de enlace en la interfaz:
- Seleccione una Aguas arriba de puerta de enlace IPv4 de la lista, O
- Hacer clic Agregar una nueva puerta de enlace para crear una nueva puerta de enlace si no existe ya. Al hacer clic en ese botón muestra un formulario
modal para agregar la puerta de entrada sin salir de esta página. Rellenar los datos solicitados en el formulario nuevo:
Puerta de enlace predeterminada Si este es el único WAN o será un nuevo valor predeterminado WAN, marque esta casilla. los
por defecto puertas de enlace IPv4 e IPv6 de forma independiente el uno del otro. Los dos no tiene por qué ser en el mismo circuito. Cambio de la
puerta de enlace predeterminada IPv4 tiene ningún efecto sobre la puerta de entrada de IPv6, y viceversa.
Nombre de puerta de enlace El nombre utilizado para referirse a la pasarela internamente, así como en lugares como Gate-
Grupos manera, los gráficos de calidad, y en otros lugares.

gateway IPv4 La dirección IP de la pasarela. Esta dirección debe estar dentro de la misma subred
como la dirección estática IPv4 cuando se utiliza este formulario.
Descripción Un poco de texto para indicar el fin de la pasarela.
* Haga clic Añadir
Nota: Selección de una Aguas arriba de puerta de enlace IPv4 de la lista desplegable o la adición y la selección de una nueva puerta de entrada hará que pfSense tratar esta
interfaz como una interfaz de tipo de WAN para NAT y funciones relacionadas. Esto no es deseable para las interfaces internas tales como LAN o una DMZ. Gateways todavía
se pueden usar en las interfaces internas con el propósito de rutas estáticas sin seleccionar una Aguas arriba de puerta de enlace IPv4 aquí en la pantalla de interfaces.
DHCP
Cuando una interfaz se establece en DHCP, pfSense intentará automática IPv4 con fi guración de esta interfaz a través de DHCP. Esta opción también activa varios campos
adicionales en la página. Bajo estas circunstancias, la mayoría de los campos adicionales pueden dejarse en blanco.
nombre de host Algunos ISP requieren la nombre de host para el cliente de identi fi cación. El valor en el nombre de host campo
se envía como el cliente DHCP identi fi cador y el nombre de host al solicitar una concesión DHCP.
Alias de direcciones IPv4 Este valor se utiliza como un alias de dirección IPv4 fijado por el cliente DHCP desde un típico IP
Alias VIP no se puede utilizar con DHCP. Esto puede ser útil para acceder a una pieza de equipo en una red separada, numeradas
estáticamente fuera del ámbito DHCP. Un ejemplo sería para llegar a una dirección IP de administración módem de cable.
Rechazar alquila a Una dirección IPv4 de un servidor DHCP que debe ser ignorado. Por ejemplo, un cable
módem que reparte las direcciones IP privadas cuando el cable de sincronización se ha perdido. Introduzca la dirección IP privada del módem
aquí, por ejemplo, 192.168.100.1 y el cortafuego nunca va a recoger o tratar de utilizar una dirección IP de un servidor suministrado por el fi
cado.
Con fi guración avanzada Permite opciones para controlar la sincronización de protocolo. En la gran mayoría de los casos
esto debe ser dejado sin control y las opciones dentro sin cambios.
Timing Protocol Los campos en esta área dan fi de control de grano fino sobre el momento utilizado por
dhclient en la gestión de una dirección en esta interfaz. Estas opciones son casi siempre dejarse en sus valores por
defecto. Para más detalles sobre lo que controla cada campo, consulte la
página del manual de dhclient
preajustes Tiene varias opciones para valores de tiempo de protocolo preestablecido. Estos son útiles como una partida
punto de ajustes personalizados o para su uso cuando los valores se necesita restablecer los valores por defecto.
Con fi guración de anulación Permite un campo de usar una costumbre dhclient con fi guración fi l. La ruta completa
se debe dar. El uso de un encargo fi l rara vez es necesaria, pero algunos ISP requieren campos DHCP u opciones que no son compatibles con la interfaz
gráfica de usuario pfSense.
Tipos de PPP
Los diferentes tipos de conexiones basadas en PPP como PPP, PPPoE, PPTP y L2TP están todos cubiertos en detalle anteriormente en este capítulo ( PPP ). Cuando uno de
estos tipos se selecciona aquí en la pantalla de las interfaces, sus opciones básicas se pueden cambiar como se describe. Para acceder a las opciones avanzadas, siga el
enlace de esta página o navegar hasta Interfaces> (asignar) sobre el
PPP pestaña, encuentre la entrada, y editarlo allí.
8.12. Tipos de WAN IPv4 127

Tipos IPv6 WAN
Al igual que en IPv4, la Con IPv6 Tipo fi guración controla si y cómo una dirección IPv6 se asigna a una interfaz. Hay varias maneras diferentes de
con fi gura IPv6 y el método exacto depende de la red a la que está conectado el cortafuego y la forma en que el ISP ha desplegado IPv6.
Ver también:
Para obtener más información sobre IPv6, incluyendo una introducción básica, consulte IPv6 .
Ninguna
Cuando Con IPv6 Tipo fi guración se establece en Ninguna, IPv6 está deshabilitado en la interfaz. Esto es útil si la interfaz no tiene conectividad IPv6 o si la dirección
IP en la interfaz está siendo manejado de alguna otra forma, como por ejemplo para una interfaz de OpenVPN o GIF.
IPv6 estática
Los controles IPv6 estáticas funcionan de forma idéntica a la configuración estática IPv4. Ver IPv4 estática para detalles. Con IPv6 estática, la interfaz contiene una dirección
IPv6 manualmente con fi gurado. Cuando elegido, tres campos adicionales están disponibles en la pantalla de interfaz con fi guración: Dirección IPv6, un pre fi selector x
longitud, y el Aguas arriba de puerta de enlace IPv6 campo.
Las puertas de enlace IPv4 e IPv6 por defecto funcionan independientemente uno del otro. Los dos no tiene por qué ser en el mismo circuito. Cambio de la puerta de enlace predeterminada
IPv4 tiene ningún efecto sobre la puerta de entrada de IPv6, y viceversa.
DHCP6
DHCP6 con cifras pfSense para intentar automática IPv6 con fi guración de esta interfaz a través de DHCPv6. DHCPv6 se con fi gura la interfaz con una dirección IP, pre
longitud fi x, servidores DNS, etc., pero no una puerta de enlace. La puerta de enlace se obtiene a través de avisos de encaminador, por lo que esta interfaz se puede
configurar para aceptar avisos de encaminador. Esta es una opción de diseño como parte del IPv6 especí fi cación, no una limitación de pfSense. Para obtener más
información sobre los anuncios de enrutador, consulte anuncios de enrutador .
Varios campos adicionales están disponibles para IPv6 DHCP que no existen para IPv4 DHCP:
Utilizar IPv4 como Conectividad Interfaz de Padres Cuando se establece, la solicitud DHCP IPv6 se envía utilizando IPv4 en esta
interfaz, en lugar de utilizar IPv6 nativo. Esto sólo es necesario en casos especiales cuando el ISP requiere este tipo de con fi
guración.
Solicitud sólo IPv6 Prefijo x Cuando se establece, el cliente DHCPv6 no solicita una dirección para la interfaz
en sí, sólo se solicita una pre fi x delegado.
DHCPv6 Pre fi x Tamaño Delegación Si el ISP suministra una red IPv6 encaminado a través de pre fi x delegación, que
publicará el tamaño delegación, que se puede seleccionar aquí. Por lo general es un valor en algún lugar BE- Tween 48 y 64. Para obtener
más información sobre howDHCPv6 trabaja pre fi x delegación, consulte DHCP6 Pre fi x Delegación . Para utilizar esta delegación, otra
interfaz interna debe ajustarse a una Con IPv6 Tipo fi guración de Track Interface ( Track Interface ) de modo que pueda utilizar las direcciones
delegadas por el servidor DHCPv6 aguas arriba.
Enviar IPv6 Prefijo x Indirecta Cuando se establece, la DHCPv6 Pre fi x Tamaño Delegación se envía junto con la solicitud de
informar al servidor de aguas arriba qué tan grande de una delegación se desea por esta fi cortafuegos. Si un proveedor de Internet permite la elección, y el
tamaño elegido está dentro de su rango permitido, el tamaño solicitado se le dará en lugar del tamaño predeterminado.

Depurar Cuando se establece, el cliente DHCPv6 se inicia en modo de depuración.
Con fi guración avanzada Permite una amplia gama de parámetros de ajuste avanzadas para el cliente DHCPv6.
Estas opciones se usan muy poco, y cuando se le pide, los valores son dictadas por el ISP o administrador de red. ver el página
del manual dhcp6c.conf para detalles.
Con fi guración de anulación Permite un campo de usar una costumbre con fi guración fi l. La ruta completa debe ser dada.
El uso de un encargo fi l rara vez es necesaria, pero algunos ISP requieren campos DHCP u opciones que no son compatibles con la interfaz gráfica de usuario
pfSense.
SLAAC
Dirección estado AutoCon fi guración ( SLAAC) como el tipo IPv6 hace pfSense intento de con fi gura la dirección IPv6 para la interfaz de anuncios de enrutador (RA) que
anuncian la información relacionada pre fi x y. Tenga en cuenta que el DNS no se proporciona normalmente a través de la AR, por lo pfSense todavía intentará obtener los
servidores DNS a través de DHCPv6 cuando se utiliza SLAAC. En el futuro, las extensiones RDNSS al proceso de RA pueden permitir que los servidores DNS que se
obtienen a partir de RA. Para obtener más información sobre los anuncios de enrutador, consulte anuncios de enrutador .
6RD túnel
6RD es una tecnología de tunelización IPv6 empleado por algunos proveedores de Internet para permitir rápidamente soporte IPv6 para sus redes, pasando los paquetes
IPv4 IPv6 tráfico c dentro especialmente diseñados entre y el router del usuario final y el relé de ISP. Se relaciona con 6a4, pero está destinado a ser utilizado dentro de la
red del ISP, utilizando las direcciones IPv6 desde el ISP para el tráfico de clientes fi co. Para utilizar 6RD, el ISP debe proporcionar tres piezas de información: El 6RD pre fi
x, el relé Border 6RD, y la fi x longitud 6RD IPv4 Pre.
6RD Pre fi x La fi pre 6RD IPv6 x asignado por el ISP, como 2001: db8 :: / 32.
Relevo de la frontera 6RD La dirección IPv4 del relé ISP 6RD.
6RD IPv4 Pre fi x Altura Controla la cantidad de la dirección IPv4 usuario final está codificada dentro de la 6RD
pre fi x. Este se suministra normalmente por el ISP. Un valor de 0 significa toda la dirección IPv4 se incrusta dentro de la 6RD pre fi x. Este
valor permite a los ISP ruta direcciones IPv6 con eficacia más a los clientes mediante la eliminación de información redundante si IPv4 una
asignación ISP es totalmente dentro de la misma subred más grande.
6a4 túnel
Al igual que en 6RD, 6a4 es otro método de tunelización IPv6 tráfico dentro de IPv4 c. A diferencia de 6RD, sin embargo, 6a4 utiliza constantes prefijos y relés. Como tal no
hay configuraciones ajustables por el usuario para el uso de la 6a4 opción. El pre fi 6a4 x es siempre
2002 :: / 16. Cualquier dirección dentro de la 2002 :: / 16 pre fi x se considera una dirección 6to4 en lugar de una dirección IPv6 nativo. También a diferencia
de 6RD, un túnel 6to4 se puede interrumpir en cualquier lugar en Internet, no sólo en el usuario final ISP, por lo que la calidad de la conexión entre el usuario
y el relé 6a4 puede variar ampliamente. túneles 6to4 siempre terminan en la dirección IPv4 192.88.99.1. Esta dirección IPv4 se anycasted, lo que significa que
aunque la dirección IPv4 es el mismo en todas partes, puede ser encaminada hacia un nodo regional cerca del usuario. Otra deficiencia de de 6a4 es que se
basa en otros routers para retransmitir trá fi co entre la red 6to4 y el resto de la red IPv6. Hay una posibilidad de que algunos compañeros IPv6 pueden no
tener conectividad a la red 6a4, y por lo tanto estos serían inalcanzables por los clientes que se conectan a los relés 6a4, y esto también podría variar
dependiendo del nodo 6a4 a la que el usuario está realmente conectado.
8.13. Tipos IPv6 WAN 129

Track Interface
los Track Interface elección trabaja en conjunto con otra interfaz de IPv6 usando DHCPv6 Pre fi x Delegación. Cuando se recibe una delegación de
la ISP, esta opción designa qué interfaz se le asignará las direcciones IPv6 delegadas por el ISP y en casos donde se obtiene una delegación más
grande, que se utiliza pre fi x dentro de la delegación.
la interfaz IPv6 Una lista de todas las interfaces del sistema actualmente establecido para este tipo de WAN IPv6 dinámicas que ofrecen
pre fi x delegación (DHCPv6, PPPoE, 6rd, etc.). Seleccione la interfaz de la lista que recibirá la información de subred
delegada por el ISP.
IPv6 Pre fi x ID Si el ISP ha delegado más de un pre fi jo a través de DHCPv6, los controles de identidad fi x IPv6 Pre
¿cuál de las delegadas / 64 subredes serán utilizados en esta interfaz. Este valor es especificados en adecimal hex-. Por ejemplo, si un / 60 delegación
es suministrada por el ISP que significa 16 / 64 las redes están disponibles, por lo que pre fi x identificadores de 0 mediante F puede ser usado. Para
obtener más información sobre cómo funciona pre fi x delegación, consulte DHCP6 Pre fi x Delegación .
pfSense compatible con numerosos tipos de interfaces de red, ya sea usando directamente o mediante el empleo de otros protocolos como PPP o VLANs interfaces
físicas.
asignación de las interfaces y la creación de nuevas interfaces virtuales se manejan bajo Interfaces> (asignar).
Interfaces físicas y virtuales
La mayoría de las interfaces discutidas en este capítulo se pueden asignar como WAN, LAN o una interfaz OPT bajo Interfaces> (asignar). Toda la actualidad de
fi nidas y detecta las interfaces se enumeran directamente en Interfaces> (asignar) o en la lista de interfaces disponibles para asignación. Por defecto, la lista
incluye sólo las interfaces físicas, pero las otras pestañas bajo
Interfaces> (asignar) puede crear interfaces virtuales que luego pueden ser asignados.
Interfaces en pfSense soportan varias combinaciones de opciones sobre las mismas interfaces. También pueden soportar múltiples redes y protocolos
en una única interfaz, o múltiples interfaces pueden ser unidas entre sí en una mayor capacidad o de la interfaz virtual redundante.
Todas las interfaces son tratados por igual; Cada interfaz puede ser con fi gurada para cualquier tipo de conectividad o de papel. Las interfaces WAN y LAN por defecto pueden
ser renombrados y utilizados en otras formas.
interfaces físicas y las interfaces virtuales son tratados de la misma una vez asignado, y tienen las mismas capacidades. Por ejemplo, una interfaz de VLAN
puede tener el mismo tipo de con fi guración que una interfaz física puede tener. Algunos tipos de interfaces reciben un tratamiento especial una vez asignado,
que se tratan en sus respectivas secciones de este capítulo. Esta sección cubre los diversos tipos de interfaces que se pueden crear, asignar y gestionar.

CAPÍTULO
NUEVE
GESTIÓN y autenticación de usuarios
Gestión de usuarios
El Administrador de usuarios se encuentra en Sistema> Administrador de usuarios. A partir de ahí, los grupos de usuarios, los servidores pueden ser gestionados y valores que rigen el
comportamiento del Administrador de usuarios pueden ser cambiados.
privilegios
Administración de privilegios para usuarios y grupos se realiza de manera similar, por lo tanto serán cubiertos aquí en lugar de duplicar el esfuerzo. Si se gestiona un
usuario o grupo, la entrada debe ser creado y guardado primera antes se pueden añadir privilegios
a la cuenta o grupo. Para agregar privilegios, cuando se edita el usuario o grupo existente, haga clic Añadir en el asignado
privilegios o Los privilegios eficaces sección.
Se presenta una lista de todos los privilegios disponibles. Los privilegios pueden ser añadidos uno a la vez mediante la selección de una sola entrada, o de selección múltiple
utilizando ctrl-clic. Si otros privilegios ya están presentes en el usuario o grupo, que se ocultan de esta lista por lo que no se pueden añadir dos veces. Para buscar un privilegio
específico por su nombre, introduzca el término de búsqueda en el Filtrar caja y
hacer clic Filtrar.
Selección de un privilegio mostrará una breve descripción de su propósito en el área del bloque de información en virtud de la lista de permisos y botones de acción. La mayor
parte de los privilegios son fáciles de entender en base a sus nombres, pero algunos permisos notables son:
WebCFG - Todas las páginas Permite al usuario acceder cualquier página de la interfaz gráfica de usuario
WebCFG - Tablero de instrumentos (todos) Permite al usuario acceder a la página de panel y todas sus funciones asociadas
(Widgets, gráficos, etc.)
WebCFG - Sistema Administrador de contraseñas de usuario Página: Si el usuario sólo tiene acceso a esta página, pueden iniciar sesión
a la interfaz gráfica de usuario para configurar su propia contraseña, pero no hacer nada más.
Usuario - VPN - IPSec xauth Dialin Permite al usuario conectarse y autenticarse para IPsec xauth
Usuario - Con fi g - Denegar Con fi g Comentario No permite al usuario realizar cambios en el cortafuegos con fi fi g ( estafa-
g.xml fi). Tenga en cuenta que esto no impide que el usuario pueda tomar otras acciones que no implican por escrito a la con fi g.
Usuario - sistema - acceso a la cuenta de Shell Da al usuario la posibilidad de acceder a través de ssh, aunque el usuario se
no tiene acceso a nivel de raíz por lo que la funcionalidad es limitada. Un paquete para sudo está disponible para mejorar esta función.
Después de entrar, el cortafuego intentará mostrar el tablero de instrumentos. Si el usuario no tiene acceso al panel de control, serán remitidos a la
primera página en su lista de privilegio que tienen permiso de acceso.
131
Menús en el cortafuego sólo contienen entradas para las que existen privilegios en una cuenta de usuario. Por ejemplo, si la única página nostics diagnosticar las que un
usuario tiene acceso a es Diagnóstico> Ping entonces no hay otros elementos se muestran en el Diagnóstico
menú.
Añadir / editar usuarios
los usuarios lengüeta debajo Sistema> Administrador de usuarios es donde los usuarios individuales se gestionan. Para añadir un nuevo usuario, haga clic
Añadir, para editar un usuario existente, haga clic .
Antes de permisos se pueden añadir a un usuario, primero debe ser creado, por lo que el primer paso es siempre para agregar el usuario y guardar. Si varios usuarios necesitan
los mismos permisos, es más fácil para añadir un grupo y luego añadir usuarios al grupo.
Para agregar un usuario, haga clic Añadir y aparecerá la nueva pantalla del usuario.
Discapacitado Esta casilla de verificación controla si este usuario estará activo. Si esta cuenta debe ser desactivado,
marque esta casilla.
Nombre de usuario Establece el nombre de inicio de sesión para el usuario. Se requiere este campo, debe ser de 16 caracteres o menos y pueden
Sólo puede contener letras, números y un punto, guión o guión bajo.
Contraseña y La confirmación También son obligatorios. Las contraseñas se almacenan en la configuración pfSense como con fi
hashes. Asegúrese de que el partido de dos campos para confirmar la contraseña.
Nombre completo campo opcional que puede ser utilizado para introducir un nombre más largo o una descripción para una cuenta de usuario.
Fecha de caducidad También puede definirse si se desea para desactivar el usuario de forma automática cuando la fecha tiene
ha alcanzado. La fecha debe introducirse en MM / DD / YYYY formato.
Miembro de los Grupos Si los grupos ya han sido de fi nido, este control se puede utilizar para agregar el usuario como una
miembro. Para añadir un grupo para este usuario, encontramos que en el No miembro de columna, selecciónela y haga clic para moverlo a la Miembro
de columna. Para eliminar un usuario del grupo, selecciónelo de la Miembro de columna y haga clic
para moverlo a la No miembro de columna.
Los privilegios eficaces Aparece cuando se edita un usuario existente, no cuando se añade un usuario. Ver privilegios para
información sobre la gestión de privilegios. Si el usuario es parte de un grupo, los permisos del grupo se muestran en esta lista pero esos
permisos no se pueden editar, pueden añadirse permisos sin embargo adicionales.
Certi fi cado Comportamiento de esta sección cambia dependiendo de si se añade o edita un usuario. Cuando
la adición de un usuario, para crear un cheque certi fi cado Haga clic para crear un certi fi cado de usuario para mostrar el formulario para crear un certificado.
Rellene el Nombre descriptivo, escoge un Autoridad certi fi cado, seleccione un Código de longitud, e introducir una Toda la vida. Para obtener más información
sobre estos parámetros, consulte Crear un certi fi cado interno . Si la edición de un usuario, esta sección de la página en lugar se convierte en una lista de certi fi
cados de usuario. De
aquí, haga clic Añadir para agregar un certificado al usuario. La configuración de página que son idénticos a Crear
un certi fi cado interno excepto aún más de los datos es pre- fi llena con el nombre de usuario. Si el certi fi cado ya existe, seleccione Elija
un Certi fi cado existente y luego recoger una Existente certi fi cado de la lista.
llaves autorizadas claves públicas SSH se pueden introducir para la cáscara u otro acceso SSH. Para agregar una clave, pasta o
introducir en los datos clave.
IPsec Pre-Shared Key Se utiliza para una configuración de IPsec no xauth Pre-Shared Key móvil. Si una IPsec Pre-
Llave compartida Aquí se introduce el nombre de usuario se utiliza como el er fi cación. El PSK también se muestra bajo VPN> IPsec sobre el Pre
Shared Keys lengüeta. Si sólo se utilizará móvil IPsec con xauth, este campo puede dejarse en blanco.
132 Capítulo 9. Gestión de usuarios y autenticación

Después de guardar el usuario, haga clic en la fila del usuario para editar la entrada si es necesario.
Instalación de grupos / Edición
Los grupos son una gran manera de manejar conjuntos de permisos para dar a los usuarios para que no necesitan ser mantenidos individualmente en cada cuenta de usuario.
Por ejemplo, un grupo podría ser utilizado para los usuarios IPsec xauth, o un grupo que puede acceder el salpicadero del cortafuego, un grupo de administradores fi
cortafuego, o muchos otros escenarios posibles utilizando cualquier combinación de privilegios.
Al igual que con los usuarios, un grupo primero debe crearse antes se pueden añadir privilegios. Después de guardar el grupo, editar el grupo para agregar privilegios.
Los grupos se manejan bajo Sistema> Administrador de usuarios sobre el grupos lengüeta. Para añadir un nuevo grupo desde esta pantalla, haga clic
Añadir. Para editar un grupo existente, haga clic junto a su entrada en la lista.
.. note :: Cuando se trabaja con LDAP y RADIUS, deben existir grupos locales para que coincida con el grupos de los usuarios son
miembros en el servidor. Por ejemplo, si existe un grupo LDAP llamado “rewall_admins Fi” entonces pfSense también debe contener un grupo denominado de
forma idéntica, “rewall_admins Fi”, con los privilegios deseados. grupos remotos con nombres largos o nombres que contengan espacios u otros caracteres
especiales deben ser con fi gurada para una Remoto Alcance.
Iniciar el proceso de añadir un grupo haciendo clic Añadir y la pantalla para añadir aparecerá un nuevo grupo.
Nombre del grupo Esta configuración tiene las mismas restricciones que un nombre de usuario: Debe ser de 16 caracteres o menos y
Sólo puede contener letras, números y un punto, guión o guión bajo. Esto puede sentirse algo limitado cuando se trabaja con grupos
de LDAP, por ejemplo, pero por lo general es más fácil de crear o cambiar el nombre de un grupo con el nombre apropiado en el
servidor de autenticación en lugar de tratar de hacer que el partido del grupo cortafuego.
Alcance Se puede ajustar Local para grupos en la fi sí cortafuegos (tales como aquellos para uso en el shell), o Remoto
para relajar las restricciones de nombre de grupo y para evitar que el nombre del grupo de ser expuestos al sistema operativo base. Por ejemplo, Remoto
nombres de grupos alcance pueden ser más largos, y pueden contener espacios.
Descripción Opcional texto de formato libre para referencia y para identificar mejor el propósito del grupo en caso
el Nombre del grupo no es su fi ciente.
Miembro de los Grupos Este conjunto de controles de fi ca el que los usuarios existentes serán miembros del nuevo grupo.
los usuarios del servidor de seguridad se enumeran en el que no son miembros columnas de forma predeterminada. Para agregar un usuario a este grupo, nd fi
en el que no son miembros columna, seleccionarlo, y haga clic para moverlo a la miembros columna. A
eliminar un usuario del grupo, selecciónelo de la miembros columna y haga clic para moverlo a la
que no son miembros columna.
Los privilegios asignados Sólo aparece cuando se edita un grupo existente. Esta sección permite la adición de privilegios
al grupo. Ver privilegios anteriormente en este para obtener información sobre la gestión de privilegios.
ajustes
los ajustes ficha en el Administrador de usuarios controla dos cosas: ¿Por cuánto tiempo una sesión de inicio de sesión es válida, y donde los nombres de usuario GUI preferirá estar autenticado.
Hora de término de la sesión Este campo específico es el tiempo que una sesión de interfaz gráfica de usuario de inicio de sesión tendrá una duración cuando ocioso. Este valor es
especificados en minutos, y el valor predeterminado es de cuatro horas (240 minutos). Un valor de 0 Se pueden introducir desactivar la caducidad de sesión, por lo
que las sesiones de inicio de sesión válido para siempre. Un tiempo de espera más corto es mejor,
9.1. Gestión de usuarios 133

a pesar de que sea tiempo suficiente para que un administrador activa no se cerrará la sesión involuntariamente al hacer cambios.
Advertencia: Permitiendo una sesión para permanecer válida cuando está inactivo durante largos períodos de tiempo es inseguro. Si un administrador deja
desatendida terminal con una ventana del navegador abierta y conectado, alguien o algo más podrían beneficiarse de la sesión abierta.
La autenticación del servidor Este selector elige la fuente de autenticación principal para los usuarios iniciar sesión en
la interfaz gráfica de usuario. Esto puede ser un servidor RADIUS o LDAP, o el valor por defecto Base de datos local. Si el servidor RADIUS o LDAP es
inalcanzable por alguna razón, la autenticación se caerá de nuevo a Base de datos local
incluso si se elige otro método.
Cuando se utiliza un servidor RADIUS o LDAP, los usuarios y / o pertenencia a grupos todavía deben definirse en el cortafuego con el fin de asignar adecuadamente
los permisos, ya que no hay todavía un método para obtener permisos dinámicamente a partir de un servidor de autenticación.
Participación en el grupo funcione correctamente, pfSense debe ser capaz de reconocer los grupos expuestos por el servidor authentica- ción. Esto requiere
dos cosas:
1. Los grupos locales deben existir con nombres idénticos.
2. pfSense debe ser capaz de localizar o recibir una lista de grupos del servidor de autenticación.
Ver Servidores de autenticación para más detalles especí fi co para cada tipo de servidor de autenticación.
Servidores de autenticación
Utilizando el Servidores de autenticación lengüeta debajo Sistema> Administrador de usuarios, RADIUS y servidores LDAP pueden definirse como fuentes de autenticación. Ver A lo
largo de apoyo pfSense para obtener información sobre dónde estos servidores pueden ser utilizados en
pfSense actualmente. Para añadir un nuevo servidor desde esta pantalla, haga clic Añadir. Para editar un servidor existente, haga clic cerca de
su entrada.
Ver también:
Los clientes con una pfSense Suscripción Oro puede acceder al Hangouts Archivo para ver el Hangout de agosto de 2015 sobre RADIUS y LDAP.
RADIO
Para añadir un nuevo servidor RADIUS:
• Asegúrese de que el servidor RADIUS tiene la fi cortafuegos define como un cliente antes de proceder.
• Navegar a Sistema> Administrador de usuarios, Servidores de autenticación lengüeta.
• Hacer clic Añadir.
• Selecciona el Tipo selector para RADIO. Los ajustes del servidor RADIUS se mostrará.
• Complete los campos tal como se describe a continuación:
Nombre descriptivo El nombre de este servidor RADIUS. Este nombre se utiliza para identificar el servidor
a lo largo de la interfaz gráfica de pfSense.
Nombre de host o dirección IP La dirección del servidor RADIUS. Esto puede ser un nombre de dominio totalmente calificado fi cado,
o una dirección IP IPv4.

Secreto compartido La contraseña establecida para este fi cortafuegos en el servidor RADIUS software.
Servicios ofrecidos Este conjunto selector que los servicios son ofrecidos por este servidor RADIUS. Autenticación y
Contabilidad , Autenticación solamente, o Contabilidad solamente. Autenticación utilizará este servidor RADIUS para autenticar a los usuarios. Contabilidad enviará
inicio RADIUS / parada de contabilidad de paquetes de datos para las sesiones de inicio de sesión si es compatible en la zona donde se utiliza.
puerto de autenticación Sólo aparece si se elige un modo de autenticación. Establece el puerto UDP donde RA-
tendrá lugar la autenticación DIUS. El puerto por defecto es la autenticación RADIUS 1812.
puerto de cuenta Sólo aparece si se elige un modo de contabilidad. Establece el puerto UDP donde RADIUS
se producirá la contabilidad. El puerto predeterminado de RADIUS es lo que representa 1813.
Tiempo de espera de la autenticación Controla el tiempo, en segundos, que el servidor RADIUS puede tomar para responder
a una solicitud de autenticación. Si se deja en blanco, el valor predeterminado es de 5 segundos. Si un sistema de autenticación de dos factores interactiva
está en uso, aumentar este tiempo de espera para tener en cuenta el tiempo que llevará al usuario a recibir e ingresar una ficha, que puede ser de 60-120
segundos o más si se tiene que esperar a que una acción externa, como una llamada telefónica, mensaje SMS, etc.
• Hacer clic Salvar para crear el servidor.
• Visitar Diagnóstico> Autenticación para probar el servidor RADIUS utilizando una cuenta válida. Para los grupos de RADIUS, el servidor RADIUS debe devolver
una lista de grupos de la Clase RADIUS responde atributo como una cadena. Varios grupos deben estar separados por un punto y coma.
Por ejemplo, en FreeRADIUS, para devolver los “administradores” y “VPNUsers” grupos, la siguiente respuesta-artículo RADIUS Atributo sería utilizado:
Clase: = "administradores; VPNUsers"
Si el servidor RADIUS devuelve la lista de grupos adecuada para un usuario, y existen los grupos a nivel local, a continuación, los grupos serán listados en los resultados
cuando se utiliza el Diagnóstico> Autenticación Página para poner a prueba una cuenta. Si los grupos no se muestran, asegurar que existen en pfSense con nombres que
coinciden y que el servidor está devolviendo el atributo de clase como una cadena, no binario.
LDAP
Para añadir un nuevo servidor LDAP:
• Asegúrese de que el servidor LDAP puede ser alcanzado por el cortafuego.
• Si se usa SSL, importar la Autoridad Certi fi cado que utiliza el servidor LDAP en pfSense antes de proceder. Ver Certi fi cado de Gestión de la autoridad para
más información sobre cómo crear o importar las entidades emisoras.
• Navegar a Sistema> Administrador de usuarios, servidores lengüeta.
• Hacer clic Añadir.
• Selecciona el Tipo selector para LDAP. Se mostrarán los ajustes del servidor LDAP.
• Complete los campos tal como se describe a continuación:
Nombre de host o dirección IP La dirección del servidor LDAP. Esto puede ser un nombre de dominio totalmente calificado fi cado,
una dirección IP IPv4, IPv6 o una dirección IP.
Nota: Si se usa SSL, un nombre de host debe ser especi fi cado aquí y el nombre de host debe coincidir con el Nombre común
de la certi fi cado del servidor presentado por el servidor LDAP y el nombre de host que debe resolverse en la dirección IP del servidor LDAP, por ejemplo, CN =
ldap.example.com, y ldap.example.com es 192.168.1.5. La única excepción a esto es si la dirección IP del servidor también pasa a ser el CN del servidor de su certi
fi cado.
9.2. Servidores de autenticación 135

Esto se puede evitar en algunos casos mediante la creación de una anulación de host DNS Forwarder para hacer que el certi fi cado del servidor CN resuelve a la
dirección IP correcta si no coinciden en esta infraestructura de red y no pueden ser fácilmente fijo.
valor de puerto Este establecimiento de especificidad ca el puerto en el que el servidor LDAP está escuchando las consultas LDAP. los
el puerto TCP por defecto es 389, y 636 para SSL. Este campo se actualiza automáticamente con el valor predeterminado apropiado basado en el
seleccionado Transporte.
Nota: Cuando se utiliza el puerto 636 para SSL, utiliza un pfSense ldaps: // URL, que no soporta STARTTLS. Asegúrese de que el servidor LDAP está escuchando en el
puerto correcto con el modo correcto.
Transporte Este controles de ajuste que método de transporte serán utilizados para comunicarse con el LDAP
servidor. El primero, y por defecto, la selección se TCP - Estándar que utiliza conexiones TCP en el puerto de civil
389. Una opción más segura, si el servidor LDAP soporta, es SSL - encriptado en el puerto 636. La elección SSL codificará las consultas
LDAP realizados en el servidor, lo cual es especialmente importante si el servidor LDAP no está en un segmento de red local.
Nota: Se recomienda siempre usar SSL cuando sea posible, aunque TCP llano es más fácil de configurar y diagnosticar ya que una captura de paquetes mostraría el
contenido de las preguntas y las respuestas.
Peer Autoridad Certi fi cado Si SSL - encriptado fue elegido para el Transporte, a continuación, el valor de este SE-
lector se utiliza para validar el certi fi cado del servidor LDAP. El CA seleccionada debe coincidir con el fi CA con gurado en el servidor LDAP, de
lo contrario surgirán problemas. Ver Certi fi cado de Autoridad Manage- ment para más información sobre cómo crear o importar las entidades
emisoras.
versión del protocolo Elige que se emplea versión del protocolo LDAP por el servidor LDAP, ya sean
2 o 3, típicamente 3.
ámbito de búsqueda Determina dónde y qué tan profundo, una búsqueda irá por un partido.
Nivel Escoger entre Un nivel o subárbol entero para controlar la profundidad de la búsqueda irá. subárbol entero
es la mejor opción cuando la decisión no es cierto, y casi siempre se requiere para Active Directory con fi guraciones.
Base DN Controla donde la búsqueda se iniciará. Típicamente se establece en la “raíz” de la estructura de LDAP, por ejemplo,
DC = ejemplo, DC = com
contenedores de autenticación Una lista separada por comas de los lugares de la cuenta potenciales o contenedores.
Estos contenedores se le antepondrá a la búsqueda de DN base por encima o especificar una ruta de contenedor completo aquí y deje en
blanco el DN base. Si el servidor LDAP soporta, y los ajustes se unen son correctos, haga clic en el Seleccionar botón para examinar los
contenedores servidor LDAP y seleccionar allí. Algunos ejemplos de estos contenedores son:
• CN = Users; DC = ejemplo; DC = com Esto sería buscar usuarios en el interior del componente de dominio example.com, una sintaxis común para
ver para Active Directory
• CN = Users, DC = ejemplo, DC = com; OU = OtherUsers, DC = ejemplo, DC = com Esto sería buscar en dos lugares diferentes, la segunda
de las cuales se restringe a la OtherUsers unidad organizacional.
consulta extendida Especí fi ca una restricción adicional a la consulta después de que el nombre de usuario, lo que permite Miembro-grupo
barco para ser utilizado como un filtro. Para establecer una consulta de extendido, comprobar la caja y fi ll en el valor con un filtro, tales como:
miembro de = CN = VPNUsers, CN = Usuarios DC = ejemplo, DC = com
credenciales de enlace Controla cómo este cliente LDAP intentará enlazar con el servidor. Por defecto, el Utilizar
Anonymous se une a resolver los nombres distinguidos casilla está marcada para realizar un enlace anónimo. Si el servidor requiere
autenticación para unirse y realizar una consulta, desactive esa casilla y especifique una DN de usuario y Contraseña para ser utilizado para el
enlace.

Nota: Active Directory normalmente requiere el uso de credenciales de enlace y puede necesitar una cuenta de servicio o administrador- equivalente dependiendo de la
con fi guración del servidor. Consulte la documentación de Windows para determinar que es necesario en un entorno específico.
Plantilla inicial Pre fi LLS las opciones restantes de la página con los valores predeterminados comunes para un tipo determinado de
servidor LDAP. Las opciones incluyen OpenLDAP, Microsoft AD, y Novell eDirectory.
atributo de nombre de usuario El atributo utilizado para identificar el nombre de un usuario, más comúnmente cn o samAccount-
Nombre.
atributo de nombre de grupo El atributo utilizado para identificar un grupo, tal como cn.
atributo de miembro de grupo El atributo de un usuario que signi fi ca que es el miembro de un grupo, tal como
miembro, memberUid, memberOf, o uniqueMember.
Grupos rfc2307 Especí fi ca de cómo se organiza la pertenencia a grupos en el servidor LDAP. Cuando no se controla,
Se utiliza la pertenencia al grupo de estilo de Active Directory donde los grupos se muestran como un atributo del objeto de usuario. Cuando se
selecciona, se utiliza el RFC 2307 pertenencia a un grupo estilo, donde los usuarios se muestran como miembros en el objeto de grupo.
Nota: Cuando se utiliza, el atributo de miembro de grupo puede también necesitar cambiado, por lo general sería ajustado a
memberUid en este caso, pero puede variar según el esquema LDAP.
Clase de objeto grupo Se utiliza con grupos de estilo RFC 2307, se especi fi ca la clase de objeto del grupo, normalmente, un
camente posixGroup pero puede variar según el esquema LDAP. No es necesario para grupos de estilo de Active Directory.
Codificar UTF8 Cuando se activa, las consultas al servidor LDAP serán UTF8 codificada y las respuestas se
ser UTF8-decodificada. Apoyo varía en función del servidor LDAP. En general, sólo es necesario si los nombres de usuario, grupos,
contraseñas y otros atributos contienen caracteres no tradicionales.
Nombre de usuario Alteraciones Cuando no está marcada, un nombre de usuario da como usuario @ nombre de host tendrá la @hostname
porción pelada de modo que sólo el nombre de usuario se envía en la solicitud de enlace LDAP. Cuando se activa, el nombre de usuario se envía en su totalidad.
• Hacer clic Salvar para crear el servidor.
• Visitar Diagnóstico> Autenticación para probar el servidor LDAP utilizando una cuenta válida.
Si la consulta LDAP devuelve la lista de grupos adecuada para un usuario, y existen los grupos a nivel local, a continuación, los grupos serán listados en los resultados cuando se
utiliza el Diagnóstico> Autenticación Página para poner a prueba una cuenta. Si los grupos no se muestran, asegurarse de que existen en pfSense con nombres que coinciden y que
se selecciona la estructura de grupo adecuado (por ejemplo RFC 2703 grupos pueden necesitar ser seleccionado.)
Ejemplos de autenticación externos
Hay innumerables maneras para con fi gurar el gestor de usuarios para conectarse a un servidor RADIUS o LDAP externo, pero hay algunos métodos comunes que pueden
ser útiles para su uso como una guía. Los siguientes son todos probados / ejemplos de trabajo, pero la configuración del servidor probablemente variará del ejemplo.
Ejemplo servidor RADIUS
Este ejemplo se preparó contra FreeRADIUS pero hacer lo mismo para Windows Server sería idéntica. Ver Autenticación RADIUS con Windows Server para obtener
información sobre la configuración de un servidor de Windows para RADIUS.
9.3. Ejemplos de autenticación externos 137

Esto supone que el servidor RADIUS ya ha sido con fi gurado para aceptar consultas de este fi cortafuegos como un cliente con un secreto compartido.
Nombre descriptivo ExCoRADIUS
Tipo Radio
Nombre de host o dirección IP 192.2.0.5
Secreto compartido secretsecret
Servicios ofrecidos Autenticación y Contabilidad
Puerto de autenticación 1812
Puerto de contabilidad 1813
Tiempo de espera de la autenticación 10
Ejemplo OpenLDAP
En este ejemplo, pfSense está configurado para conectarse de nuevo a un servidor OpenLDAP para la empresa.
Nombre descriptivo ExCoLDAP
Tipo LDAP
Nombre de host o dirección IP ldap.example.com
Puerto 636
Transporte SSL - encriptado
Peer Autoridad Certi fi cado CoEj CA
Protocol Version 3
Ámbito de búsqueda Subárbol entero, dc = pfsense, dc = org
Contenedores de autenticación CN = pfsgroup; ou = personas, dc = pfsense, dc = org
credenciales de enlace enlaces anónimos Comprobado
Plantilla inicial OpenLDAP
Atributo de nombres de usuario cn
Grupo de nombres de atributo cn
Grupo de atributos miembro memberUid
Grupos rfc2307 Comprobado
Clase de objeto grupo posixGroup
Codificar UTF8 Comprobado
Nombre de usuario Alteraciones Desenfrenado
Ejemplo de Active Directory LDAP
En este ejemplo, pfSense está configurado para conectarse a una estructura de Active Directory con el fin de autenticar a los usuarios de una VPN. Los resultados se limitan
a la VPNUsers grupo. omitir el consulta extendida a aceptar cualquier usuario.
Nombre descriptivo ExCoADVPN

Tipo LDAP
Nombre de host o dirección IP 192.0.2.230
Puerto 389
Transporte TCP - Estándar
Protocol Version 3
Ámbito de búsqueda Subárbol entero, DC = dominio, DC = local
Contenedores de autenticación CN = Users, DC = dominio, DC = local
consulta extendida memberOf = CN = VPNUsers, CN = Users, DC = ejemplo, DC = com
credenciales de enlace enlaces anónimos Desenfrenado
DN de usuario CN = binduser, CN = Users, DC = dominio, DC = locales
Contraseña secretsecret
Plantilla inicial microsoft AD
Atributo de nombres de usuario samAccountName
Grupo de nombres de atributo cn
Grupo de atributos miembro miembro de
En este ejemplo se utiliza TCP normal, pero si el Certi fi cado de Autoridad para la estructura de AD ha sido importada bajo el Administrador de Certi fi cado de pfSense,
SSL puede ser utilizado también seleccionando esa opción y la elección de la CA apropiado de la Peer Autoridad Certi fi cado desplegable y ajuste de la nombre de host con
el nombre común del certificado de servidor fi cado.
Prueba de servidores de autenticación es posible utilizando la herramienta situada en Diagnóstico> Autenticación. Desde esa página, poniendo a prueba un usuario es simple:
• Navegar a Diagnóstico> Autenticación
• Seleccione una La autenticación del servidor
• Entrar a Nombre de usuario
• Entrar a Contraseña
• Haga clic en el Prueba botón.
El cortafuego intentará autenticar al usuario dado contra el servidor fi cado y devolverá el resultado. Por lo general, la mejor manera de probar al menos
una vez antes de intentar utilizar el servidor.
Si el servidor devuelve un conjunto de grupos para el usuario, y existen los grupos a nivel local con el mismo nombre, los grupos se imprimen en los resultados de la prueba.
Si se recibe un error al probar la autenticación, el doble comprobar las credenciales y la configuración del servidor, a continuación, hacer los ajustes necesarios y vuelva a
intentarlo.
Los errores LDAP de Active Directory
El error más común con acceso LDAP para Active Directory no está especificando un usuario de enlace adecuado en el formato correcto. Si el nombre de usuario
por sí sola no funciona, introduzca el nombre completo (DN) para el usuario de enlace, tales como
CN = binduser, CN = Users, DC = dominio, DC = local.

Si el DN completo del usuario es desconocido, se puede encontrar mediante la navegación al usuario en Edición de ADSI encontrado en Herramientas administrativas en el servidor
Windows.
Otro error común con la pertenencia al grupo no está especificando subárbol entero para el Buscar nivel de ámbito.
Miembro Activo Directorio de Grupo
Dependiendo de cómo se hicieron los grupos de Active Directory, la forma en que se especi fi cado puede ser diferente para cosas como la autenticación de envases y / o
consultas extendido. Por ejemplo, un grupo de usuarios tradicional en AD se expone de manera diferente a LDAP que una unidad organizativa independiente. Edición de
ADSI se encuentra en Herramientas administrativas en el servidor de Windows se puede utilizar para determinar cuál es el DN para un grupo dado será.
consulta extendida
El error más común con consulta extendida es que la directiva dada no incluye tanto el elemento que se debe buscar, así como la forma, como por
ejemplo:
miembro de = CN = VPNUsers, CN = Usuarios DC = ejemplo, DC = com
Tenga en cuenta que en el ejemplo anterior el DN del grupo se administra junto con la restricción ( memberOf =)
Solución de problemas a través de los registros del servidor
Los errores de autenticación normalmente se registran por el servidor de destino (FreeRADIUS, Windows el Visor de sucesos, etc.), asumiendo que la solicitud es lo que hace todo el camino
hasta el host de autenticación. Compruebe los registros del servidor para una explicación detallada por las que una solicitud ha fallado. El registro del sistema en pfSense ( Estado> Registros
del sistema) También puede contener algún detalle que hace alusión a una resolución.
Solución de problemas a través de capturas de paquetes
capturas de paquetes puede ser muy valiosa para el diagnóstico de errores también. Si un método no cifrado (RADIUS, LDAP sin SSL) está en uso, la contraseña real que se
utiliza puede no ser visible pero suficiente del protocolo de intercambio se puede observar para determinar por qué una solicitud está fallando en completarse. Esto es
especialmente cierto cuando una captura se carga en Wireshark, que pueda interpretar las respuestas para que, como se ve en la figura LDAP muestra de fallo de captura . Para
obtener más información sobre las capturas de paquetes, consulte La captura de paquetes .
Fig 9.1:. LDAP Muestra fallo de captura
El Administrador de usuarios en pfSense proporciona la capacidad de crear y gestionar múltiples cuentas de usuario. Estas cuentas se pueden utilizar para acceder a la interfaz gráfica de
usuario, utilice los servicios de VPN como OpenVPN e IPsec, y el uso del portal cautivo. El Administrador de usuarios también se puede utilizar para definir las fuentes de autenticación
externos tales como RADIUS y LDAP.
Ver también:
Los clientes con una pfSense Suscripción Oro puede acceder al Hangouts Archivo para ver FEBRERO Hangout el año 2015 en la gestión de usuarios y
privilegios, y la conversación de agosto de 2015 sobre RADIUS y LDAP.

A lo largo de apoyo pfSense
Al escribir estas líneas, no todas las áreas de pfSense enganchan de nuevo en el Administrador de usuarios.
GUI pfSense Es compatible con los usuarios en el Administrador de usuarios, ya través de RADIUS o LDAP. Grupos o usuarios de
RADIUS o LDAP requieren de fi niciones en el Administrador de usuarios local para gestionar sus permisos de acceso.
OpenVPN Es compatible con los usuarios en el Administrador de usuarios, RADIUS o LDAP a través de Administrador de usuarios.
IPsec Es compatible con los usuarios en el Administrador de usuarios, RADIUS o LDAP a través de Administrador de usuarios para Xauth, y RADIUS
para IKEv2 con EAP-RADIUS.
portal cautivo Apoyar a los usuarios locales en el Administrador de usuarios, y los usuarios de RADIUS a través de ajustes en el Cautivo
página del portal.
L2TP Es compatible con los usuarios en la configuración de L2TP, ya través de RADIUS en la configuración de L2TP.
PPPoE del servidor Es compatible con los usuarios en la configuración de PPPoE, y por medio de RADIUS en la configuración PPPoE.
9.5. A lo largo de apoyo pfSense 141


CAPÍTULO
DIEZ
CERTIFICADO DE GESTIÓN
Certi fi cado de Gestión de la autoridad
Autoridades certi fi cado (CA) se gestionan desde Sistema> Cert Manager, sobre el CA lengüeta. Desde esta pantalla CA puede añadir, editar, exportados o
eliminado.
Crear una nueva Autoridad Certi fi cado
Para crear una nueva CA, iniciar el proceso de la siguiente manera:
• Navegar a Sistema> Administrador de Cert sobre el CA lengüeta.
• Hacer clic Añadir para crear un nuevo una CA.
• Entrar a Nombre descriptivo para la CA. Esto se utiliza como una etiqueta para esta entidad emisora en toda la interfaz gráfica de usuario.
• Selecciona el Método que mejor se adapte a la forma en que se genere el CA. Estas opciones y más instrucciones están en las secciones correspondientes a
continuación:
- Crear una autoridad de certi fi cado interno
- Importar una Autoridad Certi fi cado existente
- Crear una Autoridad de Certificación Intermedio fi cado
Crear una autoridad de certi fi cado interno
Los más comunes Método utilizado de aquí es Crear una autoridad de certi fi cado interno. Esto hará que una nueva entidad de certificación raíz basándose en la información
introducida en esta página.
• Selecciona el longitud de la clave para elegir la forma “fuerte” de la CA es en términos de cifrado. Cuanto más larga sea la clave, más segura es. Sin embargo, las claves más
largas pueden tomar más tiempo de CPU para procesar, lo que no siempre es aconsejable utilizar el valor máximo. El valor por defecto de 2048 Es un buen equilibrio.
• Seleccione un digest Algorithm de la lista suministrada. La mejor práctica actual es utilizar un algoritmo SHA1 más fuerte que sea posible. SHA256 es
una buena opción.
Nota: Algunos equipos más antiguos o menos sofisticados, como los teléfonos VoIP compatibles con VPN sólo se puede apoyar SHA1 para el Digest Algorithm.
Consulte la documentación del dispositivo para especi fi cs.
• Introduzca un valor para Toda la vida para especificar el número de días en que el CAwill sea válida. La duración depende de las preferencias personales y las políticas
del sitio. Cambio de la CA con frecuencia es más seguro, pero también es un dolor de cabeza gestión, ya que requeriría volver a emitir nuevas certi fi cados cuando la
CA caduca. Por defecto, la interfaz gráfica de usuario sugiere el uso de 3650 días, que es de aproximadamente 10 años.
143
• Introduzca los valores de la Nombre distinguido la sección de parámetros personalizados en la CA. Estos suelen ser llenada con la información de
una organización, o en el caso de un individuo, la información personal. Esta informa- ción es principalmente cosméticos, y se utiliza para verificar
la exactitud de la CA, y para distinguir una CA de otra. Puntuación y caracteres especiales no deben ser utilizados.
- Selecciona el Código de país de la lista. Este es el código de país ISO-reconocido, no es un dominio de nivel superior nombre de host.
- Introducir el Estado o Provincia totalmente explicado, no abreviada.
- Introducir el Ciudad.
- Introducir el Organización nombrar, por lo general el nombre de la empresa.
- Introduzca una valida Dirección de correo electrónico.
- Introducir el Nombre común ( CN). Este campo es el nombre interno que identi fi ca la CA. A diferencia de un certificado, el CN para una CA no tiene
por qué ser el nombre de host, o cualquier cosa específica. Por ejemplo, podría ser llamado
VPNCA o Mi ca.
Nota: Aunque es técnicamente válida, evitar el uso de espacios en el CN.
Si se informa de errores, tales como caracteres no válidos u otros problemas de entrada, que se describirán en la pantalla. Corregir los errores, y el intento de salvar
de nuevo.
Importar una Autoridad Certi fi cado existente
Si una entidad de certificación existentes de una fuente externa necesita ser importada, se puede hacer seleccionando la Método de Importar un Certi fi cado existente Autoridad. Esto
puede ser útil de dos maneras: una, de las CA realiza mediante otro sistema, y dos, para las entidades emisoras de otros fabricantes debe ser de confianza.
• Introducir el datos de certi fi cado para la CA. Para confiar en una CA de otra fuente, sólo se requiere los datos de certi fi cado para el CA. Por lo general está
contenida en un expediente que termina con. crt o. PEM. Sería texto plano, y encerrado en un bloque, tales como:
- - - - - BEGIN CERTIFICATE -----

[Un manojo de aspecto al azar de datos codificado en base 64]
- - - - - END CERTIFICATE -----
• Introducir el Certi fi cado de clave privada si la importación de una CA externa personalizada o una CA que es capaz de generar sus propios certi fi cados y las listas de revocación de
certi fi cado. Esto es por lo general en un expediente que termina en. llave. Sería de datos de texto sin formato encerrados en un bloque, tales como:
- - - - - COMENZAR la clave privada RSA -----

- - - - - FIN clave privada RSA -----
• Introducir el De serie para el próximo certi fi cado si se ha introducido la clave privada. Esto es esencial. Una CA creará certi fi cados cada uno con un número
de serie único en secuencia. Este valor controla lo que la serie será para la próxima certi fi cado generado a partir de esta CA. Es esencial que cada certi fi
cado tiene una serie único, o no habrá problemas en el futuro con la revocación de certi fi cado. Si la siguiente serie es desconocido, intento de estimar el
número de certi fi cados se han hecho de la CA, y luego establecer el número suficientemente alto de una colisión sería poco probable.
de nuevo.
144 Capítulo 10. Gestión de Certi fi cado

Importación de una Autoridad fi cado de cadena lineal o anidada Certi
Si la CA ha sido firmado por un intermediario y no directamente por una entidad de certificación raíz, puede ser necesario importar tanto la raíz y la CA intermedia
juntos en una entrada, tales como:

[/ CA intermedia de texto subordinado certificado]
- - - - - BEGIN CERTIFICATE ---- [Root CA texto
del certificado]
Crear una Autoridad de Certificación Intermedio fi cado
Un intermedio CA creará un nuevo CA que es capaz de generar certi fi cados, sin embargo, depende de otro CA superior por encima de ella. Para crear uno, seleccione Crear
una Autoridad de Certificación Intermedio fi cado desde el Método desplegable.
Nota: La entidad de nivel superior debe existir en pfSense (creado o importado)
• Seleccione la entidad de nivel superior para firmar esta CA mediante el La firma de la Autoridad Certi fi cado desplegable. Sólo las CA con claves privadas presentes se
mostrará, ya que esto es necesario para firmar adecuadamente esta nueva CA.
• Rellene el resto de parámetros idénticos a los de Crear una autoridad de certi fi cado interno .
Editar una Autoridad Certi fi cado
Después de una CA se ha añadido, se puede editar de la lista de entidades de certificación que se encuentra en Sistema> Administrador de Cert sobre el CA lengüeta.
Para editar una CA, haga clic en el icono en la parte final de su fila. La pantalla presentada permite la edición de los campos como si la CA eran
siendo importado.
Para obtener información sobre los campos de esta pantalla, consulte Importar una Autoridad Certi fi cado existente . En la mayoría de los casos, el objetivo de esta pantalla es la
corrección de la De serie de la CA si es necesario, o para agregar una clave a una CA importados por lo que se puede utilizar para crear y firmar certificados y CRL.
Exportación de una Autoridad Certi fi cado
En la lista de las CA en Sistema> Administrador de Cert sobre el CA pestaña, el certi fi cado y / o clave privada de una CA se puede exportar. En la mayoría de los casos, la clave
privada de una CA no se exporta, a menos que la CA se está moviendo a una nueva ubicación o se está realizando una copia de seguridad. Cuando se utiliza el CA para una VPN
o la mayoría de los otros propósitos, solamente exportar el certi fi cado para la CA.
Advertencia: Si la clave privada de una CA se pone en las manos equivocadas, la otra parte podría generar nuevas certi fi cados que serían considerados válidos
en contra de la CA.
Para exportar el certi fi cado de una CA, haga clic en el icono de la izquierda. Para exportar la clave privada de la entidad emisora, haga clic en el
icono de la derecho. Pase el puntero del ratón sobre el icono y un mensaje emergente mostrará la acción a realizar para facilitar la con fi rmación. Los archivos que se
descarga con el nombre descriptivo de la CA como el nombre de archivo, con la extensión. crt para la certi fi cado, y. llave para la clave privada.
10.1. Certi fi cado de Gestión de la autoridad 145

Eliminar una Autoridad Certi fi cado
Para eliminar una CA, primero se debe retirar de su uso activo.
• Compruebe áreas que pueden utilizar una CA, como OpenVPN, IPsec y paquetes.
• Eliminar entradas que utilizan la CA o seleccionar una CA diferente
• Navegar a Sistema> Administrador de Cert sobre el CA lengüeta.
• Encuentra la CA para eliminar de la lista.
• Hacer clic al final de la fila de la CA.
• Haga clic en OK en el cuadro de diálogo confirmación.
Si aparece un error, siga las instrucciones que aparecen en pantalla para corregir el problema y vuelva a intentarlo.
Gestión de certi fi cado
certi fi cados se gestionan desde Sistema> Cert Manager, sobre el certi fi cados lengüeta. Desde esta pantalla Certi fi cados se pueden añadir, editar, exportar o
eliminar.
Crear un nuevo Certi fi cado
Para crear un nuevo certi fi cado, iniciar el proceso de la siguiente manera:
• Navegar a Sistema> Administrador de Cert sobre el certi fi cados lengüeta.
• Hacer clic Añadir para crear un nuevo certi fi cado.
• Entrar a Nombre descriptivo para la certi fi cado. Esto se utiliza como una etiqueta para este certi fi cado de todo el GUI.
• Selecciona el Método que mejor se adapte a la forma en que se genere el certi fi cado. Estas opciones y más instrucciones están en las secciones correspondientes a
continuación:
- Importar un Certi fi cado existente
- Crear un certi fi cado interno
- Crear un Certi fi cado de Solicitud de firma
Importar un Certi fi cado existente
Si un certi fi cado existente desde una fuente externa necesita ser importada, se puede hacer seleccionando la Método de
Importar un Certi fi cado existente. Esto puede ser útil para certi fi cados que se han hecho utilizando otro sistema o para la certi fi cados que han sido
proporcionados por un tercero.
• Introducir el los datos de certi fi cado Esto es requerido. Por lo general está contenida en un expediente que termina con. CRT. Sería texto plano, y encerrado en un bloque,
tales como:

• Introducir el datos clave privada que también se requiere. Esto es por lo general en un expediente que termina en. llave. Sería de datos de texto sin formato encerrados en un bloque,
tales como:

- - - - - COMENZAR la clave privada RSA -----

- - - - - FIN clave privada RSA -----
• Haga clic en Guardar a fi nal del proceso de importación.
Si se encuentran errores, siga las instrucciones que aparecen en pantalla para resolverlos. El error más común no está pegando en la parte derecha de la certi fi
cado o de clave privada. Asegúrese de incluir el bloque entero, incluyendo la cabecera que comienza y termina el pie alrededor de los datos codificados.
Crear un certi fi cado interno
Los más comunes Método es Crear un certi fi cado interno. Esto hará que un nuevo certi fi cado usando una de las Autoridades certi fi cado existentes.
• Selecciona el Autoridad certi fi cado por el cual se firmará este certi fi cado. Sólo una CA que tiene una clave privada presente puede estar en esta lista, ya
que se requiere la clave privada para que el CA para firmar un certificado.
• Selecciona el longitud de la clave para elegir la forma “fuerte” el certi fi cado es en términos de cifrado. Cuanto más larga sea la clave, más segura es. Sin embargo, las
claves más largas pueden tomar más tiempo de CPU para procesar, lo que no siempre es aconsejable utilizar el valor máximo. El valor por defecto de 2048 Es un buen
equilibrio.
• Seleccione un digest Algorithm de la lista suministrada. La mejor práctica actual es utilizar un algoritmo SHA1 más fuerte que sea posible. SHA256 es
una buena opción.
Nota: Algunos equipos más antiguos o menos sofisticados, como los teléfonos VoIP compatibles con VPN sólo se puede apoyar SHA1 para el Digest Algorithm.
Consulte la documentación del dispositivo para especi fi cs.
• Seleccione un Certi fi cado de Tipo que coincide con el propósito de este certi fi cado.
- Escoger Servidor de Certi fi cado si el certi fi cado será utilizado en un servidor VPN o HTTPS. Esto indica dentro de la certi fi cado que se puede
utilizar en una función de servidor, y ningún otro.
Nota: tipo de servidor certi fi cados incluyen atributos extendidos de uso de clave que indica que pueden usarse para la autenticación del servidor,
así como el OID 1.3.6.1.5.5.8.2.2 que se utiliza por Microsoft para signi fi y que un certificado puede ser utilizado como un IKE intermedia. Estos son
necesarios para Windows 7 y más tarde para confiar en el servidor certi fi cado para su uso con determinados tipos de VPN. También están
marcados con una restricción indicando que no son una CA, y tienen nsCertType establece en “servidor”.
- Escoger Certi fi cado de usuario si el certi fi cado se puede utilizar en calidad de usuario final, tales como cliente VPN, pero no se puede utilizar como un
servidor. Esto evita que un usuario utilice su propio certi fi cado de hacerse pasar por un servidor.
Nota: Tipo de Usuario certi fi cados incluyen atributos extendidos de uso de claves que indica que se pueden utilizar para la autenticación de cliente. También
están marcados con una restricción que indica que ellos no son una CA.
- Escoger Autoridad certi fi cado para crear un CA. intermedio Un certificado generado de esta manera estará subordinado a la CA. elegido Se puede crear
sus propios certi fi cados, pero la entidad emisora raíz también debe ser incluida cuando se utiliza. Esto también se conoce como “encadenamiento”.
• Introduzca un valor para Toda la vida para especificar el número de días en que el certi fi cado será válida. La duración depende de las preferencias personales y
las políticas del sitio. Cambio de la certi fi cado con frecuencia es más seguro, pero también es un dolor de cabeza gestión, ya que requiere volver a emitir nuevas
certi fi cados cuando expiran. Por defecto, la interfaz gráfica de usuario sugiere el uso de 3650 días, que es de aproximadamente 10 años.
• Introduzca los valores de la Nombre distinguido la sección de parámetros personalizados en el certi fi cado. La mayoría de estos campos se rellena
previamente con datos de la CA. Estos suelen ser llenada con la información de una organización, o en el caso de un individuo, la información personal.
Esta información es principalmente cosméticos, y se utiliza para
10.2. Gestión de certi fi cado 147

verificar la exactitud de la certi fi cado, y para distinguir un certi fi cado de otro. Puntuación y caracteres especiales no deben ser utilizados.
- Selecciona el Código de país de la lista. Este es el código de país ISO-reconocido, no es un dominio de nivel superior nombre de host.
- Introducir el Estado o Provincia totalmente explicado, no abreviada.
- Introducir el Ciudad.
- Introducir el Organización nombrar, por lo general el nombre de la empresa.
- Introduzca una valida Dirección de correo electrónico.
- Introducir el Nombre común ( CN). Este campo es el nombre interno que identi fi ca el certi fi cado. A diferencia de una CA, el CN de un certificado
debe ser un nombre de usuario o nombre de host. Por ejemplo, podría ser llamado VPNCert, usuario01, o vpnrouter.example.com.
Nota: Aunque es técnicamente válida, evitar el uso de espacios en el CN.
• Hacer clic Añadir añadir Nombres alternativos si se le pide. Nombres alternativos permiten que el certi fi cado de
especificar varios nombres que son todas válidas para la CN, como dos nombres de host diferentes, una dirección IP adicional, una dirección URL o una dirección de correo
electrónico. Este campo se puede dejar en blanco si no se requiere o con el objeto no está claro.
- Entrar a Tipo por el nombre alternativo. Este debe contener uno de DNS ( FQDN o nombre de host), IP ( Dirección IP), URI, o correo electrónico .
- Entrar a Valor por el nombre alternativo. Este campo debe contener un valor con el formato correcto en base al tipo introducido.
- Hacer clic Borrar al final de la fila correspondiente a un nombre alternativo que no sean necesarios.
- Repita este proceso para cada uno adicional Nombre alternativo.
de nuevo.
Crear un Certi fi cado de Solicitud de firma
la elección de una Método de Certi fi cado de Solicitud de firma crea una nueva solicitud de expediente que se pueden enviar en un tercer partido de CA para ser firmado. Esto se
usaría para obtener un certificado de una autoridad de certi fi cado raíz de confianza. Una vez que esto Método
ha sido elegido, el resto de parámetros para la creación de este certi fi cado son idénticos a los de Crear un certi fi cado interno .
Exportación de un certi fi cado
En la lista de los certi fi cados en Sistema> Administrador de Cert sobre el certi fi cados pestaña, un certificado y / o su clave privada puede ser exportado.
Para exportar el certi fi cado, haga clic en el icono. Para exportar la clave privada para el certi fi cado, haga clic en el icono. Exportar
la fi cado CA cado, certi fi cado y la clave privada para el certi fi cado juntos en un archivo PKCS # 12 fi l, haga clic en el icono. A
confirmar la correcta fi le está siendo exportado, pase el puntero del ratón sobre el icono y un mensaje emergente mostrará la acción a realizar.

Los archivos que se descarga con el nombre descriptivo de la certi fi cado como el nombre de archivo y la extensión. crt para la certi fi cado y. llave para la clave
privada, o. p12 para un PKCS # 12 fi l.
Retirar un certi fi cado
Para eliminar un certificado, en primer lugar se debe retirar de su uso activo.
• Compruebe áreas que pueden utilizar un certificado, tales como las opciones webgui, OpenVPN, IPsec y paquetes.
• Eliminar entradas mediante el certi fi cado, o elegir otro certi fi cado.
• Navegar a Sistema> Administrador de Cert sobre el certi fi cados lengüeta.
• Busque el certi fi cado a eliminar de la lista
• Hacer clic al final de la fila de la certi fi cado.
Certificados de usuario fi
Si una VPN está siendo utilizado por el usuario que requiere certi fi cados, que se pueden crear en una de varias maneras. El método exacto
depende del lugar donde se realiza la autenticación de la VPN y si el certi fi cado ya existe.
Sin autenticación o la autenticación externa
Si no hay ninguna autenticación de usuario, o si la autenticación del usuario se realiza en un servidor externo (RADIUS, LDAP, etc.) y luego hacer un usuario certi fi cado
como cualquier otro certi fi cado descrito anteriormente. Asegurarse de que Certi fi cado de usuario se selecciona para el Certi fi cado de Tipo y establecer el Nombre
común ser el nombre del usuario.
Autenticación local / Crear Certi fi cado al crear un usuario
Si la autenticación de usuario se está realizando en pfSense, el usuario certi fi cado se puede hacer dentro del Administrador de usuarios.
• Navegar a Sistema> Administrador de usuarios
• Crear un usuario. Ver Gestión de usuarios y autenticación para detalles.
• Rellene el Nombre de usuario y Contraseña
• Seleccionar Haga clic para crear un certi fi cado de usuario en el usuario Certi fi cates sección, que mostrará una forma simple para crear un usuario certi fi cado.
- Introducir una breve Nombre descriptivo, que puede ser el nombre de usuario o algo como El acceso remoto VPN de Bob Cert.
- Elegir el correcto Autoridad certi fi cado para la VPN.
- Ajustar el Longitud de la clave y Toda la vida Si es deseado.
• Terminar cualesquiera otros datos de usuario necesarios.
10.2. Gestión de certi fi cado 149

Autenticación local / Agregar un certificado a un usuario existente
Para agregar un certificado a un usuario existente:
• Hacer clic para editar el usuario
• Hacer clic Añadir bajo usuario Certificados fi.
• Elegir opciones disponibles según sea necesario en el proceso de creación de certi fi cado se describe en Crear un nuevo Certi fi cado ,
o seleccione Elija un certi fi cado existente y luego seleccione una de las Certi fi cados existentes
Para obtener más información acerca de agregar y administrar usuarios, consulte Gestión de usuarios y autenticación .
Cado de gestión de lista de revocación de fi cado
Listas de Revocación de certi fi cado (CRL) son una parte del sistema X.509 que publican listas de certi fi cados que ya no se debe confiar. Estos certi fi cados pueden
haber sido comprometidos o no necesitar ser invalidado. Una aplicación que utiliza una CA, como OpenVPN puede utilizar opcionalmente una CRL para que pueda
verificar la conexión de cliente certi fi cados. Una CRL es generado y firmado en contra de una CA utilizando su clave privada, por lo que con el fin de crear o agregar
certi fi cados a una CRL en la interfaz gráfica de usuario, la clave privada de la CA debe estar presente. Si la CA es administrado externamente y la clave privada de la
CA no está en el cortafuego, una CRL todavía se puede generar fuera del cortafuego y de importación.
La forma tradicional de usar una CRL es tener sólo una CRL por CA y sólo añadir certi fi cados no válidos para que el CRL. En pfSense, sin embargo, múltiples CRL
pueden ser creados por un solo CA. En OpenVPN, diferentes CRLs pueden ser elegidos para las instancias de VPN separadas. Esto podría ser utilizado, por ejemplo,
para evitar que un específico certi fi cado se conecte a una instancia al tiempo que permite que se conecte a otro. Para IPsec, todas las CRL son consultados y no hay
una selección como la que existe actualmente con OpenVPN.
Listas de Revocación de certi fi cado se gestionan desde Sistema> Cert Manager, sobre el Certi fi cado de Revocación lengüeta. Desde esta pantalla entradas de
CRL se pueden añadir, editar, exportar o eliminar. La lista mostrará todas las autoridades de certi fi cado y una opción para agregar una CRL. La pantalla también
indica si la CRL es interno o externo (importado), y muestra un recuento de la cantidad de certi fi cados han sido revocados en cada CRL.
Nota: CRL genera utilizando pfSense 2.2.4-RELEASE y posteriores incluyen adecuadamente el atributo fi cador authorityKeyIdenti para permitir funcionamiento correcto
con strongSwan para su uso con IPsec.
Crear una nueva lista de revocación de Certi fi cado
Para crear una nueva CRL:
• Navegar a Sistema> Cert Manager, sobre el Certi fi cado de Revocación lengüeta.
• Encuentra la fila con la CA que se creará al LCR en.
• Hacer clic Agregar o Importar CRL al final de la fila para crear una nueva CRL.
• Escoger Crear una lista de revocación de Certi fi cado interno para el Método.
• Entrar a Nombre descriptivo para la CRL, que se utiliza para identificar esta CRL en las listas de todo el GUI. Por lo general es mejor para incluir una
referencia al nombre de la entidad y / o el propósito de la CRL.
• Seleccione la CA adecuada del Autoridad certi fi cado Menú desplegable.

• Introduzca el número de días en que la CRL debe ser válido en el Toda la vida caja. El valor por defecto es 9999
días o años casi 27 y medio.
El navegador será el retorno a la lista CRL, y la nueva entrada se muestra allí.
Importar una lista de revocación de Certi fi cado existente
Para importar una CRL de una fuente externa:
• Navegar a Sistema> Cert Manager, sobre el Certi fi cado de Revocación lengüeta
• Encuentra la fila con la CA que la CRL se importará para.
• Hacer clic Agregar o Importar CRL al final de la fila para crear una nueva CRL.
• Escoger Importar una lista de revocación de Certi fi cado existente para el Método.
• Entrar a Nombre descriptivo para la CRL, que se utiliza para identificar esta CRL en las listas de todo el GUI. Por lo general es mejor para incluir una
referencia al nombre de la entidad y / o el propósito de la CRL.
• Seleccione la CA adecuada del Autoridad certi fi cado Menú desplegable.
• Introducir el los datos de CRL. Esto es por lo general en un expediente que termina en. CRL. Sería de datos de texto sin formato encerrados en un bloque, tales como:
- - - - - COMENZAR X509 CRL -----

- - - - - FIN X509 CRL -----
• Hacer clic Salvar al fi nal del proceso de importación.
Si aparece un error, siga las instrucciones que aparecen en pantalla para corregir el problema y vuelva a intentarlo. El error más común no está pegando en la parte
derecha de los datos de CRL. Asegúrese de introducir el bloque entero, incluyendo la cabecera que comienza y termina el pie alrededor de los datos codificados.
Exportar una lista de revocación de Certi fi cado
En la lista de CRL en Sistema> Administrador de Cert sobre el Certi fi cado de Revocación pestaña, una CRL también puede ser exportado.
Para exportar la CRL, haga clic en el icono. El expediente se descargará con el nombre descriptivo de la CRL como el fi l nombre,
y la extensión. CRL.
Eliminar una lista de revocación cado Certi fi
• Compruebe áreas que pueden utilizar una CRL, como OpenVPN.
• Eliminar entradas utilizando el CRL, o elegir otro lugar CRL.
• Navegar a Sistema> Administrador de Cert sobre el Certi fi cado de Revocación lengüeta.
• Busque la CRL a eliminar de la lista
• Haga clic en el icono al final de la fila de la CRL.
10.3. Cado de gestión de lista de revocación de fi cado 151

Revocar una certi fi cado
Una CRL no es muy útil a menos que contenga revocado certi fi cados. Un certificado se revoca añadiendo el certi fi cado a una CRL:
• Busque la CRL a editar en la lista
• Haga clic en el icono al final de la fila de la CRL. Una pantalla se presenta el detalle de las revocada actualmente
certi fi cados, y un control para agregar otros nuevos.
• Seleccione el certi fi cado de la Elija un certificado a revocar lista.
• Seleccione un Razón de la lista desplegable para indicar por qué el certi fi cado está siendo revocada. Esta información no afecta a la validez del certi fi
cado es meramente de naturaleza informativa. Esta opción se puede dejar en el valor predeterminado.
• Hacer clic Añadir y el certi fi cado se añadirá a la CRL. Certi fi cados pueden ser
retirados de la CRL utilizando esta pantalla, así:
• Encuentra el certi fi cado en la lista y haga clic en el icono para eliminarlo de la CRL.
• Hacer clic DE ACUERDO en el diálogo de confirmación.
Después de añadir o retirar un certificado, la CRL se re-escrito si está actualmente en uso por todas las instancias de VPN para que los cambios CRL serán
inmediatamente activo.
Actualización de una lista de revocación de Certi fi cado Importado
Para actualizar una CRL importados:
• Borrar el contenido pegado en el CRL datos caja y reemplazarlo con el contenido de la nueva CRL
Después de la actualización de la CRL importada, será re-escrito si está actualmente en uso por cualquier instancia de VPN para que los cambios CRL serán inmediatamente
activa.
Introducción básica a X.509 Public Key Infrastructure
Una de las opciones de autenticación para redes VPN es utilizar claves X.509. Una discusión a fondo de X.509 y tura de clave pública Infrastructure (PKI) está fuera del
alcance de este libro, y es el tema de una serie de libros enteros para los interesados en los detalles. En este capítulo se proporciona la comprensión muy básica
necesaria para la creación y gestión de los certi fi cados en pfSense.

Con PKI, primero se crea un fi cado fi cado Autoridad (CA). Esta CA firma entonces todos los certi fi cados individuales en la PKI. El certi fi cado de la CA se utiliza en
servidores y clientes VPN para verificar la autenticidad de Cates servidor y el cliente fi cado utilizados. El certi fi cado para el CA puede ser utilizado para verificar la
firma de certi fi cados, pero no firmar certi fi cados. La firma de certi fi cados requiere la clave privada de la CA. El secreto de la clave privada de la CA es lo que
garantiza la seguridad de una PKI. Cualquier persona con acceso a la clave privada de la CA puede generar certi fi cados para ser utilizado en una PKI, por lo que
debe mantenerse segura. Esta clave no se distribuye a los clientes o servidores.
Advertencia: Nunca copiar más archivos a los clientes que son necesarios, ya que esto podría poner en peligro la seguridad de la PKI.
Un certificado se considera válido si ha sido confiado por una CA dada En este caso de las VPN, esto significa que un certificado hecho de una especi fi co CA
sería considerado válido para cualquier VPN usando esa CA. Por eso la mejor práctica es crear una CA único para cada VPN que tiene un diferente nivel de
seguridad. Por ejemplo, si hay dos VPNs de acceso móvil con el mismo acceso de seguridad, utilizando la misma CA para aquellos VPN está bien. Sin embargo, si
una VPN es para los usuarios y otra VPN es para la administración remota, cada uno con diferentes restricciones, a continuación, una CA único para cada VPN se
debe utilizar.
Listas de Revocación de certi fi cado (CRL) son listas de certi fi cados que han sido comprometidos o no necesitarán ser invalidado. La revocación de un certificado hará
que se puede considerar que no se confía, siempre y cuando la aplicación utilizando el CA también utiliza una CRL. CRL se generan y firmaron contra una CA utilizando
su clave privada, por lo que con el fin de crear o agregar certi fi cados a una CRL en la GUI de la clave privada de una CA debe estar presente.
10.4. Introducción básica a X.509 Public Key Infrastructure 153


CAPÍTULO
ONCE
COPIA DE SEGURIDAD Y RECUPERACIÓN
Hacer copias de seguridad en los WebGUI
Hacer una copia de seguridad en el WebGUI es simple.
• Navegar a Diagnóstico> Copia de Seguridad
• Selecciona el Área de copia de seguridad a TODAS ( la opción por defecto)
• Establecer otras opciones deseadas, tales como Saltar RRD y encriptación
• Hacer clic Descarga Con fi guración como XML ( Figura WebGUI de copia de seguridad ).
Fig. 11.1: WebGUI de copia de seguridad
El navegador web que le preguntará por salvar el expediente en alguna parte del ordenador que esté utilizando para ver la WebGUI. Se llamará config <nombre de
host> - <fecha> .xml, sino que pueden ser cambiados antes de guardar el archivo.
Usando el paquete fi AutoCon gBackup
pfSense Suscripción Oro los usuarios tienen acceso al servicio de copia de seguridad automática Con fi guración a través de la AutoCon fi g- de copia de seguridad paquete. La
información más actualizada sobre AutoCon fi gBackup se pueden encontrar en la página de documentación para el pfSense AutoCon fi paquete gBackup .
155
Funcionalidad y Bene fi cios
Cuando se hace un cambio con fi guración fi cortafuegos, se cifra automáticamente con la contraseña introducida en el paquete con fi guración y subido a través de HTTPS a los
servidores gBackup fi AutoCon. Sólo fi guraciones cifrada se retienen en los servidores gBackup fi AutoCon. Esto da instantáneo y seguro de copia de seguridad fuera de las
instalaciones de fi cortafuegos con fi guración de archivos sin intervención del usuario una vez que el paquete está con fi gurado.
pfSense Compatibilidad de la versión
los AutoCon fi gBackup paquete funciona con todas las versiones compatibles de pfSense, y muchas versiones anteriores también.
Con fi guración de la instalación y
Para instalar el paquete:
• Navegar a Sistema> Gestor de paquetes, Paquetes disponibles lengüeta
• Localizar AutoCon fi gBackup en la lista
• Hacer clic Instalar al final de la entrada AutoCon fi gBackup
• Hacer clic Con fi rm para confirmar la instalación
El cortafuego A continuación, descargar e instalar el paquete. Una vez instalado, el paquete se puede encontrar en el menú bajo
Diagnóstico> AutoCon fi gBackup
Ajuste del nombre de host
Asegúrese de con fi gura un nombre de host único y dominio en Sistema> Configuración general. Las entradas con fi guración en AutoCon fi gBackup se almacenan por
FQDN (Quali fi ed totalmente de nombres de dominio, es decir, nombre de host + dominio), por lo que cada cortafuego ser respaldado debe tener un FQDN único, de lo
contrario el sistema no puede diferenciar entre múltiples instalaciones.
Con fi guración fi AutoCon gBackup
El paquete está con fi gurado bajo Diagnóstico> AutoCon fi gBackup. Sobre el ajustes pestaña, llenar en la configuración de la siguiente manera:
Nombre de usuario de suscripción El nombre de usuario para el pfSense Suscripción Oro cuenta
Suscripción Contraseña / Con fi rm La contraseña para el pfSense Suscripción Oro cuenta
Cifrado de la contraseña / Con fi rm Una frase de contraseña arbitraria utiliza para cifrar la configuración con fi antes UP-
cargando. Esto debe ser una contraseña larga y compleja para garantizar la seguridad de la con fi guración. Los servidores fi gBackup
AutoCon sólo tienen copias cifradas, que son inútiles sin este El cifrado de contraseñas Advertencia: Es importante que el El cifrado de
contraseñas ser recordado o almacenan de forma segura fuera del cortafuego. Sin el Contraseña de cifrado, la con fi guración fi l no se puede
recuperar y el El cifrado de contraseñas No se almacena en el servidor fuera de la con fi guración fi l.
La funcionalidad de copia de seguridad de pruebas
Hacer un cambio para forzar una copia de seguridad con fi guración, tales como editar y guardar un cortafuego o regla de NAT, a continuación, en Aplicar cambios. Visitar Diagnóstico>
AutoCon fi gBackup, restauración pestaña, que enumerará las copias de seguridad disponibles junto con la página que realiza el cambio (si está disponible).
156 Capítulo 11. Copias de seguridad y recuperación

Copia de seguridad manual de las
Copias de seguridad manuales deben hacerse antes de una actualización o una serie de cambios significativos, ya que almacenará un fi camente específico de copia de seguridad que muestra la
razón, que a su vez hace que sea fácil de restaurar si es necesario. Debido a que cada cambio con fi guración desencadena una nueva copia de seguridad, cuando se realiza una serie de
cambios que puede ser difícil saber dónde se inició el proceso. Para forzar una copia de seguridad manual de la con fi guración:
• Navegar a Diagnóstico> AutoCon fi gBackup
• Haga clic en el Copia ahora pestaña en la parte superior
• Entrar a Razón de respaldo
• Hacer clic Apoyo
La restauración de una con fi guración
Para restaurar una con fi guración:
• Navegar a Diagnóstico> AutoCon fi gBackup
• Haga clic en el Restaurar pestaña en la parte superior
• Busque la copia de seguridad deseada en la lista
• Hacer clic a la derecha de la fila guración fi con
El cortafuego descargará la con fi guración especí fi cado desde el servidor AutoCon fi gBackup, descifrarlo con la En- contraseña Cryption, y restaurarlo. Por defecto, el
paquete no lo hará iniciar un reinicio. Dependiendo de la con fi guración de los elementos restaurados, un reinicio puede no ser necesario. Por ejemplo, fi cortafuegos y
reglas NAT se vuelven a cargar de forma automática después de restaurar una configuración con fi. Después de la restauración, se solicita al usuario si desea reiniciar.
Si el restaurado con fi guración cambia otra cosa que las reglas de NAT y cortafuego, seleccione Sí y permitir que el cortafuego para reiniciar.
Restauración de metal desnudo
Si el disco en el cortafuego falla, a partir de ahora se requiere el siguiente procedimiento para recuperar en una instalación nueva.
• Reemplazar el disco que ha fallado
• Instalar pfSense en el nuevo disco
• Con fi gura LAN y WAN, y asignar el nombre de host y de dominio exactamente el mismo que el anterior con fi gurar
• instalar el AutoCon fi gBackup paquete
• Con fi gura el paquete AutoCon fi gBackup como se ha descrito anteriormente, utilizando la misma cuenta de portal y la misma
El cifrado de contraseñas utilizada anteriormente.
• Visita el Restaurar lengüeta
• Seleccione la con fi guración para restaurar
• Cuando se le pida que reinicie después de la restauración, que lo hagan
Una vez que el cortafuego ha sido reiniciado, se va a correr con la con fi guración copia de seguridad antes de la falla.
11.2. Usando el paquete fi AutoCon gBackup 157

Comprobación del estado de AutoCon fi gBackup
El estado de una AutoCon fi gBackup carrera cayo comprobarse mediante la revisión de la lista de copias de seguridad se muestra en la Restaurar lengüeta. Esta lista se extrae de los
servidores gBackup fi AutoCon. Si la copia de seguridad está en la lista, que se ha creado correctamente. Si una copia de seguridad falla, una alerta se registra, y será visible como un
aviso en el WebGUI.
Técnicas alternas copia de seguridad remota
Las siguientes técnicas también pueden utilizarse para realizar copias de seguridad de forma remota, pero cada método tiene sus propios problemas de seguridad que se puedan
descartar su uso en muchos lugares. Para empezar, estas técnicas no cifran la con fi guración, que puede contener información sensible. Esto puede dar lugar a la con fi guración
que se transmite sobre un enlace sin cifrar, no es de confianza. Si es necesario utilizar una de estas técnicas, lo mejor es hacerlo desde un enlace no WAN (red LAN, DMZ, etc.) oa
través de una VPN. El acceso a los medios de almacenamiento que llevan a cabo la copia de seguridad también debe ser controlada, si no cifrada. los AutoCon fi g- de copia de
seguridad paquete, disponible con una pfSense Suscripción Oro , Es un medio mucho más fácil y más seguro de la automatización de copias de seguridad remotas.
Tire con wget
La configuración con fi puede ser recuperada desde un sistema remoto mediante el uso de wget, y este proceso puede ser escrito con cron o por otros medios. Incluso cuando se utiliza
HTTPS, esto no es un modo de transporte realmente segura desde certi fi cado de comprobación está deshabilitada para dar cabida a los certi fi cados de firma propia, lo que permite
ataques man-in-the-middle. Cuando se ejecuta con las copias de seguridad
wget a través de redes no seguras, utilice HTTPS con un certificado que puede ser verificable ed por wget.
En pfSense 2.2.6 y posteriores, el comando wget debe dividirse en múltiples pasos para manejar el procedimiento de conexión y descarga de copia de seguridad a la vez
que representa el CSRF la verificación.
Para un cortafuego corriendo HTTPS con un certi fi cado autofirmado, el comando sería el siguiente:
• Buscar el formulario de acceso y guardar las galletas y token CSRF:
$ Wget -qO- --keep-sesión-cookies --save-cookies cookies.txt \

- - sin comprobar en certificados https://192.168.1.1/diag_backup.php \ | grep "name = '__ csrf_magic'" | 'Valor /.* s = "\ (. * \)". * / \ 1 /'
SED> csrf.txt
• Envíe el formulario de acceso junto con el primer CSRF token y guardar el segundo token CSRF:
$ wget -qO- --keep-Session-cookies --load-cookies cookies.txt \

- - save-galletas cookies.txt --no-check-certificado \
- - post-data "login = Entrar y usernamefld = admin y passwordfld = pfSense y __ csrf_magic = $ (cat csrf.txt)" \ https://192.168.1.1/diag_backup.php | grep "name = '__
csrf_magic'" \ | 'Valor /.* s = "\ (. * \)". * / \ 1 /' SED> csrf2.txt
• Ahora el guión está conectado y puede tomar acciones. Presentar el formulario de descarga junto con el segundo token CSRF para guardar una copia de config.xml:
$ wget --keep-sesión-cookies --load-cookies cookies.txt --no certificado-verificar-\

- - post-datos "submit = descarga y donotbackuprrd = yes y __ csrf_magic = $ (cabeza -n 1 csrf2.txt)" \ https://192.168.1.1/diag_backup.php -O config de enrutador
`date +% Y% m%% d H % M% S`.xml
Vuelva a colocar el nombre de usuario y una contraseña con las credenciales para el cortafuego, y la dirección IP sería lo que la dirección IP es alcanzable desde el sistema de la
realización de la copia de seguridad, y el uso de HTTP o HTTPS para que coincida con la interfaz gráfica de usuario fi cortafuegos. Al respaldo la RRD archivos, y omita el donotbackuprrd
= yes parámetro desde el último comando.

El sistema de la realización de la copia de seguridad también tendrá acceso a la WebGUI, por lo que ajustar las reglas fi cortafuego en consecuencia. No se recomienda
realizar esta través de la WAN. Como mínimo, utilice HTTPS y restringir el acceso a la WebGUI a un conjunto de confianza de direcciones IP públicas. Es preferible hacer esto
localmente oa través de una VPN.
Empujar con SCP
La con fi guración fi le también puede ser empujado desde el fi cortafuegos pfSense a otro sistema UNIX con SCP. Utilizando SCP para empujar una copia de seguridad de una
sola vez con la mano puede ser útil, pero usarlo de una manera automática conlleva algunos riesgos. La línea de comandos para SCP variará dependiendo de la con fi guración del
sistema, pero estará cerca de los siguientes:
# SCP /cf/conf/config.xml \
usuario @ backuphost: backups / config-`hostname`-`date +% Y% m% d% H% M% S`.xml
Con el fin de empujar el con fi guración de una manera automatizada, generar una clave de SSH sin una frase de contraseña. Debido a la naturaleza insegura de una llave sin una
frase de paso, la generación de una clave de este tipo se deja como ejercicio para el lector. Esto añade riesgo debido al hecho de que cualquier persona con acceso a ese
expediente tiene acceso a la cuenta designada, sin embargo porque la clave se mantiene en el cortafuego que se restringe el acceso, no es un riesgo considerable en la mayoría
de los escenarios. Si se hace esto, asegúrese de que el usuario remoto está aislada y tiene poco o nada de privilegios en el sistema de destino. Un chrooted SCP medio ambiente
puede ser deseable en este caso. los scponly shell está disponible para la mayoría de las plataformas UNIX que permite SCP fi l copias pero se lo niega capacidades de login
interactivos. Algunas versiones de OpenSSH tienen soporte incorporado para chroot SFTP (Secure FTP). Estas medidas limitan en gran medida el riesgo de compromiso en
relación con el servidor remoto, pero todavía dejan los datos de copia de seguridad en riesgo. Una vez que el acceso es con fi gurado, una entrada cron podría añadirse al
sistema de pfSense para invocar SCP. Para más detalles visita la Wiki de documentación pfSense o buscar en los foros.
copia de seguridad SSH básica
Similar a SCP copia de seguridad, hay otro método que funcione de un sistema UNIX a otro. Este método no invoca la capa SCP / SFTP, que en
algunos casos puede no funcionar correctamente si un sistema que ya está en un estado fallido:
$ Cat ssh root@192.168.1.1 /cf/conf/config.xml> backup.xml
Cuando se ejecuta, esta orden dará lugar a una fi l llama backup.xml en el directorio de trabajo actual que contiene el pfSense remota fi cortafuegos con fi guración.
La automatización de este método utilizando cron también es posible, pero este método requiere una clave SSH sin contraseña como en el host que realiza la copia
de seguridad. Esta tecla le permitirá el acceso administrativo al cortafuego, así que debe ser estrictamente controlada. (Ver Secure Shell (SSH) para detalles.)
La restauración de copias de seguridad
Las copias de seguridad no son útiles sin un medio para recuperar estos datos, y por extensión, a prueba. pfSense ofrece varios medios para restaurar la con fi guraciones.
Algunos son más complejas que otras, pero cada uno tendrá el mismo resultado final: un sistema en funcionamiento idéntico al que se realizó la copia de seguridad.
La restauración de las WebGUI
La forma más fácil para la mayoría de los usuarios restaurar una con fi guración es mediante el uso de la WebGUI:
• localizar el Restaurar la con fi guración sección (figura WebGUI Restaurar ).
• Seleccionar el área a restaurar (típicamente TODAS )
11.4. La restauración de copias de seguridad 159

• Haga clic en Examinar
• Busque la copia de seguridad fi l en el PC local
• Hacer clic Restaurar Con fi guración
La con fi guración se aplicará, y el cortafuego se reiniciará con los valores obtenidos a partir de la copia de seguridad archivo.
Fig. 11.2: WebGUI Restaurar
Mientras que es fácil trabajar con él, este método tiene algunos requisitos previos cuando se trata de una restauración completa a un nuevo sistema. En primer lugar, tendría que ser
hecho después de que el nuevo sistema de destino está completamente instalado y funcionando. En segundo lugar, se requiere un PC adicional conectado a una red de trabajo o
cable cruzado detrás del cortafuegos fi pfSense siendo restaurado.
La restauración de la Con fi g Historia
Para problemas menores, utilizando una de las copias de seguridad internas en la fi cortafuegos pfSense es la forma más fácil de retroceder un cambio. En instalaciones
completas, las configuraciones anteriores fi 30 estafadores se almacenan en el Con fi guración de la historia, junto con la corriente de funcionamiento con fi guración. En
NanoBSD, 5 configuraciones se almacenan fi. Cada fila muestra la fecha en que la con fi guración fi l fue hecho, la versión con fi guración, el usuario y la dirección IP de una
persona haciendo un cambio en la interfaz gráfica de usuario, la página que ha realizado el cambio, y en algunos casos, una breve descripción del cambio que se hizo. Los
botones de acción a la derecha de cada fila mostrará una descripción de lo que hacen cuando el puntero del ratón sobre el botón. Para restaurar una con fi guración de la
historia:
• Haga clic en el Con fi g Historia pestaña (figura Con fi guración de la historia ).
• Busque la copia de seguridad deseada en la lista
• Hacer clic para restaurar esa con fi guración fi l
La con fi guración será restaurado, pero un reinicio no es automático cuando sea necesario. Los cambios menores no requieren un reinicio, aunque revertir algunos
cambios importantes voluntad.
Si un cambio se hizo sólo en una sección especí fi ca, tales como reglas cortafuego, desencadenar una actualización en esa zona de la interfaz gráfica de usuario para activar
los cambios. Para las reglas de cortafuego, una recarga de filtro podría ser suficiente. Para OpenVPN, editar y guardar la instancia VPN sería suficiente. Las acciones
necesarias para llevar depende de lo que ha cambiado en la con fi g, pero la mejor manera de asegurar que la con fi guración completa está activo sería un reinicio. Si es
necesario, reinicie el cortafuego con la nueva con fi guración por ir a Diagnóstico> Reiniciar sistema y haga clic Sí.

La figura 11.3:. Con fi guración de la historia
fi guraciones previamente guardados se pueden eliminar haciendo clic , pero no los elimine por ahorrar espacio en la mano; el viejo
copias de seguridad con fi guración se eliminan automáticamente cuando se crean otras nuevas. Es deseable eliminar una copia de seguridad de una con fi guración cambio de malos
conocidos para asegurarse de que no se restaura de forma accidental.
Una copia de la anterior con fi guración puede ser descargado haciendo clic .
Con fi g Ajustes de historia
La cantidad de copias de seguridad almacenadas en la con fi guración de la historia se puede cambiar si es necesario.
• Haga clic en el Con fi g Historia lengüeta
• Hacer clic en el extremo derecho de la Guardados con fi guraciones bar para expandir la configuración.
• Introduzca el nuevo número de configuraciones para retener fi
Junto con el recuento de con fi guración, también se muestra la cantidad de espacio consumido por las copias de seguridad actuales.
Con fi g Historia Dif
Las diferencias entre cualesquiera dos con fi guración archivos pueden ser vistos en el Con fi g Historia lengüeta. A la izquierda de la con fi guración fi l de la lista hay dos columnas
de botones de radio. Utilice la columna de la izquierda para seleccionar el mayor de los dos con fi guración de archivos, y luego usar la columna de la derecha para seleccionar el más
nuevo de los dos archivos. Una vez que ambos archivos han sido seleccionados, haga clic diff en la parte superior o inferior de la columna.
Con la consola Historia fi guración
La historia con fi guración también está disponible desde el menú de la consola como opción 15, Restaurar recientes con fi guración. La selección del menú, aparecerá una lista con
fi guración reciente archivos y permitir que sean restaurados. Esto es útil si un cambio reciente ha bloqueado administradores de la interfaz gráfica de usuario o tomado el sistema
fuera de la red.
11.4. La restauración de copias de seguridad 161

La restauración montando el disco
Este método es popular entre los usuarios incorporados. Cuando el CF o disco de la fi cortafuegos pfSense se une a un equipo que ejecuta FreeBSD, la unidad se
puede montar y una nueva con fi guración se puede copiar directamente en el sistema instalado, o una con fi g de un sistema fallido puede ser copiado fuera.
Nota: Esto también se puede realizar en una separada pfSense fi cortafuegos en lugar de un equipo que ejecuta FreeBSD, pero no use un cortafuegos producción Fi activa para este
propósito. En su lugar, utilizar un cortafuego de repuesto o de prueba.
los config.xml fi le se mantiene en / cf / conf / tanto para NanoBSD y la instalación completa, pero la diferencia está en la ubicación donde reside este directorio. Para
NanoBSD instala, esto es en un segmento independiente, tal como ad0s3 si la unidad está ad0. Gracias a GEOM (marco de almacenamiento modular) etiquetas de versiones
recientes de FreeBSD y en uso en sistemas de ficheros fi integrados basados en NanoBSD, esta rebanada se puede acceder también independientemente del nombre de
dispositivo mediante el uso de la etiqueta / dev / UFS / cf. Para las instalaciones nuevas, es parte de la raíz rebanada (típicamente ad0s1a). Los nombres de las unidades
variarán dependiendo del tipo y posición en el sistema.
Ejemplo NanoBSD
En primer lugar, conectar el CF a un lector de tarjetas USB en un sistema FreeBSD u otro sistema de pfSense inactiva (véase la nota en la sección anterior). Para la
mayoría, se mostrará como da0. mensajes de la consola también se imprimirá lo que refleja el nombre del dispositivo, y las etiquetas GEOM recientemente disponibles. Ahora
montar la partición con fi g:
# mount -t UFS / DEF / UFS / cf / mnt
Si por alguna razón las etiquetas GEOM no son utilizables, utilice el dispositivo directamente como / dev / da0s3.
Ahora, copiar una con fi g en la tarjeta:
# cp /usr/backups/pfSense/config-alix.example.com-20090606185703.xml \
/mnt/conf/config.xml
A continuación, asegúrese de desmontar la partición con fi g:
# umount / mnt
Desconecte la tarjeta, vuelva a introducirla en el cortafuego, y volver a encenderla. El cortafuego ahora se ejecuta con el anterior con fi guración.
Para copiar la con fi guración de la tarjeta, el proceso es el mismo, pero los argumentos de la cp comando se invierten.
Los archivos de copia de seguridad y directorios con el paquete de copia de seguridad
los Apoyo paquete permite a cualquier conjunto dado de archivos / carpetas en el sistema para hacer copia de seguridad y restauración. Para la mayoría, esto no es necesario, pero
puede ser útil para realizar copias de seguridad de datos RRD o paquetes que podrían configurar los archivos que no se mantienen en con fi g.xml. Para instalar el paquete:
• Navegar a Sistema> Paquetes
• Localizar Apoyo en la lista
• Hacer clic Instalar al final de su entrada
• Hacer clic Con fi rm para comenzar la instalación

Una vez instalado, el paquete está disponible en Diagnóstico> Copia de seguridad de archivos y / o Direct. Es bastante simple de usar, como se muestra en el siguiente ejemplo.
Realizar copias de seguridad de datos RRD
El uso de este paquete de copia de seguridad es bastante fácil de hacer una copia de seguridad de los datos del gráfico RRD fuera del método con fi g.xml.
Ver también:
Gráficos de seguimiento
• Navegar a Diagnóstico> Copia de seguridad de archivos y / o Direct
• Hacer clic Añadir para añadir una nueva ubicación para el grupo de respaldo
• Entrar Los archivos RRD en el Nombre campo
• Entrar / var / db / RRD en el Camino campo
• Ajuste Activado a Cierto
• Entrar RRD archivos de datos Gráfico en el Descripción
• Haga clic en el Apoyo botón para descargar el archivo de respaldo, que contiene la fi gura con archivos y directorios para el grupo de respaldo.
• Guarde el expediente en un lugar seguro y considerar mantener múltiples copias si los datos son importantes.
Restauración de datos RRD
• Navegar a Diagnóstico> Copia de seguridad de archivos y / o Direct
• Hacer clic Vistazo
• Localice y seleccione el archivo de respaldo fi le descargó previamente
• Hacer clic Subir para restaurar la fi les
Para este ejemplo, debido a que la RRD archivos solamente se tocan cuando se actualiza una vez cada 60 segundos, no es necesario reiniciar o reiniciar los servicios una
vez que la fi les son restaurados.
Salvedades y Gotchas
Mientras que la con fi guración fi l XML guardado por pfSense incluye todos los ajustes, que no incluye ningún cambio que pueda haber sido realizados en el sistema a
mano, tales como cationes manuales modi fi de código fuente. Además, algunos paquetes requieren métodos de copia de seguridad adicional para sus datos.
La con fi guración fi l puede contener información confidencial, como claves VPN o certi fi cados y contraseñas (excepto la contraseña de administrador) en texto plano
en algunos casos. Algunas contraseñas deben estar disponibles en formato de texto en tiempo de ejecución, haciendo hash seguro de esas contraseñas imposibles.
Cualquier ofuscación sería trivial para revertir para cualquier persona con acceso al código fuente, es decir todos. Una decisión consciente de diseño se hizo en
m0n0wall, y continuó en pfSense, dejar esas contraseñas en claro para que sea muy claro que el expediente contiene contenido sensible y debe ser protegido como
tal. De ahí que las copias de seguridad de estos archivos también deben estar protegidos de alguna manera. Si se almacenan en un medio extraíble, tenga cuidado
con la seguridad física de que los medios de comunicación y / o cifrar la unidad.
11.6. Salvedades y Gotchas 163

Si el WebGUI debe ser utilizado por la red WAN sin una conexión VPN, por lo menos usar HTTPS. De lo contrario, una copia de seguridad se transmite sin cifrar, incluyendo
cualquier información sensible dentro de esa copia de seguridad de archivo. Es muy recomendable utilizar una red de confianza o una conexión cifrada.
Gracias a la contra basado en XML fi guración fi l utilizado por pfSense, las copias de seguridad son una brisa. Todos los ajustes del sistema se llevan a cabo en un solo archivo (ver pfSense
XML Con fi guración del archivo ). En la gran mayoría de los casos, éste fi l se puede utilizar para restaurar un sistema a un estado totalmente funcional idéntico a lo que estaba
previamente en marcha. No hay necesidad de hacer una copia de seguridad de todo el sistema, como el sistema de base de los archivos no se modi fi cada por una corriente, normal
del sistema,.
Nota: En casos raros, los paquetes pueden almacenar archivos fuera de con fi g.xml, compruebe la documentación del paquete de información adicional y sugerencias de copia de
seguridad.
Estrategias de respaldo
La mejor práctica es hacer una copia de seguridad después de cada cambio de menor importancia, y tanto antes como después de cada cambio importante o una serie de cambios.
Típicamente, una copia de seguridad inicial se toma en caso de que el cambio que se está hecho tiene efectos indeseables. Una copia de seguridad después de hecho-el-se toma después de
evaluar el cambio y asegurando que tenía el resultado deseado. copias de seguridad periódicas son también ser útiles, independientemente de los cambios, especialmente en los casos en que
una copia de seguridad manual se puede perder por una razón u otra. pfSense hace una copia de seguridad interna en cada cambio, por lo que recomendamos la descarga de una copia de
seguridad manual también. Las copias de seguridad automáticas realizadas en cada cambio son útiles para volver a con fi guraciones anteriores después de los cambios han demostrado ser
perjudiciales, pero no son buenos para la recuperación de desastres, ya que son en el propio sistema y no mantienen externamente. Ya que es un proceso bastante simple y sin dolor, los
administradores deben hacer un hábito de descargar una copia de seguridad de vez en cuando y mantenerlo en un lugar seguro. Si una pfSense Suscripción Oro está disponible, las copias de
seguridad se pueden manejar fácilmente y de forma automática mediante el AutoCon fi gBackup paquete.
Si se han realizado cambios al sistema de archivos, tales como parches personalizados o alteraciones de código, los cambios deben ser respaldados de forma manual o con el
paquete de copia de seguridad se describe en Los archivos de copia de seguridad y directorios con el paquete de copia de seguridad , Ya que no se realizará una copia de
seguridad o restauración por el sistema de copia de seguridad incorporado. Esto incluye alteraciones en el sistema fi les menciona en otra parte en el libro, como / boot /
device.hints, /boot/loader.conf.local, y otros.
Nota: parches personalizados deben ser manejados mediante el Los parches del sistema paquete, que está respaldado por la con fi g.xml, en lugar de guardar un parche manualmente
los archivos.
Además de hacer copias de seguridad, copias de seguridad también deben ser probados. Antes de colocar un sistema en producción, la copia de seguridad con fi guración, limpie el disco y, a
continuación, intentar algunas de las diferentes técnicas de restauración en este capítulo. También se recomienda encarecidamente copias de seguridad periódicamente pruebas en una
máquina no sea de producción o máquina virtual. La única cosa peor que una copia de seguridad que falta es una copia de seguridad inutilizable!
datos del gráfico RRD opcionalmente se pueden mantener en el XML con fi guración fi le copia de seguridad. Este comportamiento está desactivado por defecto debido al tamaño resultante de la
copia de seguridad de archivo. También hay otras maneras de asegurar los datos se copian de forma segura. Ver Los archivos de copia de seguridad y directorios con el paquete de copia de
seguridad más adelante en este capítulo.

CAPÍTULO
DOCE
CORTAFUEGOS
Fundamentos de cortafuegos
Esta sección trata principalmente con conceptos cortafuego introductoria fi y sienta las bases para entender c omo con reglas fi gurar cortafuego utilizando
pfSense.
Terminología básica
Regla y conjunto de reglas son dos términos se utilizan en este capítulo:
Regla Se refiere a una sola entrada en el Cortafuegos> Reglas pantalla. Una regla instruye al fi cortafuegos cómo hacer coincidir
o manejar red tráfico c.
conjunto de reglas Se refiere a un grupo de reglas colectivamente. Ya sea todas reglas fi cortafuego en su conjunto, o un conjunto de reglas en una
contexto c especificidad tales como las normas de una pestaña de interfaz. El conjunto de reglas completa fi cortafuegos es la suma de todas las reglas configurada y
añadidos automáticamente con el usuario fi, que están cubiertos más largo de este capítulo. Los conjuntos de reglas en el Interfaz lengüetas se evalúan en una primer partido de fi base
por pfSense. Esto significa que la lectura del conjunto de reglas para una interfaz de arriba a abajo, la primera regla que coincide con fi será la utilizada por el cortafuego. Evaluación
se detiene después de alcanzar este partido y luego el cortafuego toma la acción especí fi cado por esa regla. Siempre que tenga esto en cuenta al crear nuevas reglas,
especialmente cuando la elaboración de normas para restringir el tráfico c. Las reglas más permisivas deben estar hacia la parte inferior de la lista, por lo que las restricciones o
excepciones se pueden hacer por encima de ellos.
Nota: los Flotante pestaña es la única excepción a esta regla lógica de procesamiento. Se trata en una sección posterior de este capítulo.
El filtrado stateful
pfSense es un cortafuego de estado, lo que significa que recuerda la información acerca de las conexiones fl debido a través del cortafuego de modo que la respuesta de trá fi
co se puede permitir de forma automática. Estos datos se retiene en el Tabla de Estado. La información de conexión en la tabla de estado incluye el origen, destino, protocolo,
puertos, y más: suficiente para identificar de forma única una conexión específica.
El uso de este mecanismo, trá fi co sólo necesita ser permitida en la interfaz donde entra el cortafuego. Cuando una conexión coincide con una regla pase el cortafuego crea
una entrada en la tabla de estado. Responder tráfico c a las conexiones se permite automáticamente de nuevo a través del cortafuego, haciendo coincidir contra la tabla de
estado en lugar de tener que comprobar que contra las reglas en ambas direcciones. Esto incluye cualquier fi tráfico relacionados C usando un protocolo diferente, como los
mensajes de control ICMP que se puede proporcionar en respuesta a una TCP, UDP, u otra conexión.
Ver también:
Ver servidor de seguridad avanzada y Tipo Estado Para obtener más información acerca de las opciones de estado y tipos.
165
tamaño de la tabla Estado
La tabla de estados fi cortafuegos tiene un tamaño máximo para evitar el agotamiento de memoria. Cada estado tiene aproximadamente 1 KB de memoria RAM. El tamaño de la tabla estado
predeterminado en pfSense se calcula teniendo aproximadamente el 10% de la RAM disponible en la fi cortafuegos por defecto. En un cortafuego con 1 GB de RAM, el tamaño de la tabla
estado predeterminado puede contener aproximadamente 100.000 entradas.
Ver también:
Ver Tablas de estado grandes para más información sobre el tamaño y la tabla de estado de uso de memoria RAM.
Cada conexión de usuario consiste típicamente en dos estados: uno creado a medida que entra el cortafuego, y uno ya que deja el cortafuego. Por lo tanto, con un tamaño de
tabla de estados de 1.000.000, el cortafuego puede manejar aproximadamente 500.000 atravesar las sesiones de usuario activa el cortafuego antes de que se cayeron las
conexiones adicionales. Este límite se puede aumentar según sea necesario con tal de que no sea superior a la cantidad disponible de memoria RAM en el cortafuego. Para
aumentar el tamaño de la tabla de estado:
• Navegar a Sistema> Avanzado sobre el Cortafuegos y NAT lengüeta
• Introduzca el número deseado para Firewall máxima Unidos, o dejar en blanco la casilla para el valor por defecto calculado. Ver figura El aumento de tamaño
tabla de estado a 2.000.000
Fig. 12.1: Aumento de la tabla de estado de Tamaño a 2.000.000
el uso de la tabla de estado histórico es rastreado por el cortafuego. Para ver el gráfico:
• Navegar a Estado> Monitoreo
• Hacer clic para ampliar las opciones de gráficos
• Ajuste Categoría para el Eje izquierdo a Sistema
• Selecciona el Grafico para el Eje izquierdo a Unidos
• Hacer clic actualización de gráficos
Bloque vs Rechazar
Hay dos maneras de no permitir trá fi co utilizando reglas fi cortafuego en pfSense: Bloquear y rechazar.
Un conjunto de reglas a bloquear se silenciosamente caer tráfico c. Un cliente bloqueado no recibirá ninguna respuesta y por lo tanto va a esperar hasta que sus tiempos
intento de conexión. Este es el comportamiento por defecto de la regla de rechazo en pfSense. Un conjunto de reglas a rechazar responderá de nuevo al cliente para TCP
y UDP negado trá fi co, para que éste sepa que se ha rechazado la conexión. Rechazado TCP trá fi co recibe un TCP RST (reset) en respuesta, y rechazó tráfico UDP c
recibe un mensaje de ICMP inalcanzable en respuesta. Aunque rechazan es una opción válida para cualquier regla de cortafuegos fi, protocolos IP distintos de TCP y
UDP no son capaces de ser rechazado; Estas reglas se bajan en silencio otros protocolos IP, porque no existe un estándar para rechazar otros protocolos.
166 Capítulo 12. Cortafuegos

Decidir entre el bloque y Rechazar
Ha habido mucho debate entre los profesionales de la seguridad en los últimos años en cuanto al valor del bloque vs rechazan. Algunos argumentan que el uso de bloques tiene
más sentido, afirmando que “ralentiza” atacantes exploración de Internet. Cuando una regla está configurado para rechazar, una respuesta se envía de nuevo inmediatamente
que el puerto está cerrado, mientras que el bloque silencio cae el trá fi co, causando escáner de puertos del atacante a esperar una respuesta. Ese argumento no se sostiene,
porque todo buen escáner de puertos puede escanear cientos o miles de servidores de forma simultánea, y el escáner no se haya instalado la espera de una respuesta por
parte de los puertos cerrados. Hay una diferencia mínima en el consumo de recursos y la velocidad de exploración, pero tan leve que no debe ser una consideración.
Si los bloques cortafuego todas de trá fi co de Internet, hay una diferencia notable entre el bloque y rechazar: Nadie conoce el cortafuego está en línea. Si incluso un
solo puerto está abierto, el valor de esa capacidad es mínima debido a que el atacante puede determinar fácilmente que el anfitrión es en línea y también sabrá qué
puertos están abiertos o no las conexiones bloqueadas han sido rechazadas por el cortafuego. Si bien no hay valor significativo en el bloque sobre rechazar, le
recomendamos el uso de bloques de reglas WAN. Hay algo de valor en forma activa no entregar información a los potenciales atacantes, y también es una mala
práctica para responder automáticamente a una solicitud externa innecesariamente.
Para las reglas sobre las interfaces internas se recomienda utilizar rechazo en la mayoría de las situaciones. Cuando un host intenta acceder a un recurso que no está permitido
por las reglas de cortafuego, la aplicación para acceder a él se puede bloquear hasta que los tiempos de conexión hacia fuera o el programa cliente deja de intentar acceder al
servicio. Con rechazar la conexión se rechaza inmediatamente y el cliente evita estos bloqueos. Generalmente no es nada más que una molestia, pero todavía generalmente
recomienda el uso de rechazar para evitar posibles problemas de aplicación inducidas por la caída en silencio trá fi co dentro de una red.
Ingress Filtering
Ingress fi ltrado se refiere al concepto de fi rewalling tráfico c entrar en una red desde una fuente externa tal como Internet. En implementaciones con múltiples WAN, el
cortafuego tiene múltiples puntos de ingreso. La política de entrada por defecto en pfSense es bloquear todo el tráfico c ya que no se permitirá que las normas sobre la
WAN en el conjunto de reglas por defecto. Respuestas a TRAF fi c iniciada desde dentro de la red local se permite automáticamente para volver a través del cortafuego
de la tabla de estado.
Filtrado de egreso
Egreso fi ltrado se refiere al concepto de fi rewalling tráfico c iniciada dentro de la red local, con destino a una red remota, tal como Internet. pfSense, al igual que
las soluciones comerciales y de código abierto casi todas similares, viene con una regla de LAN que permite todo, desde la LAN a Internet. Esta no es la mejor
manera de operar, sin embargo. Se ha convertido en el valor por defecto de hecho en la mayoría de las soluciones de fi cortafuego porque es lo que la mayoría
de la gente espera. El error común es “cualquier cosa en la red interna es 'confiable', ¿por qué preocuparse fi ltrado”?
¿Por qué emplear la salida fi ltrado?
A partir de nuestra experiencia en el trabajo con un sinnúmero de rewalls fi de numerosos vendedores a través de muchas organizaciones diferentes, la mayoría
pequeñas empresas y las redes domésticas no emplean egreso fi ltrado. Se puede aumentar la carga administrativa, ya que cada nueva aplicación o servicio
puede requerir la apertura de puertos o protocolos adicionales en el cortafuego. En algunos entornos, es difícil porque los administradores no saben por completo
lo que está sucediendo en la red, y que no se atreven a romper cosas. En otros entornos, es imposible por razones de política del lugar de trabajo. Lo más
recomendable es que los administradores con fi gura el cortafuego para permitir sólo el mínimo requerido de trá fi co para dejar una red donde sea posible. Tight fi
ltrado de salida es importante por varias razones:
12.2. Ingress Filtering 167

Limitar el impacto de un sistema comprometido
Egreso fi ltrado limita el impacto de un sistema comprometido. Malware utiliza comúnmente puertos y protocolos que no son necesarios en la mayoría de las redes empresariales.
Algunos bots se basan en conexiones IRC para llamar a casa y recibir instrucciones. Algunos utilizarán los puertos más comunes, tales como el puerto TCP 80 (normalmente
HTTP) para evadir la salida fi ltrado, pero muchos no lo hacen. Si el acceso al puerto TCP 6667, el puerto de IRC de costumbre, no está permitido por el cortafuego, los robots
que se basan en el IRC a la función pueden ser paralizados por el fi ltrado.
Otro ejemplo es un caso estábamos involucrados en donde la interfaz dentro de una instalación de pfSense estaba viendo 50-60 Mbps de tráfico c mientras
que la WAN tenía menos de 1 Mbps de rendimiento. No había otras interfaces en el cortafuego. Algunos investigación demostró la causa como un sistema
comprometido en la LAN que ejecuta un bot participar en una denegación de servicio distribuido (DDoS) contra un sitio de juego web en chino. El ataque
utiliza el puerto UDP 80, y en esta red de puertos UDP 80 no fue permitido por el conjunto de reglas de salida por lo que todo el DDoS estaba logrando
estaba enfatizando la interfaz dentro del cortafuego con tráfico c que estaba siendo cayó. En esta situación, el cortafuego se chugging feliz a lo largo sin
degradación del rendimiento y el administrador de la red no sabía lo que estaba ocurriendo hasta que fue descubierto por accidente.
El ataque descrito en el párrafo anterior probable utiliza el puerto UDP 80 por dos razones principales:
• UDP permite que grandes paquetes sean enviados por el cliente sin completar un apretón de manos TCP. Con fi rewalls con estado que es la norma,
grandes paquetes TCP no pasará hasta que el apretón de manos se completa con éxito, y esto limita la eficacia de los ataques DDoS.
• Los que lo hacen emplear egreso fi ltrado son habitualmente demasiado permisiva, permitiendo TCP y UDP en el que sólo se requiere TCP, como en el caso
de HTTP.
Este tipo de ataques son lanzados comúnmente de servidores web comprometidos. Con un conjunto de reglas de salida de par en par, el trá fi co saldrá a
Internet, y tiene el potencial de desborde la tabla de estado en el cortafuego, cuesta dinero en el uso de ancho de banda, y / o degradar el rendimiento de
todo en la conexión a Internet.
SMTP saliente es otro ejemplo. Sólo permiten SMTP (puerto TCP 25) a salir de cualquier red desde un servidor de correo. O si un servidor de correo está alojado
externamente, sólo se permitirá a los sistemas internos a hablar con ese específico fuera del sistema en el puerto TCP 25. Esto evita que cualquier otro sistema en la red local
de ser utilizado como un robot de spam, ya que será dado de baja su SMTP trá fi co. Muchos proveedores de correo se han trasladado a la presentación utilizando sólo la
autenticación de los clientes utilizando el puerto TCP
587, por lo que los clientes no deberían tener acceso al puerto 25. Esto tiene el obvio beneficio de la limitación de correo no deseado, y también evita la red se agreguen
a numerosas listas negras a través de Internet que evitará sitio desde el envío de correo electrónico legítimo a muchos servidores de correo. Esto también puede evitar
que el ISP para ese sitio se apague su conexión a Internet debido al abuso.
La solución ideal es evitar que este tipo de cosas sucedan en el primer lugar fi, pero la salida fi ltrado proporciona otra capa que puede ayudar a
limitar el impacto si fallan otras medidas.
Prevenir un compromiso
Egreso fi ltrado puede evitar un compromiso en algunas circunstancias. Algunos exploits y gusanos requieren el acceso de salida para tener éxito. Un ejemplo más antiguo, pero
buena de esto es el gusano Code Red desde 2001. La vulnerabilidad causada sistemas afectados para tirar de un ejecutable fi l a través de TFTP (Trivial File Transfer Protocol) y
luego ejecutarlo. Un servidor web es casi seguro que no es necesario para utilizar el protocolo TFTP, TFTP y el bloqueo de la salida a través de fi ltrado prevenir la infección con
el Código Rojo, incluso en servidores sin parches. Esto es en gran parte sólo es útil para detener los ataques de gusanos y completamente automatizados como un verdadero
atacante humana será hallar todos los agujeros que hay en la salida fi ltrado y utilizarlos para su propio beneficio. Una vez más, la solución correcta para evitar un compromiso
de este tipo es a FI x las vulnerabilidades de red utilizados como un vector de ataque, sin embargo la salida fi ltrado puede ayudar.

Limitar el uso de aplicaciones no autorizadas
Muchas aplicaciones tales como clientes VPN, software peer-to-peer, mensajería instantánea, y más confían en los puertos o protocolos para funcionar atípicos.
Mientras que un número creciente de-peer-to-peer y aplicaciones de mensajería instantánea será puerto hop hasta hallazgo de un puerto que se deja fuera de la
red local, muchos se le impida que funcionen por un conjunto de reglas de salida restrictiva, y esto es un medio eficaz de limitar muchos tipos de conectividad
VPN.
Prevent IP Spoo fi ng
Esta es una razón comúnmente citada para el empleo de egreso ltrado fi, pero pfSense bloquea automáticamente falsa tráfico c vía PF antispoof funcionalidad, por lo que no es
aplicable en este caso. La prevención de IP Spoo fi ng significa que los clientes maliciosos no pueden enviar trá fi co con direcciones de origen fi cado obviamente falsi.
Prevenir fugas de información
Ciertos protocolos Nunca se debe permitir salir de una red local. ejemplos especıficos de tales protocolos varían de un entorno a otro, pero
algunos ejemplos comunes son:
• Microsoft RPC (Remote Procedure Call) en el puerto TCP 135
• NetBIOS en TCP y UDP 137 a través de 139
• SMB / CIFS (Server Message Block System / archivos común de Internet) en el puerto TCP y UDP 445. La suspensión de estos protocolos puede evitar que
la información sobre la red interna de fugas en Internet, e impedirá que los sistemas locales de iniciar los intentos de autenticación con ordenadores conectados a
Internet. Estos protocolos también caen bajo Limitar el impacto de un sistema comprometido como se indicó anteriormente, ya que muchos gusanos se han basado
en estos protocolos para funcionar. Otros protocolos que pueden ser relevantes son syslog, trampas SNMP y SNMP. La restricción de este trá fi co impedirá que los
dispositivos de red configurada Miscon el fuego desde el envío de la tala y otra información potencialmente sensible a Internet. En lugar de preocuparse por lo que
los protocolos se pueden filtrar información de una red local y deben ser bloqueados, lo mejor es permitir que sólo el trá fi co que se requiere.
Enfoques para implementar la salida fi ltrado
En una red que históricamente no ha empleado la salida fi ltrado, puede ser difícil saber lo que es absolutamente necesario trá fi co. En esta sección se
describen algunos enfoques para la identificación de trá fi co y la aplicación de egreso fi ltrado.
Permitir que lo que se conoce, bloquear el resto, y trabajar a través de la lluvia
Un método consiste en agregar reglas de cortafuego para el conocido requerida trá fi co que se permita. Comience con hacer una lista de cosas que sabe que son necesarios, tales
como en la tabla La salida trá fi co Requerido .
Tabla 12.1: Egreso Traf fi c Requerido
Descripción Fuente Puerto de destino de destino

HTTP y HTTPS desde todos los hosts Red LAN Cualquier TCP 80 y 443
SMTP del servidor de correo Servidor de correo Alguna TCP 25
consultas DNS de los servidores DNS internos servidores DNS Alguna TCP y UDP 53
Después de hacer la lista, con fi gurar fi reglas de cortafuego para pasar sólo eso trá fi co y dejar todo lo demás golpeó la denegación predeterminada regla.
12.3. Filtrado de egreso 169

Entrar Traf fi c y analizar los registros
Otra alternativa es la de habilitar el registro en todas las reglas de paso y enviar los registros a un servidor syslog. Los registros pueden ser analizados por el servidor syslog para ver lo c fi
tráfico abandona la red. pfSense utiliza un formato de registro personalizado, por lo que los registros normalmente necesita ser analizado por un script personalizado a menos que el servidor
tiene algún conocimiento del formato del registro de filtro pfSense. El análisis de los registros ayudará a construir el conjunto de reglas requerida con menos consecuencias, ya que dará lugar
a una mejor idea de lo que es necesario trá fi co en la red local.
Introducción a la pantalla de las reglas del cortafuegos
En esta sección se proporciona una introducción y una visión general de la pantalla de las reglas del cortafuegos se encuentra en Cortafuegos> Reglas. Esta página muestra el conjunto de
reglas WAN para empezar, que por defecto no tiene entradas que no sean los de Bloquear las redes privadas
y redes de bloques Bogon si esas opciones están activas en la interfaz WAN, como se muestra en la figura Reglas WAN por defecto .
Propina: Hacer clic el de la derecha de la Bloquear las redes privadas o redes de bloques Bogon reglas para llegar a la WAN
Página fi guración interfaz de aire, donde estas opciones pueden ser activadas o desactivadas. (Ver Bloque Redes Privadas y Bloque Bogon Redes para más
detalles.)
Fig. 12.2: Por defecto Reglas WAN
Haga clic en el LAN pestaña para ver las reglas de LAN. Por defecto, las únicas entradas son la Por defecto permitir a cualquier LAN reglas para IPv4 y IPv6 como se ve en la
figura Reglas predeterminadas de LAN , y el Regla anti-bloqueo si está activo. La regla anti-bloqueo
está diseñado para evitar que los administradores queden atrapados fuera de la interfaz gráfica de usuario. Hacer clic al lado de
de las reglas anti-bloqueo para llegar a la página en esta regla se puede desactivar.
Ver también:
Para obtener más información sobre cómo la regla anti-bloqueo funciona y cómo deshabilitar la regla, véase Regla anti-bloqueo y
Anti-bloqueo .
Para mostrar las reglas para otras interfaces, haga clic en sus respectivas pestañas. interfaces de OPT aparecerán con sus nombres descriptivos, así que si la interfaz OPT1
se renombró DMZ, a continuación, en la ficha de sus reglas también dirá DMZ.
A la izquierda de cada regla es un icono indicador que muestra la acción de la regla: pase ( ) , Bloque ( ) , O rechazar ( ) . Si
el registro está habilitado para la regla, se muestra en la misma zona. Si la regla no tiene ninguna opción avanzada habilitada, una
También se muestra el icono. Al pasar el cursor del ratón sobre cualquiera de estos iconos se mostrará texto que explica su significado. Los mismos iconos se muestran para las
normas de movilidad reducida, excepto el icono y el Estado son un tono más claro de su color original.

Fig. 12.3: Reglas predeterminadas de LAN
Adición de una regla de cortafuego
Para añadir una regla a la parte superior de la lista, haga clic Añadir.
Para añadir una regla a la parte inferior de la lista, haga clic Añadir.
Para crear una nueva regla que es similar a una regla existente, haga clic a la derecha de la regla existente. La pantalla de edición se
aparecerá con la configuración de la regla preexistente LLED fi, listo para ser ajustado. Al duplicar una regla existente, se añade la nueva regla directamente abajo la
regla original. Para obtener más información acerca de cómo con fi gurar la nueva regla, véase
Con fi gurar reglas de cortafuego .
Las reglas del cortafuegos de edición
Para editar una regla de cortafuego, haga clic a la derecha de la regla, o hacer doble clic en cualquier lugar de la línea.
La página de edición para esa regla se carga, y desde allí los ajustes son posibles. Ver Con fi gurar reglas de cortafuego para más información sobre las opciones
disponibles cuando se edita una regla.
Mover las reglas del cortafuegos
Las reglas pueden ser reordenadas de dos maneras diferentes: arrastrar y soltar, y el uso de selección y hacer clic. Para mover reglas usando
el método de arrastrar y soltar:
• Mover el puntero del ratón sobre la regla de cortafuego para mover el cursor cambiará para indicar el movimiento es posible.
• Haga clic y mantenga pulsado el botón del ratón
• Arrastrar el ratón a la ubicación deseada para la regla
• Suelte el botón del ratón
• Hacer clic Salvar para almacenar el nuevo orden de las reglas
Advertencia: El intento de navegar fuera de la página después de mover una regla, pero antes de guardar la regla, dará lugar a la presentación de un
navegador con fi rma de error si o no para salir de la página. Si el navegador se desplaza fuera de la página sin guardar, la norma todavía estará en su
ubicación original.
Para mover las reglas en la lista de grupos o seleccionándolos primero, utilice el método de selección y hacer clic:
12.4. Introducción a la pantalla de las reglas del cortafuegos 171

• Marque la casilla junto a la izquierda de las reglas que deben ser movido, o de un solo clic en la regla. Cuando se selecciona la regla, que va a cambiar de
color.
• Hacer clic en la fila abajo donde la regla debe ser movido.
Propina: Sostener Cambio antes de hacer clic con el ratón en para mover la regla debajo de la regla seleccionada en lugar de arriba.
Al mover reglas utilizando el método de selección y hacer clic, el nuevo orden se almacena automáticamente.
Eliminación de reglas de firewall
Para eliminar una sola regla, haga clic a la derecha de la regla. El cortafuego presentará una pronta confirmación antes
eliminar la regla.
Para eliminar varias reglas, marque la casilla al comienzo de las filas que deben ser eliminados, a continuación, haga clic en el Borrar
botón en la parte inferior de la lista. Las reglas también pueden ser seleccionados por un solo clic en cualquier lugar de su línea.
Activación y desactivación de las reglas del cortafuegos
Para desactivar una regla, haga clic al final de su fila. La aparición de la regla cambia a un tono más claro para indicar
que está desactivada y el icono cambia a .
Para habilitar una regla que fue desactivado previamente, haga clic al final de su fila. La aparición de la regla volverá
al icono normal y la activación / desactivación volverá a la original .
Una regla también se puede activar o desactivar mediante la edición de la regla y alternar el Discapacitado caja.
Separadores de reglas
De reglas de cortafuegos separadores se barras en el conjunto de reglas que contiene un pequeño fragmento de texto en color, pero no tome ninguna acción de trá fi co. Son útiles
para separar visualmente o añadir notas a partes especiales del conjunto de reglas. Figura Firewall Regla Separadores Ejemplo muestra cómo se pueden utilizar para agrupar y
documentar el conjunto de reglas. Para crear un nuevo separador de la Regla:
• Abrir la pestaña regla de cortafuego, donde la regla de separación residirá
• Hacer clic Separador
• Introduzca la descripción de texto de la Regla Separador
• Elegir el color de la regla de separación haciendo clic en el icono del color deseado
• Haga clic y arrastre el separador de Regla a su nueva ubicación
• Hacer clic Salvar en el interior del separador de la Regla para almacenar su contenido

Fig. 12.4: Firewall Regla Separadores Ejemplo
• Hacer clic Salvar en la parte inferior de la lista de reglas
Para mover un separador Regla:
• Abrir la pestaña regla fi cortafuegos que contiene la regla de separación
• Haga clic y arrastre el separador de Regla a su nueva ubicación
Para eliminar una regla de separación:
• Abrir la pestaña regla fi cortafuegos que contiene la regla de separación
• Hacer clic en el interior del separador de la regla en el lado derecho
Separadores de reglas no se pueden editar. Si se requiere un cambio en el texto o el color, crear un nuevo separador de Regla y eliminar la entrada existente.
Los cambios de seguimiento de reglas de cortafuegos
Cuando se crea o actualiza una regla del cortafuego registra el nombre de inicio de sesión del usuario, la dirección IP, y una marca de tiempo en la regla para realizar un seguimiento que
añade y / o cambió por última vez la norma en cuestión. Si el fi cortafuegos crea automáticamente la regla, es decir también señaló. Esto se hace para las reglas fi cortafuego, así como hacia
delante y reglas de puerto de salida NAT. Un ejemplo de una actualización de regla de seguimiento de bloques se muestra en la figura Sellos de reglas de cortafuegos Tiempo , que es visible al
editar una regla de cortafuego en la parte inferior de la pantalla de edición de reglas.
12.4. Introducción a la pantalla de las reglas del cortafuegos 173

Fig. 12.5: Sellos de reglas de cortafuegos Tiempo
alias
Alias definen un grupo de puertos, hosts o redes. Alias puede hacer referencia a las normas fi cortafuego, puerto remite, reglas NAT saliente, y otros lugares de la interfaz gráfica
de usuario fi cortafuegos. El uso de alias da lugar significativamente más corto, auto-documentado, y conjuntos de reglas más manejables.
Nota: No se debe confundir Alias en este contexto con los alias IP de interfaz, que son un medio de añadir direcciones IP adicionales para una interfaz de
red.
Fundamentos de alias
Los alias se encuentran en Cortafuegos> Alias. La página está dividida en pestañas separadas para cada tipo de alias: IP, puertos, direcciones URL, y el Todas pestaña
que muestra todos los alias en una lista grande. Al crear un alias, añadirlo a cualquier pestaña y se ordenará a la ubicación correcta en función del tipo elegido. Los
siguientes tipos de alias se pueden crear:
Anfitrión Alias contienen direcciones IP individuales o nombres de host
Red Alias que contienen listas CIDR-enmascarado de redes, nombres de host, intervalos de direcciones IP, o solo IP
direcciones
Puerto Estos alias contienen listas de números de puerto o intervalos de puertos para TCP o UDP.
URL El alias se construye a partir de la fi l en la URL especi fi cado, pero sólo se lee una sola vez, y luego se vuelve
una red normal o tipo de puerto alias.
Tabla URL El alias se construye a partir de la fi l en la URL especi fi cado, pero se actualiza por ir a buscar la lista de
la URL periódicamente.
Cada tipo de alias se describe con más detalle en esta sección.
Los alias de anidación
La mayoría de los alias se pueden anidar dentro de otros alias tanto tiempo, ya que son del mismo tipo. Por ejemplo, un alias puede anidar un alias que contiene servidores
web, un alias que contiene los servidores de correo, servidores y un alias que contiene tanto el alias Web y servidor de correo todos juntos en un mayor servidores alias. Los
alias de tabla de URL no se pueden anidar.
El uso de nombres de host en Alias
Nombres de host también puede ser utilizado en alias. Cualquier nombre de host se pueden introducir en un alias de host o de la red y el mismo será resuelto y actualizado por el
cortafuego periódicamente. Si un nombre de host devuelve varias direcciones IP, todos los de la IP devuelta

direcciones se añaden al alias. Esto es útil para el seguimiento de las entradas de DNS dinámico para que los usuarios especí fi cos en los servicios de direcciones IP dinámicas.
Nota: Esta característica es no útil para permitir o impedir que los usuarios grandes sitios web públicos. Los sitios grandes y ocupadas tienden a tener constante rotación
o respuestas aleatorias a las consultas DNS por lo que los contenidos de los alias no necesariamente coinciden con la respuesta de un usuario recibirá cuando intentan
resolver el mismo nombre del sitio. Puede trabajar para sitios más pequeños que tienen sólo unos pocos servidores y no incluyen juegos incompletos de direcciones en
sus respuestas DNS.
Mezcla direcciones IPv4 e IPv6 en Alias
direcciones IPv4 e IPv6 se pueden mezclar en el interior de un alias. El cortafuego utilizará el tipo apropiado de direcciones cuando se hace referencia al alias en una regla
específica.
Las preocupaciones alias Dimensionamiento
El tamaño total de todas las tablas debe encajar en más o menos mitad la cantidad de Firewall Máximos entradas de la tabla, que por defecto es de 200.000. Si el número máximo
de entradas de la tabla no es lo suficientemente grande como para contener todas las entradas, las reglas pueden no se pueden cargar. Ver Firewall entradas de tabla de máximos para
obtener información sobre cómo cambiar ese valor. Los alias deben encajar en dos veces en el área total debido a la forma alias se cargan y se vuelven a cargar; La nueva lista se
carga junto con la lista de edad y luego se retira el viejo.
Este valor se puede aumentar tanto sea necesario, siempre y cuando el cortafuego contiene su fi ciente memoria RAM para mantener las entradas. El uso de la RAM es
similar, pero menos, la tabla de estado, pero todavía es seguro asumir 1K por la entrada a ser conservador.
Con fi gurar Alias
Para agregar un alias:
• Navegar a Cortafuegos> Alias
• Entrar a Nombre para el alias. El nombre puede consistir solamente de los personajes az, AZ, 0-9 y _.
• Entrar a Descripción para el propio alias
• Selecciona el Tipo para el alias. Los distintos tipos se presentan a lo largo de esta sección.
• Introduzca la información de tipo-específico, según sea necesario. Cada tipo tiene un campo de datos y una descripción de campo para cada entrada.
Para añadir nuevos miembros a un alias, haga clic Añadir en la parte inferior de la lista de entradas.
Para eliminar miembros de un alias, haga clic Borrar al final de la fila de eliminar.
Cuando el alias se haya completado, haga clic Salvar para almacenar el contenido de alias.
Cada alias introducido manualmente se limita a 5.000 miembros, pero algunos navegadores tienen problemas para mostrar o usar la página con más de alrededor de 3.000
entradas. Para un gran número de entradas, utilice una Tabla URL tipo de alias que es capaz de manejar listas más grandes.
12.5. alias 175

Alias de host
de tipo host alias contienen grupos de direcciones IP. Figura Ejemplo Hosts Alias muestra un ejemplo de un alias de tipo huésped utilizadas para contener una lista de
servidores web públicos.
Fig. 12.6: Ejemplo Hosts Alias
Otros alias de tipo de acogida se pueden anidar dentro de esta entrada. Nombres de host también puede utilizarse como entradas, como se explicó anteriormente.
Los alias de red
tipo de red alias contienen grupos de redes o intervalos de direcciones IP. anfitriones individuales también pueden ser incluidos en los alias de red mediante la selección de un / 32
máscara de red para las direcciones IPv4 o una / 128 pre fi x longitud para direcciones IPv6. Figura Ejemplo Red de Alias muestra un ejemplo de un alias de red que se utiliza más
adelante en este capítulo.
Fig. 12.7: Ejemplo de red Alias

Otros alias de sistema principal o de red se pueden anidar dentro de esta entrada. Nombres de host también puede utilizarse como entradas, como se explicó anteriormente.
Cuando una entrada de alias contiene una gama de IPv4 se traduce automáticamente por el cortafuego a un conjunto equivalente de las redes IPv4 CIDR que
contendrá exactamente el rango previsto. Como se muestra en la figura Ejemplo Rango IP Después , la gama se amplía cuando se guarda el alias y la lista
resultante de las redes IPv4 CIDR coincidirá exactamente el rango solicitado, nada más y nada menos.
Fig. 12.8: Ejemplo Rango IP Antes
Fig. 12.9: Ejemplo Rango IP Después
Alias puerto
Tipo de puerto alias contienen grupos de puertos y rangos de puertos. El protocolo no es especificados en el alias; La regla de cortafuego, donde se utiliza el alias de
definir el protocolo como TCP, UDP, o ambos. Figura Ejemplo Puertos Alias muestra un ejemplo de un alias de tipo de puerto.
Fig. 12.10: Ejemplo Puertos Alias
Introduzca otro nombre de alias de tipo de puerto en el Puerto de campo para anidar otros alias de tipo puerto- dentro de este alias.
12.5. alias 177

URL Alias
Con un alias de tipo URL, una dirección URL se establece que apunta a un texto fi l que contiene una lista de entradas. Se pueden introducir varias direcciones URL. Cuando Salvar
se hace clic, hasta 3.000 entradas de cada URL se leen del expediente e importados a un alias de tipo de red. Si Tus labios) es seleccionado, entonces las URL deben
contener la dirección IP o entradas de red CIDR enmascarado, y el cortafuego crea un alias de tipo de red a partir de los contenidos. Si URL (Puertos) es seleccionado,
entonces el URL debe contener números de puerto sólo o rangos, y el cortafuego crea un alias de tipo de puerto de los contenidos.
URL alias de tabla
Un alias de URL Tabla comporta de una manera diferente signi fi cativamente el alias de URL. Para empezar, no importa el contenido del expediente en un alias normal. Es
capaz de descargar el contenido del expediente en un lugar especial en el cortafuego y utiliza el contenido de lo que se llama una persistir mesa, también conocido como
alias basado en le fi. Los contenidos completos de los alias no se pueden editar directamente en la interfaz gráfica, pero se pueden ver en el Mesas visor (Ver Ver el
contenido de las tablas ). Para un alias de URL tabla, la lista desplegable después de que el / controles de cuántos días deben pasar antes de que el contenido del alias son
re-descargue de la URL almacenada por el cortafuego. Cuando llegue el momento, el contenido de alias se actualizarán durante la noche mediante un script que re-obtiene
los datos.
Los alias de tabla de URL pueden ser bastante grandes, que contiene muchos miles de entradas. Algunos clientes los utilizan para mantener las listas de todos los bloques de
IP en un país o región determinada, que puede fácilmente superar 40.000 entradas. El paquete pfBlocker utiliza este tipo de alias al manipular las listas de países y otras
acciones similares. Actualmente, los alias de URL tabla no son capaces de ser anidado. Si Tabla URL (direcciones IP) es seleccionado, entonces las URL deben contener la
dirección IP o entradas de red CIDR enmascarado, y el cortafuego crea un alias de tipo de red a partir de los contenidos. Si Tabla URL (Puertos) es seleccionado, entonces el
URL debe contener números de puerto sólo o rangos, y el cortafuego crea un alias de tipo de puerto de los contenidos.
Bulk Alias importadores
Otro método de importación de múltiples entradas en un alias es utilizar la función de importación a granel. Para utilizar la función de
importación:
• Hacer clic Importar
• Rellene el Apodo y Descripción
• Introduzca el contenido de alias en el Alias para importar área de texto, una entrada por línea.
ejemplos de uso comunes para esta página incluyen listas de direcciones IP, redes y listas negras. La lista puede contener direcciones IP, redes enmascarados
CIDR, rangos de IP o números de puerto. El cortafuego intentará determinar el tipo de alias de destino automáticamente.
El cortafuego importa elementos en un alias de lo normal que puede ser editado posteriormente.

Utilización de alias
Cuando se escribe una letra en un campo de entrada que soporta alias, se muestra una lista de alias coincidentes. Seleccione el alias que desee de la lista o
escriba su nombre por completo.
Nota: Alias terminación automática no es sensible pero está restringida por tipo. Por ejemplo, un tipo de red o host alias se enumeran en función de autocompletar para un
campo de red, pero un alias de puerto no; Un alias de puerto puede ser usado en un campo de puerto de ficción, sino un alias de red no estará en la lista.
Figura Terminación automática de los ejércitos Alias muestra cómo el webservers alias, con fi gurada como se muestra en la figura Ejemplo Hosts Alias , se puede utilizar
en el Destino campo al añadir o editar una regla fi cortafuegos.
• Editar la regla de cortafuego
• Seleccionar Un único host o alias
• A continuación, escriba la primera letra de los alias deseados: Introduzca W y el alias aparece como se muestra.
Fig. 12.11: Autocompletado de los ejércitos Alias
Figura Terminación automática de puertos Alias muestra la terminación automática de la fi puertos alias con gurado como se muestra en la figura
Ejemplo Puertos Alias . Si varios alias se corresponde con la letra introducida, se enumeran todos los alias que emparejan del tipo apropiado. Haga clic en el alias deseado para
seleccionarlo.
Fig. 12.12: Autocompletado de Puertos Alias
Figura Ejemplo Regla Utilización de alias muestra la regla creada mediante el webservers y webports alias. Esta regla está en la WAN, y permite que cualquier
fuente de las direcciones IP se define en el webservers alias cuando se utilizan los puertos se define en el webports alias.
Fig. 12.13: Ejemplo Regla Utilización de alias
Al pasar el cursor del ratón sobre un alias en el Cortafuegos> Reglas página muestra la información sobre herramientas que muestra el contenido del alias con las
descripciones incluidas en el alias. Figura Suspendido en el aire Muestra aloja contenido muestra esto para el
webservers alias y la figura Suspendido en el aire Muestra Contenido Puertos para el alias de puertos.
12.5. alias 179

Fig. 12.14: Muestra de cernido aloja contenido
Fig. 12.15: Muestra de cernido Puertos Contenido

De reglas de cortafuegos Buenas Prácticas
En esta sección se tratan las recomendaciones generales para la regla de cortafuegos fi con fi guración.
Denegar por defecto
Hay dos filosofías básicas de seguridad informática relacionados con el control de acceso: Por defecto permitir y negar por defecto. Una denegación predeterminada estrategia de reglas fi
cortafuego es la mejor práctica. los administradores de cortafuegos deben estafar reglas fi gurar para permitir sólo el desnudo mínimo requerido trá fi co para las necesidades de una red, y dejar
que la caída c tráfico restante con la denegación predeterminada regla integrada en pfSense. En el seguimiento de esta metodología, el número de reglas negar en un conjunto de reglas será
mínimo. Ellos todavía tienen un lugar para algunos usos, pero se reducirán al mínimo en la mayoría de los entornos, siguiendo una estrategia de denegación predeterminada. En un defecto de dos
interfaz LAN y WAN con fi guración, pfSense utiliza denegación predeterminada en la WAN y permite por defecto en la LAN. Todo entrantes de Internet es negada, y todo está permitido a Internet
desde la LAN. Todos los routers de grado hogar uso de esta metodología, al igual que todos los proyectos de código abierto similares y las ofertas comerciales más similares. Es lo que la mayoría
de la gente espera fuera de la caja, por lo tanto es la con fi guración por defecto. Dicho esto, si bien es una manera conveniente para empezar, no es el medio recomendado de operación a largo
plazo. pfSense usuarios a menudo pregunta “¿Qué cosas malas deben bloquear Me?”, sino que es la pregunta equivocada, ya que se aplica a un defecto permitir metodología. Seguridad señaló
profesional Marcus Ranum incluye por defecto en su permiso pfSense usuarios a menudo pregunta “¿Qué cosas malas deben bloquear Me?”, sino que es la pregunta equivocada, ya que se
aplica a un defecto permitir metodología. Seguridad señaló profesional Marcus Ranum incluye por defecto en su permiso pfSense usuarios a menudo pregunta “¿Qué cosas malas deben bloquear
Me?”, sino que es la pregunta equivocada, ya que se aplica a un defecto permitir metodología. Seguridad señaló profesional Marcus Ranum incluye por defecto en su permiso “Seis ideas más
mudos de la seguridad informática” de papel, que se recomienda la lectura para cualquier profesional de la seguridad. Permitir sólo lo que requiere una red y evitar dejar el valor por defecto
permiten todo dominio de la LAN y la adición de reglas de bloqueo de “cosas malas” por encima de la norma permitida.
Que sea breve
Cuanto más corto es un conjunto de reglas, más fácil es de manejar. conjuntos de reglas largas son difíciles de trabajar, aumentar las posibilidades de error humano, tienden a ser
excesivamente permisiva, y son significativamente más difíciles de auditar. Utilizar alias para mantener el conjunto de reglas lo más corto posible.
Revisar las reglas del cortafuegos
Se recomienda una revisión manual de las reglas de cortafuego y NAT con fi guración de forma periódica para asegurarse de que todavía se ajustan a los
requisitos mínimos del entorno de red actual. La frecuencia recomendada de estas revisiones varía de un entorno a otro. En las redes que no cambian con
frecuencia, con un pequeño número de administradores cortafuego y buenos procedimientos de control de cambios, trimestral o semestralmente es
generalmente adecuada. Para que cambia rápidamente entornos o aquellos con un mal control de cambio y varias personas con acceso inalámbrico a
cortafuegos, revise la con fi guración al menos una vez al mes.
Muy a menudo la hora de revisar las reglas con los clientes nos preguntamos acerca de las reglas especí fi cas y responden con “Hemos eliminado ese servidor hace
seis meses.” Si hay algo más habría hecho cargo de la misma dirección IP interna del servidor anterior, a continuación, trá fi co se le habría permitido a el nuevo servidor
que pueden no haber sido previsto.
El Documento Con fi guración
En todos menos en las redes más pequeñas, puede ser difícil recordar lo que es con fi gurado dónde y por qué. Siempre recomendamos el uso de la Descripción de
campo en las reglas de NAT fi cortafuegos y para documentar el propósito de las reglas. En las implementaciones de complejos más grandes o más, crear y mantener un
documento con fi guración más detallada que describe todo el fi guración pfSense Con. Al revisar la fi cortafuegos con fi guración en el futuro, esto le ayudará a
determinar qué normas son necesarias y por qué están allí. Esto también se aplica a cualquier otra zona de la con fi guración.
12.6. De reglas de cortafuegos Buenas Prácticas 181

También es importante mantener este documento hasta la fecha. Al realizar periódicas con fi guración críticas, también revisar este documento para asegurar que
permanece hasta al día con la corriente con fi guración. Asegúrese de este documento se actualiza cada vez que se realizan cambios con fi guración.
La reducción de ruido de registro
Por defecto, pfSense registrará paquetes bloqueados por la denegación predeterminada regla. Esto significa que todo el ruido de conseguir bloqueado y se registrará
Internet. A veces, no habrá mucho ruido en los registros, pero en muchos entornos inevitablemente habrá algo incesantemente los registros de envío de correo basura.
En redes que utilizan grandes dominios de difusión - una práctica comúnmente empleado por los ISP de cable - esto es lo más a menudo difusiones NetBIOS de clue-de
individuos fi cientes que se conectan las máquinas de Windows directamente a sus conexiones de banda ancha. Estas máquinas bombear constantemente peticiones de
difusión para navegar por la red, entre otras cosas. paquetes de protocolo de enrutamiento de ISP también pueden ser visibles, o protocolos de redundancia enrutador tales
como VRRP o HSRP. En entornos de co-localización, tales como centros de datos, una combinación de todas estas cosas puede estar presente.
Debido a que no hay ningún valor en saber que el cortafuego bloqueado 14 millones de NetBIOS transmisiones en el último día, y que el ruido puede ser encubrimiento de
registros que son importantes, es una buena idea añadir una regla de bloqueo en la interfaz WAN para el ruido repetido trá fi co . Mediante la adición de una regla de
bloqueo sin registro activado en la interfaz WAN, este tráfico c todavía será bloqueado, pero ya no fi ll los registros. La regla se muestra en la figura Regla de cortafuegos
para evitar la tala difusiones es con fi gurado en un sistema de prueba donde el “WAN” está en una LAN interna detrás de un cortafuegos borde fi. Para deshacerse del
ruido de registro para ver las cosas de interés, hemos añadido esta regla para bloquear - pero no ingrese - nada con el destino de la dirección de difusión de esa subred.
Fig. 12.16: regla de cortafuegos para evitar la tala difusiones
Se recomienda agregar reglas similares, coincidiendo con el específico de ningún de registro de ruido observado en un entorno. Compruebe los registros fi cortafuego bajo Estado>
Registros del sistema, Firewall pestaña para ver qué tipo de trá fi co del cortafuego está bloqueando, y revisar la frecuencia con que aparece en el registro. Si algún particular, trá fi co
constantemente se está registrando más de 5 veces por minuto, y el trá fi co no es malicioso o digno de mención, añadir una regla de bloqueo para que pueda reducir el ruido de registro.
prácticas de tala
Fuera de la caja, pfSense no registra ninguna fi tráfico pasado C y registra todo el tráfico se redujo c. Este es el comportamiento por defecto típico de casi todos los de código
abierto y cortafuego comercial. Es el más práctico, como conectarse todos pasaron trá fi co rara vez es deseable debido a la carga y los niveles de registro generados. Esta
metodología es un poco hacia atrás, sin embargo, desde una perspectiva de seguridad. Bloqueado trá fi co no puede dañar a una red por lo que su valor de registro está limitado
para que tra fi co que se pasa podría ser información de registro muy importante contar con un sistema si se ve comprometida. Después de eliminar cualquier ruido de bloque inútil
como se describe en la sección anterior, el resto es de algún valor para los propósitos de análisis de tendencias. Si se observa más o menos volumen registro de lo habitual de
forma significativa, es probable que sea buena para investigar la naturaleza del tráfico registrado c. OSSEC , Un sistema de detección de intrusiones basado en host de código
abierto (IDS), es un sistema que puede reunir los registros de pfSense a través de syslog y alerta basado en anomalías de volumen de registro.

Metodología regla
En pfSense, las normas sobre las pestañas de la interfaz se aplican sobre una base por interfaz, siempre en la dirección entrante en esa interfaz. Esto significa tráfico c
iniciada desde la LAN se filtra utilizando las reglas de interfaz de LAN. Tra fi co iniciada a través de Internet se filtró con las normas de interfaz WAN. Debido a que todas las
reglas de pfSense son con estado de forma predeterminada, se crea una entrada de la tabla de estado cuando trá fi co coincide con una regla de permiso. Todo respuesta
trá fi co se permite automáticamente por esta entrada de la tabla de estado. La excepción a esto es flotante reglas ( Reglas flotante ), Que puede actuar en cualquier interfaz
usando la entrada, de salida, o ambas direcciones. Nunca se requieren reglas de salida, debido a fi ltrado se aplica en la dirección de entrada de todas las interfaces. En
algunas circunstancias limitadas, como un cortafuego con numerosas interfaces internas, teniendo a disposición puede reducir significativamente el número de reglas
cortafuego requeridos. En tal caso, se aplican reglas de salida para tráfico Internet fi c como reglas de salida en la WAN para evitar tener que duplicar ellos para cada
interfaz interna. El uso de entrante y saliente ltrado fi realiza una con fi guración más compleja y más propensa a error del usuario, pero puede ser deseable en aplicaciones
específicas.
Grupos de interfaz
grupos interfaz, discutidos en Grupos de interfaz , Son un método para colocar normas sobre múltiples interfaces al mismo tiempo. Esto puede simplificar algunas con fi
guraciones regla si se requieren normas similares en muchas interfaces de la misma manera. reglas del grupo de la interfaz, como reglas de interfaz, se procesan sólo
en la dirección entrante. Las fichas VPN para OpenVPN, L2TP, y el servidor PPPoE son todos los grupos de interfaces especiales que se crean automáticamente
detrás de las escenas. Por ejemplo, un grupo puede ser utilizado para una colección de interfaces incluidas todas LAN o interfaces de tipo DMZ, o para un grupo de
VLAN.
Nota: grupos de interfaces no son eficaces con Multi-WAN porque las reglas del grupo no pueden manejar adecuadamente responder a.
Debido a que la deficiencia, trá fi co que coincide con una regla de grupo en una red WAN que no tiene la puerta de enlace predeterminada volverá a cabo la WAN con la puerta de
enlace predeterminada, y no a través de la interfaz de la que entró.
Regla de procesamiento de pedidos
Hasta ahora hemos hablado de cómo las reglas se procesan en una pestaña de interfaz, pero hay tres clases principales de reglas: reglas de interfaz regulares, normas
y reglas flotantes, el grupo de interfaces (incluidas las normas de la ficha VPN). El orden del proceso de este tipo es significativo, y funciona de esta manera:
1. Reglas Flotantes
2. Reglas grupo de interfaces
3. Reglas de interfaz
Las reglas están ordenados de esa manera en el conjunto de reglas reales, tener esto en cuenta cuando se formulan las reglas. Por ejemplo, si un grupo de interfaz contiene una regla para
bloquear el tráfico c, que la regla no puede ser anulado con una regla de pestaña de interfaz debido a que el tráfico c ya se ha actuado sobre por la regla de grupo, que fue igualada primera
en el conjunto de reglas. Las reglas se procesan hasta que se encuentra una coincidencia, sin embargo, por lo que si un paquete es no emparejado en las reglas del grupo, que todavía
puede ser igualada por una regla de interfaz.
Otro lugar significativo esto entra en juego es con interfaces OpenVPN asignados. Si aparece una “permitir todo” regla está en su lugar en la ficha OpenVPN, que se
corresponde con las reglas del grupo. Esto significa que no se aplicarán las reglas de la ficha interfaz. Esto puede ser un problema si las reglas de OpenVPN necesita tener responder
a con el fin de garantizar cierta trá fi co sale de nuevo a través de la VPN.
Ver también:
Ver Ordenamiento de NAT y Firewall de procesamiento para un análisis más detallado de procesamiento de reglas y de flujo a través del cortafuego, incluyendo las reglas NAT
cómo entrar en juego.
12.7. Metodología regla 183

Añadido automáticamente reglas de firewall
pfSense añade automáticamente la normativa fi cortafuego internos para una variedad de razones. Esta sección describe las reglas que se agregan automáticamente y su propósito.
Regla anti-bloqueo
Para evitar el bloqueo a un administrador de la interfaz web, pfSense permite a una de las reglas anti-bloqueo por defecto. Esto es con fi gurable en el Sistema>
Avanzado página bajo Anti-bloqueo. Esta regla añadida automáticamente permite tráfico c de cualquier fuente dentro de la red que contiene la regla, a cualquier
protocolo de administración fi cortafuegos que escucha en la dirección IP LAN. Por ejemplo, se concede acceso al puerto TCP 443 para WebGUI, el puerto TCP 80
para la redirección interfaz gráfica de usuario, y el puerto TCP 22 si se habilita SSH. Si el puerto WebGUI ha cambiado, el puerto con fi gurada es la permitida por la
norma anti-bloqueo.
En entornos preocupados por la seguridad, la mejor práctica es desactivar esta regla y con fi gurar la LAN rige por lo que sólo un alias de hosts de confianza puede
tener acceso a las interfaces de administración del cortafuego. Una mejor práctica sin embargo, es no permitir el acceso de la LAN, pero sólo a partir de una red
aislada gestión administrativa.
La restricción del acceso a la interfaz de administración de LAN
En primer lugar, para con fi gurar las reglas fi cortafuego como se desee para restringir el acceso a la interfaz (s) de gestión necesaria. En este ejemplo típico caso de uso,
tanto SSH y HTTPS se utilizan para la gestión, por lo que crean una ManagementPorts alias que contienen estos puertos (Figura Alias de Puertos de gestión ).
Fig. 12.17: Alias de Puertos de gestión
A continuación, crear un alias para hosts y / o redes que tendrán acceso a las interfaces de gestión (Figura Alias para hosts de Gestión ).
Los alias resultantes se muestran en la figura Lista de alias .
A continuación, las reglas fi cortafuego LAN debe ser con fi gurada para permitir el acceso de los anfitriones previamente de fi nido, y denegar el acceso a todo lo demás. Hay
numerosas maneras de lograr esto, dependiendo de especi fi cs del medio ambiente y la forma en la salida fi ltrado se maneja. Figura Ejemplo Reglas LAN Administración
restringido muestran dos ejemplos. El primero permite consultas DNS a la dirección IP de la LAN, la cual es necesaria si el Resolver DNS o DNS Forwarder están habilitadas, y
también permite a los hosts de la LAN para hacer ping a la dirección IP de la LAN. A continuación, rechaza todos los demás trá fi co. El segundo ejemplo permite el acceso de los
anfitriones de gestión a los puertos de administración, entonces rechaza todos los demás tráfico c a los puertos de administración. Elegir la metodología que

Fig. 12.18: Alias para hosts de Gestión
Fig. 12.19: Lista de Alias
que funciona mejor para el entorno de red en cuestión. Recuerde que el puerto de origen no es el mismo que el puerto de destino.
Fig. 12.20: Ejemplo restringidos Reglas LAN Gestión
Una vez que las reglas fi cortafuego son con fi gura, desactivar la regla anti-bloqueo en el webgui Sistema> Avanzado página (figura
Anti-bloqueo de la Regla de movilidad reducida ). Marque la casilla y haga clic Salvar.
Nota: Si la interfaz de gestión ya no se puede acceder después de desactivar la regla anti-bloqueo, las reglas fi cortafuego no eran con fi gurada adecuadamente. Vuelva a
habilitar la regla anti-bloqueo mediante el uso de la Ajustar interface (s) dirección IP opción en el menú de la consola, a continuación, elija para restablecer la dirección IP de
la LAN. Configurarlo para que su dirección IP actual y automáticamente se vuelve a habilitar la regla.

Fig. 12.21: Reglas de LAN de Administración restringido ejemplo alternativo
Fig 12.22:. Anti-Bloqueo Regla discapacitados
Reglas fi ng Anti-spoo
pfSense utiliza la característica antispoof en PF para bloquear spoofed tráfico c. Esto proporciona Forwarding funcionalidad ruta inversa de unidifusión
(uRPF) tal como se define en RFC 3704 . La fi cortafuegos comprueba cada paquete contra su tabla de enrutamiento, y si un intento de conexión proviene
de una dirección IP de origen en una interfaz donde el cortafuego sabe que la red no reside, se deja caer. Por ejemplo, un paquete que viene en WAN con
una dirección IP de origen de una red interna se deja caer. Cualquier cosa iniciada en la red interna con una dirección IP de origen que no reside en la red
interna se deja caer.
Bloque Redes Privadas
los Bloquear las redes privadas opción en la interfaz WAN pone automáticamente en una regla de bloqueo para RFC 1918 subredes. A menos que el espacio IP privada está en
uso en la red WAN, activar esta opción. Esto sólo se aplica a trá fi co iniciada en el lado WAN. clientes locales todavía pueden llegar a los hosts en las redes privadas desde el
interior del cortafuego. Esta opción está disponible para cualquier interfaz, pero por lo general sólo se utiliza en interfaces de tipo WAN. Una norma similar se puede crear
manualmente para bloquear redes privadas en las interfaces mediante la creación de un alias que contiene el RFC 1918 subredes y añadiendo una regla de cortafuego a la parte
superior de las reglas de interfaz para bloquear tráfico c con una fuente de juego que alias. (Ver Las direcciones IP privadas Para obtener más información acerca de las direcciones
IP privadas).
Bloque Bogon Redes
Bogon redes son aquellos que nunca debe ser visto en Internet, incluyendo el espacio de direcciones IP reservada y sin asignar. La presencia de trá fi co de estas
redes podría indicar ya sea falsificada trá fi co o una subred no utilizado que ha sido secuestrado por el uso malicioso. pfSense ofrece dos listas bogons que se
actualizan según sea necesario, uno para redes IPv4 Bogon y uno para redes IPv6 Bogon. Si redes de bloques Bogon está activada, el cortafuego buscará una
lista actualizada bogons en el primer día de cada mes de files.pfsense.org. El script se ejecuta a las 3:00 am, hora local, y tiene capacidad para una cantidad
aleatoria de tiempo hasta 12 horas antes de realizar la actualización. Esta lista no cambia con mucha frecuencia, y las nuevas asignaciones de direcciones IP se
eliminan de los meses de lista bogons antes de que se utilizan realmente, por lo que una actualización mensual es adecuada. Si la lista se debe actualizar con
mayor frecuencia, cambiar la Frecuencia de actualización para bogons menores Sistema> Avanzado sobre el Cortafuegos y NAT lengüeta.
Nota: La lista bogons para IPv6 es bastante grande, y puede que no se carga si no hay suficiente memoria en el sistema, o si el número máximo de entradas de la tabla no es
lo suficientemente grande para contenerlo. Ver Firewall entradas de tabla de máximos para obtener información sobre cómo cambiar ese valor.

Asegúrese de que el cortafuego puede resolver nombres de host DNS, de lo contrario la actualización fallará. Para garantizar la resolución DNS fi cortafuegos,
vaya a Diagnóstico> búsqueda de DNS, y tratar de resolver files.pfsense.org. Si funciona, entonces ir a Diagnóstico> puerto de prueba y tratar de conectarse a files.pfsense.org
en el puerto 80 como se demuestra en la figura
fi gura de pruebas de conectividad para la Bogon actualizaciones.
Fig. 12.23: Pruebas de Conectividad Bogon Actualizaciones
Forzar una actualización bogons
Con los cambios relativamente infrecuentes a la lista bogons, y avisos anticipados de nuevas asignaciones de IP pública, una actualización mensual bogons es adecuada. Sin
embargo, puede haber situaciones en que una actualización de Bogon manual puede ayudar, como si las actualizaciones Bogon han estado fallando debido a un DNS con fi
guración incorrecta. Ejecutar una actualización a través de la web fi cortafuegos
interfaz en Diagnóstico> Tablas, seleccionando bogons o bogonsv6 a continuación, haga clic Actualizar.
IPsec
Cuando un sitio para localizar la conexión IPsec está habilitado, las reglas son añade automáticamente permitiendo el acceso remoto dirección IP punto final del túnel a los
puertos UDP 500 y 4500, y el protocolo ESP en la dirección WAN IP que se utiliza para la conexión. Cuando IPsec para clientes móviles está activado se permite que la misma
trá fi co, pero a partir de una fuente de alguna, en lugar de una dirección de origen fi específico.
Debido a las obras de encaminamiento de política modo, cualquier trá fi co que coincide con una regla que especifica una puerta de entrada se verá obligado a Internet y pasará por
alto el procesamiento IPsec. Las reglas se añade automáticamente para negar la política de enrutamiento de trá fi co destinado a subredes VPN remotos, pero no siempre tienen el
efecto deseado. Para desactivar las reglas de negación automáticos, consulte
Desactivar reglas Negate y añadir una regla de cortafuegos en la fi parte superior de las normas sobre la interfaz interna para pasar tráfico c a la VPN
sin un conjunto de puerta de enlace.
Ver también:
Automáticamente añaden reglas de IPsec se discuten en más profundidad en IPsec .

Predeterminado regla de denegación
Normas que no coinciden con las reglas de fi nidas-de usuario ni ninguna de las otras reglas se agregan automáticamente en silencio bloqueadas por la regla de denegación predeterminada
(como se discutió en Denegar por defecto ).
Con fi gurar reglas de cortafuego
Cuando con fi gurar reglas fi cortafuego bajo Cortafuegos> Reglas hay muchas opciones disponibles para controlar la forma c fi tráfico está adaptada y controlada. Cada una de estas
opciones se enumeran en esta sección.
Acción
Esta opción especificidad es si la regla pasar, bloque, o rechazar tráfico c.
Pasar Un paquete de búsqueda de esta regla se le permitirá pasar a través del cortafuego. Si se habilita el seguimiento del estado
para la regla, una entrada de tabla de estado se crea que permite el retorno relacionada trá fi co para pasar de nuevo a través. Ver El filtrado stateful para
más información.
Bloquear Un paquete de búsqueda de esta regla será descartado.
Rechazar Un paquete de búsqueda de esta regla se desecha y para los protocolos soportados, se enviará un mensaje
de nuevo al autor lo que indica que se ha rechazado la conexión.
Ver también:
Ver Bloque vs Rechazar para una descripción más profunda de las opciones y de ayuda para decidir entre el bloque y Rechazar.
Discapacitado
Para desactivar una regla sin eliminarla de la lista de reglas, marque esta casilla. Todavía se mostrará en la pantalla de reglas fi cortafuego, pero la regla aparecerá en
gris para indicar el estado desactivado.
Interfaz
los Interfaz desplegable especificidad es la interfaz que recibe tráfico c a ser controlado por esta regla. Recuerde que en las reglas de interfaz y ficha de grupo,
trá fi co sólo se filtra en la interfaz donde el trá fi co es iniciado. Tra fi co iniciada desde la LAN con destino a la Internet o cualquier otra interfaz en el cortafuego
se filtró por la LAN conjunto de reglas.
TCP / IP versión
Indica a la regla para solicitar IPv4, IPv6, o ambos IPv4 + IPv6 tráfico c. Las reglas sólo igualará y actuar sobre los paquetes que concuerden el protocolo correcto.
Los alias se pueden utilizar los que contienen ambos tipos de direcciones IP y el Estado sólo coincidirá con las direcciones del protocolo correcto.
Protocolo
El protocolo de esta regla coincidirá. La mayoría de estas opciones se explican por sí. TCP / UDP coincidirá tanto TCP y
UDP tráfico c. Especificación ICMP mostrará una caída adicional cuadro de abajo para seleccionar el Tipo de ICMP. Varios otros protocolos comunes también están disponibles.

Nota: Este campo por defecto TCP para una nueva regla, ya que es un defecto común y se mostrará los campos esperados para ese protocolo. Para hacer que la regla se
aplica a cualquier protocolo, cambie este campo a alguna. Uno de los errores más comunes en la creación de nuevas normas es la creación de una regla de forma
accidental TCP y luego no ser capaz de pasar a otra no TCP trá fi co como ping, DNS, etc.
Tipo ICMP
Cuando ICMP se selecciona como el protocolo, este desplegable contiene todos los tipos posibles de ICMP a juego. Al pasar ICMP, la mejor práctica es sólo
para pasar los tipos requeridos cuando sea posible. El caso de uso más común es pasar solamente un tipo de Echo Request lo que permitirá un ICMP ping a
pasar.
Propina: Históricamente, ICMP tiene una mala reputación, pero por lo general es beneficioso y no merece la reputación en las redes modernas. Permitir que
un tipo de ICMP de alguna es típicamente aceptable al permitir ICMP.
Fuente
Este campo específico es la dirección IP de origen, subred, o alias que se ajuste a esta regla. El cuadro desplegable
de fuente permite varios tipos de pre-de fi nido de diferentes fuentes:
Alguna Hace coincidir cualquier dirección.
Un único host o alias Encaja en una única dirección IP o el nombre de alias. Cuando esto está activo, un nombre de alias puede
ser escrito en el Dirección de la fuente campo.
Red Utiliza una dirección IP y la máscara de subred para que coincida con un rango de direcciones.
Los clientes PPPoE Una macro que coincidirá con trá fi co de la gama de direcciones de cliente para el servidor PPPoE si el
servidor PPPoE está activada.
Los clientes L2TP Una macro que coincidirá con trá fi co de la gama de direcciones de cliente para el servidor L2TP si el
servidor L2TP está activado.
interfaz de Red Una entrada en esta lista está presente para cada interfaz en el cortafuego. Estas macros especifican
la subred para esa interfaz exactitud, incluidas las subredes IP de alias VIP que difieren de la de fi nida interfaz de subred.
interfaz Dirección Una entrada en esta lista está presente para cada interfaz en el cortafuego. Estas macros especifican
la dirección IP con fi gurado en esa interfaz.
Advertencia: los WAN Red opción para el origen o el destino significa la subred de sólo la interfaz WAN. Esto no significa que “Internet” o cualquier
host remoto.
Para las reglas TCP a juego y / o UDP, el puerto de origen también puede ser indicado por clic en el Mostrar avanzada.
El puerto de origen se oculta detrás de la mostrar avanzada Botón porque normalmente el puerto de origen debe permanecer ajustado a
alguna, como conexiones TCP y UDP se obtienen de un puerto aleatorio en el intervalo de puertos efímeros (entre 1024 a través
65535, la gama exacta usada varía dependiendo del sistema operativo y versión del sistema operativo que está iniciando la conexión). El puerto de origen casi nunca es el mismo
que el puerto de destino, y nunca debe ser con fi gurado como tal a menos que la aplicación en uso se conoce el empleo de este comportamiento atípico. También es seguro para
definir un puerto de origen como una amplia gama de 1024 a 65535.
Selección Invertir Partido negará el partido para que todos trá fi co, excepto este valor fuente se disparará la regla.
12.8. Con fi gurar reglas de cortafuego 189

Destino
Este campo específico es la dirección IP de destino, subred, o alias que se ajuste a esta regla. Ver la descripción de la
Fuente opción Fuente para más detalles.
Para las reglas especificando TCP y / o UDP, el puerto de destino, rango de puertos, o alias es también especi fi aquí. A diferencia de origen, se requiere con fi gurar un puerto
de destino, en muchos casos, ya que es más seguro que usar alguna y por lo general el puerto de destino se conoce de antemano basado en el protocolo. Muchos valores de
puerto común están disponibles en las listas desplegables, o seleccionar ( otro) para introducir un valor manualmente o utilizar un alias de puerto.
Propina: Para especificar un rango continuo de puertos, introduzca el puerto inferior en el De sección y el valor del puerto superior en el
A sección.
Iniciar sesión
Este cuadro determina si los paquetes que cumplen esta regla se registrarán en el registro de fi cortafuegos. Logging se discute en más detalle en prácticas de
tala .
Descripción
Introduzca una descripción aquí por referencia. Esto es opcional, y no afecta a la funcionalidad de la regla. La mejor práctica es introducir el texto que describe
el propósito de la regla. La longitud máxima es de 52 caracteres.
Opciones avanzadas
Opciones que son menos probable que se requiera o que tienen una funcionalidad confuso para los nuevos usuarios se han escondido
en esta sección de la página. Hacer clic mostrar avanzada para mostrar todas las opciones avanzadas. Si una opción en este
sección de la página se ha establecido, entonces aparecerá cuando la regla se carga en el futuro.
fuente OS
Una de las características más singulares de PF y por lo tanto pfSense es la capacidad de filtro por el sistema operativo iniciar una conexión. Para las reglas del PCT, pf
permite sistema operativo pasivo fi toma de huellas digitales ( “p0f”) que permite a las reglas de coincidencia basados en el sistema operativo inicia la conexión TCP. La
característica p0f de pf determina el OS en uso mediante la comparación de características del paquete TCP SYN que inicia conexiones TCP con un fi huellas digitales le.
Tenga en cuenta que es posible cambiar la huella digital fi de un sistema operativo para parecerse a otro sistema operativo, en especial con los sistemas operativos de
código abierto tales como los BSD y Linux. Esto no es fácil, pero si contiene una red de usuarios técnicamente pro fi ciente con el administrador o el nivel de raíz el acceso
a los sistemas, es posible.
Punto Código Diffserv
Punto de código de servicios diferenciados es una manera para aplicaciones que indican si el interior de los paquetes de la forma en que preferirían los routers para tratar su
trá fi co, ya que se transmitió a lo largo de su trayectoria. El uso más común de esto es por la calidad de los propósitos c conformación de servicio o de tráfico. El nombre largo
es a menudo reducido a Punto Código Diffserv o abreviado como DSCP y, a veces referido como el TOS campo.
El programa o dispositivo de generación de los paquetes, por ejemplo a través de su Asterisk tos_sip y tos_audio parámetros con fi guración, fijará el campo
DSCP en los paquetes y entonces es hasta el cortafuego y otros routers intermedios para igualar y cola o actuar sobre los paquetes.

Para que coincida con estos parámetros en el cortafuego, utilice el Punto Código Diffserv desplegable entrada que coincida con el valor establecido por el dispositivo de
origen. Existen numerosas opciones, cada una con un significado especial específico para el tipo de trá fi co. Consulte la documentación para el dispositivo que origina el
tráfico c para más detalle sobre el que deben coincidir los valores. La desventaja de DSCP es que asume el apoyo routers o actuar en el campo, que puede o no puede ser
el caso. Diferentes routers pueden tratar el mismo valor de DSCP en forma no intencionada o no coincidentes. Peor aún, algunos routers se borrará el campo DSCP en los
paquetes del todo, ya que las envía. Además, la forma PF coincide con tra fi co, el valor de DSCP se debe establecer en el primer paquete de una conexión a la creación
de un estado, ya que cada paquete no se inspecciona de forma individual una vez al estado ha sido creado.
Nota: Esta opción sólo lee y coincide con el valor de DSCP. No establece un valor en paquetes.
Opciones IP
Al marcar esta casilla permitirá que los paquetes con las opciones IP de fi nidas a pasar. Por defecto, todos los bloques pf paquetes que tienen opciones de IP establecidos con el fin de disuadir
a fi OS toma de huellas digitales, entre otras razones. Marque esta casilla para pasar IGMP u otras opciones IP tráfico de multidifusión que contienen fi co.
Responder a desactivar
El cortafuego añade el responder a de palabras clave a las normas sobre interfaces de tipo WAN por defecto para asegurar que tra fi co que entra en una WAN también dejará a través de
la misma red WAN. En ciertos casos este comportamiento no es deseable, tal como cuando algunos tráfico c se enruta a través de un fi cortafuegos / enrutador por separado en la interfaz
WAN. En estos casos, compruebe esta opción para desactivar responder a
sólo para trá fi co coincidiendo esta regla, en lugar de la desactivación responder a a nivel mundial.
Etiqueta y la etiqueta
los Etiqueta y etiquetado campos son útiles en concierto con reglas flotantes, por lo que el cortafuego puede marcar un paquete con una cadena específica medida que entra en una interfaz, y
luego actuar de manera diferente en un paquete emparejado en el camino de salida con una regla flotante. Ver
Marcado y Matching Para más información sobre este tema.
Máximo de entradas de estado esta regla pueden crear
Esta opción limita el número máximo de conexiones, total, que pueden ser permitidos por esta norma. Si hay más conexiones coinciden con esta regla mientras está en su límite
de conexión, esta regla se omitirá en la evaluación de las reglas. Si una norma posterior coincide, el trá fi co tiene la acción de esa norma se aplica, de lo contrario golpea la
denegación predeterminada regla. Una vez que el número de conexiones permitidas por esta regla cae por debajo de este límite de conexión, trá fi co pueda volver a coincidir
con esta regla.
número máximo de hosts de origen únicas
Esta opción especi fi ca el número total de direcciones IP de origen pueden conectarse simultáneamente a esta regla. Cada dirección IP de origen se permite un
número ilimitado de conexiones, pero el número total de direcciones IP de origen distinto permitido se limita a este valor.
número máximo de conexiones establecidas por host
Para limitar el acceso basado en conexiones por host, utilice este ajuste. Este valor puede limitar una regla a un número c especificidad de conexiones por host de origen
(por ejemplo, 10), en lugar de una conexión total global específico. Esta opción controla cuántos se les permite plenamente establecidas (apretón de manos) completado las
conexiones por host que coincidan con la regla. Esta opción sólo está disponible para su uso con conexiones TCP.

Máximo de entradas de estado por host
Esta configuración funciona de forma similar a la cuenta establecida anteriormente, pero comprueba si hay entradas de estado solos en lugar de seguimiento si se realiza una conexión
exitosa.
nuevas conexiones máximas / por segundo
Este método de limitación de velocidad ayuda a asegurar que una velocidad de conexión de alta TCP no sobrecargar un servidor o la tabla de estado en el cortafuego. Por
ejemplo, los límites se pueden colocar en las conexiones entrantes a un servidor de correo, lo que reduce la carga de la sobrecarga de spam. También se puede utilizar en
reglas de trá fi co de salida para establecer los límites que impidan cualquier máquina única de la carga hasta la tabla de estado en el cortafuego o hacer demasiadas
conexiones rápidas, comportamientos que son comunes con los virus. Una cantidad conexión y un número de segundos para el período de tiempo pueden ser con fi
gurada para la regla. Cualquier dirección IP exceder el número ed especificidad de conexiones dentro del marco de tiempo dado será bloqueado por el cortafuego durante
una hora. Detrás de las escenas, esto es manejado por el virusprot mesa, llamado así por su típica propósito de protección contra virus. Esta opción sólo está disponible
para su uso con conexiones TCP.
tiempo de espera en segundos Estado
Usando este campo, un tiempo de espera para el estado de trá fi co sean iguales a esta regla puede ser de fi nido, anulando el tiempo de espera de estado por defecto. Las conexiones
inactivas serán cerradas cuando la conexión ha estado inactivo durante este período de tiempo. El tiempo de espera de estado por defecto depende del algoritmo de optimización fi
cortafuegos en uso. Las opciones de optimización están cubiertas de Opciones de optimización de firewall
Nota: Esta opción sólo controla el trá fi co en la dirección entrante, por lo que no es muy útil por sí misma. Salida trá fi co para una conexión correspondiente todavía tendrá el
tiempo de espera estado predeterminado. Para utilizar este ajuste adecuadamente, se requiere también una regla flotando coincidente en el camino de ida tomada por el trá fi
co con un ajuste de tiempo de espera de estado similar.
Indicadores TCP
Por defecto, las nuevas reglas de pase para TCP sólo verifican para el pabellón TCP SYN que desea ajustar, de un posible conjunto de SYN y ACK. Para dar cuenta de
escenarios más complejos, tales como trabajar enrutamiento alrededor asimétrica o otras combinaciones no tradicionales de tráfico c flujo, utilizar este conjunto de controles
para cambiar la forma de los ags fl son igualados por la regla fi cortafuegos. Los controles de primera fila, que fl ags deben configurarse para que coincida con la regla. La
segunda fila define la lista de AGS fl, que será consultada en el paquete para buscar una coincidencia. Los significados de las banderas fl más utilizados son:
SYN Sincronizar los números de secuencia. Indica un nuevo intento de conexión.
ACK Indica reconocimiento de datos. Estas son las respuestas a dejar que el remitente saber los datos fue recibido
DE ACUERDO.
ALETA Indica que no hay más datos del remitente, el cierre de una conexión.
RST Reajuste de conexion. Este pabellón se fija al responder a una solicitud para abrir una conexión en un puerto que
no tiene demonio de escucha. También se puede ajustar por el software de cortafuegos fi a alejarse conexiones no deseadas.
PSH Indica que los datos deben ser empujados o barrió, incluyendo los datos en este paquete, haciendo pasar los datos hasta
a la aplicación.
URG Indica que el campo urgente es significativo, y este paquete debe ser enviado antes de los datos que no es
urgente.
Para permitir TCP con cualquier conjunto AGS fl, cheque Cualquier Banderas.

Tipo Estado
Hay tres opciones para el seguimiento del estado en pfSense que puede ser especi fi cado en una base por regla:
Guardar Cuando elegido, el cortafuego va a crear y mantener una entrada de la tabla de estado permitida trá fi co. Esto es
el valor por defecto, y la mejor opción en la mayoría de las situaciones.
Estado descuidado Sloppy es un medio menos estrictos de mantenimiento de estado que se pretende para escenarios con asimétrica
enrutamiento. Cuando el cortafuego puede ver solamente la mitad del trá fi co de una conexión, las comprobaciones de validez del mantenimiento de estado por
defecto fallarán y trá fi co serán bloqueados. Mecanismos de PF que impiden que ciertos tipos de ataques no entrará en funcionamiento durante un control de
estado descuidado.
synproxy Esta opción hace que pfSense a las conexiones TCP entrantes proxy. conexiones TCP comienzan con
un apretón de manos de tres vías. El primer paquete de una conexión TCP es un SYN de la fuente, lo que provoca una respuesta SYN ACK desde el
destino, entonces un ACK en retorno desde la fuente hasta completar el protocolo de enlace. Normalmente el anfitrión detrás del cortafuego se encargará
de esto por sí solo, pero el estado synproxy tiene la fi cortafuegos completar este apretón de manos en su lugar. Esto ayuda a proteger contra un tipo de
ataque de denegación de servicio, SYN inundaciones. Esto se utiliza normalmente sólo con las normas sobre interfaces WAN. Este tipo de ataque se
maneja mejor a nivel de sistema operativo de destino de hoy, ya que cada sistema operativo moderno incluye capacidades de manejo de este por su
cuenta. Debido a que el cortafuego no puede saber qué TCP extensiones de los soportes de acogida de back-end, cuando se utiliza el estado synproxy,
que anuncia no hay extensiones TCP compatibles. Esto significa que las conexiones creadas con el estado synproxy no va a usar el ajuste de ventanas,
Saco, ni marcas de tiempo que conducirán a reducirse significativamente el rendimiento en la mayoría de los casos. Puede ser útil cuando la apertura de
los puertos TCP a los hosts que no manejan bien el abuso de la red, donde el máximo rendimiento no es una preocupación.
Ninguna Esta opción no mantener el estado de esta regla. Esto sólo es necesario en algunos altamente especializado
escenarios avanzados, ninguno de los cuales están cubiertos en este libro, ya que son muy poco frecuentes.
Nota: Ajuste Ninguna aquí sólo afecta trá fi co en la dirección entrante, por lo que no es muy útil por sí misma ya que aún se creará un
estado en la dirección de salida. Se debe estar emparejado con una regla flotante en dirección de salida, que también tiene la misma
opción elegida.
Sin sincronización XML-RPC
Al marcar esta casilla previene esta regla de sincronización con otros miembros del clúster de alta disponibilidad a través de XMLRPC. Esto se trata en Alta
disponibilidad . Esto no impide que una regla en un nodo secundario que se sobrescriba por el primario.
De prioridad de VLAN (Match and Set)
802.1p, también conocido como IEEE 802.1p prioridad o Punto de código, es una manera de igualar y etiquetar paquetes con una calidad específico de prioridad de servicio. A
diferencia de DSCP, 802.1p opera en la capa 2 con VLAN. Sin embargo, como DSCP, el enrutador de aguas arriba debe también apoyan 802.1p para que sea útil.
Hay dos opciones de esta sección. La primera coincidirá con un campo 802.1p por lo que el cortafuego puede actuar sobre ella. El segundo inyectará una etiqueta 802.1p en un paquete a
medida que pasa a través de este fi cortafuegos. Algunos ISP pueden requerir una etiqueta 802.1p que debían mantenerse en ciertas áreas, como Francia, con el fin de manejar
adecuadamente voz / vídeo / datos sobre las VLAN segregadas en la prioridad correcta para asegurar la calidad.
Hay ocho niveles de prioridad de 802.1p, y cada uno tiene un código de dos letras en la GUI. Con el fin de prioridad más baja a la más alta, que son:
BK Fondo
SER Mejor esfuerzo

EE excelente Esfuerzo
California Las aplicaciones críticas
VI Vídeo
VO Voz
IC internetwork control
CAROLINA DEL NORTE control de red
Programar
Esta opción con fi guras un horario especificando los días y horas para la regla de estar en vigor. Al seleccionar “ninguno” significa el gobierno siempre estará habilitado. Para
más información, ver Reglas basada en el tiempo más adelante en este capítulo.
Puerta
Esta opción estafadores cifras de pasarela o puerta de enlace de grupo para ser utilizados por trá fi co coincidiendo esta regla. Esto se trata en la política de enrutamiento .
Entrada / Salida de tuberías (limitadores)
Estos limitadores nidos lista de selecciones de fi para aplicar un límite de ancho de banda para el tráfico fi c entrar en esta interfaz (A) y dejando esta interfaz (Out). Más detalles
sobre limitadores se puede encontrar en limitadores .
Ackqueue / cola
Estas opciones de fi ne que ALTQ tráfico c talladora colas se aplican a C Introducción tráfico y salen de esta interfaz. Para obtener más información acerca de trá fi co
conformación, ver Traf fi c Shaper .
Reglas flotante
Reglas flotante son un tipo especial de reglas avanzadas que puede realizar acciones complicadas que no son posibles con las normas sobre las pestañas de la interfaz o
de grupo. reglas flotantes pueden actuar en múltiples interfaces de la entrada, de salida, o ambas direcciones. El uso de entrante y saliente ltrado fi hace que diseñar las
reglas más complejo y propenso a errores del usuario, pero puede ser deseable en aplicaciones específicas.
La mayoría de las configuraciones de cortafuegos fi fi estafadores nunca tendrán reglas flotantes, o sólo tienen ellos de la talladora de trá fi co.
Precauciones / Advertencias
reglas flotantes pueden ser mucho más potente que otras reglas, pero también más confuso, y es más fácil cometer un error que podría tener consecuencias no
deseadas, de paso, o el bloqueo de trá fi co. Flotante reglas en la dirección entrante, aplicada a múltiples redes WAN, no conseguirá responder a agregado como lo
harían con las normas de interfaz individuales, por lo que existe el mismo problema que existe con los grupos de interfaz: El trá fi co siempre saldrá de la WAN con la
puerta de enlace predeterminada, y no volver a cabo adecuadamente la WAN que entró.
Dado el relativo desconocimiento de muchos usuarios con reglas flotantes, es posible que no ocurriría buscar allí para mantener reglas cuando el cortafuego.
Como tales, pueden ser un poco más culto di fi para la administración, ya que no puede ser un lugar obvio para buscar reglas.

Tenga cuidado cuando se considera el origen y destino de los paquetes en función de la dirección entrante y saliente. Por ejemplo, las reglas en la
dirección de salida en una WAN tendrían una fuente local de la cortafuego (después de NAT) y de destino remoto.
Los usos potenciales
El uso más común de reglas flotantes es para ALTQ tráfico c conformación. Flotantes reglas de lengüeta son el único tipo de reglas que pueden coincidir y la cola de
tráfico c sin pasar explícitamente el tráfico c.
Otra forma de utilizar las reglas flotantes es el control de trá fi co que sale de la misma fi cortafuegos. reglas flotantes pueden evitar que el cortafuego llegue a direcciones IP c
especí fi, puertos, y así sucesivamente.
Otros usos comunes son para garantizar que no trá fi co puede salir de otros caminos en una red segura, no importa lo que existen normas sobre otras
interfaces. Mediante el bloqueo de salida hacia una red segura de todos menos los lugares aprobados, la probabilidad de accidente más adelante permitiendo trá
fi co a través de alguna otra ruta no deseada se reduce. Del mismo modo, pueden ser usados para prevenir trá fi co destinado a redes privadas de salir de una
interfaz WAN, VPN para evitar trá fi co se escape.
Como se mencionó anteriormente en las reglas de interfaz, también pueden promulgar efectivamente los tiempos de espera del estado, las operaciones de la etiqueta / de los partidos, reglas
“ningún estado”, y reglas “estado descuidado” para enrutamiento asimétrico.
Orden de procesamiento
En la dirección entrante, reglas flotando trabajan esencialmente el mismo que las reglas de interfaz o de grupo, excepto que se procesan primero. En la dirección
saliente, sin embargo, las cosas se ponen un poco más confuso.
Las reglas de firewall se procesan después de reglas NAT, por lo que las reglas en la dirección de salida en una WAN pueden nunca coinciden con una dirección de origen local
/ privada IP si NAT saliente está activo en esa interfaz. En el momento en que llega la regla, la dirección de origen del paquete es ahora la dirección IP de la interfaz WAN. En la
mayoría de los casos esto se puede evitar mediante el uso de las opciones de identificación para etiquetar un paquete en la LAN de la manera en juego y luego esa etiqueta en la
salida del cortafuego. reglas flotantes se procesan antes que las reglas del grupo interfaz y las reglas de interfaz, de modo que también deben ser tenidas en consideración.
Acción del partido
los partido la acción es exclusivo de reglas flotantes. Una regla con el partido acción no pasará o bloquear un paquete, pero sólo coincidir para los propósitos de la asignación de
tráfico c a colas o limitadores para la conformación de tráfico c. reglas de coincidencia no funcionan con Rápido
habilitado.
Rápido
Rápido controla si el procesamiento de reglas se detiene cuando se compara una regla. los Rápido comportamiento se añade a todas las reglas de la ficha interfaz de forma automática,
pero en reglas flotando es opcional. Sin Rápido se marca, la regla sólo tendrá efecto si no hay otras normas que coincida con el trá fi co. Se invierte el comportamiento de los “fi victorias
primer match” a ser “los últimos partidos ganados”. El uso de este mecanismo, una acción predeterminada de clases puede hacer a mano que se hará efectiva sólo cuando no hay otras
reglas son iguales, similares a las reglas de bloqueo por defecto en las redes WAN. En la mayoría de las situaciones, se aconseja tener Rápido seleccionado. Hay ciertas situaciones
especí fi cas donde dejar Rápido
sin control es necesario, pero son pocos y distantes entre sí. Para la mayoría de los escenarios, las únicas reglas que tendrían sin rápida seleccionados son partido Reglas
del tráfico c talladora.
12.9. Reglas flotante 195

Interfaz
los Interfaz selección de reglas flotando es diferente de la otra para reglas de interfaz normales: Es una caja de selección múltiple por lo que uno, múltiples o todas las
interfaces posibles se pueden seleccionar. Ctrl + clic en las interfaces para seleccionar uno por uno, o utilizar otras combinaciones de clic / arrastre o shift-clic para
seleccionar múltiples interfaces.
Dirección
reglas flotantes no se limitan a la dirección entrante como reglas de interfaz. También pueden actuar en la dirección de salida seleccionando fuera aquí, o en ambas direcciones
seleccionando alguna. los en dirección también está disponible. los fuera dirección es útil para fi ltrado tráfico c de la fi cortafuegos en sí, para hacer coincidir otro tráfico indeseable
fi c tratando de salir de una interfaz, o para completamente con fi gurar reglas “estado descuidado”, reglas “ningún estado”, o los tiempos de espera del estado alternos.
Marcado y Matching
Utilizando el Etiqueta y etiquetado campos, una conexión pueden estar marcados por una regla pestaña de interfaz y luego emparejados en la dirección de salida en una regla
flotante. Esta es una forma útil para actuar en WAN saliente tráfico c de un host interno fi específico que otro modo no podrían ser igualada debido a NAT enmascarar la fuente.
También se puede usar de manera similar para la aplicación de saliente de conformación en WAN de tráfico c específicamente etiquetados en el camino hacia el cortafuego. Por
ejemplo, en una regla de LAN, utilice una cadena corta en el Etiqueta campo para marcar un paquete desde una fuente de 10.3.0.56. A continuación, en una regla flotando, rápida,
saliente en la WAN, el uso etiquetado con la misma cadena de actuar sobre el trá fi co reconocidos por la regla de LAN.
Métodos de uso de direcciones IP públicas adicionales
Los métodos de despliegue de direcciones IP públicas adicionales varían dependiendo de cómo se delegan las direcciones, el tamaño de la asignación, y las metas
para el entorno de red especí fi co. Para utilizar las direcciones IP públicas adicionales con NAT, por ejemplo, el cortafuego necesitará Las direcciones IP virtuales .
Hay dos opciones para asignar direcciones IP públicas directamente a los hosts: enrutados subredes IP públicas y de puente.
El elegir entre rutas, puentes, y NAT
direcciones IP públicas adicionales pueden ser objeto de un uso mediante la asignación directa de ellos en los sistemas que van a utilizar, o mediante el uso de NAT. Las
opciones disponibles dependen de cómo las direcciones se asignan por el ISP.
direcciones IP estáticas adicionales
Métodos de uso de direcciones IP públicas estáticas adicionales varían dependiendo del tipo de tarea. Cada uno de los escenarios más comunes que se describe aquí.
Subred IP única en la WAN
Con una sola subred IP pública en la WAN, una de las direcciones IP públicas habrá en el router aguas arriba, comúnmente perteneciente al ISP, y
otra de las direcciones IP se asigna como dirección IP WAN en pfSense. Las direcciones IP restantes se pueden utilizar ya sea con NAT, puente o
una combinación de los dos. Para utilizar las direcciones con NAT, añada Proxy ARP, IP alias o Carp Tipo de direcciones IP virtual.

Para asignar direcciones IP públicas directamente a los hosts detrás del cortafuego, una interfaz dedicada para los anfitriones debe ser superada a la WAN. Cuando se
utiliza con puente, los hosts con las direcciones IP públicas asignadas directamente deben usar la misma puerta de enlace predeterminada como la WAN del cortafuego:
el router ISP aguas arriba. Esto creará di fi cultades si los hosts con direcciones IP públicas necesitan para iniciar conexiones a hosts detrás de otras interfaces del
cortafuego, ya que la puerta de enlace ISP no enrutará trá fi co para las subredes internas de vuelta al cortafuego. Figura Varias direcciones IP públicas en la subred IP
Uso Individual muestra un ejemplo del uso de varias direcciones IP públicas en un solo bloque con una combinación de NAT y de puente.
Fig. 12.24: múltiples direcciones IP públicas en la subred IP Uso Individual
Ver también:
Para obtener información sobre la con fi guración, NAT se discute más adelante en Traducción de Direcciones de Red Y en el puente Bridging .
Pequeño WAN IP de subred con el más grande de subred IP de la LAN
Algunos ISP asignará una pequeña subred IP que el “lado WAN” asignación, a veces se llama una red de transporte o de interconexión, y la vía de una mayor subred
“dentro” del cortafuego. Comúnmente se trata de un / 30 en el lado WAN y A / 29 o más grande para su uso en el interior del cortafuego. El router proveedor de
servicios se le asigna un extremo de la / 30, normalmente la dirección IP más baja, y el cortafuego se asigna la dirección IP más alta. El proveedor entonces
encamina la segunda subred de la dirección IP WAN del cortafuego. La subred IP adicional puede ser utilizada por el cortafuego en una interfaz LAN o OPT
transfieran en público
12.10. Métodos de uso de direcciones IP públicas adicionales 197

Direcciones IP directamente asignada a hosts, con NAT usando Otros VIPs tipo, o una combinación de los dos. Dado que las direcciones IP se encaminan al cortafuego, ARP
no es necesario para las entradas VIP no son necesarios para su uso con NAT. Debido a pfSense es la puerta de entrada en el segmento local, el encaminamiento de los
anfitriones locales públicos de subred a la LAN es mucho más fácil que en el escenario de un puente necesaria cuando se utiliza una sola subred IP pública. Figura Múltiples
direcciones IP públicas utilizando dos subredes IP muestra un ejemplo que combina una subred enrutado IP y NAT. Enrutamiento de direcciones IP públicas se cubre en Las
direcciones de enrutamiento IP públicas Y en NAT Traducción de Direcciones de Red .
Fig 12.25:. Múltiples direcciones IP públicas utilizando dos subredes IP
Si el cortafuego es parte de un clúster de alta disponibilidad mediante la carpa, la subred de la WAN tendrá que ser un / 29 por lo que cada cortafuego tiene su propia dirección IP
WAN más un VIP CARP. El proveedor de direccionará la más grande dentro de la subred de la WAN VIP CARP en este tipo de con fi guración. La subred IP en el interior debe ser
enviada a una dirección IP que está siempre disponible, independientemente de la fi cortafuegos se ha terminado, y el más pequeño de subred utilizable con la carpa es un / 29.
una configuración de este tipo con CARP es el mismo que el ilustrado anteriormente, con la puerta de enlace OPT1 ser un VIP CARP, y el proveedor de enrutamiento a un VIP
CARP en lugar de la dirección IP WAN. CARP está cubierto de Alta disponibilidad .
múltiples subredes IP
En otros casos, un sitio puede asignar varias subredes IP desde el ISP. Por lo general, cuando esto sucede, el sitio comenzó con una de las dos
disposiciones anteriormente descritas, y más tarde, cuando se solicite IP adicional se dirige al sitio fue dotado de una subred IP adicional. Idealmente,
esta subred adicional se encamina al cortafuego por el ISP, ya sea

a su dirección IP WAN en el caso de un solo cortafuego, o para un VIP CARP cuando se utiliza HA. Si el proveedor se niega a encaminar la subred IP al
cortafuego, sino más bien lo encamina a su router y utiliza una de las direcciones IP de la subred como dirección de puerta de enlace IP, el cortafuego tendrá que
utilizar proxy ARP VIP, IP Alias VIP, o una combinación de IP Alias y VIPs carpa para la subred adicional. Si es posible, el proveedor debe encaminar la subred IP
al cortafuego, ya que hace que sea más fácil trabajar con independencia del cortafuego que se utilice. También elimina la necesidad de quemar 3 direcciones IP
en la subred adicional, una para las direcciones de red y de broadcast y uno para la dirección de puerta de enlace IP. Con una subred enrutado, toda la subred se
puede utilizar en combinación con NAT. Cuando la subred IP se enruta al cortafuego, el escenario descrito en Pequeño WAN IP de subred con el más grande de
subred IP de la LAN Aplica para una subred interna adicional. La subred se puede asignar a una nueva interfaz de TPO, utilizado con NAT, o una combinación de
los dos.
Las direcciones IP adicionales a través de DHCP
Algunos ISP requieren IP adicional se dirige a obtener a través de DHCP. Este no es un buen medio para obtener múltiples direcciones IP públicas, y debe
evitarse en cualquier red grave. Una conexión de clase de negocios no debe exigir esto. pfSense es uno de los pocos rewalls fi que pueden ser utilizados en
cualquier capacidad con direcciones IP adicionales de DHCP. Esto ofrece flexibilidad limitada en lo que el cortafuego puede hacer con estas direcciones,
dejando sólo dos opciones viables.
Bridging
Si las direcciones IP adicionales de DHCP deben ser asignados directamente a los sistemas que van a utilizar, puente es la única opción. Utilizar una interfaz
OPT puente con WAN para estos sistemas y los sistemas deben ser con fi gurada para obtener sus direcciones mediante DHCP.
Pseudo WAN múltiples
La única opción para tener la fi cortafuegos tirar de estas direcciones DHCP como arrendamiento es un despliegue de pseudo multi-WAN. Instalar una interfaz de red por
cada dirección IP pública, y con fi gurar cada uno para DHCP. Conecte todas las interfaces en un interruptor entre el cortafuego y el módem o router. Dado que el
cortafuego tendrá múltiples interfaces que comparten un único dominio de difusión, permitir Suprimir los mensajes ARP en Sistema> Opciones avanzadas, Redes pestaña
para eliminar las advertencias de ARP en el registro del sistema, que son normales en este tipo de despliegue.
El único uso de múltiples direcciones IP públicas asignadas de esta manera es para el reenvío de puertos. redirecciones de puertos se pueden utilizar en cada
interfaz WAN que utiliza una dirección IP asignada a la interfaz por el servidor DHCP del ISP. NAT salientes a los TPO WAN no funcionará debido a la limitación de
que cada uno de WAN debe tener una dirección IP única puerta de entrada para dirigir adecuadamente trá fi co de esa WAN. Esto se discute más en Las conexiones
WAN múltiples .
Las direcciones IP virtuales
pfSense permite el uso de múltiples direcciones IP en combinación con NAT o servicios locales a través de direcciones IP virtuales (VIP). Hay cuatro tipos de
direcciones IP virtuales disponibles en pfSense: IP Alias, la carpa, el Proxy ARP, y Otro. Cada uno es útil en diferentes situaciones. En la mayoría de las circunstancias,
pfSense tendrá que responder a una petición ARP VIP que significa que los alias IP, ARP proxy o CARP se deben utilizar. En situaciones donde no se requiere ARP,
como cuando las direcciones IP públicas adicionales se encaminan por un proveedor de servicios para la dirección IP WAN en el cortafuego, utilizar otros VIPs tipo.
pfSense no responderá a los pings destinados a Proxy ARP y otras personalidades de tipo independientemente de fi cortafuegos con la regla fi guración. Con Proxy
ARP y Otros VIPs, NAT debe estar presente en el cortafuego, reenvío de tráfico c a un host interno para el ping a la función. Ver Traducción de Direcciones de Red para
más información.
12.11. Las direcciones IP virtuales 199

IP Alias
Alias IP funcionan como cualquier otra dirección IP en una interfaz, tal como la dirección IP de la interfaz real. Ellos responderán a la capa 2 (ARP) y se pueden utilizar
como direcciones vinculante de los servicios en el cortafuego. También se pueden utilizar para manejar varias subredes en la misma interfaz. pfSense responderá a ping
en un alias IP, y servicios en el cortafuego que se unen a todas las interfaces también responderá en IP Alias VIPs a menos que el VIP se utiliza para reenviar esos
puertos en a otro dispositivo (por ejemplo, 1: 1 NAT).
VIPs IP alias puede utilizar localhost como su interfaz va a emplear los servicios que utilizan direcciones IP de un bloque de direcciones sin enrutados
específicamente la asignación de las direcciones IP a una interfaz. Esto es principalmente útil en HA con escenarios de carpa de modo que las direcciones
IP no necesitan ser consumidos por una configuración de CARP (un IP cada por nodo, entonces el resto como la carpa VIPs) cuando existe la subred sólo
dentro del cortafuego (por ejemplo, NAT o fi cortafuegos servicios tales como VPNs). Los alias IP en su propio no se sincronizan con XMLRPC de Con fi
guración de sincronización compañeros porque eso daría lugar a una dirección IP conflicto. Una excepción a esto es VIPs IP de alias utilizando un VIP
CARP “interfaz” para su interfaz. Los que no dan lugar a un conflicto para que se sincronizarán. Otra excepción es VIPs IP Alias unidos a localhost como su
interfaz. Debido a que estos no son activos fuera de la misma fi cortafuegos,
Proxy ARP
Proxy ARP VIPs función estrictamente en la capa 2, proporcionando respuestas ARP para la dirección IP o CIDR fi ed rango específico de direcciones IP. Esto permite
pfSense para aceptar trá fi co dirigido a aquellas direcciones dentro de una subred compartida. Por ejemplo, pfSense puede reenviar tráfico c enviado a una dirección
adicional dentro de su subred WAN de acuerdo con su NAT con fi guración. La dirección o rango de direcciones no están asignados a ninguna interfaz de pfSense,
porque no tienen que ser. Esto significa que no hay servicios en sí pfSense puede responder a estas direcciones IP.
Proxy ARP VIP no se sincronizan con XML-RPC con fi guración de sincronización compañeros, ya que hacerlo podría causar una dirección IP conflicto.
CARPA
VIPs CARP se utilizan principalmente con las implementaciones de alta disponibilidad redundantes que utilizan CARP. VIPs CARP cada uno tiene su propia
dirección MAC única deriva de su VHID, que puede ser útil incluso fuera de una implementación de alta disponibilidad.
Ver también:
Para obtener información sobre el uso de los VIPs CARP, véase Alta disponibilidad .
VIPs CARP también se pueden usar con una sola cortafuego. Esto se hace típicamente en los casos en que el despliegue pfSense finalmente se convertirá en
un nodo de clúster HA, o al tener una única dirección MAC es un requisito. En casos raros un proveedor requiere que cada dirección IP única en un segmento
de WAN para tener una dirección distinta MAC, que VIPs CARP proporcionan.
Carpa VIP y VIP IP Alias se pueden combinar de dos maneras:
• Para reducir la cantidad de latidos CARP apilando IP Alias VIP VIP en carpa. Ver Utilización de alias IP para reducir el latido del corazón de trá fi co .
• Para utilizar VIPs la carpa en varias subredes en una única interfaz. Ver Interfaz .
Otro
Otro escriba VIPs definir las direcciones IP de adicionales para su uso cuando respuestas ARP para la dirección IP no son obligatorios. La única función de la adición de una Otro
tipo VIP está haciendo que la dirección disponible en los selectores desplegables con fi guración NAT.

Esto es conveniente cuando el cortafuego tiene un bloque de IP pública encaminada a su dirección IP WAN, IP Alias, o un VIP CARP.
Reglas basada en el tiempo
reglas basadas tiempo permiten reglas cortafuego para activar durante días fi cados y / o intervalos de tiempo. normas basadas en el tiempo es igual que en cualquier otra regla,
excepto que efectivamente no están presentes en el conjunto de reglas fuera de sus horarios programados.
Tiempo basado en reglas de lógica
Cuando se trata de normas basadas en el tiempo, el programa determina cuándo aplicar la acción especificados en la regla fi cortafuegos. Cuando la hora o la fecha actual
no está regulado por el horario, el cortafuego actúa como si la regla no está allí. Por ejemplo, una regla que pasa trá fi co únicamente los sábados lo bloqueará en otros días
si existe una regla de bloqueo separada por debajo de ella. Las reglas se procesan desde la parte superior hacia abajo, al igual que otras reglas fi cortafuego. Se utiliza el
primer partido, y una vez que se encuentra una coincidencia, se tomen las medidas si la regla está en horario, y no se evalúan otras reglas.
Propina: Recuerde que cuando se utiliza la regla de horarios que tendrá sin efecto fuera de sus horarios programados. La regla
no lo hará tiene su acción invierte debido a que la hora actual no está dentro del tiempo programado. El no poder dar cuenta de este comportamiento podría resultar en
dar a los clientes el acceso no deseado fuera del tiempo de fi nida oscila en un horario.
Con fi gurar Horarios de reglas basadas en el tiempo
Los horarios deben definirse antes de que puedan ser utilizados en las reglas fi cortafuego. Los horarios se definen en virtud de Cortafuegos> EGLAS Sched-, y cada
programa puede contener múltiples rangos de tiempo. En el siguiente ejemplo, una empresa quiere negar el acceso a HTTP en horario de oficina, y permitir que todos los
otros momentos del día.
De fi nir Times por una programación
Para añadir una programación:
• Navegar a Cortafuegos> Horarios
• Hacer clic Añadir para que aparezca la pantalla de edición de programación, como se ve en la figura La adición de un rango de tiempo .
• Entrar a Nombre horario. Este es el nombre que aparecerá en la lista de selección para su uso en las reglas de cortafuego. Al igual que los nombres de alias,
este nombre sólo puede contener letras y dígitos, sin espacios. Por ejemplo: Horas de trabajo
• Entrar a Descripción de este horario, tal como Horario comercial habitual.
• De fi ne uno o más rangos de tiempo:
- Selecciona el Mes mediante la selección de un mes y días especí fi co, o haciendo clic en el día de la cabecera de la semana para los horarios semanales recurrentes.
- Escoge un Hora de inicio y Para el tiempo que controlan cuando la regla está activa en los días seleccionados. El tiempo no puede cruzar la medianoche en un día
cualquiera. Un día completo es 0:00 a 23:59.
- Introduzca una opcional Intervalo de tiempo Descripción para este rango de c especificidad, por ejemplo, Semana de trabajo
- Hacer clic Agregar tiempo añadir la elección como una gama
- Repetir Mes, tiempo, y pasos para rangos adicionales
12.12. Reglas basada en el tiempo 201

Un programa puede aplicarse a día especí fi cos, tales como el 2 de septiembre de, 2016, o en días de la semana, como de lunes a miércoles. Para seleccionar un día
cualquiera en el próximo año, elegir el Mes de la lista desplegable y, a continuación, haga clic en los números de día o al día especí fi cos en el calendario. Para seleccionar
un día de la semana, haga clic en su nombre en los títulos de las columnas. Para este ejemplo, haga clic en L, M, X, J, y Vie. Esto hará que el programa activo para cualquier
lunes a viernes, independientemente del mes. Ahora selecciona el tiempo para esta programación esté activa, en formato de 24 horas. El horario para este ejemplo son los
negocios 09:00 a 17:00 ( 17:00). Todos los tiempos se dan en la zona horaria local.
Fig. 12.26: Adición de un rango de tiempo
Una vez que el intervalo de tiempo ha sido de fi nido, aparecerá en la lista en la parte inferior de la pantalla de edición de programación, como en la figura
Agregado rango de tiempo .
Fig. 12.27: Intervalo de tiempo añadido
Para ampliar esta configuración, puede haber un medio día del sábado para definir, o tal vez la tienda abre a última hora del lunes. En ese caso, de fi ne un rango de
tiempo para los días idénticos, y luego otro rango para cada día con diferentes intervalos de tiempo. Esta colección de intervalos de tiempo será el calendario completo.
Una vez que la entrada de la programación se ha guardado, el navegador vuelve a la lista de programación, como en la figura Lista de programación después de agregar . Este horario estará
disponible para su uso en las reglas de cortafuego.

Fig. 12.28: Lista de programación después de agregar
El uso de la Lista de que una regla de firewall
Para crear una regla de cortafuegos fi empleando este calendario, crear una nueva regla en la interfaz deseada. Ver Adición de una regla de cortafuego
y Con fi gurar reglas de cortafuego para obtener más información sobre cómo agregar y reglas de edición. Para este ejemplo, añadir una regla para rechazar TCP trá fi
co en la interfaz LAN de la subred LAN a cualquier destino en el puerto HTTP. En las opciones avanzadas para la regla, localice la Programar establecer y elegir el Horas
de trabajo programar, como en la figura La elección de un calendario para una regla de firewall .
Fig. 12.29: La elección de un calendario para una regla de firewall
Después de guardar la regla, el programa le aparecerá en la lista de reglas fi cortafuegos junto con una indicación del estado activo de la programación. Como se muestra
en la figura Listado de reglas de firewall con el Anexo , esta es una regla de rechazo, y la columna de la programación indica que la regla se encuentra en su estado de
bloqueo activo, ya que se está viendo en un momento dentro del rango programado. Si el cursor del ratón pasa sobre el indicador de estado de programación, un texto de
ayuda se visualiza por el cortafuego que muestra cómo se comportará la regla en el momento actual. Dado que esto se está viendo en el interior de la veces se define en el
horario businesshours, esto va a decir “Traf fi c juego se le niega la actualidad esta regla”. Si hay una regla de pase que coincida con el trá fi co a cabo en el puerto 80 de la
red LAN después de esta regla, entonces sería permitida fuera de las horas programadas.
Fig. 12.30: Firewall Listado de reglas con el Anexo
Ahora que la regla es de fi nido, probarlo tanto dentro como fuera de las horas precisas para asegurar que se promulgó el comportamiento deseado.
Propina: Por defecto, los estados se borran para las conexiones activas permitidas por una regla programada cuando expira el calendario. Esto cancela el acceso para
cualquier persona permitido por la regla mientras estaba activo. Para permitir estas conexiones permanezcan abiertas, cheque No matar conexiones cuando expira horario
debajo Sistema> Avanzado sobre el Diverso lengüeta.
Visualización de la Registros de firewall
El cortafuego crea entradas de registro para cada fi gurada con regla para registrar y para la denegación predeterminada regla. Hay varias maneras de ver estas entradas de
registro, cada una con diferentes niveles de detalle. No hay un método claro “mejor” ya que depende de las preferencias y nivel de habilidad de los administradores fi
cortafuego, aunque utilizando la GUI es el método más fácil.
12.13. Visualización de la Registros de firewall 203

Propina: El comportamiento de registro de la denegación predeterminada reglas y otras reglas internas puede ser controlado usando el ajustes lengüeta debajo Estado> Registros del sistema. Ver Cambio
de Configuración de registro para detalles.
Al igual que otros registros en pfSense, los registros fi cortafuego sólo mantienen un cierto número de registros utilizando el formato de registro circular binario,
obstruir. Si las necesidades de una organización requieren un registro permanente de los registros fi cortafuego por un período de tiempo más largo, consulte Registros del sistema para obtener
información sobre la copia de estas entradas de registro a un servidor syslog a medida que ocurren.
Viendo en los WebGUI
Los registros de fi cortafuego son visibles en la WebGUI en Registros de Estado> del sistema, sobre el firewall lengüeta. A partir de ahí, los registros pueden ser vistos como un registro
analizada, lo que es más fácil de leer, o como un registro bruto, que contiene más detalles. También hay una opción para mostrar estas entradas en orden normal o inverso. Si la orden
que se muestran las entradas del registro es desconocido, compruebe la fecha y hora de la primera y la última línea, o cheque Cambio de Configuración de registro para obtener
información sobre cómo ver y cambiar estos valores.
Los registros webgui analizados, visto en la figura Ejemplo de entradas de registro se ve desde el WebGUI , están en 6 columnas: Tiempo de acción, Interfaz,
Fuente, Destino, y Protocolo.
Acción Muestra lo que sucedió con el paquete que generó la entrada del registro (por ejemplo, pasar o bloquear)
Hora El momento en que llegó el paquete.
Interfaz Cuando el paquete entró en el cortafuego.
Fuente La dirección IP de origen y el puerto.
Destino La dirección IP y puerto de destino.
Protocolo El protocolo del paquete, por ejemplo, ICMP, TCP, UDP, etc.
Fig. 12.31: Ejemplo entradas de registro se ve desde el WebGUI
los Acción icono es un enlace que las operaciones de búsqueda y mostrar la regla que provocó la entrada de registro. Más a menudo que no, esto dice “Default Deny Regla”,
pero la hora de solucionar emite norma que puede ayudar a reducir los sospechosos.
Propina: Sobre el ajustes lengüeta debajo Registros de Estado> del sistema, esta descripción de la regla puede ser con fi gurada para mostrar en las entradas del registro directamente. El
cortafuego puede mostrar la descripción en una columna separada o una fila separada. Ver Cambio de Configuración de registro para detalles.
Al lado de las direcciones IP de origen y de destino es . Cuando se hace clic en este icono del cortafuego llevará a cabo un DNS
las operaciones de búsqueda de la dirección IP. Si la dirección tiene un nombre de host válido, se mostrará debajo de la dirección IP en todas las instancias de esa dirección en
la página.
Las entradas de registro para paquetes TCP tienen información extra añadido al campo de protocolo TCP mostrando fi fl ags presente en el paquete. Estas banderas fl indican
diversos estados de conexión o atributos de paquetes. AGS fl comunes incluyen:
S - SYN Sincronizar los números de secuencia. Indica un nuevo intento de conexión cuando se establece sólo SYN.
A - ACK Indica reconocimiento de datos. Estas son las respuestas a dejar que el remitente saber los datos fue recibido
DE ACUERDO.

F - FIN Indica que no hay más datos del remitente, el cierre de una conexión.
R - RST Reajuste de conexion. Este pabellón se fija al responder a una solicitud para abrir una conexión en un puerto
que no tiene ningún demonio de escucha. También se puede ajustar por el software de cortafuegos fi a alejarse conexiones no deseadas.
Ver también:
Hay varias otras banderas fl y sus significados se describen en muchos materiales en el protocolo TCP. los artículo de Wikipedia sobre TCP tiene más
información.
La salida del registro se muestra en la GUI puede filtró a fi nd entradas específicas, siempre que existan en el registro actual. Hacer clic
para mostrar las opciones de fi ltrado. Ver Filtrado de entradas del registro para más información.
Adición de reglas del cortafuegos del registro de Vista (Regla Fácil)
Regla fácil hace que sea sencillo para añadir reglas fi cortafuego rápidamente de la vista del registro fi cortafuegos.
los icono situado junto a la dirección IP de origen añade una bloquear gobernar para esa dirección IP en la interfaz. Para ser más precisos, se crea o se suma a un
alias que contiene las direcciones IP adicionales de Easy Regla y los bloquea en la interfaz seleccionada.
los Funciona de manera similar a la acción de bloqueo icono situado junto a la dirección IP de destino, pero añade una más precisa pasar regla. Esta pasar regla
permite trá fi co en la interfaz, sino que debe coincidir con el mismo protocolo, dirección IP de origen, dirección IP de destino y puerto de destino.
El uso de la Regla Fácil de agregar reglas de cortafuego de la concha
La versión de la cáscara de la Regla Fácil, easyrule, se puede utilizar para añadir una regla fi cortafuegos desde el intérprete de comandos. Cuando el
easyrule comando se ejecuta sin parámetros, el mensaje se imprime un uso para explicar su sintaxis. La forma en que se añade una regla de bloqueo usando un alias, o una regla de
pase preciso especificar el protocolo, el origen y el destino, un trabajo similar a la versión de interfaz gráfica de usuario. Por ejemplo, para agregar una regla de bloqueo, ejecute:
# bloque easyrule wan 1.2.3.4
Una regla de pase debe ser más precisos:
# pase easyrule wan tcp 1.2.3.4 192.168.0.4 80
Se muestran desde el menú de la consola
Los registros crudos pueden ser vistos y seguidos en tiempo real desde el filter.log fi l utilizando la opción 10 desde el menú de la consola. Un ejemplo sencillo es una entrada de
registro como la observada anteriormente en la figura Ejemplo de entradas de registro se ve desde el WebGUI :
Aug 3 08:59:02 maestro filterlog: 5,16777216,, 1000000103, igb1, partido, bloque, en, 4,0x10,, 128,0,0, ninguno, 17, UDP, 328,198.51.100.1,198.51.100.2, 67,68,308
Esto demuestra que el ID de regla 1000000103 fue emparejado, que resultó en una acción de bloqueo en el igb1 interfaz. Las direcciones IP de origen y de destino
se muestran cerca del final de la entrada del registro, seguido por el puerto de origen y destino. Los paquetes de otros protocolos pueden mostrar significativamente
más datos.
Ver también:
los formato del filtro log fi l se describe en detalle en la documentación wiki pfSense.
12.13. Visualización de la Registros de firewall 205

Para ver imágenes de la Shell
Cuando se utiliza la carcasa, ya sea desde SSH o desde la consola, hay numerosas opciones disponibles para ver los registros filtrantes.
Al visualizar directamente el contenido de la obstrucción fi le, las entradas de registro pueden ser bastante complejos y detallado.
Visualización de los contenidos actuales del registro fi l
El registro de filtro está contenida en un fichero cíclico binario herramientas tradicionales como por lo gato, grep, y así sucesivamente, no puede ser utilizado en el expediente directamente. El
registro deberá realizar la lectura con el obstruir programa, y luego puede ser conducido a través de otro programa. Para ver todo el contenido del registro de archivo, ejecute el siguiente
comando:
# obstruir /var/log/filter.log
Para restringir la salida del registro de las últimas líneas, canalizarla a través de la cola:
# obstruir /var/log/filter.log | cola
Tras la salida de registro en tiempo real
“Seguir” a la salida del registro de archivo, utilice el - F parámetro para obstruir. Este es el equivalente de tail-f para aquellos acostumbrados a trabajar con normalidad registrar
archivos en sistemas UNIX:
# estorbo -f /var/log/filter.log
Esta es la salida de todo el contenido del registro de expediente, pero no se cierra después. En su lugar, va a esperar para más entradas e imprimirlos a medida que ocurren. Esta
salida también puede ser conducido a otros comandos, según sea necesario.
Viendo el resultado de registro analizado en la cáscara
No es un simple analizador de registro escrito en PHP que puede ser utilizado de la cáscara para producir una salida reducida en lugar del registro de prima completa. Para ver los
contenidos analizados del registro actual, ejecute:
# obstruir /var/log/filter.log | filterparser.php
La una salida de entradas de registro por línea, con una producción simplificada:
Aug 3 08:59:02 bloque igb1 UDP 198.51.100.1:67 198.51.100.2:68
Encontrar la regla que causó una entrada de registro
Al visualizar uno de los formatos de registro bruto, se muestra el número de identificación para una entrada. Esta regla número se puede utilizar para hallar la regla
que causó el partido. En el siguiente ejemplo, qué regla con id 1000000103:
# pfctl -vvsr | grep 1000000103

@ 5 (1000000103) gota bloque en inet registro de todos etiqueta "denegación predeterminada regla IPv4"
Como se muestra en la salida anterior, esta era la regla de denegación predeterminada para IPv4.

¿Por qué hay bloquearon las entradas de registro para las conexiones legítimas?
A veces, las entradas de registro que están presentes, mientras que la etiqueta con la regla de “denegación predeterminada”, parece como si pertenecen a las
conexiones legítimas. El ejemplo más común es ver a una conexión bloqueada que implica un servidor web. Esto es probable que ocurra cuando un paquete TCP
FIN, que normalmente cerrar la conexión, llega después de estado de la conexión se ha eliminado o cuando un ACK se recibe fuera de la ventana de tiempo
aceptable. Esto sucede porque, en ocasiones, un paquete se pierde o se retrasa y las retransmisiones será bloqueada debido a que el cortafuego ya ha cerrado
la conexión.
Estas entradas de registro son inofensivos y no indican una conexión bloqueada real. Todos rewalls fi con estado hacen esto, aunque algunos no generan mensajes de registro para
esta bloqueado trá fi co incluso cuando se registra todo bloqueado trá fi co. Este comportamiento estará presente en ocasiones incluso si “permiten que todos los” existen reglas de
estilo en todas las interfaces fi cortafuego porque un conjunto de reglas para “permitir todo” para las conexiones TCP sólo permite paquetes TCP SYN para crear un estado. Todos los
demás TCP trá fi co o bien formar parte de un Estado existente en la tabla de estado, o sea con paquetes TCP falsificada o de otro modo no válido fl ags. Una variante especial de
esta que poder indican problemas es cuando existe enrutamiento asimétrico en una red. En esos casos las entradas de registro estarán presentes mostrando TCP: SA ( SYN + ACK)
paquetes que están siendo bloqueados en lugar de FIN o RST. Ver Derivación de reglas de firewall para trá fi co en una misma interfaz y Filtrado de rutas estáticas para obtener
información sobre cómo manejar el enrutamiento asimétrico.
¿Cómo bloqueo el acceso a un sitio Web?
Una pregunta que me preguntan muy a menudo es “¿Cómo se bloquea el acceso a un sitio web?”, O para ser más preciso: “¿Cómo se bloquea el acceso a
Facebook?” Y no siempre es una pregunta fácil de responder. Hay varias tácticas posibles para lograr el objetivo, algunos se discuten en otras partes del libro.
El uso de DNS
Si el construido en la resolución de DNS o Forwarder están activas una anulación se puede introducir allí para resolver el sitio web no deseado a una dirección IP no
válida como 127.0.0.1.
El uso de reglas de firewall
Si un sitio web no suele cambiar las direcciones IP, el acceso a la misma puede ser bloqueado usando un alias que contiene sus direcciones IP y luego usar este alias en reglas fi cortafuego.
Esto no es una solución viable para los sitios que devuelven TTL de baja y repartir la carga a través de muchos servidores y / o centros de datos, tales como Google y sitios de gran tamaño
similares. La mayoría de pequeñas sitios web de tamaño medio se puede bloquear de manera efectiva el uso de este método, ya que rara vez cambian las direcciones IP.
Un nombre de host también puede estar dentro de un alias de red. El nombre de host se resolverá periódicamente y actualiza según sea necesario. Esto es más eficaz que
buscar manualmente las direcciones IP, pero aún están a la altura si el sitio devuelve registros DNS de una manera que cambia rápidamente o aleatoriamente resultados de
un grupo de servidores en cada consulta, que es común para los sitios grandes.
Otra opción es hallazgo todas las asignaciones de subred IP de un sitio, la creación de un alias con esas redes, y el bloqueo de trá fi co a esos destinos. Esto
es especialmente útil con sitios como Facebook que se propagan a grandes cantidades de espacio IP, pero se ven limitados a unas pocas manzanas netos. El
uso de sitios de registro regionales como ARIN puede ayudar a localizar a esas redes. Por ejemplo, todas las redes utilizadas por Facebook en la región
cubierta por ARIN se puede encontrar en http://whois.arin.net/rest/org/THEFA-3.html en “Redes relacionados”. Las empresas pueden tener otras direcciones en
diferentes regiones, a fin de comprobar otros sitios regionales, así, como RIPE, APNIC, etc.
12.14. ¿Cómo bloqueo el acceso a un sitio Web? 207

Como alternativa a levantar los bloques de IP manualmente, localizar el número de la empresa objetivo BGP Sistema Autónomo (AS) haciendo una quien es búsqueda en
una de sus direcciones IP, a continuación, utilizar que para hallar la totalidad de sus asignaciones. Por ejemplo, el número de AS de Facebook es AS32934:
# whois -h whois.radb.net - 'AS32934 origen -i' | awk '/ ^ ruta: / {print $ 2;}' | especie | uniq
Copiar los resultados de ese comando en un nuevo alias y cubrirá la totalidad de sus redes actualmente asignados. Comprobar los resultados periódicamente si hay
actualizaciones.
El paquete pfBlocker ofrece mecanismos que pueden ser útiles en esta área, tales como DNSBL, bloqueo de direcciones IP geográfica, y la automatización del
proceso en su búsqueda.
El uso de un proxy
Si Web trá fi co fluye a través de un servidor proxy, servidor proxy puede que es probable que se utiliza para evitar el acceso a dichos sitios. Por ejemplo, calamar tiene
una llamada SquidGuard add-on que permite el bloqueo de sitios web por URL u otros criterios similares. Hay una muy breve introducción a calamar y SquidGuard que
se encuentran en Una breve introducción a proxies web y presentación de informes: calamar, SquidGuard y Lightsquid .
Restricciones prevenir Anulación
Con cualquiera de los métodos anteriores, hay muchas maneras de conseguir alrededor de los bloques de fi nidas. La forma más fácil y probablemente más frecuente es el uso de
cualquier número de sitios web proxy. La búsqueda y el bloqueo de todos estos de forma individual y mantener la lista actualizada es imposible. La mejor manera de asegurar que
estos sitios no son accesibles está utilizando un proxy externo o contenido de fi ltrado capaz de bloquear por categoría.
Para mantener un control adicional, utilizar un conjunto de reglas de salida restrictiva y sólo permiten tráfico c a servicios y / o hosts fi cas. Por ejemplo, sólo permiten el
acceso DNS para el cortafuego o los servidores DNS específicamente utilizado para clientes de LAN. Además, si un proxy está en uso en la red, asegúrese de no permitir
el acceso directo a HTTP y HTTPS a través del cortafuego y sólo permitir el trá fi co hacia y / o desde el servidor proxy.
Solución de problemas de las reglas del cortafuegos
Esta sección proporciona una guía para solucionar problemas con las reglas fi cortafuego.
Compruebe el servidor de seguridad de registros
El primer paso para solucionar problemas de sospecha bloqueado tráfico c es comprobar los registros de fi cortafuego ( Registros de Estado> del sistema, sobre el firewall lengüeta).
Por defecto pfSense guardara todo el tráfico se redujo cy no registrará ningún pasado trá fi co. A menos que existan bloques o rechazar las reglas de
el conjunto de reglas que no utilizan el registro, se registra todo el tráfico bloqueado fi co. Si no hay entradas de registro con un rojo en
los registros fi cortafuego que concuerden con el trá fi co de que se trate, pfSense no es probable que sea dejando caer el trá fi co.
Compruebe la tabla de estado
Intentar una conexión y comprobar inmediatamente la tabla de estado en Diagnóstico> Estados y filtro de la fuente o nación DES- para ver si existe un estado. Si una
entrada de tabla de estado está presente, el cortafuego ha pasado el tráfico c. Si la regla en cuestión es una regla de pase, la entrada de la tabla de estado significa que
el cortafuego pasó el trá fi co a través y el problema puede estar en otro lugar y no en el cortafuego.

Si la regla es una regla de bloqueo y hay una entrada de la tabla de estado, la conexión abierta se no ser interrumpido. Para ver un efecto inmediato de una nueva regla de bloqueo,
los estados deben ser desactivados. Ver firewall Unidos para más información.
Los parámetros de la regla opinión
Editar la regla en cuestión y revisar los parámetros para cada campo. Para TCP y UDP trá fi co, recuerda el puerto de origen casi nunca es el mismo que el
puerto de destino, y por lo general debe ser ajustado a alguna.
Si la denegación predeterminada regla es la culpa, diseñar una nueva regla de pase que coincidirá con el trá fi co que se le permita. Si el tráfico c todavía está bloqueado,
puede haber algún otro aspecto especial de los paquetes que requieren un tratamiento adicional en el aire regla fi guración. Por ejemplo, ciertos multicast tráfico c puede
necesitar tener Permitir opciones IP habilitados, o las entradas de registro pueden ser debido a enrutamiento asimétrico, o los paquetes pueden tener una combinación no válida
de parámetros tales como un paquete fragmentado con “No Fragmento” situada en el interior.
Ver también:
Ver Derivación de reglas de firewall para trá fi co en una misma interfaz y Filtrado de rutas estáticas para obtener información sobre cómo manejar el enrutamiento asimétrico.
En tales casos avanzados, la ejecución de una captura de paquetes para el trá fi co en cuestión puede ayudar a diagnosticar el problema. Referirse a
La captura de paquetes para obtener más información sobre cómo capturar y analizar paquetes.
Ordenando Regla opinión
Recuerde que para las reglas de la ficha de interfaz, la primera regla coincidente fi gana - no se evalúan más reglas.
Normas e interfaces
Asegúrese de reglas están en la interfaz correcta para la función como se pretende. Traf fi c se filtra sólo por la fi conjunto de reglas con gurado en la interfaz donde el tráfico c
es iniciado. Traf fi c procedente de un sistema en la LAN con destino a un sistema en cualquier otra interfaz se filtra por solamente las normas de LAN. Lo mismo es cierto para
todas las demás interfaces.
Habilitar el registro de la Regla
Determinar la regla es vincular el trá fi co en cuestión. Los contadores de visitas en la lista de reglas pueden ayudar con esto hasta cierto punto. Habilitando el registro
en las reglas de paso, los registros fi cortafuego mostrarán una entrada específicamente individuo para determinar la regla pasó la conexión.
Solución de problemas con capturas de paquetes
capturas de paquetes pueden ser de gran valor para la solución de problemas y la depuración de trá fi co. Con una captura de paquetes, es fácil saber si el trá fi co está llegando a
la interfaz exterior o salir de una interfaz en el interior, entre muchos otros usos. Ver La captura de paquetes para más detalles sobre la solución de problemas con las capturas de
paquetes.
Nuevas reglas no se aplican
Si no aparece una nueva regla a aplicar, hay un par de posibles explicaciones. En primer lugar, si la regla es una regla de bloqueo y hay una entrada de la tabla de estado, la
conexión abierta se no ser interrumpido. Ver Compruebe la tabla de estado .
12.15. Solución de problemas de las reglas del cortafuegos 209

En segundo lugar, el conjunto de reglas no puede ser recargando correctamente. Comprobar Estado> Actualizar Filtrar para ver si se muestra un error. Hacer clic
el Filtro de recarga botón en esa página para forzar una nueva recarga de filtro. Si aparece un error, resuelva el problema según sea necesario. Si la causa no es
evidente, consultar los recursos de apoyo para la asistencia.
Si ninguna de las causas anteriores son los culpables, es posible que la regla no coincide en absoluto, así que revise el trá fi co y el Estado de nuevo.
otras causas
Hay otras trampas en las reglas fi cortafuego, NAT, enrutamiento y diseño de redes que pueden interferir con la conectividad. Véase el artículo wiki en doc Solución de
problemas de conectividad para más sugerencias.
Ver también:
Los clientes con una pfSense Suscripción Oro puede acceder al Hangouts Archivo para ver el lugar de reunión de junio de 2016 Conectividad de solución de problemas que
contiene procedimientos mucho más detallada de solución de problemas. Una de las funciones principales realizadas por pfSense es fi ltrado tráfico c. Este capítulo trata
sobre los fundamentos de fi rewalling, mejores prácticas, y requiere información necesaria para con fi gurar fi reglas de cortafuego.

CAPÍTULO
TRECE
TRADUCCIÓN DE DIRECCIONES DE RED
puerto reenvía
Puerto reenvía permitir el acceso a un puerto especí fi co, puerto o rango de protocolo en un dispositivo de direccionamiento privado red interna. El nombre de “puerto hacia
adelante” fue elegido porque es lo que la mayoría de la gente entiende en este contexto, y que pasó a llamarse desde el más técnicamente apropiado “de entrada NAT”
después de innumerables quejas de los usuarios confundidos. funcionalidad similar también se llama “Destination NAT” en otros productos. Sin embargo, “Port Forward”, un
nombre inapropiado, ya que las normas del puerto hacia delante puede redirigir los protocolos de GRE y ESP, además de los puertos TCP y UDP, y puede ser utilizado para
diversos tipos de trá fi co, así como la redirección de puertos delanteros tradicionales. Esto es más comúnmente utilizado cuando se alojan los servidores, o el uso de
aplicaciones que requieren conexiones entrantes de Internet.
Ver también:
Los clientes con una pfSense Suscripción Oro puede acceder al Hangouts Archivo para ver el Hangouts se pueden 2016 para NAT en pfSense 2.3, el lugar de reunión
de junio de 2016 Conectividad de solución de problemas, y la conversación de diciembre de 2013 en Port Forward Solución de problemas, entre otros.
Los riesgos de reenvío de puertos
En un con fi guración por defecto, pfSense no permite en ningún trá fi co iniciada desde servidores en Internet. Esto proporciona protección frente a cualquier
exploración de la Internet en busca de sistemas para atacar. Cuando existe una norma de elaboración puerto, pfSense permitirá ningún tráfico fi c juego la regla fi
cortafuegos correspondiente. No conoce la diferencia entre un paquete con una carga maliciosa y uno que es benigno. Si la conexión coincide con la regla fi
cortafuegos, está permitido. controles basado en host deben ser utilizados por el sistema de destino para asegurar cualquier servicios permitidos a través del
cortafuego.
Reenvío de puertos y servicios locales
Puerto delanteros tienen prioridad sobre cualquiera de los servicios que se ejecutan localmente en el cortafuego, tales como la interfaz web, SSH, y así sucesivamente. Por ejemplo
esto significa que si se permite el acceso remoto interfaz web desde la WAN a través de HTTPS en el puerto TCP
443, un puerto WAN para avanzar en TCP 443 tendrá prioridad y la interfaz web ya no será accesible desde la WAN. Esto no afecta al acceso de
otras interfaces, sólo la interfaz que contiene el puerto hacia adelante.
Reenvío de puertos y 1: 1 NAT
Puertos delanteros también tienen prioridad sobre 1: 1 NAT. Si un delantero puerto se define en una sola dirección IP externa reenvío de un puerto a un anfitrión, y
una 1: entrada NAT 1 es también definida en la misma dirección IP externa reenviar todo en un host diferente, entonces el puerto hacia adelante permanece activa
y continúa el avance para el host original.
211
Añadiendo puerto reenvía
Reenvía los puertos son gestionados a Firewall> NAT, sobre el port Forward lengüeta. Las reglas de esta indicación se gestionan de la misma manera que las reglas fi cortafuego
(véase Introducción a la pantalla de las reglas del cortafuegos ).
Para empezar a añadir una entrada hacia adelante puerto, haga clic Añadir botón para llegar a la port Forward pantalla de edición. El seguimiento
opciones están disponibles para los delanteros de puerto:
Inhabilitar Una casilla de verificación para opcionalmente Disable este puerto NAT hacia adelante. Para desactivar la regla, marque esta casilla.
Sin RDR (NO) Niega el significado de este puerto hacia adelante, lo que indica que no redirección debe ser per-
formada si se compara esta regla. La mayoría de las configuraciones fi no utilizarán este campo. Esto se usaría para anular una acción de
reenvío, que puede ser necesaria en algunos casos para permitir el acceso a un servicio en el cortafuego en una IP que se utiliza para el 1: 1
NAT, o en otro escenario avanzado similar.
Interfaz La interfaz donde el delantero puerto estará activo. En la mayoría de los casos esto será WAN. por
enlaces adicionales WAN o redirecciones locales esto puede ser interfaz diferente. los Interfaz es la ubicación en el cortafuego en el trá fi co
para este puerto entra hacia adelante.
Protocolo los Protocolo del tráfico entrante para que coincida c. Esto se debe ajustar para que coincida con el tipo de servicio
reenviarse, si es TCP, UDP, u otra opción disponible. servicios más comunes están remitiendo será TCP o UDP, pero
consulte la documentación para el servicio o incluso una búsqueda rápida en la web para confirmar la respuesta. los TCP /
UDP reenvía opción TCP y UDP juntos en una sola regla.
Fuente Estas opciones se ocultan detrás de una Avanzado botón de forma predeterminada, y se puso a alguna fuente. los
Fuente Opciones restringen qué direcciones IP de origen y los puertos pueden tener acceso a este puerto de entrada hacia adelante. Estos no suelen
ser necesarios. Si el puerto hacia delante debe ser accesible desde cualquier lugar en Internet, la fuente debe ser alguna. Para los servicios de acceso
restringido, utilizar un alias aquí tan sólo un conjunto limitado de direcciones IP puede acceder al puerto hacia adelante. A menos que el servicio requiere
absolutamente un puerto de origen especí fi co, el puerto de origen deben dejarse como alguna ya que casi todos los clientes utilizarán los puertos de
origen aleatorios.
Destino La dirección IP donde el tráfico c que se remitirá está destinado inicialmente. Para el puerto hacia delante en
WAN, en la mayoría de los casos esto es Dirección WAN. Cuando múltiples direcciones IP públicas están disponibles, puede ser una dirección IP virtual (ver Las
direcciones IP virtuales ) En la WAN.
rango de puerto de destino El puerto de destino original del trá fi co, ya que está entrando a través de Internet,
antes de que sea redirigido a la específica ed host de destino. Si la transmisión de un solo puerto, introducirla en el desde el puerto caja y dejar el
Hacia el puerto cuadro en blanco. Una lista de los servicios comunes está disponible para elegir en los cuadros desplegables en este grupo. alias
puertos también se pueden utilizar aquí para enviar un conjunto de servicios. Si se utiliza un alias aquí, el mismo alias debe ser utilizado como el Redirigir
puerto de destino. Redirigir destino IP La dirección IP donde se enviará trá fi co, o técnicamente redirigido. un alias
aquí, pero el alias debe contener solamente una dirección única. Si el alias contiene varias direcciones, el puerto será enviada a cada host,
alternativamente, que no es lo que la mayoría de la gente quiere. Para la carga de configuración de equilibrio para un puerto a varios servidores
internos, véase Servidor de equilibrio de carga .
Redirigir puerto de destino Cuando el rango de puertos remitido comenzará. Si se reenvía un intervalo de puertos, por ejemplo,
19000 a 19100, sólo el punto de partida local es específico ed ya que el número de puertos debe coincidir con uno-a-uno.
Este campo permite abrir un puerto diferente en el exterior que el anfitrión en el interior está escuchando. Por ejemplo puerto externo
8888 puede remitir a puerto local 80 para HTTP en un servidor interno. Una lista de los servicios comunes está disponible para elegir en
el cuadro desplegable.
alias puertos también se pueden utilizar aquí para enviar un conjunto de servicios. Si se utiliza un alias aquí, el mismo alias debe ser utilizado como el intervalo
de puertos de destino.
212 Capítulo Traducción de Direcciones de Red 13.

Descripción Al igual que en otras partes de pfSense, este campo está disponible para una corta acerca de lo que el puerto
hacia adelante hace o por qué existe.
Sin sincronización XML-RPC Esta opción sólo es relevante si una con fi guración HA Cluster está en uso, y debe
omitir lo contrario. Cuando se utiliza un clúster de HA con la sincronización con fi guración, comprobando de esta caja evitará que la
regla de ser sincronizado con los otros miembros de un clúster (ver Alta disponibilidad ). Normalmente todas las reglas deben
sincronizar, sin embargo. Esta opción sólo es eficaz en nodos maestros, lo hace no prevenir una regla que se sobrescriba en los
nodos esclavos.
NAT La reflexión Este tema se trata con más detalle más adelante en este capítulo ( NAT La reflexión ). Esta opción permite la reflexión a activar o
desactivar una base por regla para reemplazar el valor predeterminado global. Las opciones de este campo se explican con más detalle en NAT
La reflexión .
Filtro Asociación Regla Esta opción final es muy importante. Una entrada hacia adelante sólo puerto de fi ne el cual
tra fi co será redirigido, se requiere una regla de cortafuegos a fi pasar cualquier tráfico c a través de esa redirección. Por defecto, Añadir regla de filtro
asociado se selecciona. Las opciones disponibles son:
Ninguna Si esto se elige, no se creará una regla de cortafuego.
Añadir regla de filtro asociado Esta opción crea una regla fi cortafuegos que está vinculado a esta NAT
puerto norma de elaboración. Los cambios realizados en la regla de NAT se actualizan en la regla de cortafuego automáticamente. Esta es
la mejor opción para la mayoría de los casos de uso. Si se elige esta opción, después de que la regla se guarda un vínculo se coloca aquí,
que conduce a la regla de cortafuegos fi asociado.
Añadir regla de filtro no asociado fi Esta opción crea una regla fi cortafuegos que se separan de esta
puertos NAT hacia adelante. Los cambios realizados en la regla NAT debe cambiarse manualmente en la regla fi cortafuegos.
Esto puede ser útil si otras opciones o restricciones deben estar establecidas en la regla fi cortafuegos y no la regla NAT.
Pasar Esta opción utiliza una palabra clave PF especial en la norma de elaboración de puertos NAT que causa trá fi co
para pasar a través sin la necesidad de una regla fi cortafuegos. Debido a que no existe una regla fi cortafuegos separado, cualquier fi
tráfico c búsqueda de esta regla se reenvía en el sistema de destino.
Nota: utilizando reglas Pasar sólo funcionará en la interfaz que contiene la puerta de enlace predeterminada para el cortafuego, por lo que no
trabajar eficazmente con Multi-WAN.
Figura Port Forward Ejemplo contiene un ejemplo de la edición de avance fi puerto de pantalla llena con la configuración adecuada de entrada para reenviar HTTP en
WAN destinado a la dirección IP de la WAN al sistema interno en 10.3.0.15. después de hacer clic Salvar, la lista hacia adelante puerto se muestra de nuevo, y la entrada
recién creada estará presente en la lista, como en la figura Lista de reenvío de puerto .
Vuelva a comprobar la regla de cortafuego, como se ve en virtud Cortafuegos> Reglas en la pestaña de la interfaz sobre la que se creó hacia adelante el puerto. La regla
mostrará que tráfico c se permite en la dirección IP interna en el puerto adecuado, como se muestra en la figura
Regla Port Forward Firewall .
los Fuente de la regla generada automáticamente debe restringirse cuando sea posible. Para cosas tales como servidores de correo y web, que por lo general tienen
que ser ampliamente accesible, esto no es práctico, pero para los servicios de gestión remota como SSH, RDP y otros, no es probable que sólo un pequeño número
de hosts que debe ser capaz de conectarse utilizando los protocolos en un servidor de todo el Internet. Una práctica mucho más seguro es crear un alias de
ordenadores autorizados, y a continuación, cambiar la fuente de la alguna al alias. De lo contrario, el servidor está muy abierto a la totalidad de Internet. Pruebe el
puerto hacia adelante primero con la fuente sin restricciones, y después de comprobar que funciona, restringir la fuente si lo deseas. Si todo está correcto, el delantero
puerto funcionará cuando se prueba fuera de la red. Si algo salió mal, ver Port Forward Solución de problemas más adelante en este capítulo.
13.1. puerto reenvía 213

Fig. 13.1: Port Forward Ejemplo
Fig. 13.2: Port Forward Listado
La figura 13.3:. Regla Port Forward Firewall

Seguimiento de los cambios a puerto reenvía
Como se ha mencionado en la figura Sellos de reglas de cortafuegos Tiempo para las reglas de cortafuego, se añade una marca de tiempo a un puerto de entrada hacia adelante cuando se crea o
se editó por última vez, para mostrar lo que el usuario crea la regla, y la última persona que editar la regla. Las reglas de firewall creadas automáticamente por reglas NAT asociados también están
marcadas como tales en la fecha y hora de creación de fi regla de cortafuegos asociado.
Port Forward Limitaciones
Un solo puerto sólo puede ser enviada a un host interno para cada dirección IP pública disponible. Por ejemplo, si una única dirección IP pública está disponible, un servidor web
interno que utiliza el puerto TCP 80 para servir de trá fi co Web puede ser con fi gurado. Servidores adicionales deben utilizar puertos alternativos tales como 8080. Si cinco
direcciones IP públicas disponibles son con fi gurada como direcciones IP virtuales, a continuación, cinco servidores web internos que utilizan el puerto 80 puede ser con fi gurado.
Ver Las direcciones IP virtuales para más información sobre direcciones IP virtuales.
Hay una excepción poco común pero a veces aplicable a esta regla. Si un puerto en particular debe ser enviada a un host interno fi específico sólo para determinadas
direcciones IP de origen, y que mismo puerto se puede reenviar a un host diferente para otras direcciones IP de origen, que es posible mediante la especificación de
la dirección de origen en las entradas de remitir el puerto, tal como en la figura Ejemplo remitir el puerto con diferentes fuentes .
Fig. 13.4: Ejemplo remitir el puerto con diferentes fuentes
Con el fin de redirecciones de puertos WAN en direcciones que se puede acceder por medio de su dirección IP WAN respectiva, interna de las interfaces que
enfrenta, NAT reflexión debe estar habilitado, que se describe en NAT La reflexión . Siempre pruebe puerto remite a un sistema en otra conexión a Internet, y no
desde dentro de la red. Probando desde un dispositivo móvil de 3G / 4G es una manera rápida y fácil para confirmar la conectividad externa.
Servicio de Auto-Con fi guración Con UPnP o NAT-PMP
Algunos programas apoyan Universal Plug-and-Play (UPnP) o protocolo de asignación de puertos NAT (NAT-PMP) de forma automática con fi gura puerto remite NAT y
reglas fi cortafuego. Incluso más problemas de seguridad se aplican allí, pero en el hogar uso de los beneficios a menudo superan cualquier preocupación potencial. Ver UPnP
y NAT-PMP para más información sobre la con fi guración y el uso de UPnP y NAT-PMP.
fi co redirección de tráfico con el puerto reenvía
Otro uso de los delanteros puerto es para la reorientación de forma transparente tráfico c de una red interna. puerto remite especificando el LAN interfaz u
otra interfaz interna se redirigir tráfico c que coincide con el interés el destino fi cado. Esto es más comúnmente utilizado para hacer proxy transparente
tráfico HTTP fi ca a un servidor proxy, o redirige todo el DNS saliente a un servidor.
Las entradas NAT mostrados en la figura Ejemplo de redireccionamiento Port Forward son un ejemplo de una con fi guración que redirigir todo el tráfico HTTP c
entrada en la interfaz de LAN a calamar (puerto 3128) en el host 10.3.0.10, pero no va a redirigir el tráfico c procedente de la propia proxy squid real. Deben estar
en el orden correcto en la lista de delanteros del puerto: La primera regla negate, entonces la redirección.
13.1. puerto reenvía 215

Fig. 13.5: Ejemplo de redireccionamiento Port Forward (negación)
Fig. 13.6: Ejemplo de redireccionamiento Port Forward

1: 1 NAT
1: 1 NAT (pronunciado “NAT uno-a-uno”) mapea una dirección IPv4 externa (por lo general pública) a una dirección IPv4 interna (por lo general privado). Todo
el trá fi co procedente de esa dirección IPv4 privada va a la Internet se asignará por 1: 1 NAT para la dirección IPv4 pública se define en la entrada, anulando
la salida NAT con fi guración. Todo el tráfico c iniciada en Internet destinado a la especificidad ed dirección IPv4 pública en la asignación será traducido a la
dirección IPv4 privada, entonces evaluada en el conjunto de reglas fi cortafuegos WAN. Si la comparación de trá fi co es permitido por las reglas fi cortafuego a
un objetivo de la dirección IPv4 privada, se pasa al host interno.
1: 1 NAT también se puede traducir subredes enteras, así como las direcciones individuales, siempre que sean del mismo tamaño y se alinean en los límites apropiados de subred.
Los puertos en una conexión permanecen constantes con 1: 1 NAT; Para las conexiones de salida, los puertos de origen usados por el sistema local se conservan, similar al
uso de puerto estático en las reglas de NAT salientes.
Los riesgos de 1: 1 NAT
Los riesgos de 1: 1 NAT son en gran parte la misma que hacia delante de puerto, si las reglas fi cortafuego WAN permiten tráfico c. Cualquier regla de tiempo permiten
trá fi co, potencialmente dañino trá fi co puede ser admitido en la red local. Hay un ligero riesgo añadido cuando se utiliza 1: 1 NAT en el que los errores de reglas fi
cortafuegos puede tener consecuencias nefastas más. Con entradas remitir el puerto, trá fi co está limitada por restricciones dentro de la regla de NAT y el estado fi
cortafuegos. Si el puerto TCP 80 se abre hacia delante por una regla de puerto, entonces una regla de permitir que todos en la WAN pueda todavía sólo permitir TCP
80 en ese host interno. Si 1: 1 reglas NAT están en su lugar y un permiten que existe en toda regla de la WAN, todo en ese host interno será accesible desde Internet.
Miscon configuraciones fi son siempre un peligro potencial, y esto por lo general no deben considerarse como una razón para evitar 1: 1 NAT. Mantenga esto en mente
cuando con fi gurar reglas fi cortafuego,
Con fi gurar 1: 1 NAT
Para con fi gura 1: 1 NAT:
• Añadir una dirección IP virtual para la dirección IP pública que se utilizará para el 1: 1 entrada NAT como se describe en Las direcciones IP virtuales
• Navegar a Firewall> NAT, 1: 1 lengüeta
• Hacer clic Añadir para crear un nuevo 1: 1 de entrada en la parte superior de la lista
• Con fi gura el 1: 1 entrada NAT de la siguiente manera:
Discapacitado Controla si este 1: entrada 1 NAT está activa.
Interfaz La interfaz donde el 1: se llevará a cabo la traducción NAT 1, por lo general un tipo de inter WAN
cara.
subred IP externa La dirección IPv4 a la que el IP interna dirección será traducido a medida que entra
o sale de la Interfaz. Esto es típicamente una dirección IP virtual en IPv4 Interfaz, o una dirección IP encamina al
cortafuego a través Interfaz. IP interna La dirección IPv4 detrás del cortafuego que se traduce a la subred IP externa
dirección. Esto es típicamente una dirección IPv4 detrás de esta fi cortafuegos. El dispositivo con esta dirección debe utilizar este cortafuego como
puerta de enlace directamente (adjunto) o indirectamente (a través de ruta estática). Especificación de una máscara de subred aquí se traducirá toda la
red de adaptación de la máscara de subred. Por ejemplo, usando
xxx0 / 24 se traducirá nada en esa subred a su equivalente en la subred externa.
Destino Opcional, una restricción de red que limita el 1: entrada NAT 1. Cuando un valor está presente,
el 1: 1 NAT sólo tendrá efecto cuando trá fi co va desde el IP interna frente a la
13.2. 1: 1 NAT 217

Destino frente a la salida, o de la Destino frente a la subred IP externa

abordar en el camino en el cortafuego. El campo de destino fi apoya el uso de alias.
Descripción Una descripción de texto opcional para explicar el propósito de esta entrada.
NAT reflexión Un reemplazo para las opciones globales NAT reflexión. el uso del sistema por defecto respetará
el NAT mundial re fl exión configuración, habilitar se realice siempre NAT reflexión para esta entrada, y
inhabilitar Nunca va a hacer NAT reflexión para esta entrada. Para obtener más información sobre NAT La reflexión, véase NAT La reflexión .
Dirección IP única Ejemplo 1: 1 con fi guración
En esta sección se muestra cómo con fi gura una relación 1: 1 entrada NAT con una única dirección IP interna y externa. En este ejemplo, 198.51.100.210 es
una dirección IP virtual en la interfaz WAN. En la mayoría de los casos este será sustituido con direcciones IP públicas que trabajan. El servidor de correo en
este mapeo reside en un segmento de DMZ usando la dirección IP interna 10.3.1.15. El 1: entrada 1 NAT para mapear 198.51.100.210 a 10.3.1.15 se muestra
en la figura 1: 1 Entrada NAT .
Fig 13.7:. 1: 1 Entrada NAT
Intervalo de direcciones IP de ejemplo 1: 1 con fi guración
1: 1 NAT puede ser con fi gurada para múltiples direcciones IP públicas mediante el uso de rangos CIDR. En este ejemplo, 1: 1 NAT es con fi gurado para una gama / 30
CIDR de IPs.
Ver también:
Ver Recapitulación CIDR para más información sobre que resume las redes o grupos de direcciones IP dentro de una subred más grande, utilizando la notación CIDR.

Tabla 13.1: / 30 Mapping CIDR

Coincidencia de octeto final
IP externa IP interna
198.51.100.64/30 10.3.1.64/30
198.51.100.64 10.3.1.64
198.51.100.65 10.3.1.65
198.51.100.66 10.3.1.66
198.51.100.67 10.3.1.67
El último octeto de las direcciones IP no tiene por qué ser la misma en el interior y el exterior, pero al hacerlo hace que sea lógicamente más simple de seguir. Por
ejemplo, la tabla / 30 CIDR Mapping no coincidentes octeto final También es válido.
Tabla 13.2: / 30 CIDR Mapping no

correspondiente octeto final
IP externa IP interna
198.51.100.64/30 10.3.1.200/30
198.51.100.64 10.3.1.200
198.51.100.65 10.3.1.201
198.51.100.66 10.3.1.202
198.51.100.67 10.3.1.203
La elección de un esquema de direccionamiento, donde los partidos último octeto hace el diseño más fácil de entender y por lo tanto mantener. Figura 1: 1 entrada NAT
para / 30 CIDR gama muestra cómo con fi gura 1: 1 NAT para lograr el mapeo enumerados en la Tabla / 30 CIDR Mapeo Coincidencia octeto final .
Fig 13.8:. 1: 1 de entrada NAT para / 30 CIDR gama
13.2. 1: 1 NAT 219

1: 1 NAT en el IP WAN, también conocido como “zona de distensión” en Linksys
Algunos routers de consumo, tales como los de Cisco / Linksys tienen lo que llaman una característica de “zona de distensión” que reenviará todos los puertos y
protocolos destinados a la dirección IP de la WAN a un sistema en el LAN. En efecto, esto es de 1: 1 NAT entre la dirección WAN IP y la dirección IP del sistema
interno. “DMZ” en ese contexto, sin embargo, no tiene nada que ver con lo que una red DMZ real es en la terminología de redes reales. De hecho, es casi lo
opuesto. Un anfitrión en un verdadero DMZ está en una red aislada lejos de los otros anfitriones LAN, asegurado lejos de la Internet y LAN acoge por igual. Por el
contrario, un anfitrión “zona de distensión” en el sentido de Linksys no es sólo sobre la misma red que los anfitriones LAN, pero completamente expuesta al tráfico
entrante c sin protección.
En pfSense, 1: 1 NAT puede estar activo en la dirección IP WAN, con la advertencia de que dejará a todos los servicios que se ejecutan en el cortafuego sí inaccesible
externamente. Así 1: 1 NAT no se puede utilizar en la dirección IP WAN en los casos en que se habilitan las VPN de cualquier tipo, u otros servicios locales en el cortafuego
debe ser accesible externamente. En algunos casos, esta limitación puede ser mitigado por un delantero de puerto para los servicios alojados localmente.
Ordenamiento de NAT y Firewall de procesamiento
Comprender el orden en el que se produce fi rewalling y NAT es importante cuando las reglas de con fi guración de NAT y cortafuego. El orden lógico básico se ilustra en la
figura Ordenamiento de NAT y Firewall de procesamiento . En la figura se representa también en donde los lazos de tcpdump, ya que su uso como herramienta de solución
de problemas se describe más adelante en este libro en La captura de paquetes . Cada capa no siempre es golpeado en configuraciones típicas fi, pero el uso de reglas
flotando o NAT saliente manual u otras con fi guraciones más complicados puede golpear cada capa en ambas direcciones. El diagrama sólo cubre escenarios básicos
para entrante y saliente tráfico c.
Traf fi c de LAN a WAN se procesa como se describe en la siguiente lista más detallada. Si un tipo de normas no existen o no son iguales, que se pasan por
alto.
• Puerto hacia delante o 1: 1 NAT en la interfaz de LAN (por ejemplo proxy o DNS redirige)
• Las reglas de firewall para la interfaz LAN: reglas flotantes entrante on LAN, entonces las reglas para los grupos de interfaces, incluyendo la interfaz LAN, entonces las reglas
pestaña LAN.
• 1: 1 NAT o NAT saliente normas sobre la WAN
• reglas flotantes que coinciden salientes en la WAN
En este caso, no se aplican las reglas de puerto remite pestaña fi cortafuego WAN y WAN. Para tráfico c
iniciado en la WAN, el orden es el mismo pero la dirección se invierte:
• puerto remite o 1: 1 NAT en la interfaz WAN (por ejemplo, servicios públicos)
• Las reglas de firewall para la interfaz WAN: reglas flotantes entrante en WAN, entonces las reglas para los grupos de interfaz incluyendo la interfaz WAN, entonces las reglas de
la ficha WAN.
• 1: 1 NAT o NAT saliente normas sobre LAN
• reglas flotantes que coinciden salientes on LAN
tcpdump es siempre la primera y la última cosa para ver trá fi co, dependiendo de la dirección. En primer lugar, en la interfaz entrante antes de cualquier procesamiento NAT
y cortafuegos fi, y por último en la interfaz de salida. Se muestra lo que es en el cable. (Ver La captura de paquetes )
Ver también:
Ver Regla de procesamiento de pedidos para obtener más información sobre el orden de procesamiento de reglas fi cortafuegos.

Fig. 13.9: Orden de NAT y Firewall Processing
13.3. Ordenamiento de NAT y Firewall de procesamiento 221

Extrapolando a interfaces adicionales
El diagrama anterior y las listas solamente ilustran una implementación básica LAN y WAN dos interfaz. Cuando se trabaja con interfaces adicionales, se
aplican las mismas reglas. Trá fi co entre dos interfaces internas se comporta igual que LAN a WAN trá fi co, aunque las reglas NAT defecto no se traducirán
trá fi co entre las interfaces internas por lo que la capa de NAT no hace nada en esos casos. Si existen reglas de salida NAT ese partido trá fi co entre las
interfaces internas, se aplicará como se muestra.
Reglas para NAT
En el camino hacia una interfaz, NAT se aplica antes que las reglas fi cortafuego, así que si el destino se traduce en el camino en adelante (por ejemplo, portuarias o 1: 1
NAT en la WAN), entonces las reglas cortafuego debe coincidir con el destino traducida. En el caso típico de un puerto de reenvío a la WAN, esto significa que la regla debe
coincidir con un destino de la dirección IP privada de destino en la LAN. Por ejemplo, con un puerto hacia delante para el puerto TCP 80 en WAN con una regla de
cortafuego añadido de forma automática, la figura Regla de firewall para Port Forward al anfitrión LAN Muestra la regla cortafuego resultante sobre la WAN. La dirección IP
interna en el puerto hacia adelante es 10.3.0.15. Si el uso de puerto remite o 1: 1 NAT, reglas de cortafuego en todas las interfaces WAN deben utilizar la dirección IP interna
como destino.
Fig. 13.10: reglas de firewall para Port Forward a Host LAN
A la salida de una interfaz, de salida NAT se aplica antes que las reglas fi cortafuego, por lo que cualquier regla flotantes juego de salida en una interfaz debe coincidir
con la fuente después de que ha sido traducido por NAT saliente o 1: 1 NAT.
NAT La reflexión
NAT reflexión se refiere a la capacidad de acceder a servicios externos de la red interna utilizando la dirección IP externa (normalmente público), lo mismo que si el
cliente estuviera en Internet. Muchos rewalls fi comerciales y de código abierto no son compatibles con esta funcionalidad en absoluto. Cuando sea posible, la división
de DNS es el medio preferido para acceder a los recursos para que el cortafuego no está involucrado en el acceso a los servicios internos internamente. pfSense tiene
un buen soporte para NAT reflexión, aunque algunos entornos requieren una infraestructura DNS dividido para dar cabida a esta funcionalidad. Dividir el DNS está
cubierta al final de esta sección en DNS dividido .
Con fi gurar NAT reflexión
Para activar NAT La reflexión a nivel mundial:
• Navegar a Sistema> Avanzado sobre el Cortafuegos y NAT
• localizar el Traducción de Direcciones de Red sección de la página
• Con fi gura las opciones de reflexión NAT Re de la siguiente manera:
NAT Re modo de reflexión para el puerto reenvía Hay tres opciones disponibles para el modo de reflexión NAT Re
para los delanteros del puerto, que son:
Inhabilitar no se realizará NAT La reflexión, pero puede ser activada en función de cada regla.
NAT + Proxy Permite NAT La reflexión usando un programa de ayuda para enviar paquetes a la meta
del puerto hacia delante. Esto es útil en configuraciones donde la interfaz y / o la dirección IP de la pasarela se utiliza para
la comunicación con el objetivo no puede determinarse con precisión en el

tiempo las normas se cargan. Re no se crean reglas fl exión para su uso con el proxy para los rangos de más de 500
puertos y no serán utilizados por más de 1000 puertos en total entre todos los desvíos de puerto. Este modo no funciona
con UDP, sólo que con TCP. Debido a que este es un proxy, la dirección de origen del trá fi co, como se ve por el servidor,
es la dirección IP fi cortafuegos más cercano al servidor.
pura NAT Permite NAT La reflexión usando reglas sólo NAT en pf dirigir paquetes a la
objetivo del puerto hacia delante. Tiene mejor escalabilidad, pero debe ser posible determinar con precisión la dirección de la
interfaz y la puerta de enlace IP utilizado para la comunicación con el objetivo en el momento se cargan las reglas. No hay
límites inherentes al número de puertos que no sean los límites de los protocolos. Todos los protocolos disponibles para los
delanteros cuentan con el apoyo de puerto. Si los servidores están en la misma subred que los clientes, la Habilitar NAT
saliente automático para la reflexión opción enmascarar el origen del trá fi co por lo que fluye correctamente a través del
cortafuego.
Reflexión Tiempo de espera Esta opción sólo es relevante para NAT + Proxy de modo, y controla el tiempo que la NAT
daemon proxy transcurrir antes de cerrar una conexión. Especificar el valor en cuestión de segundos.
Habilitar NAT La reflexión de 1: 1 NAT Esta opción permite a los clientes en las redes internas para alcanzar localmente
servicios alojados mediante la conexión a la dirección IP externa de un 1: 1 entrada NAT. Para activar plenamente la función, compruebe tanto Habilitar
NAT La reflexión de 1: 1 NAT y Habilitar NAT saliente automático para la reflexión. Esta última opción sólo es necesario si los clientes y
servidores se encuentran en la misma subred.
Habilitar NAT saliente automático para la reflexión Cuando está activada, esta opción activa NAT adicional
reglas para el 1: 1 NAT reflexión y puro fl exión NATmode NAT Re para los delanteros del puerto. Estas reglas adicionales enmascaran la dirección
de origen del cliente asegurarse de respuesta de trá fi co fluye de vuelta a través del cortafuego. Sin esto, las conexiones entre el cliente y el
servidor se producirá un error que el servidor responderá directamente de vuelta al cliente utilizando su dirección IP interna. El cliente va a
interrumpir la conexión, ya que espera una respuesta de la dirección IP pública.
• Hacer clic Salvar para activar las nuevas opciones de NAT reflexión
NAT Re Advertencias reflexión
NAT reflexión es un truco, ya que los bucles de trá fi co a través del cortafuego cuando no es necesario. Debido a las limitadas opciones PF prevé la
adaptación de estos escenarios, hay algunas limitaciones en el pfSense NAT + Proxy reflexión aplicación. Intervalos de puertos de más de 500 puertos
NAT no tienen reflejo activado en modo NAT + proxy, y que el modo está también limitada a trabajar sólo con TCP. Los otros modos requieren NAT
adicional a suceder si los clientes y los servidores están conectados a la misma interfaz del cortafuego. Este NAT adicional oculta la dirección de origen
del cliente, haciendo que el trá fi co parece originarse en el cortafuego en su lugar, por lo que la conexión se puede establecer correctamente.
Dividir el DNS es la mejor manera de acomodar grandes rangos de puertos y 1: 1 NAT. El mantenimiento de una infraestructura de DNS dividido es requerido por muchos fi
comercial rewalls incluso, y por lo general no es un problema.
DNS dividido
Una alternativa preferible a NAT reflexión está desplegando una infraestructura DNS dividida. Dividir el DNS se refiere a un DNS con fi guración donde, por un nombre
de host dado, DNS de Internet público resuelve a la dirección IP pública, y DNS en la red interna se resuelve a la dirección IP interna y privada. Los medios para
conseguir esto puede variar dependiendo de la especificación CS de la infraestructura DNS de una organización, pero el resultado final es el mismo. NAT reflexión no
es necesario ya que los nombres de host a resolver las direcciones IP privadas dentro de la red y los clientes pueden llegar a los servidores directamente. Dividir el
DNS permite a los servidores de ver la verdadera dirección IP del cliente, y las conexiones entre servidores y clientes en la misma subred irá directamente, en lugar
de la participación innecesariamente el cortafuego.
13.4. NAT La reflexión 223

El único caso que no funciona correctamente con la división de DNS es cuando los números de los puertos externos e internos son diferentes. Con la división de DNS, el número de
puerto tiene que ser el mismo en ambos lugares.
De resolución de DNS Forwarder / anulaciones
Si pfSense está actuando como el servidor DNS para los hosts internos, a continuación, el anfitrión de las anulaciones en el Resolver DNS o promotor de DNS puede proporcionar la funcionalidad
de DNS dividido. Para agregar una anulación de la resolución DNS:
• Navegar a Servicios> Resolución DNS
• Hacer clic lo de abajo anulaciones de acogida para llegar a la página de opciones del host Override
• Con fi gura la anulación de acogida, según sea necesario, utilizando la dirección IP interna del servidor. Ver anulaciones de acogida . Figura
Añadir resolución de DNS de anulación para example.com muestra un ejemplo de una anulación de DNS para example.com y
www.example.com.
Fig. 13.11: Añadir resolución de DNS de anulación para example.com
El DNS Forwarder funciona de forma idéntica en este sentido. Si el Forwarder DNS está activado en lugar de la resolución DNS, agregue las anulaciones de allí.
Se requiere un reemplazo para cada nombre de host en uso detrás del cortafuego.
Los servidores DNS internos
Cuando se utiliza un servidor DNS independiente en una red interna, tales como Microsoft Active Directory, las zonas deben ser creados por el administrador del
servidor DNS para todos los dominios alojados dentro de la red, junto con todos los demás registros de los

dominios (A, CNAME, MX, etc.).
En entornos que ejecutan el servidor DNS BIND en el DNS público está alojado en el mismo servidor que el DNS privada, vistas de BIND característica se utiliza para
resolver DNS diferente para hosts internos que las externas. Otros servidores DNS pueden apoyar una funcionalidad similar. Comprobar su documentación para
obtener información.
NAT salientes
De salida NAT, también conocido como Fuente NAT, pfSense controla cómo se traducirá la dirección de origen y los puertos de trá fi co dejando una interfaz.
Para con fi gura de salida NAT, vaya a Firewall> NAT, sobre el saliente lengüeta. Hay cuatro posibles modos para la salida de NAT:
Automático de salida NAT La opción por defecto, que realiza automáticamente NAT de inter interna
caras, tales como LAN, a las interfaces externas, tales como WAN.
Híbrido de salida NAT Utiliza las reglas manuales mientras que también el uso de reglas automáticas para tráfico c No corresponde
por reglas introducidas manualmente. Este modo es el más flexible y fácil de usar para los administradores que necesitan un poco de control
adicional, pero no quieren para gestionar toda la lista manualmente.
Manual de salida NAT Logros las reglas introducidas manualmente, y nada más. Ofrece la mayor parte
control, pero puede ser difícil de manejar y los cambios realizados en las interfaces internas o WAN deben tenerse en cuenta en las
reglas de la mano. Si la lista está vacía cuando se cambia de automático a manual, la lista se rellena con normas equivalentes al
conjunto generado automáticamente.
Desactivar la salida NAT Desactiva todos los NAT saliente. Es útil si el cortafuego contiene sólo ad- enrutable
vestidos (por ejemplo, direcciones IP públicas) en todas las redes LAN y WAN. Al cambiar el Modo Valor,
haga clic en el Salvar botón para almacenar el nuevo valor.
En redes con una única dirección IP pública por la WAN, por lo general hay ninguna razón para activar NAT saliente manual. Si algún control manual es necesario, el
modo híbrido es la mejor opción. En los entornos con múltiples direcciones IP públicas y requisitos complejos NAT, de salida manual de NAT ofrece más fi el control
de grano fino sobre todos los aspectos de la traducción. Para entornos de alta disponibilidad utilizando con la carpa, es importante NAT trá fi co de salida a una
dirección CARP VIP, como se discutió en Alta disponibilidad . Esto se puede lograr en cualquier híbrido o el modo manual. Al igual que con otras reglas de pfSense,
reglas NAT salientes son considerados desde la parte superior de la lista de abajo, y se usa el primer partido de fi. Incluso si las reglas están presentes en la pantalla
de salida NAT, que no serán aceptadas a menos que el Modo se establece en
Híbrido de salida NAT o NAT de salida manual.
Nota: NAT saliente sólo controla lo que ocurre con trá fi co ya que deja una interfaz. Lo hace no controlar la interfaz a través del cual tráfico c saldrá del cortafuego. Eso está en
manos de la tabla de enrutamiento ( Rutas estáticas ) O encaminamiento de políticas ( la política de enrutamiento ).
Por defecto Reglas de salida NAT
Cuando se establece en el valor por defecto Automático de salida NAT modo, pfSense mantiene un conjunto de reglas de NAT para traducir tráfico c dejar cualquier
red interna a la dirección IP de la interfaz WAN que las fi c hojas TRAF. redes de rutas estáticas y las redes VPN de acceso remoto también se incluyen en las reglas
NAT automáticas. Cuando saliente NAT es con fi gurado para Automático o Híbrido modos, las reglas automáticas se presentan en la sección inferior de la pantalla
con la etiqueta Reglas automáticas.
Si la lista de reglas de salida NAT está vacía, el cambio a Manual de salida NAT y el ahorro va a generar un conjunto completo de normas equivalentes a las reglas
automáticas.
13.5. NAT salientes 225

puerto estático
Por defecto, pfSense reescribe el puerto de origen en todas las conexiones salientes, excepto para el puerto UDP 500 (IKE para VPN trá fi co). Algunos sistemas
operativos hacen un mal trabajo de la aleatorización de puerto de origen, si lo hacen en absoluto. Esto hace que la dirección IP spoo fi ng fácil y hace que sea posible fi
huella digital alberga detrás del cortafuego de su salida trá fi co. Reescribir el puerto de origen elimina estos potenciales (aunque improbable) vulnerabilidades de
seguridad. reglas NAT salientes, incluyendo el
reglas automáticas, mostrarán en el puerto estático columna de reglas establecidas para aleatorizar el puerto de origen.
puerto de origen aleatorización rompe algunas aplicaciones raras. El valor por defecto de salida automática NAT conjunto de reglas desactiva el puerto
aleatorización fuente de UDP 500, ya que casi siempre se rompe por reescribir el puerto de origen. saliente
reglas NAT que preservan el puerto fuente original se denominan puerto estático reglas y tienen en el estado en el Estático
Puerto columna. Todos los demás trá fi co tiene el puerto de origen reescrito por defecto.
Otros protocolos, como los utilizados por las consolas de juegos, pueden no funcionar correctamente cuando se reescribe el puerto de origen. Para desactivar esta funcionalidad, utilice el puerto
estático opción. Para añadir una regla para un dispositivo que requiere puertos de origen estáticas:
• Navegar a Firewall> NAT, Saliente lengüeta
• Seleccionar Híbrido de salida NAT generación de reglas
• Hacer clic para añadir una nueva regla de NAT a la parte superior de la lista
• Con fi gura la regla para que coincida con el trá fi co que requiere puerto estático, como una dirección de origen de un PBX o una consola de juegos (Ver Trabajar
con Manual salientes reglas NAT abajo)
• Comprobar puerto estático en el Traducción sección de la página
Después de hacer ese cambio, se conservará el puerto de origen en el tráfico saliente fi c juego la regla. La mejor práctica es utilizar reglas estrictas cuando se utiliza el puerto
estático para evitar cualquier posible conflicto si dos anfitriones locales utilizan el mismo puerto de origen para hablar con el mismo servidor remoto y el puerto utilizando la
misma dirección IP externa.
Desactivación de salida NAT
Si se utilizan direcciones IP públicas en las interfaces locales, y por lo tanto no se requiere NAT para pasar trá fi co a través del cortafuego, desactivar NAT para enrutar
la subred. Esto se puede lograr de varias maneras:
• Si NAT no es necesario para cualquier interfaz, establecer el modo NAT saliente a Inhabilitar
• El uso de híbridos de salida NAT, con un conjunto de reglas No hacer NAT puede desactivar NAT para hacer coincidir tráfico c
• Utilizar el manual de salida NAT, eliminar (o no crean) cualesquiera reglas NAT que coinciden con las subredes que puedan establecerse rutas en cualquiera de los casos anteriores,
de salida NAT ya no estarán activas para aquellas direcciones IP de origen y pfSense direccionará entonces direcciones IP públicas sin necesidad de traducción.
Trabajar con Manual salientes reglas NAT
reglas NAT salientes son muy flexibles y son capaces de traducir trá fi co de muchas maneras.

Las reglas NAT se muestran en una sola página y la Interfaz columna es una fuente de confusión para algunos; Como tráfico c deja una interfaz, sólo las reglas
NAT salientes fijados para que específica Interfaz son consultados.
Hacer clic desde la página de salida NAT para añadir una regla a la parte superior de la lista. Hacer clic añadir una regla a la parte inferior.
Coloque normas especí fi cas en la parte superior, y las reglas más generales en la parte inferior. Las reglas son procesadas por el cortafuego a partir de la parte superior de la lista y trabajando
hacia abajo, y la primera regla fi para que coincida se utiliza. Las reglas pueden ser reordenados para que coincida con la forma deseada.
Las opciones para cada regla de salida NAT son:
Discapacitado Alterna si esta regla está activa.
No hacer NAT Al activar esta opción hace que los paquetes que coincidan con la regla no NAT tiene que aplicar como
salir. Esto es necesario si el trá fi co de otro modo que coincida con una regla de NAT, pero no debe tener NAT AP- ejercía. Un uso común para esto es
agregar una excepción de la regla de manera que las direcciones IP fi cortafuego no reciben NAT aplicados, especialmente en el caso de la carpa, donde
tales NAT romper la comunicación por Internet desde un nodo secundario mientras está en el modo de copia de seguridad.
Interfaz La interfaz donde se aplicará esta regla cuando NAT trá fi co se va a través de esta interfaz. Típicamente
este Iswan o un OPTWAN, pero en algunos casos especiales que podrían ser LAN u otra interfaz interna.
Protocolo En la mayoría de los casos, de salida NAT se aplicará a alguna protocolo, pero a veces es necesario
restringir el protocolo sobre el cual el NAT actuará. Por ejemplo, sólo para realizar puerto estático NAT para UDP tráfico c de un PBX.
Fuente La Fuente es la red local que se habrá traducido su dirección ya que deja el seleccionado
Interfaz. Esto es típicamente una subred LAN, DMZ, o VPN. El puerto de origen casi siempre se deja en blanco para que coincida con todos los puertos.
Este campo es compatible con el uso de alias si el Tipo se establece en Red.
Nota: Evitar el uso de una dirección de origen de alguna como que también coincidirá con trá fi co de la fi cortafuegos en sí. Esto causará problemas
con vigilancia de puerta de enlace y otra fi cortafuegos iniciada tráfico c.
Destino En la mayoría de los casos, el Destino permanece establecido a alguna de manera que tra fi co ir a ninguna parte de
esta Interfaz serán traducidos, pero el destino puede ser restringido, según sea necesario. Por ejemplo, para traducir de una manera determinada
cuando se va a un destino específico, por ejemplo, sólo haciendo puerto estático NAT para direcciones SIP tronco. Este campo es compatible con el
uso de alias si el Tipo se establece en Red.
Traducción los Dirección campo interior de la Traducción sección controla lo que ocurre con la fuente
dirección del tráfico coincidiendo esta regla c. Por lo general, esto se establece en interfaz Dirección por lo que el trá fi co se traduce a la dirección
IP Interfaz, por ejemplo, la dirección IP WAN. los Dirección desplegable también contiene todas las direcciones IP de fi ne virtuales, alias de host, y otra
subred para introducir manualmente una subred para la traducción.
Nota: Un alias que contiene subredes no se puede utilizar para la traducción. Sólo el anfitrión de alias o una sola subred introducida manualmente puede
ser utilizado.
El uso de un alias de host o subred introducida manualmente, una regla de NAT saliente puede traducir a un grupo de direcciones. Esto puede ayudar
en grandes implementaciones NAT o en áreas donde se requiere puerto estático para varios clientes. Cuando se traduce a un alias de host o subred,
una Opciones de la piscina desplegable está disponible con varias opciones. Solamente round Robin tipos trabajan con los alias de host. Cualquier tipo
se puede utilizar con una subred.
Defecto ¿No definen ningún algoritmo específico para la selección de una dirección de la traducción
piscina.
round Robin Recorre cada dirección de traducción potencial en el alias o subred en

giro.
13.5. NAT salientes 227

Round Robin con pegajoso Dirección Funciona igual que round Robin pero mantiene la
misma dirección de traducción de una dirección de origen determinado, siempre y cuando los estados de la fuente de acogida existen.
Aleatorio Selecciona una dirección de traducción para el uso de la subred de forma aleatoria.
Al azar con pegajoso Dirección Selecciona una dirección al azar, pero mantiene la misma
Traducción de direcciones de una dirección de origen determinado, siempre y cuando los estados de la fuente de acogida existen.
fuente Hash Utiliza un hash de la dirección de origen para determinar la dirección de la traducción, en-
suring que la dirección traducida es siempre el mismo para una dirección IP determinada fuente.
máscara de bits Se aplica la máscara de subred y mantiene la última porción idéntica. Por ejemplo si el
dirección de origen es 10.10.10.50 y la subred traducción es 192.2.0.0/24, la regla va a cambiar la dirección
de 192.2.0.50. Esto funciona de manera similar a 1: 1 NAT, pero sólo en la dirección de salida.
Puerto Especi fi ca un específico fuente puerto para la traducción. Esto casi siempre se deja en blanco, pero podría ser necesario
si el cliente selecciona un puerto de origen al azar, pero el servidor requiere un puerto de origen especí fi co.
puerto estático Hace que el puerto de la fuente original del trá fi co cliente que se mantiene después de la dirección IP de origen
ha sido traducido. Algunos protocolos requieren esto, como IPsec sin NAT-T, y algunos protocolos se comportan mejor con esto,
como SIP y RTP. Al activar esta opción desactiva la Puerto cuadro de entrada.
Sin sincronización XML-RPC Esta opción sólo es relevante si una con fi guración HA Cluster está en uso, y debe
omitir lo contrario. Cuando se utiliza un clúster de HA con la sincronización con fi guración, comprobando de esta caja evitará que la
regla de ser sincronizado con los otros miembros de un clúster (ver Alta disponibilidad ). Normalmente todas las reglas deben
sincronizar, sin embargo. Esta opción sólo es eficaz en nodos maestros, lo hace no prevenir una regla que se sobrescriba en los
nodos esclavos.
Descripción Una referencia de texto opcional para explicar el propósito de esta regla. Estas reglas pueden
acomodar a casi cualquier escenario NAT, grande o pequeña.
Seguimiento de los cambios a las reglas de NAT salientes
Como se ha mencionado en la figura Sellos de reglas de cortafuegos Tiempo para las reglas de cortafuego, se añade una marca de tiempo a un saliente de entrada NAT que
indica cuándo se creó o modificados por última vez. Esta marca de tiempo muestra el usuario que creó la regla, y la última persona que editar la regla. Cuando se cambia de
modo automático de salida NAT para el modo NAT de salida manual, las reglas creadas se marcan como ser creado por ese proceso.
La elección de una fi guración Con NAT
La mejor fi guración NAT con un despliegue determinado depende principalmente del número de direcciones IP públicas disponibles y el número de servicios
locales que requieren acceso entrante desde Internet.
Única dirección IP pública por la WAN
Cuando sólo una única IP pública por la WAN está disponible, las opciones de NAT son limitadas. 1: 1 reglas NAT se puede utilizar con direcciones IP WAN, pero que pueden tener
inconvenientes. En este caso, sólo se recomienda el uso de redirecciones de puertos.

Múltiples direcciones IP públicas por la WAN
Cuando varias direcciones IP públicas están disponibles por la WAN, numerosas opciones están disponibles para la entrada y salida de NAT con fi guración. Puerto
hacia delante, 1: 1 NAT, y el híbrido o Manual de salida NAT puede todo ser deseable, dependiendo de las necesidades del sitio.
NAT y Protocolo de compatibilidad
Algunos protocolos no funcionan bien con NAT y otros no van a funcionar. protocolos problemáticas incrustar direcciones IP y / o números de puerto dentro de los
paquetes (por ejemplo, SIP y FTP), algunos no funcionan correctamente si se reescribe el puerto de origen (SIP desde una PBX, IPsec), y algunos son difíciles
debido a las limitaciones de pf (PPTP ). Esta sección cubre una muestra de protocolos que tienen di fi cultades con NAT en pfSense, y cómo evitar estos
problemas cuando sea posible.
FTP
FTP plantea problemas con ambos rewalls NAT y fi Debido al diseño del protocolo. FTP fue diseñado inicialmente en la década de 1970, y la
corriente estándar de fi nir las especificaciones del protocolo fue escrito en 1985. Desde FTP fue creado más de una década antes de la NAT, y
mucho antes de rewalls fi eran comunes, actúa de maneras que son muy antipáticos hacia NAT y rewalls fi.
pfSense no incluye un proxy FTP por defecto, pero hay un proxy cliente disponible como un paquete adicional.
Limitaciones FTP
Debido PF carece de la capacidad para manejar adecuadamente FTP trá fi co sin un proxy, y la implementación de paquetes de proxy FTP es un poco deficiente,
hay algunas restricciones en el uso de FTP.
servidores FTP detrás de NAT
Para los servidores FTP detrás de NAT, todos los puertos correspondientes deben ser enviados de forma manual en el servidor y se dejan en las reglas fi cortafuego. O en el caso de 1:
1 NAT, sólo las normas de cortafuego son necesarios. Dependiendo del modo de FTP, software de servidor y software del cliente, también puede ser necesaria alguna con fi guración
del servidor.
modos de FTP
FTP puede actuar en múltiples modos que cambian el comportamiento del cliente y el servidor, y de qué lado está escuchando las conexiones entrantes. Las
complicaciones de la NAT y reglas de cortafuego dependen de estos modos y si un cliente remoto está intentando llegar a un servidor detrás de pfSense, o si un
cliente detrás pfSense está intentando llegar a un servidor remoto.
Modo activo
Con el modo activo de FTP, cuando se solicita una transferencia de archivo, el cliente escucha en un puerto local y luego le dice al servidor la dirección IP del cliente y el
puerto. El servidor se conectará de nuevo a esa dirección IP y el puerto con el fin de transferir los datos. Esto es un problema para rewalls fi debido a que el puerto suele
ser aleatoria, aunque los clientes modernos permiten la limitación de la gama que se utiliza. En el caso de un cliente detrás de NAT, la dirección IP dada sería una dirección
local, inalcanzable desde el servidor. No sólo eso, sino que tendría que ser añadido junto con un puerto hacia adelante permitiendo trá fi co en este puerto una regla de
cortafuego.
13.7. NAT y Protocolo de compatibilidad 229

Cuando el paquete proxy FTP está en uso y un cliente está detrás de pfSense se conecta a un servidor remoto, el proxy intenta hacer tres cosas importantes: En primer
lugar, se volverá a escribir el comando FTP PORT de modo que la dirección IP es la dirección IP WAN del cortafuego, y un puerto elegido al azar en esa dirección IP. A
continuación, se añade un puerto hacia adelante que conecta la dirección IP traducida y puerto a la dirección IP original y el puerto especi fi cado por el cliente FTP. Por
último, permite trá fi co desde el servidor FTP para conectarse a ese puerto “público”. Con Multi-WAN, el representante sólo funcionará en la WAN que contiene la puerta
de enlace predeterminada.
Cuando todo está funcionando correctamente, todo esto ocurre de forma transparente. El servidor nunca sabe que está hablando con un cliente detrás de NAT, y el
cliente no sabe que el servidor no se conecta directamente.
En el caso de un servidor detrás de NAT, modo activo no suele ser un problema, ya que el servidor sólo estará escuchando las conexiones en los puertos
FTP estándar y luego hacer las conexiones de salida de nuevo a los clientes. Las reglas fi cortafuego salientes deben permitir que el servidor para hacer las
conexiones de salida arbitrarias, y las normas no deben ruta política de esas conexiones fuera de una WAN que no sea el que acepta la conexión FTP
entrante.
Modo pasivo
El modo pasivo (PASV) actúa un poco a la inversa. Para los clientes, es más NAT y cortafuegos fi amigable ya que el servidor escucha en un puerto cuando se solicita una
transferencia de archivo, no el cliente. Por lo general, el modo PASV funcionará para los clientes FTP detrás de NAT sin utilizar ningún proxy o un tratamiento especial en
absoluto.
Similar a la situación en el apartado anterior, cuando un cliente solicita modo PASV el servidor va a proporcionar al cliente su dirección IP y un puerto aleatorio al que
el cliente puede intentar conectarse. Dado que el servidor está en una red privada, tendrán que ser traducido y permitido a través del cortafuego que la dirección IP y el
puerto. Ver Los servidores FTP y el puerto hacia adelante a continuación los requisitos de la regla. El servidor FTP debe proporcionar la dirección IP pública a la que se
conectan los clientes, pero algunos clientes como Filezilla son lo suficientemente inteligentes como para ignorar una determinada dirección IP si es privada, y se
conectará a la dirección IP original del servidor en su lugar.
Modo pasivo extendido
Extended modo pasivo (EPSV) funciona de forma similar al modo PASV pero hace que las asignaciones para el uso de IPv6. Cuando un cliente solicita una transferencia, el
servidor responderá con el puerto al que el cliente debe conectarse. Las mismas advertencias para los servidores en modo PASV se aplican aquí.
Los servidores FTP y el puerto hacia adelante
Para los servidores FTP que proporcionan a los clientes el modo pasivo, la con fi guración del servidor FTP debe de definir un rango de puertos pasiva y también debe establecer
la dirección NAT externa, normalmente la dirección IP WAN del cortafuego. Los medios de establecer estos valores varían dependiendo de la implementación del software de
servidor FTP. Consulte la documentación del servidor FTP para obtener más información. En el cortafuego, el rango de puertos pasiva debe ser enviada con puerto remite junto
con el puerto TCP 21. Para los servidores FTP modo activo que proporcionan a los clientes, un delantero de puerto sólo se requiere para el puerto TCP 21.
Servidores FTP y 1: 1 NAT
Con 1: 1 NAT, las reglas de cortafuego deben permitir el puerto 21 y el rango de puertos pasiva.
TFTP
TCP estándar y UDP tráfico c iniciados conexiones a hosts remotos usando un puerto de origen aleatorio en el intervalo de puertos efímeros, que varía según el
sistema operativo, pero cae dentro de 1024-65535, y el puerto de destino del protocolo en uso.

Respuestas del servidor al cliente inversa que: El puerto de origen es el puerto de destino del cliente, y el puerto de destino es el puerto de origen del cliente.
Esta es la forma asociados pf La respuesta de trá fi co con conexiones iniciadas desde el interior de una red. TFTP (Trivial File Transfer Protocol) no se sigue
esta convención, sin embargo. El estándar de fi nir TFTP, RFC

1350, especi fi que la respuesta del servidor TFTP al cliente se obtiene de un número de puerto pseudo-aleatorio. El cliente TFTP puede elegir un puerto de
origen 10325 (como ejemplo) y utilizar el puerto de destino para TFTP, puerto 69. El servidor para otros protocolos enviará entonces la respuesta a través de
puerto de origen y puerto de destino 69 10325. Desde TFTP en su lugar utiliza una puerto de origen seudo-aleatoria, la respuesta de trá fi co no coincidirá con el
PF estado ha creado para este trá fi co. De ahí que las respuestas serán bloqueados, ya que parecen ser solicitado trá fi co de Internet.
TFTP no es un protocolo que se utiliza comúnmente a través de Internet. La única situación que en ocasiones llega hasta donde esto es un problema es con algunos teléfonos IP
que se conectan a los proveedores de VoIP externos en Internet a través de TFTP para tirar con guración fi y otra información. La mayoría de los proveedores de VoIP no
requieren esto.
Si TFTP tráfico c debe pasar a través del cortafuego, un proxy TFTP está disponible, que es con fi gurado bajo Sistema> Ad avanzadas sobre el Cortafuegos y NAT lengüeta.
Ver TFTP Proxy para más información.
PPTP / GRE
Las limitaciones con PPTP en pfSense son causados por limitaciones en la capacidad de PF a NAT el protocolo GRE. Como tal, las limitaciones se aplican a
cualquier uso del protocolo GRE, sin embargo PPTP ha sido el uso más común de GRE en la naturaleza.
El código de seguimiento del estado en pf para el protocolo GRE sólo puede realizar un seguimiento de una única sesión por dirección IP pública por un servidor
externo. Esto significa que si una conexión PPTP VPN está en su lugar, sólo una máquina interna puede conectar simultáneamente a la misma un servidor PPTP en
Internet. Mil máquinas pueden conectarse simultáneamente a un millar de servidores PPTP diferentes, pero sólo uno a la vez a un solo servidor. Un solo cliente también
puede conectarse a un número ilimitado de servidores PPTP fuera.
El único trabajo disponible todo es utilizar varias direcciones IP públicas en el cortafuego, uno por cada cliente a través de salida o 1: 1 NAT, o utilizar varias
direcciones IP públicas en el servidor PPTP externa. Esto no es un problema con otros tipos de conexiones VPN.
Debido a la seguridad impresionado extremadamente fl en PPTP (Ver Advertencia PPTP ), incluyendo un compromiso completo de todo el protocolo, su uso debe
interrumpirse tan pronto como sea posible, por lo que este tema no es relevante dadas las normas de seguridad actuales.
Juegos en línea
Juegos normalmente son NATs, aparte de un par de advertencias. Esta sección se refiere tanto a los juegos de PC y sistemas de juegos de consola con
capacidades en línea. Esta sección proporciona una visión general de las experiencias de numerosos usuarios pfSense. Visita el tablero de juego en el pfSense foro de
encontrar más información.
puerto estático
Algunos juegos no funcionan correctamente a menos puerto estático está activado en las reglas de NAT salientes. Si un juego tiene problemas para establecer una conexión,
el mejor que se puede tratar primero está permitiendo puerto estático para el trá fi co de una consola. Ver
puerto estático para más información.
Múltiples jugadores o dispositivos detrás de un dispositivo NAT
Algunos juegos tienen temas en los que varios jugadores o dispositivos están detrás de un único dispositivo NAT. Estos problemas parecen ser específico para NAT, no pfSense,
ya que los usuarios que han probado otros rewalls fi experimentan los mismos problemas con ellos también.
13.7. NAT y Protocolo de compatibilidad 231

Buscar en el tablero de juego en el pfSense foro para el juego o el sistema de información fi nd de otras personas con experiencias similares.
Superar los problemas de NAT con UPnP
Muchos sistemas de juego actuales son compatibles con Universal Plug-and-Play (UPnP) para con fi gurar automáticamente cualquier puerto remite NAT requeridas y las normas fi
cortafuego. Activación de UPnP en pfSense normalmente permitirá juegos para trabajar con poca o ninguna intervención. Ver UPnP y NAT-PMP para más información sobre la con fi
guración y el uso de UPnP, y para obtener información acerca de los posibles problemas de seguridad.
IPv6 Red Pre fi x Traducción (TNP)
Red Pre fi x traducción, o NPT por sus siglas, funciona de manera similar a 1: 1 NAT, pero opera en direcciones IPv6 en su lugar. NPT puede encontrarse en Firewall> NAT
sobre el NPT lengüeta. NPT
realiza una pre fi x y la traduce a otro. Asi que 2001: db8: 1111: 2222 :: / 64 se convierte
2001: db8: 3333: 4444 :: / 64 y aunque los pre fi x cambia, el resto de la dirección será identi cal para un equipo dado en esa subred.
Hay unos cuantos fines de NPT, pero muchos cuestionan su utilidad real. Con TNP, el espacio de IPv6 “privado” ( FC00 :: / 7) puede ser utilizado en una LAN y
puede ser traducido por TNP a un público, enrutado, IPv6 prefijo x como viene y pasa a través de una WAN. La utilidad de esto es discutible. Un uso es para
evitar la renumeración de la LAN si los proveedores externos cambian, sin embargo, ya que cualquier cosa externa que buscó el pre fi edad x también debe ser
ajustada, la utilidad de que puede pasar cualquier cosa, especialmente cuando la con fi guración debe tener en cuenta para evitar colisiones en el FC00 :: / 7 espacio
para túneles VPN.
NPT tiene mucho sentido para las implementaciones IPv6 SOHO Multi-WAN. La probabilidad de que un hogar o el usuario final de la pequeña empresa tendrán su propio
espacio IPv6 independientes del proveedor y una alimentación BGP es muy pequeño. En estos casos, el cortafuego puede utilizar un pre fi x enrutado desde múltiples
redes WAN a funcionar de manera similar a Multi-WAN en IPv4. Como trá fi co deja la segunda WAN procedente de la subred LAN, NPT lo traducirá a la dirección IP
equivalente en la subred enviado para que la WAN. La LAN se puede utilizar ya sea uno de los prefijos enrutados y hacer NPT en las otras redes WAN, o utilizar las
direcciones de
FC00 :: / 7 y hacer NPT en todas las redes WAN. Se recomienda evitar el uso de la FC00 :: / 7 espacio para esta tarea. Para obtener más información sobre Multi-WAN con
IPv6, consulte Multi-WAN para IPv6 . Cuando añada una entrada NPT, hay pocas opciones a considerar como TNP es bastante básico:
Discapacitado Alterna si esta regla se utiliza activamente.
Interfaz Selecciona la interfaz donde esta regla TNP entre en vigor a las salidas de trá fi co.
Interna IPv6 Prefijo x El local (por ejemplo LAN) de subred IPv6 y pre longitud fi x, típicamente el / 64 en LAN o
otra red interna.
Destino IPv6 Prefijo x La subred IPv6 externo enrutado y pre longitud fi x a la que los IPv6 internos
será traducido pre fi jo. Esto es NO el pre fi x de la propia WAN. Debe ser una red enrutada a este fi cortafuegos a través Descripción de
la interfaz Una breve descripción de la finalidad para esta entrada. Figura Ejemplo TNP muestra una regla TNP en la subred LAN IPv6 2001: db8:
1111: 2222 :: / 64 se RELAClONADAS trans a 2001: db8: 3333: 4444 :: / 64 ya que deja la interfaz HENETV6DSL.

Fig. 13.12: NPT Ejemplo
13.8. IPv6 Red Pre fi x Traducción (TNP) 233

NAT puede ser un animal complejo y en todo menos en los entornos más básicas no están obligados a haber problemas obteniendo un buen trabajo con fi guración. Esta
sección repasará algunos problemas comunes y sugerencias sobre la forma en que potencialmente pueden ser resueltos.
Ver también:
Los clientes con una pfSense Suscripción Oro puede acceder al Hangouts Archivo para ver el Hangouts se pueden 2016 para NAT en pfSense 2.3, el lugar de reunión
de junio de 2016 Conectividad de solución de problemas, y la conversación de diciembre de 2013 en Port Forward Solución de problemas, entre otros.
Port Forward Solución de problemas
Puertos Delanteros en particular, puede ser complicado, ya que hay muchas cosas que van mal, muchos de los cuales podrían estar en la con fi guración del cliente y no pfSense. La
mayoría de los problemas que encuentran los usuarios no han sido resueltos por una o más de las siguientes sugerencias.
Puerto de entrada hacia adelante incorrectos
Antes de cualquier otra tarea de resolución de problemas, verificar los ajustes para el puerto hacia adelante. Ir sobre el proceso de Añadiendo puerto reenvía de nuevo, y vuelve a
comprobar que los valores son correctos. Recuerde, si se cambian la dirección IP NAT o los puertos, la regla de cortafuego también puede ser necesario ajustar si no se eligió
una regla de cortafuegos fi vinculado. cosas comunes para verificar si hay:
• interfaz correcta: Por lo general, WAN, o donde trá fi co entrará en el cortafuego.
• Corregir NAT IP: La dirección IP debe ser accesible desde una interfaz en el cortafuego.
• rango de puerto correcto: Debe corresponder al servicio está remitiendo.
• puerto de origen y la fuente casi siempre se debe establecer en alguna.
regla de cortafuegos que falta o incorrecta fi
Después de comprobar la configuración de reenvío de puerto, verifique que la regla fi cortafuegos tiene la configuración adecuada. Una regla de cortafuegos fi incorrecto también
sería evidente mediante la visualización de los registros de fi cortafuego ( Visualización de la Registros de firewall ). Recuerde, el destino de la regla fi cortafuegos es la dirección IP
interna del sistema de destino y no la dirección de la interfaz que contiene el puerto hacia adelante. Ver Reglas para NAT para más detalles.
Firewall está habilitado en el equipo de destino
Otra cosa a considerar es que pfSense puede reenviando el puerto correctamente, pero un cortafuego en la máquina destino puede estar bloqueando el tráfico c. Si
hay un cortafuego en el sistema de destino, comprobar sus registros y ajustes para confirmar si o no el tráfico c está siendo bloqueado en ese punto.
pfSense no es la puerta de enlace de sistema de destino
Con el fin de pfSense que transmita adecuadamente un puerto para un sistema local, pfSense debe ser la puerta de enlace predeterminada para el sistema de
destino. Si pfSense no es la puerta de entrada, el objetivo systemwill intenta enviar respuestas redirigir puertos de trá fi co a cabo cualquier sistema es la puerta de
entrada, y luego una de dos cosas sucederá: Se dejó caer en ese punto ya no habría estado de conexión correspondiente router o que hubiera NAT aplicada por
ese router y luego se dejó caer por el

sistema que origina la solicitud ya que la respuesta es de una dirección IP diferente de aquella a la que se envió la petición inicialmente.
sistema de destino no tiene una puerta de entrada o no puede usar pfSense como puerta de enlace
Un subconjunto del problema más amplio de la pasarela de máquina de destino es cuando el dispositivo no tiene ninguna puerta de enlace, o es incapaz de tener una puerta
de enlace. En estos casos, el trabajo en torno a ese problema cambiando al híbrido o Manual de salida NAT y la elaboración de una norma en la LAN u otra interfaz interna
hacia el dispositivo local. Esta regla se traduciría trá fi co de cualquier fuente que va al sistema de destino en el puerto de destino.
Por ejemplo, si hay un servidor fi l que no admite una pasarela situada en 10.3.0.6, cambie al híbrido de salida NAT y crear una regla como la figura Manual
de salida Regla NAT para el dispositivo de LAN con la falta de puerta de enlace para llegar a él desde fuera de la red. El servidor fi l verá la dirección
IP LAN del cortafuego como la fuente del trá fi co, y ya que es “local” al servidor, responderá correctamente.
Fig. 13.13: Manual de Regla NAT de salida para el dispositivo de LAN con la falta de puerta de enlace
equipo de destino no está escuchando en el puerto reenviado
Si la solicitud es rechazada en lugar de tiempo de espera cuando se prueba la conexión, con toda probabilidad pfSense es el reenvío de la conexión correctamente y
la conexión es rechazada por el sistema de destino. Esto puede ocurrir cuando el sistema de destino no tiene servicio de escucha en el puerto en cuestión, o si el
puerto está remitiendo no coincide con el puerto en el que el sistema de destino está escuchando.
Por ejemplo, si el sistema de destino se supone que escuchar las conexiones SSH, pero el puerto hacia adelante se ha introducido para el puerto 23 en lugar de 22, la
petición más probable sería rechazado por el servidor. La diferencia por lo general puede ser detectado por intentar conectar con el puerto en cuestión utilizando netcat o
telnet. Un mensaje como “Conexión rechazada” indica algo, con frecuencia el anfitrión en el interior, está rechazando la conexión activa. Utilizando Diagnóstico> puerto de
prueba También puede ayudar, consulte Prueba de un puerto TCP .

ISP está bloqueando el puerto
Algunos ISPs filtro de entrada de trá fi co a los puertos bien conocidos. Compruebe los Términos de Servicio (TOS) desde el ISP para ver si hay una cláusula sobre el
funcionamiento de los servidores. Estas restricciones son más comunes en las conexiones residenciales que las conexiones comerciales. En caso de duda, una llamada al ISP
puede aclarar el asunto.
Si los puertos están siendo filtrada por el ISP, moviendo los servicios a un puerto diferente puede evitar la restricción. Por ejemplo, si el ISP no permite
servidores en el puerto 80, intente 8080 o 18080.
Antes de intentar solucionar un filtro, consulte el ISP ToS para garantizar que la ejecución de un servidor no es una violación de sus reglas.
Probando desde dentro de la red en lugar de fuera
Por defecto, puerto remite sólo funcionarán cuando las conexiones se realizan desde fuera de la red local. Esto es un error muy común cuando se prueba delante
del puerto. Si no se necesitan puerto remite a trabajar internamente, véase NAT La reflexión . Sin embargo, Split DNS ( DNS dividido ) es una solución más adecuada
y elegante a este problema sin tener que depender de NAT reflexión o el puerto hacia delante, y que valdría la pena el tiempo para poner en práctica en su lugar.
Incluso con NAT reflexión, la prueba desde el interior de la red no es necesariamente indicativa de si va a trabajar a través de Internet. restricciones de ISP,
restricciones en los dispositivos aguas arriba del cortafuego, entre otras posibilidades no son posibles de ver cuando se prueba desde dentro de la red.
dirección IP virtual incorrecta o faltante
Al utilizar las direcciones IP que no son las direcciones IP reales asignados a una interfaz, una dirección IP virtual debe utilizarse (VIP, ver Las direcciones IP
virtuales ). Si un puerto de reenvío a una dirección IP alternativa no funciona, puede ser necesario un tipo diferente de VIP. Por ejemplo, puede ser necesario un
tipo Proxy ARP en lugar de un “otro” tipo VIP. Cuando se prueba, también asegurarse de que el cliente se conecta al VIP adecuado.
pfSense no es el / router de borde fronterizo
En algunos escenarios pfSense es un enrutador interno y hay otros routers entre él y el Internet también realizar NAT. En tal caso, un puerto hacia adelante
también debe ser introducido en el router de borde de reenviar el puerto de pfSense, que luego utilizar otro puerto hacia delante para conseguir que el sistema
local.
Reenvío de puertos a un sistema detrás de portal cautivo
Reenvío de puertos a un host detrás de un portal cautivo necesita una consideración especial. Ver Puerto hacia delante a detrás de los ejércitos portal sólo funcionan cuando el
sistema de destino se registra en para detalles.
La prueba adicional necesaria
Si ninguna de estas soluciones resultan en un puerto de trabajo hacia adelante, consulte firewall Unidos para buscar estados de NAT que indican que la conexión se ha hecho a través del
cortafuego, o La captura de paquetes para obtener información sobre el uso de capturas de paquetes para diagnosticar problemas de reenvío de puertos.

Solución de problemas de NAT Re fl exión
NAT La reflexión ( NAT La reflexión ) Es compleja, y como tal puede no funcionar en algunos escenarios avanzados. Recomendamos el uso de DNS dividido en su lugar (ver DNS
dividido ) en la mayoría de los casos. Sin embargo, NAT reflexión sobre las emisiones actuales pfSense funciona razonablemente bien para casi todos los escenarios, y cualquier
problema suelen ser un error con fi guración. Asegúrese de que se ha activado la manera correcta, y asegúrese de que una amplia gama de puertos que no se está remitiendo
innecesariamente. reglas NAT reflexión Re también se duplican para cada interfaz presente en el sistema, por lo que si una gran cantidad de delanteros de puertos e interfaces
están en uso, el número de reflectores puede fácilmente sobrepasar los límites del sistema. Si esto sucede, una entrada se imprime en los registros del sistema. Compruebe los
registros del sistema por cualquier error o información.
Acceso web se rompe con NAT La reflexión Habilitado
Si una disposición inadecuada especi fi cada NAT Port Forward está presente en el cortafuego, puede causar problemas cuando se habilita NAT reflexión. La forma
más común surge este problema es con un servidor web local, y el puerto 80 es enviada allí con una especi fi cado indebidamente Dirección externa.
Si NAT reflexión está activada y el Dirección externa se establece en alguna , cualquier conexión realizada en el cortafuego aparece como el servidor web
local. Para fi jar, edite el Port Forward para el puerto infractor, y el cambio Dirección externa a
interfaz Dirección en lugar. Si una dirección externa de alguna se requiere, entonces NAT reflexión no va a funcionar, y de Split DNS debe ser utilizado en su lugar.
Solución de problemas de salida NAT
Cuando NAT saliente manual está activado y hay varias subredes locales, se requiere una entrada de NAT de salida para cada uno. Esto se aplica
especialmente si tráfico c debe salir con NAT después de entrar en el router pfSense través de una conexión VPN como OpenVPN.
Un indicio de una regla NAT saliente faltante sería ver los paquetes salen theWAN interfaz con una dirección de origen de una red privada. Ver La captura de
paquetes para más detalles sobre la obtención y la interpretación de capturas de paquetes. En su uso más común, Network Address Translation (NAT)
permite que varios ordenadores que utilizan IPv4 a estar conectados a Internet a través de una única dirección IPv4 pública. pfSense permite a estas
implementaciones sencillas, pero también acomoda mucho más configuraciones NAT fi estafadores avanzadas y complejas requeridas en redes con múltiples
direcciones IP públicas. NAT es con fi gurado en dos direcciones: entrante y saliente. NAT saliente de fi ne la forma de trá fi co que salen de una red local con
destino a una red remota, tal como se traduce Internet. Entrante NAT se refiere a tráfico c entrar en una red desde una red remota. El tipo más común de NAT
entrante es puerto remite, que es también el tipo de muchos administradores están más familiarizados.
Nota: En general, con la excepción de Red Pre fi x Traducción (TNP), NAT en IPv6 no es compatible en pfSense. Hay más discusión sobre el tema
en IPv6 y NAT . A menos que se indique lo contrario, este capítulo está discutiendo NAT con IPv4.
Ver también:
Los clientes con una pfSense Suscripción Oro puede acceder al Hangouts Archivo para ver el Hangouts se pueden 2016 NAT con pfSense 2.3 y cuanto antes
de agosto de 2014 Hangout de traducción de direcciones de red.
Predeterminado NAT Con fi guración
En esta sección se describe la configuración por defecto NAT con fi presentes en pfSense. La configuración fi NAT con más apropiado que puede ser determinado
se genera automáticamente. En algunos entornos, esta con fi guración puede no ser adecuado, y
13.10. Predeterminado NAT Con fi guración 237

pfSense permite cambiarlo totalmente desde la interfaz web. Esto es un contraste de muchas otras distribuciones cortafuego de código abierto, que no permiten las
capacidades requeridas comúnmente en todas las redes, pero pequeñas, simples.
Salida predeterminado NAT Con fi guración
En una configuración de dos pfSense interfaz típica con LAN y WAN, el valor predeterminado NAT con fi guración se traduce automáticamente a Internet ligado trá fi
co a la dirección IP WAN. Cuando múltiples interfaces WAN son con fi gurado, tráfico c dejar cualquier interfaz WAN está traducido automáticamente a la dirección de
la interfaz WAN que se utiliza. puerto estático es automáticamente con fi gurada para IKE (parte de IPsec). puerto estático se trata con más detalle en NAT salientes
acerca de salida NAT.
Para la detección de las interfaces de tipo WAN para su uso con NAT, pfSense busca la presencia de una puerta de entrada seleccionada en la configuración de
interfaz con fi si tiene una dirección IP estática, o pfSense asume la interfaz es una WAN si es un tipo dinámico como PPPoE o DHCP.
Por defecto de entrada NAT Con fi guración
Por defecto, no está permitido en de Internet en la interfaz WAN. Si trá fi co iniciado en Internet se debe permitir llegar a un host en la red interna,
puerto remite o 1: 1 Se requiere NAT. Esto se trata en las próximas secciones.

CAPÍTULO
CATORCE
RUTA
gateways
Gateways son la clave de encaminamiento; Se trata de sistemas a través del cual se pueden alcanzar otras redes. El tipo de puerta de enlace de la mayoría de la gente está
familiarizada con una defecto puerta de entrada, que es el router a través del cual un sistema se conectará a Internet o cualquier otra red que no tiene una ruta fi co más
específico de alcanzar. Gateways también se utilizan para el enrutamiento estático, donde otras redes deben llegar a través de fi c enrutadores locales específicas. En la
mayoría de las redes normales, las pasarelas siempre residen en la misma subred que una de las interfaces de un sistema. Por ejemplo, si un cortafuego tiene una
dirección IP
192.168.22.5/24, a continuación, una puerta de entrada a otra red tendría que ser en algún lugar dentro de 192.168.22.x
Si la otra red es accesible a través de esa interfaz. Una notable excepción a esto es interfaces de punto a punto, como los utilizados en los protocolos basados en la
PPA, que a menudo tienen direcciones IP de puerta de enlace en otra subred, ya que no se utilizan de la misma manera.
Dirección de pasarela Familias (IPv4 e IPv6)
Cuando se trabaja con el enrutamiento y puertas de enlace, la funcionalidad y los procedimientos son los mismos para las direcciones IPv4 e IPv6, sin embargo todas las
direcciones para una ruta determinada debe involucrar a las direcciones de la misma familia. Por ejemplo, una red IPv6 debe ser enrutado usando un IPv6 gateway / router. Una
ruta no puede ser creado por una red IPv6 con una dirección de puerta de enlace IPv4. Cuando se trabaja con grupos de puerta de enlace, se aplica la misma restricción; Todas
las puertas de enlace en un grupo de puerta de enlace deben ser de la misma familia de direcciones.
La gestión de pasarelas
Antes de una puerta de enlace puede ser utilizado para cualquier propósito, debe ser añadido a la fi cortafuegos con fi guración. Si se utiliza una puerta de entrada para una interfaz
de tipo WAN, se puede añadir en la página de con fi guración para esa interfaz (Ver
Interfaz de Con fi guración Fundamentos ), o se puede añadir primero manualmente y luego seleccionado de la lista desplegable en la interfaz con fi guración.
tipos de interfaz dinámicos como DHCP y PPPoE reciben una puerta de enlace automático que se observa como Dinámica en la lista de puerta de enlace. Los parámetros para este tipo de
puertas de enlace se pueden ajustar los mismos que los parámetros para una puerta de enlace estático, sino una puerta de enlace dinámico no se pueden eliminar. Para agregar o es propietario
de pasarelas:
• Navegar a Sistema> Enrutamiento
• Haga clic en el gateways lengüeta
• Hacer clic Añadir en la parte superior o inferior de la lista para crear una nueva puerta de enlace
239
• Hacer clic junto a una entrada para editar una puerta de enlace existente
• Hacer clic junto a una entrada para eliminar una puerta de enlace
• Hacer clic desactivar una pasarela activa
• Hacer clic para permitir que una puerta de enlace con discapacidad
Las opciones individuales para puertas de enlace se discuten en detalle en la siguiente sección.
Configuración de puerta de enlace
Al agregar o editar una puerta de entrada, una pantalla que se presenta una lista de todas las opciones para controlar el comportamiento de la puerta de enlace. Los ajustes
sólo son necesarios la Interfaz, el Nombre, y el gateway ( Dirección IP).
Interfaz
La interfaz a través de la que se alcanza la puerta de entrada. Por ejemplo, si se trata de una puerta de enlace local en la subred LAN, elija el LAN interconectar aquí.
dirección familiar
Ya sea IPv4 o IPv6, dependiendo del tipo de dirección de esta pasarela.
Nombre
los Nombre para la puerta de enlace, como se indica en la lista de puerta de enlace, y varios desplegable y otros selectores para puertas de enlace. Sólo puede contener
caracteres alfanuméricos, o un guión bajo, pero no espacios. Por ejemplo: WANGW, GW_WAN, y
WanGate son válidas, pero WAN GW No se permite.
Puerta
La dirección IP de la pasarela. Como se mencionó anteriormente, esto debe residir en una subred directamente con fi gurada en el seleccionado
Interfaz.
Puerta de enlace predeterminada
Cuando se selecciona, esta pasarela es tratado como la entrada de defecto para el sistema. La puerta de enlace predeterminada es el gateway de último recurso. Se utiliza cuando no hay
otras más rutas específicas. El cortafuego puede tener una puerta de enlace predeterminada IPv4 e IPv6 una puerta de enlace predeterminada.
240 Capítulo 14. Encaminamiento

Desactivar la puerta de enlace de Monitoreo
Por defecto, el sistema ping a cada puerta de enlace una vez por segundo para monitorizar la pérdida de latencia y de paquetes para tráfico c a la dirección IP supervisada. Estos datos son
utilizados para la información de estado de puerta de enlace y también para dibujar el gráfico de calidad RRD. Si este control no es deseable por cualquier razón, puede ser desactivada
mediante la comprobación Desactivar la puerta de enlace de Seguimiento. Tenga en cuenta que si el estado de la pasarela no se controla, entonces Multi-WAN no funcionará correctamente ya
que no puede detectar los fallos.
monitor de IP
los monitor de IP opción de dirección con fi guras la dirección IP utilizada para determinar el estado de la pasarela. Por defecto el sistema ping a la dirección IP de la
pasarela. Esto no siempre es deseable, especialmente en el caso en que la dirección de puerta de enlace IP es local, tal como en un módem o DSL CPE Cable. En casos
como el que tiene más sentido para hacer ping a algo más lejos río arriba, como un servidor DNS del ISP o un servidor en Internet. Otro caso es cuando un ISP es propenso
a fallas aguas arriba, de modo ping hacia una máquina en Internet es una prueba más precisa para determinar si una WAN se puede utilizar en lugar de probar el propio
enlace. Algunas opciones populares incluyen servidores DNS público de Google, o de los sitios web más populares como Google o Yahoo. Si la dirección IP especificada en
este cuadro no está conectado directamente, se añade una ruta estática para asegurar que tráfico c a la monitor de IP dirección de las hojas a través de la puerta de entrada
esperada. Cada puerta de enlace debe tener una dirección IP única monitor. El estado de una puerta de enlace como la percibe el cortafuego se puede comprobar visitando Estado>
Gateways o mediante el uso de la
gateways widget en el tablero de instrumentos. Si en la pantalla de puerta de enlace En línea, a continuación, la dirección IP del monitor está regresando con éxito los pings.
Estado vigor
Cuando Marcar como puerta de enlace de Down está marcada, la puerta de entrada será siempre considerado abajo, incluso cuando los pings se devuelven desde la dirección IP del monitor. Esto
es útil para los casos cuando una WAN se está comportando de forma inconsistente y las transiciones de puerta de enlace están causando la interrupción. La puerta de enlace puede ser forzado
en una abajo estado para que otras puertas de enlace pueden ser preferidos hasta que se estabiliza.
Descripción
un opcional Descripción de la entrada de puerta de enlace para la referencia. Una breve nota sobre la puerta de enlace o interfaz se utiliza para puede ser útil, o puede ser dejado
en blanco.
Avanzado
Varios parámetros pueden ser modificados para controlar cómo se controla o se trata en un escenario Multi-WAN una puerta de enlace. Más
los usuarios no tendrán que modificar estos valores. Para acceder a las opciones avanzadas, haga clic en el mostrar avanzada botón. Si
cualquiera de las opciones avanzadas se establecen, en esta sección se expande automáticamente. Para obtener más información sobre el uso de múltiples conexiones WAN, consulte Las
conexiones WAN múltiples .
Peso
Cuando se utiliza multi-WAN, si dos redes WAN tienen diferentes cantidades de ancho de banda, Peso parámetro ajusta la ración a la que se utilizan las redes
WAN. Por ejemplo, si WAN1 tiene 5 Mbit / s y WAN2 tiene 10Mbit / s, el peso WAN1 como 1 y como WAN2 2. A continuación, por cada tres conexiones que
salen, se utilizará la WAN y dos usará WAN2. Usando este método, las conexiones se distribuyen de una manera que es más probable para utilizar mejor el
ancho de banda disponible. peso de
1 a 30 puede ser elegido.
14.2. Configuración de puerta de enlace 241

Los datos de carga útil
Para conservar el ancho de banda, dpinger daemon envía un ping con un tamaño de carga útil de 0 por defecto, así que no hay datos está contenida en la solicitud de eco
ICMP. Sin embargo, en raras circunstancias un CPE, router ISP, o hop intermedio pueden caer o rechazar los paquetes ICMP sin una carga útil. En estos casos, establecer el
tamaño de la carga útil por encima de 0. Por lo general, un tamaño de 1 es suficiente para satisfacer equipo afectado.
Los umbrales de latencia
los Los umbrales de latencia campos controlan la cantidad de latencia que se considera normal para esta puerta de enlace. Este valor se expresa en
milisegundos (ms). El valor en el De campo es el límite inferior en el que la puerta de entrada sería considerado en un estado de alerta, pero no hacia abajo.
Si la latencia excede el valor en el A campo, se considera abajo y puesto fuera de servicio. Los valores adecuados en estos campos pueden variar
dependiendo de qué tipo de conexión está en uso, y qué ISP o el equipo es entre el cortafuego y la dirección IP del monitor. Los valores por defecto son De 300
yA
500.
Algunas otras situaciones comunes pueden requerir el ajuste de estos valores. Por ejemplo, algunas líneas DSL están fi ne incluso a una mayor latencia, por lo que el
aumento de la A parámetro para 700 o más sería reducir el número de veces que la puerta de entrada sería considerado hacia abajo cuando, de hecho, estaba operando
aceptablemente. Otro ejemplo es un túnel GIF a un proveedor de tales he.net como para IPv6. Debido a la naturaleza de túneles GIF y carga de los servidores de túnel, el
túnel podría estar trabajando aceptablemente incluso con latencia tan alto como 900 ms según lo informado por las respuestas de ping ICMP.
Los umbrales de pérdida de paquetes
Similar a Los umbrales de latencia, el Los umbrales de pérdida de paquetes controlar la cantidad de pérdida de paquetes a una dirección IP del monitor antes de
que sería considerado inutilizable. Este valor se expresa como un porcentaje, 0 siendo sin pérdida y 100 siendo la pérdida total. El valor en el De campo es el límite
inferior en el que la puerta de entrada sería considerado en un estado de alerta, pero no hacia abajo. Si la cantidad de pérdida de paquetes excede el valor en el A campo,
se considera abajo y puesto fuera de servicio. Los valores adecuados en estos campos pueden variar dependiendo de qué tipo de conexión está en uso, y qué ISP
o el equipo es entre el cortafuego y la dirección IP del monitor. Los valores por defecto son De 10 y A 20.
Al igual que con la latencia, las conexiones pueden ser propensos a diferentes cantidades de pérdida de paquetes y todavía funcionar de una manera utilizable, especialmente si la ruta
de acceso a una dirección IP monitor de gotas o retrasa ICMP a favor de otro tráfico c. Hemos observado conexiones inutilizables con pequeñas cantidades de pérdida, y algunos que
son utilizables incluso cuando muestra la pérdida de 45%. Si se producen alarmas de pérdida en una puerta de enlace WAN que funciona normalmente, introduzca los valores más
altos en el De y A se consigue campos hasta un buen equilibrio para el circuito.
sonda de intervalo
El valor en el sonda de intervalo campo controla la frecuencia con que se envía un ping a la dirección IP del monitor, en milisegundos. El valor predeterminado es hacer ping a dos veces
por segundo ( 500 Sra). En algunas situaciones, tales como enlaces que necesitan monitorizado, pero que tienen altos cargos de datos, incluso una pequeña mesa de ping cada segundo
puede sumar. Este valor se puede aumentar de forma segura, siempre y cuando sea menor o igual a la alerta de intervalo y también no viola la restricción en el Periodo de tiempo se
enumeran a continuación. Los valores más bajos de ping con más frecuencia y ser más precisos, pero consumen más recursos. Los valores más altos serán menos sensibles a un
comportamiento errático y consumir menos recursos, a costa de precisión.
Nota: El gráfico de la calidad se promedia en segundos, no intervalos, así como el sonda de intervalo se incrementa la exactitud de la gráfica de la calidad se
reduce.

pérdida de intervalo
Tiempo en milisegundos antes que los paquetes son tratados como perdido. El valor por defecto es 2000 ms (2 segundos). Debe ser mayor que o igual a la Alto umbral de
latencia.
Si un circuito es conocido por tener una alta latencia mientras opera normalmente, esto puede ser aumentado para compensar.
Periodo de tiempo
La cantidad de tiempo, en milisegundos, sobre el cual se promedian los resultados de ping. El valor por defecto es 60000 ( 60 segundos, un minuto). Una más larga Periodo de tiempo tomará
más tiempo para la latencia o pérdida para activar una alarma, pero es menos propenso a ser afectado por un comportamiento errático en los resultados de ping. los Periodo de tiempo
debe ser mayor que dos veces la suma de las sonda de intervalo y Pérdida de intervalo, de lo contrario puede que no haya al menos una sonda completado.
alerta de intervalo
El intervalo de tiempo, en milisegundos, en el que los controles demonio para una condición de alerta. El valor por defecto es 1000 ( 1 segundo). Este
valor debe ser mayor que o igual a la Sonda de intervalo, porque una alerta no podría ocurrir entre sondas.
Usar puerta de enlace no local
los Usar puerta de enlace no local a través de la interfaz específica ruta opción permite una configuración con fi no estándar cuando existe una dirección IP de la
pasarela fuera de una subred de interfaz. Algunos proveedores que tratan de raspar el fondo del barril IPv4 han recurrido a esto con el fin de no poner una puerta de
entrada a cada subred del cliente. No active esta opción a menos que sea requerido por el proveedor de aguas arriba.
Grupos de puerta de enlace
Grupos de puerta de enlace de conjuntos de fi ne de pasarelas que se utilizará para la conmutación por error o el balanceo de carga. Grupos de puerta de enlace también se puede utilizar como Interfaz
valores en algunas zonas de la interfaz gráfica de usuario para la conmutación por error de servicio, como OpenVPN, IPsec y DNS dinámico. Para obtener información sobre la configuración de
estas características, consulte Las conexiones WAN múltiples .
Rutas estáticas
Las rutas estáticas se utilizan cuando hosts o redes son accesibles a través de un router que no sea la entrada de defecto. pfSense sabe acerca de las redes unidos
directamente a la misma, y llega a todas las demás redes según las indicaciones de su tabla de enrutamiento. En las redes donde un enrutador interno conecta
subredes internas adicionales, una ruta estática debe ser definido para esa red para ser alcanzable. Los routers por los que se alcanzan estas otras redes deben
primero ser añadidos como puertas de enlace. Ver
gateways para obtener información sobre la adición de puertas de enlace. Las rutas estáticas se encuentran
bajo Sistema> Enrutamiento sobre el rutas lengüeta.
14.3. Grupos de puerta de enlace 243

La gestión de rutas estáticas
Para añadir una ruta:
• Navegar a Sistema> Enrutamiento sobre el rutas lengüeta
• Hacer clic Añadir para crear una nueva ruta estática
• Complete la con fi guración de la siguiente manera:
Red de destino Especí fi ca de la máscara de subred de la red y que es accesible mediante esta ruta.
Puerta De define el router a través de la que se alcanza esta red.
Discapacitado Compruebe si la ruta estática no debe ser utilizado, sólo se de fi nido.
Descripción Algunos texto para describir la ruta, su propósito, etc.
Para gestionar las rutas existentes:
• Navegar a Sistema> Enrutamiento sobre el rutas lengüeta
• Hacer clic junto a una entrada para editar una ruta existente
• Hacer clic junto a una entrada para eliminar una ruta
• Hacer clic desactivar una ruta activa
• Hacer clic para permitir una ruta discapacitados
Ejemplo ruta estática
Figura Rutas estáticas ilustra un escenario en el que se requiere una ruta estática.
Fig. 14.1: rutas estáticas
Debido a que la red 192.168.2.0/24 en la figura Rutas estáticas No está en una interfaz conectada directamente a pfSense, se necesita una ruta estática por lo que el
cortafuego sabe cómo llegar a esa red. Figura Estática Con fi guración de la ruta muestra la ruta estática adecuada para el diagrama de arriba. Como se mencionó
anteriormente, antes de que se puede añadir una ruta estática una puerta de enlace primero debe ser de fi nido.
También pueden ser necesarios ajustes de reglas de firewall. Si se utilizan reglas de LAN personalizados, deben permitir trá fi co para pasar de una fuente de las redes alcanzables
a través de rutas estáticas en LAN.

Fig 14.2:. Ruta estática Con fi guración
Derivación de reglas de firewall para trá fi co en una misma interfaz
En muchas situaciones en las que el uso de rutas estáticas, trá fi co termina enrutamiento de forma asimétrica. Esto significa que el tráfico c seguirá una trayectoria diferente en
una dirección que en el tráfico c fl debido en la dirección opuesta. tome la figura enrutamiento asimétrico por ejemplo.
Fig. 14.3: enrutamiento asimétrico
Traf fi c de PC1 a PC2 va a ir a través de pfSense ya que es la puerta de enlace por defecto para PC1, pero tráfico c en la dirección opuesta irá directamente desde el
router al PC1. Desde pfSense es un cortafuego con estado, tiene que ver trá fi co de toda la conexión sea capaz de filtro de trá fi co correctamente. Con el enrutamiento
asimétrico como este ejemplo, cualquier cortafuego stateful caerá legítima trá fi co, ya que no puede mantener adecuadamente el estado sin ver trá fi co en ambas
direcciones. En general, esto sólo afecta a TCP, ya que otros protocolos no tienen una conexión formal apretón de manos del cortafuego puede reconocer para su uso
en el seguimiento de estado.
En los escenarios de enrutamiento asimétrico, hay una opción que puede usarse para prevenir legítimo tráfico c sea caído. La opción añade reglas fi cortafuego que permiten
a todos los tra fi co entre las redes se define en las rutas estáticas utilizando un conjunto más permisiva de opciones de la regla y el manejo del Estado. Para activar esta
opción:
• Hacer clic Sistema> Avanzado
• Haga clic en el Firewall / NAT lengüeta
14.4. Rutas estáticas 245

• Comprobar reglas fi cortafuego bypass para tráfico c en la misma interfaz
Alternativamente, las reglas de cortafuego se pueden añadir manualmente para permitir similares tráfico c. Se necesitan dos reglas, uno en la ficha interfaz donde el tráfico c
entra (por ejemplo LAN) y otro en el Flotante lengüeta:
• Navegar a Cortafuegos> Reglas
• Haga clic en la pestaña de la interfaz donde el trá fi co entrará (por ejemplo, LAN)
• Hacer clic Añadir añadir una nueva regla a la parte superior de la lista
• Utilice los siguientes parámetros:
Protocolo TCP
Fuente Los sistemas locales que utilizan la ruta estática (por ejemplo, LAN neto)
Destino La red en el otro extremo de la ruta
Indicadores TCP Comprobar Cualquier AGS (fl Debajo Características avanzadas) Tipo Estado Estado
descuidado ( Debajo Características avanzadas)
• Haga clic en el Flotante lengüeta
Interfaz La interfaz donde el tráfico c originó (por ejemplo, LAN) Dirección Fuera
Protocolo TCP
Fuente Los sistemas locales que utilizan la ruta estática (por ejemplo, LAN neto)
Destino La red en el otro extremo de la ruta
Indicadores TCP Comprobar Cualquier AGS (fl Debajo Características avanzadas) Tipo Estado Estado
descuidado ( Debajo Características avanzadas)
Si se muestra adicional de trá fi co de otras fuentes o destinos como bloqueado en los registros de fi cortafuego con TCP fl ags como “TCP: SA” o “TCP: PA”, las reglas
pueden ser ajustados o copiados para que coincida con tra fi co también.
Nota: Si se requiere fi ltrado de trá fi co entre subredes enrutadas de forma estática, hay que hacerlo en el router y no el cortafuego ya que el cortafuego no está
en una posición en la red donde se puede controlar con eficacia que tra fi co.
ICMP redirecciones
Cuando un dispositivo envía un paquete a su puerta de enlace predeterminada, y la puerta de entrada sabe que el emisor puede alcanzar la red de destino a través de
una ruta más directa, se enviará un mensaje de redirección ICMP en respuesta y reenviar el paquete con fi g- ured. La redirección ICMP provoca una ruta para ese
destino que se añade temporalmente a la tabla de enrutamiento del dispositivo emisor y el dispositivo utilizará posteriormente que la ruta más directa para llegar a ese
destino. Esto sólo funcionará si el sistema operativo cliente está con fi gurada para permitir ICMP redirecciones, que suele ser el caso por defecto.

redirecciones ICMP son comunes cuando están presentes que apuntan a un enrutador en la misma interfaz que PCs cliente y otros dispositivos de red rutas estáticas. El
diagrama de enrutamiento asimétrico de la sección anterior es un ejemplo de esto. Redirecciones ICMP tiene una mala reputación inmerecida sobre todo de algunos
miembros de la comunidad de seguridad, ya que permiten modi fi cación de una tabla de enrutamiento cliente. Sin embargo no son el riesgo de que algunos implican,
como para ser aceptado, el mensaje de redirección ICMP debe incluir el primer 8 bytes de datos del datagrama original. Un anfitrión en una posición para ver que los
datos y por lo tanto sea capaz de forjar con éxito ilícito ICMP redirige está en una posición para conseguir el mismo resultado final en múltiples otras maneras.
Las direcciones de enrutamiento IP públicas
Esta sección cubre el enrutamiento de direcciones IP públicas, donde se le asigna una subred IP pública a una interfaz interna en un solo despliegue fi cortafuegos.
Ver también:
Si un cluster de alta disponibilidad está en uso, véase Proporcionar redundancia Sin NAT .
Las asignaciones IP
Al menos dos subredes IP públicas deben ser asignados por el ISP. Uno es para la WAN del cortafuego, y una para la interfaz en el interior. Esto es comúnmente una subred / 30
para la WAN, con una segunda subred asignada para la interfaz interna. En este ejemplo se utilizará un / 30 sobre la WAN tal como se muestra en la Tabla Bloquear IP WAN y una
subred / 29 pública en una interfaz OPT interna como se muestra en la Tabla Dentro de direcciones IP bloqueadas .
Tabla 14.1: WAN IP bloqueadas
198.51.100.64/30
Dirección IP Asignado a
198.51.100.65 router ISP (puerta de enlace predeterminada pfSense)
198.51.100.66 pfSense WAN dirección IP de interfaz Tabla 14.2: Dentro de
direcciones IP bloqueadas
192.0.2.128/29
Dirección IP asignada
192.0.2.129 interfaz OPT pfSense
192.0.2.130
192.0.2.131
192.0.2.132 hosts internos
192.0.2.133
192.0.2.134
En primer lugar con fi gura la WAN y las interfaces OPT. La interfaz LAN también se puede utilizar para las direcciones IP públicas si se desea. En este ejemplo, LAN es
una subred IP privada y OPT1 es la subred IP pública.
Con fi gura WAN
Agregue la dirección IP y la puerta de enlace en consecuencia. Figura WAN IP y Gateway con guración fi muestra la fi con WAN gurada como se muestra en la Tabla Bloquear IP
WAN .
14.5. Las direcciones de enrutamiento IP públicas 247

Fig. 14.4: IP WAN y Gateway Con fi guración
Con fi gura OPT1
Ahora permitir OPT1, opcionalmente cambiar su nombre, y con fi gura la dirección IP y la máscara de subred. Figura Enrutamiento OPT1 interfaz con fi guración muestra OPT1 con fi gurado
como se muestra en la Tabla Dentro de direcciones IP bloqueadas .
Fig 14.5:. Routing OPT1 Interface Con fi guración
La figura 14.6:. Dirección Con fi guración de enrutamiento IP OPT1
NAT Con fi guración
El valor por defecto de la traducción interna trá fi co a la IP WAN debe ser anulado cuando se utilizan direcciones IP públicas en una interfaz interna.
• Vaya a Firewall> NAT
• Haga clic en la pestaña de salida
• Seleccionar generación de reglas de salida NAT híbrido

• Hacer clic añadir una nueva regla a la parte superior de la lista con la siguiente configuración:
No hacer NAT Cuadros, de manera que NAT se desactivará
Interfaz PÁLIDO
Protocolo Alguna
Fuente Red, introduzca la subred IP pública local, 192.0.2.128/29
Destino Alguna
Esto anulará las reglas predeterminadas automáticas que se traducen todas de trá fi co de interfaces locales que salen de la interfaz WAN a la dirección IP
WAN. Traf fi c proviene de la red OPT1 192.0.2.128/29 no se traduce debido a la regla añadida manualmente excluyéndolo de NAT. Esta con fi guración
mantiene el comportamiento automático para otras interfaces internas, por lo que las ventajas de las reglas de NAT salientes automática no se pierden. Esta
configuración con fi se muestra en la figura
NAT saliente Con fi guración .
Si se utilizan en direcciones IP públicas todas interfaces locales, a continuación, establezca Desactivar la salida NAT en lugar de utilizar el modo híbrido.
Fig 14.7:. Salida NAT Con fi guración
De reglas de cortafuegos con fi guración
El NAT y la dirección IP con fi guración se ha completado. tendrán que ser añadido para permitir la salida como de entrada de trá fi co reglas de firewall. Figura Las reglas
del cortafuegos OPT1 muestra una DMZ-como con fi guración, donde se rechazó todas de trá fi co destinado a la subred LAN, se permiten DNS y los pings a la dirección IP
de la interfaz OPT1, y se permite HTTP saliente. Para permitir trá fi co de la Internet para las direcciones IP públicas sobre una interfaz interna, añadir reglas de la WAN
utilizando las direcciones IP públicas como el Destino. Figura Las reglas del cortafuegos de WAN muestra una regla que permita HTTP a 192.0.2.130, una de las direcciones
IP públicas en la interfaz interna como se muestra en la tabla Dentro de direcciones IP bloqueadas .
Después de con fi gurar las reglas fi cortafuego según se desee, la configuración se ha completado.
Nota: Tra fi co fluirá de LAN a esta subred pública por defecto y sin NAT. Si no se desea este comportamiento, ajuste
14.5. Las direcciones de enrutamiento IP públicas 249

Fig. 14.8: OPT1 reglas del cortafuegos
Fig. 14.9: WAN reglas del cortafuegos
la fi cortafuegos y NAT LAN normas en consecuencia. Además, puede necesitar ser pasado por alto para permitir de LAN a esta interfaz política de enrutamiento.
Los protocolos de enrutamiento
En el momento de escribir estas líneas, tres protocolos de enrutamiento son compatibles con pfSense:
• RIP (Routing Information Protocol)
• BGP (Border Gateway Protocol)
• OSPF (Open Shortest Path primero).
Esta sección es la luz en los detalles, y supone la comprensión de los protocolos de enrutamiento como un requisito previo. Una discusión a fondo de los protocolos de
enrutamiento está fuera del alcance de este libro.
q.e.p.d.
RIP es parte del paquete enrutado. Para instalarlo:
• Navegar a Sistema> Gestor de paquetes
• Hacer clic Paquetes disponibles
• Localizar enrutada en la lista, o búsquelo
• Haga clic en el Instalar a la derecha de la enrutada entrada paquete.
• Hacer clic Con fi rm
• Esperar a que se complete la instalación
• Navegar a Servicios> RIP
Para con fi gurar RIP:

• Comprobar el habilitar RIP caja
• Elegir el Interfaces RIP va a escuchar y enviar actualizaciones de enrutamiento de
• Selecciona el RIP versión
• Entrar a contraseña RIPv2 si RIPv2 está en uso y requiere una contraseña de la red.
RIP pondrá en marcha inmediatamente y comenzar a enviar y recibir actualizaciones de enrutamiento en las interfaces especí fi cos.
BGP
Un paquete BGP usando openbgpd de OpenBSD está disponible. Para instalarlo:
• Localizar openbgpd en la lista, o búsquelo
• Haga clic en el Instalar a la derecha de la openbgpd entrada paquete.
• Navegar a Servicios> openbgpd
BGP es una bestia compleja, y describir en detalle está fuera del alcance de este libro. Con fi guración de openbgpd en pfSense es recta hacia adelante
para aquellos con conocimiento de BGP. Durante el desarrollo de este paquete, que se basó en
BGP libro de O'Reilly y recomendaría a cualquiera que quiera desplegar BGP. La forma general de
la con fi guración para el paquete openbgpd es:
• Con fi gura un grupo en el Grupo pestaña con el AS remoto
• Con fi gura uno o más vecinos de la vecinos pestaña como miembros de la de fi nidas Grupo
• Con fi gura la ajustes pestaña como se desee para el AS y redes para anunciar local.
OSPF
Un paquete OSPF mediante el quagga demonio de encaminamiento también está disponible. Al igual que con BGP, para instalarlo:
• Localizar Quagga_OSPF en la lista, o búsquelo
• Haga clic en el Instalar a la derecha de la Quagga_OSPF entrada paquete.
• Navegar a Servicios> Quagga OSPF
14.6. Los protocolos de enrutamiento 251

OSPF es un protocolo de enrutamiento también bastante complejo, aunque no tan compleja como para configurar BGP puede ser. Los detalles de con fi gurar ospfd también están fuera del
alcance de este libro, aunque para alguien acostumbrado a OSPF las opciones de con fi guración que se encuentran en la interfaz gráfica de usuario estarán familiarizados.
La forma general de la con fi guración para el paquete Quagga OSPF es:
• Añadir las interfaces según sea necesario, con las subredes locales de interfaz siendo marcados pasiva, y los condenados a otros enrutadores OSPF como activa.
• Con fi gura la configuración general según sea necesario con el router ID, ID de área, y así sucesivamente.
Ver también:
OpenVPN de sitio a sitio con Multi-WAN y OSPF contiene una fi guración ejemplo con de OSPF.
Solución de problemas de rutas
Cuando el diagnóstico de trá fi co cuestiones flujo, una de las primeras cosas que debe comprobar es la vías conocidas por pfSense.
Visualización de rutas
Hay dos formas de ver las rutas: A través de la WebGUI, ya través de la línea de comandos. Para ver las rutas en la WebGUI, vaya a Diagnóstico> Rutas y
de salida se muestra similar a la figura Visualización de la ruta .
Fig 14.10:. Visualización de la ruta
La salida de la línea de comandos es similar a la observada en el WebGUI:
# netstat tablas de
enrutamiento -rWn
Internet: Destino
Puerta banderas Utilizar MTU netif caducar
defecto 198.51.100.1 UGS 1822 1500 igb1
10.2.0.0/24 el enlace # 2 T 0 1500 igb0
10.2.0.1 el enlace # 2 UHS 0 16384 lo0
127.0.0.1 el enlace # 11 UH 204 16384 lo0
198.51.100.0/24 el enlace # 3 T 1181 1500 igb1
198.51.100.1 00: 08: A2: 09: 95: UHS b6 2789 1500 igb1
198.51.100.2 el enlace # 3 UHS 0 16384 lo0
Las columnas que se muestran en estas pantallas indican diversas propiedades de las rutas, y se explican más adelante en esta sección.

Destino
Esta columna contiene el host de destino o de la red. La ruta por defecto para el sistema simplemente se muestra como defecto.
De lo contrario, los anfitriones se enumeran como por la dirección IP y redes aparecen con una dirección IP y la máscara de subred CIDR.
Puerta
Una puerta de enlace es el router a través del cual los paquetes que van a un destino específico son enviados. Si esta columna muestra un enlace, tales como el enlace # 1, entonces
que la red es directamente accesible por esa interfaz y no de encaminamiento especial es necesario. Si un host es visible con una dirección MAC, entonces es un anfitrión local
accesible con una entrada en la tabla ARP, y los paquetes se envían directamente a ésta.
banderas
Hay un buen número de banderas fl, todos los cuales están cubiertos en la página del manual de FreeBSD para netstat (1), reproducido en la Tabla
Banderas tabla de rutas y significados con algunas modificaciones.
Tabla 14.3: Banderas tabla de rutas y significados
Carta Bandera Sentido

1 RTF_PROTO1 Protocolo específico de enrutamiento fl ag # 1
segundo paquetes RTF_BLACKHOLE Descartar durante las actualizaciones b
RTF_BROADCAST Representa una dirección de difusión D

RTF_DYNAMIC Creado dinámicamente por redirección
GRAMO RTF_GATEWAY Destino requiere reenvío por intermediario

MARIDO RTF_HOST entrada de host (neto de otra manera)
L RTF_LLINFO protocolo válido para la traducción de direcciones de enlace
METRO RTF_MODIFIED Modi fi ed dinámicamente (por redirección) R

RTF_REJECT Host o red inalcanzable
S RTF_STATIC añadido manualmente
T RTF_UP ruta utilizable

x RTF_XRESOLVE daemon externo se traduce a proto dirección del enlace
Por ejemplo, una ruta fl agged como UGS es una ruta utilizable, los paquetes se envían a través de la puerta de entrada en la lista, y es una ruta estática.
refs
Esta columna cuenta el número actual de usos activos de una ruta determinada.
Utilizar
Este contador es el número total de paquetes enviados a través de esta ruta. Esto es útil para determinar si en realidad se está utilizando una ruta, ya que continuamente se
incremente en forma de paquetes utilizan la ruta.
netif
La interfaz de red utilizada para esta ruta.
14.7. Solución de problemas de rutas 253

Expirar
Para las entradas dinámicas, este campo muestra el tiempo hasta que esta ruta se extingue si no se utiliza de nuevo.
utilizando traceroute
Traceroute es una herramienta útil para la comprobación y verificación de rutas y la funcionalidad multi-WAN, entre otros usos. Se muestra cada “salto” a lo largo
de la ruta de un paquete viaja de un extremo al otro, junto con la latencia encontrado en llegar a ese punto intermedio. En pfSense, un traceroute se puede realizar
mediante la navegación a Diagnóstico> Traceroute, o mediante el uso de traceroute en la línea de comandos. De los clientes que ejecutan Windows, el programa
está disponible bajo el nombre
tracert.
Cada paquete IP contiene un tiempo-a-live (TTL). Cuando un router pasa un paquete, decrementa el TTL por uno. Cuando un router recibe un paquete con un
TTL de 1 y el destino no es una red conectada de forma local, el router devuelve un mensaje de error ICMP “Time-to-live superado” y descarta el paquete. Esto
es para limitar el impacto de los bucles de enrutamiento, que de otro modo causarían cada paquete para inde bucle infinitamente.
Traceroute utiliza esta TTL a su ventaja para trazar la ruta a un destino de red c específico. Se inicia mediante el envío del primer paquete de ficción con un
TTL de 1. El primer enrutador (por lo general la puerta de enlace predeterminada) devolverá un error ICMP-tiempo de vida superado. El tiempo entre el
envío del paquete y recibir el error ICMP es la hora que se muestra, aparece junto con la dirección IP que envía el error y su DNS inversa, si los hay.
Después de enviar tres paquetes con un TTL de 1 y mostrando sus tiempos de respuesta, se incrementará el TTL a 2 y envía tres paquetes más, teniendo
en cuenta la misma información para el segundo salto. Traceroute incrementa el TTL y repite el proceso hasta que alcanza el destino fi cado, o excede el
número máximo de saltos.
funciones de seguimiento de ruta ligeramente diferente en Windows y sistemas operativos basados en Unix (BSD, Linux, Mac OS X, Unix, etc.). Windows utiliza ICMP
paquetes de petición de eco (pings) mientras que los sistemas Unix utilizan paquetes UDP por defecto. ICMP y UDP son capa 4 protocolos, y traceroute se realiza en la
capa 3, por lo que el protocolo utilizado es en gran medida irrelevante excepto cuando se considera un encaminamiento de política con fi guración. Trazado de los clientes
de Windows será la política enruta basa en la regla que permite peticiones de eco ICMP, mientras que los clientes Unix serán enviados por la regla que coincide con los
puertos UDP en uso. En este ejemplo, traceroute se utiliza para ver la ruta hacia www.google.com:
# traceroute www.google.com
traceroute: Advertencia: www.google.com tiene varias direcciones; usando 74.125.95.99 traceroute a www.l.google.com (74.125.95.99), 64 lúpulo
max, 40 paquetes de byte 1 de núcleo (172.17.23.1) 1.450 ms 1.901 ms 2.213 ms
2 172.17.25.21 (172.17.25.21) 4,852 ms 3.698 ms 3.120 ms

3 bb1-g4-0-2.ipltin.ameritech.net (151.164.42.156) 3.275 ms 3.210 ms 3.215 ms
4 151.164.93.49 (151.164.93.49) 8,791 ms 8.593 ms 8.891 ms
5 74.125.48.117 (74.125.48.117) 8.460 ms 39.941 ms 8.551 ms
6 209.85.254.120 (209.85.254.120) 10.376 ms 8.904 ms 8.765 ms
7 209.85.241.22 (209.85.241.22) 19,479 ms 20.058 ms 19.550 ms
8 209.85.241.29 (209.85.241.29) 20.547 ms 19.761 ms
209.85.241.27 (209.85.241.27) 20.131 ms
9 209.85.240.49 (209.85.240.49) 30.184 ms
72.14.239.189 (72.14.239.189) 21.337 ms 21.756 ms
10 iw-in-f99.google.com (74.125.95.99) 19.793 ms 19.665 ms 20.603 ms
El resultado muestra que tardó 10 saltos para llegar allí, y la latencia generalmente aumenta con cada salto, que se espera.
Nota: Cuando se utiliza la política de enrutamiento, como withmulti-WAN, la fi cortafuegos en sí no puede aparecer como un salto en traceroute. Cuando se emplea
encaminamiento de política, pf no disminuye la TTL al reenviar paquetes, por lo traceroute no puede detectar como un enrutador intermedio.

Rutas y VPNs
Dependiendo de la VPN se utiliza, una ruta no se muestre en la tabla para el otro lado. IPsec no utiliza la tabla de enrutamiento, en su lugar se maneja internamente en
el núcleo usando entradas de la base política de seguridad IPsec (SPD). Las rutas estáticas no causarán trá fi co a ser dirigido a través de una conexión IPsec.
OpenVPN utiliza la tabla de enrutamiento del sistema y como tales entradas están presentes para las redes alcanzables a través de un túnel OpenVPN, como en el
siguiente ejemplo:
# netstat tablas de
enrutamiento -rWn
Internet: Destino
Puerta banderas Utilizar MTU netif caducar
defecto 198.51.100.1 UGS 92421 1500 em0
10.6.0.0/16 10.6.203.1 UGS 0 1500 ovpnc2
10.6.203.0/24 10.6.203.2 UGS 0 1500 ovpnc2
10.6.203.1 el enlace # 9 UH 0 1500 ovpnc2
10.6.203.2 el enlace # 9 UHS 0 16384 lo0
10.7.0.0/24 el enlace # 2 T 1260771 1500 em1
10.7.0.1 el enlace # 2 UHS 0 16384 lo0
127.0.0.1 el enlace # 7 UH 866 16384 lo0
198.51.100.0/24 el enlace # 1 T 1251477 1500 em0
198.51.100.7 el enlace # 1 UHS 0 16384 lo0
La interfaz OpenVPN es 10.6.203.2, con una puerta de enlace de 10.6.203.1 y la interfaz es ovpnc2. La red alcanzable usando OpenVPN en este
ejemplo es 10.6.0.0/16.
Con IPsec, traceroute no es tan útil como con configuraciones enrutadas como OpenVPN, porque el propio túnel IPsec no tiene direcciones IP. Cuando se
ejecuta traceroute a un destino a través de IPsec, un tiempo de espera se mostrará para el salto que es el túnel IPsec.
Una de las funciones principales de un cortafuego es el enrutamiento tráfico c. Este capítulo trata sobre diversos temas relacionados con el enrutamiento, incluyendo pasarelas, las rutas estáticas,
los protocolos de enrutamiento, el enrutamiento de direcciones IP públicas, y mostrar la información de enrutamiento.
14.7. Solución de problemas de rutas 255


CAPÍTULO
QUINCE
PUENTE
La creación de un puente
En pfSense, se añaden puentes y removidos en Interfaces> (asignar) sobre el puentes lengüeta. El uso de puentes, cualquier número de puertos puede unirse entre sí con
facilidad. Cada puente creado en la interfaz gráfica de usuario también creará una nueva interfaz de puente en el sistema operativo, llamado bridgeX dónde x comienza en 0 y se
incrementa en uno para cada nuevo puente. Estas interfaces pueden ser asignados y utilizados como la mayoría de otras interfaces, que se discute más adelante en este
capítulo. Para crear un puente:
• Navegar a Interfaces> (asignar) sobre el puentes lengüeta.
• Hacer clic Añadir para crear un nuevo puente.
• Seleccione al menos una entrada de Interfaces miembros. Seleccione las que sea necesario el uso de Ctrl hacer clic.
• Agrega un Descripción Si es deseado.
• Hacer clic Mostrar opciones avanzadas para revisar los parámetros de con fi guración restantes según sea necesario. Para la mayoría de los casos son innecesarios.
• Hacer clic Salvar para completar el puente.
Nota: Un puente puede consistir en una única interfaz de miembro, que puede ayudar con la migración a una con fi guración con un puente asignado, o para hacer un
simple puerto SPAN / espejo.
Opciones avanzadas Bridge
Existen numerosas opciones avanzadas para un puente y sus miembros. Algunos de estos parámetros son un poco complicado, por lo que se discute en
esta sección.
(Rapid) Spanning Tree Opciones
Spanning Tree es un protocolo que ayuda a los interruptores y dispositivos de determinar si hay un lazo y lo cortaron según sea necesario para evitar que el bucle
de dañar la red. Hay bastantes opciones que controlan cómo se comporta abarca los árboles que permiten ciertos supuestos para ser hechas sobre los puertos
mercantiles o para asegurar que ciertos puentes tienen prioridad en el caso de un bucle o enlaces redundantes. Más información sobre STP se puede encontrar en
el FreeBSD ifcon fi g (8) página hombre, y en Wikipedia .
257
Protocolo
los Protocolo controla si el puente utilizará el protocolo de árbol de expansión IEEE 802.1D ( STP) o Rapid Spanning Tree Protocol IEEE 802.1wy ( RSTP).
RSTP es un protocolo nuevo, y como su nombre indica opera mucho más rápido que el STP, pero es compatible con versiones anteriores. El estándar
802.1D-2004 IEEE nuevo se basa en RSTP y STP hace obsoleta.
Seleccionar STP sólo cuando más viejos aparatos de conexión está en uso que no se comporta bien con RSTP.
STP Interfaces
los STP Interfaces Lista re fl eja los miembros de puente sobre el cual se habilita STP. Ctrl haga clic para seleccionar elementos de puente para su uso con STP.
Tiempo valido
Selecciona el Tiempo valido para una con fi guración Protocolo de árbol de expansión. El valor por defecto es 20 segundos. El mínimo es 6 segundo y el máximo es de 40 segundos.
Tiempo hacia adelante
los Tiempo hacia adelante opción establece el tiempo que debe transcurrir antes de que comience una interfaz de reenvío de paquetes cuando el árbol de expansión está activado. El
valor por defecto es 15 segundos. El mínimo es 4 segundo y el máximo es de 30 segundos.
Nota: Un retardo más largo será notado por los clientes conectados directamente, ya que no serán capaces de pasar tráfico c, incluso para obtener una dirección IP a través
de DHCP, hasta que su interfaz pasa modo de reenvío.
Hello Time
los Hello Time opción establece el tiempo entre la emisión de mensajes con fi guración Spanning Tree Protocol. los
Hello Time sólo puede ser cambiado cuando se opera en el modo tradicional de STP. El valor por defecto es 2 segundos. El mínimo es 1
segundo y el máximo es 2 segundos.
prioridad del puente
los prioridad del puente para Árbol de expansión controla si o no este puente sería seleccionado para el primer caso de detectarse un bucle de bloqueo. El
valor por defecto es 32768. El mínimo es 0 y el máximo es 61440. Los valores deben ser un múltiplo de 4096. prioridades más bajas se dan precedencia, y
valores inferiores a 32768 indicar condiciones para ser un puente raíz.
la cuenta mantenida
la transmisión la cuenta mantenida para Spanning Tree es el número de paquetes transmitidos antes de ser tasa limitada. El valor por defecto es 6. El mínimo
es 1 y el máximo es 10.
258 Capítulo 15. Bridging

Prioridades de puerto
los Prioridad campos establecen la prioridad del árbol extensible para cada interfaz miembro de puente. prioridades más bajas se dan la preferencia al momento de decidir
qué puertos para bloquear y que permanecen expedición. prioridad por defecto es 128, y debe estar entre
0 y 240.
costes de ruta
los Path Cost campos establece el coste de la ruta del árbol de expansión para cada miembro de puente. El valor por defecto se calcula a partir de la velocidad del enlace. Para
cambiar un costo de ruta previamente seleccionada de nuevo a automático, establecer el costo de 0. El mínimo es 1 y el máximo es 200000000. caminos de menor costo se
prefieren al tomar una decisión sobre qué puertos para bloquear y los que deben permanecer expedición.
Configuración de caché
Tamaño del caché establece el tamaño máximo de la memoria caché de direcciones puente, similar al MAC o tabla CAM en un interruptor. El valor por defecto es 100 entradas. Si
va a haber un gran número de dispositivos que se comunican a través del puente, ajuste este superior.
entrada de caché de tiempo de expiración controla el tiempo de espera de entradas de caché de direcciones en cuestión de segundos. Si se establece en 0, entonces no se venció entradas de
caché de direcciones. El valor por defecto es 240 segundos (cuatro minutos).
Puerto Span
Selección de una interfaz como la puerto Span en el puente transmitirá una copia de cada trama recibida por el puente a la interfaz seleccionada. Esto es
muy útil para husmear una red con puentes de forma pasiva en otro host conectado a los puertos de luz del puente con algo como Snort, tcpdump, etc. El
puerto rango seleccionado no puede ser miembro de un puerto en el puente.
Edge Puertos / Puertos automáticas Edge
Si una interfaz se configura como una puerto de borde, se supone siempre para ser conectado a un dispositivo final, y Nunca a un conmutador; Se asume que el puerto no puede
crear un bucle de capa 2. Sólo establecer esto en un puerto cuando nunca estará conectado a otro switch. Por puertos predeterminados detectar automáticamente el estado del
borde, y pueden seleccionarse en Auto Edge puertos a inhabilitar
este comportamiento detección automática de bordes.
PTP Puertos / Puertos automático PTP
Si una interfaz se configura como una puerto PTP, siempre se supone que está conectado a un conmutador, y no a un dispositivo de usuario final; Se supone que el puerto
potencialmente puede crear un bucle de capa 2. Sólo debe estar habilitado en los puertos que están conectados a otros conmutadores habilitados para RSTP. Por puertos
predeterminados detectar automáticamente el estado de PTP, y pueden seleccionarse en Auto
puertos PTP a inhabilitar este comportamiento automático de detección de PTP.
Puertos pegajosas
Una interfaz seleccionada en Puertos pegajosas tendrá sus direcciones aprendidas dinámicamente caché como si fueran estática vez que entran en la memoria caché. entradas
pegajosas no se eliminan de la memoria caché de direcciones, incluso si aparecen en una interfaz diferente. Esto se podría utilizar una medida de seguridad para garantizar que los
dispositivos no se pueden mover entre los puertos de forma arbitraria.
15.2. Opciones avanzadas Bridge 259

Puertos privados
Una interfaz marcado como Puerto privado No se comunicará con cualquier otro puerto marcado como Puerto Privado. Esto puede ser usado para aislar a los usuarios finales
o secciones de una red entre sí si están conectados a los puertos de puente separados marcados de esta manera. Funciona de manera similar a “VLAN privada” o
aislamiento del cliente en un punto de acceso inalámbrico.
Bridging e Interfaces
Una interfaz de puente (por ejemplo, bridge0) en sí puede ser asignado como interfaz. Esto permite que el puente de actuar como una interfaz normal y tener una dirección IP que se
le imponga en lugar de una interfaz de miembro.
Con fi gurar la dirección IP en el puente en sí es mejor en casi todos los casos. La razón principal de esto es debido al hecho de que los puentes
son dependientes del estado de la interfaz sobre la que se asigna la dirección IP. Si la dirección IP para el puente es con fi gurado en una interfaz
de miembro y que la interfaz está abajo, todo el puente será hacia abajo y ya no pasa de trá fi co. El caso más común de esto es una interfaz
inalámbrica puenteada a una red LAN Ethernet NIC. Si la tarjeta de red LAN está desconectado, la radio estaría muerto a menos que la dirección
IP se ha con fi gurado en la interfaz de puente y no LAN. Otra razón es que si limitadores deben ser utilizados para el control de trá fi co, entonces
tiene que haber una dirección IP en la interfaz de puente para que funcionen correctamente. Igualmente,
El intercambio de misiones de interfaz
Antes de entrar demasiado en hablar de moverse asignación de las interfaces puente, hay que señalar que estos cambios deben hacerse desde un puerto que está no involucrado
en el puente. Por ejemplo, si la reducción de WLAN para LAN, realizar el cambio de WAN u otro puerto OPT. Alternativamente, descarga una copia de seguridad config.xml
y hacer los cambios manualmente. El intento de hacer cambios a un puerto mientras que la gestión del cortafuego de ese puerto lo más probable es la pérdida
resultado del acceso a la interfaz gráfica de usuario, dejando el cortafuego inalcanzable.
Fácil Método: Mover la configuración a la nueva interfaz
La forma más fácil, aunque no la más rápida, ruta en la interfaz gráfica de usuario es eliminar la configuración de la interfaz LAN de forma individual (dirección IP, DHCP,
etc) y luego activarlos en la interfaz de puente recién asignado.
Rápido, pero difícil: Reasignar el puente como LAN
Aunque este método es un poco más complicado que mover los ajustes, puede ser mucho más rápido, especialmente en los casos en los que hay un montón de reglas fi
cortafuego en LAN o un complejo con fi guración DHCP. En este método, se requiere algún aro de salto, pero en última instancia el puente termina como la interfaz LAN, y
se conserva la dirección IP de la LAN, todas las reglas fi cortafuego antiguos, DHCP, y la otra interfaz con fi guración.
• Asignar y con fi gurar los miembros de puente que aún no han sido manipulados. Revisar los pasos a continuación para asegurar los ajustes de la interfaz
son correctas, incluso si las interfaces ya han sido asignados y con fi gurada.
- Navegar a Interfaces> (asignar)
- Elegir la interfaz de la puertos de red disponibles lista
- Hacer clic Añadir
- Navegar a la página nueva configuración con fi interfaz, por ejemplo, Interfaces> OPT2
- Comprobar Habilitar
- Entrar a Descripción como WiredLAN2

- establecer tanto Con IPv4 Tipo fi guración y Con IPv6 Tipo fi guración a Ninguna
- desactive tanto Bloquear las redes privadas y redes de bloques Bogon Si está marcada
- Hacer clic Salvar
- Hacer clic Aplicar cambios
- Repita para miembros de puente futuras adicionales sin asignar
• Crear el nuevo puente
- Navegar a Interfaces> (asignar) sobre el puentes lengüeta
- Hacer clic Añadir para crear un nuevo puente
- Entrar a Descripción, como Puente de LAN
- Seleccione todos los nuevos miembros de puente EXCEPTO el LAN interfaz en el interfaces de miembros lista
- Clic en Guardar
• Cambiar el fi ltrado puente sistema sintonizable desactivar miembro de interfaz fi ltrado
- Navegar a Sistema> Opciones avanzadas, sistema optimizables lengüeta
- Busque la entrada de net.link.bridge.p l_member fi o crear una nueva entrada si no existe uno, usando ese nombre para el sintonizable
- Hacer clic para editar una entrada existente
- Entrar 0 en el Valor campo
- Hacer clic Salvar
• Cambiar la asignación de LAN a bridge0
• Asignar y con fi gura la interfaz LAN de edad como se describió anteriormente, el establecimiento de sus tipos con fi guración IP para Ninguna
y nombrarlo WiredLAN
• Editar el puente y seleccionar el recién asignado WiredLAN como un elemento de puente
• Cambiar el fi ltrado puente sistema sintonizable para permitir que el puente interfaz de fi ltrado
- Usar el procedimiento descrito anteriormente, pero establecer net.link.bridge.p l_bridge fi a 1
Ahora la antigua interfaz LAN, junto con los nuevos miembros de puente, son todos en una capa común 2 con el puente asignado como LAN junto con
los otros con fi guración.
Más rápida pero más di fi culto: Mano Editar con fi g.xml
edición de la mano config.xml puede ser muy rápido para aquellos que están familiarizados con el formato de con fi guración en XML. Este método es fácil equivocarse, sin embargo, así que
asegúrese de tener copias de seguridad y el soporte de instalación de cerca por si se comete un error. Cuando la edición de la mano config.xml para llevar a cabo esta tarea, haga lo
siguiente:
• Asignar los miembros de puente adicionales y establecer sus tipos con fi guración IP para Ninguna
• Crear el puente, incluyendo LAN y LAN2 y otros miembros de puente
• Asignar el puente (por ejemplo, como OPT2) y permitir que, también con un con IP tipo fi guración de Ninguna
• Descargar una copia de seguridad de config.xml de Diagnóstico> Backup / Restore
15.3. Bridging e Interfaces 261

• Abierto config.xml en un editor de texto que comprende los finales de línea UNIX
• Cambiar el LAN asignación a bridge0
• Cambiar la antigua LAN asignación a lo que solía ser el puente (por ejemplo, OPT2)
• Editar el puente definición para referirse a OPT2 y no LAN
• Guardar los cambios
• Restaurar el editada config.xml de Diagnóstico> Backup / Restore
El cortafuego se reiniciará con la configuración deseada. Monitorear la consola para asegurar los ajustes se aplicaron correctamente y que no se encuentran errores durante
la secuencia de arranque.
Las direcciones MAC asignadas puente y de Windows
La dirección MAC de un puente se determina al azar cuando se crea el puente, ya sea en el momento de arranque o cuando se crea un nuevo puente. Esto significa que en
cada reinicio, la dirección MAC se puede cambiar. En muchos casos esto no importa, pero Windows Vista, 7, 8, 10 y utilice la dirección MAC de la puerta de entrada para
determinar si están en una red específica. Si el MAC cambia, la identidad de red va a cambiar y su condición de organizaciones públicas, privadas, etc., puede ser
necesario corregir. Para solucionar este problema, introducir una dirección MAC de la interfaz del puente asignado a la simulan. A continuación, los clientes siempre verán
la misma MAC para la dirección de puerta de enlace IP.
Puente y fi rewalling
Filtrado con funciones similares a las interfaces con puente interfaces de ruta, pero hay algunas opciones de con fi guración de alterar exactamente cómo se comporta el fi
ltrado. Por defecto, las normas fi cortafuego se aplican en cada interfaz miembro del puente sobre una base de entrada, al igual que cualquier otra interfaz de enrutado.
Es posible decidir si el fi ltrado ocurre en las interfaces miembro de puente, o en la propia interfaz de puente. Esto es controlado por dos valores en Sistema>
Avanzado sobre el sistema optimizables pestaña, como se ve en la figura Puente de filtrado optimizables . los net.link.bridge.p l_member fi controles
ajustables o no las reglas serán honrados en las interfaces miembros de puente. Por defecto, este es el ( 1). los net.link.bridge.p l_bridge fi controles
ajustables o no las reglas serán honrados en la propia interfaz de puente. Por defecto, este está apagado ( 0). Al menos uno de ellos debe establecerse en
1.
Fig. 15.1: Puente de Filtrado optimizables
Cuando fi ltrado en la propia interfaz de puente, trá fi co llegará a las reglas a medida que entra desde cualquier interfaz miembro. Las reglas siguen siendo considerados “de
entrada” como cualquier otra norma de interfaz, pero funcionan más como un grupo de interfaces ya que las mismas reglas se aplican a cada interfaz miembro.
Macros de reglas de cortafuegos
Sólo una interfaz de un puente tendrá un conjunto de direcciones IP, los otros no tienen ninguno. Por estas interfaces, sus macros fi cortafuego como dirección OPT1 y neta
OPT1 son inde fi nida ya que la interfaz no tiene una dirección y por lo tanto no subred. Si fi ltrado se realiza en elementos de puente, tenga en cuenta este hecho
cuando la elaboración de reglas y una relación explícita de la subred o utilizar las macros para el interfaz donde reside la dirección IP.

Un puente entre dos redes internas
Cuando puente entre dos redes internas como se describe en Puentes internos hay algunas consideraciones especiales para poder tomar por ciertos servicios en el
cortafuego.
Nota: Hay requisitos y restricciones adicionales cuando la reducción de las interfaces inalámbricas debido a la forma 802.11 funciones. Ver Bridging e
inalámbrico para más información.
DHCP y puentes internos
Cuando la reducción de una red interna a otra, dos cosas deben hacerse. En primer lugar, asegúrese de que DHCP está funcionando solamente en la interfaz que contiene la
dirección IP y no los miembros de puente sin una dirección. En segundo lugar, una regla adicional cortafuego puede ser necesario en la parte superior de las normas sobre las
interfaces de miembros para permitir el tráfico DHCP fi co.
Nota: Esto sólo se aplica a fi ltrado que se realiza en las interfaces miembros, no fi ltrado realizado en el puente.
Al crear una regla para permitir tráfico c en una interfaz, normalmente la fuente es específico ed similar a OPT1 subred de modo que sólo tráfico c de esa subred se
deja fuera de ese segmento. Con DHCP, eso no es suficiente. Debido a que un cliente todavía no tiene una dirección IP, una solicitud de DHCP se realiza como
una emisión. Para dar cabida a estas peticiones, crear una regla en las interfaces miembro de puente con los siguientes ajustes:
• Navegar a Cortafuegos> Reglas en la ficha para el miembro de puente
• Protocolo: UDP
• Fuente: 0.0.0.0
• Puerto de origen: 68
• Destino: 255.255.255.255
• Puerto de destino: 67
• Descripción que indica esta voluntad Permitir DHCP
• Hacer clic Salvar y Aplicar cambios
La regla se parecerá a la figura De reglas de cortafuegos para permitir DHCP .
Fig. 15.2: reglas de cortafuegos para permitir DHCP
Después de añadir la regla, los clientes en el segmento de puente será capaz de realizar con éxito las solicitudes al proceso de DHCP escucha en la interfaz a la que
se tiende un puente.
15.5. Un puente entre dos redes internas 263

DHCPv6 es un poco más complicado para permitir ya que se comunica hacia y desde ambas direcciones IPv6 de enlace local y multicast. Ver figura Regla
de cortafuegos para permitir tanto DHCP y DHCPv6 para la lista de reglas requeridas. Estos pueden ser simplificarse con alias en una o dos reglas que
contienen la red fuente adecuada, red de destino, y los puertos.
Fig. 15.3: reglas de firewall para permitir que tanto DHCP y DHCPv6
interoperabilidad puente
las interfaces con puente son diferentes de las interfaces normales en algunos aspectos, por lo tanto, hay algunas características que son incom- ble con el puente, y
otros donde se deben realizar consideraciones adicionales para acomodar puente. Esta sección cubre características que funcionan de manera diferente con el puente
que con las interfaces sin puente.
portal cautivo
portal cautivo ( portal cautivo ) No es compatible con puente transparente, ya que requiere un IP en la interfaz siendo puenteado, que se utiliza para servir a los
contenidos del portal, y que IP debe ser la puerta de entrada para los clientes. Esto significa que no es posible, por ejemplo, para tender un puente LAN y WAN y la
esperanza de captar clientes con el portal. Esto puede funcionar cuando se enlaza múltiples local interfaces a todo ruta a través de pfSense (por ejemplo, LAN1, LAN2,
LAN3, etc). Se trabajará si se asigna la interfaz de puente, la interfaz de puente tiene una dirección IP, y que la dirección IP se utiliza como puerta de entrada por los
clientes en el puente. Ver El intercambio de misiones de interfaz para un procedimiento para colocar la dirección IP en una interfaz de puente asignado.
Alta disponibilidad
Alta disponibilidad ( Alta disponibilidad ) No se recomienda con el puente en este momento. Algunos han tenido un éxito relativo con la combinación de los dos en el
pasado, pero el gran cuidado se debe tomar para manejar bucles de Capa 2, que son inevitables en un escenario puente HA +. Cuando se puentean dos segmentos de
red, que son, en efecto, fusionado en una sola red de mayor tamaño, como se ha discutido anteriormente en este capítulo. Cuando se añade HA en la mezcla, que
significa que habrá dos caminos entre los interruptores para cada interfaz respectiva, creando un bucle.
switches gestionados pueden manejar esto con Spanning Tree Protocol (STP), pero switches no tienen defensas contra bucle. Si no se controla, un bucle
traerá una red de rodillas y hacer que sea imposible pasar cualquier trá fi co. STP puede ser con fi gurada en los puentes para ayudar, aunque todavía
puede haber resultados inesperados.

Multi-WAN
puente transparente, por su naturaleza es incompatible con multi-WAN en muchos de sus usos. Cuando se utiliza de puente entre una WAN y una interfaz de LAN /
OPT, comúnmente algo distinto de pfSense será la puerta de enlace por defecto para los hosts en la interfaz de puente, y que router es el único dispositivo que puede
dirigir tráfico c de estos equipos. Esto no impide multi-WAN de ser utilizado con otras interfaces en el mismo cortafuego que no están puenteados, que sólo afecta a los
anfitriones en las interfaces de puente donde utilizan algo más que pfSense como su puerta de enlace predeterminada. Si múltiples interfaces internas están
puenteados juntos y pfSense es la puerta de enlace por defecto para los anfitriones en las interfaces con puente, a continuación, multi-WAN se puede utilizar el mismo
que con interfaces no puenteado.
limitadores
Para limitadores para funcionar con puente, el puente en sí debe ser asignado y la interfaz de puente deben tener la dirección IP y no una interfaz de
miembro.
LAN NAT y proxies transparentes
Por delante del puerto de la LAN, o proxies transparentes que utilizan redirecciones de puertos de LAN para capturar trá fi co, para funcionar en un escenario de puente,
la situación es la misma que portal cautivo: Sólo funcionará para LAN bridges y no puentes WAN / LAN, la dirección IP debe estar en la interfaz de puente asignado, y que
la dirección IP debe ser utilizado como puerta de entrada para los clientes locales.
Esto significa que un paquete como calamar no puede trabajar en un escenario fi cortafuegos transparente, donde se tiende un puente de LAN a una WAN.
Normalmente cada interfaz en pfSense representa su propio dominio de difusión con una subred IP única. En algunas circunstancias es deseable o necesario
combinar múltiples interfaces en un único dominio de difusión, donde dos puertos en el cortafuego actuará como si están en el mismo interruptor, excepto
tráfico c entre las interfaces pueden ser controlados con reglas fi cortafuego. Normalmente esto se hace para múltiples interfaces actúan como si estuvieran en
la misma FL en red utilizando la misma subred IP y para que los clientes toda la difusión y multidifusión cuota de trá fi co.
Ciertas aplicaciones y dispositivos se basan en las emisiones a la función, pero estos se encuentran más comúnmente en entornos domésticos que los entornos
corporativos. Para una discusión práctica, véase Bridging e inalámbrico .
Para los servicios que se ejecutan en el cortafuego, puente puede ser problemático. Características tales como limitadores, portal cautivo, y proxies transparentes
requieren especial con fi guración y gastos de envío para trabajar en redes con puentes. Específicamente, el puente en sí debe ser asignado y la única interfaz en el
puente con una dirección IP debe ser el puente asignado. Además, a fin de que estas funciones trabajen, la dirección IP en el puente debe ser la dirección utilizada por
los clientes como su puerta de enlace. Estas cuestiones se analizan más en profundidad en interoperabilidad puente .
Tipos de puentes
Hay dos tipos distintos de puentes: puentes internos y puentes interna / externa. puentes internos se conectan dos interfaces locales tales como dos interfaces
LAN o una interfaz LAN y una interfaz inalámbrica. puentes internos / externos se conectan una red LAN a una WAN dando lugar a lo que comúnmente se llama
un “fi cortafuegos transparente”.
Puentes internos
Con un puente de tipo interno, puertos en el cortafuego están vinculadas de tal manera que se comportan de manera similar a los puertos de conmutación, aunque con la capacidad
de filtro de trá fi co en los puertos o puente y con un rendimiento mucho más bajo que un interruptor. El propio cortafuego es todavía visible a los clientes conectados locales y actúa
como puerta de entrada, y tal vez de DNS y servidor DHCP. Los clientes de los segmentos de puente pueden incluso no saben que hay un cortafuego entre ellos.
15.7. Tipos de puentes 265

Este tipo de con fi guración se elige comúnmente por los administradores para aislar y controlar una parte de la red, tal como un segmento inalámbrico, o para hacer
uso de los puertos adicionales en el cortafuego en lugar de un interruptor adecuado, donde la instalación de un interruptor, no sería práctico. Aunque no se
recomienda, este tipo de puente también se puede utilizar para unir dos redes remotas a través de ciertos tipos de conexiones VPN.
Ver también:
Los clientes con una pfSense Suscripción Oro puede acceder al Hangouts Archivo para ver el Hangouts se pueden 2015 sobre puntos de acceso inalámbricos
que incluyen ejemplos prácticos de puentes de tipo interno.
Puentes internos / externos
Un puente de tipo interno / externo, también conocido como un “fi cortafuegos transparente”, se utiliza para insertar un cortafuego entre dos segmentos sin alterar los otros
dispositivos. Más comúnmente esto se utiliza para tender un puente sobre una WAN a una red interna de modo que la subred WAN se puede usar “dentro” del cortafuego,
o internamente entre los segmentos locales como un filtro en línea. Otro uso común es para dispositivos detrás del cortafuego para obtener direcciones IP a través de
DHCP desde un servidor ascendente en la WAN.
En una fi transparente cortafuegos con fi guración el cortafuego no recibe la fi tráfico C directamente o actuar como una puerta de enlace, simplemente inspecciona el tráfico c a medida que
pasa a través del cortafuego.
Nota: Los dispositivos en el lado interno de este puente debe seguir utilizando la puerta de enlace ascendente como su propia puerta de enlace. No establecer cualquier dirección IP en el
cortafuego como puerta de entrada para dispositivos en un puente transparente.
NAT no es posible con este tipo de puente porque NAT requiere ser dirigida a la dirección MAC del cortafuego directamente con el fin de entrar en vigor el trá fi co.
Dado que el cortafuego no es la puerta de entrada, esto no sucede. Como tal, las reglas para capturar tráfico c tales como los utilizados por un proxy transparente
no funcionan.
Puenteo y bucles de Capa 2
Cuando puente, se debe tener cuidado para evitar bucles de Capa 2, o un interruptor con fi guración debe estar en el lugar que se ocupa de bucles. Un bucle de
capa 2 es cuando, ya sea directa o indirectamente, el conmutador tiene una conexión de nuevo a sí mismo. Si un cortafuego corriendo pfSense tiene interfaces
puenteados juntos, y dos interfaces están conectados en el mismo interruptor en la misma VLAN, un bucle de capa 2 se ha creado. La conexión de dos cables de
conexión entre dos interruptores también lo hace. switches gestionados emplean Spanning Tree Protocol (STP) para manejar este tipo de situaciones, ya que a
menudo es deseable tener múltiples enlaces entre conmutadores, y la red no deben ser expuestos para completar colapso por alguien de conectar un puerto de
red en otro puerto de red. STP no está activado por defecto en todos los switches gestionados, y casi nunca es disponible con switches no gestionados. Sin STP,
el resultado de un bucle de capa 2 es marcos en la red dará la vuelta sin fin y la red cesarán completamente de funcionar hasta que se retira el bucle. Compruebe
el interruptor de con fi guración para asegurar la función está habilitada y debidamente con fi gura.
pfSense permite STP en interfaces de puente para ayudar con bucles, pero todavía puede dar lugar a situaciones inesperadas. Por ejemplo, uno de los puertos de puente que cerraría sí
mismo hacia abajo para detener el bucle, que podría causar tráfico c para detener fl debido inesperadamente o pasar por alto el cortafuego por completo.
En pocas palabras, puente tiene el potencial para fundir completamente la red a menos que se conecta a nadie dispositivos en el interruptor es cuidadoso.

CAPÍTULO
DIECISÉIS
LAN virtuales (VLAN)
Terminología
En esta sección se define la terminología necesaria para implementar correctamente las VLAN.
Canalizaciones Trunking se refiere a un medio de llevar a varias VLAN en el mismo puerto del conmutador físico. los
marcos que salen de un puerto troncal están marcados con una etiqueta 802.1Q en la cabecera, lo que permite al dispositivo conectado a
diferenciar entre varias VLAN. puertos troncales se utilizan para conectar múltiples conmutadores y para conectar todos los dispositivos que son
capaces de etiquetado 802.1Q y que requieren el acceso a varias VLAN. Esto está limitado comúnmente para el cortafuego o enrutador que
proporciona conectividad entre las VLAN, en este caso, pfSense, así como cualquier conexión a otros conmutadores que contienen múltiples
VLANs.
ID de VLAN Cada VLAN tiene un número fi er identi (ID) para distinguir etiquetado tráfico c. Se trata de una serie
Entre 1 y 4094. La VLAN por defecto en los interruptores es VLAN 1, y esta VLAN no se debe usar al implementar VLAN
trunking. Esto se discute más en VLAN y Seguridad . Además de evitar el uso de VLAN 1, números de VLAN se pueden
elegir a voluntad. Algunos diseños comienzan con la VLAN 2 y el incremento por uno hasta que se alcanza el número
necesario de VLAN. Otro diseño común es utilizar el tercer octeto en la subred de la VLAN como el ID de VLAN. Por
ejemplo, si se utilizan 10.0.10.0/24, 10.0.20.0/24 y 10.0.30.0/24, es lógico utilizar VLAN 10, 20, y 30 respectivamente. Elegir
un esquema de asignación de VLAN ID que tenga sentido para un diseño de red dada.
interfaz de padres La interfaz física donde una VLAN reside se conoce como su Interfaz padres. por
ejemplo, igb0 o em0. Cuando las VLAN son fi con gurado en pfSense, cada uno se le asigna una interfaz virtual. El nombre de la interfaz virtual se
hace a mano mediante la combinación del nombre de la interfaz parental más el ID de VLAN. Por ejemplo, para la VLAN 20 en igb0, es el nombre de
interfaz igb0_vlan20.
Nota: La única función de la interfaz de los padres es, idealmente, para ser el padre de las VLAN definida de no utilizar directamente. En
algunas situaciones esto va a funcionar, pero puede causar di fi cultades con interruptor de con fi guración, y requiere el uso de la VLAN
por defecto en el puerto de enlace troncal, lo que es mejor evitar como se analiza en VLAN y Seguridad .
Puerto de acceso Un puerto de acceso se refiere a un puerto de switch que proporciona acceso a una única VLAN, donde los marcos
no están etiquetados con una cabecera 802.1Q. Los dispositivos de tipo cliente normales están conectados a los puertos de acceso, que comprenderán
la mayoría de los puertos de los dispositivos de conmutación de puertos de acceso no es necesario el conocimiento de las VLAN o etiquetado. Ellos ven
la red en su puerto de la misma como lo harían con un detector sin VLAN.
Doble etiquetado (QinQ) QinQ se refiere a la doble etiquetado de tráfico c, utilizando tanto un exterior e interior
etiqueta 802.1Q. Esto puede ser útil en grandes entornos de ISP, otras redes muy grandes, o redes que deben llevar múltiples VLANs a
través de un enlace que sólo admite una única etiqueta VLAN. Triple etiquetado también es posible. pfSense apoya QinQ, aunque no es
una característica muy utilizada. Estos tipos de ambientes en general, necesitan el tipo de poder de enrutamiento que sólo un enrutador
de gama alta ASIC-basa
267
puede soportar, y QinQ añade un nivel de complejidad que es innecesario en la mayoría de los entornos. Para obtener más información acerca
de con fi gurar QinQ en pfSense, véase pfSense QinQ Con fi guración .
VLAN privada (PVLAN) PVLAN, a veces llamado El aislamiento del puerto, se refiere a las capacidades de algunos
cambia a hosts segmento dentro de una única VLAN. alberga normalmente dentro de una única función VLAN el mismo que el de los
alojamientos de un único conmutador sin VLANs con fi gurada. PVLAN proporciona un medio de hosts ING prevenibles en una VLAN de hablar
con cualquier otro host en esa VLAN, sólo se permite la comunicación entre ese anfitrión y su pasarela por defecto. Esto no es directamente
relevante para pfSense, pero es una pregunta común. funcionalidad de switch como esta es la única manera de evitar la comunicación entre los
hosts de la misma subred. Sin una función como PVLAN, ninguna red inalámbrica cortafuegos puede controlar trá fi co dentro de una subred, ya
que nunca toca la puerta de enlace predeterminada.
VLAN y Seguridad
Las VLAN son una gran manera de segmentar una red y aíslan subredes, pero hay problemas de seguridad que deben tenerse en cuenta al diseñar e
implementar una solución que implica VLAN. VLAN no son inherentemente insegura, pero Miscon fi guración pueden dejar una red vulnerable. También ha
habido problemas de seguridad en las implementaciones anteriores interruptor de proveedores de VLAN.
Zonas confían segregantes
Debido a la posibilidad de Miscon fi guración, las redes de considerablemente diferentes niveles de confianza deben estar en conmutadores físicos
separados. Por ejemplo, mientras que el mismo interruptor técnicamente podría ser utilizado con VLANs para todas las redes internas, así como la
red fuera de las rewalls fi, que debe evitarse como una simple configuración Miscon fi del interruptor podría conducir a la ONU filtra el tráfico de
Internet fi entrar en la red interna c. Como mínimo, utilizar dos interruptores en tales escenarios: uno para fuera del cortafuego y uno dentro del
cortafuego. En muchos entornos, los segmentos de DMZ también se tratan por separado, en un tercer interruptor además de los interruptores de
WAN y LAN. En otros, el lado WAN está en su propio interruptor, mientras que todas las redes detrás del cortafuego están en los mismos
interruptores utilizando las VLAN.
El uso de la VLAN 1 por defecto
Debido a la VLAN 1 es el valor predeterminado ( “nativa”) VLAN, puede ser utilizado de manera inesperada por el interruptor. Es similar al uso de una política
predeterminada-permitir el cortafuego reglas en lugar de denegación predeterminada y seleccionar lo que se necesita. El uso de una VLAN diferente es siempre mejor, y
asegurarse de que sólo los puertos se seleccionan que debe estar en esa VLAN, para un mejor acceso límite. Interruptores enviarán protocolos internos tales como STP
(Spanning Tree Protocol), VTP (VLAN Trunking Protocol), y CDP (Cisco Protocolo Discover) no marcados sobre la VLAN nativa, donde los interruptores utilizan estos
protocolos. En general, es mejor para mantener que interna tráfico c aislado de tráfico de datos fi c.
Si es necesario utilizar VLAN 1, tener mucho cuidado para asignar cada puerto en cada cambio a una VLAN diferente, excepto aquellos que deben estar en la
VLAN 1, y no crean una interfaz de gestión para el cambio en la VLAN 1. La VLAN nativa de la grupo de interruptores también se debe cambiar a otro, sin
uso, VLAN. Algunos conmutadores pueden no apoyan ninguna de estas soluciones, y por eso es por lo general más fácil de mover datos a una VLAN
diferente en lugar de quejarse con la fabricación de la VLAN 1 disponible. Con VLAN ID 2 a 4094 para elegir, es sin duda mejor ignorar la VLAN 1 hora de
diseñar un nuevo esquema de VLAN.
El uso de VLAN por defecto de un puerto troncal
Cuando VLAN etiquetada trá fi co se envía a través de un tronco en la VLAN nativa, las etiquetas en los paquetes que coincidan con la VLAN nativa pueden ser despojados por el
interruptor para mantener la compatibilidad con las redes más antiguas. Peor aún, los paquetes que se doble etiquetados
268 Capítulo 16. LAN virtuales (VLAN)

con la VLAN nativa y una VLAN diferente sólo tendrá la etiqueta VLAN nativa elimina cuando trunking de esta manera y cuando se procesa más tarde, que
tráfico c puede terminar en una VLAN diferente. Esto también se llama “salto de VLAN”. Como se mencionó en la sección anterior, se asumirá ningún tráfico
sin etiquetar c en un puerto troncal ser la VLAN nativa, lo que también podría solaparse con una interfaz VLAN asignada. Dependiendo de cómo maneja el
interruptor de tales tra fi co y cómo es visto por pfSense, utilizando la interfaz directa podría dar lugar a dos interfaces de estar en la misma VLAN.
Limitar el acceso a los puertos troncales
Debido a un puerto troncal puede hablar con cualquier VLAN en un grupo de interruptores de concentración de enlaces, posiblemente, incluso los que no están presentes en el interruptor de
corriente en función de las configuraciones fi interruptor de la estafa, es importante que los puertos troncales físicamente seguro. También asegúrese de que no hay puertos con fi gurado para
canalización de cableado que quedan desenchufado y permitieron que alguien podría enganchar en una sola, accidentalmente o no. Dependiendo del interruptor, puede apoyar la negociación
dinámica de concentración de enlaces. Asegurarse de que esta funcionalidad está deshabilitado o adecuadamente restringido.
Otros problemas con los interruptores
A través de los años ha habido informes de casos raros en los conmutadores basados en VLAN se han filtrado a través de trá fi co VLAN mientras que bajo cargas
pesadas, o si una dirección MAC de un PC en una VLAN que se ve en otra VLAN. Estos problemas tienden a ser mayores con interruptores en obsoleta fi rmware o
interruptores de muy baja calidad administrado. Estos tipos de problemas se resolvieron en gran medida hace muchos años, cuando este tipo de problemas de seguridad
eran comunes. No importa qué interruptor fromwhat marca se utiliza para una red, la investigación para ver si se ha sometido a ningún tipo de pruebas de seguridad, y
garantizar la última fi rmware se carga en el interruptor. Si bien estas cuestiones son un problema con el interruptor, y no pfSense, que son parte de la seguridad general de
la red.
Muchos de los artículos aquí son específico a las marcas y modelos de interruptores particulares. Las consideraciones de seguridad difieren según el interruptor está utilizando en
una red. Consulte la documentación para obtener recomendaciones sobre la seguridad de VLAN.
pfSense VLAN Con fi guración
En esta sección se explica cómo las VLAN para con fi gurar en pfSense.
Consola de VLAN con fi guración
Las VLAN pueden ser con fi gurada en la consola mediante el asignar Interfaces función. El siguiente ejemplo muestra cómo con fi gura dos VLAN, ID
10 y 20, con igb0 como la interfaz de los padres. Las interfaces VLAN se asignan como OPT1 y OPT2:
0) Salir (sólo SSH) 9) pfTop

1) Interfaces Asignar 10) Los registros de filtro
2) la interfaz conjunto (s) dirección IP 11) de reinicio webConfigurator
3) Cambiar contraseña webConfigurator 12) pfSense la consola de desarrollo
4) Restablecer los valores predeterminados de fábrica 13) Actualización de la consola
5) Sistema de reinicio 14) Disable Secure Shell (sshd)
6) Sistema de Halt 15) Restaurar configuración reciente
7) anfitrión Ping 16) de reinicio PHP-FPM
8) Shell
Introduzca una opción: 1
interfaces válidas son:
16.3. pfSense VLAN Con fi guración 269

igb0 00: 08: A2: 09: 95: b5 (Arriba) de Intel (R) PRO / 1000 Conexión de red, Versión -
igb1 00: 08: A2: 09: 95: b6 (Arriba) de Intel (R) PRO / 1000 Conexión de red, Versión -
igb2 00: 08: A2: 09: 95: b1 (hacia abajo) de Intel (R) PRO / 1000 Conexión de red, Versión iGb3
00: 08: A2: 09: 95: B2 (hacia abajo) de Intel (R) PRO / 1000 Conexión de red, Versión iGb4
00: 08: A2: 09: 95: B3 (hacia abajo) de Intel (R) PRO / 1000 Conexión de red, Versión igb5
00: 08: A2: 09: 95: B3 (hacia abajo) de Intel (R) PRO / 1000 Conexión de red, Versión -
VLAN hacen necesario establecer primero?

Si no va a utilizar VLAN, o sólo para interfaces opcionales, es típico que decir que no aquí y utilizar el webConfigurator para configurar las VLAN
después, si es necesario.
VLAN deben establecerse ahora [y | n]? y
ADVERTENCIA: todas las VLAN existentes se borrarán si continúa!
¿Desea proceder [y | n]? y
Capaz interfaces de VLAN:
igb0 00: 08: A2: 09: 95: b5 (arriba)
igb1 00: 08: A2: 09: 95: b6 (arriba)
igb2 00: 08: A2: 09: 95: b1

iGb3 00: 08: A2: 09: 95: b2
iGb4 00: 08: A2: 09: 95: b3 (arriba)
igb5 00: 08: A2: 09: 95: b3 (arriba)
Introduzca el nombre de la interfaz principal para la nueva VLAN (o nada si ha terminado): igb2 introducir la etiqueta de VLAN (1-4094): 10
igb0 00: 08: A2: 09: 95: b5 (arriba)
igb1 00: 08: A2: 09: 95: b6 (arriba)
igb2 00: 08: A2: 09: 95: b1

iGb3 00: 08: A2: 09: 95: b2
iGb4 00: 08: A2: 09: 95: b3 (arriba)
igb5 00: 08: A2: 09: 95: b3 (arriba)
Introduzca el nombre de la interfaz principal para la nueva VLAN (o nada si ha terminado): igb2 introducir la etiqueta de VLAN (1-4094): 20
igb0 00: 08: A2: 09: 95: b5 (arriba)
igb1 00: 08: A2: 09: 95: b6 (arriba)
igb2 00: 08: A2: 09: 95: b1

iGb3 00: 08: A2: 09: 95: b2
iGb4 00: 08: A2: 09: 95: b3 (arriba)
igb5 00: 08: A2: 09: 95: b3 (arriba)
Introduzca el nombre de la interfaz principal para la nueva VLAN (o nada si terminó): <enter>
interfaces VLAN:
igb2_vlan10 etiqueta VLAN 10, la interfaz padres igb2

igb2_vlan20 etiqueta VLAN 20, la interfaz padres igb2
Si no se conocen los nombres de las interfaces, la detección automática puede

utilizar en su lugar. Para utilizar la detección automática, desconecte todas las interfaces antes de pulsar 'A' para
comenzar el proceso.
Introducir el nombre de la interfaz WAN o 'a' para la detección automática (igb0 igb1 igb2 iGb3 iGb4 igb5 igb2_vlan10
igb2_vlan20 o a): igb1
Introduzca el nombre de la interfaz LAN o 'a' para la detección automática NOTA: esto permite que el
modo completo cortafuegos / NAT.
(Igb0 igb2 iGb3 iGb4 igb5 igb2_vlan10 igb2_vlan20 una o nada si ha terminado): igb0
Introducir el nombre de la interfaz 1 Opcional o 'a' para la detección automática

(Igb2 iGb3 iGb4 igb5 igb2_vlan10 igb2_vlan20 una o nada si ha terminado): igb2_vlan10
Introduzca el nombre de la interfaz opcional de 2 o 'a' para la detección automática (igb2 iGb3 iGb4 igb5 igb2_vlan20 una o nada si
terminó): igb2_vlan20
Introduzca el nombre de la interfaz opcional de 3 o 'a' para la detección automática (igb2 iGb3 iGb4 igb5 una o nada
si terminó): <enter>
Las interfaces serán asignados de la siguiente manera:
WAN -> igb1 LAN ->

igb0
OPT1 -> igb2_vlan10 OPT2 ->
igb2_vlan20
¿Desea proceder [y | n]? y
configuración de la escritura ... hecho.

En un momento, mientras que los ajustes se RECARGANDO ... hecho!
Después de unos segundos, los ajustes fi cortafuego se recarga y el menú de la consola se vuelva a cargar.
Web interfaz VLAN con fi guración
En el sistema utilizado para este ejemplo, WAN y LAN son asignados como igb1 y igb0 respectivamente. También hay una igb2
interfaz que se utiliza como la interfaz VLAN padres. Para con fi gurar
las VLAN en la interfaz web pfSense:
• Navegar a Interfaces> (asignar) para ver la lista de interfaces.
• Haga clic en el VLAN lengüeta.
• Hacer clic Añadir para agregar una nueva VLAN
• Con fi gura la VLAN como se muestra en la figura Editar VLAN .
Interfaz de padres La interfaz física sobre la cual se utilizará esta etiqueta VLAN. En este caso, igb2
etiqueta VLAN El número de VLAN ID, en este caso, 10
prioridad VLAN Deje el valor predeterminado, en blanco
Descripción Parte del texto para identificar el propósito de la VLAN, tales como DMZ
• Hacer clic Salvar para volver a la lista de VLAN, que ahora incluye la VLAN que acaba de agregar 10.
• Repetir el proceso para agregar VLANs adicionales, tales como VLAN 20. Éstos se pueden ver en la figura lista de VLAN
Para asignar las VLAN a las interfaces:
16.3. pfSense VLAN Con fi guración 271

Fig. 16.1: Editar VLAN
Fig. 16.2: Lista de VLAN

• Haga clic en el Las asignaciones de interfaz lengüeta
• Seleccione la VLAN para añadir de la Puertos de red disponibles lista, como VLAN 10 en igb2 (DMZ)
• Hacer clic Añadir para asignar el puerto de red
• Repita los dos últimos pasos para asignar VLAN 20 en igb2 (Móviles)
Cuando terminado, las interfaces se verá como la figura Lista de las interfaces con las VLAN
Fig. 16.3: Lista de los Interfaces con VLANs
Las interfaces OPT basada en VLAN se comportan como cualquier otra interfaz OPT hacen, lo que significa que deben estar habilitadas, con fi gura, tener reglas fi cortafuego
añadido, y servicios como el servidor DHCP tendrán que ser con fi gurar si es necesario. Ver Interfaz de Con fi guración Fundamentos para más información sobre la con fi gurar
las interfaces opcionales.
Cambiar la VLAN con fi guración
En esta sección se proporciona orientación sobre la con fi gurar unas pocas variedades de interruptores para su uso con las VLAN. Esto ofrece orientaciones genéricas que
se aplicará a la mayoría si no todos los interruptores 802.1Q capaces, a continuación, va a cubrir con fi guración en los interruptores fi cas de Cisco, HP, Netgear, y Dell.
Tenga en cuenta que esto es lo mínimo con fi guración necesaria para la VLAN a la función, y que no muestra necesariamente el interruptor con guración fi seguro ideal para
cualquier entorno específico. Una discusión a fondo de la seguridad del conmutador está fuera del alcance de este libro.
vista general con fi guración del interruptor
Por lo general tres o cuatro cosas deben ser con fi gurada en los interruptores capaces de VLAN:
1. Añadir / definen las VLAN
La mayoría de los interruptores tienen un medio de de fi nir una lista de con fi gurado VLAN, y deben ser añadidos antes de que puedan ser con fi gurada en cualquier puerto.
2. Con fi gura el puerto de enlace troncal
El puerto al que se conecta pfSense debe ser con fi gura como un puerto de enlace troncal, etiquetar todas las VLAN posibles en la interfaz.
16.4. Cambiar la VLAN con fi guración 273

3. Con fi gura los puertos de acceso
puertos con fi gurar para hosts internos como puertos de acceso en las redes VLAN se desea, con sin etiquetar VLAN.
4. Con fi gura el ID de VLAN de puerto (PVID)
Algunos conmutadores requieren con fi gurar el PVID de los puertos de acceso. Este especí fi ca qué VLAN se utilizarán para el C Introducción tráfico que puerto del switch. Para
algunos interruptores que este es un proceso de un solo paso, por con fi gurar el puerto como un puerto de acceso en una VLAN particular, se etiqueta automáticamente trá fi co
que entra en ese puerto. Otros interruptores requieren que se trata de ficción con gurado en uno o dos lugares. Compruebe la documentación del conmutador para obtener más
información si no es uno detallada en este capítulo.
conmutadores basados en Cisco IOS
Con fi guración y el uso de VLAN en los switches de Cisco IOS es con un proceso bastante sencillo, teniendo sólo unos pocos comandos para crear y utilizar las VLAN,
puertos troncales, y la asignación de puertos a las VLAN. Muchos interruptores de otros fabricantes se comportan de manera similar a IOS, y utilizarán casi la misma sintaxis
si no es idéntico para con fi guración.
crear las VLAN
VLAN se pueden crear de forma independiente, o el uso de protocolos de VLAN Trunk (VTP). El uso de VTP puede ser más conveniente, ya que se propagará
automáticamente a la VLAN con fi guración a todos los interruptores en un dominio VTP, aunque también puede crear sus propios problemas de seguridad y
abrir posibilidades para inadvertidamente acabando con la VLAN con fi guración. Con VTP, para agregar otra VLAN que sólo tiene que ser con fi gurada en un
solo interruptor, y luego todos los demás interruptores de concentración de enlaces en el grupo pueden asignar puertos a esa VLAN. Si VLAN son con fi gurado
de forma independiente, deben ser añadidos a cada interruptor con la mano. Consulte la documentación de Cisco en VTP para asegurar una utilización con fi
guración de seguridad utilizado, y que no es propenso a la destrucción accidental. En una red con sólo unos pocos interruptores donde las VLAN no cambian
con frecuencia,
VLAN independiente
Para crear las VLAN independientes:
SO # base de datos de VLAN

sw (VLAN) # VLAN 10 de nombre "Servidores DMZ"
sw (VLAN) # VLAN 20 de nombre "Teléfonos"
sw (VLAN) # salida
VTP VLAN
Para configurar un interruptor para VTP y VLAN, crear una base de datos VTP en el interruptor principal y luego crear dos VLAN:
SO # base de datos de VLAN

sw (VLAN) # servidor VTP
sw (VLAN) # dominio VTP example.com
sw (VLAN) # VTP SuperSecret contraseña
sw (VLAN) # VLAN 10 de nombre "Servidores DMZ"
sw (VLAN) # VLAN 20 de nombre "Teléfonos"
sw (VLAN) # salida

Con fi gura puerto de enlace troncal
Para pfSense, un puerto de switch no sólo tiene que estar en modo de enlace troncal, sino que también debe utilizar el etiquetado 802.1Q. Esto se puede hacer de esta manera:
SW # configure terminal
sw (config) # interface FastEthernet 0/24 sw (config-if) # switchport modo
del tronco
sw (config-if) # switchport tronco encapsulación dot1q
Nota: En algunos interruptores nuevos Cisco IOS, el método de encapsulación ISL VLAN Cisco-propietario es obsoleto y ya no es compatible. Si un
interruptor no permite la dot1q encapsulación opción con fi guración, sólo es compatible
802.1Q y la encapsulación no tiene por qué ser especi fi cado.
Agregar puertos a la VLAN
Para agregar puertos a estas VLAN, para transferirlo como sigue:
SW # configure terminal
sw (config) # interface FastEthernet 0/12 sw (config-if) el modo de acceso #
switchport sw (config-if) acceso # switchport vlan 10
conmutadores basados Cisco CatOS
La creación de VLAN en CatOS es un poco diferente, aunque la terminología es lo mismo que usar VLAN bajo IOS. VLAN independientes y VTP son
posibles para mantener la base de datos de VLAN:
# servidor modo de ejemplo de dominio de VTP

# establecer SuperSecret passwd VTP
# configurar la VLAN 10 Nombre DMZ
# configurar la VLAN 20 teléfonos de nombre
A continuación, con fi gurar un puerto troncal para manejar automáticamente cada VLAN:
# establecer tronco 5/24 en dot1q 1-4094
A continuación, añadir los puertos a la VLAN:
# establecer VLAN 10 5 / 1-8

# establecer VLAN 20 5 / 9-15
HP ProCurve cambia
HP ProCurve interruptores sólo admiten enlaces troncales 802.1Q, por lo que no se necesita con fi guración para la encapsulación. En primer lugar, SSH o Telnet en el
interruptor y abrir el menú de gestión.
Habilitar el soporte de VLAN
En primer lugar, soporte VLAN se debe activar el interruptor, si no lo está ya:
1. Elegir Conmutar con fi guración
2. Elija Características avanzadas

3. Elegir VLAN Menú ...
4. Elegir Soporte VLAN
5. Conjunto Habilitar VLAN a Sí si no lo es ya, y elegir un número de VLAN. Cada vez que se cambia este valor
el interruptor debe ser reiniciado, por lo que asegurarse de que es lo suficientemente grande como para soportar la mayor cantidad de VLAN, según sea necesario.
6. Reinicie el interruptor para aplicar los cambios.
crear las VLAN
Antes de las VLAN se pueden asignar a los puertos, se deben crear las VLAN. En el menú fi guración del interruptor con:
2. Elija Características avanzadas
3. Elegir VLAN Menú ...
4. Elegir Nombres de VLAN
5. Elija Añadir
6. Introducir el VLAN ID, 10
7. Introduzca el nombre, DMZ
8. Elegir Salvar
9. Repita los pasos de Añadir a Salvar para cualquier VLAN restantes
Asignación de puertos a las VLAN Trunk
A continuación, con fi gurar el puerto de enlace troncal para el cortafuego, así como los puertos troncales que van a otros interruptores que contienen múltiples VLANs.
2. Elija VLAN Menú ...
3. Elegir Asignación de puertos de VLAN
4. Elegir Editar
5. Encuentre el puerto para asignar
6. Prensa espacio en la VLAN por defecto hasta que muestre No
7. Mover a la columna para cada una de las VLAN en este puerto de enlace troncal, y Prensa espacio hasta que muestre Etiquetado.
Cada VLAN en uso debe ser tocado en el puerto de enlace troncal.
Asignación de puertos de acceso a las VLAN
2. Elija VLAN Menú ...
3. Elegir Asignación de puertos de VLAN
4. Elegir Editar
5. Encuentre el puerto para asignar
6. Prensa espacio en VLAN por defecto hasta que muestre No

7. Mover a la columna para la VLAN a la que se le asignará este puerto
8. Prensa espacio hasta que muestre Sin etiquetar.
Los interruptores de Netgear Gestionados
Este ejemplo es sobre una GS108Tv1, pero otros modelos de NETGEAR son todos muy similares, si no idénticas. También hay varios otros proveedores, incluyendo Zyxel
que venden interruptores hechas por el mismo fabricante, utilizando la misma interfaz web con un logotipo diferente. Iniciar sesión en la interfaz web del interruptor para
comenzar.
La planificación de la VLAN con fi guración
Antes de con fi gurar el interruptor, se requieren varios elementos:
1. El número de VLAN para con fi gurar
2. Los ID a utilizar para la VLAN
3. ¿necesita cada puerto del switch con fi gurar
Para este ejemplo, se utiliza un orificio de 8 GS108Tv1, y será con fi gurada como se muestra en mesa Netgear GS108T
Con fi guración de VLAN .
Tabla 16.1: Netgear GS108T VLAN Con fi guración
puerto del switch modo VLAN VLAN asignada

1 el maletero 10 y 20, etiquetado
2 acceso 10 sin etiquetar
Habilitar VLAN 802.1Q
Para con fi gurar el interruptor de utilizar VLAN trunking 802.1Q:
• Navegue hasta la Sistema menú de la parte izquierda de la página
• Hacer clic Ajuste Grupo de VLAN, como se indica en la figura Grupo VLAN Configuración .
Fig 16.4:. Grupo VLAN Marco
• Seleccionar IEEE 802.1Q VLAN (Figura Habilitar VLAN 802.1Q ).
• Hacer clic DE ACUERDO para confirmar el cambio a trunking 802.1Q, como se muestra en la figura Con fi rm a cambio de VLAN 802.1Q .
Después de hacer clic en OK, la página se actualizará con el 802.1Q VLAN con fi guración como se muestra en la figura Predeterminado 802.1Q Con fi guración .

Fig. 16.5: Activar 802.1Q VLANs
Fig. 16.6: Con cambio fi rm a 802.1Q VLAN
Fig. 16.7: 802.1Q predeterminado Con fi guración

Añadir VLAN
Para este ejemplo, dos VLAN se añaden con IDs 10 y 20. Para agregar una VLAN:
• Haga clic en el Gestión de VLAN desplegable
• Hacer clic Añadir nueva VLAN como se muestra en la figura Añadir nueva VLAN .
Fig. 16.8: Añadir nueva VLAN
• Introduzca el ID de VLAN para esta nueva VLAN, tales como 10
• Hacer clic Aplicar. La pantalla de VLAN está ahora listo para con fi gurar VLAN 10 ( Figura Añadir VLAN 10 ).
• Hacer clic Añadir nueva VLAN de nuevo como se muestra en la figura Añadir nueva VLAN para agregar VLAN 20 ( Figura Añadir VLAN 20 ).
Fig. 16.9: Añadir VLAN 10
Añadir tantas VLAN, según sea necesario, y luego continuar a la siguiente sección.
Con fi gura el etiquetado VLAN
Cuando una VLAN se selecciona del Gestión de VLAN desplegable, que muestra la forma en que VLAN es con fi gura en cada puerto:
• UN blanco caja significa que el puerto no es un miembro de la VLAN seleccionada.
• Una caja que contiene T significa la VLAN se envía en ese puerto con la etiqueta 802.1Q.
• T indica que el puerto es un miembro de esa VLAN y que deja el puerto sin etiquetar.

Fig. 16.10: Añadir VLAN 20
El puerto de enlace troncal debe tener ambas VLAN agregan y etiquetados.
Advertencia: No cambie la con fi guración del puerto que se utiliza para acceder a la interfaz web del interruptor! Esto bloqueará el administrador del
interruptor. El único medio de recuperación en el GS108Tv2 está utilizando la restablecer los valores de fábrica botón, ya que no tiene una consola serie.
Para los interruptores que tienen consolas de serie, llevar un cable de módem nulo útil en la conectividad de red con el caso se pierde el interruptor. Con fi
gurar la VLAN de administración se expone más adelante en esta sección.
Haga clic en las casillas de debajo el número de puerto como se muestra en la Figura ref: fi gura-toggle-VLAN-pertenencia para alternar entre las tres opciones de VLAN.
Fig. 16.11: Toggle VLAN Membership
Con fi gura la VLAN 10 de miembro
Figura Con fi gura la VLAN 10 Membresía muestra VLAN 10 con fi gurada como se indica en la tabla tabla-NETGEAR-GS108T-vlancon fi guración. Los puertos de acceso en esta VLAN se
establecen en sin etiquetar mientras que el puerto de enlace troncal se pone a etiquetadas.
Con fi gura la VLAN 20 de miembro
Seleccionar 20 desde la administración VLAN desplegable para con fi gurar la pertenencia a la VLAN de puerto para 20.

Fig. 16.12: Con fi gura la VLAN 10 Membresía
Fig. 16.13: Con fi gura VLAN 20 Membership
cambio PVID
En los interruptores de Netgear, además del anteriormente con fi gura el etiquetado de los ajustes, el PVID también debe ser con fi gurado para especificar la VLAN se utiliza para las
tramas que entran en un puerto:
• Seleccionar PVID de la Gestión de VLAN desplegable como se muestra en la figura Ajuste PVID .
Fig. 16.14: PVID Marco
El ajuste por defecto es PVID VLAN 1 para todos los puertos, como se muestra en la figura PVID predeterminado Con fi guración .
• Cambiar el PVID para cada puerto de acceso, pero dejar el puerto de enlace troncal y el puerto utilizado para acceder a la interfaz de gestión interruptor en la posición 1.
Figura VLAN 10 y 20 PVID Con fi guración muestra el PVID con fi guración coincidir las asignaciones de puertos muestra en la Tabla Netgear GS108T VLAN
Con fi guración , con el puerto 8 que se utiliza para acceder a la interfaz de administración del conmutador.

Fig. 16.15: Defecto PVID Con fi guración
Fig. 16.16: VLAN 10 y 20 PVID Con fi guración
• Aplicar cambios cuando terminado
Retire la VLAN 1 con fi guración
Por defecto, todos los puertos son miembros de la VLAN 1 con las tramas de salida sin etiquetar. Para eliminar la VLAN 1 de los otros puertos:
• Seleccionar 1 (Default) desde el Gestión de VLAN desplegable
• Retire la VLAN 1 de todos los puertos excepto el utilizado para administrar el conmutador y el puerto de enlace troncal, para evitar ser desconectado.
En este ejemplo, el puerto 8 se utiliza para gestionar el cambio. Cuando terminado, la pantalla se verá como la figura Retire la VLAN 1 Membresía .
Fig. 16.17: Eliminar VLAN 1 Membership
• Aplicar cambios cuando terminado
Comprobar la funcionalidad de VLAN
Estafadores VLAN fi gurar en pfSense, incluido el servidor DHCP en las interfaces VLAN si es necesario. sistemas de enchufe en la fi gura puertos con acceso y
conectividad de prueba. Si todo funciona como se desea, continúe con el siguiente paso. Si las cosas no funcionan como se pretende, revisa el etiquetado y PVID
con fi guración en el interruptor, y la VLAN con fi guración y la asignación de las interfaces de pfSense.

Dell PowerConnect switches gestionados
La interfaz de administración de conmutadores Dell varía ligeramente entre los modelos, pero el procedimiento siguiente adecuarlas a la mayoría de los modelos. La con fi
guración es bastante similar en estilo a Cisco IOS. En primer lugar, crear las VLAN:
consola # config
(config) # base de datos de VLAN
(config - VLAN) # VLAN 10 nombre de los medios de Ethernet DMZ
(config - VLAN) # VLAN 20 teléfonos nombre ethernet medios
(config - VLAN) # salida
A continuación, configurar un puerto de enlace troncal:
(config) # interface Ethernet 1/1 (config-if) # switchport mode trunk
(config-if) # switchport vlan permitido añadir 1-4094 etiquetados (config-if) # exit
Por último, añadir los puertos a las VLAN:
Ethernet (config) # interface 1/15

(config-if) # switchport vlan permitido añadir 10 consola sin etiquetar (config-if) # exit
pfSense QinQ Con fi guración
QinQ, también conocido como IEEE 802.1ad o VLANs apilados, es un medio de VLAN de anidación etiquetada tráfico c dentro de paquetes que ya están VLAN
Tagged, o “doble etiquetado” el tráfico c.
QinQ se utiliza para mover grupos de VLAN a través de un único enlace que contiene una etiqueta exterior, como se puede encontrar en algunos ISP, Metro
Ethernet, o enlaces de centros de datos entre localizaciones. Puede ser una forma rápida / fácil de trunking VLAN en lugares sin tener una conexión troncal con
capacidad entre los sitios, siempre y cuando la infraestructura entre los lugares no elimina las etiquetas de los paquetes.
Configuración de interfaces de QinQ en pfSense es bastante simple:
• Haga clic en el QinQ lengüeta
• Hacer clic Añadir añadir una nueva entrada QinQ
• Con fi gura la entrada QinQ de la siguiente manera:
Interfaz de padres La interfaz que llevará el QinQ trá fi co.
etiqueta de primer nivel El ID de VLAN exterior en la interfaz QinQ, o el ID de VLAN dada por el proveedor
para el enlace de sitio a sitio.
Añade interfaz para grupos de interfaz QinQ Cuando se activa, se creará un nuevo grupo de interfaces
llamado QinQ que se puede utilizar para filtro de todas las subinterfaces QinQ a la vez. Cuando cientos o posiblemente miles de etiquetas
QinQ están presentes, lo que reduce en gran medida la cantidad de trabajo necesario para utilizar las interfaces QinQ
Descripción Texto opcional para referencia, que se utiliza para identificar la entrada
16.5. pfSense QinQ Con fi guración 283

Miembro (s) ID de VLAN para QinQ miembro de etiquetado. Esto se puede introducir una por fila haciendo clic
Añadir etiqueta, o en rangos tales como 100-150
• Hacer clic Salvar para completar la interfaz En el siguiente ejemplo (Figura QinQ ejemplo básico ), una interfaz QinQ es con fi gurado para llevar etiquetada tráfico c
para las VLAN 10 y 20 a través del enlace de iGb3 con una etiqueta de nivel primero de 2000.
Fig. 16.18: QinQ ejemplo básico
En figura Lista QinQ , esta entrada se muestra en la lista de resumen pestaña QinQ.
Fig. 16.19: Lista QinQ
El grupo automática de interfaz, que se muestra en la figura Grupo interfaz QinQ , no debe ser modificado manualmente. Debido a que estas interfaces no son asignados,
no es posible realizar modificaciones en el grupo sin romperlo. Para volver a crear el grupo, eliminarlo de la lista y luego editar y guardar la instancia QinQ de nuevo para
volver a agregarlo. Las reglas pueden ser añadidos a la QinQ lengüeta debajo Cortafuegos> Reglas para pasar tráfico c en ambas direcciones a través de los enlaces
QinQ.

Fig. 16.20: QinQ Grupo Interface
A partir de aquí, cómo se utilizan las interfaces QinQ es en su mayoría a las necesidades de la red. Lo más probable, las interfaces resultantes pueden ser asignados y luego con fi
gurado de alguna manera, o puenteados a sus VLANs equivalentes locales (por ejemplo, tender un puente sobre un igb2_vlan10 asignado a igb3_2000_10 y así sucesivamente).
El QinQ con fi guración será más o menos igual en ambos extremos de la configuración. Por ejemplo, si ambos lados utilizan idénticas configuraciones de
interfaz con fi, entonces tráfico c que deja sitio a cabo en igb3_2000_10 pasará a través de VLAN 2000 en iGb3, sale por el otro lado en la VLAN 2000 en iGb3
en el sitio B, y luego en igb3_2000_10 en el sitio B. VLANs permiten un interruptor para transportar múltiples dominios de difusión discretas, lo que permite un
único interruptor para funcionar como si se tratara de múltiples interruptores. VLAN se utilizan comúnmente para la segmentación de la red de la misma manera
que múltiples conmutadores pueden utilizarse: Para colocar hosts en un segmento c especificidad, aislado de otros segmentos. Cuando se emplea trunking entre
conmutadores, dispositivos en el mismo segmento no tienen que residen en el mismo interruptor. Los dispositivos que admiten enlaces troncales también
pueden comunicarse en múltiples VLAN a través de un solo puerto físico.
requisitos
Hay dos requisitos, los cuales se deben cumplir para implementar VLAN.
1. conmutador con capacidad de VLAN 802.1Q
Cada switch gestionado decente fabricado en los últimos 15 años es compatible con 802.1Q VLAN trunking.
Advertencia: VLAN no poder ser utilizado con un conmutador no administrado.
2. adaptador de red capaz de etiquetado VLAN
Se requiere una tarjeta de red que soporta el hardware etiquetado VLAN o tiene un apoyo a largo marco. Cada trama de VLAN tiene una etiqueta de 802.1Q 4 byte
añadido en la cabecera, por lo que el tamaño del marco puede ser de hasta 1522 bytes. Un etiquetado VLAN soporte de hardware NIC o marcos largos se requiere
debido a que otros adaptadores no funcionarán con los marcos más grandes de lo normal 1.518 bytes máximorendimiento 1500 MTU de Ethernet. Esto causará
grandes marcos que se cayó, lo que provoca problemas de rendimiento y estancamiento conexión.
Nota: Si un adaptador aparece como teniendo un apoyo a largo marco no garantiza la implementación específico de ese chipset NIC soporta adecuadamente los
marcos largos. Realtek rl (4) NIC son los mayores infractores. Muchos trabajarán definir, pero algunos no apoyar adecuadamente marcos largos, y algunos no
aceptará 802.1Q tramas etiquetadas en absoluto. Si se encuentran problemas usando una de las NIC que figuran en la ayuda del marco de largo, se
recomienda tratar una interfaz con el hardware de etiquetado VLAN de apoyo en su lugar. No tenemos conocimiento de ningún problemas similares con tarjetas
de red que figuran en el soporte de hardware VLAN.
interfaces Ethernet con soporte de hardware de VLAN:
16.6. requisitos 285

ae (4), la edad (4), alc (4), ale (4), bce (4), bge (4), BXE (4), cxgb (4), cxgbe (4), em (4), igb (4), ixgb (4), ixgbe (4), jme (4), msk (4), mxge (4), nxge (4), ESN (4),
Re (4), sge (4), Stge (4), Ti (4), TXP (4), vge (4).
interfaces Ethernet con la ayuda del marco de largo:
ax (4), bfe (4), CAS (4), dc (4), et (4), fwe (4), fxp (4), gema (4), HME (4), le (4), NFE (4), NVE (4), rl (4), sf (4), sis (4), sk (4), ste (4), tl (4), tx (4), vr (4), TEV (4),
xl (4).

CAPÍTULO
DE DIECISIETE
Conexiones WAN MÚLTIPLES
Multi-WAN Terminología y conceptos
Esta sección cubre la terminología y los conceptos necesarios para comprender desplegar múltiples WAN con pfSense.
De tipo WAN Interface
Una interfaz de tipo WAN es una interfaz a través del cual se puede llegar a la Internet, directa o indirectamente. La fi cortafuegos trata cualquier interfaz con una puerta de
enlace seleccionado en su Interfaces página del menú como una WAN. Por ejemplo, con una dirección IP estática de la WAN, Interfaces> WAN ha seleccionado una puerta de
enlace, tal como WAN_GW. Si esta selección de puerta de enlace no está presente, entonces la interfaz será tratada como una interfaz local. No seleccione una puerta de
entrada en el Interfaces entrada del menú para las interfaces locales. interfaces de dirección IP dinámica como DHCP y PPPoE reciben una puerta de enlace dinámico de forma
automática y se tratan siempre como WAN.
La presencia de una puerta de enlace en la interfaz con fi guración cambia el comportamiento cortafuego en tales interfaces de varias maneras. Por ejemplo, las
interfaces con un conjunto de puerta de enlace tienen responder a en sus reglas de cortafuego, que se utilizan como interfaces de salida para salida automática y híbrido
NAT, y se tratan como WANs por el asistente de tráfico c talladora.
Nota: interfaces locales y otras pueden tener una puerta de entrada definida bajo Sistema> Routing, mientras que la puerta de enlace no se elige bajo su
interfaz con fi guración, por ejemplo en Interfaces> LAN.
la política de enrutamiento
Política de encaminamiento se refiere a un medio de encaminamiento de tráfico c por más que la dirección IP de destino del tráfico c, como se hace con la tabla de enrutamiento
en la mayoría de sistemas operativos y routers. Esto se logra mediante el uso de una política de algún tipo, por lo general fi cortafuegos reglas o una lista de control de acceso.
En pfSense, la Puerta campo disponible al editar o añadir reglas fi cortafuego permite el uso de la política de enrutamiento. los Puerta campo contiene todas las pasarelas de fi
nido en el cortafuego bajo Sistema
> enrutamiento, más cualquier grupos de puerta de enlace.
Política de encaminamiento ofrece un medio poderoso de dirigir tráfico c a la interfaz WAN apropiado o otra puerta de enlace, ya que permite a juego nada una regla fi
cortafuegos puede igualar. Caciones hosts fi c, subredes, protocolos y más se pueden utilizar para dirigir tráfico c.
Nota: Recuerde que todas las reglas fi cortafuego incluyendo las reglas de políticas de encaminamiento se procesan en orden de arriba hacia abajo, y el primer partido de fi gana.
287
Grupos de puerta de enlace
grupos de puerta de enlace definen cómo un conjunto seleccionado de pasarelas proporcionan una funcionalidad de conmutación por error de equilibrio y / o carga. Se con fi gurado bajo Sistema>
Routing, sobre el Grupos de puerta de enlace lengüeta.
conmutación por error
conmutación por error se refiere a la capacidad de utilizar sólo una conexión WAN, pero cambiar a otra WAN si falla la conexión preferida. Esto es útil para
situaciones en cierta trá fi co, todas de trá fi co, debe utilizar uno especí fi co conexión WAN a menos que no esté disponible.
Ver también:
Al fracaso de una fi cortafuegos a otro, en lugar de uno PÁLIDO a otro, consulte Alta disponibilidad .
Balanceo de carga
los Balanceo de carga funcionalidad en pfSense permite tráfico c a ser distribuido a través de múltiples conexiones WAN de un modo round-robin. Esto se realiza en una conexión
per- base. Si una puerta de enlace que forma parte de un grupo de equilibrio de carga de falla, la interfaz se marca como hacia abajo y se retira de todos los grupos hasta
que se recupere.
Supervisar las direcciones IP
Cuando con fi gurar conmutación por error o el balanceo de carga, cada puerta de enlace está asociado con una dirección IP del monitor ( monitor de IP ). En un típico con fi guración, pfSense ping
a esta dirección IP y si deja de responder, la interfaz está marcado como hacia abajo. Opciones en el grupo de puerta de enlace se pueden seleccionar diferentes factores desencadenantes de
fallo, además de la pérdida de paquetes. Los otros factores desencadenantes son de alta latencia, una combinación de cualquiera de pérdida de paquetes o de alta latencia, o cuando el circuito
está abajo.
Lo que constituye un fracaso?
El tema es un poco más complejo que “si hace ping a la IP del monitor fallan, la interfaz se marca como hacia abajo.” Los criterios actuales para un fracaso dependen de
las opciones elegidas al crear el grupo de puerta de enlace y los ajustes individuales en una puerta de enlace.
Los ajustes para cada puerta de enlace que controlan cuándo se considera arriba y hacia abajo se discuten en todos Avanzado . Los umbrales para la pérdida de paquetes, latencia, el
tiempo de inactividad, e incluso el intervalo de sondeo de la puerta de entrada son todos individualmente con- fi gurable.
Matar Estado / conmutación forzada
Cuando una puerta de enlace ha fallado, pfSense, opcionalmente, puede ras todos los estados para obligar a los clientes a volver a conectar, y al hacerlo, se utilizará una puerta de entrada que
está en línea en lugar de una puerta de enlace que está abajo. Actualmente esto sólo funciona en un solo sentido, lo que significa que puede mover las conexiones fuera de una puerta de enlace
en su defecto, pero no puede obligarlos a volver si la puerta de entrada original, viene de nuevo en línea.
Este es un comportamiento opcional, activado por defecto. Para obtener información sobre cómo cambiar este ajuste, consulte Monitoreo de puerta de enlace .
288 Capítulo 17. Las conexiones WAN múltiples

Traf fi que sale de la fi cortafuegos en sí se utilice la entrada de defecto a menos que una ruta estática envía el paquete a lo largo de un camino diferente c. Si la puerta de enlace
predeterminada está en una WAN que está abajo, demonios en el cortafuego serán incapaces de realizar conexiones salientes, dependiendo de las capacidades del demonio y su
con fi guración. Cuando Puerta de enlace predeterminada de conmutación
( Puerta de enlace predeterminada de conmutación ) está activada, la puerta de enlace predeterminada para el cortafuego se cambiará a la siguiente puerta de enlace disponible si falla la puerta de
enlace predeterminada normal, y luego cambió de nuevo cuando esa WAN se recupere.
Política de Enrutamiento, equilibrio de carga y conmutación por error Estrategias
En esta sección se proporciona orientación sobre objetivos comunes Multi-WAN y cómo se logra con pfSense.
La agregación de ancho de banda
Uno de los deseos primarios con multi-WAN es la agregación de ancho de banda. Con equilibrio de carga, pfSense puede ayudar plish acompa- este objetivo. Hay,
sin embargo, una advertencia: Si el cortafuego tiene dos circuitos de 5 Mbps WAN, no se puede obtener 10 Mbps de rendimiento con una soltero conexión del
cliente. Cada conexión individual debe estar atado a una sola especificidad c WAN. Esto es cierto para cualquier solución multi-WAN que no sea MLPPP. El ancho
de banda de dos conexiones de Internet diferentes no puede ser agregado en una única gran “tubo” sin la participación del ISP. Con el equilibrio de carga, ya que
las conexiones individuales están equilibrados de manera round-robin, 10 Mbps de rendimiento sólo puede lograrse usando dos 5 Mbps circuitos cuando se trata
de múltiples conexiones. Las aplicaciones que utilizan múltiples conexiones, como muchos aceleradores de descarga, serán capaces de conseguir la capacidad de
producción combinada de los dos o más conexiones.
Nota: Multi-Link PPPoE (MLPPP) es el único tipo de WAN que puede alcanzar un ancho de banda agregado total de todos los circuitos en un paquete, sino que requiere un
apoyo especial del ISP. Para más información sobre MLPPP, véase Multi-Link PPPoE (MLPPP)
En redes con numerosas máquinas internas acceder a Internet, balanceo de carga llegará a velocidades cercanas a la puerta de rendimiento agregada mediante el
equilibrio de las muchas conexiones internas a cabo todas las interfaces WAN.
La segregación de los servicios prioritarios
En algunas situaciones, un sitio puede tener una conexión a Internet fiable y de alta calidad que ofrece un ancho de banda bajo o alto costo para
las transferencias excesivas, y otra conexión que es rápido pero de menor calidad (mayor latencia, jitter más o menos fiables). En estas
situaciones, los servicios pueden ser segregada entre las dos conexiones de Internet por su prioridad. servicios de alta prioridad pueden incluir
VoIP, trá fi co destinado a una red especí fi co, como un proveedor externo aplicación o protocolos especí fi cos utilizados por las aplicaciones
críticas, entre otras opciones. Baja prioridad trá fi co comúnmente incluye cualquier fi tráfico permitido c que no coincide con la lista de alta
prioridad trá fi co. reglas de encaminamiento de política puede ser configurado para dirigir la alta prioridad trá fi co a cabo la conexión a Internet de
alta calidad, y el menor tráfico de prioridad fi co a cabo la conexión de menor calidad.
Sólo conmutación por error
Hay escenarios donde sólo el uso de conmutación por error es la mejor práctica. Algunos usuarios pfSense tienen una conexión a Internet de respaldo secundario con un límite de
ancho de banda bajo, como un módem 3G, y sólo quieren utilizar esa conexión si su conexión primaria falla, grupos de puerta de enlace con fi gurado para la conmutación por
error se pueden lograr este objetivo.
Otro uso para la conmutación por error es garantizar un determinado protocolo o de destino siempre se utiliza sólo una WAN a menos que se pone.
17.2. Política de Enrutamiento, equilibrio de carga y conmutación por error Estrategias 289
Costo desigual equilibrio de carga
pfSense puede lograr el equilibrio de carga coste desigual mediante el establecimiento de los pesos apropiados en las puertas de enlace como se discute en Peso .
Mediante el establecimiento de un peso en una puerta de enlace, se utiliza más a menudo en un grupo de puerta de enlace. Los pesos se pueden ajustar desde 1 a 30,
permitiendo
Tabla 17.1: Coste de equilibrio de carga desigual
WAN_GW peso peso WAN2_GW WAN carga WAN2 carga

3 2 60% 40%
2 1 67% 33%
3 1 75% 25%
4 1 80% 20%
5 1 83% 17%
5 1 83% 17%
30 1 97% 3%
Tenga en cuenta que esta distribución es el equilibrio estrictamente el número de conexiones, que no toma en cuenta el rendimiento de interfaz. Esto significa que el uso de
ancho de banda no será necesaria se distribuye por igual, aunque en la mayoría de los ambientes que se resuelve a ser distribuidos más o menos como con fi gurado con el
tiempo. Esto también significa que si una interfaz se carga a su capacidad con una sola conexión de alto rendimiento, conexiones adicionales todavía serán dirigidos a esa
interfaz.
Multi-WAN Advertencias y consideraciones
Esta sección contiene la advertencias y consideraciones específica a la multi-WAN en pfSense.
Las WAN múltiples que comparten una única puerta de enlace IP
Debido a la forma pf maneja las conexiones multi-WAN, tráfico c sólo puede ser dirigido utilizando la dirección IP de la pasarela de un circuito, que es ne fi para la mayoría de
escenarios. Si el cortafuego tiene múltiples conexiones en el mismo ISP utilizando la misma subred y la dirección IP de puerta de enlace, como es común cuando se utilizan
varios módems de cable, un dispositivo NAT intermedio debe ser utilizado en todos menos uno de ellos para que pfSense ve cada WAN puerta de entrada como dirección IP
única. Cuando se utiliza el dispositivo NAT, puede ser con fi gurada para reenviar todo el trá fi co de nuevo a pfSense que puede ayudar con el uso de la WAN que para otros
servicios. Sin embargo, algunos protocolos, tales como VoIP, tendrán problemas si utilizan una WAN con NAT en un ejemplo con fi guración.
Si es posible, póngase en contacto con el ISP y ellos tienen con fi gurar los circuitos WAN de tal manera que se encuentran en diferentes subredes que utilizan pasarelas.
Una excepción a esto es un tipo PPP WAN tales como PPPoE. PPP tipo WANs son capaces de tener la misma puerta de enlace en múltiples interfaces, pero cada entrada de
puerta de enlace debe ser con fi gurada para utilizar una dirección IP del monitor diferente (véase monitor de IP ).
Múltiples WAN PPPoE
Cuando múltiples líneas de PPPoE en el mismo ISP están presentes y el ISP apoya Multi-Link PPPoE (MLPPP), puede ser posible unir las líneas en un solo
enlace agregado. Este enlace unido tiene el ancho de banda total de todas las líneas juntas en una sola WAN como se ve por pfSense. Con fi guración de
MLPPP está cubierto de Multi-Link PPPoE (MLPPP) .

Servicios locales y multi-WAN
Hay algunas consideraciones con los servicios locales y multi-WAN, ya que cualquier trá fi co iniciada desde el fi cortafuegos en sí no se verán afectados por la
política de enrutamiento con fi gurada en reglas interfaz interna. Trá fi co de la misma fi cortafuegos siempre sigue a la tabla de enrutamiento del sistema. Por lo tanto
rutas estáticas se requieren en algunas circunstancias cuando se utiliza interfaces adicionales WAN, de lo contrario sólo la interfaz WAN con la entrada de defecto
sería utilizado. En el caso de trá fi co iniciado en Internet con destino a cualquier interfaz WAN, pfSense utiliza automáticamente PF responder a
Directiva en todas las normas de interfaz de tipo WAN, lo que asegura la respuesta de trá fi co se envía de vuelta a la interfaz WAN correcta.
de resolución de DNS
La configuración predeterminada para la resolución DNS requieren Puerta de enlace predeterminada de conmutación para trabajar correctamente con Multi-WAN. Ver Puerta de enlace
predeterminada de conmutación para detalles. Como una alternativa al uso de conmutación de puerta de enlace por defecto, algunos cambios pueden ser hechos para hacer el Resolver DNS
más complaciente a Multi-WAN, incluyendo la activación del modo de reenvío. Los detalles se describen más adelante en este capítulo.
DNS Forwarder
Los servidores DNS utilizados por el promotor de DNS deben tener puertas de enlace de fi ne si utilizan una interfaz WAN OPT, tal como se describe más adelante en
este capítulo. No hay otras advertencias al promotor de DNS en entornos multi-WAN.
DynDNS
entradas DynDNS se pueden ajustar mediante un grupo puerta de entrada para su interfaz. Esto moverá una entrada de DynDNS entre las WAN en el modo de conmutación por error, lo
que permite un nombre de host público a cambio de una WAN a otro en caso de fallo.
IPsec
IPsec es totalmente compatible con multi-WAN. Una ruta estática se añade automáticamente para la dirección de pares de túnel remoto que apunta a la fi ed puerta de
enlace WAN específico para garantizar el cortafuego envía tráfico c a cabo la ruta correcta cuando se inicia una conexión. Para las conexiones móviles, el cliente siempre
inicia la conexión, y la respuesta de trá fi co se encamina correctamente por la tabla de estado.
Un túnel IPsec también se puede ajustar utilizando un grupo de puerta de enlace como su interfaz de conmutación por error. Esto se discute más en
Multi-WAN Entornos .
OpenVPN
OpenVPN capacidades multi-WAN se describen en OpenVPN y Multi-WAN . Como IPsec, se puede utilizar cualquier red WAN o un grupo de puerta de enlace.
CARP y multi-WAN
CARP es multi-WAN capaces, siempre y cuando todos los interfaces WAN utilizan direcciones IP estáticas y hay al menos tres direcciones IP públicas disponibles
por la WAN. Esto se trata en Multi-WAN con HA .
17.3. Multi-WAN Advertencias y consideraciones 291

IPv6 y Multi-WAN
IPv6 también es capaz de realizar en una capacidad multi-WAN, pero por lo general requieren Red Pre fi x Traducción (TNP) en una o más redes WAN. Esto
se explica con más detalle en Multi-WAN para IPv6 .
Resumen de los requisitos Multi-WAN
Antes de cubrir la mayor parte de multi-WAN específica cs, aquí es un breve resumen de los requisitos para hacer una configuración multi-WAN mentado plenamente imple-:
• Crear un grupo de puerta de enlace bajo Sistema> Enrutamiento sobre el grupos lengüeta
• Con fi gura el Resolver DNS o Forwarder para Multi-WAN, empezando por el establecimiento de al menos un servidor DNS único para cada puerta de enlace WAN bajo
Sistema> Configuración general
• Utilice el grupo puerta de enlace en reglas fi cortafuego LAN
Equilibrio de carga y conmutación por error con los Grupos de puerta de enlace
Un grupo de puerta de enlace es necesario configurar un equilibrio de carga o de conmutación por error con fi guración. El grupo en sí no causa ninguna acción a tomar, pero cuando el
grupo se utiliza más adelante, como en las reglas de enrutamiento fi cortafuego de política, que la define cómo los elementos que utilizan el grupo se comportará.
La misma puerta de enlace puede estar incluida en múltiples grupos, de modo que varios escenarios diferentes pueden ser con fi gurada al mismo tiempo. Por ejemplo, algunos tráfico c puede
equilibrar la carga, y otra tráfico c puede utilizar conmutación por error, y la misma WAN puede ser utilizado en ambas capacidades mediante el uso de diferentes grupos de puerta de enlace.
Un ejemplo de configuración muy común que un cortafuegos de dos fi WAN contiene tres grupos:
• LoadBalance - Gateways para WAN1 y WAN2 tanto en el Nivel 1
• PreferWAN1 - Gateway para WAN1 en el Nivel 1 y Nivel 2 en WAN2
• PreferWAN2 - Gateway para WAN1 en el Nivel 2, y en el Nivel 1 WAN2
Con fi gurar un grupo de puerta de enlace para el equilibrio de carga o de conmutación por error
Para crear un grupo de puerta de enlace para el equilibrio de carga o de conmutación por error:
• Navegar a Sistema> Grupos de enrutamiento, lengüeta
• Hacer clic Añadir para crear un nuevo grupo de puerta de enlace
• Rellene las opciones de la página según sea necesario:
Nombre del grupo Un nombre para el grupo de puerta de enlace. El nombre debe tener menos de 32 caracteres de longitud, y
Sólo puede contener letras az, los dígitos 0-9, y un guión bajo. Este será el nombre utilizado para referirse a este grupo de puerta de enlace en el Puerta
campo en las reglas fi cortafuego. Se requiere este campo.
Nivel Elija la prioridad para puertas de enlace dentro del grupo. Dentro de los grupos de puerta de enlace, puertas de enlace están dispuestos en
Niveles. Niveles se numeran 1 mediante 5, y inferior se utilizan números primero. Por ejemplo, puertas de enlace en
Tier 1 se utilizan antes de puertas de enlace en El nivel 2, y así. Vea las siguientes secciones para obtener más información sobre cómo utilizar las gradas.

IP virtual Opcionalmente especí fi ca una dirección IP virtual para utilizar para una interfaz, si es que existe. Esta opción es
utiliza para características tales como OpenVPN, lo que permite una dirección virtual fi específico a ser elegida, en lugar de utilizar sólo la dirección de
interfaz directamente cuando una puerta de enlace específico está activo en el grupo. En la mayoría de los casos, esto se deja en el valor por defecto Dirección
interfaz.
Nivel de disparo Decide cuándo marcar una puerta de enlace como hacia abajo.
abajo miembro Marca la puerta de enlace como abajo sólo cuando está completamente hacia abajo, más allá de uno o
tanto de la mayor umbrales con fi gurado para la puerta de enlace. Esto llama la peor clase de fallos, cuando la puerta de
entrada es totalmente insensible, pero puede pasar por alto cuestiones más sutiles con el circuito que pueden hacer
inutilizable mucho antes de que la puerta de entrada llega a ese nivel.
Paquete perdido Marca la puerta de enlace como hacia abajo cuando la pérdida de paquetes cruza el umbral de alerta inferior
edad (Véase Los umbrales de pérdida de paquetes ).
Alta latencia Marca la puerta de enlace como hacia abajo cuando la latencia cruza el umbral de alerta inferior
(Ver Los umbrales de latencia ).
La pérdida de paquetes o de alta latencia Marca la puerta de enlace como hacia abajo para cualquier tipo de alerta.
Descripción Texto que describe el propósito de este grupo puerta de enlace.
Balanceo de carga
Cualquier par de puertas de enlace en el mismo nivel están carga equilibrada. Por ejemplo, si Puerta de enlace A, puerta de enlace B, y Puerta de enlace C son todos de nivel 1,
las conexiones se equilibraría entre ellos. Gateways que son de carga equilibrada conmutación por error automáticamente entre sí. Cuando una puerta de enlace no se elimina
del grupo, por lo que en este caso si uno cualquiera de A, B, o C descendieron, el cortafuego sería equilibrar la carga entre las puertas de enlace en línea restantes.
Equilibrio ponderada
Si dos redes WAN tienen que equilibrarse de manera ponderada debido a las diferentes cantidades de ancho de banda entre ellos, que pueden ser acomodados mediante el
ajuste de la Peso parámetro en la puerta de enlace como se describe en Costo desigual equilibrio de carga
y Peso .
conmutación por error
Puertas de enlace en una inferior se prefieren número del nivel, y si están hacia abajo y luego las puertas de enlace de un nivel de número más alto se utilizan. Por ejemplo, si Una puerta de
enlace está en el Nivel 1, gateway B está en Tier 2, y Puerta de enlace C está en el nivel 3, a continuación, Una puerta de enlace se utilizaría primero. Si Una puerta de enlace se cae, entonces gateway
B se utilizaría. Si ambos Una puerta de enlace y gateway B están abajo, a continuación, Puerta de enlace C se utilizaría.
Escenarios complejo / combinado
Al extender los conceptos anteriores para el equilibrio de carga y conmutación por error, muchos escenarios complicados son posibles que combinan tanto el equilibrio de carga y conmutación por
error. Por ejemplo, si Una puerta de enlace está en el Nivel 1, y gateway B y Puerta de enlace C están en Tier 2, a continuación, puerta de entrada D en el Nivel 3, el comportamiento siguiente: Una
puerta de enlace se prefiere por su propia cuenta. Si Una puerta de enlace
es hacia abajo, entonces tráfico c sería carga equilibrada entre gateway B y Puerta de enlace C. Si una de las gateway B o Puerta de enlace C bajar, la puerta de acceso en línea que
queda en ese nivel aún sería utilizado. Si Puerta de enlace A, puerta de enlace B, y Puerta de enlace C
son todos abajo, trá fi co fallaría a Puerta de enlace D.
Cualquier otra combinación de los anteriores se puede utilizar, con tal de que se puede disponer dentro del límite de 5 gradas.
17.5. Equilibrio de carga y conmutación por error con los Grupos de puerta de enlace 293
Los problemas con el equilibrio de carga
Algunos sitios Web almacenan información de sesión que incluye la dirección IP del cliente, y si una conexión posterior a ese sitio se encamina a cabo una interfaz WAN
diferente utilizando una dirección IP pública diferente, el sitio no funcionará correctamente. Esto es cada vez más común con los bancos y otros sitios de mente de seguridad.
Los medios sugeridos de trabajar alrededor de esto es crear un grupo de migración y tráfico directo fi co destinado a estos sitios para el grupo de conmutación por error en lugar
de un grupo de equilibrio de carga. Como alternativa, realice la conmutación por error para todos HTTPS trá fi co.
La función de las conexiones adhesivas de PF tiene la intención de resolver este problema, pero ha sido históricamente problemático. Es seguro de usar, y debe
aliviar este, pero también hay una desventaja de usar la opción pegajosa. Cuando se utilizan conexiones adhesivas, una asociación se mantiene entre la dirección IP
del cliente y un hecho puerta, no se basa en la de destino. Cuando la opción de conexiones pegajoso está activado, cualquier cliente dado no sería equilibrar la carga
de conexiones entre sus múltiples redes WAN, pero estaría asociado con cualquier pasarela pasó a utilizar para su conexión primero. Una vez que todos los estados
clientes han expirado, el cliente puede salir de una WAN diferente para su próxima conexión, lo que resulta en un nuevo emparejamiento de puerta de enlace.
Interfaz y DNS Con fi guración
Los primeros dos artículos para con fi gura para Multi-WAN son Interfaces y DNS.
Configuración de la WAN primaria como se describió previamente en Asistente de configuración . Entonces, para las interfaces WAN adicionales, realizar las siguientes tareas:
• Asignar las interfaces si aún no existen
• Visita la entrada del menú para cada Interfaces WAN adicional (por ejemplo, Interfaces> OPT1)
• Habilitar la interfaz
• Introduzca un nombre adecuado, tal como WAN2
• Seleccione el tipo deseado de la dirección IP con fi guración dependiendo del tipo de conexión a Internet.
• Introduzca los detalles restantes para el tipo de WAN. Por ejemplo, en conexiones IP estática, llenar la dirección IP, máscara de subred, y añadir o seleccionar una
puerta de enlace.
Servidor DNS Con fi guración
Si el DNS Forwarder está en uso, o si la resolución DNS se utiliza en expedición el modo, pfSense debe ser con fi gurada con los servidores DNS de cada
conexión WAN para asegurar que siempre es capaz de resolver de DNS. Esto es especialmente importante si la red interna utiliza el cortafuego para la resolución
DNS.
Si se utilizan los servidores DNS de un solo WAN, una interrupción de la conexión WAN que dará lugar a una interrupción completa de Internet, independientemente de
la política de enrutamiento con fi guración desde el DNS ya no funcionará.
De resolución de DNS Con fi guración
La resolución DNS puede trabajar con Multi-WAN sino todo lo con fi guración depende del comportamiento deseado y la configuración actual.

Si DNSSEC debe ser utilizada y los servidores DNS con fi gura no son compatibles con DNSSEC, a continuación, el modo de expedición no se puede activar. Esto todavía puede funcionar con
Multi-WAN pero requiere Puerta de enlace predeterminada de conmutación. Ver Puerta de enlace predeterminada de conmutación .
Si DNSSEC no es un requisito para este fi cortafuegos, o la DNSSEC apoyo servidores DNS con fi gurada, a continuación, el siguiente procedimiento puede llevarse a cabo en
su lugar:
• Establecer al menos un servidor DNS por debajo de la WAN Sistema> Configuración general, como se describe en la siguiente sección.
• Comprobar Habilitar el modo de reenvío debajo Servicios> Resolución DNS
• Deseleccionar Habilitar el soporte DNSSEC Si la con fi gurado servidores DNS aguas arriba no son compatibles con DNSSEC
Los servidores DNS y rutas estáticas
Cuando se utiliza el Forwarder DNS o de resolución de DNS en el modo de reenvío, pfSense utiliza su tabla de enrutamiento para llegar a los servidores DNS con fi gurado. Esto
significa sin ningún tipo de rutas estáticas con fi gura, que se utilice únicamente la conexión primaryWAN para llegar a los servidores DNS. Puertas de enlace deben ser
seleccionados para cada servidor DNS se ha definido en el cortafuego así que pfSense utilizará la interfaz WAN correcta para llegar a ese servidor DNS. Los servidores DNS que
vienen de pasarelas dinámicas se enrutan automáticamente el camino correcto. Al menos una puerta de enlace de cada WAN debe seleccionarse cuando sea posible. Para con fi
gurar las puertas de enlace del servidor DNS:
• Navegar a Sistema> Configuración general
• De fi ne al menos una único servidor DNS para cada WAN (hasta cuatro).
• Para cada servidor de DNS, seleccionar una pasarela adecuada por lo que utiliza una especificidad c interfaz WAN
Nota: El mismo servidor DNS no se puede introducir más de una vez. Cada entrada debe ser único.
Selección de puertas de enlace para los servidores DNS es necesario por varias razones. Uno, la mayoría de los ISPs prohíben consultas recursivas de hosts fuera de su red,
de ahí el cortafuego debe utilizar la interfaz WAN correcta cuando se accede a servidores de DNS para un ISP específico. En segundo lugar, si la WAN primaria falla y el
cortafuego no tiene una puerta de entrada elegido para uno de los otros servidores DNS, el cortafuego perderá toda capacidad de resolución de DNS de la misma fi
cortafuegos. El acceso a DNS se pierde en esa situación porque todos los servidores DNS serán inalcanzables cuando la puerta de enlace predeterminada es inalcanzable. Si
se utiliza pfSense como un servidor DNS para la red local, esto se traducirá en un fracaso completo de DNS. Cuando se utiliza la resolución DNS con el modo de reenvío
deshabilitado, la sin consolidar demonio habla directamente a los servidores DNS raíz y otros servidores DNS con autoridad, lo que hace que el uso de tales rutas estáticas y las
asignaciones de puerta de enlace imposible. En ese caso, Puerta de enlace predeterminada de conmutación que se requiere para que el sin consolidar daemon puede
mantener la conectividad de salida.
Escalar a un gran número de interfaces WAN
Hay numerosos usuarios pfSense que despliegan 6-12 conexiones de Internet en una sola instalación. Un usuario pfSense tiene 10 líneas DSL porque en su país, es
significativamente más barato conseguir diez conexiones 256 Kb de lo que es un 2,5 Mb conexión. Que el cliente utiliza pfSense para equilibrar la carga de un gran
número de máquinas internas a cabo 10 conexiones diferentes. Para obtener más información sobre esta escala de implementación, consulte Multi-WAN en un palo más
adelante en este capítulo.
Multi-WAN y NAT
Las reglas NAT por defecto generados por pfSense se traducirán cualquier fi c tráfico dejando una interfaz de tipo WAN a esa dirección IP de la interfaz. En una
interfaz de dos LAN y WAN con fi guración por defecto, se pfSense NAT Todo el trá fi co de la subred LAN salir de la interfaz WAN a la dirección IP WAN. Adición
de más interfaces de tipo WAN extiende esta a NAT cualquier tráfico c
17.7. Multi-WAN y NAT 295

dejando una interfaz de tipo WAN a esa dirección IP de la interfaz. Todo esto se realiza automáticamente a menos Manual de salida NAT está habilitado.
reglas fi cortafuego política de encaminamiento directo del trá fi co a la interfaz WAN usado y la salida y 1: 1 reglas NAT especifican cómo se traduce el trá fi
co, ya que deja que la WAN.
Multi-WAN y Manual de salida NAT
Si Manual de salida NAT debe ser utilizado con multi-WAN, aseguran reglas NAT son con fi gurada para todo tipo de WAN con interfaces.
Multi-WAN y el reenvío de puertos
Cada puerto hacia adelante se aplica a una única interfaz WAN. Un puerto dado se puede abrir en múltiples interfaces WAN mediante el uso de entradas de avance
múltiples puertos, una por la interfaz WAN. La forma más sencilla de lograr esto es:
• Añadir un puerto de reenvío a la conexión WAN primera como de costumbre
• Hacer clic a la derecha de esa entrada para agregar otro puerto hacia adelante sobre la base de la seleccionada
• Cambiar el Interfaz a la WAN deseado
los responder a palabra clave en PF, que se utiliza en las reglas de interfaz de tipo WAN, asegura que cuando trá fi co viene en más de una especificidad c interfaz WAN, el retorno de trá fi co
volverá a cabo la forma en que entró en el cortafuego. Así puerto remite se pueden utilizar de forma activa en todas las interfaces WAN en cualquier momento, independientemente de cualquier
conmutación por error con fi guración que pueda estar presente. Esto es especialmente útil para servidores de correo, como una dirección en una WAN secundario puede ser utilizado como un
MX de copia de seguridad, permitiendo que el sitio para recibir el correo, incluso cuando la línea principal está abajo. Este comportamiento es con fi gurable, para obtener información sobre esta
configuración, consulte Responder a desactivar .
Multi-WAN y 1: 1 NAT
1: 1 entradas NAT son específica a una única interfaz WAN y, como saliente NAT, sólo controla lo que ocurre con tráfico c, ya que deja una interfaz. sistemas internos
pueden ser con fi gurada con un 1: entrada NAT 1 en cada interfaz WAN o una relación 1: 1 de entrada en una o más interfaces WAN y utilizar el NAT de salida
predeterminado en otros. Donde 1: 1 entradas son con fi gurado, que siempre tienen prioridad sobre cualquier otra de salida NAT con fi guración para esa interfaz
específica.
Si un dispositivo local siempre debe utilizar un 1: entrada NAT 1 en una especificidad c WAN, a continuación, tráfico c de ese dispositivo debe ser obligado a usar esa especificidad c puerta de
enlace WAN.
Política de enrutamiento con fi guración
En este punto, el cortafuego está preparado para Multi-WAN, pero aún no se utilizará. Traf fi c no fallará por encima o el equilibrio de carga sin reglas fi cortafuego de políticas
de encaminamiento en su lugar.
Nota: Una posible excepción es si Puerta de enlace predeterminada de conmutación está habilitado ( Puerta de enlace predeterminada de conmutación ), en cuyo caso la conmutación por error
todavía podría funcionar sin la política de enrutamiento.

Con fi gurar reglas de firewall para la Política de Enrutamiento
el establecimiento de un Puerta en una regla de cortafuego causará tráfico c búsqueda de la regla a usar la puerta de enlace o grupo elegido, siguiendo el comportamiento gurada con fi
del grupo.
La forma más fácil para con fi gura un cortafuego para el encaminamiento de política consiste en modificar la regla pase por defecto existente para la LAN y seleccione el grupo de puerta de
enlace allí. Con ese conjunto, cualquier tráfico que coincida con el pase regla por defecto en la LAN c utilizará la pasarela o el grupo elegido. Para hacer que la edición:
• Navegar a Firewall> Reglas, LAN lengüeta
• Hacer clic en la fila con la regla pase por defecto
• Hacer clic mostrar avanzada debajo Opciones adicionales
• Seleccione el grupo de puerta de enlace deseado de la Puerta la lista desplegable
Sólo la más básica de las implementaciones habrá satisfecho con que la con fi guración, la mayoría de las configuraciones fi son más complejas. Seguir leyendo para más
factores que pueden requerir adicional con fi guración.
Sin pasar Política de Enrutamiento
Si hay otras interfaces locales, redes privadas virtuales, interfaces MPLS, o tra fi co que de otra forma debe seguir la tabla de enrutamiento del sistema, a continuación, que tra fi co debe ser
con fi gurado para omitir la política de enrutamiento. Esto es fácil de hacer por hacer una regla para que coincida con el trá fi co en cuestión y luego colocar esa regla encima las reglas que
tienen una fi puerta de entrada con gurado, debido a que la primera regla fi para que coincida es el que se utiliza.
Esto se puede generalizar al hacer un alias para cualquier RFC1918 trá fi co que cubriría todas las redes privadas, y luego usar esa en una regla.
El alias contiene 192.168.0.0/16, 172.16.0.0/12, y 10.0.0.0/8.
En figura Política de enrutamiento Ejemplo reglas de omisión , tráfico c bypasses encaminamiento de política local y VPN, HTTPS tráfico c prefiere WAN2, y todo otro tráfico c es
equilibrio de carga:
Fig. 17.1: Bypass política de enrutamiento Ejemplo Reglas
Mezcla de conmutación por error y equilibrio de carga
Como se muestra en la figura Política de enrutamiento Ejemplo reglas de omisión , conmutación por error y equilibrio de carga se pueden utilizar al mismo tiempo ordenando
cuidadosamente las reglas en una interfaz. Las reglas se procesan de arriba hacia abajo y los partidos ganados primeros. Por
17.8. Política de enrutamiento con fi guración 297

la colocación de más reglas mercantiles cerca de la parte superior de la lista, y el “partido todos los” general de reglas de estilo en la parte inferior, son posibles cualquier número de
diferentes combinaciones con reglas usando diferentes pasarelas o grupos.
La aplicación de puerta de enlace de Uso
Hay situaciones en las que tra fi co sólo se debe utilizar siempre una puerta de enlace y nunca equilibrar la carga o la conmutación por error. En este ejemplo, un dispositivo debe única salida a
través de una WAN especí fi co y perder toda la conectividad WAN que cuando falla. En primer lugar, establecer el Puerta en una fi cortafuegos coincidente regla tráfico c de este dispositivo a una
especificidad c WAN Gateway. Si la puerta de enlace que está abajo, la regla actuará como si la puerta no se ha establecido en absoluto, por lo que hay que tener un par de pasos más allá.
Añadir una regla inmediatamente debajo de la regla que coincide con el trá fi co, pero ajustado a rechazar o bloquear en su lugar. Esta regla no debe tener un conjunto de puerta de enlace.
A continuación, con fi gura el cortafuego de omitir reglas para puertas de enlace que están abajo ( Monitoreo de puerta de enlace ):
• Navegar a Sistema> Avanzado sobre el Diverso lengüeta
• Comprobar No crear reglas cuando la puerta de enlace se ha reducido
Con esta opción activada, la regla primera se omite por completo, cayendo a la siguiente regla de coincidencia. De esta manera, cuando la primera regla se omite
automáticamente, trá fi co será detenido por la regla de bloqueo.
Funcionalidad verificar
Una vez multi-WAN ha sido con fi gurado, la mejor práctica es entonces para probar su funcionalidad para verificar que funciona como se esperaba. Las siguientes secciones
describen cómo probar cada parte de un multi-WAN con fi guración.
Pruebas de fallos
Testing Multi-WAN de una manera controlada inmediatamente después con fi guración es un paso clave en el proceso. No cometa el error de esperar hasta una conexión a
Internet falla, naturalmente, para la prueba primero, sólo para descubrir problemas cuando son mucho más di fi culto y estresante para fi x. En primer lugar, vaya a Estado>
Gateways y asegurar que todas las puertas de enlace WAN son como espectáculo En línea debajo Estado, así como en el Grupos de puerta de enlace lengüeta. Si no lo hacen,
verificar que una dirección IP correcta del monitor se usa como se indica en monitor de IP .
La creación de un fracaso de la WAN
Hay un número de maneras para simular un fallo de la WAN en función del tipo de conexión a Internet que se utiliza. Para cualquier tipo, en primer lugar tratar de
desconectar el cable de interfaz Ethernet WAN objetivo del cortafuego.
Para las conexiones de cable y DSL, trate de apagar el módem / CPE, y en un ensayo separado, desconecte la línea coaxial o telefónico desde el módem.
Para fi bra, sin cables, y otros tipos de conexiones con un router fuera de pfSense, intente desconectar la conexión a Internet desde el router, y también de
apagar el propio router.
Todos los escenarios de prueba descritos probablemente terminará con el mismo resultado. Sin embargo, hay algunas circunstancias en las que tratan todas estas
cosas de forma individual será encontrar una falla que de otro modo no se han dado cuenta hasta que un fallo real. Uno de los más comunes es sin saberlo, utilizando
una dirección IP del monitor asignado al módem DSL o por cable. De ahí que cuando se desconecta el cable coaxial o línea telefónica, simulando una falla proveedor
en lugar de un fallo de Ethernet o módem, el ping monitor todavía tiene éxito, ya que se ping al módem. De lo que se le dijo pfSense para controlar, la conexión está
todavía, por lo que no se producirá un error incluso en el caso de la conexión en sentido ascendente es realmente abajo. Hay otros tipos de

fracaso que sólo puede similarmente ser detectado por la prueba todas las posibilidades individuales para el fracaso. La dirección IP del monitor se puede editar en la entrada de puerta de
enlace como cubiertos en monitor de IP .
Verificación de estado de interfaz
Después de la creación de un fallo de la WAN, refrescar Estado> Gateways para comprobar el estado actual. A medida que el demonio de monitorización de puerta de enlace se da cuenta de la
pérdida, la pérdida será finalmente dejar atrás los fi gurada umbrales de alarma estafadores y se marcan como no.
Comprobación de la funcionalidad de equilibrio de carga
En esta sección se describe cómo verificar la funcionalidad de un balanceo de carga con fi guración.
Verificación de equilibrio de carga HTTP
La forma más fácil para verificar el equilibrio de carga HTTP es visitar un sitio web que muestra la dirección IP pública del cliente que se utiliza para acceder al sitio. Una
página en el sitio pfSense está disponible para este propósito Y un sinnúmero de otros sitios ofrecen la misma funcionalidad. Búsqueda de “¿Cuál es mi dirección IP” y
numerosos sitios web se devuelven que mostrará la dirección IP pública que realiza la solicitud HTTP. Muchos de estos sitios tienden a estar lleno de anuncios de spam,
por lo que ofrecen un par de sitios que simplemente reportan la dirección IP del cliente:
• http://www.pfsense.org/ip.php
• https://www.pfsense.org/ip.php
• https://portal.pfsense.org/ip.php
Los navegadores tienen un hábito de mantener las conexiones de servidor y almacenamiento en caché de resultados abierta, por lo que la mejor prueba basada en navegador es o
bien cargar múltiples sitios, o para cerrar la ventana del navegador entre los intentos de cargar un sitio. Durante cada intento de conexión, una dirección IP diferente se debe
mostrar si el equilibrio de carga está funcionando correctamente. Si otra trá fi co está presente en la red, la dirección IP no puede parecer que cambiar en cada carga de página.
Repetir la prueba varias veces y la dirección IP debe cambiar al menos un par de veces.
Si la dirección IP no cambia nunca, intente varios sitios diferentes, y asegúrese de que el navegador realmente está solicitando la página de nuevo, y no devolver algo
de su caché o el uso de una conexión permanente con el servidor. borrar manualmente la caché, cerrar y volver a abrir el navegador, y tratando de varios navegadores
web son cosas buenas para intentar antes de solucionar el equilibrador de carga con fi guración más. Uso de enrollamiento como se describe en Verificación de
equilibrio de carga es una prueba mejor, ya que asegura caché y las conexiones persistentes no tendrá ningún impacto en los resultados.
pruebas de carga que balancea con traceroute
los traceroute utilidad (o tracert en Windows) muestra la ruta de la red llevado a un destino determinado. Ver
utilizando traceroute para obtener más información sobre el uso traceroute. Con equilibrio de carga, la ejecución de un traceroute desde un sistema cliente detrás del
cortafuego debe mostrar un camino diferente que se da por cada intento. Debido a la forma traceroute
funciones, espere al menos un minuto después de parar un traceroute antes de comenzar otra prueba para que los estados van a expirar, o probar diferentes destinos
en cada intento.
Uso de Gráficos tráfico c
Los gráficos de tráfico en tiempo real en virtud de c Estado> Traf fi c Gráfico y en la fi Traf c widget de panel gráficas son útiles para mostrar el rendimiento en tiempo real
sobre interfaces WAN. Sólo un gráfico que a la vez puede ser mostrado por la ventana del navegador cuando se utiliza Estado> Traf fi c Gráfico, pero las ventanas o
pestañas adicionales se pueden abrir en el navegador para ver toda la WAN
17.9. Funcionalidad verificar 299

las interfaces simultáneamente. La fi tráfico flash gráficos c para el salpicadero permite la visualización simultánea de múltiples gráficos tráfico c en una sola página
para simplificar este proceso. Si el equilibrio de carga está funcionando correctamente, se observó actividad en todas las interfaces WAN. Los gráficos RRD tráfico C
bajo Estado> Monitoreo son útiles para más largo plazo y la evaluación histórica de la utilización de la WAN.
Nota: el uso de ancho de banda no puede ser exactamente igual distribuido, ya que las conexiones están simplemente dirigidas sobre una base de operación por turnos sin tener en
cuenta el ancho de banda.
En esta sección se describen algunos de los problemas más comunes con multi-WAN y cómo resolverlas.
Verificar las reglas de firewall con fi guración
El error más común cuando se con fi gurar multi-WAN es reglas fi cortafuego indebidos. Recuerde, las victorias regla coincidente primeros y se ignoran cualesquiera otras normas. Si una
regla de política de enrutamiento está por debajo de la norma de LAN predeterminada en la lista, sin trá fi co será nunca coincide con la regla, ya que coincidirá con el valor por defecto de
LAN primera regla. revisión Política de enrutamiento con fi guración y verificar las reglas son correctas.
Si la norma imperativa y con fi guración parece correcta, puede ayudar a habilitar el registro en las reglas. Ver Solución de problemas de las reglas del cortafuegos para más información.
Asegúrese de que la regla de encaminamiento de política apropiada está pasando el tráfico c.
la política de enrutamiento no funciona para todos los tra fi co trá fi co o Web
Cuando un paquete de proxy transparente que puede capturar tráfico HTTP C se utiliza, como el calamar, anula las rutas de políticas que se definen para el tráfico de clientes fi co en
ese puerto. Así que no importa qué puerta de enlace se establece en las reglas de cortafuego, trá fi co para HTTP (puerto TCP 80) todavía ir a través de calamares y seguir la ruta
por defecto del cortafuego.
Conmutación por error no trabaja
Si los problemas se producen cuando falla una conexión a Internet, por lo general es debido a que la dirección IP del monitor todavía está respondiendo, por lo que el cortafuego
piensa que la conexión está disponible. Comprobar Estado> Gateways para verificar. Una dirección IP del módem se puede utilizar como un monitor de dirección de IP, que seguirán
siendo accesibles incluso si la conexión a Internet está caída.
Balanceo de carga no funciona
• Compruebe que el Grupo Gateway es adecuadamente con fi gurada para el equilibrio de carga, con al menos dos puertas de enlace en el mismo nivel.
• Comprobar que las normas fi cortafuego ser emparejado directo tráfico c al grupo de puerta de enlace de equilibrio de carga correcto.
• Compruebe que todas las puertas de enlace en la muestra colectiva como en línea bajo Estado> Gateways. No se utilizarán conexiones marcadas como de ine fi.
• Compruebe la metodología de prueba. En lugar de probar con un navegador web, intente probar con rizo como se describe en
Verificación de equilibrio de carga .
• Compruebe que el trá fi co no está usando un proxy o de lo contrario se inicia a partir de un demonio en la misma fi cortafuegos.

Una puerta de enlace no está marcado correctamente de ine fi
Si una puerta de entrada está catalogado como de ine fi, pero la WAN es realmente para arriba, varias cosas pueden estar en falta:
• En primer lugar, la prueba para ver si la dirección IP del monitor responde a un ping desde un dispositivo cliente en la LAN, y de nuevo de
Diagnóstico> Ping.
• Si el dispositivo con la dirección IP del monitor u otro salto intermedio desciende paquetes de solicitud de eco ICMP y sin una carga útil, pings manuales
funcionarían, pero la vigilancia de puerta de enlace fallarían. Ver Los datos de carga útil y fijar la carga útil a un valor de 1 o mas alto.
• Si la dirección de puerta de enlace IP o el monitor no responde a las peticiones de eco ICMP, introduzca una dirección IP diferente monitor de usar en su lugar.
• Si la dirección IP del monitor es con fi gura como un servidor DNS para un diferente WAN, las rutas estáticas podría estar causando un con fl icto y las peticiones de eco a la
puerta de enlace no puede estar siguiendo la trayectoria esperada. Establecer una dirección no conflictivos monitor de IP en la puerta de entrada.
• Si hay una regla NAT saliente en la WAN con una Fuente de alguna, puede causar problemas con tráfico c en el cortafuego, incluyendo el monitoreo tráfico c,
porque eso también NAT tráfico c de la fi sí cortafuegos. Esto puede ser especialmente problemático si la dirección de origen se cambia a un VIP CARP. Fijar el
saliente NAT. Si todo lo demás falla, es posible que el circuito es muy baja, pero la metodología de prueba parece mostrar hacia arriba. Comprobar la
configuración de la interfaz y la puerta de enlace y ejecute la prueba de nuevo, y tratar traceroute para asegurarse de que el trá fi co se va utilizando la trayectoria
esperada.
Ping funciona mediante la dirección IP, pero no la navegación web
En este caso, la causa más probable es el DNS. Si la configuración de DNS fi cortafuego no coinciden con los de Interfaz y DNS Con fi guración , Los clientes pueden no ser
capaces de resolver DNS cuando una WAN se ha reducido. Revise la configuración y fi x ningún problema en que se encuentran.
Multi-WAN en un palo
En el mundo del router, Cisco y otros se refieren a un router de VLAN como un “router en un palo”, ya que puede ser un enrutador que funciona con sólo una
conexión de red física. pfSense puede ser con fi gurado de esta manera, así, utilizando las VLAN y un conmutador administrado capaz de enlace troncal
802.1q. La mayoría de las implementaciones que se ejecutan más de 5 WAN utilizan esta metodología para limitar el número de interfaces físicas requeridas
en el cortafuego. En una implementación de este tipo, las interfaces WAN todos residen en una interfaz física en el cortafuego, con la red interna (s) en las
interfaces físicas adicionales. Figura Multi-WAN en un palo ilustra este tipo de implementación.
Multi-WAN para IPv6
Multi-WAN puede utilizarse con IPv6 siempre que el cortafuego está conectado a múltiples ISPs o túneles con direcciones estáticas.
Ver también:
Ver Conexión con un túnel de Service Broker de ayuda para configurar un túnel.
Grupos de puerta de enlace funcionan de la misma para IPv6 como lo hacen para IPv4, pero las familias de dirección no se pueden mezclar dentro de un grupo. Un grupo debe contener solamente
puertas de enlace IPv4, o solamente puertas de enlace IPv6.
A lo largo de esta sección “Segundo WAN” se refiere a la segunda o adicional interfaz con conectividad IPv6. Puede ser una interfaz real que tiene
conectividad nativa, o una interfaz de túnel cuando se utiliza un agente de túnel.
17.11. Multi-WAN en un palo 301

Fig. 17.2: Multi-WAN en un palo
advertencias
En la mayoría de los casos, NAT no se utiliza con IPv6 en cualquier capacidad, ya que todo se encamina. Que es grande para la conectividad y para las empresas o lugares que
pueden permitirse el espacio Proveedor Independiente (PI) y la dirección de un intercambio de BGP, pero no funciona en la práctica para usuarios de pequeñas empresas y el hogar.
Red Pre fi x Traducción (TNP) permite una subred a utilizar para LAN que tiene conectividad completa a través de su WAN nativa, sino que también se ha traducido en la
conectividad de las redes WAN adicionales por lo que parece que se origina allí. Si bien no es cierto conectividad para la subred LAN a través de los caminos alternativos, es
mejor que no tener conectividad en absoluto si la WAN principal está suspendido.
Advertencia: Esto no funciona para este tipo de IPv6 dinámicos donde la subred no es estática, como DHCP6-PD.
requisitos
Para configurar Multi-WAN para IPv6 del cortafuego debe tener:
• conectividad IPv6 con direcciones estáticas en dos o más redes WAN
• Gateways añadió a Sistema> Enrutamiento tanto para IPv6 WAN, y la conectividad con fi rmados en ambos.
• A enrutado / 64 de cada proveedor / ruta
• LAN mediante un enrutamiento estático / 64 o similar,
Preparar
La configuración para IPv6 Multi-WAN está muy cerca de la configuración de IPv4. La principal diferencia es que utiliza TNP en lugar de NAT.

En primer lugar, en virtud de Sistema> Enrutamiento sobre el Grupos de puerta de enlace pestaña, añadir grupos puerta de enlace para las puertas de enlace IPv6, con la configuración de los
niveles lo deseas. Esto funciona de forma idéntica a IPv4. A continuación, vaya a Sistema> General y establecer un conjunto servidor IPv6 DNS para cada WAN IPv6, también de forma idéntica a
IPv4. Ahora añadir una entrada NPT bajo Firewall> NAT sobre el NPT pestaña, con la siguiente configuración:
Interfaz WAN secundaria (o túnel si se utiliza un broker)
Interna IPv6 Prefijo x los LAN subred IPv6
Destino IPv6 Prefijo x La segunda subred IPv6 WAN enrutada
Nota: Esto es no el / 64 de la propia interfaz WAN - es el / 64 encamina al cortafuego en que WAN por el de aguas arriba.
Lo que esto hace es semejante a 1: 1 NAT para IPv4, sino para toda la subred. Como trá fi co deja la segunda WAN, si está viniendo de la subred LAN,
será traducido a la dirección IP equivalente en la otra subred. Por ejemplo, si el cortafuego tiene 2001: xxx: yyy :: / 64 on LAN, y 2001: aaa: bbb :: / 64 en
la segunda WAN, a continuación, 2001: xxx: yyy :: 5 aparecería como 2001: aaa: bbb :: 5 si el trá fi co se va por la segunda WAN. Para obtener más
información sobre NPT, consulte IPv6 Red Pre fi x Traducción (TNP) .
Al igual que con IPv4, los Grupos de puerta de enlace debe ser utilizado en las reglas fi cortafuego LAN. Editar las reglas de LAN para IPv6 trá fi co y los puso a utilizar el grupo de puerta de
enlace, asegurándose de tener reglas para subredes conectadas directamente / VPN sin establecer una puerta de entrada para que no sean enrutados política.
Las tácticas alternas
Algunos usuarios prefieren para con fi gura LAN con una subred IPv6 “privado” de la FC00 :: / 7 el espacio y la configuración del TNP para ambas redes WAN.
Multi-Link PPPoE (MLPPP)
Multi-Link PPPoE (MLPPP) es una opción única WAN que pueden unir entre sí varias líneas de PPPoE desde el mismo ISP para formar una más grande circuito virtual.
Esto significa que un cortafuego puede obtener el verdadero ancho de banda agregado de todos los circuitos en el haz. Por ejemplo, si un cortafuego tiene tres líneas DSL
/ s 5 Mbit en un paquete, podría obtener potencialmente 15Mbit / s desde una sola conexión.
requisitos
El mayor obstáculo para MLPPP es que el ISP debe apoyar en los circuitos conectados al cortafuego. Pocos ISPs están dispuestos a apoyar MLPPP, por
lo que si un ISP está disponible que hace, sería digno de tomar ventaja de este hecho. Además, cada línea debe estar en una interfaz independiente
conectado a pfSense.
Preparar
Configuración para MLPPP es muy simple:
• Con fi gura una WAN para una sola línea con las credenciales correctas
• Navegar a Interfaces> Asignar, las APP lengüeta
• Hacer clic para editar la entrada para la WAN PPPoE
17.13. Multi-Link PPPoE (MLPPP) 303

• Ctrl-clic para seleccionar las otras interfaces físicas que pertenecen al mismo conjunto de MLPPP
pfSense intentará entonces para unir las líneas utilizando MLPPP.
advertencias
Una desventaja de usar MLPPP es que la resolución de problemas es mucho más di fi culto. Estadísticas y el estado no están disponibles para las líneas individuales.
Para determinar el estado, leer el registro de PPP, ya que aún no es una forma de consultar las líneas por separado. En algunos casos es obvio que si una línea está
abajo, ya que puede haber un problema notable en el módem (fuera de sincronización) o que el ancho de banda máximo alcanzable se reduce.
Las capacidades de WAN múltiples (multi-WAN) de pfSense permiten un cortafuego para utilizar múltiples conexiones a Internet para lograr la conectividad más
fiable y una mayor capacidad de producción. Antes de proceder con un multi-WAN con fi guración, el cortafuego debe tener una interfaz de dos funcional (LAN y
WAN) con fi guración. pfSense es capaz de manejar muchos interfaces WAN, con múltiples implementaciones usando 10-12 WANs en la producción. Será escala
aún mayor que eso, aunque nosotros no tenemos conocimiento de ninguna instalaciones que utilizan más de 12 redes WAN.
Todas las interfaces de tipo WAN son tratados idénticamente en la GUI. Todo lo que se puede hacer con la WAN primaria también se puede hacer con
una interfaz adicional OPT WAN. No existen diferencias significativas entre la WAN primaria y WAN adicionales.
Este capítulo comienza relativas a los puntos a tener en cuenta en la aplicación de alguna solución multi-WAN, a continuación, cubre múltiples WAN-con fi guración con pfSense.
La elección de la conectividad a Internet
La opción ideal de conectividad a Internet dependerá en gran medida de las opciones disponibles en un lugar determinado, pero hay algunos factores
adicionales a tener en cuenta.
Caminos de cable
Hablando desde la experiencia de aquellos que han visto primera mano los efectos de múltiples cables retroexcavadoras buscando, así como los ladrones de cobre nefastos, es
muy importante hacer opciones de conectividad seguro para un despliegue multi-WAN utilice rutas de cableado dispares. En muchos lugares, las conexiones DSL, así como
cualesquiera otros que utilizan pares de cobre se realizan en un solo cable sujeto a la misma corte de cable, y otros de la misma compañía de telecomunicaciones tales como los
circuitos de fi bra pueden correr a lo largo de los mismos polos o conductos.
Si una conexión se presenta en más de par de cobre (DSL), elegir una conexión secundaria que utiliza un tipo diferente y la ruta de cableado. conexiones de los
cables suelen ser la opción más ampliamente disponibles que no están sujetos a la misma interrupción de los servicios de cobre. Otras opciones incluyen
servicio de fibra o fija inalámbrica que entra en un camino diferente al de los servicios de cobre. Dos conexiones del mismo tipo no se puede confiar para
proporcionar redundancia en la mayoría de los casos. Una interrupción o corte de cable ISP serán comúnmente acabar con todas las conexiones del mismo tipo.
Algunos usuarios pfSense utilizan múltiples líneas DSL o varios módems de cable, aunque la única redundancia que ofrece típicamente está aislando a un sitio
desde un módem u otro CPE (Customer Premise Equipment) fracaso. Considere múltiples conexiones desde el mismo proveedor como una solución única para
el ancho de banda adicional,
Rutas de acceso a Internet
Otra consideración al seleccionar la conexión a Internet de un sitio es la ruta desde la propia conexión a Internet. Para fines de redundancia,
múltiples conexiones a Internet desde el mismo proveedor, en especial del mismo tipo,

No debe confiarse en ella como todos ellos podrían fallar simultáneamente.
Con los proveedores más grandes, dos tipos diferentes de conexiones, tales como una línea de fibra y DSL generalmente atravesar signifi- icantly diferentes redes hasta
llegar a partes centrales de la red. Estos componentes de la red básica se diseñan generalmente con una alta redundancia y los problemas se abordan de forma rápida,
ya que tienen efectos generalizados. Por ello, esa conectividad está aislado de la mayoría de los problemas de ISP, pero ya que habitualmente utilizan el mismo camino
por cable, que todavía deja un sitio vulnerable a interrupciones prolongadas de cortes de cables.
Mejor redundancia, más ancho de banda, menos dinero
En el pasado, los servicios de telecomunicaciones de alta calidad, tales como circuitos DS1 o DS3 eran la opción para entornos con altos requerimientos disponibilidad.
Generalmente los Acuerdos de Nivel de Servicio (SLA) que se ofrecen en las conexiones DS1 y DS3 eran mejores que otros tipos de conectividad, y esos circuitos fueron vistos
generalmente como más fiable. Los usuarios finales han dejado en gran medida detrás de tales circuitos, sin embargo, debido a que son demasiado lento o demasiado costoso
para los estándares de hoy en día. Con las capacidades multi-WAN sobre pfSense, un sitio puede tener más ancho de banda y la redundancia mejor por menos dinero en muchos
casos. servicios de fibra son cada vez más generalizada, sacudir este concepto, proporcionando extremadamente grandes cantidades de ancho de banda para un costo
relativamente bajo, aunque tales servicios pueden todavía tener un SLA menos que deseables para la respuesta de interrupción. La mayoría de las organizaciones que requieren
conexiones a Internet de alta disponibilidad no quieren depender de DSL, cable u otras conexiones de banda ancha de Internet “menos de clase”. Mientras que por lo general son
significativamente más rápido y más barato, menor SLA es suficiente para que muchas empresas se quedan con DS1 o DS3 conectividad. En las zonas donde se dispone de
múltiples opciones de banda ancha de menor costo, tales como DSL y cable, la combinación de pfSense y dos conexiones de bajo costo de Internet ofrece más ancho de banda y
mejor redundancia a un menor costo. La probabilidad de que dos conexiones de banda ancha diferentes bajando al mismo tiempo es significativamente menor que la probabilidad
de que cualquier interrupción del servicio individual. Adición de un cable o DSL línea de copia de seguridad para complementar una línea de fibra mucho más rápido asegura la
conectividad continuará cuando se produce una interrupción en la línea de fibras, incluso si es un caso raro.
17.14. La elección de la conectividad a Internet 305


CAPÍTULO
DIECIOCHO
Las redes privadas virtuales
La elección de una solución VPN
Cada solución VPN tiene pros y contras. Esta sección cubrirá las principales consideraciones en la elección de una solución VPN, proporcionando la información
necesaria para elegir la mejor solución para un entorno determinado.
interoperabilidad
Para interoperar con un cortafuego o enrutador producto de otro proveedor, IPsec es generalmente la mejor opción, ya que se incluye con casi todos los dispositivos
VPN con capacidad. También evita que estar encerrado en cualquier cortafuego en particular o solución VPN. Para la conectividad interoperable de sitio a sitio, IPsec
es generalmente la única opción. OpenVPN es interoperable con algunas otras soluciones de envasado fi cortafuegos / VPN, pero no muchos. Interoperabilidad en
este sentido no es aplicable a otros tipos de VPN, ya que no están destinados a aplicaciones de sitio a sitio.
consideraciones sobre la autentificación
En las versiones actuales de pfSense, todos los tipos de VPN compatibles con la autenticación de usuario. IPsec y OpenVPN también pueden trabajar con claves compartidas o
certi fi cados. OpenVPN es un poco más flexible en este sentido, ya que puede trabajar sólo con certi fi cados, claves compartidas única, sólo la autenticación de usuario, o una
combinación de éstos. Usando OpenVPN con certi fi cados, TLS nológica autenti-, y la autenticación de usuario es el método más seguro. OpenVPN certi fi cados también
pueden ser protegidos con contraseña, en cuyo caso un fi cado comprometida cate sí sola no es adecuada para conectar a una VPN si está configurado para utilizar solamente
certi fi cados. La falta de autenticación adicional puede ser un riesgo para la seguridad de que un sistema de pérdida, robo, o comprometida que contiene un certi tecla o certi fi
significa el que tiene acceso al dispositivo puede conectarse a una VPN hasta que la pérdida es descubierto y el certi fi cado revocada.
Si bien no es ideal, una falta de nombre de usuario y la contraseña de autenticación en una VPN no es un riesgo tan grande como puede parecer. Un sistema
comprometido puede fácilmente tener instalado un capturador de teclado para capturar la información de nombre de usuario y contraseña y derrota fácilmente que la
protección. En el caso de sistemas perdidos o robados que contienen claves, si el disco duro no está encriptado, las teclas se pueden utilizar para conectar. Sin embargo
la adición de autenticación de contraseña no es de gran ayuda allí tampoco, como suele ser el mismo nombre de usuario y contraseña se utilizarán para iniciar sesión en
el ordenador, y la mayoría de las contraseñas son manipulable en cuestión de minutos utilizando el hardware moderno, cuando un atacante tiene acceso a una unidad sin
cifrar. seguridad de las contraseñas es también frecuentemente comprometida por los usuarios con notas sobre su ordenador portátil o en su caja del ordenador portátil
con su clave escrito. Al igual que con cualquier implementación de seguridad, las capas más utilizados,
Facilidad de con fi guración
Ninguna de las opciones de VPN disponibles son extremadamente difíciles de con fi gura, pero hay diferencias entre las opciones:
• IPsec tiene numerosas opciones estafadores fi guración y puede ser difícil para los no iniciados.
307
• OpenVPN requiere el uso de certi fi cados para el acceso remoto en la mayoría de entornos, que viene con su propia curva de aprendizaje y puede ser un
poco difícil de manejar. pfSense incluye un asistente para manejar las configuraciones de acceso remoto más comunes fi OpenVPN y los paquetes de
exportación cliente OpenVPN facilita el proceso de obtención de los clientes en funcionamiento.
IPsec y OpenVPN son opciones preferibles en muchos escenarios para otras razones que se discuten en este capítulo.
Multi-WAN capaces
Si los usuarios requieren la capacidad de conectarse a múltiples redes WAN, tanto IPsec y OpenVPN son capaces de manejar este tipo de con fi guraciones.
la disponibilidad del cliente
El software de cliente VPN es un programa que se encarga de conectar a la VPN y gastos de cualesquiera otras tareas relacionadas, como la autenticación, cifrado,
enrutamiento, etc Para VPN de acceso remoto, la disponibilidad de software de cliente VPN es una consideración primordial. Todas las opciones son multiplataforma
compatible con muchos sistemas operativos diferentes, pero algunos requieren la instalación de los clientes de terceros. IPsec en modo EAP-MSCHAPv2, IPsec en modo
EAP-TLS, e IPsec en modo Xauth son las únicas opciones con soporte de cliente de escritorio integrado en algunos popular y sistemas operativos móviles. Otros sistemas
operativos varían y pueden incluir más o menos modos de IPsec o incluso pueden incluir OpenVPN, como es el caso de muchas distribuciones de Linux. Si el uso de
clientes incorporadas es una necesidad, consulte la documentación del sistema operativo para todas las plataformas de cliente necesarios para ver si es una opción común
está disponible y luego comprobar pfSense para ver si ese modo es posible. En algunos casos múltiples VPN de acceso remoto pueden ser necesarios para dar cabida a
todos los clientes. Por ejemplo, se podría utilizar IPsec para algunos y para otros OpenVPN. Algunas organizaciones prefieren mantener la coherencia, por lo que es una
solución de compromiso que hacerse sino por el bien de la compatibilidad puede valer la pena ofrecer múltiples opciones.
IPsec
clientes IPsec están disponibles para Windows, Mac OS X, BSD, Linux, y otros. Aunque los clientes nativos sólo admiten ciertos modos fi cas y con fi guraciones.
De uso general clientes IPsec no están incluidos en el sistema operativo a excepción de algunas distribuciones de Linux y BSD. Una buena opción gratuita para
Windows es el cliente domada suave . Mac OS X incluye soporte tanto IKEv2 y Cisco (xauth) de IPsec. Hay opciones libres y comerciales disponibles con una
interfaz gráfica de usuario fácil de usar. OSX 10.11, junto con Windows 7 y más tarde incluyen soporte para IPsec en los modos de fi cos utilizando IKEv2:
EAP-TLS y EAP-MSCHAPv2. Ambas opciones son compatibles con pfSense y están cubiertos en IPsec .
El cliente IPsec al estilo de Cisco incluye con OS X y dispositivos IOS es totalmente compatible con pfSense IPsec usando xauth. Con fi guración para el cliente
iOS está cubierto de IOS 9 IKEv2 Cliente Con fi guración .
Muchos teléfonos Android también incluye un cliente compatible con IPsec, que se discute en Android strongSwan IKEv2 Cliente Con fi guración .
OpenVPN
OpenVPN tiene clientes disponibles para Windows, Mac OS X, todos los BSD, Linux, Solaris y Windows Mobile, pero el cliente no viene pre-instalado en
cualquiera de estos sistemas operativos.
4.x Android y dispositivos posteriores pueden utilizar un cliente OpenVPN libre acceso que funciona bien y que no requiere de enraizamiento del dispositivo. Que el cliente está
cubierto de 4.x y más tarde Android . Las versiones anteriores de Android también pueden ser capaces de utilizar OpenVPN través de un cliente alternativo. Hay otras opciones
disponibles si el dispositivo tiene sus raíces, pero que está más allá del alcance de este libro.
iOS también tiene un cliente OpenVPN nativa. Para más información, ver iOS .
308 Capítulo 18. Redes Privadas Virtuales

amabilidad cortafuegos
protocolos VPN pueden causar di fi cultades para muchos rewalls fi y dispositivos NAT. Esto es principalmente relevante para la conectividad acceso remoto, donde los usuarios
van a estar detrás de un gran número de fi rewalls controlado mayormente por parte de terceros con diferentes configuraciones y capacidades fi.
IPsec
IPsec utiliza tanto el puerto UDP 500 y el protocolo ESP para funcionar. Algunos rewalls fi no manejan ESP trá fi co pozo donde NAT está involucrado, ya que el
protocolo no tiene números de puerto TCP y UDP, como que hacen que sea fácilmente rastreable por dispositivos NAT. clientes IPsec detrás de NAT pueden
requerir NAT para funcionar, que encapsula el ESP trá fi co a través del puerto UDP 4500.
OpenVPN
OpenVPN es el más fi cortafuegos ambiente de las opciones de VPN. Puesto que utiliza TCP o UDP y no es afectado por cualquiera de las funciones de NAT mon com- tales
como la reescritura de los puertos de origen, es raro encontrar un cortafuego que no funcionará con OpenVPN. La única posible di fi cultad es si el protocolo y puerto en uso
está bloqueado. Algunos administradores utilizan un puerto común, como UDP 53 (por lo general DNS), o TCP 80 (normalmente HTTP) o TCP 443 (por lo general HTTPS) o
para evadir más fi ltrado de salida.
criptográficamente seguro
Una de las funciones críticas de una VPN es asegurar la confidencialidad de los datos transmitidos. IPsec usando claves pre-compartidas puede romperse si se utiliza
una clave débil. Utilizar una clave fuerte, al menos 10 caracteres de longitud que contienen una mezcla de letras mayúsculas y minúsculas, números y símbolos. Se
prefiere el uso de certi fi cados, aunque algo más complicado de implementar.
OpenVPN cifrado se ve comprometida si se dan a conocer la PKI o claves compartidas, aunque el uso de múltiples factores tales como la autenticación TLS en la parte superior
de la PKI puede mitigar algunos de los peligros.
Resumen
Mesa Funciones y características según el tipo de VPN muestra una visión general de las consideraciones proporcionadas en esta sección.
Tabla 18.1: Funciones y características según el tipo de VPN
Tipo de Cliente incluido en la mayoría ampliamente multi-WAN criptográficamente firewall

VPN de los sistemas operativos interoperables seguro amigable
IPsec Varía según el modo de Sí Sí Sí No (sin NAT-T)
abierto No No Sí Sí Sí
VPN
VPN y reglas del cortafuegos
VPN y reglas fi cortafuego se manejan un tanto incoherente en pfSense. En esta sección se describe cómo se manejan las reglas cortafuego para cada una de las opciones
de VPN individuales. Para las reglas añadidas automáticamente discutidos aquí, la adición de estas reglas puede ser desactivada mediante la comprobación Desactivar todas
las reglas VPN auto-añadido debajo Sistema> Avanzado sobre el
Firewall / NAT lengüeta.
18.2. VPN y reglas del cortafuegos 309

IPsec
IPsec tráfico c que viene en la interfaz WAN específica ed se permite automáticamente como se describe en IPsec . Traf fi c en- encapsulado dentro de una conexión activa IPsec
está controlado a través de reglas definidas por el usuario de Fi en la IPsec lengüeta debajo Cortafuegos> Reglas.
OpenVPN
OpenVPN no agrega automáticamente reglas para interfaces WAN. El Asistente VPN de acceso remoto OpenVPN ofrece opcionalmente crear reglas para pasar WAN
tráfico c y tráfico c en la interfaz OpenVPN. Traf fi c encapsulado dentro de una conexión OpenVPN activo se controla a través de reglas definidas-de usuario Fi en la OpenVPN
lengüeta debajo Cortafuegos> Reglas. interfaces de OpenVPN también pueden ser asignados a otras interfaces similares en pfSense. En tales casos, el OpenVPN reglas fi
cortafuego pestaña se siguen aplicando, pero hay una ficha independiente específico a la instancia VPN asignado que controla el tráfico c sólo para que una VPN.
VPN e IPv6
Hay algunas consideraciones especiales para las VPN cuando se utiliza en combinación con IPv6. Los dos elementos principales de preocupación son:
• Sea o no cierto tipo de VPN es compatible con IPv6
• Asegurándose de que las reglas fi cortafuego no permiten el tráfico no cifrado fi co en el que debe venir a través de una VPN.
Soporte IPv6 VPN
Soporte para IPv6 varía de un tipo a otro, y en atención al cliente. Asegúrese de verificar con el proveedor del otro dispositivo con el fin de asegurarse de que un
cortafuego no pfSense o cliente VPN compatible con IPv6.
IPsec
pfSense soporta IPsec usando IKEv1 sobre IPv6 con una peculiaridad: Si se utiliza una dirección de pares IPv6, el túnel sólo puede llevar fase IPv6 2 redes, y
el mismo para IPv4. Trá fi co no se pueden mezclar entre familias de direcciones. Ver IPsec e IPv6 .
Cuando un túnel IPsec se establece para IKEv2, puede incluir IPv4 e IPv6 Fase 2 de fi niciones simultáneamente.
OpenVPN
OpenVPN es totalmente compatible con IPv6 para el sitio-a-sitio y los clientes móviles y túneles puede llevar a IPv4 e IPv6 simultáneamente tráfico c. Ver OpenVPN
e IPv6 .
IPv6 VPN y reglas del cortafuegos
Como se ha mencionado brevemente en Cortafuegos y VPN Preocupaciones , algún tipo de atención especial debe ser tomado al enrutamiento IPv6 trá fi co a través de una VPN y el uso
de subredes enrutables públicamente. El mismo consejo se aplicaría también a IPv4, pero es mucho menos común tener clientes en ambos lados de una VPN IPv4 utilizando direcciones
enrutables públicamente.
El principal problema es que debido a que es posible enrutar todo el camino de una LAN a la otra LAN a través de Internet, a continuación, trá fi co podría ser fl
debido sin cifrar entre las dos redes si el VPN es hacia abajo (o no está presente en absoluto!). Esto es

lejos de ser ideal porque aunque la conectividad está disponible, si cualquier tráfico c fueron interceptados en entre las dos redes y que tráfico c estaba
utilizando un protocolo sin cifrar como HTTP, entonces podría comprometer la red. Una forma de evitar esto es no permitir que tra fi co desde el control
remoto IPv6 LAN en el WAN reglas de la parte contraria. Sólo permiten trá fi co de la subred del lado remoto de las reglas fi cortafuego para lo que se está
utilizando el tipo de VPN para proteger el tráfico c. Una regla de bloqueo explícita también podría añadirse a la parte superior de las reglas WAN para
garantizar que este trá fi co no puede entrar directamente desde la WAN. Un método mejor es utilizar una regla flotando a rechazar de salida trá fi co sobre la
WAN destinado para las máquinas de VPN / redes locales remotas. De esta manera la inseguridad trá fi co nunca sale de los locales. Con el conjunto de
reglas para iniciar la sesión, la “fuga” sería obvio para alguien más escuchando los registros, ya que sería mostrado saliente bloqueado en la WAN. Otra
consecuencia menos obvia de tener conectividad de doble pila entre las redes es que las diferencias en DNS pueden causar enrutamiento no intencionada a
tener lugar. Supongamos que existe conectividad IPv4 VPN entre dos sitios, pero no hay una VPN IPv6, solamente la conectividad IPv6 estándar en ambos
lugares. Si un host local se establece a preferir IPv6 y que reciba una respuesta DNS AAAA con la dirección IP IPv6 para un recurso remoto, sería intentar
conectarse a través de IPv6 primer lugar de utilizar la VPN. En casos como este, se debe tener cuidado para asegurarse de que el DNS no contiene
conflictivas registros o que las reglas flotantes se añaden para evitar este tráfico IPv6 c se escape WAN. -proyecto-Gont OPSEC-VPN-fugas-00 . VPNs
proporcionan un medio de tunelización tráfico c a través de una conexión cifrada, evitando que sea visto o modificados con el en tránsito. pfSense ofrece tres
opciones de VPN: IPsec, OpenVPN y L2TP. En este capítulo se proporciona una visión general del uso de VPN, los pros y los contras de cada tipo de VPN
en pfSense, y cómo decidir cuál es el mejor ajuste para un ambiente particular. Los capítulos siguientes tratan cada opción VPN en detalle.
L2TP es puramente un protocolo de túnel y no ofrece ningún tipo de cifrado de su propia. Normalmente se combina con algún otro método de encriptación tales
como IPsec en modo de transporte. Debido a esto, que no encaja en la mayor parte de la discusión en este capítulo. Ver L2TP VPN para más información sobre
L2TP.
Advertencia PPTP
compatibilidad con el servidor PPTP se ha eliminado de pfSense. A pesar del atractivo de su conveniencia, PPTP No debe ser utilizado bajo
ninguna circunstancia, ya que ya no es segura. Esto no es específico c al tación en práctica de PPTP que estaba en pfSense; Cualquier sistema
que se encarga de PPTP ya no es segura. La razón de la inseguridad es que PPTP se basa en MS-CHAPv2 que ha sido completamente
comprometida. traf- interceptado
fi co puede ser descifrado por un tercero 100% del tiempo, por lo que considera cualquier trá fi co realizado en PPTP no cifrada. Migrar a otro tipo de
VPN como OpenVPN o IPsec tan pronto como sea posible. Más información sobre el compromiso de seguridad PPTP se puede encontrar en https://isc.sans.edu/diary/End+
y
https://www.cloudcracker.com/blog/2012/07/29/cracking-ms-chap-v2/ .
implementaciones comunes
Hay cuatro usos comunes de las capacidades VPN de pfSense, cada uno cubiertos en esta sección.
De sitio a sitio de conectividad
Sitio-a-sitio de la conectividad se utiliza principalmente para conectar redes en múltiples ubicaciones físicas donde un dedicado, siempre activo, se requiere
una conexión entre los lugares. Esto se utiliza con frecuencia para conectar rama de oficinas a una o fi cina principal, conectar las redes de socios de
negocios, o conectar una red a otra ubicación, como un entorno de centro de datos.
Antes de la proliferación de la tecnología VPN, circuitos privados WAN eran la única solución para conectar múltiples ubicaciones. Estas tecnologías
incluyen circuitos punto dedicadas a punto, tecnologías de conmutación de paquetes tales como frame relay y ATM, y más recientemente, en base MPLS
(Multiprotocol Label Switching) y fibra y cobre metropolitana Ethernet
18.4. Advertencia PPTP 311

servicios. Si bien este tipo de conectividad WAN privada proporcionan conexiones fiables, de latencia baja, que también son muy costosas con cargos mensuales
recurrentes. La tecnología VPN ha crecido en popularidad, ya que proporciona el mismo sitio seguro para la conectividad de sitio usando conexiones de Internet que son
generalmente mucho menos costoso.
Las limitaciones de conectividad VPN
El rendimiento es una consideración importante en la planificación de una solución VPN. En algunas redes, solamente un circuito WAN privada
puede cumplir los requisitos de ancho de banda o latencia. La latencia es generalmente el factor más importante. Un punto a punto circuito DS1
tiene un extremo a la latencia final de alrededor de 3-5 ms, mientras que la latencia para el primer salto en una red ISP será generalmente de al
menos esa cantidad, si no mayor. servicios de Metro Ethernet o circuitos de fi bra tienen una latencia de extremo a extremo de cerca de 0-3 ms,
por lo general menos de la latencia para el primer salto de una red ISP. Que variará algunas basadas en la distancia geográfica entre los sitios.
Los números indicados son típicos de los sitios dentro de un par de cientos de millas el uno del otro. Las VPN suele ver latencia de alrededor de
30-60 ms dependiendo de las conexiones a Internet en uso y la distancia geográfica entre los lugares.
Ciertos protocolos funcionan muy mal con la latencia inherente a las conexiones a través de Internet. Microsoft fi l de intercambio (SMB) es un ejemplo común.
En sub-10 ms de latencia, se realiza bien. A los 30 ms o mayores, es lento, y en más de 50 ms es dolorosamente lento, causando bloqueos frecuentes cuando
se navega por las carpetas, guardar archivos, etc. Conseguir un simple listado de directorios requiere numerosas conexiones de ida y vuelta entre el cliente y el
servidor, lo que signi fi exacerba cativamente el aumento del retardo de la conexión. En Windows Vista y Server 2008, Microsoft introdujo SMB 2.0, que incluye
nuevas capacidades para abordar el problema descrito aquí. SMB 2.0 permite el envío de múltiples acciones en una única solicitud, así como la capacidad de
las solicitudes de tuberías, lo que significa que el cliente puede enviar solicitudes adicionales sin esperar la respuesta de las solicitudes anteriores. Si una red
utiliza exclusivamente Vista y sistemas operativos Server 2008 o más nuevos que esto no será un problema, pero dada la rareza de este tipo de entornos, lo
cual suele ser una consideración. SMB
3.0 mejora aún más en esta área con soporte para múltiples flujos.
Dos ejemplos más de los protocolos son sensibles a la latencia Protocolo de Microsoft de escritorio remoto (RDP) y Citrix ICA. Hay un rendimiento y capacidad de
respuesta clara diferencia con estos protocolos entre sub-20 ms Tiempos de respuesta se encuentran típicamente en una WAN privada, y los 50-60 ms + los
tiempos de respuesta común a las conexiones VPN. Si los usuarios remotos trabajan en escritorios publicados usando dispositivos de cliente ligero, habrá una
diferencia notable entre el rendimiento de una WAN privada y VPN. Ya sea que la diferencia de rendimiento es signi fi cativo lo suficiente como para justificar el
gasto de una WAN privada variará de un ambiente a otro.
Puede haber otras aplicaciones de red en un entorno que son sensibles a la latencia, donde el reducido rendimiento de una VPN es inaceptable. O todos los lugares
pueden estar dentro de un área geográfica relativamente pequeña utilizando el mismo proveedor de Internet, en el que el rendimiento de una VPN rivaliza con la de las
conexiones WAN privadas.
Acceso remoto
VPN de acceso remoto permiten a los usuarios conectarse de forma segura en una red desde cualquier ubicación en la que una conexión a Internet está disponible. Esto se utiliza con
mayor frecuencia para los trabajadores móviles (a menudo denominado como “Road Warriors”) cuyo trabajo requiere viajes frecuentes y poco tiempo en la o fi cina, y para dar a los
empleados la posibilidad de trabajar desde casa. También puede permitir a los contratistas o proveedores de acceso temporal a una red. Con la proliferación de los teléfonos
inteligentes, los usuarios tienen la necesidad de acceder de forma segura los servicios internos de sus teléfonos usando una VPN de acceso remoto.
Protección para redes inalámbricas
Una VPN puede proporcionar una capa adicional de protección para redes inalámbricas. Esta protección es doble: Proporciona una capa adicional de cifrado
para tráfico que atraviesa la red inalámbrica c, y puede ser desplegado en una forma tal que requiere autenticación adicional antes de permitir el acceso a
recursos de red. Esto se implementa en su mayoría los mismos que las VPN de acceso remoto. Esto se trata en Una protección adicional para una red
inalámbrica .

relé de seguridad
VPN de acceso remoto pueden ser con fi gurada de una manera que sobrepasa todo trá fi co desde el sistema cliente a través de la VPN. Esto es bueno tener al utilizar
redes no seguras, tales como puntos de acceso inalámbricos, ya que permite a un cliente a empujar todo su tráfico de Internet fi co sobre el VPN y salir a Internet desde
el servidor VPN. Esto protege al usuario de una serie de ataques que son posibles en redes no seguras, aunque tiene un impacto en el rendimiento, ya que añade saltos
adicionales y la latencia para todas las conexiones. Ese impacto es generalmente mínimo con conectividad de alta velocidad cuando el cliente y el servidor VPN están
relativamente cerca geográficamente.
18.5. implementaciones comunes 313


CAPÍTULO
DIECINUEVE
IPSEC
IPsec e IPv6
IPsec es capaz de conectarse a un túnel sobre IPv4 o IPv6 fase 1 direcciones de pares, pero con IKEv1 el túnel sólo puede contener el mismo tipo de
tráfico c dentro de la fase de túnel 2 definición que se utiliza para pasar el tráfico c fuera del túnel. Esto significa que aunque IPv4 o IPv6 se pueden llevar
dentro del túnel, para usar IPv6 tráfico c dentro del túnel, a continuación, el túnel debe conectarse entre IPs de pares IPv6, no IPv4. En otras palabras, la
familia de direcciones interior y exterior debe coincidir, no pueden mezclarse.
Al igual que con la mayoría de otras deficiencias de IKEv1, esto ha sido abordado en IKEv2. Túneles utilizando IKEv2 pueden llevar ambos tipos de tráfico c no
importa qué protocolo se utiliza para establecer el túnel exterior. Con IKEv2, los clientes móviles pueden utilizar también IPv4 e IPv6, siempre que el cliente lo
soporta.
La elección de opciones de con fi guración
IPsec ofrece numerosas opciones de con fi guración, afectando el rendimiento y la seguridad de las conexiones IPsec. camente Realisti-, de bajo a moderado uso
de banda ancha, poco importa qué opciones se eligen aquí el tiempo que no se utiliza DES, y una clave pre-compartida fuerte se define, a menos que el trá fi co
protegida es tan valioso que un adversario con muchos millones de dólares en poder de procesamiento está dispuesto a dedicar a romper el cifrado IPsec. Incluso
en ese caso, es posible que haya una manera más fácil y mucho más barato para entrar en la red y lograr el mismo resultado final (la ingeniería social, por
ejemplo). El rendimiento es el factor más importante para la mayoría, y en los casos en que es una preocupación, se necesita más atención cuando la elaboración
de una con fi guración.
Fase 1 Ajustes
Estos ajustes controlan la parte de la negociación de fase 1 del túnel, como se describió previamente.
Activar / Desactivar el túnel
los Discapacitado casilla de verificación controla si o no este túnel (y su fase asociada 2 entradas) están activos y usado.
Versión de intercambio de claves
los Versión de intercambio de claves controles de selector si el túnel utilizará IKE versión 1 (V1) o la versión IKE 2 (V2). IKEv2 es una nueva versión de IKE que es
deseable en muchas maneras. Las diferencias se discuten en IKE . En la mayoría de los casos, IKEv1 se utilizará a menos que ambas partes soportan adecuadamente
IKEv2.
315
protocolo de Internet
los protocolo de Internet selector establece el protocolo para la fuera de del túnel. Es decir, el protocolo que se utiliza entre las direcciones de pares externos. Para
la mayoría, esto será IPv4, pero si ambos extremos son capaces de IPv6, que puede ser utilizado en su lugar. Sea cual sea el protocolo se elige aquí se utilizará para
validar la pasarela remota y los los identificadores asociados.
Nota: Un túnel usando IKEv1 sólo puede llevar el mismo protocolo de tráfico c en la Fase 2 que se usó para la fase 1. Por ejemplo, las direcciones de pares IPv4
restringen la Fase 2 a redes IPv4 solamente. Un túnel utilizando IKEv2 puede continuar IPv4 e IPv6 tráfico c al mismo tiempo en la Fase 2 no importa qué protocolo se
utilizó para la Fase 1.
Selección de la interfaz
En muchos casos, la Interfaz opción para un túnel IPsec será WAN, ya que los túneles se conectan a sitios remotos. Sin embargo, hay un montón de
excepciones, la más común de las cuales se describen en el resto de esta sección.
CARP Entornos
Tipo CARP direcciones IP virtuales también están disponibles en el Interfaz en el menú desplegable para su uso en entornos de alta disponibilidad ( Alta disponibilidad ).
En estos entornos, una dirección de CARP apropiado debe ser elegido para la WAN donde el túnel IPsec terminará. Mediante el uso de la dirección de CARP IP, se
asegura que el túnel IPsec será manejado por el miembro de clúster de alta disponibilidad actualmente en el estado de MAESTRO, por lo que incluso si el cortafuego
principal está suspendido, el túnel se conectará a cualquier miembro del clúster se ha hecho cargo de la función de maestro .
IP Alias VIP
Si hay varias direcciones IP están disponibles en una interfaz de tipo VIP usando IP Alias, que también estará disponible en esta lista. Para utilizar una de esas
direcciones IP de la VPN en su lugar, seleccione aquí.
Multi-WAN Entornos
Cuando se utiliza multi-WAN ( Las conexiones WAN múltiples ), Elegir la opción de interfaz apropiado para el tipo de WAN-interface al que se conectará el
túnel. Si la conexión se introduce a través de la WAN, recoger WAN. Si el túnel utilizará una WAN diferente, elija el que sea la interfaz WAN OPT se
necesita. se añadirá automáticamente una ruta estática para asegurar que el tráfico c a la Puerta de enlace remota rutas a través de la WAN apropiado.
Un grupo de puerta de enlace también se puede elegir de esta lista. Un grupo de puerta de enlace para ser utilizado con IPsec solamente debe tener uno gateway por nivel.
Cuando se utiliza un grupo de pasarela, si la puerta de entrada primera va hacia abajo, el túnel se moverá a la siguiente WAN disponibles en el grupo. Cuando la primera
WAN vuelve a subir, el túnel será reconstruido allí de nuevo. Si el router otro lado es uno que no admite múltiples direcciones de pares, como otra unidad pfSense, esto
debe ser combinado con un conjunto de host DynDNS usando el mismo grupo de puerta de entrada para conmutación por error. El host DynDNS actualizará la dirección IP
como se ve por el otro lado, por lo que el router remoto sabrá aceptar trá fi co de la WAN recién activado.
Protección interna inalámbrica
Cuando con fi gurar IPsec para agregar cifrado a una red inalámbrica, como se describe en la protección adicional con VPN, elija la interfaz OPT que
corresponde a la tarjeta inalámbrica. Cuando se utiliza un punto de acceso inalámbrico externo, recoger la interfaz que está conectada al punto de acceso
inalámbrico.
316 Capítulo 19. IPsec

Puerta de enlace remota
los Puerta de enlace remota es el mismo nivel de IPsec para esta fase 1. Este es el router en el otro lado del túnel a la que IPsec negociará esta fase 1. Esto se puede
establecer en una dirección IP o un nombre de dominio fi ed completamente calificado. Cuando se establece en utilizar un nombre, la entrada se resuelve periódicamente por
DNS y actualiza cuando se detecta un cambio.
Descripción
los Descripción para la fase 1 es un texto que se utilizará para identificar esta fase 1. No se usa en la configuración de IPsec, que es sólo para referencia.
método de autentificación
Una fase IPsec 1 puede ser autenticado utilizando una clave pre-compartida (PSK) o RSA certi fi cados, la método de autentificación
selector escoge cuál de estos métodos se utiliza para autenticar el par remoto. Los campos apropiados para el método elegido se mostrarán en la
pantalla fi guración 1 con fase.
PSK mutua
Cuando usas PSK mutua, el par se valida mediante una cadena definida de. Cuanto más larga sea la mejor, pero ya que es una cadena sencilla, hay una posibilidad de que
pueda ser adivinado. Por esta razón, una clave de largo / complejo es más seguro cuando se utiliza el modo PSK.
RSA mutua
En RSA mutua de modo, seleccionar una CA y certi fi cado utilizado para verificar los pares. Durante el intercambio de fase 1, cada par envía su certi fi cado a
la otra por pares y luego se valida contra su CA. compartida La CA y certi fi cado deben crearse para el túnel antes de intentar configurar la fase 1.
Mutua PSK + Xauth
Se utiliza con el móvil IPsec y IKEv1, esta selección permite xauth nombre de usuario y la contraseña de la verificación junto con una compartida (o “grupo”) clave
pre-compartida.
Mutua RSA + Xauth
Se utiliza con el móvil IPsec y IKEv1, esta selección permite xauth nombre de usuario y la contraseña de la verificación, junto con la autenticación RSA certi fi cado
mediante certi fi cados tanto en el cliente y el servidor.
Híbrido RSA + Xauth
Se utiliza con el móvil IPsec y IKEv1, esta selección permite xauth nombre de usuario y la contraseña de la verificación, junto con un certificado sólo en el lado
del servidor. No es tan seguro como Mutua RSA + Xauth, pero es más fácil en los clientes.
19.2. La elección de opciones de con fi guración 317

EAP-TLS
Se utiliza con el móvil y IKEv2 IPsec, RSA EAP-TLS Veri fi ca que certi fi cados en el cliente y el servidor son de la misma CA compartida, similar a la Mutua de
RSA. Los certi fi cados de cliente y servidor requieren un manejo especial:
• El certi fi cado servidor debe tener el nombre del cortafuego, tal como existe en el DNS que aparece en su nombre común, y de nuevo como un nombre alternativo del
sujeto (SAN). La dirección IP del cortafuego también debe aparecer en una SAN.
• El er fi cación en la Fase 1 también se debe ajustar para que coincida con el nombre de host del cortafuego que se enumeran en el nombre común de la certi fi cado.
• El cliente certi fi cado debe tener el nombre del usuario aparece como el nombre común y luego de nuevo como una SAN. Los certi fi cados de CA y el
servidor deben ser generados antes de intentar con fi gura EAP-TLS. La CA y certi fi cado de usuario debe ser importada en el cliente.
EAP-RADIUS
Se utiliza con el móvil y IKEv2 IPsec, esta selección se realiza la verificación CA junto con nombre de usuario y contraseña authentication a través de RADIUS. Un
servidor RADIUS debe ser seleccionado en el Los clientes móviles lengüeta. A pesar de los certi fi cados de usuario no son necesarios, EAP-RADIUS todavía requiere que
un servidor de CA y certi fi cado de estar presente con los mismos atributos mencionados en EAP-TLS. El CA debe ser importado al cliente, pero sin certificado de usuario fi
cado.
EAP-MSCHAPv2
Se utiliza con el móvil y IKEv2 IPsec, EAP-MSCHAPv2 funciona de forma idéntica a EAP-RADIUS, excepto los nombres de usuario y contraseñas se definen en el Pre-Shared
Key lengüeta debajo VPN> IPsec con el tipo secreto establece en EAP. También requiere un certi fi cado CA y el servidor con los mismos requisitos enumerados
anteriormente. El CA debe ser importado al cliente, pero sin certificado de usuario fi cado.
Modo de negociación
Para IKEv1, dos Modo de negociación las opciones son compatibles: principal, agresivo. Esta selección no está presente cuando se utiliza IKEv2.
Modo principal
Principal es el modo más seguro, aunque también requiere más paquetes entre los compañeros para llevar a cabo una negociación exitosa. También es mucho
más estricta en su validación.
Modo agresivo
Agresivo es generalmente el más compatible y es el modo más rápido. Es un poco más indulgente con los tipos de fi identi cador, y tiende a tener más éxito al negociar
con dispositivos de terceros en algunos casos. Es más rápido, ya que envía toda la información de identificación en un solo paquete, lo que también hace que sea menos
seguro debido a la veri fi cación de que los datos no es tan estricta como la que se encuentra en el modo principal.

Mi identi fi cador / Peer identi fi cador
A continuación, elija el er fi cación utilizada para enviar a la distancia entre pares, y también para la verificación de la identidad del par remoto. Los siguientes tipos er identificables pueden
ser elegidos para el Mi identi fi cador y Peer identi fi cador selectores. Si es necesario, un cuadro de texto aparecerá para introducir un valor que se utilizará para la identi fi cador.
Mi dirección IP dirección IP / Peer
Esta elección es una macro que utilizará automáticamente la dirección IP en la interfaz, o el VIP seleccionado, como el er fi cación. Para pares, esta es la
dirección IP desde la que se recibieron los paquetes, que debe ser el Puerta de enlace remoto.
Dirección IP
los Dirección IP opción permite que una dirección IP diferente para ser utilizado como la identi fi cador. Un uso potencial de esto sería si el cortafuego está detrás de un
router NAT realizar. La dirección IP externa real podría ser utilizado en este campo.
Nombre distinguido
UN Nombre distinguido es otro término para un nombre de dominio fi ed totalmente calificado, tal como host.example.com. Introduzca un valor en ese formato en la caja.
Nombre distinguido usuario
UN Nombre distinguido usuario es una dirección de correo electrónico, tales como vpn@example.com, en lugar de un nombre de dominio completo.
ASN.1 nombre distinguido
Si se utiliza RSA mutua autenticación, esto puede ser el tema de la certi fi cado que se utiliza, o una cadena similar.
IDdeLlave Tag
Una cadena arbitraria que se utilizará como er fi cación.
DNS Dinámico
Un nombre de host para resolver y utilizar como el er fi cación. Esto es sobre todo útil si el cortafuego está detrás de NAT y no tiene conocimiento directo de su dirección IP
externa, aparte de un nombre de host DNS dinámico. Esto no es relevante o estén disponibles para una
Peer identi fi cador como el nombre de host puede ser utilizado directamente en el Puerta de enlace remota campo y el uso Dirección IP de pares para la identi fi cador.
Alguna
En los casos cuando el control remoto er fi identi es desconocido o no puede ser igualada, la Peer identi fi cador se puede establecer en Alguna. Esto es más común en
ciertos tipos de fi guraciones móviles, pero es una opción mucho menos seguro que el juego er fi car correctamente.

Pre-Shared Key (PSK Si se utiliza Mutua)
Este campo se utiliza para introducir la PSK para la fase 1 de autenticación. Como se mencionó anteriormente, hacer de esto una clave de largo / compleja. Si esto PSK ha sido
proporcionada por el par, ingrese aquí. Si se debe generar un nuevo PSK, se recomienda utilizar una herramienta de generación de contraseñas se establece en una longitud de al menos
15, pero puede ser mucho más largo.
Fase 1 Los algoritmos de cifrado
Hay muchas opciones para los algoritmos de cifrado tanto en la fase 1 y fase 2.
Las opciones actuales son todos considerados criptográficamente seguro. ¿Cuál elegir depende del dispositivo al que se conectará el túnel, y el hardware disponible
en este fi cortafuegos. Generalmente hablando, AES es el sistema de cifrado más deseable y la longitud de clave más larga (256 bits) es el mejor. Cuando se
conecta a dispositivos de terceros, 3DES (también llamado “Triple DES”) es una opción común, ya que puede ser la única opción es compatible con el otro extremo.
Más información sobre cifras y aceleración está disponible en Fase 2 Los algoritmos de cifrado .
Fase 1 Los algoritmos hash
Los algoritmos hash se utilizan con IPsec para verificar la autenticidad de los datos del paquete. MD5, SHA1, SHA256, SHA384, SHA512, y AES-XCBC
son los algoritmos hash disponibles en la fase 1 y fase 2. Todos se consideran cryptograph- camente seguro, aunque SHA1 (Secure Hash Algorithm,
Revisión 1) y sus variantes se consideran el más fuerte que MD5. SHA1 requiere más ciclos de CPU que MD5, y los valores mayores de SHA a su vez
requiere una mayor potencia de la CPU. Estos algoritmos hash también se pueden denominar con HMAC (Código de autenticación de mensajes Hash) en
el nombre, en algunos contextos, pero que el uso varía en función del hardware o software en uso.
Nota: La implementación de SHA256-512 es RFC 4868 compatible con la versión de FreeBSD utilizado por pfSense. RFC 4868 se rompe la compatibilidad con
pilas de cumplimiento que implementaron proyecto-IETF-ipsec-CIPH-sha-256-00 , INCLUYENDO FreeBSD 8.1 y anteriores. Antes de utilizar SHA256, 384, o 512,
consulte con el otro lado para asegurarse de que son también RFC 4868 implementaciones compatibles o no van a trabajar. Lo relevante FreeBSD mensaje de
consignación cuando esto sucedió explica en detalle un poco más.
grupo clave DH
Todo el DH (Dif fi e-Hellman, el nombre de sus autores) opciones clave de grupo se consideran criptográficamente seguro, aunque los números más altos
son un poco más seguro en la costa de un mayor uso de la CPU.
tiempos de vida
El tiempo de vida especí fi ca con qué frecuencia se debe rekeyed la conexión, se especifica en segundos. 28800 segundos en la fase 1 es una con fi guración común y es
apropiado para la mayoría de los escenarios.
Mi Certi fi cado (Si se utiliza Mutua RSA)
Esta opción sólo aparece si se utiliza un RSA-basada Modo de autenticación. La lista se rellena utilizando los certi fi cados presentes en con fi guración del
cortafuego. certi fi cados pueden ser importados y gestionan bajo Sistema> Administrador de Cert sobre el certi fi cados lengüeta. Elija el certi fi cado a utilizar
para esta fase IPsec 1 de la lista. La CA de este certi fi cado debe coincidir con el elegido en el Mi Autoridad Certi fi cado selector.

Mi Certi fi cado de Autoridad (Si se utiliza Mutua RSA)
Esta opción sólo aparece si se utiliza un RSA-basada Modo de autenticación. La lista se rellena utilizando el CAs presente en con fi guración del
cortafuego. Una CA puede ser importado y gestionado bajo Sistema> Cert Manager. Elija el CA a utilizar para esta fase IPsec 1 de la lista.
Desactivar Rekey
Al seleccionar esta opción instruirá pfSense no iniciar un evento de cambio de clave en el túnel. Algunos clientes (EspeciallyWindows clientes detrás de NAT) se comportan mal cuando reciben
una solicitud de cambio de clave, por lo que es más seguro en estos casos para permitir que el cliente inicie la regeneración de claves mediante la desactivación de la opción en el servidor.
Normalmente ambas partes de cambio de claves, según sea necesario, pero si el túnel a menudo falla cuando se produce un evento de cambio de clave, intente seleccionar esta opción en un solo
lado.
Desactivar reauth
Esta opción sólo aparece para túneles IKEv2, IKEv1 siempre va a volver a autenticarse. Si se selecciona esta opción, a continuación, cuando un túnel regeneración de claves que
no se vuelva a autenticar los pares. Cuando no se controla, la SA se retira y se negoció en su totalidad y no sólo cambio de claves.
Sólo respondedor
Si Sólo respondedor se selecciona, a continuación, pfSense no intentará iniciar el túnel cuando tráfico c intenta cruzar. sólo se establece el túnel
cuando el extremo más alejado inicia la conexión. Además, si DPD detecta que el túnel ha fallado, el túnel se dejó abajo en lugar de reiniciarse,
dejando a un lado el momento de volver a conectar.
NAT
La opción NAT, también conocido como NAT-T, sólo está disponible para IKEv1. IKEv2 tiene NAT integrado de tal manera que la opción no es necesaria.
NAT Traversal puede encapsular el ESP tráfico c para IPsec dentro de paquetes UDP, para funcionar más fácilmente en presencia de NAT. Si esto
cortafuego o el cortafuego en el otro extremo del túnel estarán detrás de un dispositivo NAT, NAT es probable que sea necesario. La configuración por
defecto de Auto utilizará NAT en los casos en que se detecte su necesidad. La opción también puede establecerse en Fuerza para asegurar NAT siempre
se utilizará para el túnel. Esto puede ayudar si hay un problema conocido llevar ESP trá fi co entre los dos puntos finales.
MOBIKE
MOBIKE es una extensión para IKEv2 que se encarga de los clientes y clientes multitarjeta que deambulan entre los diferentes vestidos ad-IP. Esto se utiliza
principalmente con clientes móviles para que puedan cambiar las direcciones remotas, manteniendo la conexión activa.
Conexiones dividir
Esta opción es específico para IKEv2 y con fi guras de la Fase 2 entradas de tal manera que utilizan entradas de conexión separados, en lugar de una sola c selector
de tráfico por niño asociación de seguridad. Específicamente, esto se conoce a ser un problema con los productos de Cisco como ASA.
Si un túnel IKEv2 está en uso con múltiples entradas de la Fase 2, y sólo un par de red Fase 2 establecerá un ción conexiones, activar esta opción.

Dead Peer Detection (DPD)
Dead Peer Detection (DPD) es una comprobación periódica de que el anfitrión en el otro extremo del túnel IPsec está todavía vivo. Si un cheque DPD falla, el túnel es derribada
mediante la eliminación de sus entradas asociadas SAD y renegociación de tentativa. los Retrasar campo controla la frecuencia con que se intenta una comprobación DPD y la Los
fracasos Max campo controla el modo en que muchos de estos controles debe fallar antes de que un túnel se considera que es un estado hacia abajo. Los valores por defecto de 10 y
segundo 5 fallos tendrán como resultado en el túnel de ser considerado abajo después de aproximadamente un minuto. Estos valores se pueden aumentar para los enlaces de mala
calidad para evitar derribar un utilizable, pero con pérdida, túnel.
Fase 2 Ajustes
Los ajustes de fase 2 para un túnel IPsec gobiernan lo trá fi co será entrar en el túnel, así como la forma en que está cifrada trá fi co. Para los túneles normales, esto controla
las subredes que entrarán en el cortafuego. Para clientes móviles este controla principalmente el cifrado para la fase 2, pero también puede suministrar opcionalmente una
lista de redes a los clientes para su uso en la división de túnel. de fase múltiple 2 de fi niciones se pueden añadir para cada fase 1 para permitir el uso de múltiples subredes
dentro de un único túnel.
Habilitar deshabilitar
Esta configuración controla si o no este entrada en la fase 2 está activo.
Modo
Esta opción permite que el modo de túnel IPsec tradicional de, o el modo de transporte. el modo de túnel también puede especificar IPv4 o IPv6.
Modo IPv4 / IPv6 túnel
Al utilizar cualquiera IPv4 túnel o IPv6 túnel para esta entrada en la fase 2, el cortafuego se túnel IPv4 o IPv6 fi tráfico c que coincide con el ed
especificidad Red local y Red remota. Una fase 2 puede ser para IPv4 o IPv6, y los valores de red están validado basado en esa elección. Traf fi c
coincidente tanto la red local y la red remota entrarán en el túnel y ser entregado al otro lado.
Nota: Con IKEv1, sólo uno de IPv4 o IPv6 se pueden usar, y debe coincidir con la misma familia de direcciones se utiliza para establecer la fase del túnel 1. Con IKEv2,
ambos tipos pueden ser utilizados en el mismo túnel.
Modo de transporte
Transporte modo cifrará tráfico c entre las direcciones IP utilizadas como la fase 1 puntos finales. Este modo permite encrypt- ing trá fi co de la dirección IP
externa del cortafuego a la dirección IP externa en el otro lado. Cualquier tráfico c enviado entre los dos nodos se cifrará, así que usar otros métodos de
tunelización que no emplean el cifrado, tales como un GIF o túnel GRE, se puede utilizar de forma segura. los Red local y Red remota no se han establecido
para el modo de transporte, que asume las direcciones en base a los ajustes de fase 1.
Red Local (Si se utiliza un modo de túnel)
Como su nombre lo indica, esta opción establece el Red local los que se asociará con esta fase 2. Esto es típicamente la LAN u otra subred interna para
la VPN, pero también puede ser una única dirección IP si es sólo un cliente necesita usar el

túnel. El selector de tipo se carga previamente con opciones de subred para cada interfaz (por ejemplo, Subred LAN), tanto como Dirección
y Red opciones que permiten introducir una dirección IP o subred de forma manual.
NAT / binat Traducción
Para realizar NAT en las direcciones de red locales para hacerlos aparecer como una subred diferente o como una dirección IP pública, utilice el NAT / binat
Traducción campos. Si una sola dirección IP es especificado en Red local y una única dirección IP en el
NAT / binat tipo de traducción campo, a continuación, una relación 1: 1 traducción NAT se establecerá entre los dos. 1: 1 NAT es también de configuración si una subred del
mismo tamaño se utiliza en ambos campos. Si la red local es una subred, pero el NAT / binat Traducción
se establece en una única dirección IP, a continuación, un 1: muchos NAT (PAT) traducción se estableció que funciona como una regla de NAT de salida en la WAN,
todo el tráfico saliente fi co se traduce de la red local a la única dirección IP en el campo NAT. Si NAT no es necesario en el tráfico IPsec c, dejarlo en Ninguna.
Red remota (Si se utiliza un modo de túnel)
Esta opción (sólo presente en los túneles no móviles) especí fi ca del IP Dirección o Red que existe en el otro lado (a distancia) de la VPN. Se opera de
manera similar a la Red local opción mencionada anteriormente.
Protocolo
IPsec tiene la opción de elegir AH (Encabezado autenticados) o ESP (carga útil de seguridad de encapsulación). En casi todas las circunstancias, el ESP se
utiliza, ya que es la única opción que cifra trá fi co. AH sólo proporciona la garantía del trá fi co vino de la fuente de confianza y se utiliza muy poco.
Fase 2 Los algoritmos de cifrado
En los sistemas con AES-NI, la opción más rápida y segura es AES-GCM, siempre que el dispositivo remoto es compatible con él también. Cuando se utiliza
AES-GCM en la Fase 2, utilizar AES en la Fase 1 con una longitud de clave equivalente. Además, si se utiliza AES-CGM, no seleccione las opciones para Los
algoritmos hash en la Fase 2. Al utilizar sistemas con glxsb aceleradores, tales como ALIX, elija AES 128 para un mejor rendimiento. Para sistemas con hifn aceleradores,
eligieron 3DES o AES para un mejor rendimiento. Tanto AES y Blow fi sh permite la selección de la longitud de la clave del cifrado en diversos pasos entre 128 bits y
256 bits. Los valores más bajos serán más rápidos, los valores más grandes son más segura mediante cifrado. En los sistemas sin un acelerador de hardware de
criptografía, Blow peces y REPARTO son las opciones más rápidas.
Las opciones de cifrado fase 2 permiten múltiples selecciones de modo que, o bien múltiples opciones serán aceptadas cuando actúa como un respondedor, o múltiples
combinaciones serán juzgados cuando se trabaja como un iniciador. Lo mejor es sólo para seleccionar la cifra deseada sola, pero en algunos casos la selección de
múltiples permitirá un túnel a trabajar mejor, tanto en un respondedor y el papel de iniciador.
Fase 2 Los algoritmos hash
Al igual que con los algoritmos de cifrado, se pueden seleccionar múltiples hashes. Todavía es mejor sólo para seleccionar la opción deseada solo si es posible. Para
más discusiones sobre la calidad de los diversos tipos de hash, consulte Fase 1 algoritmos hash.
Nota: Cuando se utiliza AES-GCM para el Fase 2 Algoritmo de cifrado, no seleccione alguna opciones para el algoritmo de hash!

grupo clave PFS
Perfect Forward Secrecy (PFS) proporciona material de claves con mayor entropía, mejorando por lo tanto la seguridad criptográfica de la conexión, a costa de mayor uso
de la CPU cuando se produce cambio de claves. Las opciones tienen las mismas propiedades que la opción del grupo DH clave en la fase 1 (Véase DH grupo clave), y
algunos productos también se refieren a ellos como valores “DH”, incluso en la Fase 2.
Toda la vida
los Toda la vida opción especí fi ca con qué frecuencia se debe rekeyed la conexión, en cuestión de segundos. 3600 segundos en la fase 2 es una con fi guración común y es
apropiado para la mayoría de los escenarios.
Automáticamente anfitrión Ping (Keep Alive)
Para el uso en túneles no móviles, esta opción le dice al cortafuego para iniciar un ping periódicamente a la dirección IP fi cado. Esta opción sólo funciona
si el cortafuego tiene una dirección IP dentro de la Red local Para esta fase 2, la categoría y el valor de la acogida de ping aquí debe estar dentro de la Red
remota.
IPsec y reglas de cortafuego
Cuando un túnel IPsec es con fi gurado pfSense añade automáticamente la normativa fi cortafuego ocultos para permitir que los puertos UDP 500 y
4500, y el protocolo ESP de la pasarela remota dirección de IP destinada a la Interfaz Dirección IP ed especificidad en el túnel con fi guración. Cuando está habilitado el
soporte de cliente móvil se añaden las mismas reglas fi cortafuego excepto con el conjunto de la fuente alguna. Para anular la adición automática de estas reglas,
comprobar Desactivar todos VPN auto-añadido reglas bajo Sistema
> Avanzado sobre el Firewall / NAT lengüeta. Cuando la caja está marcada, reglas de cortafuego deben añadirse manualmente para UDP
500, UDP 4500, y ESP a la interfaz WAN apropiado.
Traf fi c iniciada desde el extremo remoto de una conexión IPsec se filtra con las reglas con fi gurado bajo Cortafuegos> Reglas
sobre el IPsec lengüeta. Aquí se pueden imponer restricciones sobre los recursos accesibles a los usuarios remotos IPsec. Para controlar qué tráfico c puede transmitirse de
redes locales a los dispositivos remotos IPsec VPN conectados o redes, las normas de la interfaz local donde el anfitrión reside controlar el tráfico c (por ejemplo, la
conectividad de los alojamientos de LAN están controladas con las normas de LAN).
Sitio a Sitio
Un sitio a sitio interconexiones túnel IPSec dos redes como si estuvieran conectados directamente por un router. Sistemas en el sitio A pueden alcanzar los servidores
u otros sistemas en el sitio B, y viceversa. Este tráfico c también puede ser regulada a través de reglas fi cortafuego, como con cualquier otra interfaz de red. Si más
de un cliente se conectará a otro sitio desde el mismo lugar controlado, un túnel de sitio a sitio probablemente será más e fi ciente, por no mencionar más conveniente
y más fácil de soportar. Con un túnel de sitio a sitio, los sistemas de las dos redes no necesitan tener ningún conocimiento de que existe una VPN. No se necesita
ningún software cliente, y todo el trabajo del túnel está a cargo de los routers. Esto también es una buena solución para los dispositivos que cuentan con el apoyo de
la red, pero no manejan las conexiones VPN, tales como impresoras, cámaras, sistemas HVAC y otro hardware embebido.
De sitio a sitio de ejemplo con fi guración
La clave para hacer un túnel IPsec de trabajo es asegurar que ambas partes tienen la configuración de coincidencia para la autenticación, cifrado, y así
sucesivamente. Antes de empezar, hacer una nota de las direcciones WAN IP local y remota, así como los locales

y subredes internas remotos que serán transportados a través del túnel. Una dirección IP de la subred remota a ping es opcional, pero se recomienda para
mantener el túnel vivo. El sistema no comprueba las respuestas, ya que cualquier trá fi co inició a una dirección IP en la red remota dará lugar a la
negociación de IPsec, por lo que no importa si el host responde realmente o no, siempre y cuando se trata de una dirección IP en el otro lado de la conexión.
Aparte del túnel cosmética Descripción y estas piezas de información, los otros parámetros de conexión serán idénticos.
En este ejemplo y algunos de los ejemplos posteriores en este capítulo, se supondrá que los siguientes ajustes:
Tabla 19.1: IPsec Configuración de punto final
Un sitio El sitio B
Nombre Austin O fi cina Nombre Londres O fi cina
IP WAN 198.51.100.3 IP WAN 203.0.113.5

subred LAN 10.3.0.0/24 subred LAN 10.5.0.0/24
IP LAN 10.3.0.1 IP LAN 10.5.0.1
Comience con sitio A. Crear el túnel haciendo clic Añadir P1. Se muestra la página fi guración 1 con fase para el túnel.
Muchos de estos ajustes pueden dejarse en sus valores por defecto.
En primer lugar, fi ll en la sección superior que contiene la información general de la fase 1, se muestra en la figura fi gura-vpn-túnel-settings.
Se requieren elementos en negrita. Especifique la configuración como se describe:
Discapacitado Desactive esta casilla para que el túnel estará en funcionamiento.
versión de intercambio de claves especificidad es si utilizar o IKEv1 IKEv2. Para este ejemplo, IKEv2 se utiliza, pero
si por un lado no es compatible con IKEv2, utilice IKEv1 lugar.
protocolo de Internet Estarán IPv4 en la mayoría de los casos a menos que ambos tienen las WAN IPv6, en cuyo caso cualquiera de los tipos
puede ser usado.
Interfaz Lo más probable es ajustado a WAN, pero véase la nota al Selección de la interfaz en la selección de la interfaz adecuada
cuando no esté seguro.
Puerta de enlace remota La dirección de la WAN al sitio B, 203.0.113.5 en este ejemplo.
Descripción Algunos texto para indicar el propósito o la identidad del túnel. Es una buena idea poner el nombre
del sitio B en esta caja, y algunos detalles sobre el propósito del túnel para ayudar con la futura administración. Para este
ejemplo Oficina ExampleCo Londres se utiliza para la Descripción para identificar dónde termina el túnel.
Fig. 19.1: Sitio Configuración de túnel de una VPN
19.4. Sitio a Sitio 325

La siguiente sección controla IPsec fase 1, o de autenticación. Se muestra en la figura El sitio A Fase 1 Ajustes . Los valores por defecto son deseables para la mayoría
de estos ajustes, y simpli fi ca el proceso.
método de autentificación El valor por defecto, PSK mutua, se utiliza para este ejemplo.
Mi identi fi cador El valor por defecto, Mi dirección IP, se mantiene.
Peer identi fi cador El valor por defecto, Dirección IP de pares, se mantiene.
Pre-Shared Key Este es el escenario más importante para conseguir la correcta. Como se ha mencionado en el resumen de VPN,
IPsec usando claves pre-compartidas puede romperse si se utiliza una clave débil. Utilizar una clave fuerte, al menos 10 caracteres de
longitud que contiene una mezcla de letras mayúsculas y minúsculas, números y símbolos. necesitará la misma clave que se introducirán
en la con fi guración del túnel para el sitio B más tarde, por lo que anotarlo o copiar y pegarlo en otro lugar. Copiar y pegar puede ser útil,
especialmente con una clave compleja como abc123% XyZ9 $ 7qwErty99.
Algoritmo de cifrado Utilizar AES con una longitud de clave de 256 bits.
Hash Algorithm Utilizar SHA256 si ambas partes apoyan, de lo contrario utilizar el valor predeterminado SHA1.
Grupo DH El valor por defecto de 2 (1024 bits) está bien, los valores más altos son más seguros, pero utilizan más CPU.
Toda la vida También puede ser especi fi cado, de lo contrario el valor por defecto de 28800 se utilizará.
Desactivar cambio de contraseña Deja sin marcar
Sólo respondedor Deja sin marcar
NAT Dejar encendido Auto, ya que en este ejemplo no cortafuego está detrás de NAT.
Dead Peer Detection Deja marcada, el valor por defecto Retrasar de 10 y segundo Los fracasos Max de 5 es ade-
cuada. Dependiendo de las necesidades en un sitio de un valor más alto puede ser mejor, como 30 y segundo 6
reintentos, sino una conexión WAN problemático en ambos lados pueden hacer que demasiado baja. Hacer clic Salvar para completar
la configuración de fase 1.
Después de la fase 1 se ha añadido, añadir una nueva fase 2 de fi nición a la VPN:
• Hacer clic Mostrar Fase 2 entradas como se ve en la figura Un sitio de la Fase 2 Lista (vacío) para expandir la lista de fase 2 para esta VPN.
• Hacer clic Añadir P2 para añadir una nueva entrada en la fase 2, como se ve en la figura Adición de una entrada en la fase 2 a sitio .
Ahora agregue la configuración para la fase 2 de esta VPN. Los ajustes para la fase 2 (figura Del sitio Configuración general de la Fase 2 ) puede variar más de fase 1.
Modo Dado que se desea un túnel tráfico c, seleccionar IPv4 túnel
subred local Lo mejor es dejar esto como Subred LAN, pero también podría ser cambiado a Red con el buen
valor de subred llenan de, en este caso 10.3.0.0/24. Si se deja tal subred LAN se asegurará de que si pasa a ser la red, este
extremo del túnel seguirá. Si eso sucede, el otro extremo se debe cambiar manualmente.
NAT / binat Ajustado a Ninguna.
subred remota Ajuste a la red en el sitio B, en este caso 10.5.0.0/24.
El resto de los 2 ajustes de fase, visto en la figura Fase 2 Configuración del sitio , cubrir el cifrado del tráfico c. Los algoritmos de cifrado y algoritmos hash se pueden
establecer para permitir múltiples opciones en la fase 2, y ambas partes negociarán y acordarán los ajustes, siempre que cada lado tiene al menos uno de cada uno
en común. En algunos casos eso puede ser una buena cosa, pero es generalmente mejor para restringir esto a las opciones especí fi cos individuales deseados en
ambos lados.
Protocolo Ajustado a ESP para el cifrado.

Fig. 19.2: Sitio una fase 1 Ajustes
Fig. 19.3: sitio Fase 2 Lista (vacío)
Fig. 19.4: Adición de una entrada en la fase 2 a sitio

Fig. 19.5: sitio Fase 2 Configuración general
Algoritmo de cifrado Lo ideal sería que, si ambas partes lo apoyan, seleccionar AES256-GCM con un 128 bits longitud de la clave.
De lo contrario, utilice AES 256, o cualquiera de cifrado ambos extremos apoyarán.
algoritmo de hash Con AES-GCM en uso, no se requiere de hash. De lo contrario, utilice SHA 256 o SHA 1. Evitar
MD5 cuando sea posible.
PFS Confidencialidad directa perfecta puede ayudar a proteger contra ciertos ataques clave, pero es opcional. En este ejemplo,
está desactivado.
Toda la vida Utilizar 3600 para este ejemplo.
Fig. 19.6: Sitio una fase 2 Ajustes
Por último, una dirección IP se puede introducir para un sistema de la LAN remota que se enviará periódicamente un ICMP ping, como en la figura Un sitio de Keep Alive . El
valor de retorno del ping no está marcada, esto sólo enviará trá fi co del túnel de manera que se quedará establecida. En esta configuración, la dirección IP de LAN del
router pfSense en el sitio B, 10.5.0.1, se utiliza. Para fi nalizar la configuración y ponerlos en acción: * Pulse Salvar * Hacer clic Aplicar cambios en la pantalla de IPsec
túneles, como se ve en la figura Aplicar configuración de IPsec .

Fig. 19.7: Sitio A Keep Alive
Fig. 19.8: Aplicar configuración IPsec
El túnel para el sitio A es terminado, pero ahora se necesitan reglas fi cortafuego para permitir tráfico c de la red en el sitio B para entrar a través del túnel IPsec. Estas
reglas deben ser añadidos a la IPsec lengüeta debajo Las reglas del cortafuegos. Ver firewall para la especificación cs en la adición de reglas. Las reglas pueden ser tan
permisiva como se desee, (permitir cualquier protocolo desde cualquier parte), o restrictiva (permitir TCP desde un host determinado en el sitio B a un cierto anfitrión del
sitio en un determinado puerto). En cada caso, asegúrese de que la dirección de origen (en) son direcciones B, tales como 10.5.0.0/24. Las direcciones de destino será el
sitio de la red, 10.3.0.0/24.
Ahora que sitio es con fi gurado, es el momento de abordar el sitio B. Repetir el proceso en el router de sitio B para agregar un túnel. Sólo unas pocas partes de esta configuración
serán diferentes desde el sitio A como se muestra en la figura El sitio B Fase 1 Ajustes y la figura El sitio B Fase 2 Ajustes :
• Los ajustes de fase 1 para la dirección WAN y Descripción
• Las redes de túneles fase 2
• El ajuste Mantener Vivo
Añadir a la Fase 1 con el Sitio B cortafuego usando los mismos ajustes utilizados en el sitio, pero con las siguientes diferencias:
Puerta de enlace remota La dirección de la WAN al sitio, 198.51.100.3.
Descripción Oficina Austin ExampleCo.
Agregar una entrada en la fase 2 con el Sitio B cortafuego usando los mismos ajustes utilizados en el sitio, pero con las siguientes diferencias.
subred remota La red en el sitio, en este caso 10.3.0.0/24.
Automáticamente anfitrión de ping ( Figura El sitio B Keep Alive ). La dirección IP de la LAN de la fi cortafuegos pfSense en el Sitio
UN, 10.3.0.1.
• Hacer clic Aplicar cambios en la pantalla de túneles IPSec.
Al igual que con el sitio A, también hay que añadir reglas fi cortafuego para permitir trá fi co en el túnel para cruzar desde el sitio A al sitio B. Añadir estas reglas a la pestaña
IPsec bajo las reglas del cortafuegos. Para más detalles, véase IPsec y reglas de cortafuego . Esta vez, la fuente del trá fi co sería del sitio, destino del sitio B.
Ambos túneles están gurada ahora con fi y ahora están activos. Compruebe el estado de IPsec visitando Estado> IPsec. Una descripción del túnel se muestra
junto con su estado. Si el túnel no aparece como Establecido, puede haber un problema de establecer el túnel. Esto pronto, la razón más probable es que
ninguna de trá fi co ha tratado de cruzar el túnel. Puesto que la red local incluye una dirección que el cortafuego
ha, un botón de conexión se ofrece en esta pantalla que iniciará un ping a la fase 2. Haga clic en el control remoto Conectar
VPN botón para intentar abrir el túnel, como se ve en la figura Un sitio de IPsec Estado . Si el botón de conexión no lo hace

Fig 19.9:. Sitio B Fase 1 Ajustes
Fig 19.10:. Sitio B Fase 2 Ajustes
Fig 19.11:. Sitio B Keep Alive

aparecerá, tratar de ping a un sistema en la subred remota en el sitio B de un dispositivo dentro de la red local de fase 2 en el sitio A (o viceversa) y ver si el
túnel establece. Mirar Las pruebas de conectividad IPsec para otros medios de prueba de un túnel.
Fig 19.12:. Sitio IPsec Status
De no ser así, los registros de IPsec ofrecerán una explicación. Ellos se encuentran debajo Estado> SystemLogs sobre el IPsec lengüeta. Asegúrese de comprobar el estado y los registros en
ambos sitios. Para obtener más información para solucionar problemas, compruebe el Solución de problemas de IPsec
más adelante en este capítulo.
consideraciones de enrutamiento y de puerta de enlace
Cuando el punto final de VPN, en este caso un fi cortafuegos pfSense, es la puerta de enlace predeterminada para una red normalmente no hay problemas con el enrutamiento.
Como un PC cliente envía trá fi co, que se destinará a la fi cortafuegos pfSense, sobre el túnel, y por el otro extremo. Sin embargo, si el router pfSense no es la puerta de enlace
predeterminada para una red dada, entonces tendrán que tomarse otras medidas de ruta.
Como un ejemplo, imaginemos que la fi cortafuegos pfSense es la puerta de enlace en el sitio B, pero no del sitio, como se ilustra en la figura
Sitio-a-sitio de IPsec Cuando pfSense no es la puerta de enlace . Un cliente, PC1 en el sitio B envía un ping a PC2 en el sitio A. El paquete sale PC1, a continuación, a través de la fi
cortafuegos pfSense en el sitio B, a través del túnel, el fi cortafuegos pfSense en el sitio A, y a PC2. Pero lo que sucede en el camino de regreso? La puerta de enlace en PC2 es
otro router por completo. La respuesta a la mesa de ping será enviado a la puerta de enlace y lo más probable es que se arrojó hacia fuera, o lo que es peor, puede ser enviada a
cabo el enlace de Internet y se pierde de esa manera.
Hay varias formas de evitar este problema, y cualquiera puede ser mejor en función de las circunstancias de cada caso.
• Una ruta estática podría ser introducido en el router de puerta de enlace que va a redirigir tráfico c destinada para el otro lado del túnel a la fi cortafuegos pfSense.
Incluso con esta ruta, se introducen complejidades adicionales porque este escenario da como resultado enrutamiento asimétrico como cubiertos en Derivación de
reglas de firewall para trá fi co en una misma interfaz .
• Una ruta estática podría añadirse a los sistemas cliente de forma individual para que sepan que enviar tráfico directamente a la c fi cortafuegos pfSense y no a
través de su puerta de enlace predeterminada. A menos que haya sólo un pequeño número de máquinas que necesitan acceder a la VPN, se trata de un dolor de
cabeza gestión y debe ser evitado.
• En algunas situaciones, puede ser más fácil de hacer que el fi pfSense cortafuegos la puerta de entrada y se deja manejar la conexión a Internet en lugar de la puerta de
entrada existente.
pfSense-iniciado Traf fi c y IPsec
Para acceder al extremo remoto de conexiones IPsec desde la fi pfSense cortafuegos en sí, “falso” el sistema a cabo mediante la adición de una ruta estática que
apunta la red remota a la dirección IP de la LAN de la fi cortafuegos pfSense. Tenga en cuenta este ejemplo supone la VPN se conecta la interfaz LAN en ambos
lados. Si la conexión IPsec está conectando una interfaz OPT, reemplazar las direcciones de interfaz y el IP de la interfaz en consecuencia. Debido a la forma de IPsec
está ligada en el kernel de FreeBSD, sin la ruta estática del trá fi co seguirá tabla de enrutamiento del sistema, que es probable que enviar este trá fi co fuera de la
interfaz WAN en lugar de sobre el túnel IPsec. tome la figura Sitio-a-sitio de IPsec , por ejemplo. Se requiere una ruta estática en cada cortafuego, que se realiza por
primera adición de una puerta de enlace que apunta a la dirección IP LAN del cortafuego (Ver gateways ), y después añadir una ruta estática por medio de esta puerta
de enlace (Ver Rutas estáticas ). Figura Sitio de una ruta estática a la subred remota mostrar la ruta que se añade en cada lado.

Fig 19.13:. Site-to-Site IPsec Dónde pfSense no es la puerta de enlace
Fig 19.14:. Site-to-Site IPsec
Fig. 19.15: Sitio una ruta estática a la subred remota

Fig. 19.16: Sitio B ruta estática a subred remota
IPsec móvil
La elección de un estilo de móvil IPsec
Actualmente sólo un tipo de móvil IPsec puede ser con fi gurada a la vez, aunque hay varios estilos diferentes para elegir.
• IKEv2 con EAP-TLS para cada usuario certi fi cado de autenticación
• IKEv2 con EAP-MSCHAPv2 de nombre de usuario local y la autenticación de contraseña
• IKEv2 con EAP-RADIUS para la autenticación de nombre de usuario remoto y la contraseña
• Xauth + PSK para nombre de usuario local o remoto y autenticación de contraseña
• Xauth + RSA para certificados y nombre de usuario local o remoto y autenticación de contraseña
• Pre-Shared Key para la conectividad IPsec básica de los clientes más antiguos
• L2TP / IPsec para nombre de usuario local o remoto y autenticación de contraseña con los clientes que no soportan uno de los métodos anteriores. Al escribir estas
líneas, la mayor parte corriente sistemas operativos soportan nativamente IKEv2 o puede usar una aplicación / complemento. Actualmente, es la mejor opción, y será el que
demostrará más adelante en este capítulo. Windows 7 y superior, Mac OS X 10,11 (El Capitán) y más tarde, el IOS 9 y posterior, y la mayoría de las distribuciones de Linux
tienen soporte incorporado para IKEv2. Hay una aplicación simple-strongSwan IKEv2 de usar para Android 4.x y versiones posteriores.
Nota: Todos los tipos de IKEv2 requieren una estructura de certi fi cado que incluye al menos un Certi fi cado de autoridad y un Servidor de Certi fi cado, y en algunos casos el usuario certi
fi cados. Para obtener más información sobre los Certificados fi, véase Gestión de certi fi cado . Los clientes pueden ser muy exigente con los atributos de certi fi cado, así que presta mucha
atención a este capítulo cuando se crea la estructura de certi fi cado.
Advertencia: Al generar una Servidor de Certi fi cado para su uso con IKEv2, el nombre común de la certi fi cado debe ser el nombre del cortafuego, tal como existe
en el DNS. El nombre se debe repetir de nuevo como un nombre alternativo del sujeto tipo FQDN (SAN). La dirección IP del cortafuego también debe estar
presente como un tipo de dirección IP SAN. Esta información se repetirá más adelante en el capítulo, pero requiere un énfasis adicional debido a su importancia.
Ver Crear un servidor de Certi fi cado
IKEv2 con EAP-MSCHAPv2
Con soporte para IKEv2 ha extendido, es una opción ideal para los sistemas operativos actuales. Aunque hay varias variaciones, EAP-MSCHAPv2 es el
más fácil para con fi gura ya que no requiere la generación o la instalación por usuario certificados y no requiere un servidor RADIUS de trabajo. El Certi fi
cado de CA aún debe ser instalado en el cliente como una raíz de confianza certi fi cado.
19.5. IPsec móvil 333

EAP-MSCHAPv2 permite contraseñas de autenticación de nombre de usuario y la contraseña utilizando almacenados en el Pre-Shared Keys
lengüeta debajo VPN> IPsec. Estas contraseñas se almacenan en texto plano, por lo que no es tan seguro como el uso de un servidor RADIUS, aunque es más conveniente.
IKEv2 con EAP-RADIUS
EAP-RADIUS funciona de forma idéntica a EAP-MSCHAPv2 excepto que pasa a través de la autenticación de usuarios RADIUS. Cuando se elige EAP-RADIUS, un
servidor RADIUS debe a la Los clientes móviles lengüeta. El servidor RADIUS debe aceptar y entender solicitudes de EAP y también debe permitir que MSCHAPv2. La
seguridad de contraseña se deja hasta el servidor RADIUS. EAP-RADIUS es normalmente la mejor opción cuando un servidor RADIUS está disponible.
IKEv2 con EAP-TLS
EAP-TLS utiliza autenticación por usuario certi fi cado en lugar de nombre de usuario y contraseña de autenticación. Como tal, EAP-TLS requiere la generación de
certi fi cados para cada usuario, lo que hace que sea un poco más engorroso desde un punto de vista de la administración. certi fi cados se validan con el CA
similar a OpenVPN. El CA certi fi cado, el usuario certi fi cado y su clave asociada todos deben ser importados al cliente correctamente.
Advertencia: Al crear certi fi cados de usuario, el nombre de usuario debe ser utilizado como el nombre común y el certi fi cado de nuevo
como DNS / Tipo FQDN nombre alternativo del sujeto. Si el mismo nombre no está presente en ambos lugares, los clientes no pueden ser validados correctamente.
IKEv1 con Xauth y Pre-Shared Keys
Xauth + PSK funciona en la mayoría de plataformas, la notable excepción de las versiones actuales de Android. Windows XP a través de Windows 8 se puede utilizar el
cliente domada suave, pero Windows 10 no funciona actualmente con cualquier cliente. OS X y iOS pueden utilizar su incorporado en el cliente para conectarse.
Nota: Al utilizar Xauth, los usuarios locales deben existir en el Administrador de usuarios y los usuarios deben tener la Usuario - VPN - IPSec Xauth Dialin privilegio.
IKEv1 con Xauth y RSA Certificados fi
Xauth + RSA funciona en la mayoría de las mismas condiciones que xauth + PSK, a pesar de que de hecho funciona en los dispositivos Android actuales. certi fi cados
deben hacerse para cada usuario, y los certi fi cados deben ser importados a los clientes.
IKEv1 con claves compartidas Sólo
Pre-Shared Key única IPsec VPN IPsec para móviles se han convertido en rara en los tiempos modernos. Apoyo no fue muy común, sólo se encuentra en el
cliente domada suave, algunas versiones de Android muy especí fi cos (como los de Motorola), y en otros clientes de terceros. No son muy seguros, y ya no se
recomiendan para uso general. La única vez que es posible que se necesiten en casos cuando el otro extremo no puede apoyar cualquier otro método.
L2TP / IPsec (IKEv1)
L2TP / IPsec es una combinación única que, por desgracia, no funciona muy bien en la mayoría de los casos. En este tipo de configuración, móvil IPsec está configurado para
aceptar conexiones de modo de transporte que aseguran todas de trá fi co entre los puntos extremos de la dirección IP pública. A través de este canal de transporte, una
conexión L2TP se hace para usuario túnel tráfico c de una manera más flexible.

Aunque el apoyo a este modelo se encuentra en la mayoría de las versiones de Windows, Mac, Android y otros sistemas operativos, todos ellos son exigentes en diferentes
formas incompatibles acerca de lo que va a trabajar.
Por ejemplo, el cliente de Windows no funciona correctamente cuando el sistema cliente está detrás de NAT, que es el lugar más común que un cliente
VPN sería hallar en sí. El problema es en una interacción entre el cliente y el demonio de IPsec utilizado en pfSense, strongSwan. El proyecto strongSwan
afirma que es un error en el cliente de Windows, pero es poco probable que sea fijo, ya que ambos strongSwan y Windows han centrado sus esfuerzos en
las implementaciones de clientes móviles más modernos y seguros, como IKEv2 lugar.
Advertencia: L2TP / IPsec debe evitarse siempre que sea posible.
Ejemplo IKEv2 Servidor Con fi guración
Hay varios componentes a la configuración del servidor con fi para los clientes móviles:
• La creación de una estructura de certi fi cado para la VPN
• Con fi guración del IPsec Cliente móvil ajustes
• La creación de la fase 1 y fase 2 para la conexión de cliente
• Adición de reglas fi cortafuego IPsec.
• Crear credenciales de usuario de la VPN
IKEv2 Certi fi cado de Estructura
Crear una Autoridad Certi fi cado
Si un Certi fi cado adecuada Autoridad (CA) no está presente en el Administrador Cert, creando una es la primera tarea:
• Navegar a Sistema> Administrador de Cert en la fi cortafuegos pfSense
• Hacer clic Añadir para crear una nueva autoridad de certi fi cado
• Seleccionar Crear una Autoridad Certi fi cado interno para el Método
• Rellene el resto de los campos como se desee con la información del sitio-específico de la empresa o
Crear un servidor de Certi fi cado
Advertencia: Siga estas instrucciones exactamente, prestando especial atención a cómo se crea el servidor certi fi cado en cada paso. Si cualquiera de las partes no es correcta,
algunos o todos los clientes no puedan conectarse.
• Navegar a Sistema> Cert Manager, Certi fi cados pestaña en la fi cortafuegos pfSense
• Hacer clic Añadir para crear un nuevo certi fi cado
• Seleccionar Crear un certi fi cado interno para el Método
• Entrar a Nombre descriptivo como IKEv2 servidor
• Seleccione la apropiada Autoridad certi fi cado creado en el paso anterior

• Elegir el deseado Longitud de la clave, Algoritmo de resumen, y Toda la vida
• Selecciona el Certi fi cado de Tipo a Servidor de Certi fi cado
• Rellene los valores regionales y compañía en el Nombre distinguido campos como se desee, que se copian de la CA y puede dejarse como está
• Introducir el Nombre común como el nombre de host del cortafuego tal como existe en el DNS. Si los clientes se conectarán mediante la dirección IP, la dirección IP colocar
aquí en vez
• Hacer clic Añadir añadir un nuevo Nombre alternativo
• Entrar DNS en el Tipo campo
• Introduzca el nombre de host del cortafuego tal como existe en el DNS de nuevo en el Valor campo
• Hacer clic Añadir añadir otro nuevo Nombre alternativo
• Entrar IP en el Tipo campo
• Introduzca la dirección IP WAN del cortafuego en el Valor campo
• Añadir más Nombres alternativos según sea necesario para nombres de host o direcciones IP en el cortafuego que los clientes pueden utilizar para conectar
Configuración de cliente móviles
Antes de con fi gurar una instancia de IPsec móvil, en primer lugar elegir un rango de direcciones IP que puede utilizar para los clientes móviles. Asegúrese de que las
direcciones IP no se solapan cualquier red existente; Las direcciones IP deben diferir de los que se utilizan en el lugar de alojamiento del túnel móvil, así como la LAN de la
que el cliente se va a conectar. En este ejemplo, 10.3.200.0/24 será utilizado, pero puede ser cualquier subred sin usar.
En primer lugar, permitir IPsec en el cortafuego si ya no se ha habilitado:
• Navegar a VPN> IPsec
• Comprobar Habilitar IPsec
soporte al cliente móvil también debe estar habilitado:
• Navegar a VPN> IPsec
• Haga clic en la pestaña de clientes móviles (Figura Permitir a los clientes móviles IPsec ).
• Comprobar Habilitar el soporte de cliente móvil IPsec
Fig. 19.17: permitir a los clientes móviles IPsec
• Deje las fuentes de autenticación establecidos a Base de datos local, como se ve en la figura Autenticación de clientes móviles . Este ajuste no es necesario para
EAP-MSCHAPv2, pero debe tener algo seleccionado. RADIUS servidores se define en el Administrador de usuarios ( Gestión de usuarios y autenticación ) Se
pueden seleccionar aquí para autenticar a los usuarios cuando se utiliza EAP-RADIUS.

Fig. 19.18: autenticación móvil Clientes
Algunos ajustes pueden ser empujados al cliente, tales como la dirección IP del cliente y los servidores DNS. Estas opciones se muestran en la figura Los clientes móviles
empujado Ajustes . El apoyo a estas opciones varía entre los clientes, pero es común y bien apoyado en la mayoría de los sistemas operativos actuales.
Conjunto de direcciones virtuales Define el conjunto de direcciones IP que se entregarán a los clientes. Utilizar
10.3.200.0/24 para este ejemplo.
IPv6 virtual Conjunto de direcciones Igual que el anterior, pero para direcciones IPv6.
Lista de redes Controla si el cliente intentará enviar todo su tráfico a través del túnel c, o únicamente
trá fi co de redes específicas. Si se selecciona esta opción, entonces la redes de fi nido en el Red local Opciones para la fase móvil 2
Definiciones serán enviados al cliente. Si esta opción no está marcada, los clientes intentan enviar la totalidad de su trá fi co, incluyendo
el tráfico de Internet fi co, a través del túnel. No todos los clientes respetan esta opción. Para este ejemplo, el cliente sólo puede alcanzar
la red en la fase 2, a fin de comprobar esta opción.
Guardar contraseña Xauth Cuando está marcada, los clientes que apoyan este control permitirá al usuario guardar su
credenciales cuando se utiliza Xauth. Esto se respeta principalmente por los clientes basados en Cisco como la hallada en iOS y Mac OS
X. Desde IKEv2 se está utilizando en este ejemplo, no es importante.
DNS de dominio predeterminado Cuando se activa, el valor introducido en el cuadro será empujado a los clientes como su
dominio predeterminado para su fi x peticiones DNS. Por ejemplo, si se establece en example.com y un cliente solicita anfitrión,
entonces la petición DNS se trató de host.example.com.
DNS dividido Controla la forma en que el cliente enviará solicitudes DNS al servidor DNS (si lo hay). Si esto
opción no está marcada, el cliente envía todas sus peticiones DNS a un servidor DNS proporcionado. Si se marca la opción, pero deja en
blanco, y una DNS de dominio predeterminado se establece, entonces sólo las solicitudes de ese nombre de dominio irá al servidor DNS
proporcionado. Si se comprueba y se introduce un valor, entonces sólo pide para el dominio (s) introducida en el cuadro será remitido al
servidor DNS proporcionado. En este ejemplo, tanto example.com y example.org se utilizan y las solicitudes de DNS para esos dos
dominios se ir a los servidores VPN, por lo que entrar en esos valores aquí separadas por un espacio.
Servidores DNS Cuando Proporcionar una lista de servidores DNS a los clientes está marcada, y se introducen las direcciones IP de
los servidores DNS locales, tales como 10.3.0.1, estos valores se envían a los clientes para su uso, mientras que el VPN está conectado.
Nota: Si los clientes móviles ruta a Internet a través de la VPN, garantizar a los clientes obtener un servidor DNS del cortafuego utilizando esta opción, y que no
tienen DNS dividido habilitado. Si esto no se hace, los clientes intentarán conseguir DNS de cualquier servidor al que fueron asignados por su ISP, pero enrutar la
solicitud a través del túnel y lo más probable es que se producirá un error.
Servidores WINS Funciona de forma similar a los servidores DNS, pero para WINS. Rara vez se utiliza en estos días, es mejor dejar desactivada.
Fase 2 Grupo PFS Anula el ajuste de la SSP para las 2 entradas fase móvil. Generalmente es mejor para establecer este
Valor de las entradas P2 de forma individual, así que deje sin marcar.
Entrar Banner Trabajos voluntarios, y sólo en los clientes Xauth. Deja sin control y en blanco.

Fig. 19.19: Configuración de clientes móviles empujado

• Hacer clic Salvar pfSense y mostrará una advertencia de que no hay fase 1 definición para los clientes móviles
• Hacer clic Crear Fase 1 para hacer una nueva entrada en la fase 1 para clientes móviles (Figura Los clientes móviles Fase indicativo 1 Creación )
• Haga clic en el túneles lengüeta
Fig. 19.20: Los clientes móviles Fase 1 pronta creación
Se presenta la Fase 1 con fi guración para clientes móviles, y debe ser con fi gurado de la siguiente manera:
Versión de intercambio de claves Ajustado a V2
protocolo de Internet Ajustado a IPv4 para este ejemplo
Interfaz Ajustado a PÁLIDO
Descripción Ajustado a IPsec móvil
método de autentificación Ajustado a EAP-MSCHAPv2
Mi identi fi cador Escoger Nombre distinguido de la lista desplegable y luego introduzca el nombre de host del
fi cortafuegos, misma que se inscribió en el certi fi cado de servidor, vpn.example.com
Peer identi fi cador Ajustado a Alguna
Mi Certi fi cado Elija el fi cado de IPsec servidor Certi creado anteriormente
Mi Autoridad Certi fi cado Elija la Autoridad Certi fi cado creado anteriormente
Algoritmo de cifrado Ajustado a 3DES ( O AES 256 si no hay IOS / Dispositivos OS X)
Hash Algorithm Debe establecerse en SHA1 ( O SHA256 si no hay IOS / Dispositivos OS X)
grupo clave DH Debe establecerse en 2 (1024 bits)
Toda la vida Debe establecerse en 28800
Desactivar Rekey Deja sin marcar
Desactivar reauth Deja sin marcar
Sólo respondedor Deja sin marcar
MOBIKE Ajustado a Habilitar para permitir a los clientes vagan entre las direcciones IP, establezca lo contrario a Inhabilitar.
• Hacer clic Mostrar Fase 2 entradas para ampliar la lista de la fase móvil 2 entradas
• Hacer clic Añadir P2 para añadir una nueva fase móvil 2.
Figura Los clientes móviles Fase 2 muestra la fase 2 opciones para este túnel móvil.
Modo Ajustado a IPv4 túnel
Red local Ajustado a subred LAN u otra red local. Para túnel todo tráfico c sobre el VPN, el uso
Red e introduzca 0.0.0.0 con una máscara de 0
NAT / binat Ajustado a Ninguna
Protocolo Ajustado a ESP, que cifrar el tráfico tunelizado fi c

Fig. 19.21: Fase 1 clientes móviles
Los algoritmos de cifrado Debe establecerse en AES con Auto seleccionado para la longitud de clave. también seleccione 3DES Si iOS
u OS X clientes se conectarán.
Los algoritmos hash Seleccionar SHA1 y SHA256
PFS Debe establecerse en apagado
Toda la vida Ajustado a 3600
• Haga clic en Aplicar cambios (figura Aplicar Configuración de túnel móvil ) y entonces la configuración del túnel para los clientes móviles se ha completado.
Creación del usuario móvil IPsec
El siguiente paso es agregar los usuarios para el uso de EAP-MSCHAPv2.
• Navegar a VPN> IPsec, Pre-Shared Keys lengüeta
• Hacer clic Añadir para agregar una nueva clave
• Con fi gura las opciones de la siguiente manera:
Identi fi cador El nombre de usuario para el cliente, puede expresarse de varias maneras, tales como una dirección de correo electrónico como
jimp@example.com
Tipo secreto Ajustado a EAP para los usuarios de EAP-MSCHAPv2
Pre-Shared Key La contraseña para el cliente, por ejemplo, abc123

Fig. 19.22: Los clientes móviles Fase 2
Fig. 19.23: Aplicar Configuración de túnel móviles

• Repita tantas veces como sea necesario para los usuarios adicionales de VPN. Un usuario
completa se muestra en la figura Móvil del usuario IPsec .
Fig 19.24:. Usuario móvil IPsec
Las reglas del cortafuegos
Al igual que con los túneles estáticos de sitio a sitio, también necesitarán reglas cortafuego añaden a los túneles móviles IPsec lengüeta debajo firewall
> Reglas. En este caso la fuente del trá fi co sería la subred elegido para los clientes móviles y el destino será la red LAN o alguna Si un túnel
todas de trá fi co. Para más detalles, IPsec y reglas de cortafuego .
Con fi guración del cliente
Cada equipo cliente móvil tendrá que tener una instancia de VPN añadió. En algunos casos puede ser necesario un cliente IPsec de terceros. Hay muchos clientes
diferentes IPsec disponibles para su uso, algunos gratuitos y algunas aplicaciones comerciales. Con IKEv2, tal como se utiliza en este ejemplo, muchos sistemas
operativos tienen clientes VPN nativos y no necesitan software adicional.
Ventanas IKEv2 Cliente Con fi guración
Windows 8 y soportar fácilmente nuevos VPN IKEv2, y Windows 7 pueden, así, aunque los procesos son un poco diferentes. El procedimiento de
esta sección se realizó en Windows 10, pero Windows 8 es casi idéntico. El procedimiento para importar certi fi cados a Windows 7 se puede
encontrar en la strongSwan Wiki
Importar la CA para el PC Cliente
• Exportar el Certi fi cado de CA de pfSense y descarga o copiarlo en el PC del cliente:
- Navegar a Sistema> Cert Manager, Autoridades certi fi cado pestaña en pfSense
- Hacer clic por la CA descargar sólo el certi fi cado
• Localizar la fi descargado le en el PC cliente (por ejemplo VPNCA.crt) como se ve en la figura Descargado Certi fi cado de CA
• Doble clic en la CA fi l
• Hacer clic Instalar Certi fi cado ... como se muestra en Propiedades certi fi cado
• Seleccionar Máquina local como se muestra en Certi fi cado de Asistente de importación - Ubicación de la tienda
• Hacer clic Siguiente
• Hacer clic Sí en el indicador UAC si aparece
• Seleccionar Coloque todos los Certi fi cados en el siguiente almacén como se muestra en la figura Certi fi cado de Asistente de importación - Busque la tienda

Fig. 19.25: Descargado CA Certi fi cado
• Hacer clic Autoridades Certificación raíz de confianza como se muestra en la figura Seleccionar Certi fi cado de tienda
• Revisar los detalles, que deben coincidir con los de la figura Completando el Asistente para importación de Certi fi cado
• Hacer clic Terminar
• Hacer clic DE ACUERDO
Configuración de la conexión VPN
Una vez que el certi fi cado se ha importado correctamente, es el momento de crear la conexión VPN cliente. Los pasos exactos pueden variar dependiendo de la
versión de Windows utilizada por el cliente, pero estarán cerca con el siguiente procedimiento.
• Abierto Redes y recursos compartidos en el PC cliente
• Hacer clic Configurar una nueva conexión o red
• Seleccionar Conectarse a un lugar de trabajo
• Seleccionar No, crear una nueva conexión
• Hacer clic Usar mi conexión a Internet (VPN)
• Introduzca la dirección IP o nombre de host del servidor en el dirección de Internet campo como se muestra en la figura Ventanas IKEv2 VPN pantalla Configuración de la
conexión
Nota: Esta debe coincidir con lo que está en el certi fi cado de servidor Nombre común o una fi con gurado Nombre Asunto Alternativa!
• Entrar a Nombre del destino para identificar la conexión

Fig. 19.26: Propiedades certi fi cado

Fig. 19.27: Certi fi cado del asistente de importación - Ubicación del almacén

Fig. 19.28: Certi fi cado del asistente de importación - buscar la tienda

Fig. 19.29: Seleccionar Certi fi cado de tienda
• Hacer clic Crear
La conexión se ha añadido pero con varios valores predeterminados indeseables. Por ejemplo el tipo por defecto automático. Unos ajustes deben configurarse manualmente
primera para asegurar una conexión adecuada se hace. Refiérase a la Figura Propiedades de la conexión de Windows IKEv2 VPN
• En Conexiones de red / Configuración de adaptador de Windows, encontramos la conexión creada anteriormente
• Haga clic derecho en la conexión
• Hacer clic propiedades
• Haga clic en el Seguridad lengüeta
• Ajuste Tipo de VPN a IKEv2
• Ajuste Cifrado de datos a Requerir cifrado (desconectar si el servidor)
• Ajuste Protocolo / Uso de autenticación de autenticación extensible a Microsoft: contraseña segura (EAP-MSCHAP v2) (cifrado habilitado)
• Comparación de los valores en la pantalla para los de la figura Propiedades de la conexión de Windows IKEv2 VPN
La conexión está lista para usar.
Comprobar desactivar EKU
Cuando los Cates CA y certi fi servidor se realizan correctamente en pfSense 2.2.4 y posteriores, esto no es necesario. Si un improp- generada erly certi fi cado de servidor debe
ser utilizado por alguna razón, entonces puede que sea necesario desactivar en Windows el cheque Uso de clave extendida. La desactivación de este control también desactiva
la validación del nombre común del certi fi cado de y campos de SAN,

Fig. 19.30: Finalización de la fi cado Asistente de importación cate

Fig 19.31:. Pantalla Configuración de la conexión de Windows IKEv2 VPN

Fig. 19.32: Windows IKEv2 VPN Propiedades de conexión

por lo que es potencialmente peligroso. Cualquier certi fi cado de la misma CA podría ser utilizado para el servidor cuando se trata de personas con discapacidad, por lo que proceder con cautela.
Para desactivar los controles de uso de clave extendida, abre Editor de registro en el cliente de Windows y navegue hasta la ubicación siguiente en el registro del
cliente:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ RasMan \ Parameters \
Allí, añadir un nuevo DWORD entrada llamada DisableIKENameEkuCheck y ponerlo a 1.
Un reinicio puede ser necesario para activar el ajuste.
basada en Ubuntu fi guración IKEv2 cliente de Con
Antes de comenzar, instale network-manager-strongSwan y strongSwan-plugin-eap-mschapv2 utilizando apt-get o un mecanismo similar.
• Copiar el Certi fi cado de CA para la VPN del cortafuego a la estación de trabajo
• Haga clic en el Gerente de Redes icono en la bandeja fi cación NotI por el reloj (Icon varía dependiendo del tipo de red en uso)
• Hacer clic Conexiones de red
• Seleccionar IPsec / IKEv2 (strongSwan) debajo VPN como se muestra en Adición de una VPN IKEv2 en Ubuntu
Fig. 19.33: Adición de una VPN IKEv2 en Ubuntu
Nota: Si la opción no está presente, vuelve a comprobar que network-manager-strongSwan esta instalado.
• Entrar a Descripción ( p.ej ExampleCo Mobile VPN)
• Selecciona el VPN Lengüeta

• Introducir el Dirección del cortafuego (por ejemplo, vpn.example.com)
• Seleccione el control junto a Certi fi cado y navegar para hallar el archivo descargado Certi fi cado de CA
• Seleccionar EAP para Autenticación
• Introducir el Nombre de usuario para ser utilizado para esta conexión (por ejemplo, Alicia)
• Comprobar Solicitar una dirección IP interna
• Comparar los ajustes a los que se muestran en la fi gura Configuración del cliente VPN Ubuntu
• Hacer clic Cerca
Conexión y desconexión
Para conectar:
• Haga clic en el Gerente de Redes icono
• Haga clic en el nombre de VPN o clic Las conexiones VPN para mover el cursor a la En 1) posición
Nota: Si no aparece una solicitud de contraseña, el servicio gestor de la red puede necesitar reinicia o un reinicio de la estación de trabajo puede ser necesario.
Para desconectar:
• Haga clic en el Gerente de Redes icono
• Hacer clic Las conexiones VPN para mover el cursor a la Off (0) posición
Android strongSwan IKEv2 Cliente Con fi guración
Nota: Android considera el uso de una VPN una acción que debe ser seguro. Al activar cualquier opción de VPN el sistema operativo obligará al usuario añadir algún tipo de
bloqueo para el dispositivo si uno no está ya presente. No importa lo que se elige el tipo de bloqueo (bloqueo de PIN, Patrón de bloqueo, contraseña, etc.) pero no va a permitir
que una VPN para con fi gurar hasta que un cierre de seguridad se ha añadido. En los dispositivos Android con la cerradura de la cara, que no está disponible como un tipo de
bloqueo seguro.
Antes de comenzar, instale el strongSwan aplicación de Play Store :
• Copiar el Certi fi cado de CA al dispositivo
• Abrir la aplicación strongSwan
• Importe el CA:
- Toque el icono de configuración (tres puntos verticales en la parte superior derecha)
- Grifo CA Certi fi cados
- Toque el icono de configuración (tres puntos verticales en la parte superior derecha)
- Grifo Certi fi cado de importación
- Busque el Certi fi cado de CA copiado anteriormente y toque.

Fig. 19.34: Configuración de cliente VPN Ubuntu

• Grifo Añadir VPN Per fi l
• Entrar a Per fi l Nombre ( opcional, si se deja en blanco, se utiliza la dirección de puerta de enlace)
• Introduzca la dirección del cortafuego como el gateway ( p.ej vpn.example.com)
• Seleccionar IKEv2 EAP (nombre de usuario / contraseña) para el Tipo
• Introducir el Nombre de usuario
• Introducir el Contraseña tener que recordar o dejarlo en blanco para que te pida la contraseña en cada conexión.
• Verificación Seleccionar automáticamente bajo CA Certi fi cado
• Comparar los ajustes a la figura Configuración del cliente Android strongSwan
Para conectar:
• Toca el VPN deseado
• Comprobar Confío en esta solicitud en el indicador de seguridad como se muestra en Configuración del cliente Android strongSwan
• Toque Listo
para desconectar:
• Desliza hacia abajo desde la barra de fi cación superior NotI
• Toque en la entrada strongSwan en la lista de noti fi cación
• Grifo Desconectar
Alternativamente:
• Grifo Desconectar en la VPN deseado
OS X IKEv2 Cliente Con fi guración
A partir de OS X 10,11 (El Capitán) es posible con fi gurar un tipo de VPN IKEv2 manualmente en la interfaz gráfica de usuario sin necesidad de una VPN Per fi l con fi
guración fi l. Con fi guración de IKEv2 se integra en la configuración de administración de red al igual que otras conexiones. Antes de que un cliente se puede conectar, sin
embargo, CA Certi fi cado del servidor VPN debe ser importado.
Importe el Certi fi cado de CA en OS X
• Copiar el Certi fi cado de CA al sistema OS X
• Haga doble clic en el archivo CA fi cado cado en el Finder (figura OS X Certi fi cado del archivo en el Finder ), que se abre Acceso a Llaveros
• Busque el certi fi cado importada en el marco Iniciar sesión, Certi fi cados como se muestra en la figura X Llavero OS Identificación Login Lista de Certi fi cado
• Arrastre el certi fi cado a Sistema
• Introduzca las credenciales de inicio de sesión y haga clic modificar Llavero


Fig. 19.36: Configuración de cliente Android strongSwan
Fig. 19.37: OS X Certi fi cado del archivo en el Finder

Fig. 19.38: X Llavero OS Identificación Login Certi fi cado Lista

• Busque el certi fi cado importada en el marco Sistema, Certi fi cados como se muestra en la figura Sistema de acceso X Llavero OS Certi fi cado de Lista
Fig. 19.39: Sistema de Acceso X Llavero OS Certi fi cado Lista
• Haga clic en el certi fi cado
• Hacer clic Archivo> Obtener información
• Expandir Confianza
• Ajuste Al utilizar este certi fi cado a Siempre confía como se muestra en la figura Ajustes Trust fi cado OS X cados
• Haga clic en el botón rojo de cierre para cerrar la ventana de información de certi fi cado, lo que provocará un mensaje de autenticación para permitir el cambio.
• Introduzca las credenciales de inicio de sesión y haga clic Ajustes de actualización
• Dejar de Acceso a Llaveros
El certi fi cado se encuentra ahora en el Sistema de Certificados fi y se ha marcado como de confianza para que pueda ser utilizado para la VPN.

Fig. 19.40: Configuración confían fi cado OS X cados
• Abra Preferencias del Sistema
• Hacer clic Red
• Haga clic en el icono de bloqueo e introduzca las credenciales para hacer cambios si todavía no se han desbloqueado los ajustes
• Haga clic en + para agregar una nueva entrada de VPN como se muestra en la figura OS X Añadir botón Red
Fig. 19.41: OS X Añadir botón Red
• Seleccionar VPN para el Interfaz
• Seleccionar IKEv2 para el Tipo de VPN ( defecto)
• Ajuste Nombre del Servicio para una descripción para la VPN (por ejemplo, ExampleCo VPN) para completar la forma, que será similar a la figura OS X Crear
VPN Prompt
• Introduzca el nombre de host del cortafuego en el DNS como el Dirección del servidor
• Introduzca el nombre de host del cortafuego de nuevo en ID remoto
Nota: Este debe coincidir con la entrada Nombre Común y el certificado del servidor SAN fi cado de.
• Salir ID local espacio en blanco, la configuración ahora se verá como la figura Ajustes de VPN OS X IKEv2
• Hacer clic Configuración de autenticación
• Seleccionar Nombre de usuario
• Introducir el Nombre de usuario y Contraseña como se muestra en la figura Configuración de autenticación OS X IKEv2 VPN

Fig. 19.42: OS X Crear VPN Prompt
Fig. 19.43: Ajustes OS X IKEv2 VPN

Nota: Con EAP-MSCHAPv2 la Nombre de usuario es el Identi fi cador con fi gurado para la entrada del usuario en el Pre-Shared Keys lengüeta debajo VPN> IPsec. Con
EAP-RADIUS este sería el nombre de usuario establecido en el servidor RADIUS.
Fig. 19.44: OS X IKEv2 Configuración de autenticación VPN
• Comprobar Mostrar estado de VPN en la barra de menú ( Si es deseado)
• Hacer clic Aplicar
Administración de la conexión se puede hacer de varias maneras. El primer método es hacer clic Conectar o Desconectar en la entrada VPN en Configuración de red. El
segundo método, más fácil es comprobar Mostrar VPN de estado en la barra de menú en la configuración de VPN y luego administrar la conexión de ese icono, como se
muestra en la figura X VPN OS Menú Estado .
Fig 19.45:. Menú de estado X VPN OS

IOS 9 IKEv2 Cliente Con fi guración
A partir de la versión 9, el IOS ha incorporado soporte para IKEv2 que puede ser con fi gurada de la interfaz gráfica de usuario sin necesidad de una VPN Per fi l. Al igual que con otros
clientes, el Certi fi cado de CA se debe instalar.
Importe el CA al dispositivo iOS
La importación del Certi fi cado de CA al dispositivo cliente es un proceso relativamente fácil. El primer paso es obtener el Certi fi cado de CA al dispositivo cliente. La forma más sencilla de
lograr esto es a través del correo electrónico, como se muestra en la figura iOS cliente de correo Recepción de CA Certi fi cado
Fig. 19.46: iOS cliente de correo Recepción de CA Certi fi cado
Para instalar el certi fi cado de e-mail:
• Enviar el Certi fi cado de CA solamente (no la clave) a una dirección de correo electrónico accesible desde el dispositivo cliente
• Abra la aplicación de correo en el dispositivo cliente

• Abra el mensaje que contiene el Certi fi cado de CA
• Pulse el archivo adjunto para instalar el certi fi cado y la CA Instalar Per fi l pronta mostrará como se ve en IOS CA Certi fi cado de instalación Per fi l
Prompt
Fig. 19.47: IOS CA Certi fi cado de instalación Per fi l Prompt
• Grifo Instalar en la parte superior derecha, y una pantalla de advertencia se presenta como se muestra en IOS CA Certi fi cado de instalación Advertencia
• Grifo Instalar en la parte superior derecha una vez más para confirmar y luego pronta nal fi uno se presenta como se ve en IOS CA Certi fi cado de Prompt
Confirmación
• Grifo Instalar en el indicador de con fi rmación y el Certi fi cado de CA ahora se almacena como una entrada de confianza.
Una vez que el Certi fi cado de CA se ha instalado, una entrada VPN debe ser con fi gura:
• Abierto ajustes

Fig. 19.48: IOS CA Certi fi cado de instalación Advertencia

Fig 19.49:. IOS CA Certi fi cado de Confirmación Prompt
• Grifo General
• Grifo VPN
• Grifo Añadir VPN Con fi guración
• Ajuste Tipo a IKEv2 ( defecto)
• Introduzca un texto para el Descripción ( p.ej ExampleCo VPN)
• Introduzca el nombre de host del cortafuego en el DNS como el Servidor
• Introduzca el nombre de host del cortafuego de nuevo en ID remoto
Nota: Este debe coincidir con la entrada Nombre Común y el certificado del servidor SAN fi cado de.
• Salir ID local blanco
• Ajuste Autenticacion de usuario a Nombre de usuario
• Introducir el Nombre de usuario y Contraseña
Nota: Con EAP-MSCHAPv2 la Nombre de usuario es el Identi fi cador con fi gurado para la entrada del usuario en el Pre-Shared Keys lengüeta debajo VPN> IPsec. Con
EAP-RADIUS este sería el nombre de usuario establecido en el servidor RADIUS.
• Grifo Hecho para completar la entrada de VPN. Cuando se haya completado, se ve similar a Configuración del cliente iOS IKEv2
La VPN puede ser conectado o desconectado visitando las entradas VPN bajo Ajustes. Esto varía un poco, pero muestra típicamente en al menos dos lugares:
1. Configuración> VPN
2. Ajustes> General> VPN
La entrada directamente debajo ajustes aparece en la parte superior de la lista con el resto de entradas de red (modo Avión, Wi-Fi, Bluetooth) y una vez que hay
al menos una conexión VPN presentes.


Una vez en la lista de VPN, se debe seleccionar la entrada de VPN (muestra una marca de verificación junto a su entrada) y luego el cursor puede ser movido a la posición “On”
para conectar.
Fig 19.51:. Lista IOS VPN
Mobile IPsec permite la creación de un llamado VPN estilo “trotamundos”, llamado así por la naturaleza variable de cualquier persona que no está en la o fi cina que
necesita volver a conectarse a la red principal. Puede ser una persona de ventas a través de Wi-Fi en un viaje de negocios, el jefe de su limusina por módem 3G, o
un programador que trabaja desde su línea de banda ancha en casa. La mayoría de éstos se verán obligados a lidiar con direcciones IP dinámicas, ya menudo ni
siquiera se conoce la dirección IP que tienen. Sin un router o cortafuegos fi soporte IPsec, un túnel IPsec tradicional no funcionará. En los escenarios de teletrabajo,
por lo general es indeseable e innecesaria para conectar toda la red doméstica del usuario a la red de o fi cina, y al hacerlo puede introducir complicaciones de
enrutamiento. Aquí es donde los clientes IPsec móviles son más útiles.
Sólo hay una definición para IPsec móvil en pfSense, así que en vez de confiar en una dirección fija para el extremo remoto del túnel, móvil IPsec utiliza
alguna forma de autenticación para permitir que un nombre de usuario para distinguirse. Esto podría

ser un nombre de usuario y una contraseña con IKEv2 y EAP o xauth, o una er identificaciones por usuario y el par de clave precompartida, o un certificado.
Las pruebas de conectividad IPsec
La prueba más fácil para un túnel IPsec es un ping desde una estación cliente detrás del router a otro en el lado opuesto. Si funciona, el túnel está en marcha y
funcionando correctamente. Como se menciona en pfSense-iniciado Traf fi c y IPsec , tráfico c inicia desde el fi cortafuegos pfSense normalmente no tra- verso el túnel
sin algún enrutamiento adicional, pero hay una manera rápida para probar la conexión del router mediante la especificación de una fuente cuando la emisión de un ping.
Hay dos métodos para realizar esta prueba: la interfaz gráfica de usuario, y la cáscara.
Especificación de una Fuente de ping en la interfaz gráfica
En la GUI, un ping puede ser enviado con una fuente de c especificidad como sigue:
• Navegar a Diagnóstico> Ping
• Introduzca una dirección IP en el router remoto dentro de la subred remota listada para el túnel en el Anfitrión de campo (por ejemplo,
10.5.0.1)
• Seleccione la apropiada Protocolo IP, probable IPv4
• Seleccione un Dirección de la fuente que es una dirección de interfaz o IP en el cortafuego local, que es dentro de la red de fase 2 local (por ejemplo, seleccione LAN para
la dirección IP de la LAN)
• Establecer una adecuada Contar, tales como el predeterminado 3
• Hacer clic Silbido
Si el túnel está funcionando adecuadamente, las respuestas del ping serán recibidos por el cortafuego de la dirección de internet en el sitio B. Si no se reciben respuestas, pasar a la Solución
de problemas de IPsec sección.
Si el túnel no se estableció inicialmente, es común durante unos pings a perderse durante la negociación del túnel, por lo que la elección de un recuento más alto o volver a
ejecutar la prueba es una buena práctica si falla el primer intento.
Especificación de una Fuente de ping en el Shell
El uso de la concha en la consola o vía ssh, el comando ping se puede ejecutar de forma manual y una dirección de origen puede ser especi fi cado con el - S parámetro.
Sin uso - S o una ruta estática, los paquetes generados por ping no intentará atravesar el túnel. Esta es la sintaxis para una prueba adecuada:
# de ping -S <IP de la LAN local> <remoto IP de LAN>
Donde el IP LAN local es una dirección de IP en una interfaz interna dentro de la subred local definición para el túnel, y la IP LAN remota es una dirección IP en el router
remoto dentro de la subred remota listada para el túnel. En la mayoría de los casos esto no es más que la dirección IP de la LAN de los respectivos rewalls fi pfSense.
Teniendo en cuenta el ejemplo de sitio a sitio anteriormente, esto es lo que se ha escrito para poner a prueba desde la consola del Sitio Un router:
# de ping 10.3.0.1 10.5.0.1 -S
Si el túnel está funcionando adecuadamente, las respuestas del ping serán recibidos por el cortafuego de la dirección de internet en el sitio B. Si no se reciben respuestas, pasar a la Solución
de problemas de IPsec sección.

Solución de problemas de IPsec
Debido a la naturaleza fi Nicky de IPsec, no es raro que los problemas que surgen. Afortunadamente, hay algunos básicos (y algunos no tan básica) procedimientos para solucionar
problemas que se pueden emplear para localizar problemas potenciales.
IPsec registro
Los ejemplos presentados en este capítulo han editado registros por razones de brevedad, pero significante permanecen mensajes cativos. Inicio de sesión para IPsec puede ser con fi
gurado para proporcionar información más útil. Para con fi gurar IPsec registro para diagnosticar problemas de túnel pfSense, el siguiente procedimiento se obtiene el mejor equilibrio de la
información:
• Navegar a VPN> IPsec sobre el Ajustes avanzados lengüeta
• Ajuste IKE SA, IKE SA Niño, y Con fi guración del backend a diag
• Ajuste todas las demás opciones de registros a Controlar
• Clic en Guardar
Nota: Cambio de las opciones de registro no es perjudicial para la actividad de IPsec y no hay necesidad de entrar en una fi co “modo de depuración” específico para IPsec en las versiones
actuales de pfSense.
Túnel no establece
En primer lugar comprobar el estado del servicio en Estado> Servicios. Si se detiene el servicio IPsec, vuelva a comprobar que está habilitado en el
VPN> IPsec. Además, si el uso de los clientes móviles, asegúrese de que en el Los clientes móviles pestaña, el cuadro de permitir que también se comprueba. Si el servicio se está ejecutando,
compruebe los registros fi cortafuego ( Estado> Registros del sistema, Firewall pestaña) para ver si se está bloqueando la conexión, y si es así, añadir una regla para permitir el tráfico bloqueado c.
Las reglas se añaden normalmente de forma automática para IPsec, pero esa característica se puede desactivar.
La causa más común de conexiones de túnel IPsec fallidos es una falta de coincidencia con fi guración. A menudo es algo pequeño, tal como un conjunto grupo DH a 1 en el
lado A y 2 en el lado B, o tal vez una máscara de subred de / 24 en un lado y / 32 por el otro. Algunos routers (Linksys, por ejemplo) también les gusta esconderse detrás de
ciertas opciones avanzadas “botones” o hacer suposiciones. Una gran cantidad de ensayo y error puede estar involucrado, y un montón de lectura de registro, pero
asegurando que ambas partes coinciden precisamente ayudará a la mayoría.
Dependiendo de las conexiones a Internet en cualquiera de los extremos del túnel, también es posible que un router involucrado en un lado o el otro no controla
correctamente IPsec trá fi co. Esta es una preocupación más grande con los clientes móviles y redes en las que está implicado NAT fuera de los criterios de
valoración reales de IPsec. Los problemas son generalmente con el protocolo ESP y problemas con él siendo bloqueados o mal manejados por el camino. NAT
(NAT T) encapsula ESP en el puerto UDP 4500 trá fi co para evitar estos problemas.
Túnel establece, pero no pasa de trá fi co
El principal sospechoso de un túnel si aparece, pero no pasará tráfico c es la normativa fi cortafuego IPsec. Si un sitio no puede alcanzar el sitio B, compruebe el sitio B de registro y reglas de
cortafuegos fi. A la inversa, si el sitio B no puede ponerse en contacto con el sitio A, comprobar el sitio de registro cortafuego y reglas. Antes de pasar a las normas, inspeccionar los registros fi
cortafuego en Registros de Estado> del sistema, sobre el firewall lengüeta. Si las entradas bloqueados están presentes que implican las subredes utilizadas en el túnel IPsec, a continuación, pasar
a la comprobación de las reglas. Si no hay entradas del registro que indican paquetes bloqueados, volver a la sección en consideraciones de enrutamiento IPsec en consideraciones de
enrutamiento y de puerta de enlace .
paquetes bloqueados en la IPsec o enc0 interfaz indican que el túnel se ha establecido, pero tráfico c está siendo bloqueada por reglas fi cortafuego.
Bloqueados paquetes en la LAN u otro interfaz interna pueden indicar que una regla adicional puede
19.7. Solución de problemas de IPsec 369

ser necesaria en ese conjunto de reglas de interfaz para permitir tráfico c de la subred interna hacia el extremo remoto del túnel IPsec. Bloqueados paquetes en
interfaces WAN o OPT WAN impedirían un túnel desde el establecimiento. Normalmente, esto sólo ocurre cuando las reglas VPN automáticas están desactivadas.
Adición de una regla para permitir que el protocolo ESP y el puerto UDP 500 de la misma dirección IP remota permitirán el túnel de establecer. En el caso de túneles
móviles, permitir tráfico c de cualquier fuente para conectarse a estos puertos.
Reglas para la interfaz IPsec se pueden encontrar en Firewall> Reglas, sobre el IPsec lengüeta. Los errores comunes incluyen el establecimiento de una regla para permitir que
sólo TCP tra fi co, lo que significa cosas como ICMP ping y DNS no funcionarían a través del túnel. Ver
firewall para más información sobre cómo crear correctamente y solucionar reglas cortafuego.
En algunos casos es posible que una falta de coincidencia ajuste también puede causar tráfico c falle pasa por el túnel. En una posición in-, una subred de fi
nido en un pfSense no era fi cortafuegos 192.0.2.1/24, y en la fi cortafuegos pfSense que era
192.0.2.0/24. El túnel establecido, pero tráfico c no pasaría hasta que se corrigió la subred. problemas de enrutamiento son otra posibilidad. Ejecución de un
traceroute (tracert en Windows) a una dirección IP en el lado opuesto del túnel puede ayudar a localizar a este tipo de problemas. Repita la prueba de ambos
lados del túnel. Comprobar el consideraciones de enrutamiento y de puerta de enlace sección de este capítulo para obtener más información. Al utilizar
traceroute, trá fi co, que entra y sale del túnel IPsec parece que faltan algunos saltos intermedios. Esto es normal, y parte de cómo funciona IPsec. Traf fi c
que no entra correctamente un túnel IPsec aparecerá para salir de la interfaz WAN y la ruta hacia el exterior a través de Internet, lo que apuntar a un
problema de encaminamiento tales como pfSense no ser la puerta de entrada (como en
consideraciones de enrutamiento y de puerta de enlace ), un fi incorrectamente especificados subred remota en el túnel de definición, o a un túnel que ha sido desactivado.
Algunos anfitriones de trabajo, pero no todos
Si trá fi co entre algunos hosts más de las funciones de VPN correctamente, pero algunos hosts no, esto es comúnmente una de cuatro cosas:
Falta, puerta de enlace predeterminada incorrecta o ignorado Si el dispositivo no tiene una puerta de enlace predeterminada, o tiene
una apuntando a algo distinto de la fi cortafuegos pfSense, que no sabe cómo obtener correctamente de nuevo a la red remota en la VPN (véase consideraciones
de enrutamiento y de puerta de enlace ). Algunos dispositivos, incluso con una puerta de enlace predeterminada se especi fi ca, no utilizan esa
puerta de enlace. Esto se ha visto en varios dispositivos integrados, incluyendo cámaras IP y algunas impresoras. No hay nada que pueda hacer
al respecto que, aparte de conseguir el software en el dispositivo fijo fi. Esto puede ser fi veri mediante la ejecución de una captura de paquetes
en la interfaz en el interior del cortafuego conectado a la red que contiene el dispositivo. Solución de problemas con tcpdump está cubierto de Usando
tcpdump desde la línea de comandos Y un ejemplo fi co IPsec- se puede encontrar en túnel IPsec no se conectará . Si se observa un trá fi co salir
de la interfaz interna del cortafuego, pero volver ninguna respuesta, el dispositivo no está encaminando correctamente su respuesta trá fi co o
potencialmente podría estar bloqueando la que a través de un cortafuegos cliente fi local.
máscara de subred incorrecta Si la subred en uso en un extremo se encuentra 10.0.0.0/24 y el otro es

10.254.0.0/24, y un anfitrión tiene una máscara de subred incorrecta de 255.0.0.0 o / 8, que nunca será capaz de comunicarse a través
de la VPN, ya que piensa la subred VPN remoto es parte de la red local y por lo tanto el enrutamiento no funcionará correctamente. El
systemwith el roto con fi guración intentará comunicarse con el sistema remoto a través de ARP en lugar de utilizar la puerta de enlace.
Anfitrión fi cortafuegos Si hay un cortafuego en la máquina destino, puede que no sea lo que permite las conexiones. Comprobar
cosas como Firewall de Windows, iptables, o utilidades similares que puede prevenir que el tráfico c de ser procesados por el
anfitrión.
Las reglas de firewall en pfSense Asegúrese de que las normas en ambos extremos permiten la red deseada tráfico c.
conexión se congela
IPsec no maneja con gracia paquetes fragmentados. Muchos de estos problemas han sido resueltos a través de los años, pero puede haber algunos problemas
persistentes. Si se bloquea o pérdida de paquetes sólo se ven al utilizar protocolos especí fi cos (SMB,

RDP, etc.), MSS de sujeción para la VPN puede ser necesario. MSS de sujeción se puede activar en VPN> IPsec sobre el
Ajustes avanzados lengüeta. En esa pantalla, compruebe Habilitar MSS de sujeción sobre VPN tráfico c y a continuación, introduzca un valor. Un buen punto de partida sería
1400, y si funciona lentamente aumentar el valor MSS hasta que se alcanzó el punto de ruptura, entonces bajar un poco de allá.
“aleatorio” desconecta Tunnel / DPD Fallos en los routers Embedded
Si túneles IPsec se dejan caer en una ALIX u otro hardware integrado que está empujando los límites de su CPU, DPD en el túnel puede necesitar discapacitados. Tales
fracasos tienden a correlacionarse con tiempos de uso de ancho de banda alto. Esto ocurre cuando la CPU en un sistema de baja potencia está atado con el envío de
IPsec trá fi co o está ocupado en otra cosa. Debido a la sobrecarga de la CPU no puede tomar el tiempo para responder a las solicitudes de DPD o ver una respuesta a
una petición de su propia. Como consecuencia, el túnel fallará un cheque DPD y se desconectará. Esta es una clara señal de que el hardware está siendo impulsado más
allá de su capacidad. Si esto sucede, considerar la sustitución del cortafuego con un modelo más potente.
Establecer y túneles de trabajo, pero no para renegociar
En algunos casos un túnel funcionará correctamente pero una vez que la fase 1 o fase 2 vida expira el túnel fallará para renegociar correctamente. Esto puede
manifestarse de varias formas diferentes, cada uno con una resolución diferente.
DPD no compatible, un lado Gotas pero los otros restos
Considere este escenario, que DPD está diseñado para evitar, pero puede ocurrir en lugares donde DPD no es compatible:
• Un túnel se establece desde el sitio A al sitio B, de tráfico c iniciado en el sitio A.
• Sitio B expira la fase 1 o fase 2 antes del sitio
• Un sitio se cree que el túnel está en marcha y continuar enviando trá fi co como si el túnel está funcionando correctamente.
• Sólo cuando de sitio fase 1 o fase 2 vida expira va a renegociar como se esperaba. En este escenario, las dos cosas resoluciones probables
son: Activar DPD, o el sitio B debe enviar tráfico c a sitio que hará que todo el túnel para renegociar. La forma más fácil para que esto suceda es
permitir un mecanismo de mantener con vida a ambos lados del túnel.
Establece túnel cuando se inicia, pero no al responder
Si un túnel establecerá a veces, pero no siempre, en general, hay una falta de coincidencia en un lado. El túnel todavía puede establecer porque si
los ajustes presentados por un lado son más seguras, el otro puede aceptarlos, pero no al revés. Por ejemplo, si existe un desfase de modo
agresivo / Main en un túnel IKEv1 y el conjunto lateral para Principal
inicia, el túnel todavía establecerá. Sin embargo, si el conjunto de lado a Agresivo los intentos de iniciar el túnel se producirá un error. desajustes de por vida no causan
un fallo en la Fase 1 o Fase 2. Para rastrear estos fallos, con fi gura los registros como se muestra en IPsec registro y el intento de iniciar el túnel de cada lado, a
continuación, comprobar los registros.
Interpretación IPsec Conectarse
Los registros de IPsec disponibles en Registros de Estado> del sistema, sobre el IPsec pestaña contiene un registro del proceso de conexión del túnel y algunos mensajes de la
actividad de mantenimiento del túnel en curso. Algunas entradas de registro típicos se enumeran en esta sección, buenas y malas. Las principales cosas a tener en cuenta son las
frases más importantes que indican qué parte de una conexión funcionó. Si “IKE_SA

... establecido”está presente en el registro, eso significa que la fase 1 se completó con éxito y se negoció una asociación de seguridad. Si “CHILD_SA ...
estableció” está presente, entonces la fase 2 también se ha completado y el túnel está arriba. En los siguientes ejemplos, los registros han sido con fi gurado
como escuchar en IPsec registro y mensajes irrelevantes pueden omitirse. Tenga en cuenta que estas son las muestras y los números de identificación fi cas,
direcciones IP, etc. variarán.
Las conexiones exitosas
Cuando un túnel se ha establecido con éxito las dos partes van a indicar que una SA IKE y una niño SA ha sido establecido. Cuando varios Fase 2 de fi
niciones están presentes con IKEv1, un niño SA es negociada para cada entrada de la Fase 2.
De registro de salida del iniciador:
Caronte: 09 con2000 [IKE] IKE_SA [11] se establece entre 192.0.2.90 [192.0.2.90] ... 192.0.2.74 [192.0.2.74] Caronte: 09 con2000 [IKE] CHILD_SA {2} establecida con SPI cf4973bf_i c1cbfdf2
10.42.42.0/24|/0
Registro de resultados de la respuesta:
Caronte: 03 con1000 [IKE] IKE_SA [19] se establece entre 192.0.2.74 [192.0.2.74] ... 192.0.2.90 [192.0.2.90] Caronte: 16 [IKE] CHILD_SA con1000 {1} establecida con SPI c1cbfdf2_i cf4973b
192.168.48.0/24|/0
Ejemplos de conexión fallidos
Estos ejemplos muestran fallos en la conexión por razones diversas. En la mayoría de los casos está claro a partir de los ejemplos que el iniciador no recibe
mensajes acerca de los elementos especí fi cos que no coinciden, por lo que los registros de respuesta son mucho más informativo. Esto se hace para proteger
la seguridad del túnel, sería insegura para proporcionar mensajes a un atacante potencial que les darían información sobre cómo el túnel es con fi gurado.
Fase 1 Principal / Discrepancia agresivo
En este ejemplo, el iniciador se establece para el modo agresivo mientras que el respondedor está ajustado para el modo principal. De registro de salida del
iniciador:
charon: 15 [IKE] iniciar agresivo con2000 Modo IKE_SA [1] para 203.0.113.5 charon: error AUTHENTICATION_FAILED 15 [IKE] recibido notificar
charon: 13 [ENC] analiza INFORMATIONAL_V1 petición 1215317906 [N (AUTH_FAILED)] charon: 13 [IKE] AUTHENTICATION_FAILED de error
recibido notificar
charon: 13 [IKE] PSK Modo Agresivo desactivado por razones de seguridad charon: 13 [ENC] generar solicitud INFORMATIONAL_V1 2940146627 [N
(AUTH_FAILED)]
Tenga en cuenta que los registros en el estado de respuesta claramente que el modo agresivo es desactivado, lo que es una buena idea que el modo no coincide.
En el caso contrario, si el conjunto de lado para el modo principal inicia, el túnel a una fi cortafuegos pfSense establecerá desde el modo principal es más seguro.
Fase 1 Identi fi er falta de coincidencia
Cuando el er fi cación no coincide, el iniciador sólo muestra que la autenticación ha fallado, pero no da una razón. Los estados de respuesta que es incapaz de
localizar un compañero, lo que indica que no se podía encontrar una coincidencia de fases 1, que

implica que ningún juego er fi cación pudo ser localizado. De registro de
salida del iniciador:
charon: 10 [ENC] analiza solicitud INFORMATIONAL_V1 4216246776 [HASH N (AUTH_FAILED)] charon: 10 [IKE] recibió notificar error
AUTHENTICATION_FAILED
Caronte: 12 [CFG] busca de configuraciones de pares clave pre-compartida que emparejan 203.0.113.5 ... 198.51.100.3 [someid] Caronte: 12 [IKE] no encontraron config pares
charon: 12 [ENC] generar INFORMATIONAL_V1 petición 4216246776 [HASH N (AUTH_FAILED)]
Fase 1 Pre-Shared Key falta de coincidencia
Una clave pre-compartida no coincidente puede ser un difícil de diagnosticar. Un error que indica el hecho de que este valor es no coincidentes no se imprime en el registro, en lugar
se muestran estos mensajes: registro de salida del iniciador:
Caronte: 09 [ENC] inválida HASH_V1 longitud de carga útil, no descifrado? Caronte: 09 [ENC] No se pudo descifrar cargas
útiles Caronte: 09 mensajes [IKE] Error en el análisis
Caronte: 09 [ENC] inválida ID_V1 longitud de carga útil, el descifrado no? Caronte: 09 [ENC] No se pudo descifrar cargas
útiles Caronte: 09 mensajes [IKE] Error en el análisis
Cuando los mensajes de registro anteriores están presentes, compruebe el valor de clave compartida previamente en ambos lados para asegurarse de que coinciden.
Fase 1 Algoritmo de cifrado no coincidente
charon: 14 [ENC] analiza INFORMATIONAL_V1 petición 3851683074 [N (NO_PROP)] charon: 14 [IKE] recibió notificar error
NO_PROPOSAL_CHOSEN
charon: 14 [CFG] propuestas recibidas: IKE: AES_CBC_128 / HMAC_SHA1_96 / PRF_HMAC_SHA1 / MODP_1024 charon: 14 [CFG] propuestas configurados: IKE:
AES_CBC_256 / HMAC_SHA1_96 / PRF_HMAC_SHA1 / MODP_1024 Caronte: 14 [IKE] encontró ninguna propuesta
charon: 14 [ENC] generar solicitud INFORMATIONAL_V1 3851683074 [N (NO_PROP)]
En este caso, el registro de entrada le dirá exactamente muestra el problema: El iniciador fue fijada para el cifrado AES de 128, y el contestador está configurado para AES 256.
Establecer tanto a valores coincidentes y vuelva a intentarlo.
Fase 1 Hash Algorithm falta de coincidencia
charon: 10 [ENC] analiza INFORMATIONAL_V1 petición 2774552374 [N (NO_PROP)] charon: 10 [IKE] recibió notificar error
NO_PROPOSAL_CHOSEN

charon: 14 [CFG] propuestas recibidas: IKE: AES_CBC_256 / MODP_1024

charon: 14 [CFG] propuestas configurados: IKE: AES_CBC_256 / HMAC_SHA1_96 / PRF_HMAC_SHA1 / MODP_1024 Caronte: 14 [IKE] encontró ninguna propuesta
El Algoritmo de Hash se indica mediante el HMAC parte de las propuestas registradas. Como se puede ver arriba, la acogida y con fi gurada estuviere en posesión no
tienen que coinciden con entradas HMAC.
Fase 1 Grupo DH no coincidente
charon: 11 [ENC] analiza INFORMATIONAL_V1 solicitud 316473468 [N (NO_PROP)] charon: 11 [IKE] recibió notificar error
NO_PROPOSAL_CHOSEN
charon: 14 [CFG] propuestas recibidas: IKE: AES_CBC_256 / HMAC_SHA1_96 / PRF_HMAC_SHA1 / MODP_8192 charon: 14 [CFG] propuestas configurados: IKE:
AES_CBC_256 / HMAC_SHA1_96 / PRF_HMAC_SHA1 / MODP_1024 Caronte: 14 [IKE] encontró ninguna propuesta
grupo DH se indica por la parte “MODP” de la propuesta de la lista. Como se indica por los mensajes de registro, el iniciador se fijó para 8192 (Grupo 18) y el
respondedor fue fijado para 1024 (Grupo 2). Este error se puede corregir mediante el establecimiento de la configuración de grupo DH en ambos extremos del túnel a un
valor coincidente.
Fase 2 Red de falta de coincidencia
En el siguiente ejemplo, la entrada en la fase 2 en el lado iniciador se establece para 10.3.0.0/24 a 10.5.0.0/24. La respuesta no está ajustado para que coincida con lo que las
listas 10.5.1.0/24 lugar. De registro de salida del iniciador:
Caronte: 08 [CFG] proponer selectores de tráfico para nosotros: Caronte: 08 [CFG]

10.3.0.0/24|/0
Caronte: 08 [CFG] proponen selectores de tráfico para otros: Caronte: 08 [CFG] 10.5.0.0/24|/0
charon: 08 [ENC] generar solicitud QUICK_MODE 316948142 [HASH SA No ID ID] charon: 08 [NET] de envío de paquetes: desde 198.51.100.3 [500] para
203.0.113.5 [500] (236 bytes) charon: 08 [NET] paquete recibido: desde 203.0.113.5 [500] para 198.51.100.3 [500] (76 bytes) charon: 08 [ENC] analiza
INFORMATIONAL_V1 solicitud 460353720 [HASH N (INVAL_ID)] charon: 08 [IKE] recibieron notificar error INVALID_ID_INFORMATION
Caronte: 08 [ENC] analiza la solicitud QUICK_MODE 2732380262 [HASH SA Sin ID ID] Caronte: 08 [CFG] busca de un niño por config 10.5.0.0/24|/0
=== 10.3.0.0/24|/0 Caronte: 08 [CFG] proponer selectores de tráfico para nosotros: Caronte: 08 [CFG] 10.5.1.0/24|/0
Caronte: 08 [CFG] proponen selectores de tráfico para otros: Caronte: 08 [CFG] 10.3.0.0/24|/0
Caronte: 08 [IKE] ninguna configuración CHILD_SA concordante Caronte: 08 [IKE] cola

INFORMATIVO charon tarea: 08 [IKE] activación de nuevas tareas Caronte: 08 [IKE]
activación de la tarea INFORMATIVO
charon: 08 [ENC] generar INFORMATIONAL_V1 petición 1136605099 [HASH N (INVAL_ID)]

En los registros de respuesta que enumera tanto las redes que recibió (línea “con niño fi g” en el registro) y lo que tiene con fi gurado localmente ( “proponer selectores de
tráfico c para ...” líneas en el registro). Mediante la comparación de los dos, un desajuste se pueden observar. El “no coincidente CHILD_SA con fi g encontrado” línea en el
registro estará siempre presente cuando se produce este desajuste, y que indica directamente que no podía encontrar una Fase 2 de definición para que coincida con lo que
recibió del iniciador.
Fase 2 Algoritmo de cifrado no coincidente
charon: 14 [CFG] propuestas configurados: ESP: charon AES_CBC_128 / HMAC_SHA1_96 / NO_EXT_SEQ: 14 [ENC] generar solicitud QUICK_MODE 759760112
[HASH SA No ID ID] charon: 14 [NET] de envío de paquetes: desde 198.51.100.3 [500] para 203.0.113.5 [500] (188 bytes) charon: 14 paquete [NET] recibido:
desde 203.0.113.5 [500] para 198.51.100.3 [500] (76 bytes) charon: 14 [ENC] analiza INFORMATIONAL_V1 petición 1275272345 [HASH N (NO_PROP)] charon:
14 [IKE] recibió notificar error NO_PROPOSAL_CHOSEN
Caronte: 13 [CFG] la selección de la propuesta:

charon: 13 [CFG] no encryption_algorithm aceptable conocer
charon: 13 [CFG] propuestas recibidas: ESP: AES_CBC_128 / HMAC_SHA1_96 / NO_EXT_SEQ Caronte: 13 [CFG] propuestas configurados:
ESP: charon AES_CBC_256 / HMAC_SHA1_96 / NO_EXT_SEQ: 13 [IKE] ninguna propuesta de asignación encontrado, enviando
NO_PROPOSAL_CHOSEN Caronte: 13 [IKE ] cola charon tarea Informativo: 13 [IKE] activación de nuevas tareas Caronte: 13 [IKE] activación de
la tarea INFORMATIVO
charon: 13 [ENC] generar INFORMATIONAL_V1 petición 1275272345 [HASH N (NO_PROP)]
En este caso, el iniciador recibe un mensaje de que el respondedor no pudo encontrar una propuesta adecuada ( “recibió NO_PROPOSAL_CHOSEN”), y
de los registros de respuesta es obvio que esto era debido a los sitios de ser establecido para diferentes tipos de cifrado, AES 128 en una lado y AES 256
en el otro.
Fase 2 Hash Algorithm falta de coincidencia
charon: 10 [CFG] propuestas configurados: ESP: charon AES_CBC_256 / HMAC_SHA2_512_256 / NO_EXT_SEQ: 10 [ENC] generar solicitud QUICK_MODE
2648029707 [HASH SA No ID ID] charon: 10 de envío de paquetes [NET]: desde 198.51.100.3 [500] para 203.0.113.5 [500] (188 bytes) charon: 10 [NET] paquete
recibido: desde 203.0.113.5 [500] para 198.51.100.3 [500] (76 bytes) charon: 10 [ENC] analiza INFORMATIONAL_V1 solicitud 757918402 [HASH N (NO_PROP)]
charon: 10 [IKE] recibió notificar error NO_PROPOSAL_CHOSEN

charon: 11 [CFG] no INTEGRITY_ALGORITHM aceptable conocer
charon: 11 [CFG] propuestas recibidas: ESP: AES_CBC_256 / HMAC_SHA2_512_256 / NO_EXT_SEQ Caronte: 11 [CFG] propuestas configurados:
ESP: charon AES_CBC_256 / HMAC_SHA1_96 / NO_EXT_SEQ: 11 [IKE] ninguna propuesta de asignación encontrado, enviando
NO_PROPOSAL_CHOSEN Caronte: 11 [IKE ] cola charon tarea Informativo: 11 [IKE] activación de nuevas tareas Caronte: 11 [IKE] activación de la
tarea INFORMATIVO
charon: 11 [ENC] generar solicitud INFORMATIONAL_V1 757918402 [HASH N (NO_PROP)]

Al igual que en la Fase 1 Hash Algorithm falta de coincidencia, los valores HMAC en las entradas de registro no se alinean. Sin embargo, el respondedor también registra
un mensaje más claro “no INTEGRITY_ALGORITHM aceptable encontró” cuando esto ocurre en la Fase
2.
Fase 2 PFS no coincidente
charon: 06 [ENC] generar solicitud QUICK_MODE 909980434 [HASH SA No KE ID ID] charon: 06 [NET] de envío de paquetes: desde 198.51.100.3 [500] para
203.0.113.5 [500] (444 bytes) charon: 06 [NET ] paquete recibido: desde 203.0.113.5 [500] para 198.51.100.3 [500] (76 bytes) charon: 06 [ENC] analiza
INFORMATIONAL_V1 petición 3861985833 [HASH N (NO_PROP)] charon: notificar error NO_PROPOSAL_CHOSEN 06 [IKE] recibido

charon: 08 [CFG] no DIFFIE_HELLMAN_GROUP aceptable conocer
charon: 08 [CFG] propuestas recibidas: ESP: AES_CBC_256 / HMAC_SHA1_96 / MODP_2048 / NO_EXT_SEQ charon: 08 [CFG] propuestas configurados: ESP:
AES_CBC_256 / HMAC_SHA1_96 / NO_EXT_SEQ Caronte: 08 [IKE] ninguna propuesta de asignación encontrado, enviando NO_PROPOSAL_CHOSEN
Caronte: 08 [ENC] generar INFORMATIONAL_V1 petición 3861985833 [HASH N (NO_PROP)]
Confidencialidad directa perfecta (PFS) funciona como DH Grupos en la Fase 1, pero es opcional. Cuando las opciones elegidas PFS no coinciden, un claro mensaje
se registra indicando este hecho: “no aceptable DIFFIE_HELLMAN_GROUP encontrado”.
Nota: En algunos casos, si un lado tiene la SSP conjunto de apagado , y el otro lado tiene un conjunto de valores, el túnel puede todavía establecer y trabajo. La falta de coincidencia
se muestra anterior sólo puede verse si los valores no coinciden, por ejemplo 1 vs. 5.
No coincidentes er identi fi con NAT
En este caso, pfSense es con fi gurado para una Peer identi fi cador de dirección IP de pares, pero el dispositivo remoto es en realidad detrás de NAT. En este caso strongSwan
espera que la dirección real privada antes de NAT-IP como el er fi cación. El demonio racoon utilizado en versiones anteriores era mucho más relajado y se correspondería con
cualquiera de las direcciones, pero strongSwan es más formal y requiere una coincidencia correcta. Registro de resultados de la respuesta:
Caronte: 10 [IKE] host remoto está detrás de NAT

Caronte: 10 [IKE] IDir '192.0.2.10' no coincide con '203.0.113.245' [...]
Caronte: 10 [CFG] busca de configuraciones de pares clave pre-compartida que emparejan 198.51.100.50 ... 203.0.113.245 [192.0.2.10]
Para corregir esta situación, cambie el Peer identi fi cador el establecimiento de Dirección IP y a continuación, introduzca la dirección de pre-NAT IP, que en este ejemplo es 192.0.2.10.
Disappearing Traf fi c
Si IPsec trá fi co llega pero nunca aparece en la interfaz IPsec ( enc0), comprobar si hay conflictivas rutas / vestidos ad- interfaz IP. Por ejemplo, si un túnel
IPsec está con fi gurado con una red remota de 192.0.2.0/24 y hay un servidor local OpenVPN con una red de túneles de 192.0.2.0/24 a continuación, el
ESP trá fi co puede llegar, strongSwan puede procesar los paquetes, pero nunca se mostrará en enc0 como llegar al sistema operativo para la entrega.
Resolver el duplicado de interfaz / ruta y el trá fi co comenzará a fluir.

Problemas Página de estado de IPsec
Si la página de estado de los errores de IPsec, tales como:
Advertencia: Illegal offset cadena 'tipo' en /etc/inc/xmlreader.inc en la línea 116
Esa es una señal de que el analizador incompleta xmlreader XML es activo, que se desencadena por la presencia de la fi l
/ Cf / conf / use_xmlreader. Este analizador alternativo puede ser más rápido para leer con fi g.xml fi les, pero carece de ciertas características necesarias para otras
áreas para funcionar bien. Extracción / cf / conf / use_xmlreader devolverá el sistema al analizador por defecto de inmediato, que corregirá la visualización de la página
de estado de IPsec.
Con fi gurar dispositivos de IPsec de terceros
Cualquier dispositivo de VPN que soporta el estándar IPsec puede estar conectado a un dispositivo que ejecuta pfSense. pfSense se utiliza en la producción en
combinación con equipos numerosos vendedores, y lo más probable ne fi trabajos con cualquier dispositivo con capacidad de IPsec encontradas en otras redes.
dispositivos de conexión de dos proveedores diferentes pueden ser molestos, independientemente de los proveedores involucrados, debido a diferencias con fi
guración entre vendedores, en algunos casos los errores en las implementaciones, y el hecho de que algunos de ellos utilizan extensiones propietarias. Algunos
ejemplos se dan al final de este capítulo para varios dispositivos comunes de Cisco.
Para con fi gura un túnel IPsec entre pfSense y un dispositivo de otro proveedor, la principal preocupación es asegurar que la fase partido 1 y 2 parámetros en ambos
lados. Para las opciones de con fi guración en pfSense, donde se permite múltiples opciones de ser seleccionado, seleccione sólo una de esas opciones y asegurar el otro
lado se establece la misma. Los criterios de valoración intentará negociar una opción compatibles cuando se seleccionan varias opciones, sin embargo, que con frecuencia
es una fuente de problemas cuando se conecta a dispositivos de otros fabricantes. Con fi gura ambos extremos a lo que se cree que son coincidentes configuración, a
continuación, guardar y aplicar los cambios en ambos lados.
Una vez que la configuración coincide en ambos extremos del túnel, intento de pasar de trá fi co sobre el VPN para activar su inicio a continuación, comprobar los registros
de IPSec en ambos extremos para revisar la negociación. Dependiendo de la situación, los registros de un extremo pueden ser más útiles que las del extremo opuesto, por
lo que es bueno para comprobar ambos y comparar. El lado pfSense suele proporcionar una mejor información en algunos escenarios, mientras que en otras ocasiones el
otro dispositivo proporciona un registro más útil. Si la negociación falla, determinar si se trataba de la fase 1 o 2, que falló y bien revisar la configuración en consecuencia,
como se describe en Solución de problemas de IPsec . El lado que está iniciando menudo no puede ver por qué, a fin de comprobar los registros en el primer lado de
responder fi.
Las diferencias terminológicas
Otra fuente frecuente de fallos es diferencias en la terminología entre proveedores. Aquí hay algunas cosas comunes a tener en cuenta:
Basada en políticas VPN / IPsec El tipo de IPsec utilizado por pfSense. Las políticas son de fi nidas, tales como la Fase 2
entradas, que controlan fi tráfico entrar en el túnel c.
Basado en rutas VPN / IPsec Este estilo de IPsec no es compatible con pfSense, pero algunos vendedores o equipos
lo requieran. Existe una interfaz IPsec qué rutas similares a otras interfaces y obedece a la tabla de enrutamiento, en lugar de
depender de las políticas.
S2S o L2L Abreviatura de sitio a sitio o LAN-to-LAN, se distingue de una VPN estilo de cliente móvil.
Confidencialidad directa perfecta (PFS) Algunos proveedores tienen diferentes controles para la SSP. Puede que sólo sea un conmutador
que utiliza el mismo valor que la Fase 1 Grupo DH, otros se etiqueta con el texto completo o el acrónimo, otros etiquetan Grupo DH. conjunto de
transformación En los dispositivos de Cisco, un conjunto de parámetros que definen la fase 2 de manipulación como el cifrado
y algoritmos hash.
19.8. Con fi gurar dispositivos de IPsec de terceros 377

política de ISAKMP En los dispositivos de Cisco, un conjunto de parámetros que definen la fase 1 de manipulación tales como authentica-
ción, el cifrado y algoritmos de hash, y otros.
propuestas En Juniper y Fortigate, grupos de opciones que de los parámetros de fi ne para la Fase 1 (IKE) o Fase 2
(IPsec) de manipulación.
Exención NAT o no-nat En Juniper y Cisco, excepciones a NAT que se deben hacer para asegurar que
tra fi co atravesar una VPN no tiene NAT aplicada.
Lifebytes o Traf fi c Lifetime Límites en la cantidad de tráfico c enviada a través de una VPN antes de que volverá a negociar. No
Actualmente apoyado en la GUI pfSense, si está presente en un dispositivo remoto que puede necesitar estar deshabilitado.
Dominio o Política de cifrado Una definición de red de utilizado en la Fase 2 para controlar que c tráfico será
manejado por IPsec.
Ejemplos de terceros Firewall
Los siguientes ejemplos son para los dispositivos de Cisco de terceros que ejecutan un túnel hipotético a un ejemplo ligeramente diferente de la que en este capítulo.
Los detalles de la dirección son los mismos que Sitio a Sitio pero hay algunas diferencias en estos ejemplos:
Fase 1 y Fase 2 Encryption 3DES
Fase 1 y Fase 2 Hash SHA1
Fase 1 de por vida 86400
6.x Cisco PIX OS
La siguiente con fi guración es para un Cisco PIX 6.x que se ejecuta en el sitio B como en el ejemplo de sitio a sitio con fi guración anteriormente en este capítulo.
ISAKMP conexión sysopt permiso de IPSec permitir que

fuera
!--- Fase 1
dirección de la identidad política de ISAKMP ISAKMP 1 de cifrado 3DES de
política ISAKMP 1 hash de la política sha ISAKMP 1 grupo 2 política de
ISAKMP 1 curso de la vida política de ISAKMP 86400 1 autentificación
pre-cuota
ISAKMP clave Abc123% dirección XyZ9 $ 7qwErty99 198.51.100.3 máscara de red 255.255.255.255 sin ningún xauth-config-mode
!--- Fase 2
ipsec crypto conjunto de transformación 3dessha1-esp-esp 3DES-SHA-HMAC lista de acceso IP 10.5.0.0 permiso de PFSVPN
255.255.255.0 10.3.0.0 255.255.255.0 cripto-dyn mapa mapa 10 ipsec-ISAKMP dirección del mapa de cripto-dyn mapa 10 partido PFSVPN
mapa cripto-dyn mapa 10 conjunto de pares 198.51.100.3 mapa cripto-dyn mapa 10 El conjunto de transformación-3dessha1
mapa criptográfico dyn-mapa 10 segundos definidos seguridad-asociación de toda la vida 3,600 interfaz del mapa crypto
dyn-mapa fuera
! --- no-nat para asegurarse de que las rutas a través del túnel
la lista de acceso IP Nonato permiso 10.5.0.0 10.3.0.0 255.255.255.0 255.255.255.0 NAT (en el interior) 0 lista de acceso Nonato

Cisco PIX OS 7.x, 8.x, y ASA
Con fi guración de revisiones más recientes del sistema operativo para dispositivos PIX y ASA es similar a la de los de mayor edad, pero tiene algunas diferencias significativas.
El siguiente ejemplo podría ser para el uso de un PIX OS que ejecutan la versión 7.x o 8.x, o un dispositivo de ASA, como el sitio B en el ejemplo de sitio a sitio de inicio de este
capítulo.
ISAKMP cripto de accionamiento Fuera
!--- Fase 1
política de ISAKMP cripto 10
autenticación previa al grupo comparten
cifrado 3DES hash SHA 2
86400 curso de la vida
túnel-grupo 198.51.100.3 tipo ipsec-L2L

túnel IPSec grupo 198.51.100.3-atributos Abc123 pre-clave compartida% XyZ9 $ 7qwErty99
!--- Fase 2
ipsec crypto conjunto de transformación 3dessha1-esp-3DES esp-sha-hmac
la lista de acceso IP PFSVPN extendió permiso 10.5.0.0 10.3.0.0 255.255.255.0 255.255.255.0 mapa cripto outside_map 20 coincidencia de dirección
PFSVPN mapa cripto outside_map 20 conjunto de pares 198.51.100.3 mapa cripto outside_map 20 set set-cripto transformar 3dessha1 interfaz del mapa
outside_map fuera
! --- no-nat para asegurarse de que las rutas a través del túnel
la lista de acceso extendida Nonato ip permiso 10.5.0.0 10.3.0.0 255.255.255.0 255.255.255.0 NAT (en el interior) 0 lista de acceso Nonato
Los routers Cisco IOS
Esto muestra un router basado en IOS de Cisco como el sitio B del ejemplo sitio- a sitio con fi guración anteriormente en este capítulo.
!--- Fase 1
política de ISAKMP cripto 10
3des encr
la autenticación de grupo pre-cuota de 2
ISAKMP clave de cifrado Abc123% XyZ9 $ 7qwErty99 dirección 198.51.100.3 sin xauth
!--- Fase 2
la lista de acceso 100 IP del permiso 10.3.0.0 10.5.0.0 0.0.0.255 0.0.0.255 lista de acceso 100 IP del permiso 10.5.0.0
10.3.0.0 0.0.0.255 0.0.0.255 ipsec crypto transformar-set 3DES-SHA-3des esp esp-sha -hmac mapa cripto PFSVPN 15
ipsec-ISAKMP
conjunto de pares 198.51.100.3 conjunto

transform-set 3DES-SHA dirección del 100
! --- Asignar el mapa cripto a la interfaz interfaz WAN FastEthernet0 / 0
mapa cripto PFSVPN
! --- n-Nat por lo que este tráfico pasa por el túnel, no la ip nat dentro de la fuente de WAN mapa de ruta interfaz Nonato FastEthernet0
/ 0 sobrecarga
19.8. Con fi gurar dispositivos de IPsec de terceros 379

la lista de acceso 110 niegan IP 10.5.0.0 0.0.0.255 10.3.0.0 0.0.0.255

la lista de acceso 110 IP del permiso 10.5.0.0 0.0.0.255 cualquier mapa de ruta permiso de
Nonato 10
dirección IP partido 110
IPsec proporciona una implementación basada en estándares VPN que es compatible con una amplia gama de clientes de la conectividad móvil y otros rewalls fi y
routers para la conectividad de sitio a sitio. Es compatible con numerosos dispositivos de terceras partes y está siendo utilizado en la producción de dispositivos que van
desde los routers Linksys grado de consumo de todo el camino hasta los mainframes de IBM z / OS, y todo lo imaginable en el medio. En este capítulo se describen las
opciones de con fi guración disponibles, y cómo con fi gurar varios escenarios comunes.
Para una discusión general de los diversos tipos de VPN disponibles en pfSense y sus pros y contras, véase Redes privadas virtuales .
IPsec en pfSense es compatible tanto con IKEv1 y IKEv2, múltiples fase 2 de fi niciones para cada túnel, así como NAT, NAT en la Fase 2 de fi
niciones, y un mayor número de opciones de cifrado y hash, y muchas más opciones para los clientes móviles, incluyendo xauth y EAP.
Terminología de IPsec
Antes de ahondar demasiado profundamente en la con fi guración, hay algunos términos que se utilizan en el capítulo que necesita alguna explicación previa. Otros
términos se explican con más detalle sobre su uso en la estafa opciones fi guración.
IKE
IKE significa Internet Key Exchange, y viene en dos variedades diferentes en pfSense: IKEv1 y IKEv2. Casi todos los dispositivos que soportan IPsec utilizan IKEv1.
Un número creciente de dispositivos también admite el protocolo más reciente IKEv2 que es una versión actualizada de IKE que resuelve algunos de los di fi
cultades presentes en la versión anterior. Por ejemplo, IKEv2 tiene MOBIKE, que es un estándar para los clientes móviles que les permite cambiar dinámicamente
direcciones. También se ha incorporado en NAT transversal, y mecanismos estándar de fiabilidad similar a la DPD. En general IKEv2 proporciona una experiencia
más estable y fiable, siempre que ambos extremos apoyan su fi cientemente.
Asociación de Seguridad ISAKMP
ISAKMP significa Asociación de Seguridad de Internet y Protocolo de administración de claves. Se da a ambas partes un mecanismo por el cual pueden establecer un
canal de comunicación seguro, incluyendo el intercambio de claves y la disponibilidad para la autenticación. Una asociación de seguridad ISAKMP (ISAKMP SA) es una
política unidireccional que define la forma de fi c fi tráfico serán cifrados y manipulados. Cada túnel IPsec activo tendrá dos asociaciones de seguridad, una para cada
dirección. Las asociaciones de seguridad ISAKMP están configurados entre las direcciones IP públicas para cada punto final. El conocimiento de estas asociaciones de
seguridad activas se mantiene en la base de datos de la Asociación de Seguridad (SAD).
Politica de seguridad
Una Política de Seguridad gestiona las completas especi fi caciones del túnel IPsec. Como con asociaciones de seguridad, estos son de un solo sentido, por lo que
para cada túnel habrá uno en cada dirección. Estas entradas se mantienen en la base de datos Política de Seguridad (SPD). El SPD se rellena con dos entradas para
cada conexión de túnel tan pronto como se añade un túnel. Por el contrario, las entradas SAD sólo existen al éxito de la negociación de la conexión.
En pfSense, políticas de seguridad controlan el que c tráfico será recibido por el núcleo para la entrega a través de IPsec.

Fase 1
Hay dos fases de negociación para un túnel IPsec. Durante la fase 1, los dos puntos extremos de una configuración de túnel de un canal seguro entre los puntos extremos
utilizando ISAKMP para negociar las entradas SA y las claves de cambio. Esto también incluye la autenticación, control de los identificadores, y la comprobación de las
claves pre-compartida (PSK) o certi fi cados. Cuando la fase 1 se completa los dos extremos pueden intercambiar información de forma segura, pero aún no han decidido
qué c fi tráfico atravesará el túnel o cómo será encriptado.
Fase 2
En la fase 2, los dos puntos finales negocian cómo cifrar y enviar los datos de las máquinas privadas basados en políticas de seguridad. Esta es la parte que
construye el túnel real que se utilizará para la transferencia de datos entre los puntos extremos y los clientes cuyas c fi tráfico es manejado por los routers. Si las
políticas en ambos lados están de acuerdo y la fase 2 se establece con éxito, el túnel estará listo y preparado para su uso para tráfico a juego de la fase 2 de fi
niciones c.
19.9. Terminología de IPsec 381


CAPÍTULO
VEINTE
OPENVPN
OpenVPN e IPv6
OpenVPN puede conectar un túnel de sitio a sitio para ya sea una dirección IPv4 o una dirección IPv6 y IPv4 e IPv6 tráfico c se pueden pasar dentro de un túnel
OpenVPN al mismo tiempo. IPv6 es compatible tanto en el sitio-a-sitio y los clientes móviles, y puede ser utilizado para suministrar IPv6 a un sitio que sólo tiene
conectividad IPv4. Con el fin de asegurar el apoyo de cliente móvil para IPv6, obtener el software de cliente del paquete de exportación cliente OpenVPN, o
descargar un cliente basado en OpenVPN
2.3 o más reciente.
OpenVPN de Con fi guración Opciones
En esta sección se describen todas las opciones disponibles con OpenVPN y cuando se utilizan normalmente. Las secciones siguientes cubren ejemplos de
con fi gurar sitio-a-VPN de sitio y de acceso remoto con OpenVPN, usando las opciones más comunes y un mínimo de con fi guración.
Opciones de con fi guración del servidor
Estas opciones están disponibles en uno o más modos de instancias del servidor OpenVPN, gestionan desde VPN> OpenVPN,
sobre el servidores lengüeta.
Desactivar este servidor
Marque esta casilla y haga clic Salvar para retener la con fi guración, pero no permitir que el servidor. El proceso de esta instancia se detendrá, y todos los participantes /
clientes se desconectará de este servidor. Cualquier otro servidores activos no se ven afectadas.
Modo de servidor
Este es el papel para el servidor, que especi fi ca cómo los routers o los usuarios se conectan a esta instancia del servidor. Cambiando esto también afectará a lo que aparecerán
opciones en el resto de la página, por lo que sólo se muestran las opciones pertinentes.
Peer to Peer (SSL / TLS) Una conexión entre las redes locales y remotos que se asegura mediante SSL / TLS.
Esta opción ofrece una mayor seguridad, así como la capacidad para el servidor de empujar con fi guración com- mands al router par remoto
cuando se utiliza un 1: Configuración del estilo muchos. peer routers remotos también pueden tener certi fi cados revocados para quitar el acceso si
llegan a ser comprometida.
Peer to Peer (Shared Key) Una conexión entre las redes locales y remotos que está asegurado por un solo
Clave compartida con fi gurada en ambos nodos. Esta opción es más fácil de configurar, pero es menos seguro. Si un compartida
383
clave se ve comprometida, una nueva clave debe ser generado y luego copiar a cualquier router o cliente utilizando la clave compartida de edad. En este modo,
se necesita una instancia de servidor independiente para cada cliente.
El acceso remoto (SSL / TLS) Esta elección es una instalación de cliente móvil con X.509 por usuario certi fi cados. Al igual que con
el / TLS tipo de conexión SSL-peer-to-peer, usando este método ofrece una mayor seguridad, así como la capacidad para el servidor de empujar con fi
guración de los comandos a los clientes. Los clientes móviles también pueden tener claves revocados para quitar el acceso si se compromete una clave, como
por ejemplo un ordenador portátil robado o extraviado.
El acceso remoto (Aut.usuario) Un servidor de acceso de cliente que no utiliza certi fi cados, pero requiere la
usuario final para suministrar un nombre de usuario y contraseña al realizar una conexión. Esto no es recomendable a menos que la autenticación
se maneja externamente por LDAP o RADIUS.
El acceso remoto (SSL / TLS + Aut.usuario) La elección más segura ofreció. No sólo obtener el bene-
e fi cios de otras opciones SSL / TLS, sino que también requiere un nombre de usuario y la contraseña del cliente cuando se conecta.
acceso de cliente se puede quitar no sólo por la revocación de la certi fi cado, sino también al cambiar la contraseña. Además, si una
clave comprometida no se descubre de inmediato, el peligro se reduce, ya que es poco probable que el atacante tiene las claves y la
contraseña. Al utilizar el asistente de OpenVPN, este es el modo que es con fi gurada durante ese proceso.
Protocolo
TCP o UDP se pueden seleccionar, o sus homólogos habilitados para IPv6, tcp6 o udp6. Una instancia de servidor OpenVPN la actualidad sólo puede unirse a IPv4 o
IPv6, pero no ambas al mismo tiempo. UDP es la opción más fiable y más rápido para ejecutar OpenVPN, y siempre se debe utilizar cuando sea posible. En algunos
casos raros TCP se puede utilizar para trabajar alrededor de limitaciones, tales como pasar por algunas rewalls fi mediante la ejecución de un servidor OpenVPN en el
puerto TCP 443. Los protocolos sin conexión, tales como UDP son siempre preferible cuando un túnel tráfico c. TCP es orientado a la conexión con la entrega
garantizada, por lo que cualquier pérdida de paquetes son retransmitidos. Esto suena como una buena idea en la superficie pero retransmisiones TCP hará que el
rendimiento se degrade significativamente en las conexiones a Internet con mucha carga o aquellos con pérdida de paquetes consistentes.
TCP tráfico c frecuencia existe dentro de túneles y no es deseable para retransmitir paquetes perdidos de encapsulado VPN tráfico c. En los casos en TCP se envuelve
alrededor de TCP, tales como un túnel VPN usando TCP como protocolo de transporte, cuando se pierde un paquete serán re-transmiten tanto los paquetes TCP
perdidos exterior e interior. ocurrencias frecuentes de esto será imperceptible pero la pérdida recurrente causarán significativamente más bajo que el rendimiento de
UDP. Si el tráfico c dentro del túnel requiere una entrega fiable, será usando un protocolo tal como TCP que garantiza que y se encargará de sus propios
retransmisiones.
Modo de equipo
OpenVPN puede funcionar en uno de dos modos de dispositivo: tonel o grifo:
tonel Funciona en capa OSI 3 y realiza el enrutamiento en las interfaces de punto a punto.
grifo Puede trabajar en la capa OSI 2 y puede realizar tanto de enrutamiento y de puente si es necesario.
Nota: No todos los clientes son compatibles con el modo tap, utilizando tun es más estable y más amplio apoyo. Específicamente, los clientes, tales como las que se encuentran en Android y el
modo tun único apoyo IOS en las aplicaciones más gente puede utilizar. Algunas aplicaciones de Android y el IOS OpenVPN que requieren de enraizamiento o jailbreaking un dispositivo de apoyo
hacen del grifo, pero las consecuencias de hacerlo puede ser un poco demasiado alto para la mayoría de usuarios.
Interfaz
Selecciona el grupo de interfaces, VIP o conmutación por error que la instancia del servidor OpenVPN escuchará al de las conexiones entrantes. Esto también controla
qué interfaz del tráfico c desde el servidor va a salir.
384 Capítulo 20. OpenVPN

Existen varios tipos de opciones se enumeran en la lista desplegable para Interfaz, y algunos tienen casos de comportamiento o de uso especial:
Interfaces OpenVPN se unirá a la dirección de la interfaz. Si la interfaz es dinámica, como DHCP,

OpenVPN se unirá automáticamente a la nueva dirección si ésta cambia.
VIPs OpenVPN se unirá sólo a la VIP específica ed (IP Alias o tipo CARP)
Grupos de puerta de enlace Para el uso con los grupos de conmutación por error, OpenVPN se unirá a la dirección de la interfaz que
es actualmente activa en el grupo. Si esa puerta de enlace de interfaz se vuelve inalcanzable, el siguiente será utilizado en su lugar, y así sucesivamente.
localhost Útil para implementaciones Multi-WAN, la unión a localhost y la utilización de hacia delante del puerto para aceptar
conexiones desde varias interfaces y / o puertos es una manera versátil para proporcionar conectividad redundante OpenVPN para la conexión de
los clientes.
Alguna Se une a todas las direcciones en cada interfaz. Aunque tentador, no se recomienda esta opción. Cuando
usa con la UDP, las respuestas a internet clientes siempre salir de vuelta la puerta de enlace predeterminada de WAN, que puede ser indeseable.
puerto local
El puerto local es el número de puerto OpenVPN utilizará para escuchar. Las reglas del cortafuegos deben permitir trá fi co a este puerto y que deben ser especificados en la con
fi guración del cliente. El puerto para cada servidor debe ser exclusivo para cada interfaz.
Descripción
Introduzca una descripción de este servidor con fi guración, para referencia.
Configuración de cifrado
Esta sección controla cómo trá fi co desde y hacia los clientes es encriptada y validada.
Llave compartida
Cuando se utiliza una instancia de clave compartida, ya sea comprobar la generar automáticamente una clave compartida Caja para hacer un duplicado de la llave, o desactive la casilla
para pegar en una clave compartida desde un túnel OpenVPN existente. Cuando se genera la clave de forma automática, volver a la pantalla de edición para este túnel más tarde para
obtener la clave que se puede copiar en el router remoto.
autenticación TLS
TLS o Transport Layer Security, proporciona autenticación de sesión para garantizar la validez de ambos el cliente y el servidor. Marque la casilla para Habilitar
la autenticación de paquetes TLS Si es deseado. Si no hay ninguna clave TLS existente, deje
generar automáticamente una clave de autenticación TLS compartida comprobado. Si la clave ya existe, desactive esa opción y luego pegarlo en la casilla
proporcionada. Cuando se genera la clave de forma automática, vuelva a la pantalla de edición para este túnel más adelante para obtener la clave que puede ser
copiado en el router remoto o cliente.
Advertencia: Cuando se utiliza un modo SSL / TLS, se recomienda utilizar la autenticación TLS también. Además del agregado bene fi cio de seguridad
del requisito clave, una clave TLS también ayuda a proteger contra algunos ataques basados en SSL como heartbleed.
20.2. OpenVPN de Con fi guración Opciones 385

Peer Autoridad Certi fi cado
Seleccionar la autoridad de certi fi cado utilizado para firmar el servidor certi fi cado para esta instancia del servidor OpenVPN aquí. Si ninguno aparece en esta lista, primero de
importación o generar una autoridad de certi fi cado bajo Sistema> Cert Manager, sobre el CA lengüeta.
Peer Certi fi cado de lista de revocación
Este campo opcional es para la lista de revocación de Certi fi cado (CRL) para ser utilizado por este túnel. Una CRL es una lista de los certi fi cados hechos de una CA dado
que ya no se considera válida. Esto podría ser debido a un certificado se vea comprometida o se pierde, por ejemplo, de un ordenador portátil robado, la infección por
software espía, etc. Una CRL se crea ni se gestiona desde Sistema> Cert Manager, sobre el Certi fi cado de Revocación lengüeta.
Servidor de Certi fi cado
Un certi fi cado del servidor debe ser elegido para cada instancia del servidor OpenVPN. Si ninguno aparece en esta lista, primero de importación o generar una autoridad de certi
fi cado bajo Sistema> Cert Manager, sobre el certi fi cados lengüeta.
Parámetros DH Longitud
La fi Dif e-Hellman (DH) parámetros de intercambio de claves se utilizan para establecer un canal de comunicaciones seguro. Ellos se pueden regenerar en cualquier
momento, y no son específicas c a una instancia OpenVPN. Es decir, cuando se importa un OpenVPN existente con fi guración de estos parámetros no necesitan
ser copiados desde el servidor anterior. La longitud de los parámetros DH deseados puede ser elegido entre el cuadro desplegable, ya sea 1.024, 2.048, o 4.096.
Nota: Debido a la computación pesada implicada en la generación de DH keys, una pre- generado establece para que se utiliza cada tipo de clave. Nuevos parámetros DH se pueden
generar manualmente mediante el uso de los siguientes comandos shell:
# / Usr dhparam / bin / openssl 1024> /etc/dh-parameters.1024

Algoritmo de cifrado
El sistema de cifrado de cifrado que se utiliza para esta conexión. El valor por defecto es AES-128-CBC, que es AES de 128 bits encadenamiento de bloques de cifrado. Esta es una opción para
definir la mayoría de los escenarios.
Ver también:
Crypto hardware para obtener más información sobre el uso de aceleradores criptográficos y la elección de un algoritmo de cifrado.
Auth Digest Algorithm
Selecciona el algoritmo de resumen de mensaje a utilizar para la autenticación HMAC de los paquetes entrantes.
Nota: OpenVPN por defecto SHA1 cuando esta opción no se especi fi ca, por lo menos que ambas partes se ponen a un valor conocido, utilizar SHA1 aquí.

Crypto hardware
Si está disponible, esta opción controla qué hardware acelerador criptográfico serán utilizados por OpenVPN. Cuando se deja sin especi fi cado, OpenVPN escogerá
automáticamente en función de lo que está disponible en el sistema operativo. Si este dispositivo fi cortafuegos tiene un acelerador de hardware criptográfico, seleccione BSD
Cryptodev motor, o seleccionar el dispositivo específico si aparece en la lista. La mayoría de las tarjetas aceleradoras utilizan el motor cryptodev BSD, por lo que en caso
de duda, que seleccionan. Esta configuración permitirá OpenVPN para aprovechar la aceleración de hardware. Un algoritmo de cifrado apoyado por el acelerador
también debe ser seleccionado. Consulte la documentación del hardware para obtener información sobre cifrados soportados por el acelerador.
Certi fi cado de Profundidad
Esta opción limita la longitud de una cadena de certi fi cado antes de que falle la validación. Por defecto es Un (Client + Server) de manera que si de alguna manera se genera
una CA intermedia no autorizado, certi fi cados firmados por el intermedio pícaro fallarían validación. En los casos cuando encadenamiento con los compuestos intermedios que
se requiere, este límite puede ser elevado.
Estricto User-CN Matching
Para el servidor de autenticación de usuario SSL / TLS +, cuando está activada, esta opción hace cumplir un partido entre el nombre de usuario suministrado por el
usuario y el nombre común de su certi fi cado de usuario. Si los dos no coinciden, se rechaza la conexión. Esto evita que los usuarios utilicen sus propias credenciales
con las de otra persona certi fi cado y viceversa.
Configuración de túnel
La sección de configuración del túnel rige la forma de trá fi co fluye entre el servidor y los clientes, incluyendo el enrutamiento y la compresión.
IPv4 / IPv6 Network Tunnel
Estos son los conjuntos de direcciones a asignar a los clientes al conectar. de fondo del servidor de la OpenVPN con fi gu- ración utilizará la dirección primera en
esta piscina por su extremo de la conexión, y asignar direcciones adicionales a los clientes conectados, según sea necesario. Estas direcciones se utilizan para la
comunicación directa entre los extremos del túnel, incluso cuando Connect-ing dos redes remotas existentes. Cualquier subred puede ser elegido siempre y
cuando no está en uso a nivel local o en cualquier sitio remoto. Uno o ambos Red túnel IPv4 y Red túnel IPv6 podrán ser introducidas, o en el caso de un puente
del grifo, ni.
Advertencia: Actualmente, las limitaciones en sí OpenVPN impiden correr con sólo Red túnel IPv6 con fi g- ured. Cuando un Red de túneles IPv6
se define, una Red túnel IPv4 También debe ser especi fi cado, incluso si no se utiliza.
Para un SSL de sitio a sitio / TLS servidor usando IPv4, la Red túnel IPv4 tamaño puede alterar el comportamiento del servidor. Si
xxxx / 30 se introduce en el Red túnel IPv4 a continuación, el servidor va a utilizar un modo de igual a igual al igual que opera Shared Key: Sólo puede tener
un cliente, no requiere modificaciones de cliente-mercantiles o iroutes, pero también no puede empujar rutas o configuración en los clientes. Si una Red túnel
IPv4 mayor que se utiliza, tales como xxxx / 24, el servidor aceptará múltiples clientes y puede empujar ajustes, pero requiere iroutes.
Ver también:
Ver Site-to-Site Ejemplo Con fi guración (SSL / TLS) para obtener más información sobre un ejemplo de sitio a múltiples sitios utilizando una red de túneles y grandes iroutes.

Opciones puente
Cuando usas grifo el modo, las opciones adicionales se muestra que el control de la reducción de la conducta en OpenVPN y asignación de direcciones de clientes. Estos se
tratan en Conexiones en puente de OpenVPN
redirigir puerta de enlace
Cuando el redirigir puerta de enlace se selecciona la opción de servidor empujará un mensaje a los clientes dándoles instrucciones para reenviar
todas tráfico c, incluyendo el tráfico de Internet fi c, sobre el túnel VPN. Esto sólo funciona en los modos de SSL / TLS con una red de túneles más grande que una subred / 30.
IPv4 / IPv6 de la red local
Estos campos especifican qué redes local son accesibles por los clientes de VPN, si los hubiere. Una ruta para estas redes es empujado a clientes que se conectan a
este servidor. Si se necesitan varias rutas para las subredes de una familia en particular, introduzca las subredes separados por una coma, por ejemplo, 192.168.2.0/24,
192.168.56.0/24.
Esta función se basa en la capacidad de empujar rutas para el cliente, por lo que para IPv4 sólo es válido en un contexto de SSL / TLS cuando una red de túneles más grande que un / 30 Está
en uso. Siempre va a trabajar para IPv6 proporciona una demasiado pequeña máscara similares no se ha establecido.
Red remota IPv4 / IPv6
Esta opción sólo aparece cuando se utiliza una conexión de tipo punto a punto, y no está disponible para los clientes móviles. entradas de la tabla de rutas se
añaden a la cortafuego para las subredes fi cado, qué mano el tráfico c a este caso OpenVPN para su procesamiento. Si se necesita más de una subred de la red
remota, introduzca las subredes separados por una coma, por ejemplo,
192.168.2.0/24, 192.168.56.0/24.
Conexiones concurrentes
Especi fi ca el número de clientes que pueden conectarse simultáneamente a esta instancia del servidor OpenVPN en un momento dado. Este es un límite colectivo para todos
los clientes conectados, no una configuración por usuario.
Compresión
Cuando se habilita la compresión, tráfico de cruzar la conexión OpenVPN c será comprimido antes de ser encriptado. Esto ahorra ancho de banda utilizado para
muchos tipos de trá fi co, a expensas de una mayor utilización de la CPU en el servidor y el cliente. En general, este impacto es mínimo, y la habilitación de la
compresión es beneficioso para casi cualquier uso de OpenVPN a través de Internet.
Para conexiones de alta velocidad, tales como el uso de OpenVPN a través de una LAN, de alta velocidad baja / latencia WAN o red local inalámbrica, esto
puede ser indeseable, ya que el retardo añadido por la compresión puede ser más que el retardo de guardado en la transmisión del tráfico c . Si casi todo el
tráfico de cruzar la conexión OpenVPN c ya están codificados (tales como SSH, SCP, HTTPS, entre muchos otros protocolos), no permitan la compresión
LZO porque los datos cifrados no es compresible y la compresión LZO hará ligeramente más datos para ser transferidos de lo que sería sin compresión. Lo
mismo es cierto si el VPN tráfico c es casi en su totalidad de datos que ya está comprimido. Este selector controla el tratamiento de la compresión de LZO
para esta instancia de OpenVPN. Hay cuatro configuraciones posibles, cada uno con un comportamiento ligeramente diferente.

Sin preferencias Omite las directivas de compresión de la OpenVPN con fi guración del todo. No se com-
pression se llevará a cabo, pero esto puede ser anulada por otros métodos tales como anulaciones fi c Client-Speci u opciones
avanzadas.
Discapacitados - Sin compresión Explícitamente desactiva la compresión en la con fi guración
Se activa con el Adaptive Compression Permite la compresión con una prueba periódica para asegurar el tráfico c es
capaz de ser comprimido. Si la compresión no es óptima, se desactivará hasta que se prueba de nuevo. Esta opción golpea el mejor
equilibrio ya que comprime los datos cuando se va a ayudar, pero no comprime datos cuando se está obstaculizando el desempeño.
Activado sin compresión adaptable Explícitamente permite la compresión de estar en en todo momento sin
probar el tráfico c.
Tipo de servicio
Cuando se activa esta opción OpenVPN fijará el valor de la cabecera IP Tipo de Servicio (TOS) de los paquetes de túnel para que coincida con el valor paquete encapsulado. Esto
puede causar algo importante trá fi co a ser manejado más rápido sobre el túnel por el lúpulo diata intermediarias, a costa de cierta divulgación de información de menor
importancia.
El ejemplo más común es el tráfico VoIP o de vídeo fi co. Si el bit TOS se establece para reflejar la prioridad de la fi tráfico c puede ayudar a calidad de servicio a lo largo del
camino, pero alguien interceptando el trá fi co podía ver el bit TOS y ganar un poco de conocimiento sobre el contenido del tráfico dentro del túnel c. Para aquellos que
dependen de bits de TOS para QoS, el beneficio puede pesar más que la fuga de información.
La comunicación entre clientes
Esta opción controla si los clientes conectados son capaces de comunicarse entre sí. Para permitir este comportamiento, active la opción. Cuando no está
marcada, los clientes sólo pueden enviar trá fi co en el servidor o destinos más allá del servidor, tales como redes enrutadas o Internet.
Normalmente, en las implementaciones de estilo de acceso remoto no es necesario que los clientes alcancen entre sí, pero hay algunos casos de esquina cuando puede
ser útil. Un ejemplo es los desarrolladores web remotos trabajar juntos y en funcionamiento servidores de prueba en sus sistemas locales. Con esta opción activa, que
pueden llegar al otro ensayo sirve para el desarrollo colaborativo.
Las conexiones duplicadas
Por defecto OpenVPN asociará una dirección IP de su red de túneles con un específico certi fi cado o nombre de usuario para una sesión dada. Si el mismo certi fi cado se
conecta de nuevo, se le asignaría la misma dirección IP y, o bien desconecte el primer cliente fi o causar un conflicto de IP donde ni cliente recibirá los datos adecuados.
Esto se debe principalmente por razones de seguridad por lo que la misma certi fi cado no puede ser utilizado por varias personas al mismo tiempo. Se recomienda una
única certi fi cado puede utilizar para cada usuario que se conecta. De lo contrario, si se compromete a un cliente que no hay manera de revocar que un cliente solo, tendría
que ser reeditado a todos los clientes que comparten el mismo certi fi cado certi fi cados.
Si una configuración que utiliza el mismo certi fi cado en varias ubicaciones es un requisito absoluto y no puede ser evitado, cheque
Las conexiones duplicadas para permitir que el comportamiento no estándar de varios clientes utilizando el mismo certi fi cado o nombre de usuario.
Desactivar IPv6
Cuando se activa, IPv6 tráfico c reenvío está deshabilitado para esta instancia OpenVPN.

Configuración del cliente
Estos ajustes se refieren a cómo los clientes que se conectan a esta instancia Sever se comportarán.
IP dinámica
Al marcar esta casilla añade la flote opción de configuración a la fi OpenVPN con fi guración. Esto permite a los clientes conservar su conexión si sus cambios de
dirección IP. similar a Mobike para IKEv2 en IPsec. Para los clientes en las conexiones de Internet, donde la IP cambia con frecuencia, o los usuarios móviles que
comúnmente se mueven entre diferentes conexiones a Internet, marque esta opción para permitir la conectividad estable. Donde la IP del cliente es estática o casi
nunca cambia, no usar esta opción ofrece una pequeña mejora de la seguridad.
Conjunto de direcciones
Cuando se activa esta opción, el servidor asignar direcciones IP del adaptador virtuales a los clientes de la especificidad de subred por la ed Red túnel opción. Cuando las
direcciones IP sin registrar no serán asignados automáticamente y los clientes tendrán que establecer sus propias direcciones IP estáticas manualmente en su cliente de con fi
guración de los archivos. Excepto en casos raros, esto es casi siempre habilitada.
topología
Por defecto OpenVPN en pfSense 2.3 y más tarde prefiere un estilo de topología subred cuando se utiliza una Modo de equipo de tonel.
Este estilo asigna una única dirección IP por cliente en lugar de una subred aislada por cliente. Este es el único estilo disponible cuando se utiliza la grifo Modo de
Dispositivo.
Cuando el más viejo neto 30 topología de tonel se elige, OpenVPN asigna una red / 30 CIDR (cuatro direcciones IP, dos utilizable) a cada cliente que se conecta. Este
estilo tiene una historia más larga, pero puede ser confuso para los administradores y usuarios. los topología opción sólo es relevante cuando se suministra una dirección
IP del adaptador virtual para los clientes que utilizan tonel el modo en IPv4. Algunos clientes pueden requerir esto incluso para IPv6, como OpenVPN Connect, aunque
en realidad IPv6 siempre se ejecuta con una topología de subred, incluso cuando utiliza IPv4 neto 30. OpenVPN versión 2.1.3 o posterior es necesario para utilizar una subred
topología, y había signi fi jos fi cante a ella en OpenVPN 2.3, así que utiliza una versión actual del cliente OpenVPN es importante.
Advertencia: El defecto en pfSense se ha cambiado a subred porque el proyecto OpenVPN ha declarado la

neto 30 estilo como obsoleta, lo que indica que se eliminará en futuras versiones.
Tenga en cuenta, sin embargo, que algunos clientes muy viejos pueden romperse si se utiliza esta opción, tales como las versiones anteriores de OpenVPN (Antes de 2.0.9, lanzado hace
casi 10 años), las versiones de Windows con mayor tun / tap conductores o clientes tales como Los teléfonos Yealink. Siempre asegúrese de que el cliente y los controladores asociados
están plenamente hasta a la fecha de cuando se utiliza una subred topología.
DNS de dominio predeterminado
Cuando se activa, un campo aparecerá para especificar el nombre de dominio DNS que se asignará a los clientes. Para garantizar la resolución de nombres funciona
correctamente para los hosts de la red local donde se utiliza la resolución de nombres DNS, especifique el nombre de dominio DNS interno aquí. Para Microsoft
entornos de Active Directory, esto suele ser el nombre de Active Directory.
Los servidores DNS
Cuando se activa, hasta cuatro servidores DNS se puede introducir para su uso por el cliente mientras está conectado a la VPN. Para Microsoft entornos de Active
Directory, que suele ser el Active Directory controladores de dominio o servidores DNS para el buen

de resolución de nombres y la autenticación cuando se conecta a través de OpenVPN.
Fuerza de caché DNS de actualización
Cuando se activa, esta opción va a empujar un conjunto de comandos para los clientes de Windows que se ras sus DNS y almacenamiento en caché de reinicio para mejorar el
manejo de clientes de servidores DNS actualizados de la VPN.
servidores NTP
Cuando se activa, uno o dos servidores NTP se pueden establecer para la sincronización de los relojes en los clientes. Puede ser una dirección IP o FQDN.
Opciones de NetBIOS
Cuando Habilitar NetBIOS sobre TCP / IP se comprueba, varios otros NetBIOS y WINS aparecerán las opciones relacionadas. Si la casilla está desactivada, estos
ajustes serán desactivados.
Tipo de nodo El tipo de nodo NetBIOS controla la forma en sistemas Windows funcionarán en la resolución de nombres NetBIOS. Por lo general se definen a dejar esto a ninguna
a aceptar por defecto de Windows. Las opciones disponibles incluyen:
b-nodo Utilizar transmisiones para la resolución de nombres NetBIOS. Esto no sería utilizado, excepto en el caso de un grifo
puente.
p-nodo Punto a punto consultas de nombres a un servidor WINS. WINS ha sido en su mayoría en desuso, por lo que esta opción
No es útil en las redes modernas de Windows.
m-nodo Broadcast luego volver a consultar el servidor de nombres. Al igual que en el nodo b, pero caerá de nuevo a DNS.
h-nodo Consulta de servidor primer nombre, a continuación, utilizar emisión. Esta opción es la más probable que tenga éxito en una corriente
red con adecuada, funcional, DNS.
ID de ámbito ANetBIOS Ámbito ID ofrece un servicio de nombres extendida para NetBIOS sobre TCP / IP. El identificador de ámbito NetBIOS aísla NetBIOS tráfico c en
una sola red a sólo aquellos nodos con el mismo identificador de ámbito NetBIOS.
Servidores WINS Al marcar esta casilla permite a los servidores twoWINS a ser definido que proporciona resolución de nombres para los clientes acceder y navegar por los
recursos de NetBIOS a través de la VPN. WINS ha sido en gran parte obsoleto y eliminado por el uso, por lo que es poco probable que esto será necesario en la mayoría de los
entornos modernos.
Habilitar puerto personalizado
Cuando se selecciona, una no predeterminado Puerto de gestión puede ser especi fi para su uso con la característica OpenVPNManage del paquete OpenVPN exportación
Client. Si hay varias conexiones per fi les se utilizan en un solo cliente que utilizan dicha interfaz, cada uno debe utilizar un puerto de administración única.
Las opciones personalizadas
Mientras que la interfaz web pfSense es compatible con las opciones más utilizadas, OpenVPN es muy potente y fl exibles opciones y, ocasionalmente, que no están
disponibles en la interfaz web puede ser necesario. Tales opciones personalizadas, pueden agregarse en el uso de esta caja de entrada. Estas opciones se describen con más
detalle en Las opciones de personalización con fi guración .

nivel de Información
Con fi guras la cantidad de detalle que se muestra en los registros de OpenVPN para este ejemplo, útil para la resolución de problemas. Los números más altos se traducirá en
una mayor cantidad de detalle en el registro. Durante el funcionamiento normal el defecto la selección es mejor.
Nota: Cuando se establece en los niveles más altos, la página de estado de OpenVPN y widget de panel causarán registro adicional a medida que interactúan con el
proceso de gestión para sondear la información de los demonios de OpenVPN.
Opciones de con fi guración del cliente
Estas opciones están disponibles en uno o más modos de instancias de cliente OpenVPN, gestionan desde VPN> OpenVPN,
sobre el Clientela lengüeta.
Muchas de estas opciones son idénticas a las opciones de servidores mencionados anteriormente, por lo que serán observados únicas diferencias.
El modo de servidor
Para las instancias de cliente, las opciones de modo de servidor se limitan a Peer to Peer (SSL / TLS) y Peer to Peer (Shared Key),
qué par con las opciones de servidor del mismo nombre y tipo.
Interfaz
Esta opción selecciona el grupo de interfaz, VIP o conmutación por error que la instancia de cliente OpenVPN utilizará para conexiones salientes.
Cuando se selecciona un VIP tipo CARP para la interfaz en instancias de cliente OpenVPN, la instancia OpenVPN se detendrá cuando el CARP VIP está
en un estado de copia de seguridad. Esto se hace para evitar que el nodo de HA secundario de mantener rutas no válidos o intentar realizar conexiones
salientes que pueden interferir con la conexión activa en el nodo de HA primaria.
Puerto local
Para los clientes, el puerto local se deja en blanco en casi todos los casos, por lo que se utilizará un puerto local aleatorio. Esto es más seguro, pero algunas implementaciones puede
requerir un puerto de origen fi específico. Si se requiere un puerto de origen específica fi, fi ll en que sea necesario, según sea necesario.
host del servidor o la dirección
La dirección IP o nombre de dominio totalmente calificado fi cado para el servidor.
Puerto de servicio
El puerto en el que el servidor está escuchando, por lo general 1194

Configuración de proxy
Host Proxy o dirección La dirección IP o nombre de dominio totalmente calificado fi cado para un servidor proxy a través del cual
este cliente debe conectarse.
Proxy Auth Opciones adicionales opciones de autenticación adicionales. Cuando se establece en BASIC o NTLM, Nombre de usuario y
Contraseña campos se presentan de manera que la autenticación de proxy puede ser con fi gurada.
Resolución de nombres de servidor
Cuando Infinitamente resolver el servidor está marcada, el nombre de host del servidor se resolverá en cada intento de conexión. Cuando no se controla, OpenVPN sólo
intentará resolverlo de una vez. Cuando se utiliza un nombre de host de la dirección del servidor remoto, esta opción debe ser revisado.
Configuración de autenticación de usuario
Cuando usas Peer to Peer SSL / TLS modo, una Nombre de usuario y Contraseña pueden ser especificados en adición a, o en lugar de, un certificado de usuario fi cate,
dependiendo de los requisitos con fi gurado en el servidor.
La configuración de esta sección son idénticos a los de sus opciones correspondientes en el lado servidor, excepto para el nuevo
Cliente Certi fi cado opción, donde se selecciona el certi fi cado para el uso de este cliente. Este certi fi cado (y la clave asociada, y CA Certi fi cado) deben ser
importados a este fi cortafuegos antes de que puedan ser elegidos.
Shared Key / autenticación TLS
Estas opciones funcionan de manera similar a las contrapartes del lado del servidor, pero tenga en cuenta que la clave del servidor se debe copiar aquí, en lugar de generar
una clave nueva en el cliente.
Límite de ancho de banda saliente
El valor de este cuadro, se especifica en bytes por segundo, se utiliza para limitar la velocidad de saliente VPN tráfico c. Cuando se deja en blanco, no hay límite.
El valor debe estar entre 100 y 100000000.
No tire de Rutas
Cuando se activa, el cliente va a ignorar rutas empujado desde el servidor. Esto es útil en los casos en que el servidor empuja una puerta de enlace por defecto redirección
cuando este cliente no necesita uno.
No añadir / quitar Rutas
Cuando se activa, OpenVPN no va a administrar las entradas de la tabla de enrutamiento para esta VPN. En este caso, deben ser manejados manualmente.
Las rutas que normalmente se añaden en cambio se pasó a - ruta-upscript el uso de variables ambientales.

Utilizando el Asistente de servidor OpenVPN para el acceso remoto
El asistente OpenVPN es una forma cómoda de configurar una VPN de acceso remoto para clientes móviles. Se Côn cifras de todos los requisitos previos necesarios para
un servidor de acceso remoto OpenVPN:
• Una fuente de autenticación (, servidor RADIUS, LDAP o un servidor local)
• Una Autoridad Certi fi cado
• Un servidor de Certi fi cado
• Una instancia de servidor OpenVPN.
Al final del asistente Sever un pleno funcionamiento será con fi gurado y listo para los usuarios. Un ejemplo de configuración se utiliza para ayudar en la explicación de las
opciones disponibles en el asistente.
Antes de iniciar el asistente
Antes de iniciar el asistente para con fi gurar el servidor de acceso remoto, hay algunos detalles que deben ser planeadas.
Determinar un esquema de direccionamiento IP
Una subred IP se debe elegir para su uso por los clientes OpenVPN mismos. Este es el fi subred llena en menos Red túnel en la con fi guración del
servidor. clientes conectados recibirán una dirección IP dentro de esta subred, y el extremo del servidor de la conexión también recibe una dirección IP
utilizada por el cliente como su puerta de acceso para redes en el lado del servidor. Como siempre la hora de elegir las subredes internas para un solo
lugar, lo ideal es la subred elegido será diseñado de manera que se puede resumir con CIDR otras subredes internas. La red ejemplo representado aquí
utiliza 10.3.0.0/24 para LAN y 10.3.201.0/24 de OpenVPN. Estas dos redes se pueden resumir con 10.3.0.0/16, haciendo de enrutamiento más fácil de
manejar. CIDR resumen se discute más en Recapitulación CIDR .
Ejemplo Red
Figura Ejemplo OpenVPN Red de Acceso Remoto muestra la fi con red gurada en este ejemplo.
Fig 20.1:. OpenVPN Ejemplo de red de acceso remoto

Elegir el tipo de autenticación
En la pantalla primer asistente del servidor de acceso remoto de OpenVPN, elija un método de autenticación de usuario. Las opciones disponibles para Tipo de
autenticación backend son Local de acceso de usuarios, LDAP, y RADIO.
Si un sistema de autenticación existente que ya está en su lugar, como Active Directory, recoger LDAP o RADIO dependiendo de la forma en que el sistema es con fi gurado. Acceso
de usuario local puede ser seleccionado para administrar los usuarios, contraseñas y certi fi cados en la fi cortafuegos pfSense. Cuando usas Local de acceso de usuario, per-
usuario certi fi cados se pueden utilizar fácilmente, logró por completo en la GUI pfSense. Esto es mucho más seguro, pero dependiendo del número de usuarios que tendrá
acceso al servicio, puede ser menos conveniente que el uso de un sistema de autenticación central.
Nota: por LDAP o RADIO, por usuario certi fi cados no se pueden utilizar sin generar manualmente.
los Acceso de usuario local elección es el equivalente de la elección El acceso remoto (SSL / TLS + Aut.usuario) mencionado anteriormente en este capítulo. LDAP y RADIO son
equivalentes a El acceso remoto (autenticación de usuario).
Después de seleccionar el tipo de servidor de autenticación, haga clic Siguiente. Si LDAP o RADIO fueron elegidos con el servidor de fi guración de esas opciones
será el siguiente paso. Si Acceso de usuario local fue elegido, los pasos del asistente LDAP y RADIUS se omiten. Para este ejemplo, Acceso de usuario local será
elegido, pero se discuten las otras opciones para la integridad.
La elección de un servidor LDAP
Si un servidor LDAP ya se define en la fi pfSense cortafuegos puede ser elegido de la lista. Para utilizar un servidor LDAP distinto en lugar de elegir Añadir
nuevo servidor LDAP. Si no hay servidores LDAP de fi nido, este paso se omite.
Adición de un servidor LDAP
Si no existe ningún servidor LDAP o Añadir nuevo servidor LDAP se elige una pantalla que se presentará con las opciones necesarias para agregar un nuevo servidor.
Muchas de estas opciones dependerá del específico del directorio LDAP con fi guración y estructura. Si existe alguna duda acerca de los ajustes, consulte con el
administrador del servidor LDAP, proveedor de software o la documentación.
Nota: Los detalles de los servidores LDAP se cubren en Servidores de autenticación . Algunos detalles se omite aquí, ya que las opciones se discuten en profundidad en otro
lugar. Para obtener más información sobre las opciones que aparecen en esta sección, consulte en su lugar.
Nombre nombre descriptivo para este servidor LDAP, por referencia.
Nombre de host o dirección IP El nombre de host o IP del servidor LDAP.
Puerto El puerto en el que se puede contactar al servidor LDAP. El puerto por defecto es 389 para el estándar TCP
conexiones, y 636 para SSL.
Transporte Esto se puede configurar para TCP - Estándar para las conexiones sin cifrar, o SSL - encriptado para el seguro
conexiones. Una conexión estándar puede ser suficiente por lo menos para los servidores locales o prueba inicial. Si el servidor es remoto o
cruza los enlaces de red que no se confía, SSL es una opción más segura. Si SSL se va a utilizar, la fi cado CACerti desde el servidor LDAP
debe ser importado a pfSense, y el Nombre de host o dirección IP anterior debe coincidir con el valor en el Nombre común ámbito de la certi
fi cado del servidor.
Ámbito de búsqueda de nivel Selecciona cómo profundo para buscar en el directorio LDAP, Un nivel o Subárbol entero.
Más comúnmente, subárbol entero es la elección correcta.
Ámbito de búsqueda Base DN El nombre completo sobre el que se basa la búsqueda. Por ejemplo
DC = ejemplo, DC = com
Contenedores de autenticación Estos valores especifican en qué parte del directorio de usuarios que se encuentran. Para examen-
PLE, puede ser CN = Users; DC = ejemplo.
20.3. Utilizando el Asistente de servidor OpenVPN para el acceso remoto 395

Enlace LDAP DN de usuario El nombre completo de un usuario que se puede utilizar para enlazar con el servidor LDAP
y realizar la autenticación. Si se deja en blanco, se realizará un enlace anónimo, y se ignorará el ajuste por debajo de la
contraseña.
Enlace LDAP contraseña La contraseña que se utiliza con el LDAP Bind DN del usuario.
Atributo de nombres de usuario Varía en función del software y la estructura de directorios LDAP. Típicamente cn
para OpenLDAP y Novell eDirectory, y samAccountName para Microsoft Active Directory.
Grupo de nombres de atributo Varía en función del software y la estructura de directorios LDAP, pero es más
típicamente cn.
Miembro de nomenclatura Atributo Varía en función del software y la estructura de directorios LDAP. Típicamente
miembro en OpenLDAP, miembro de onMicrosoft Active Directory y uniqueMember NDS en noviembre a ell.
La elección de un servidor RADIUS
Si hay un servidor RADIUS de fi nida existente en la fi cortafuegos pfSense, seleccione de la lista. Para utilizar un servidor RADIUS diferente, en lugar de elegir Añadir
nuevo servidor RADIUS. Si no hay servidores RADIUS se definen en pfSense, este paso se omite.
Adición de un servidor RADIUS
Si no existe ningún servidor RADIUS, o Añadir nuevo servidor RADIUS fue seleccionado, una pantalla se presenta con las opciones necesarias para agregar un nuevo servidor. Si
existe alguna duda acerca de los ajustes, consulte con el administrador del servidor RADIUS, proveedor de software o la documentación.
Nota: Los detalles de los servidores RADIUS se cubren en Servidores de autenticación . Algunos detalles se omite aquí, ya que las opciones se discuten en profundidad en otro
lugar. Para obtener más información sobre las opciones que aparecen en esta sección, consulte en su lugar.
Nombre nombre descriptivo para este servidor RADIUS, para referencia.
Nombre de host o dirección IP El nombre de host o IP del servidor RADIUS.
Puerto de autenticación Puerto utilizado por el servidor RADIUS para la autenticación de aceptar peticiones, por lo general
1812.
Secreto compartido los Secreto compartido es la contraseña con fi gurado en el servidor RADIUS para aceptar au-
thentication peticiones desde la dirección IP del cortafuegos fi pfSense.
La elección de una Autoridad Certi fi cado
Si hay un Certi fi cado existente Autoridad de fi nido en la fi cortafuegos pfSense, puede ser elegido de la lista. Para crear una nueva fi cado Autoridad cado,
seleccione Añadir nueva CA. Si no hay autoridades de certi fi cado se definen, se omite este paso.
La creación de una Autoridad Certi fi cado
Este paso presenta todos los campos necesarios para crear una nueva autoridad de certi fi cado (CA). Se requiere que cada opción en esta página, y todos los campos debe ser
llenada de manera correcta de proceder. El CA se utiliza para establecer una base de confianza de la que los certi fi cados de servidor se pueden generar y considera “digno de
confianza” por los clientes. Debido a que esta CA es autogenerada, sólo será confianza para los clientes que también se suministran con una copia de esta CA certi fi cado.
Ver también:

Para obtener más información sobre la creación y administración de las entidades emisoras, consulte Certi fi cado de Gestión de la autoridad .
Nombre descriptivo Un nombre como referencia para identificar este certi fi cado. Este es el mismo nombre que Común
campo para otros Certi fi cados. Para este ejemplo CA, ExampleCoCA se utiliza. Aunque se permite el uso de espacios en este campo, nosotros no
recomendamos el uso de espacios en un nombre común de campo debido a que algunos clientes tienen problemas de manejo de manera adecuada.
Longitud de la clave Tamaño de la clave que se generará. Cuanto mayor sea la clave, más seguridad que ofrece, pero
teclas más grandes son generalmente más lento de usar. 2048 es una buena opción.
Toda la vida El tiempo en días que esta entidad emisora será válida. En una CA auto-generado como este, es comúnmente
ajustado a 3650, que es aproximadamente 10 años.
Código de país De dos letras del código ISO del país (por ejemplo, los EEUU, AU, CA). Si el código de país de dos letras ISO es
desconocido, localizarlo en el ISO Plataforma de navegación en línea sitio. Desde que la compañía ExampleCo se encuentra en los Estados Unidos,
introduzca NOS para este ejemplo.
Estado o Provincia Estado sin abreviar el nombre completo o Provincia (por ejemplo, Texas, Indiana, California). Examen-
pleco se encuentra en Texas para este ejemplo.
Ciudad Ciudad u otro nombre de la localidad (por ejemplo, Austin, Indianápolis, Toronto). La sede de ExampleCo está en
Austin.
Organización nombre de la organización, a menudo la compañía o nombre de grupo. ExampleCo va aquí para este
ejemplo. No utilice caracteres especiales en este campo, ni siquiera puntuacion como un punto o una coma. Correo electrónico Dirección de correo
electrónico para el contacto de certi fi cado. A menudo, el correo electrónico de la persona que haya generado el fi cado
Cate, tales como vpnadmin@example.com.
Hacer clic Añadir nueva CA al fi nal del proceso de creación CA
La elección de un servidor de Certi fi cado
Si hay una existente Certi fi cado de fi nido en la fi cortafuegos pfSense, puede ser elegido de la lista. Para crear un nuevo Certi fi cado, seleccione Escribir un
Certi fi cado. Si no hay Certi fi cados se definen, se omite este paso.
Adición de un servidor Certi fi cado
Esta pantalla crea un nuevo certi fi cado del servidor que se utiliza para verificar la identidad del servidor a los clientes. El certi fi cado del servidor será firmado
por la autoridad de certi fi cado elegido o creado previamente en el asistente. En la mayoría de los casos, ya que con este ejemplo, la misma información de la
etapa anterior se utiliza y será fi pre- llena en el formulario automáticamente.
Nombre descriptivo Este es el nombre común (CN) campo para el servidor certi fi cado y también se utiliza para
hacer referencia a la certi fi cado en pfSense. Usando el nombre de host del cortafuego es una opción común para un certi fi cado del servidor, tales
como vpn.example.com. Aunque se permite el uso de espacios en este campo, nosotros no recomendamos el uso de espacios en un nombre de campo
común porque los clientes tienden a tener problemas de manejo de manera adecuada.
Longitud de la clave Tamaño de la clave que se generará. Cuanto mayor sea la clave, más seguridad que ofrece, pero
teclas más grandes son generalmente más lento de usar. 2048 es una buena opción.
Toda la vida Curso de la vida en días. Esto se establece comúnmente 3650 ( Aproximadamente 10 años).
Código de país De dos letras del código ISO del país (por ejemplo, los EEUU, AU, CA)
Estado o Provincia Estado completa del nombre provincia, no abreviado (por ejemplo, Texas, Indiana, Ontario).
Ciudad Ciudad u otro nombre de la localidad (por ejemplo, Austin, Indianápolis, Toronto).

Organización nombre de la organización, a menudo la compañía o nombre de grupo. No utilice ningún carac- especial
tros en este campo, ni siquiera puntuacion como un punto o una coma. Correo electrónico Dirección de correo electrónico para el contacto de certi fi cado. A menudo,
el correo electrónico de la persona que haya generado el fi cado
cado. (p.ej vpnadmin@example.com)
Hacer clic Crear nuevo Certi fi cado para almacenar los valores y continuar con el siguiente paso del asistente.
Con fi guración Configuración del servidor OpenVPN
Las opciones de este paso del asistente con fi gura cada aspecto de cómo el servidor OpenVPN en sí se comportará así como las opciones que se transmiten a
los clientes. Las opciones que se presentan aquí son los mismos que los descritos anteriormente en
OpenVPN de Con fi guración Opciones , Se refieren a esa sección para más detalles. Debido a que las opciones se tratan en detalle en esa sección, se mencionan
sólo los ajustes para este ejemplo.
General de Información del servidor OpenVPN
Estas opciones controlan cómo funciona el ejemplo de OpenVPN.
Interfaz Dado que las conexiones entrantes serán desde el lado WAN, seleccione PÁLIDO.
Protocolo El valor por defecto de UDP es aceptable.
Puerto local Esta será la primera instancia del servidor OpenVPN por lo que el valor predeterminado de 1194 se prefiere. Si hay
una OpenVPN existente en ese puerto, utilice un número de puerto diferente. El asistente le sugerirá un número de puerto no utilizado.
Descripción Ya que esto será para acceso de usuarios remotos, Los clientes VPN móvil ExampleCo Es un racor
descripción.
Estas opciones controlan la forma de trá fi co en el túnel está cifrado y autenticado.
autenticación TLS TLS es muy deseable a fin de comprobar Habilitar la autenticación de paquetes TLS. Generar clave TLS No hay ninguna clave TLS
existente, a fin de comprobar generar automáticamente un TLS compartida

clave de autenticación. TLS Shared Key Dado que no hay ninguna clave TLS existente, dejarlo
en blanco.
Parámetros DH Longitud Seleccionar 2048, ya que es un buen equilibrio entre velocidad y fuerza.
Algoritmo de cifrado Esto se puede dejar en el valor por defecto de AES-128-CBC, pero cualquier otra opción sería
también funcionan bien, siempre y cuando los clientes están configurados para igualar.
Auth Digest Algorithm Deje el valor predeterminado SHA1 (160 bits)
Crypto hardware El dispositivo de destino no tiene acelerador, así que deje a este conjunto No se pisa el hardware Crypto
ración
Configuración de túnel
Estas opciones controlan cómo el tráfico se encamina fi ca procedente de los clientes remotos.
Red túnel Al igual que en el diagrama al comienzo de este ejemplo, la subred 10.3.201.0/24 ha sido
elegido para los clientes VPN.

redirigir puerta de enlace Para la configuración de ExampleCo, La VPN sólo se llevará a trá fi co que está destinado para la
subredes en la oficina principal de lo que este cuadro no está marcado desenfrenado.
Red local Esta es la principal de subred fi ce, que en este ejemplo es 10.3.0.0/24.
Conexiones concurrentes ExampleCo no quiere limitar el número de clientes que pueden conectarse a las
Al mismo tiempo, por lo que este se deja en blanco.
Compresión Para mejorar el rendimiento de trá fi co en el túnel VPN a expensas de alguna potencia de la CPU,
esto se establece en Se activa con compresión adaptable.
Tipo de servicio Esta caja no está marcada, ya que no hay tráfico c en esta VPN que requiere priorización
ción / QoS.
La comunicación entre clientes Debido a que los clientes en esta VPN no tienen necesidad de conectarse a otro cliente
máquinas, esta casilla no está marcada.
Las conexiones duplicadas Debido a que existen únicos certi fi cados para cada cliente, no está marcada.
Configuración del cliente
Estas opciones controlan los ajustes especí fi cos dadas a los clientes cuando se establece una conexión.
IP dinámica Los clientes se conectarán de todo el país y las redes móviles desconocidos y su
Las direcciones IP son propensos a cambios sin previo aviso por lo que esta opción está marcada.
Conjunto de direcciones Los clientes serán asignadas direcciones de la red de túneles anterior, por lo que este se comprueba.
topología El método utilizado para asignar direcciones IP a los clientes. El valor por defecto de subred es la mejor opción.
DNS de dominio predeterminado Introducir el dominio para ExampleCo aquí, example.com.
Servidores DNS Cualquier servidor DNS interno podría ser utilizado aquí. ExampleCo tiene un Directorio Activo de Windows
Controlador de dominio que es con fi gurado para actuar como un servidor de DNS, 10.3.0.5.
Los servidores NTP El servidor más arriba, 10.3.0.5, También se utiliza para sincronizar los relojes de PC del cliente.
Opciones de NetBIOS Los clientes tendrán acceso a los recursos compartidos de Windows detrás de la VPN, a fin de comprobar Habilitar Net-
BIOS a través de TCP / IP. Tipo de nodo NetBIOS Debido a que DNS se utiliza principalmente,
seleccione h-nodo.
NetBIOS Scope ID Esto se deja en blanco, ya que el alcance de NetBIOS no está limitado.
Servidores WINS WINS está obsoleto, por lo que este se deja en blanco.
Avanzado En este momento no se necesitan ajustes adicionales, por lo que este se deja en blanco.
De reglas de cortafuegos con fi guración
Como con otras partes del cortafuego, por defecto todos tráfico c está bloqueado y la conexión a VPNs o pasando por encima de los túneles VPN. Este paso del asistente añade
reglas cortafuego automáticamente para permitir trá fi co para conectarse a la VPN y también los clientes conectados de modo puede pasar trá fi co sobre el VPN.
Trá fi co de los clientes al servidor
Marque esta casilla para agregar una regla fi cortafuegos en la interfaz elegida para el túnel (por ejemplo, PÁLIDO) que permite a los clientes se conectan. Permite a todos los clientes
desde cualquier dirección de origen para conectar de forma predeterminada. Para permitir conexiones desde un conjunto limitado de direcciones IP o subredes, o bien hacer una
regla personalizada o marque esta casilla y alterar la regla que crea. Dado que en este ejemplo los clientes se conectan de todo el país, la regla creada por esta opción es ideal, por
lo que el cuadro está activado.

Traf fi c de los clientes a través del túnel VPN
Esta configuración permite que todo el tráfico c para cruzar el túnel OpenVPN, que es deseable para este ejemplo, por lo que esta caja está marcada.
Finalizar el asistente
Hacer clic Terminar y el asistente se ha completado; El túnel es totalmente con fi gurado y listo para conexiones de cliente. A partir de aquí son los siguientes pasos para
agregar usuarios y dispositivos cliente con fi gura. Si se requieren ajustes a las normas fi cortafuego generados automáticamente, hacerlas ahora.
Con fi gurar usuarios
En este punto el servidor VPN está con fi gurado pero no puede ser cualquier cliente que puede conectar. El método para añadir usuarios a la VPN
dependerá del método de autenticación elegido al crear el servidor OpenVPN.
Ver también:
Más detalles sobre la adición de usuarios se pueden encontrar en Gestión de usuarios y autenticación . Más información sobre la gestión de certi fi cados de usuario se puede encontrar en Certificados
de usuario fi .
Los usuarios locales
Para agregar un usuario que puede conectarse a OpenVPN, deben ser añadidos al Administrador de usuarios de la siguiente manera:
• Hacer clic Añadir para crear un nuevo usuario
• Entrar a nombre de usuario, Contraseña, y la contraseña de confirmación
• Llenar Nombre completo ( Opcional)
• Comprobar Haga clic para crear un certi fi cado de usuario, que abrirá la certi fi cate panel de opciones
• Introduzca el nombre del usuario o cualquier otra información pertinente en el Nombre descriptivo campo
• Elija el mismo Autoridad certi fi cado utilizado en el servidor OpenVPN
• Escoge un Longitud de la clave ( se puede dejar en el valor predeterminado)
• Entrar a Toda la vida ( se puede dejar en el valor predeterminado)
Para ver o cambiar el usuario:
• Hacer clic junto a la fila que contiene el usuario para ver / editar
Para exportar certi fi cado de un usuario y clave:
Nota: Esta parte puede omitirse si se utiliza el paquete de exportación OpenVPN cliente, se describe en Exportar paquete de cliente OpenVPN . El paquete de exportación cliente es una
manera mucho más fácil para descargar los clientes estafadores configuraciones fi e instalación archivos.
• Navegar a Sistema> Administrador de Cert sobre el certi fi cados lengüeta

• Busque el certificado de usuario fi cado en la lista
• Hacer clic para descargar los certi fi cados de usuario
• Hacer clic para descargar la clave para la certi fi cado
• Hacer clic descargar un archivo PKCS # 12 paquete que incluye el usuario certi fi cado y la clave, y el certi fi cado CA (opcional).
En la mayoría de los casos, el Certi fi cado de CA también debe ser descargado con el certi fi cado de usuario. Esto se puede hacer a partir de su entrada en Sistema> Cert
Manager, CA pestaña, o utilizando el paquete PKCS # 12 se mencionó anteriormente.
LDAP o RADIUS Usuarios
Adición de usuarios LDAP y RADIUS dependerán totalmente de las herramientas de implementación y administración de servidores, que están más allá del alcance de este libro.
En contacto con el administrador del servidor o proveedor de software para obtener ayuda. certi fi cados para los usuarios de LDAP o RADIUS no se pueden crear desde dentro
de la interfaz web del cortafuego de una manera que refleja una por el usuario certi fi cado de relación. Sin embargo, es posible crear los certi fi cados por su cuenta utilizando el
administrador de certi fi cado como se describe en Certificados de usuario fi
Instalación de cliente OpenVPN
Exportar paquete de cliente OpenVPN
La forma más fácil para con fi gura un cliente OpenVPN en la mayoría de las plataformas es utilizar el paquete de exportación OpenVPN cliente en el fi cortafuegos pfSense.
Instalar el paquete Utilidad de exportación OpenVPN cliente de la siguiente manera:
• localizar el OpenVPN cliente de exportación paquete de la lista
• Hacer clic Instalar junto a la lista de paquetes para instalar
Una vez instalado, se puede encontrar en VPN> OpenVPN, sobre el exportación cliente lengüeta. Las opciones para el
paquete incluyen:
Servidor de acceso remoto Recoger la instancia del servidor OpenVPN para los que se exportará un cliente. Sí hay
es sólo un servidor de acceso remoto OpenVPN sólo habrá una opción en la lista. La lista estará vacía si no hay servidores
OpenVPN modo de acceso remoto.
Sede de resolución de nombres Controla la forma en la entrada “a distancia” se formatea el cliente.
Dirección IP de la interfaz Cuando elegido, la dirección IP de la interfaz se utiliza directamente. Esta es typ-
camente la mejor opción para instalaciones con una dirección IP estática en la WAN.
Automagic Multi-WAN IP Esta opción es útil cuando la reorientación de múltiples puertos usando
puerto remite para las implementaciones que utilizan multi-WAN o varios puertos en la misma WAN. Será buscar y hacer
entradas para todos los puertos que se dirigen hacia delante el servidor y utilizan la dirección IP de destino utilizado en el
puerto adelante en la con fi guración del cliente.
Automagic Multi-WAN DDNS nombres de host Al igual que en la opción anterior, pero utiliza el
fi entrada DNS TI NDS primera dinámica que coincide con el destino elegido.
20.5. Instalación de cliente OpenVPN 401

Nombre de host de instalación Coloca el nombre de host del cortafuego, definido bajo Sistema> General
Preparar, en la con fi guración del cliente. El nombre de host debe existir en DNS público para que pueda ser resuelto por los clientes.
Las entradas dinámicas de DNS del nombre de host Cada nombre de host DNS dinámico con fi gurada en la re fi
pared está aquí. Estos suelen ser la mejor opción para el funcionamiento de un servidor en una sola WAN con una dirección
IP dinámica.
Otro Presenta un cuadro de texto en el que una dirección IP o nombre de host se puede introducir para el cliente
usar.
Verificar servidor CN especi fi ca cómo el cliente verificará la identidad del certi fi cado de servidor. El CN de la
servidor de certi fi cado se coloca en la con fi guración del cliente, de modo que si otro válida certi fi cado se hace pasar por el servidor
con un diferente CN, que no coincidirá y el cliente se niega a conectar.
Automático - Uso verificar-x509-nombre donde sea posible Esta es la mejor para los clientes actuales.
Los métodos más antiguos están en desuso ya que este método es más preciso y flexible.
Usar TLS-remoto Esto puede funcionar en los clientes de mayor edad (2.2.x OpenVPN o antes), pero se romperá
nuevos clientes como la opción se considera obsoleta.
Usar TLS-remoto y citar el servidor CN Funciona igual que TLS-remotas pero añade cotizaciones
alrededor de la CN para ayudar a algunos clientes a hacer frente a los espacios en la NC.
No verificar el servidor CN Desactiva el cliente la verificación del certificado del servidor de fi cado común
nombre.
Utilice aleatoria Puerto local Para los clientes actuales, el valor por defecto (comprobado) es lo mejor, de lo contrario dos con- OpenVPN
conexiones no se pueden ejecutar simultáneamente en el dispositivo cliente. Algunos clientes antiguos no soportan esto, sin embargo.
Utilice Microsoft Certi fi cado de almacenamiento Bajo Certi fi cado de las opciones de exportación, para los clientes del instalador exportados este
colocará la CA y certi fi cado de usuario en el certi fi cado de almacenamiento de Microsoft en lugar de utilizar el archivos directamente.
Utilizar una contraseña para proteger el contenido pkcs12 fi l Cuando se activa, introduzca una contraseña y confirman que,
a continuación, los certificados y claves suministrados al cliente se pueden proteger con una contraseña. Si el servidor Open- VPN está con
fi gurado para la autenticación de usuario esto hará que los usuarios ver dos contraseña diferente solicita al cargar el cliente: Uno para
descifrar las claves y los certi fi cados, y otro para la autenticación de usuario del servidor al conectarse.
Usa proxy Si el cliente se encuentra detrás de un proxy, compruebe Utilizar proxy para comunicarse con el servidor
y luego suministrar una Proxy Tipo, dirección IP, puerto, y Autentificación de poder con credenciales si es necesario.
OpenVPNManager Cuando se activa, esta opción paquete del instalador de Windows con OpenVPNMan-
Ager interfaz gráfica de usuario, además de que el cliente normal de Windows. Esta interfaz gráfica de usuario alternativo gestiona el servicio OpenVPN
de tal manera que no requiere privilegios de administrador, una vez instalado.
estafadores adicional opciones fi guración Cualquiera de las opciones con fi guración adicionales necesarios para el cliente pueden ser colocados
en este cuadro de entrada. Esto es aproximadamente equivalente a la Opciones avanzadas caja en la con fi pantallas URACIÓN OpenVPN g-, pero
desde la perspectiva del cliente.
Nota: No existe un mecanismo para guardar esta configuración, por lo que debe ser revisado y ajustado cada vez que la página es visitada.
Lista de instalación de clientes Paquetes
Debajo Paquetes de instalación de clientes es una lista de clientes potenciales para exportar. El contenido de la lista dependen de la forma en que el servidor está con fi gurado y qué
usuarios y certi fi cados están presentes en el cortafuego.

La siguiente lista describe cómo el estilo de configuración del servidor con fi afecta a la lista en el paquete:
El acceso remoto (SSL / TLS) certi fi cados de usuario se enumeran que se hacen de la misma como el CA Abierta
servidor VPN
El acceso remoto (SSL / TLS + Aut.usuario - Los usuarios locales) Las entradas de usuario se enumeran para los usuarios locales que también
tener un certi fi cado asociado hecha del mismo CA que el servidor OpenVPN.
El acceso remoto (SSL / TLS + Aut.usuario - autenticación remota) Debido a que los usuarios de Internet están a distancia, el usuario
certi fi cados se enumeran que se hacen de la misma CA que el servidor OpenVPN. Se supone que el nombre de usuario es el
mismo que el nombre común del certi fi cado.
El acceso remoto (Aut.usuario - usuarios locales o de autenticación remota) Una sola entrada con fi guración es
se muestra para todos los usuarios ya que no hay certi fi cados por usuario.
El ejemplo de configuración del asistente hecho previamente en este capítulo fue para SSL / TLS + Aut.usuario con los usuarios locales, por lo que una opción es mostrado por
usuario en el systemwhich tiene un certificado creado a partir de la misma CA que el servidor OpenVPN.
Nota: Si no se muestran los usuarios, o si un usuario específico no está en la lista, el usuario no existe o el usuario no tiene un certi fi cado apropiado. Ver Los
usuarios locales para el procedimiento correcto para crear un usuario y certi fi cado.
Instalación de cliente de tipos de paquetes
Numerosas opciones se enumeran para cada cliente que exportar la con fi guración y fi les asociada de diferentes maneras. Cada uno tiene capacidad para un posible
tipo de cliente diferente.
configuraciones estándar de Con fi
Archivo Descarga un archivo ZIP con la con fi guración fi l, clave TLS del servidor si ha de fi nido, y
PKCS # 12 fi l que contiene la CA certi fi cado, clave de cliente, y el cliente certi fi cado. Esta opción se puede utilizar con clientes
Linux o Tunnelblick, entre otros.
Sólo presentar Descargas sólo el básico con fi guración fi l, no certi fi cados o claves. Esto sería principalmente
se utiliza para ver la con fi guración fi l mismo sin necesidad de descargar el resto de información.
configuraciones en línea de Con fi
Esta elección descarga una sola con fi guración fi l con los certificados y claves en línea. Este formato es ideal para su uso en todas las plataformas, especialmente los
clientes de Android y iOS o para copiar manualmente una con fi guración de un sistema que ya tiene un cliente instalado. Esta opción funcionará para cualquier tipo de
cliente basado en OpenVPN versión 2.1 o posterior.
Androide Se utiliza con el cliente de Android OpenVPN mencionado en 4.x y más tarde Android .
OpenVPN Connect (iOS / Android) Se utiliza con el cliente OpenVPN Connect en iOS o Android de-
trazada en iOS .
Otros Utilizable por cualquier cliente estándar OpenVPN en plataformas como Windows, OS X, o BSD / Linux.
También funciona bien con Tunnelblick en OS X, sólo tiene que descargar la línea con fi g y arrastrarlo a la carpeta con fi guraciones
para Tunnelblick.
archivos del teléfono SIP
Si el servidor OpenVPN es con fi gura como única SSL / TLS sin autentificación entonces aparecerá opciones para exportar con fi guraciones cliente para
varios modelos de teléfonos SIP que soportan OpenVPN. Ejemplos notables son la Yealink T28 y

T38G, y SNOM móviles. La instalación del cliente en el teléfono varía según el modelo, consulte la documentación del fabricante para obtener más información.
Nota: Asegúrese de que el teléfono tiene una configuración de reloj adecuada y / o servidor NTP, de lo contrario los certi fi cados no podrán validar y la VPN no se conectarán.
Advertencia: Normalmente, estos dispositivos sólo admiten el uso de SHA1 como un hash de certi fi cado. Asegúrese de que el CA, el servidor de certi fi cado, y el cliente certi fi
cados son generados utilizando SHA1 o pueden fallar. Pueden también sólo el apoyo de un conjunto limitado de algoritmos de cifrado, tales como AES-128-CBC. Consulte la
documentación del teléfono para obtener más información.
Los instaladores de Windows
Las opciones de Windows Installer crean un sencillo de usar ejecutable instalador fi l, que contiene el cliente OpenVPN con los datos con fi guración embebidos. El
instalador se ejecuta como el instalador normal de cliente de Windows OpenVPN, pero también copia todos los ajustes y certi fi cados necesarios. Ver Instalación de
windows a continuación algunas notas sobre cómo instalar y ejecutar el cliente de Windows.
Actualmente, hay cuatro opciones disponibles:
x86-xp 32 bits instalador puede utilizar en Windows XP y versiones posteriores
x64-xp 64 bits instalador puede utilizar en Windows XP y versiones posteriores
x86-win6 32 bits instalador puede utilizar en Windows Vista y más tarde e incluye un driver más reciente del grifo
x64-win6 64 bits instalador puede utilizar en Windows Vista y más tarde e incluye un driver más reciente del grifo
Nota: Asegúrese de hacer clic al lado fi nal / todo el camino a través del proceso de instalación. No haga clic en cancelar o X a cabo la instalación en cualquier paso, o el
sistema cliente puede quedar con el cliente instalado, pero sin importar con fi guración.
Advertencia: En Windows Vista, 7, 8, 10 y más tarde con el UAC (User Account Control) está activado, el cliente debe puede ejecutar como administrador. Haga clic derecho
en el icono de OpenVPN GUI y haga clic Ejecutar como administrador para que funcione. Se puede conectar sin derechos administrativos, pero no puede agregar la ruta
necesaria para dirigir trá fi co sobre la conexión OpenVPN, dejándolo inutilizable. Las propiedades del acceso directo se pueden establecer para poner en marcha el
programa como siempre Administración- adminis-. Esta opción se encuentra en el Compatibilidad pestaña de las propiedades del acceso directo. Una forma de evitar este
requisito es comprobar OpenVPNManager antes de exportar a utilizar una interfaz gráfica de usuario alternativa de gestión de OpenVPN en Windows. los cliente viscosidad También
está disponible para Windows y no requiere privilegios administrativos para funcionar correctamente.
viscosidad Bundle
Esto funciona como el archivo de con fi guración anterior, pero es que el cliente OpenVPN viscosidad utilizado en OS X y Windows. Si el cliente viscosidad ya está
instalado, descarga este paquete y haga clic en él para importarlo en el cliente.
Instalación de windows
El proyecto OpenVPN ofrece un instalador para Windows 2000 a Windows 10, se puede descargar desde El Open- VPN comunitarias página de descargas . En el
momento de escribir estas líneas, la mejor versión para la mayoría de los usuarios de Windows es 2.3.x-I60x instalador. La serie 2.3 es la versión estable más reciente
La instalación es sencilla, aceptar todos los valores predeterminados. La instalación creará un nuevo Conexión de área local
en el sistema cliente para el tonel interfaz. Esta interfaz aparecer conectado cuando se establece la VPN y será

de lo contrario aparecerá como desconectado. No se con fi guración de esta interfaz es necesario ya que su con fi guración se tiró desde el servidor o cliente con fi
guración de OpenVPN.
Advertencia: En Windows Vista, 7, 8, 10 y más tarde con el UAC (User Account Control) está activado, el cliente debe puede ejecutar como administrador. Haga clic derecho
en el icono de OpenVPN GUI y haga clic Ejecutar como administrador para que funcione. Se puede conectar sin derechos administrativos, pero no puede agregar la ruta
necesaria para dirigir trá fi co sobre la conexión OpenVPN, dejándolo inutilizable. Las propiedades del acceso directo se pueden establecer para poner en marcha el
programa como siempre Administración- adminis-. Esta opción se encuentra en el Compatibilidad pestaña de las propiedades del acceso directo. Una forma de evitar este
requisito es comprobar OpenVPNManager antes de exportar a utilizar una interfaz gráfica de usuario alternativa de gestión de OpenVPN en Windows. los cliente viscosidad También
está disponible para Windows y no requiere privilegios administrativos para funcionar correctamente.
Mac OS X clientes y de instalación
Hay tres opciones de cliente para Mac OS X .:
• El cliente de línea de comandos OpenVPN. La mayoría de los usuarios prefieren un cliente gráfico, por lo que esta opción no estarán cubiertos.
• Tunnelblick, una opción gratuita disponible para su descarga en el Sitio web Tunnelblick .
• El comercial cliente viscosidad . En el momento de escribir estas líneas, que cuesta $ 9 dólares por un solo asiento. Si OpenVPN se utiliza con frecuencia, la viscosidad
es un cliente mucho más agradable y bien vale la pena el costo. Tanto Tunnelblick y la viscosidad se instalan fácilmente, sin opciones de con fi guración durante la
instalación.
Con fi guración de la viscosidad
Cuando se utiliza el cliente de viscosidad, puede ser con fi gurado de forma manual o el paquete OpenVPN cliente de exportación puede ser utilizado para importar la con fi guración.
Viscosidad proporciona una herramienta de interfaz gráfica de usuario con fi guración que se puede utilizar para generar el subyacente cliente OpenVPN con fi guración. La CA y certi fi
cados se pueden importar de forma manual, y todos los parámetros se pueden ajustar manualmente. Esta cubierta de la sección de importar un paquete de viscosidad del paquete de
exportación.
• Descargar una copia de la manojo de viscosidad para el cliente desde el paquete OpenVPN cliente de exportación
• Busque el salvado fi le, que finalizará en. visc.zip que indica que es un archivo comprimido
• Copiar este paquete exportado a una carpeta en el Mac
• Haga doble clic en este expediente y que se ampliará a Viscosity.visc
• Haga doble clic Viscosity.visc y la viscosidad se abrirá y importar la conexión como se muestra en la figura La viscosidad de importación
• Borrar el Viscosity.visc directorio y el. cremallera archivo
• Viscosidad va a correr después de la importación, y puede ser encontrado en la barra de menú
• Haga clic en el icono de bloqueo añadido a la barra de menú en la parte superior de la pantalla
• Hacer clic preferencias para comprobar que la configuración con fi fue importada como se muestra en la figura Preferencias de viscosidad
• Comprobar el conexiones zona para ver si la conexión importado con éxito como se muestra en la figura Viscosidad Vista Conexiones .
• Cierre la pantalla de Preferencias
• Haga clic en el candado en la barra de menú
• Haga clic en el nombre de la conexión VPN para conectarse como se muestra en la figura Conectar la viscosidad . Después de unos segundos, el candado en la barra de menú se
pondrá verde para mostrar que ha conectado correctamente.
• Haga clic en él y haga clic detalles como se muestra en la figura Menú viscosidad para ver la información de conexión

Fig. 20.2: Viscosidad de importación
Fig. 20.3: Preferencias Viscosidad

Fig. 20.4: Viscosidad Vista Conexiones
Fig. 20.5: Viscosidad Conectar

Fig. 20.6: Menú Viscosidad
En la pantalla primera (figura Detalles de la viscosidad ), el estado de conexión, tiempo de conexión, la dirección IP asignada al cliente, y el total se visualizan la IP del
servidor. Un gráfico de ancho de banda se muestra en la parte inferior de la pantalla, que muestra el rendimiento dentro y fuera de la interfaz de OpenVPN.
Al hacer clic en el botón de flecha arriba / abajo en el medio de la pantalla de detalles muestra estadísticas adicionales fi cantes red. Esto muestra el tráfico c enviado
dentro del túnel (TUN / TAP de entrada y salida), así como el TCP, total o UDP tráfico c enviado incluyendo la sobrecarga del túnel y cifrado. Para conexiones que utilizan
principalmente pequeños paquetes la sobrecarga es considerable con todas las soluciones VPN. Las estadísticas muestran en la figura Viscosidad Detalles: trá fi co
Estadísticas son de sólo unos pocos pings que atraviesan la conexión. El tráfico c enviado en la crianza de la conexión también se cuenta aquí, por lo que la sobrecarga
inicial es más alta que lo que será después de haber sido conectada por algún tiempo. Además, el típico VPN tráfico c tendrá tamaños de paquete más grandes que 64
pings byte, por lo que la sobrecarga total y diferencia entre estos dos números considerablemente menor. Al hacer clic en el tercer icono en el centro de la detalles pantalla
muestra la OpenVPN log fi le (figura Detalles de viscosidad: Registros ). Si hay algún problema de conexión, revise los registros aquí para ayudar a determinar el problema.
Ver también Solución de problemas de OpenVPN .
iOS
iOS también es capaz de ejecutar OpenVPN forma nativa usando el IOS OpenVPN Conectar cliente disponible en la App Store. Esta aplicación no requiere jailbreaking el
dispositivo IOS. La aplicación debe tener la con fi g fi l y certi fi cados con fi gurado exterior del dispositivo iOS y después importada a la misma. El paquete OpenVPN
exportación de cliente en pfSense se puede utilizar para exportar una Conectar OpenVPN tipo En línea con fi guración. Transferir el resultante. OVPN fi l para el dispositivo de
destino a continuación, mediante el uso de iTunes para transferir la fi les en la aplicación o enviarla por correo electrónico al dispositivo.
El uso de otros métodos para obtener los archivos en el dispositivo de forma remota, como Dropbox, Google Drive o Box funcionará de manera similar al método de e-mail
son generalmente más seguras como los contenidos serán privadas y, posiblemente, cifrada en función del método y el almacenamiento.
Si se utiliza el método de correo electrónico, utilice el siguiente procedimiento:
• exportar la Conectar OpenVPN tipo En línea con fi guración fi l para la VPN.
• Enviar el expediente exportados en un correo electrónico a una cuenta fi con gurado en el dispositivo iOS
• Instalar la aplicación OpenVPN Connect en el dispositivo
• Abra la aplicación de correo en el dispositivo
• Abra el mensaje de correo electrónico que contiene el archivo adjunto
• Pulse el archivo adjunto. Cuando se toca una de las opciones será para abrirlo con la aplicación OpenVPN Conectar

Fig. 20.7: Viscosidad detalles
• Toque para seleccionar la aplicación de conexión OpenVPN y ofrecerá importar la con fi guración
• Toca el botón + y el per fi l se importará
El uso de iTunes para transferir la con fi guración en el dispositivo iOS es sencillo y más seguro que el correo electrónico.
• exportar la Conectar OpenVPN tipo En línea con fi guración fi l para la VPN.
• Conectar el dispositivo iOS al ordenador y abre iTunes
• Encontrar e instalar la aplicación OpenVPN Conectar
• Haga clic en el icono del dispositivo en el interior de iTunes en la barra de herramientas
• Seleccionar aplicaciones en el lado izquierdo de la ventana
• localizar el Compartición de archivos En la sección inferior de esta pantalla (desplazarse hacia abajo)
• Haga clic en el icono de OpenVPN bajo Compartición de archivos y una lista de archivos se mostrará a la derecha bajo el encabezamiento
Documentos de OpenVPN
• Copiar la fi le al dispositivo mediante el uso de uno de los métodos siguientes. El expediente estará disponible inmediatamente en el dispositivo iOS.
- Utilice Finder para arrastrar y soltar el. OVPN fi l en esta área -O-
- Hacer clic Añadir y localizar el expediente a la importación
• Abrir la aplicación OpenVPN Connect y que ofrecerá a importar el per fi l de
• Toca el botón +, y el per fi l se importará

Fig. 20.8: Viscosidad Detalles: tráfico c Estadísticas
Si el per fi l está configurada con fi para la autenticación de usuario se le solicitará las credenciales, que puede estar opcionalmente salvaron. Por debajo de la
petición de credenciales es un estado de la conexión que va a cambiar entre Desconectado y Conectado
y también indica cuando se intenta establecer una conexión. Al hacer clic se abrirá el registro de cliente OpenVPN que es muy útil si se encuentran
problemas de conexión.
Para conectar la VPN, mueva el control deslizante en la parte inferior del per fi l de Apagado a En y la aplicación intentará conectarse. Para desconectar manualmente, mueva el control
deslizante de nuevo a Apagado.
Cuando se construye manualmente una con fi guración fi l para este cliente que requiere ya sea un estilo en línea con fi guración o CA separada, cliente de certi fi cado, cliente
clave de certi fi cado y la clave TLS archivos (si se utiliza). No parece aceptar. p12 los archivos que contiene las claves de CA / cate y el cliente fi cado, por lo que el estilo por
defecto “Con fi guración Archivo” no va a funcionar, aunque algunos usuarios han reportado éxito la importación de la con fi guración de los archivos extraídos del paquete de
viscosidad.
4.x y más tarde Android
Para los dispositivos con Android 4.0 o una versión más reciente, hay una OpenVPN aplicación gratuita en la tienda de Google Play que funciona de manera excelente sin
necesidad de acceso a la raíz. Se llama OpenVPN para Android por Arne Schwabe. El paquete OpenVPN exportación de cliente en pfSense puede exportar una Androide tipo
En línea con fi guración, y la resultante

. OVPN fi le puede ser transferido al dispositivo de destino. Se puede copiar directamente, enviado por correo electrónico al dispositivo, etc.
• Abre el OpenVPN para Android aplicación
• Toque de importación (icono de la carpeta de archivos en la parte superior derecha)
• Encuentra el . OVPN fi l salvó arriba y tócalo
• Toque de importación (icono de disco en la parte superior derecha)

Fig. 20.9: Viscosidad Detalles: troncos

El VPN importado se muestra ahora en la lista. Editar la entrada para cambiar el nombre y otros detalles. Toque la VPN para conectar. Si el per fi l está configurada con fi
para la autenticación del usuario, la aplicación va a solicitar las credenciales durante la conexión.
Nota: los Android OpenVPNConnect cliente también funciona en Android 4.x y no requiere de raíz. Funciona de forma idéntica al cliente iOS con el mismo nombre. Carece de
la capacidad de totalmente con fi gurar la VPN en la interfaz gráfica de usuario, por lo que no se recomienda. Utilizar el Conectar OpenVPN tipo En línea con fi guración exportación
para su uso con ese cliente tanto en Android y el IOS.
Instalación de FreeBSD
Si el cliente tiene una instalación de FreeBSD, OpenVPN puede ser encontrado en la colección de ports. Para instalar OpenVPN,
ejecute lo siguiente como raíz:
# cd / usr / ports / seguridad / openvpn && make install clean
Alternativamente, se puede instalar desde paquetes:
# PKG instalar openvpn
Instalación de Linux
La instalación de OpenVPN en Linux variará dependiendo de la distribución preferida y el método de gestión de instalaciones de software. OpenVPN está incluido
en los repositorios de paquetes de la mayoría de las distribuciones de Linux. Con todas las diferentes posibilidades entre un sinnúmero de distribuciones, y la
información adecuada ya disponible en otras fuentes en línea, este libro no cubrirá ninguna especificación cs. Basta con buscar en Internet para la distribución de
elección y “OpenVPN instalación” para hallar información.
distribuciones basadas en Ubuntu tienen OpenVPN gestión integrada con Network Manager, pero requiere la instalación de un módulo adicional.
Manual del Cliente Con fi guración
Realización de una instalación manual del cliente en lugar de utilizar el paquete de exportación OpenVPN cliente requiere más pasos para instalar el software y la
configuración en el PC cliente. La instalación del cliente en otros sistemas operativos se deja en manos del lector.
Después de instalar OpenVPN, copie los certi fi cados al cliente y crear el cliente con fi guración fi l.
Copia certi fi cados
Tres archivos de la cortafuego son necesarios para cada cliente: el CA certi fi cado, el cliente certi fi cado, y la clave de cliente. Un cuarto archivo, es la clave TLS, sólo
es necesario si el servidor se ha con fi gurado para la autenticación TLS.
• Exportar el certi fi cado de CA Sistema Cert> Administrador sobre el CA pestaña, guardar esto como ca.crt
• Exportar el cliente certi fi cado y la clave como se describe en Los usuarios locales , guardarlos como username.crt y
username.key
• Copiar estos archivos a la OpenVPN config directorio en el cliente
• Copiar la clave TLS desde la pantalla de configuración del servidor con fi Si se utiliza la autenticación TLS en este servidor OpenVPN. Guardar esto en un nuevo
archivo de texto le llama tls.key e incluirlo en el config carpeta también.

Crear Con fi guración
Después de copiar los certi fi cados al cliente, el cliente OpenVPN con fi guración fi l debe ser creado. Esto se puede hacer con cualquier editor de texto plano fi le como Bloc
de notas en Windows. A continuación se muestran las opciones que se utilizan con mayor frecuencia:
dev tun proto

cliente UDP
vpn.example.com remoto 1194 de ping 10
resolv-reintentar nobind infinito
persistir clave
persistir-tun ca ca.crt
cert username.crt clave

username.key verbo 3 comp-lzo
TLS-auth tls.key 1-user-pase auth
remoto Especi fi ca el host y el puerto del servidor OpenVPN remoto. Una dirección IP o FQDN pueden ser
especi fi cado aquí.
proto Speci fi ca el protocolo utilizado por la conexión OpenVPN. Cambie esta línea a proto tcp Si TCP
se utiliza en el servidor OpenVPN.
ca, cert, clave Debe ser modi fi cado en consecuencia para cada cliente para reflejar los lenames Fi guardada previamente.
TLS-auth Si no se utiliza la autenticación TLS, la línea TLS-auth puede omitirse.
auth-de paso de usuario Si el acceso remoto VPN no incluye nombre de usuario y contraseña de autenticación, omitir
esta línea.
Ver también:
Para una referencia más completa sobre las directivas de OpenVPN, consulte la manual de OpenVPN para la versión de cliente instalado.
La distribución de con fi guración y las teclas para clientes
La forma más fácil de distribuir las claves y OpenVPN con fi guración a los clientes es a través del paquete de exportación OpenVPN cliente. Si el paquete
no es una opción viable, es necesario colocar el archivos en un archivo ZIP o archivo de extracción automática para extraer C: \ Archivos de programa \
OpenVPN \ config. Esto se debe transmitir de forma segura para el usuario final, y nunca se debe pasar a través de redes no confiables sin cifrar.
Un cliente OpenVPN necesita ser instalado en la mayoría de los dispositivos de usuario final, como la funcionalidad de cliente aún no está integrado en la mayoría de los sistemas operativos.
Esta sección proporciona una visión general de la instalación en varios sistemas operativos comunes.
Ver también:
Los clientes con una pfSense Suscripción Oro puede acceder al Hangouts Archivo para ver el septiembre y octubre de 2015 en Hangouts VPN de acceso remoto,
que cubre las instalaciones de cliente para la mayoría de sistemas operativos.
Site-to-Site Ejemplo (Shared Key)
En esta sección se describe el proceso de con fi gurar una conexión de sitio a sitio usando una llave compartida estilo del túnel OpenVPN.
20.6. Site-to-Site Ejemplo (Shared Key) 413

Fig. 20.10: OpenVPN Ejemplo de sitio a sitio de red
Cuando con fi gurar una clave de sitio a sitio de conexión OpenVPN un cortafuego compartida será el servidor y el otro será el cliente. Por lo general, la
ubicación principal será el lado del servidor y el control remoto o fi cinas actuarán como clientes, aunque lo contrario es funcionalmente equivalente. Similar a
un acceso remoto OpenVPN con fi guración habrá una subred dedicada en uso para la interconexión entre redes OpenVPN además de las subredes en ambos
extremos. La configuración fi ejemplo con descrito aquí se representa en la figura OpenVPN Ejemplo de sitio a sitio de red .
10.3.100.0/30 se utiliza como el Red túnel. El túnel OpenVPN entre los dos rewalls fi obtiene una dirección IP en cada extremo de esa subred,
como se ilustra en el diagrama. Las siguientes secciones describen cómo con fi gurar los lados de servidor y cliente de la conexión.
Con fi gurar el lado del servidor
• Navegar a VPN> OpenVPN, Servidor lengüeta
• Hacer clic Añadir para crear una nueva entrada de servidor
• Rellenar los campos de la siguiente manera, con todo lo demás a la izquierda en valores predeterminados:
Modo de servidor Seleccionar Peer to Peer (Shared Key).
Descripción Introduzca texto aquí para describir la conexión (por ejemplo, ExampleCo sitio B VPN)
Llave compartida Comprobar generar automáticamente una clave compartida, o pegar en una clave compartida preexistente para este
conexión.
Red túnel Entrar en la red previamente elegido, 10.3.100.0/30
red remota Introduzca la LAN en el lado del sitio B, 10.5.0.0/24
• Hacer clic para editar el servidor que fue creado hace un momento
• Encuentra el Llave compartida caja
• Seleccionar todo el texto dentro de la Llave compartida caja
• Copiar el texto en el portapapeles
• Guardar el contenido en un archivo, o pegar en un editor de texto como el Bloc de notas temporalmente

A continuación, añadir una regla fi cortafuegos de WAN que permite el acceso al servidor OpenVPN.
• Navegar a Firewall> Reglas, WAN lengüeta
• Hacer clic Añadir para crear una nueva regla en la parte superior de la lista
• Ajuste Protocolo a UDP
• Establecer la dirección de origen para que coincida con el cliente. Si tiene una dirección IP dinámica, dejarlo en Alguna, en caso contrario hacer la regla para permitir únicamente
desde la dirección IP WAN del cliente:
- Seleccionar Host único o Alias en Fuente
- Introduzca la dirección WAN del cliente como Dirección de la fuente ( p.ej 203.0.113.5)
• Selecciona el Destino a Dirección WAN
• Selecciona el Puerto de destino a 1194 en este caso
• Entrar a Descripción, como OpenVPN desde el sitio B
• Hacer clic Salvar y el Estado se verá como la figura OpenVPN Ejemplo de sitio a sitio WAN regla de cortafuegos .
Fig. 20.11: OpenVPN Ejemplo de sitio a sitio Regla WAN Firewall
Una regla también debe ser añadido a la OpenVPN interfaz para pasar tráfico c sobre el VPN desde el lado del cliente LAN a la del lado del servidor LAN. Un “Permitir todos” regla de
estilo puede ser usado, o un conjunto de normas más estrictas. En este ejemplo, permitiendo que todos trá fi co está bien por lo que se hace la siguiente regla:
• Navegar a Firewall> Reglas, OpenVPN lengüeta
• Ajuste Protocolo a alguna
• Entrar a Descripción como Permitir todo el OpenVPN
La con fi guración del servidor es terminado.
Con fi gurar lado del cliente
• Navegar a VPN> OpenVPN, Cliente pestaña en el sistema cliente
• Hacer clic Añadir para crear una nueva instancia de cliente OpenVPN
• Rellenar los campos de la siguiente manera, con todo lo demás a la izquierda en valores predeterminados:
Modo de servidor Seleccionar Peer to Peer (Shared Key).
host del servidor o la dirección Introduzca la dirección IP pública o nombre de host del servidor OpenVPN aquí (por ejemplo,
198.51.100.3).
Descripción Introducir texto para describir la conexión (por ejemplo, ExampleCo sitio VPN)
20.6. Site-to-Site Ejemplo (Shared Key) 415

Llave compartida Deseleccionar generar automáticamente una clave compartida, a continuación, pegar en la clave compartida para el con-
nection con la tecla de copiado de la instancia del servidor creado con anterioridad.
Red túnel Debe coincidir con el lado del servidor exactamente (por ejemplo, 10.3.100.0/30)
red remota Entrar en la red LAN en el lado del sitio, 10.3.0.0/24
Una regla también debe ser añadido a la OpenVPN interfaz para pasar tráfico c sobre el VPN desde el lado del servidor LAN a la del lado del cliente LAN. Un “Permitir todos” regla de
La con fi guración del cliente es completa. No se requieren reglas fi cortafuego en la interfaz WAN del cliente debido a que el cliente sólo inicia las
conexiones salientes. El servidor nunca inicia conexiones con el cliente.
Nota: Con acceso PKI con fi guraciones remotos, típicamente rutas y otras opciones de con fi guración no se definen en la con fi guración del cliente, sino que se envían desde el
servidor al cliente. Con despliegues claves compartidas, rutas y otros parámetros debe definirse en ambos extremos como sea necesario (como se describió anteriormente, y más
tarde en Las opciones de personalización con fi guración ), Las opciones no pueden ser empujados desde el servidor a los clientes cuando se utilizan claves compartidas.
Prueba de la conexión
La conexión será activa inmediatamente después de guardar en el lado del cliente. Intente hacer ping a través al extremo remoto para verificar la conectividad. Si surgen
problemas, consulte Solución de problemas de OpenVPN .
Site-to-Site Ejemplo Con fi guración (SSL / TLS)
El proceso de con fi gurar una conexión de sitio a sitio usando SSL / TLS es más complicado de lo Llave compartida. Sin embargo, este método es
típicamente mucho más conveniente para la gestión de un gran número de sitios remotos que se conectan a un sitio central en forma de cubo y radios.
Puede ser utilizado para un sitio a sitio entre dos nodos, pero dada la mayor complejidad con fi guración, la mayoría de la gente prefiere usar la clave
compartida en lugar de SSL / TLS para ese escenario. Cuando con fi gurar una conexión OpenVPN de sitio a sitio usando SSL / TLS uno fi cortafuegos
será el servidor y los otros serán clientes. Por lo general, la ubicación principal será el lado del servidor y el control remoto o fi cinas actuarán como
clientes, aunque si una ubicación tiene una dirección IP estática y más ancho de banda que la o fi cina principal que puede ser un lugar más deseable
para el servidor. Además de las subredes en ambos extremos habrá una subred dedicada en uso para la interconexión entre redes OpenVPN. OpenVPN
Ejemplo de sitio a sitio de red SSL / TLS .
10.3.101.0/24 se utiliza como la red de túneles VPN IPv4. La forma OpenVPN asigna direcciones IP es la misma que para los clientes de acceso remoto. Cuando se
utiliza una topología estilo de subred, cada cliente obtendrá una dirección IP en una subred común. Cuando se utiliza una topología estilo de neto 30, cada cliente que
se conecta obtiene una subred / 30 para interconectar con el servidor. Ver topología para más detalles. Las siguientes secciones describen cómo con fi gurar los
lados de servidor y cliente de

Fig. 20.12: OpenVPN Ejemplo de sitio a sitio SSL Red / TLS
la conexión. Cualquier subred puede ser utilizado para este, siempre que no se superpone ninguna otra subred actualmente en uso en la red.
Para que el servidor para llegar a las redes de clientes detrás de cada conexión, dos elementos son necesario:
• UN ruta para indicar al sistema operativo que OpenVPN sabe de una red remota
• Un iroute en una anulación de c fi-cliente especifica que dice OpenVPN cómo asignar esa subred a un específico certi fi cado Más detalles sobre este
seguirá en el ejemplo.
Con fi gurar SSL / TLS lado del servidor
Antes de la VPN puede ser con fi gurado, se requiere una estructura de certi fi cado de esta VPN. Crear una entidad de certificación única para esta VPN y desde ese
servidor de CA crear un certi fi cado, y luego un usuario certi fi cado para cada sitio remoto. Para los sitios del cliente, use un CN que identi fi ca a singularmente, de
alguna manera, tal como su nombre completo cali fi cada dominio o un sitio acortada o nombre de host. Para la especificación CS de crear una CA y Certi fi cados, véase Gestión
de certi fi cado . Para este ejemplo, la entidad emisora se llamará S2SCA, el servidor de CN será servidorA, los clientes serán clienteB y clientC.
• Navegar a VPN> OpenVPN, Servidores lengüeta
• Hacer clic Añadir para crear un nuevo servidor
• Rellenar los campos como se describe a continuación, con todo lo demás a la izquierda en los valores predeterminados. Estas opciones se discuten en detalle en el capítulo anterior.
Los valores de uso apropiadas para esta red, o los valores por defecto si no está seguro.
Modo de servidor Seleccionar Peer to Peer (SSL / TLS)
Protocolo Seleccionar UDP
Modo de equipo Seleccionar tonel
Interfaz Seleccionar PÁLIDO
Puerto local Entrar 1194 a menos que exista otro servidor activo OpenVPN, en cuyo caso utilizar un puerto diferente
Descripción Introduzca texto aquí para describir la conexión
20.7. Site-to-Site Ejemplo Con fi guración (SSL / TLS) 417

autenticación TLS Marque esta casilla para hacer también la autenticación TLS, así como SSL
Peer Autoridad Certi fi cado Seleccione la CA creado en el inicio de este proceso
Peer Certi fi cado de lista de revocación Si se creó una CRL, seleccione aquí
Servidor de Certi fi cado Seleccione el certi fi cado del servidor creado en el inicio de este proceso
Red túnel IPv4 Entrar en la red de túneles elegido, 10.3.101.0/24
IPv4 Red Local Introduzca las redes LAN para todos los sitios, incluyendo el servidor: 10.3.0.0/24,
10.5.0.0/24, 10.7.0.0/24
Nota: Si hay más redes a nivel de servidor que necesitan ser alcanzado por los clientes, como las redes alcanzables a través de rutas estáticas, otras redes privadas virtuales, y
así sucesivamente, les agregue como entradas adicionales en el IPv4 Red Local caja.
Red remota IPv4 Introduzca sólo las redes cliente LAN: 10.5.0.0/24, 10.7.0.0/24
• Clic en Guardar.
• Hacer clic para editar la nueva instancia del servidor
• Encuentra el autenticación TLS caja
• Seleccionar todo el texto en el interior
• Copiar el texto en el portapapeles
• Salvar a un expediente o pegarlo en un editor de texto como el Bloc de notas temporalmente continuación, añadir una
regla fi cortafuegos de WAN que permite el acceso al servidor OpenVPN.
• Deje el Fuente ajustado a alguna desde múltiples sitios tendrán que conectarse. Alternativamente, un alias puede hacerse que contiene las direcciones IP de
cada sitio remoto si tienen direcciones estáticas.
• Entrar a Descripción, como OpenVPN Multi-Site VPN

La última pieza del rompecabezas es añadir Modificaciones de c específico de cliente para cada sitio del cliente. Estos cambios son necesarios para atar una subred de cliente a un particular, certi
fi cado para un sitio de modo que se puede encaminar correctamente.
• Navegar a VPN> OpenVPN, Modificaciones de c específico de cliente lengüeta
• Hacer clic para añadir una nueva anulación
• Rellenar los campos en esta pantalla de la siguiente manera:
Nombre común Introduzca el CN del sitio del cliente primero. En este ejemplo, que es clienteB.
Red remota IPv4 Este campo establece la necesaria iroute por lo que entrar en la subred LAN clienteB,
10.5.0.0/24
Añadir un reemplazo para el segundo sitio, el ajuste de la Nombre común y Red remota IPv4 según sea necesario. En el ejemplo para el sitio C, estos
valores serían clientC y 10.7.0.0/24 respectivamente. La siguiente tarea es exportar los certificados y claves necesarias para los clientes.
• Navegar a Sistema> Administrador de Cert
• Haga clic en los enlaces para exportar los siguientes elementos:
- CA Certi fi cado
- sitio del cliente certi fi cado (. CRT) para cada ubicación del cliente.
- clave del sitio del cliente (. llave) para cada ubicación del cliente.
Advertencia: No haga exportar la clave CA, servidor de certi fi cado, o la clave del servidor. No son necesarios en los clientes, y copiándolos innecesariamente
debilita significativamente la seguridad de la VPN.
Esto completa la configuración del servidor, al lado, ahora pasar a con fi gurar los clientes.
Con fi gurar SSL / TLS lado del cliente
En el cliente, importe el CA certi fi cado junto con el cliente certi fi cado y la clave para ese sitio. Esta es la misma cate CA y certi fi cliente realizado en el
servidor y exportados desde allí. Esto se puede hacer bajo Sistema> Cert Manager. Para especificidad cs en la importación de los certi fi cados de CA y, véase Gestión
de certi fi cado . Después de importar los certi fi cados, crear el cliente OpenVPN:
• Navegar a VPN> OpenVPN, Cliente lengüeta
• Hacer clic Añadir para crear un nuevo cliente
• Rellenar los campos de la siguiente manera, con todo lo demás a la izquierda en los valores predeterminados
Modo de servidor Seleccionar Peer to Peer (SSL / TLS)
Protocolo Seleccionar UDP
Modo de equipo Seleccionar tonel
Interfaz Seleccionar PÁLIDO
host del servidor o la dirección Introduzca la dirección IP pública o nombre de host del servidor OpenVPN aquí (por ejemplo,
198.51.100.3)
20.7. Site-to-Site Ejemplo Con fi guración (SSL / TLS) 419

Puerto de servicio Entrar 1194 o cualquier puerto se con fi gura en el servidor
Descripción Introduzca texto aquí para describir la conexión
autenticación TLS Comprobar Habilitar la autenticación de paquetes TLS, Deseleccionar generar automáticamente
una clave de autenticación TLS compartida, a continuación, pegar en la clave para la conexión TLS aquí con la tecla de copiado de la instancia del
servidor creado con anterioridad
Peer Autoridad Certi fi cado Seleccione la CA importado, en el inicio de este proceso
Cliente Certi fi cado Seleccione el certificado de cliente fi cado importado, en el inicio de este proceso
• Clic en Guardar
La con fi guración del cliente es completa. No se requieren reglas fi cortafuego en el cliente WAN debido a que el cliente sólo inicia las conexiones
salientes.
Nota: Con configuraciones de acceso remoto PKI con fi, rutas y otras opciones de con fi guración no son por lo general se define en la con fi guración del
cliente sino que se envían desde el servidor al cliente. Si hay más redes para llegar en el lado del servidor, con fi gura en el servidor para ser empujado.
Prueba de la conexión
La con fi guración se ha completado y la conexión será inmediatamente activa al guardar en el lado del cliente. Intente hacer ping a través al extremo remoto para
verificar la conectividad. Si surgen problemas, consulte Solución de problemas de OpenVPN .
Comprobación del estado de los clientes y servidores OpenVPN
La página de estado de OpenVPN en Estado> OpenVPN muestra el estado de cada servidor OpenVPN y el cliente. controles de arranque / parada de servicios también están
disponibles para cada servidor independiente y la instancia de cliente en la página de estado. Para los servidores OpenVPN en modo de servidor de SSL / TLS, el estado proporciona
una lista de clientes remotos conectados junto con sus nombres de usuario o nombres comunes certi fi cado, como se ve en la figura OpenVPN Estado para SSL / TLS del servidor
con uno conectado
Cliente . Los clientes también pueden ser desconectados de esta pantalla haciendo clic en el al final de la fila de clientes. Para éstos
servidores de una Mostrar tabla de enrutamiento También se muestra el botón. Al hacer clic en este botón se mostrará una tabla de redes y
direcciones IP conectadas a través de cada cliente certi fi cado.
Para los servidores OpenVPN en modo de clave compartida, el estado indicará si se está ejecutando y esperando en las conexiones, o si el cliente remoto se ha
conectado.

Fig. 20.13: OpenVPN Estado de servidor SSL / TLS con un cliente conectado
Para los clientes OpenVPN, el estado indica si una conexión está pendiente o activo.
Fig. 20.14: OpenVPN de estado que muestra un servidor que está arriba, uno espera de una conexión, y un cliente intenta una reconexión
Permitiendo fi c tráfico al servidor OpenVPN
Después de configurar un servidor OpenVPN, una regla de cortafuego para permitir el tráfico a c se requiere que el servidor OpenVPN.
• Hacer clic para crear una nueva regla en la parte superior de la lista
• Deje el Fuente ajustado a alguna
• Entrar a Descripción, como Permitir que el tráfico del servidor OpenVPN
Esta regla se representa en la figura Regla WAN Servidor OpenVPN .
Fig 20.15:. Regla WAN OpenVPN servidor
20.9. Permitiendo fi c tráfico al servidor OpenVPN 421

Si se conocen las direcciones de origen del cliente y no cambian, entonces la fuente de la norma podría ser modificada para limitar trá fi co sólo de aquellos clientes.
Esto es más seguro que dejar el servidor expuesto a la totalidad de Internet, pero que es necesario para acomodar a los clientes con direcciones IP dinámicas, los
clientes móviles, y así sucesivamente. El riesgo de cese de las funciones expuestas con la mayoría de configuraciones fi OpenVPN es mínimo, especialmente en los
casos en que se emplea la autenticación TLS. Con la autenticación basada certi fi cado que hay menos riesgo de compromiso que las soluciones basadas por
contraseña que son susceptibles a forzar bruta. Esto supone una falta de agujeros de seguridad en sí mismo OpenVPN, que hasta la fecha tiene un sólido historial de
seguridad.
Permitir tráfico c sobre OpenVPN Tunnels
Por defecto, todas de trá fi co está bloqueado y no podrá entrar en los túneles OpenVPN. Para permitir trá fi co de los nodos remotos OpenVPN para hacer conexiones a
los recursos en el lado local, reglas fi cortafuego bajo Firewall> Reglas, sobre el OpenVPN Se requiere pestaña.
Como con otros aspectos de la cortafuego, estas reglas sólo igualará tráfico c que entra en el sistema desde el lado remoto, no TRAF fi c dejando desde el lado del servidor, por lo que
las embarcaciones de las reglas en consecuencia. En los casos cuando se utiliza pfSense en ambos extremos y tráfico c es necesario para alcanzar entre redes locales en ambos lados,
entonces se requieren normas en ambos rewalls fi. Añadir una regla de OpenVPN que sobrepasa todo trá fi co de la siguiente manera:
• Hacer clic para crear una nueva regla en la parte superior de la lista
Para limitar el trá fi co únicamente a fuentes y destinos fi cas, ajustar la regla (s) según sea necesario. Un conjunto de reglas estrictas es más seguro, pero más difícil de crear.
clientes OpenVPN y acceso a Internet
Para los clientes de acceso remoto de OpenVPN para acceder a Internet a través de la conexión OpenVPN, salida NAT es necesario para traducir su trá fi
co a la dirección IP WAN del cortafuego. Las reglas automática de salida NAT predeterminados cubren esto, pero si Manual de salida NAT está en uso,
reglas manuales son necesarios para llevar a cabo NAT saliente en tráfico c de fuentes que incluyen la red de túneles OpenVPN o red (s) remoto.
Ver también:
NAT salientes para más detalles sobre la salida NAT.
Asignación de OpenVPN Interfaces
Con el fin de hacer NAT complejo, encaminamiento de política, o túnel-específico fi ltrado, la interfaz OpenVPN debe asignarse como una interfaz OPT y con fi gurada
en consecuencia.
Asignación de la interfaz OpenVPN permite varios cambios benéfico para el control avanzado de VPN tráfico c:
• Añade una pestaña fi cortafuegos bajo Cortafuegos> Reglas

• añade responder a la normativa de la ficha interfaz VPN para ayudar con el enrutamiento de retorno
• Agrega una entrada de puerta de enlace para el otro extremo de la VPN para la política de enrutamiento
• Permite que la interfaz para ser seleccionado en otra parte de la GUI y los paquetes
• Permite más fi el control de grano fino del puerto reenvía y salida NAT para la VPN
asignación de interfaz y con fi guración
• Seleccione la apropiada ovpns o ovpnc en la interfaz puertos de red disponibles, la descripción de la VPN se imprime para la referencia.
• Hacer clic Añadir para asignar la interfaz como una interfaz nueva OPT (por ejemplo OPT1)
Figura Asignar OpenVPN interfaz espectáculos ovpns1 asignado como OPT1.
Fig. 20.16: Asignar OpenVPN Interface
• Vaya a la página de interfaz con fi guración, Interfaces> OptX
• Introduzca una adecuada Descripción que se convertirá en el nombre de la interfaz (por ejemplo, VPNServer)
• Seleccionar ninguna para ambos Con IPv4 Tipo fi guración y para Con IPv6 Tipo fi guración
Nota: Esto no lo hará con fi gura ninguna información de la dirección IP en la interfaz, que es necesaria, ya que OpenVPN en sí debe con fi gurar estos
ajustes.
Esto no cambia la funcionalidad de OpenVPN, hace que la interfaz disponible para la regla fi cortafuegos, NAT y propósitos de puerta de enlace, entre otros usos.
Después de asignar la interfaz de OpenVPN, edite el servidor OpenVPN o cliente y haga clic Salvar una vez allí también para reinicializar la VPN. Esto es
necesario para la VPN para recuperarse del proceso de asignación.
Filtrado con OpenVPN
Cuando se asigna la interfaz OpenVPN, una pestaña está presente bajo Cortafuegos> Reglas dedicado sólo a este único VPN. Estas normas regulan
trá fi co desde la parte remota de la VPN y de que lleguen al PF responder a palabra clave
20.12. Asignación de OpenVPN Interfaces 423

que asegura tráfico c entrar en esta interfaz de VPN será salir de nuevo por la misma interfaz. Esto puede ayudar con algunos escenarios más avanzados de NAT y
con fi guración.
Nota: Reglas añadidas aquí se procesan después las reglas de la ficha de OpenVPN, que se comprueban primero. Con el fin de que coincida con las normas sobre una pestaña VPN
asignado, el trá fi co No debe coincidir ninguna norma sobre la pestaña OpenVPN. Eliminar cualquier “Permitir Todos” reglas de estilo de la pestaña OpenVPN y artesanía más reglas especí
fi cos en su lugar.
Ver también:
Para obtener más información sobre las reglas cortafuego, consulte firewall .
Política de Enrutamiento con OpenVPN
Cuando se asigna y activar la interfaz de OpenVPN, se añade una entrada de puerta de enlace automática en virtud Sistema> Routing,
sobre el gateways lengüeta. Con esto, tráfico c puede ser dirigida en la VPN usando el Puerta campo en LAN u otras normas fi cortafuego interfaz interna.
Cuando se utiliza con una VPN para llegar a los sitios de Internet, se puede requerir más con fi guración. Cualquiera de NAT saliente debe ser realizada en la
interfaz de VPN antes de que salga (para servicios VPN como PIA, StrongVPN y similar) o la NAT se debe hacer en el otro lado antes de que alcance la
conexión real de Internet.
Ver también:
Ver la política de enrutamiento para más información sobre la política de enrutamiento.
Advertencia: No utilice esta puerta automática para las rutas estáticas. Utilizar el Red remota campo en la VPN con fi guración. De fi nir una ruta estática por
medio de la puerta de entrada automática OpenVPN no funcionará correctamente.
NAT con OpenVPN
Cuando se asigna la interfaz OpenVPN reglas NAT también se pueden aplicar los mismos que con cualquier otra interfaz. Esto es útil cuando la conexión de
dos conflictivas subredes o para la fabricación NAT reglas específica a este una conexión VPN (saliente NAT, hacia delante de puerto, o 1: 1 NAT)
NAT con conexiones OpenVPN
Para muchos escenarios NAT avanzados utilizando OpenVPN, la asignación de la interfaz se requiere como cubiertos en Asignación de OpenVPN Interfaces
Un uso común de NAT con OpenVPN es enmascarar conflictivas subredes LAN entre dos ubicaciones. Si dos obras Net- están usando exactamente la
misma subred o subredes superpuestas, como su LAN u otra red interna no pueden comunicarse a través de un sitio a sitio VPN sin NAT. Por ejemplo, si 10.3.0.0/24
es la LAN a ambos lados de una VPN a continuación, acoge en una 10.3.0.0/24 subred nunca alcanzará el otro extremo de la VPN para comunicarse con
el control remoto 10.3.0.0/24 subred. Los clientes siempre tratará a esa red como locales, tratando de llegar a los otros sistemas a través de ARP. Con
NAT, sin embargo, el lado remoto puede hacerse funcionar como si se utiliza una subred diferente.
Nota: Utilizando NAT funciona para muchos protocolos pero algunos que son comúnmente deseable a través de conexiones VPN, principalmente SMB / CIFS fi l de
intercambio entre los hosts de Windows, no va a funcionar en combinación con NAT. Si se utiliza un protocolo que no es capaz de funcionar con NAT, esta no es
una solución viable.

Figura Un sitio a otro con conflictivas subredes muestra un ejemplo donde ambos extremos están utilizando la misma subred. Después de la asignación de una la interfaz
OpenVPN a una interfaz OPT en ambos lados, como se describe en asignación de interfaz y con fi guración ,
1: 1 NAT se puede aplicar.
Fig. 20.17: un sitio a otro con conflictivas subredes
El tráfico c desde el sitio A será traducido a 172.16.1.0/24, y el sitio B será traducido a 172.17.1.0/24. se añade 1 entrada NAT en cada extremo para
traducir toda la gama / 24: A 1. Para llegar a sitio desde el sitio B, se utilizarán direcciones IP 172.16.1.x. El último octeto de la IP 10.3.0.x será
traducido al último octeto de la 172.16.1.x traducida IP. Alcanzar
10.3.0.10 en el Sitio A partir del sitio B, utilice 172.16.1.10 lugar. Para llegar a 10.3.0.50 en el sitio B de sitio, utilice 172.17.1.50. Figura El sitio B 1: 1 NAT con fi
guración mostrar al 1: 1 NAT con fi guración para cada lado, donde el tonel interfaz se asigna como OPT1.
En el OpenVPN con fi guración en ambos lados, la red remota debe ser especi fi como el traducido subred IP, no como 10.3.0.0/24. En este
ejemplo, la Red remota en el Sitio A es 172.17.1.0/24, y 172.16.1.0/24 en el sitio
SEGUNDO.
Después de aplicar los cambios con fi guración de NAT y con fi gurar la red remota en consecuencia en ambos lados, las redes serán capaces de
comunicarse utilizando las subredes traducidos.
OpenVPN y Multi-WAN
OpenVPN es multi-WAN capaz, con algunas advertencias en ciertas circunstancias. Esta sección cubre consideraciones-WAN múltiples con el servidor y el
cliente con fi guración de OpenVPN.
OpenVPN asignado a un grupo de puerta de enlace
Un Grupo Gateway ( Grupos de puerta de enlace ) Puede ser seleccionado como el Interfaz para una instancia OpenVPN. Tal grupo puerta de enlace debe ser con fi gurada para
conmutación por error solamente, no equilibrio de carga. grupos de conmutación por error sólo tienen una puerta de enlace por nivel. Al crear el grupo de puerta de enlace, un VIP también
puede elegirse para su uso con una puerta de enlace específica. Cuando se selecciona para un servidor VPN, la interfaz o VIP de la pasarela de nivel 1 en el grupo serán utilizados primero.
Si esa puerta de enlace se cae, se moverá a nivel
2, y así sucesivamente. Si la puerta de enlace de nivel 1 vuelve a subir, la VPN se reanudará una operación con este WAN inmediatamente. Cuando se usa para un servidor VPN,
esto significa que el servidor sólo está activa en una red WAN a la vez. Algunos de los otros métodos descritos a continuación puede ser mejor para circunstancias más comunes,
tales como la necesidad de ambos WANs utilizables simultáneamente con
20.14. OpenVPN y Multi-WAN 425

Fig 20.18:. Sitio 1: 1 NAT Con fi guración
Fig. 20.19: Sitio B 1: 1 NAT Con fi guración

la VPN. Cuando se utiliza con clientes OpenVPN, la interfaz de salida se desconecta de acuerdo con los niveles del grupo de puerta de enlace.
servidores OpenVPN y multi-WAN
servidores OpenVPN se pueden utilizar con cualquier conexión WAN, aunque los medios para hacerlo variarán dependiendo de la especi fi cs de una con fi guración
dada.
servidor OpenVPN utilizando TCP
TCP no es el protocolo preferido para OpenVPN. Sin embargo, el uso de TCP puede realizar múltiples WAN OpenVPN más fácil para con fi gura cuando la VPN está
utilizando una configuración de la interfaz de alguna. servidores OpenVPN utilizando TCP funcionarán correctamente en todas las WAN donde las reglas fi cortafuego permiten
el trá fi co al servidor OpenVPN. Se requiere una regla de cortafuego para cada interfaz WAN. Este método debe considerarse como un último recurso, y sólo se utiliza si los
otros métodos no son viables.
Nota: Esto funciona debido a la naturaleza orientada a la conexión de TCP. El OpenVPN puede responder de nuevo al otro extremo con la fuente adecuada
conservado, ya que es parte de una conexión abierta.
servidor OpenVPN usando UDP
servidores OpenVPN con UDP también son multi-WAN capaz, pero con algunas advertencias que no son aplicables con TCP. Estas limitaciones son OpenVPN debido
a la naturaleza sin conexión de UDP. La instancia OpenVPN responde de vuelta al cliente, pero el sistema operativo selecciona la dirección de la ruta y la fuente sobre
la base de lo que cree la tabla de enrutamiento es el mejor camino para llegar al otro lado. Para las WAN no predeterminados, que no va a ser el camino correcto.
Método varios servidores
En algunos casos, cada WAN debe tener su propio servidor OpenVPN. Las mismas certi fi cados pueden ser para todos los servidores. Sólo dos partes de la OpenVPN
con fi guración deben cambiar:
Red túnel Cada servidor debe tener un único Red túnel que no se solapa con ninguna otra
red de túneles o subred interna.
Interfaz Cada servidor OpenVPN debe especificar una WAN diferente Interfaz.
método forward puerto
Una opción más fácil y más flexible fl es unir el servidor OpenVPN para la LAN interfaz o localhost y el uso de un puerto WAN hacia adelante desde cada uno para dirigir el
puerto OpenVPN para el servicio. Usando este método, la respuesta a la funcionalidad en pf se asegurará de que el retorno de trá fi co fluye de vuelta a la fuente apropiada
a través de la interfaz prevista. Este método requiere una cierta intervención manual menor cuando se utiliza con el paquete de exportación cliente. los Sede de resolución
de nombres opción debe establecerse en uno de los métodos remitir el puerto automático de otro modo por defecto la configuración de exportación dejaría de intentar
conectarse a la dirección equivocada. Ver Exportar paquete de cliente OpenVPN para detalles
Conmutación por error automática para clientes
Múltiples servidores remotos pueden ser con fi gurada en los clientes OpenVPN. Si el servidor de primera no puede ser alcanzado, se utilizará el segundo. Esto puede ser usado
en combinación con una implementación de servidor multi-WAN OpenVPN para proporcionar automática
20.14. OpenVPN y Multi-WAN 427

conmutación por error para los clientes. Si los servidores OpenVPN se están ejecutando en direcciones IP 198.51.100.3 y 203.0.113.5, tanto a través del puerto 1194, la remoto líneas
en el cliente con fi guración fi l serán los siguientes:
remoto 198.51.100.3 1194 udp remoto 203.0.113.5

1194 udp
Para los clientes con fi gura en pfSense, los primeros remoto está con fi gurado por el Host o dirección del servidor * campo en la GUI. El segundo '' a distancia '' es
especificados en la ** avanzada campo. Este método tiene tres comportamientos notables que algunos pueden hallar indeseable:
• Se tomará por lo menos 60 segundos para detectar un fallo y cambiar al siguiente servidor.
• Cualquier fallo en la conexión hará que se intente el segundo servidor, incluso si no es un fallo de la WAN.
• Va a no “Fail-back”. Una vez que un cliente se conecta a la segunda dirección IP del servidor se quedará allí hasta que se desconecte.
Los clientes OpenVPN y multi-WAN
Para utilizar una interfaz WAN OPT, seleccionarlo como Interfaz. clientes OpenVPN con fi gura en el cortafuego respetarán los elegidos Interfaz y una ruta estática se
añade automáticamente entre bastidores para garantizar trá fi co toma el camino correcto. Si la interfaz está ajustado en su lugar alguna, el cliente deberá seguir la
tabla de enrutamiento del sistema al realizar la conexión con el servidor OpenVPN. En este caso se requiere una ruta estática manual para dirigir tráfico c al punto
extremo remoto a través de la WAN deseado.
OpenVPN de sitio a sitio con Multi-WAN y OSPF
Fig. 20.20: Ejemplo de configuración OpenVPN La participación de OSPF Across WANs Múltiples
Basándose en los conceptos de anteriormente en el capítulo, es posible con fi gura una VPN redundante utilizando un protocolo de enrutamiento dinámico, como OSPF como se ve en
la figura Ejemplo de configuración OpenVPN La participación de OSPF Across WANs Múltiples .
En primer lugar, la instalación llave compartida De sitio a sitio casos OpenVPN en cada una WAN para los sitios remotos. No llenar en el Las redes remotas campos a ambos
lados, sólo se Red túnel direcciones.
• Configuración de dos servidores en el lado local, cada uno en un puerto diferente. Use dos redes de túneles distintos, que no se superponen (por ejemplo, 172.31.55.0/30
y 172.31.56.0/30)
• Configuración de dos clientes en el cortafuego a distancia, cada uno emparejado con uno de los servidores anteriores, haciendo coincidir las direcciones IP y números de puerto en
cuestión.
• Asegúrese de que los clientes se fijan por su especificidad c WAN, elija la interfaz en el menú desplegable, o un VIP CARP que se encuentra en una de las redes
WAN que se utilice.

• Asegurar que estos OpenVPN conexiones de enlace entre el cliente y el servidor. La dirección de túnel en ambos lados será re-ponden a un ping cuando están
trabajando correctamente. Si los túneles no establecen, véase Solución de problemas de OpenVPN
para obtener sugerencias sobre solución de problemas de la conexión.
• Asegúrese de que las reglas fi cortafuego OpenVPN permiten todo tráfico c o al menos permiten OSPF tráfico c de una fuente de las redes de túneles a un destino de
cualquier. El destino en el trá fi co será una dirección de multidifusión, el cual puede ser usado para filtro específicamente si es necesario, pero no hay mucho que se pueden
obtener en el camino de la seguridad si la fuente está bloqueado por la normativa como el trá fi co no puede salir de ese segmento. Una vez que ambos casos están
conectados, con fi gura OSPF.
• Instalar el paquete de Quagga_OSPF Sistema> Paquetes, paquetes disponibles lengüeta en ambos rewalls fi.
• Navegar a Servicios> Quagga ospfd, ficha Interfaces
• Añadir cada interfaz OpenVPN
- Fija el coste de 10 en el enlace primario y 20 en el secundario, y así sucesivamente
- Añadir la LAN y otras interfaces internas como pasivo las interfaces
• Navegue hasta la Ajustes globales lengüeta
• Introducir una contraseña maestra. No importa lo que está establecido en, se utiliza internamente para acceder al daemon de estado.
• Establecer el ID del router a un valor de dirección IP similar, (por ejemplo, 10.3.0.1.) El Router ID es único en cada dispositivo, por lo que el establecimiento a la dirección
IP de la LAN de un router es una buena práctica.
• Poner la identificación de la zona que es también un valor de dirección IP similar. El ID de la zona se fija típicamente a 0.0.0.0 o 0.0.0.1,
pero cualquier valor con el formato adecuado puede ser utilizado. El identificador de la zona es la mismo para todas routers involucrados en esta VPN
Una vez OSPF ha sido con fi gurado en todos los routers, van a tratar de formar una relación de vecino. Después de OSPF se ha configurado en ambos extremos de la Estado pestaña
mostrará una interconexión completa con cada instancia en cada wan si bien conectados, y se enumerarán las rutas obtenidas a través de OSPF. Una vez que esto sucede,
intente desconectar / volver a enchufar WAN y refrescar el estado durante la ejecución de algunos de trá fi co de prueba a través de la VPN, como una mesa de ping ICMP.
OpenVPN y la carpa
OpenVPN funciona bien con alta disponibilidad por CARP. Para proporcionar una solución OpenVPN alta disponibilidad con la carpa, con fi gura el servidor o
cliente OpenVPN para usar el VIP de la carpa con el Interfaz de opciones y con fi gurar los clientes se conecten a que el VIP CARP.
Cuando se activan los ajustes de sincronización XMLRPC con fi guración, las instancias de OpenVPN se nocer automáticamente sincronizada. El estado de conexión no se
conserva entre los hosts para que los clientes deben volver a conectar después de que ocurra la conmutación por error, pero OpenVPN detectarán la falla de conexión y
vuelva a conectar dentro de un minuto o menos, de conmutación por error. Alta disponibilidad y la carpa se discuten en el Alta disponibilidad . Cuando un VIP CARP se
selecciona como la Interfaz para una instancia OpenVPN el cortafuego se apagará automáticamente instancias de cliente OpenVPN según sea necesario cuando un nodo
CARP está en un estado BACKUP. Esto evita que OpenVPN frommaking conexiones salientes innecesarios en modo cliente. Cuando las transiciones de estado VIP carpa
de dominar, los casos de OpenVPN se inician automáticamente.
Conexiones en puente de OpenVPN
Las fi guraciones OpenVPN discutidos a este punto han sido dirigidas, utilizando tonel interfaces. Este es el método preferible, pero OpenVPN también
ofrece la opción de usar grifo interfaces y clientes de puente directamente sobre la LAN o
20.15. OpenVPN y la carpa 429

otra red interna. Esto puede hacer que los clientes remotos parecen estar en la LAN local.
Configuración del servidor OpenVPN
La mayor parte de la configuración de una VPN de acceso remoto puente son los mismos que anteriormente para una VPN de acceso remoto tradicional. Sólo se observaron aquí las
diferencias.
Modo de equipo Para crear una conexión en puente, esto se debe establecer en grifo.
Red túnel Quitar valores de las cajas de IPv4 red de túneles y red de túneles IPv6 para que
están vacías. La forma en que una grifo OpenVPN funciones de puente que no necesita una red de túneles como OpenVPN no utiliza la misma
asignación de dirección que lo hace para tonel modo.
DHCP puente Cuando se selecciona, DHCP se pasó a través de a la Bridged fi interfaz con gurado más tarde.
En el escenario más común, esto es LAN. El uso de este método de conexión de clientes recibirían direcciones IP desde el mismo conjunto
DHCP utilizado por clientes de LAN cableadas directamente.
Puente Interfaz Esta configuración no crea el puente, sólo se indica a qué interfaz OpenVPN
serán utilizados para el puente. En la mayoría de los casos, esto es LAN. Esto controla qué dirección IP existente y la máscara de subred son utilizados
por OpenVPN para el puente. Al establecer este a ninguna hará que el Puente DHCP Servidor ajustes siguientes para ser ignorados.
Puente servidor DHCP de inicio / fin Cuando usas grifo el modo como un servidor de múltiples puntos, un rango DHCP puede ser
con fi gurado para usar en la interfaz a la que esta grifo instancia está puenteado. Si estos valores se dejan en blanco, DHCP será pasada a
través de la interfaz de puente, y se ignorará la interfaz de configuración de arriba. Esto permite un rango de direcciones IP para ser
reservado para uso exclusivo de los clientes OpenVPN para que puedan estar contenidos dentro de una parte de la red interna en lugar de
consumir direcciones IP del conjunto DHCP existente. Introducir el Servidor DHCP Puente de inicio y Servidor DHCP Puente Fin valores de
dirección IP, según sea necesario.
Creación de la Puente
Una vez que el OpenVPN grifo servidor ha sido creada, la interfaz de OpenVPN debe ser asignado y un puente a la interfaz interna.
Asignar interfaz OpenVPN
Con el fin de incluir la interfaz VPN en un puente, se debe asignar. El procedimiento para la asignación de una interfaz está cubierto al principio de este capítulo,
en el Asignación de OpenVPN Interfaces .
crear Puente
Una vez que se ha asignado la interfaz VPN, crear el puente de la siguiente manera:
• Navegar a Interfaces> (asignar), Puentes lengüeta
• Hacer clic Añadir para crear un puente
• Ctrl clic tanto la interfaz de VPN y la interfaz a la que será puenteado (por ejemplo, LAN)
Más información sobre puente se puede encontrar en Bridging .

Conectar con los clientes
Clientes que se conectan a la red VPN también hay que definir de usar grifo modo. Una vez que se ha establecido, conectar con un cliente como una exportados
utilizando el paquete OpenVPN cliente de exportación. Los clientes reciben una dirección IP dentro de la subred interna como si fueran de la LAN. También
recibirán broadcast y multicast trá fi co.
Las opciones de personalización con fi guración
OpenVPN ofrece docenas de opciones de con fi guración, muchos más allá de los campos más comúnmente utilizados se presentan en la interfaz gráfica de usuario. Esta es la razón por la con
fi guración avanzada existe caja. opciones con fi guración adicionales pueden ser con fi gurado el uso de esta área de entrada, separados por punto y coma.
Esta sección cubre las opciones de personalización más frecuentemente utilizados de forma individual. Hay muchos más, aunque rara vez es necesaria. los página del manual de OpenVPN a
todos los detalles.
Advertencia: Ejercer cuidado al añadir opciones de personalización, no hay validación de entrada aplicado para asegurar la validez de las opciones utilizadas. Si una opción se
utiliza de forma incorrecta, el cliente o el servidor OpenVPN no se inicien. Ver los registros de OpenVPN bajo Estado> registros del Sistema sobre el OpenVPN pestaña para
asegurar las opciones utilizadas son válidas. Cualquiera de las opciones no válidas se traducirá en un mensaje de registro, seguido por la opción que provocó el error:
Opciones de error: opción no reconocida o parámetro que falta (s)
opciones de ruta
Para añadir rutas adicionales para un cliente OpenVPN en particular o servidor, utilice el Red local y Red remota
cajas, según sea necesario, utilizando una lista de redes comas separan. los ruta opción con fi guración personalizada también puede ser utilizado, pero ya no es necesario.
Algunos usuarios prefieren este método, sin embargo. En el siguiente ejemplo se agrega una ruta para 10.50.0.0/24:
ruta 255.255.255.0 10.50.0.0;
Para añadir varias rutas, sepárelas con un punto y coma:
ruta 255.255.255.0 10.50.0.0; ruta 10.254.0.0

255.255.255.0;
los ruta opción con fi guración se utiliza para añadir rutas a nivel local para las redes que son accesibles a través de la VPN. Para un servidor OpenVPN guración fi
usando PKI, rutas adicionales también pueden ser empujados a los clientes. La interfaz gráfica de usuario puede con fi gurar por ellas utilizando Red local campo. Para
empujar las rutas manualmente 10.50.0.0/24 y 10.254.0.0/24 a todos los clientes, utilice la siguiente opción personalizada con fi guración:
empujar "Ruta 10.50.0.0 255.255.255.0"; empujar "ruta 10.254.0.0

255.255.255.0";
Redireccionamiento de la puerta de enlace predeterminada
OpenVPN también permite la entrada de defecto a ser redirigido a través de la VPN, por lo que todo no local tráfico c desde el cliente se envía a través de la VPN. Esto es ideal para
las redes locales no son de confianza, tales como puntos de acceso inalámbricos, ya que proporciona protección frente a numerosos ataques que son un riesgo en redes no
confiables. Esto es con fi gurable en la GUI ahora, el uso de la redirigir puerta de enlace casilla de verificación en la instancia OpenVPN con fi guración. Para hacer esto manualmente,
añada la opción personalizada siguiente:
20.17. Las opciones de personalización con fi guración 431

empujar "redirigir-gateway DEF1"
El mismo valor se puede utilizar como una opción personalizada en el lado del cliente mediante la introducción de redirigir gateway-DEF1 sin especificar empujar . ( Nota
La opción es las letras “def”, seguido por el dígito uno, no la letra “L”).
Compartir un puerto con OpenVPN y un servidor Web
Para ser más astuto o cuidado con un servidor OpenVPN, aprovechar la puerto compartido la capacidad de OpenVPN que le permite pasar a cualquier
no-OpenVPN trá fi co a otra dirección IP detrás del cortafuego. El caso de uso habitual para esto sería para ejecutar el servidor OpenVPN en el puerto TCP / 443,
mientras que dejar OpenVPN mano del HTTPS trá fi co a un servidor web en lugar de un puerto hacia adelante.
A menudo en las redes bloqueado, sólo los puertos 80 y 443, como se les permite salir por razones de seguridad y que ejecuten instancias Open- VPN en estos puertos permitidos
puede ayudar a los usuarios a obtener en situaciones donde el acceso puede estar restringido de otro modo. Para hacer esto, con fi gurar un servidor OpenVPN para escuchar en
el puerto TCP 443 y añadir una regla fi cortafuegos para pasar trá fi co a la dirección IP WAN o VIP utilizado para OpenVPN en el puerto 443. Sin puerto adicional hacia delante o
reglas de cortafuego son necesarias para pasar el trá fi co a la IP interna.
En las opciones de personalización de la instancia OpenVPN, añada lo siguiente:
puerto compartido xxxx 443
Dónde xxxx es la dirección IP interna del servidor web a la que desea reenviar el tráfico no VPN c. Ahora bien, si un cliente OpenVPN se apunta a
la dirección pública, se conectará y trabajar definir, y si un navegador web está apuntando a la misma dirección IP, que se conectará al servidor
web.
Nota: Esto requiere el uso de TCP, y puede resultar en la reducción de rendimiento de VPN.
Controlar parámetros de cliente a través de RADIUS
Cuando se utiliza como una fuente de RADIUS para la autenticación de una VPN, pfSense es compatible con la recepción de algunos parámetros con fi guración cliente desde el servidor
RADIUS como atributos de respuesta. Los siguientes valores pueden ser especificados fi:
Cisco-avpair inacl = reglas fi cortafuego entrantes para gobernar trá fi co desde el cliente al servidor. Dada en
formato de LCA de estilo de Cisco (por ejemplo, permitir tcp de cualquier a cualquier) máscaras de subred son especí fi ed estilo comodín.
Cisco-avpair outacl = reglas fi cortafuego salientes para gobernar trá fi co desde el servidor al cliente. Con formato
el mismo que el inacl parámetro.
Cisco-avpair dns-servidores = Los servidores DNS para empujar al cliente. Múltiples servidores pueden ser especificados fi, sepa-
calificado por espacios.
ruta Cisco-avpair = las instrucciones de ruta adicionales para empujar al cliente. Speci fi ed como xxxx
aaaa donde el parámetro primera es una dirección de red y la segunda es una máscara de subred.
Enmarcado-IP-Address = La dirección IP para asignar al cliente. Cuando se utiliza una subred estilo topología el
servidor RADIUS también debe enviar de vuelta una máscara Enmarcado configurar apropiadamente para el Red túnel de la VPN. Cuando se
utiliza una neto 30 estilo topología, el cliente recibe esta dirección IP y el servidor se establece como una dirección IP más baja que la dirección que
se indica al cliente.

Solución de problemas de OpenVPN
Si se encuentran problemas al intentar utilizar OpenVPN, consulte esta sección para obtener información sobre la solución de problemas comunes.
Compruebe OpenVPN Estado
El primer lugar para buscar es Estado> OpenVPN. El estado de conexión para cada VPN se muestra allí. Si una VPN está conectado, a la espera, volver a
conectar, etc, que se indicaría en esa pantalla. Para más información, ver Comprobación del estado de los clientes y servidores OpenVPN .
Compruebe Registro del firewall
Si una conexión VPN no establece o no establecer, pero no pasa de trá fi co, compruebe los registros fi cortafuego bajo Estado
> Registros del sistema sobre el firewall lengüeta. Si tráfico c para el propio túnel está siendo bloqueado, tal como tráfico c a la dirección WAN IP en el puerto 1194, y luego
ajustar las reglas fi cortafuego WAN en consecuencia. Si trá fi co es bloqueado en la interfaz de OpenVPN, añadir reglas a la OpenVPN pestaña para permitir tráfico c allí.
Algunos anfitriones de trabajo, pero no todos
Si trá fi co entre algunos hosts más de las funciones de VPN correctamente, pero algunos hosts no lo hacen, esto es comúnmente una de cuatro cosas.
Falta, puerta de enlace predeterminada incorrecta o ignorado Si el dispositivo no tiene una puerta de enlace predeterminada, o tiene uno
apuntando a algo distinto de pfSense, que no sabe cómo obtener correctamente de nuevo a la red remota en la VPN. Algunos dispositivos,
incluso con una puerta de enlace predeterminada se especi fi ca, no utilizan esa puerta de enlace. Esto se ha visto en varios dispositivos
integrados, incluyendo cámaras IP y algunas impresoras. No hay nada que pueda hacer al respecto que, aparte de conseguir el software en el
dispositivo fijo fi. Esto puede ser fi veri mediante la ejecución de una captura de paquetes en la interfaz en el interior del cortafuego conectado a
la red que contiene el dispositivo. Solución de problemas con tcpdump está cubierto de Usando tcpdump desde la línea de comandos . Si se
observa un trá fi co de salir de la interfaz interna en el cortafuego, pero no hay respuestas a volver, el dispositivo no está encaminando
correctamente su respuesta trá fi co o potencialmente bloqueándola mediante cortafuego local en el dispositivo.
máscara de subred incorrecta Si la subred en uso en un extremo se encuentra 10.0.0.0/24 y el otro es

10.254.0.0/24, y un anfitrión tiene una máscara de subred incorrecta de 255.0.0.0 o / 8, que nunca será capaz de comunicarse a
través de la VPN, ya que piensa la subred VPN remoto es parte de la red local y por lo tanto el enrutamiento no funcionará
correctamente.
Anfitrión fi cortafuegos Si hay un cortafuego en la máquina destino, puede que no sea lo que permite las conexiones.
Las reglas de firewall en pfSense Asegúrese de que las normas en ambos extremos permiten la red deseada tráfico c.
Compruebe los registros de OpenVPN
Vaya a Estado> SystemLogs y haga clic en el OpenVPN pestaña para ver los registros OpenVPN. Al conectar, OpenVPN registrará mensajes similares
al siguiente ejemplo:
openvpn [32194]: UDPv4 enlace remoto: 1.2.3.4:1194

openvpn [32194]: Conexión Peer Iniciada con 192.168.110.2:1194 openvpn [32194]: Secuencia de inicialización se ha
completado
20.20. Solución de problemas de OpenVPN 433

Nota: El número que sigue openvpn será diferente, es el ID de proceso del proceso OpenVPN haciendo que el ción conexiones.
Si el enlace remoto y Conexión entre pares inicializado los mensajes no se muestran cuando se intenta conectar, la causa es probable que sea incorrecto con fi guración del
cliente, por lo que el cliente no está intentando conectarse al servidor correcto, o las reglas fi cortafuego incorrectas que bloquean la conexión del cliente.
Asegúrese de que no se solapan conexiones IPsec
Debido a los lazos manera IPsec en el kernel de FreeBSD, cualquier acceso a una conexión IPsec coincidir las subredes locales y remotas que existe cuando
IPsec está habilitado (incluso si no es hacia arriba) hará que trá fi co a no ser enrutado a través de la conexión OpenVPN. Cualquier conexión IPsec
especificando las mismas redes locales y remotas, deben desactivarse. Si un túnel IPsec Recientemente se ha desactivado o eliminado, comprobar que sus
entradas SPD se han eliminado examinado
Estado> IPsec sobre el SPD lengüeta. Si están presentes, sacarlos de esa pantalla.
Compruebe la tabla de enrutamiento del sistema
Vaya a Diagnóstico> Rutas y revisar las rutas conocidas por el cortafuego. Para VPNs de sitio a sitio, rutas estarán presentes para la red remota
(s) a la apropiada tonel o grifo interfaz. Si las rutas no están presentes o incorrecta, el
Red local, Red remota, o las opciones de personalización no son con fi gurado correctamente. Si una configuración de clave compartida está en uso y no PKI, asegúrese de que no se están
utilizando los comandos de “empuje”.
Prueba desde diferentes puntos de vista
Si la conexión parece ser de acuerdo a los registros, pero no funciona de la LAN, probarlo desde el fi cortafuegos en sí. Estas pruebas se pueden realizar fácilmente
usando el Diagnóstico> Ping página en el cortafuego. Primera prueba utilizando la interfaz en el interior se utiliza para las conexiones OpenVPN TRAF interna fi c
(típicamente LAN) como la fuente de ping. Si eso no funciona, intente de nuevo utilizando el defecto dirección de origen de manera que el cortafuego será la fuente de
la ping desde la propia interfaz OpenVPN. Si el defecto de ping funciona, pero el ping red interna no es así, comprobar las reglas fi cortafuego y rutas en el lado
opuesto.
Trazar el tráfico c con capturas de paquetes
El uso de paquete de captura para determinar donde el tráfico c es o no es plana debido es una de las técnicas de resolución de problemas más votos. Comience
con la interfaz interna (comúnmente LAN) en el lado donde se inició el tráfico c, el progreso de la tonel interfaz en que fi cortafuegos, entonces la tonel interfaz en
el cortafuego remoto, y finalmente la interfaz en el interior en el cortafuego remoto. Determinar donde se ve el trá fi co y en el que no se puede ayudar mucho en
la reducción a donde se encuentra el problema. captura de paquetes se trata en detalle en La captura de paquetes .
Rutas no empujar a un cliente
Al intentar utilizar el Red local ajuste o una empujar declaración para empujar rutas a un cliente, y el cliente no está recibiendo de manera adecuada, un par de
cosas podrían estar ocurriendo:
• Compruebe que la configuración del servidor SSL / TLS se utiliza con una Red túnel más grande que un / 30. los servidor el modo en OpenVPN sólo tiene efecto cuando se
utiliza una subred suficientemente grande como para contener múltiples clientes, como a / 24.
• Si el cliente se ejecuta en Windows 10 o similares, intente ejecutar el cliente como Administrador. Algunas versiones del cliente OpenVPN requieren modo de
administrador para aplicar rutas de la tabla de enrutamiento PC cliente.

• Cuando se utiliza una configuración de clave compartida, empujando rutas no funcionarán. Utilizar el Red remota o cajas ruta
declaraciones sobre cada lado (cliente y servidor) para dirigir tráfico c para subredes en el otro extremo del túnel.
Por qué no puedo hacer ping a algunas direcciones del adaptador OpenVPN?
En SSL / TLS modo de servidor utilizando una neto 30 estilo topología, OpenVPN no responderá a un ping en ciertas direcciones virtuales utilizados únicamente para los puntos
finales de enrutamiento. No confíe en ping a las direcciones de punto final OpenVPN como un medio para determinar si el túnel está pasando trá fi co correctamente. En cambio,
mesa de ping algo en la subred remota, como la dirección IP de LAN del servidor.
Nota: Esto no es relevante cuando se utiliza una subred estilo topología
De acuerdo con la 'OpenVPN FAQ'_, en la sección titulada ¿Por qué la opción “ifcon fi g-pool” de OpenVPN utilizar un / 30 de subred (4 direcciones IP privadas por
cliente) cuando se utiliza en modo TUN ?:
Como 192.168.1.5 es sólo una dirección IP virtual dentro del servidor OpenVPN, que se utiliza como criterio de valoración para las rutas, OpenVPN no se molesta en
responder a los pings en esta dirección, mientras que el 192.168.1.1 es una dirección IP real en los servidores de O / S , por lo que responderá a los pings.
Esto puede parecer un poco contrario a la intuición, ya que en el servidor de la ifconfig La salida se asemeja a:
tun0: flags = 8051 <UP, pointopoint, Correr, Multicast> métrica 0 MTU 1500
inet6 fe80 :: 202: b3ff: fe03: 8028% tun0 prefixlen 64 ScopeID 0xc inet 192.168.100.1 -> máscara de red
192.168.100.2 0xffffffff, inaugurado por el PID 27841
Mientras que el cliente muestra:
tun0: flags = 8051 <UP, pointopoint, Correr, Multicast> métrica 0 MTU 1500
inet6 fe80 :: 202: b3ff: FE24: 978c% tun0 prefixlen 64 ScopeID 0xa inet 192.168.100.6 -> máscara de red
192.168.100.5 0xffffffff, inaugurado por el PID 1949
En este caso, 0.5 o 0.1. probablemente no responderá a silbido. La dirección 0.5 no responde porque es una dirección virtual, y 0.1 porque no hay una ruta para
llegar a él directamente. Los .5 y .6 direcciones son parte de un / 30 que va desde .4 a .7 y tratando de 0,1 de ping irían a cabo la ruta predeterminada en su
lugar.
Hay muchos casos en los que el otro extremo de un túnel OpenVPN responderá a un ping, pero no el local. Esto también es contrario a la intuición, pero funciona
especialmente en casos en los que un enlace de sitio a sitio está presente. Si el servidor muestra sus direcciones como tun xxx1 -> xxx2 y el cliente muestra la
inversa - xxx2 -> xxx1, a continuación, el extremo responda a un ping desde ambos extremos.
No puede enrutar a los clientes en una / TLS túnel SSL de sitio a sitio
Si se utiliza un túnel de sitio a sitio con SSL / TLS y todas las rutas parece correcta, pero trá fi co todavía no puede fluir correctamente, compruebe el tamaño de la red de
túneles. Si se trata de una configuración de sitio a sitio entre sólo dos lugares, la red de túneles debe ser un / 30
por lo que no requiere iroute declaraciones para llegar a las redes de clientes. Véase la nota al IPv4 / IPv6 Network Tunnel
para más información. Al conectar varios sitios a una única instancia de servidor, compruebe la configuración contra Site-to-Site Ejemplo Con fi guración (SSL /
TLS) , Especialmente las sustituciones cliente especí fi cas y iroutes.
entrada de cliente especí fi co de anulación iroute parece tener ningún efecto
Cuando con fi gurar un sitio de sitio a la configuración de OpenVPN PKI, una iroute declaración debe ser con fi gurado mediante el Red remota campos de la Modificaciones
de c específico de cliente entrada fijado para el nombre común del cliente certi fi cado.
20.20. Solución de problemas de OpenVPN 435

En primer lugar, asegurarse de que la nombre común coincide con el certi fi cado y que la ruta interna se está aprendiendo / agregado, ya que se esperaba. El nivel de detalle de registro en
OpenVPN puede necesitar aumentado (es decir, verbo 10 en las opciones de personalización) para ver si esto está funcionando.
Además, para cada red usado en una Cliente especí fi co Anulación de red remota entrada ( iroute), un Red remota
( ruta) se requiere en el servidor también. los Red remota ( ruta) de fi niciones sobre la configuración del servidor son para el sistema operativo
cortafuego para saber que las redes serán enviados a OpenVPN de cualquier otro lugar. los
Red remota ( iroute) opciones en el Speci fi c Override Client entrada son internos a OpenVPN forma que sepa qué redes se encaminan a un
específico certi fi cado.
¿Por qué los clientes OpenVPN todos reciben la misma dirección IP?
Si se utiliza el mismo certi fi cado para todos los clientes, que recomendamos en absoluto, a continuación, los clientes están asignados la misma dirección IP cuando se conectan.
Para solucionar este problema, compruebe Las conexiones duplicadas en la con fi guración del servidor.
Importación de los parámetros DH OpenVPN
Al importar una configuración de OpenVPN existente en pfSense, no hay necesidad de importar los parámetros de DH. parámetros DH no se especi fi ca a una configuración
dada en la forma en que los certi fi cados o llaves.
En pocas palabras, los parámetros DH son algunos bits extra de aleatoriedad que ayudan a cabo durante el proceso de intercambio de claves. Ellos no tienen que coincidir
en ambos lados del túnel, y los nuevos se pueden hacer en cualquier momento. No hay necesidad de importar un conjunto existente de parámetros DH.
Nota: Por defecto, pfSense utiliza un conjunto de parámetros DH pre-generados. Un nuevo conjunto se puede generar manualmente si se desea, ver Parámetros DH
Longitud para detalles.
OpenVPN es una solución VPN SSL de código abierto que se puede utilizar para los clientes de acceso remoto y la conectividad de sitio a sitio. OpenVPN apoya a los
clientes en una amplia gama de sistemas operativos, incluyendo todos los BSD, Linux, Android, Mac OS X, iOS, Solaris, Windows 2000 y versiones posteriores, e incluso
algunos teléfonos VoIP.
Cada conexión OpenVPN, si el acceso remoto o de sitio a sitio, consiste en un servidor y un cliente. En el caso de las VPN de sitio a sitio, un cortafuego actúa como el
servidor y el otro como cliente. No importa lo que cortafuego posee estas funciones. Por lo general la ubicación del cortafuego primaria proporcionará conectividad del
servidor para todas las ubicaciones remotas, cuya fi rewalls son con fi gurada como clientes. Esto es funcionalmente equivalente a la opuesta con fi guración de la
ubicación primaria con fi gurado como un cliente que se conecta a los servidores que se ejecutan en los rewalls fi en las ubicaciones remotas. En la práctica, los
servidores están casi siempre se ejecutan en una ubicación central.
Hay varios tipos de métodos de autenticación que se pueden utilizar con OpenVPN: clave compartida, X.509 (también conocido como SSL / TLS o PKI), la autenticación
de usuario a través de local, LDAP, y RADIUS, o una combinación de X.509 y usuario ción authentica-. Para clave compartida, se genera una clave única que se utilizará
en ambos lados. SSL / TLS implica el uso de un conjunto de confianza de certificados y claves. La autenticación del usuario puede ser con fi gurada con o sin SSL / TLS,
pero su uso es preferible que sea posible debido al aumento de la seguridad es ofertas.
Las configuraciones para una instancia de OpenVPN se tratan en este capítulo, así como una carrera a través del asistente de servidor de acceso remoto de OpenVPN, con fi
guraciones del cliente, y los ejemplos de múltiples escenarios de conexión de sitio a sitio.
Nota: Aunque OpenVPN es una VPN SSL, no es un “sin cliente” VPN SSL en el sentido de que los proveedores comerciales cortafuego fi comúnmente estado. El cliente
OpenVPN debe estar instalado en todos los dispositivos cliente. En realidad hay una solución VPN es verdaderamente “sin cliente”, y esta terminología no es más que una
estratagema de marketing. Para mayor discusión a fondo sobre SSL VPN, este post de Matthew Grooms , Un desarrollador de herramientas y pfSense IPsec, en los
archivos de la lista de correo proporciona alguna información excelente.
Para una discusión general de los diversos tipos de VPN disponibles en pfSense y sus pros y contras, véase Redes privadas virtuales .

Ver también:
Los clientes con una pfSense Suscripción Oro puede acceder al Hangouts Archivo para ver el Hangout de septiembre de 2014 Conceptos avanzados de OpenVPN y la
conversación de septiembre de 2015 sobre las VPN de acceso remoto
OpenVPN y Certificados fi
Usando certi fi cados es el medio preferido de funcionamiento de VPN de acceso remoto, ya que permite el acceso a ser revocada por máquinas
individuales. Con claves compartidas, ya sea un servidor único y puerto para debe crearse para cada cliente, o la misma clave debe ser distribuido a
todos los clientes. El primero llega a ser una pesadilla de gestión, y el último es problemático en el caso de una clave comprometida. Si una
máquina cliente se ve comprometido, robado o perdido, o no revocado necesidades, la clave compartida debe ser re-emitida a todos los clientes.
Con un despliegue de PKI, si un cliente se ve comprometida, o el acceso necesita ser revocada por cualquier otra razón, simplemente revocar certi
fi cado de ese cliente. No hay más clientes afectados. La interfaz gráfica de usuario pfSense incluye una interfaz de gestión de certi fi cado que está
completamente integrado con OpenVPN. Sistema
> Gestor de cert. certi fi cados de usuario también se gestionan en la interfaz web, como parte del encargado de usuario integrada que se encuentra en Sistema> Administrador de
usuarios. certi fi cados pueden ser generados por cualquier cuenta de usuario creada localmente en el router a excepción de la cuenta de administrador por defecto. Para más información
sobre la creación de una autoridad de certi fi cado, certi fi cados, y las listas de revocación de certi fi cado ver Gestión de certi fi cado .
20.21. OpenVPN y Certificados fi 437


CAPÍTULO
VEINTIUNO
L2TP VPN
L2TP y reglas del cortafuegos
Por defecto, cuando se habilita el servidor L2TP, reglas fi cortafuego no lo hará ser añadido automáticamente a la interfaz elegida para permitir el puerto UDP 1701. Una
regla cortafuego debe ser añadido a cualquier interfaz de la L2TP tráfico c va a ingresar, típicamente WAN, la WAN que contiene la entrada de defecto, o IPsec.
L2TP y Multi-WAN
L2TP utiliza el puerto UDP 1701. Debido L2TP se basa en UDP, el servidor puede tener problemas al utilizar cualquier red WAN que no es la puerta de enlace predeterminada.
El demonio responderá del cortafuego utilizando la dirección más cercana al cliente, a raíz de la tabla de enrutamiento, que es la WAN con la puerta de enlace predeterminada
para clientes remotos.
Servidor L2TP con fi guración
Para utilizar L2TP, primero vaya a VPN> L2TP. Seleccionar Habilitar servidor L2TP.
Interfaz
los Interfaz el establecimiento de controles donde el demonio se unirá L2TP y escuchar las conexiones. Este suele ser el PÁLIDO
Interfaz de aceptar conexiones entrantes.
Direccionamiento IP
Antes de empezar, determinar qué direcciones IP a utilizar para el servidor y los clientes L2TP y ahora muchos clientes simultáneos a apoyar.
Dirección del servidor Un no usado dirección IP fuera de la Intervalo de direcciones remota, tales como 10.3.177.1 como
muestra en la figura IP L2TP Dirigiéndose .
Intervalo de direcciones remota Por lo general, un nuevo y sin uso de subred, como 10.3.177.128/25 (0,128 través de .255).
Estas son las direcciones que se asignarán a los clientes cuando se conecten.
Número de usuarios L2TP Controla el número de usuarios L2TP se les permitirá conectarse al mismo tiempo, en
este ejemplo dieciséis has sido seleccionado.
Los servidores DNS también pueden definirse para los usuarios finales cuando sea necesario. Rellene el Primario ** y el servidor DNS secundario L2TP ** campos con las direcciones
IP del servidor DNS para la conexión de los clientes.
439
Fig. 21.1: L2TP direccionamiento IP
Autenticación
Secreto Requerido por algunas implementaciones de L2TP, similar a una contraseña de grupo o clave pre-compartida. Apoyo
para esto varía de un cliente a otro. Deje en blanco el campo a menos que se sabe que son necesarios. Si es necesario, introducir y
confirmar el secreto.
tipo de autenticación decide entre PAP, CHAP, o MS-CHAPv2 autenticación de los usuarios. Apoyo
para esto puede variar de un cliente a otro y también puede depender del servidor RADIUS también. los
CAP tipos basados son más seguros, pero PAPILLA es más ampliamente compatibles.
Los usuarios pueden ser autenticados desde la base de datos local, o por medio de un servidor RADIUS externo. Esto puede ser usado para autenticar usuarios L2TP de
Microsoft Active Directory (ver Autenticación RADIUS con Windows Server ) así como numerosos servidores RADIUS capaces otro. Si se utiliza RADIUS, compruebe el Utilizar
un servidor RADIUS para la autenticación caja y llenar en el servidor RADIUS y el secreto compartido. Un segundo servidor RADIUS también se puede añadir en caso de que
el primero uno falla. Para la autenticación utilizando la base de datos local, deje que la casilla sin marcar. Los usuarios deben ser añadidos manualmente en el usuarios pestaña
de la VPN> L2TP pantalla a menos que el uso de RADIUS. Ver Adición de usuarios a continuación para más detalles sobre el sistema de autenticación incorporado.
Guardar los cambios iniciar el servidor L2TP
Tras el llenado de los artículos antes mencionados, haga clic Salvar. Esto ahorrará la con fi guración y poner en marcha el servidor L2TP.
Con fi gurar fi reglas de cortafuego para los clientes L2TP
Vaya a Cortafuegos> Reglas y haga clic en el L2TP VPN lengüeta. Estas reglas de control de trá fi co de los clientes L2TP. Hasta que una regla fi cortafuegos se ha añadido para
permitir trá fi co, se bloqueará todo el tráfico c iniciada desde los clientes conectados L2TP. Tra fi co iniciada desde la LAN a clientes L2TP es controlado usando reglas fi cortafuego
LAN. Inicialmente una regla de permitir que todos puedan desear aquí para propósitos de prueba como se muestra en la figura Regla L2TP VPN Firewall , y una vez funcionalidad se ha
verificable ed, restringir el conjunto de reglas como se desee.
Nota: Recuerde que una regla también se debe agregar a la interfaz que recibe el tráfico L2TP c, por lo general WAN o IPsec, para pasar a la UDP cortafuego
con un puerto de destino 1701.
440 Capítulo 21. L2TP VPN

Fig 21.2:. Regla L2TP VPN Firewall
Adición de usuarios
Adición de usuarios al sistema de usuarios L2TP integrado es simple. Para agregar usuarios locales:
• Navegar a VPN> L2TP, Usuarios lengüeta. La pantalla de los usuarios como se muestra en la figura Tab usuarios L2TP se presentará.
• Hacer clic Añadir para mostrar la forma usada para añadir usuarios.
La figura 21.3:. Tab usuarios L2TP
• Introducir el Usuario Contraseña y Confirman contraseña para un usuario, como en la figura Adición de un usuario L2TP .
• Introduzca un estático asignación de IP Si es deseado.
Fig. 21.4: Adición de un usuario L2TP
• Hacer clic Salvar, y luego la lista de usuarios regresará.
• Repita el proceso para cada usuario añadir.
Para editar un usuario existente, haga clic . Los usuarios pueden eliminar haciendo clic .
L2TP con IPsec
En las versiones actuales de pfSense, L2TP / IPsec puede ser con fi gurada para clientes móviles, aunque no es una con fi guración se recomienda.
21.4. L2TP con IPsec 441

Como se advirtió al comienzo del capítulo, el cliente de Windows, entre otros, y el demonio strongSwan IPsec no siempre son compatibles, lo que
lleva al fracaso en muchos casos. Se recomienda utilizar otra solución como IKEv2 en lugar de L2TP / IPsec.
Ver también:
Ejemplo IKEv2 Servidor Con fi guración contiene un tutorial para la con fi guración de IKEv2. Antes de con fi gurar la parte IPSec, L2TP configurar el servidor como se
describe en Servidor L2TP con fi guración y añadir usuarios, reglas de cortafuego, etc., tal como se cubran.
configuración de IPsec
Estos ajustes se han probado y encontrado para trabajar con algunos clientes, pero otros entornos similares pueden funcionar tan bien. No dudes en probar otros
algoritmos de cifrado, hashes, etc.
Tab clientes móviles
• Navegar a VPN> IPsec, Los clientes móviles pestaña en pfSense
• Comprobar Habilitar el soporte de cliente móvil IPsec
• Ajuste Autenticacion de usuario a Base de datos local ( No se utiliza, pero la opción debe haber algo seleccionada)
• Deseleccionar Proporcionar una dirección IP virtual a clientes
• Deseleccionar Proporcionar una lista de redes accesibles a los clientes
Fase 1
• Haga clic en el crear Fase 1 botón en la parte superior si aparece o editar el IPsec Fase móvil existente 1
- Si no hay Fase 1, y la crear Fase 1 botón no aparece, vaya de nuevo a la Los clientes móviles
ficha y haga clic en él allí.
• Ajuste versión de intercambio de claves a v1
• Introduzca una adecuada Descripción
• Ajuste Método de autentificación a PSK mutua
• Ajuste Modo de negociación a Principal
• Ajuste Mi identi fi cador a Mi dirección IP
• Ajuste Algoritmo de cifrado a AES 256
• Ajuste algoritmo de hash a SHA1
• Ajuste grupo clave DH a 14 (2048 bits)
Nota: iOS y otras plataformas pueden trabajar con una grupo clave DH de 2 en lugar.
• Ajuste Toda la vida a 28800
• Deseleccionar Desactivar Rekey
• Ajuste NAT a Auto
• Comprobar Habilitar DPD, establecido para 10 y segundo 5 reintentos

Fase 2
• Hacer clic Mostrar Fase 2 entradas para mostrar la lista de IPsec Fase móvil 2
• Hacer clic Añadir P2 para añadir una nueva entrada en la fase 2 si no existe uno, o haga clic para editar una entrada existente
• Ajuste Modo a Transporte
• Introduzca una adecuada Descripción
• Ajuste Protocolo a ESP
• Ajuste Los algoritmos de cifrado a tan sólo AES 128
• Ajuste Los algoritmos hash a tan sólo SHA1
• Ajuste PFS Grupo Clave a apagado
• Ajuste Toda la vida a 3600
Pre-Shared Key
El Pre-Shared Key para la conexión, que es común para todos los clientes, debe ser con fi gurada de una manera especial.
• Navegar a VPN> IPsec, Pre-Shared Keys pestaña en pfSense
• Hacer clic Añadir añadir un nuevo PSK
• Selecciona el Identi fi cador a todos los usuarios
Nota: los todos los usuarios nombre es una palabra clave especial utilizado por pfSense para con fi gura un comodín PSK, que es necesaria para L2TP / IPsec
funcione. No utilice ningún otro Identi fi cador para este PSK!
• Ajuste Tipo secreto a PSK
• Entrar a Pre-Shared Key, como aaabbbccc - idealmente uno mucho más tiempo, más al azar, y seguro!
Las reglas del cortafuegos IPsec
Las reglas de firewall son necesarios para pasar tráfico c desde el host cliente a través de IPsec para establecer el túnel L2TP, y en el interior L2TP para pasar el actual
túnel VPN tráfico c a los sistemas a través de la VPN. Adición de las reglas L2TP estaba cubierto en la sección anterior. Para añadir reglas de IPsec:
• Navegar a Firewall> Reglas, IPsec lengüeta
• Revisar las normas actuales. Si hay una regla de estilo “permitir todo”, entonces no hay necesidad de añadir otro. Continuar a la siguiente tarea.
21.4. L2TP con IPsec 443

• Selecciona el Protocolo a alguna
• Selecciona el Fuente y Destino a alguna
Nota: Esto no tiene que pasar todo el trá fi co, sino que debe pasar al menos L2TP (puerto UDP 1701) a la dirección IP WAN del cortafuego
DNS Con fi guración
Si los servidores DNS se suministran a los clientes y consolidar la de resolución de DNS se utiliza, a continuación, la subred elegido para los clientes L2TP se debe agregar a
su lista de acceso.
• Navegar a Servicios> resolución de DNS, Listas de Acceso lengüeta
• Hacer clic Añadir para añadir una nueva lista de acceso
• introducir una Acceso Nombre de lista, como Los usuarios de VPN
• Ajuste Acción a Permitir
• Hacer clic Agregar red debajo redes añadir una nueva red
• Introduzca la subred del cliente VPN en el Red caja, por ejemplo, 10.3.177.128
• Elegir el correcto CIDR, p.ej 25
Configuración de cliente
Cuando con fi gurar los clientes, hay algunos puntos a tener en cuenta:
• Asegúrese de que la con fi guración del sistema operativo del cliente está configurado para conectarse a la dirección externa adecuada para la VPN.
• Puede que sea necesario para forzar el tipo de VPN a L2TP / IPSec en el cliente si tiene un modo automático.
• El tipo de autenticación de cliente debe coincidir con lo que es con fi gurado en el servidor L2TP (por ejemplo, CAP)
Solución de problemas L2TP
Esta sección cubre los pasos para solucionar los problemas más comunes que encuentran los usuarios con L2TP.
No se puede conectar
Compruebe que las reglas se han añadido a la interfaz externa donde el L2TP tráfico c entra en el cortafuego cortafuego. También asegúrese de que el cliente se
conecta a la dirección IP de la interfaz elegida en la configuración de L2TP.

Conectado a L2TP, pero no puede pasar a tra fi co
Asegurar reglas cortafuego se han añadido a la L2TP VPN interfaz como se describe en Con fi gurar fi reglas de cortafuego para los clientes L2TP .
También garantizar la subred remota a través de la VPN es diferente de la subred local. No es posible llegar a una
192.168.1.0/24 a través de la red VPN cuando la subred local donde reside el cliente es también 192.168.1.0/24, trá fi co destinado a esa subred no
atravesará la VPN, ya que está en la red local. Por esta razón, es importante elegir una subred LAN relativamente oscura cuando se utiliza una
VPN.
La conexión falla con un cliente de Windows
Si la capa IPsec aparece para completar, pero no L2TP tráfico c pasa, es probable que una incompatibilidad conocida entre Win- dows y el demonio
strongSwan utilizado en pfSense. Actualmente no existe una solución conocida, excepto para mover el sistema de Windows desde detrás de NAT, o para usar
un estilo diferente de VPN como IKEv2.
Saliente L2TP Traf fi c Bloqueado
En algunos casos, tales como cuando se combina con IPsec, L2TP tráfico c también puede requerir una manipulación especial a través de reglas flotantes. Esto aparece como bloqueado trá fi
co en el salientes dirección en los registros de fi cortafuego, que muestra un interfaz de servidor L2TP. Si esto ocurre, añadir una regla flotando de la siguiente manera:
• Navegar a Firewall> Reglas, Flotante lengüeta
• Ajuste Acción a Pasar
• Comprobar Rápido
• Seleccionar L2TP VPN para el Interfaz
• Ajuste Dirección a Fuera
• Ajuste Protocolo a TCP
• Ajuste Origen Destino según sea necesario, o se establece en alguna
• Características avanzadas:
- Conjunto Indicadores TCP a Cualquier AGS fl
- Conjunto Tipo Estado a Estado descuidado
L2TP Registros
Un registro de eventos de conexión y desconexión se mantiene en Registros de Estado> del sistema, sobre el VPN pestaña, debajo Inicios de sesión L2TP.
Cada inicio de sesión y cierre de sesión se graba con una marca de tiempo y el nombre de usuario, y cada inicio de sesión también mostrarán la dirección IP asignada al cliente L2TP. El
registro completo se puede encontrar en la L2TP Raw lengüeta.
pfSense puede actuar como un servidor VPN L2TP. L2TP es puramente un protocolo de túnel que no ofrece ninguna de cifrado de su propio, por lo que normalmente se
combina con alguna otra técnica de cifrado, tales como IPsec.
21.6. L2TP Registros 445

Advertencia: pfSense es compatible con L2TP / IPSec, sin embargo, algunos clientes no funcionará adecuadamente en muchos escenarios comunes. El
escenario problema más común es los clientes de Windows detrás de NAT, en ese caso el cliente de Windows y el demonio strongSwan IPsec no son totalmente
compatibles, lo que lleva al fracaso. En estas situaciones, se recomienda el uso de IKEv2 lugar.
Ver también:
Ejemplo IKEv2 Servidor Con fi guración contiene un paso a paso para con fi gurar IKEv2, que es un muchmore fl solución flexible.
Ver también:
Para una discusión general de los diversos tipos de implementaciones VPN disponibles en pfSense y sus pros y contras, véase
Redes privadas virtuales .
Advertencia de seguridad L2TP
L2TP en sí misma no está encriptado, por lo que no está destinado para el tráfico privado fi co. Algunos dispositivos, como Android, ofrecen un cliente sólo
L2TP que es capaz de conectar de nuevo a pfSense pero sólo deben usarse para trá fi co que ya está encriptado, o si el trá fi co no se considera privada.
Por ejemplo, un túnel tráfico de Internet fi co por lo que parece originarse desde otro lugar.

CAPÍTULO
VEINTIDÓS
Traffic Shaper
Lo que el fi co talladora Traf puede hacer por usted
La idea básica de tráfico c conformación, subir y bajar las prioridades de los paquetes, o simplemente mantenerlos bajo una cierta velocidad, es simple. Sin embargo, el
número de formas en que este concepto se puede aplicar es inmensa. Estos son sólo algunos ejemplos comunes que han demostrado ser populares entre nuestros
usuarios.
Mantenga navegación fluida
enlaces asimétricos, en los que la velocidad de descarga se diferencia de la velocidad de subida, son comunes en estos días, especialmente con DSL. Algunos enlaces
son tan fuera de equilibrio que la velocidad máxima de descarga es casi inalcanzable debido a que es difícil enviar paquetes suficientes ACK (acuse de recibo) para
mantener trá fi co fl adeudado. paquetes ACK se transmiten de vuelta al remitente por el host receptor para indicar que los datos se ha recibido correctamente, y para
indicar que está bien para enviar más. Si el remitente no recibe ACK de manera oportuna, los mecanismos de control de congestión de TCP entrará en funcionamiento y
reducir la velocidad de la conexión.
Usted puede haber notado esta situación antes: Cuando la carga de un expediente sobre un enlace, navegar y descargar tales frena a un rastreo o puestos. Esto sucede
porque la parte de carga del circuito está lleno de la carga fi l, hay poco espacio para enviar los paquetes ACK que permiten descargas mantienen fl debido. Mediante el
uso de la talladora de dar prioridad a los paquetes ACK, puede alcanzar velocidades de descarga más rápidas y más estables en los enlaces asimétricos.
Esto no es tan importante en los enlaces simétricos, donde la velocidad de carga y descarga son los mismos, pero todavía puede ser deseable si el ancho de banda de
salida disponible se utiliza en gran medida.
Mantenga llamadas VoIP Claro
Si sus llamadas de voz sobre IP utilizan el mismo circuito que los datos, a continuación, las cargas y descargas se pueden degradar su calidad de la llamada. pfSense puede
dar prioridad a la llamada de trá fi co por encima de otros protocolos, y asegurarse de que las llamadas se hacen a través de claridad, sin romper, incluso si se transmiten
hi-def vídeo de Net fl ix al mismo tiempo. En lugar de la llamada ruptura, se reducirá la velocidad de las otras transferencias de dejar espacio para las llamadas.
Reducir juego Lag
También hay opciones para dar prioridad al tráfico c asociada con los juegos en red. Similar a dar prioridad a las llamadas de VoIP, el efecto es que, incluso si
se descarga durante el juego, el tiempo de respuesta del juego todavía debe ser casi tan rápido como si el resto de su conexión estaban ociosos.
447
Mantener las aplicaciones P2P en jaque
Al reducir la prioridad de trá fi co asociado con los puertos conocidos peer-to-peer, puede estar más tranquilos sabiendo que incluso si esos programas están en
uso, que no obstaculizan otra trá fi co de la red. Debido a su menor prioridad, otros protocolos serán favorecidos sobre P2P trá fi co, que se limitará cuando
cualquier otro servicio necesitan el ancho de banda.
Hacer cumplir los límites de ancho de banda
El uso de limitadores se puede aplicar un límite de ancho de banda a un grupo de personas, como todos los tra fi co en una interfaz, o se puede configurar el enmascaramiento de los limitadores
de aplicarlos sobre una base per-IP. De esta manera se puede garantizar que ninguna persona puede consumir todo el ancho de banda disponible.
Las limitaciones de hardware
Traf fi c conformación se realiza con la ayuda de ALTQ. Por desgracia, sólo un subconjunto de todas las tarjetas de red compatibles son capaces de utilizar estas características
debido a que los conductores deben ser alterados para apoyar conformación. Los siguientes tarjetas de red son capaces de usar tráfico c conformación, de acuerdo con la página
del manual de altq (4): edad (4), alc (4), ale (4), una (4), ath (4), aue (4), awi (4), bce (4), bfe (4), bge (4), puente (4), BWN (4), CAS (4), dc (4), de (4), ed (4), em (4), ep (4), fxp (4),
gema (4), HME (4), IGB (4), ipw (4), iwi (4), JME (4), L2TP, Lem (4 ), le (4), MSK (4), mxge (4), mi (4), ndis (4), NFE (4), ng (4), npe (4), NVE (4), ovpnc, ovpns, PPPoE, PPP,
PPTP, ral (4), Re (4), rl (4), ron (4), run (4), sf (4), sis (4), sk (4), ste (4), Stge (4), tun (4), TXP (4), UDAV (4), ural (4), vge (4), VLAN (4), vr (4), vtnet (4), wi (4), xl (4).
Limitadores utilizan un sistema de fondo diferente, que opera a través de tuberías Dummynet en ipfw y no a través ALTQ. Como tal, todas las tarjetas de red se pueden
utilizar para los limitadores, no hay restricciones. Si usted tiene una tarjeta que no es compatible ALTQ,
podrá seguir utilizando limitadores lugar.
Tipos ALTQ Programador
En pfSense 1.2.x, sólo había un planificador tipo ALTQ, jerárquica Feria de Servicio Curva (HFSC). Ahora en pfSense
2.x hay más opciones disponibles para cubrir una gama más amplia posible de escenarios que dan forma. Las nuevas opciones para ALTQ están haciendo cola basado en clases
(CBQ), lo que puede hacer el intercambio de ancho de banda entre las colas y los límites de ancho de banda, y la cola de prioridad (PRIQ), que sólo hace priorización.
Cada uno de ellos es seleccionable en los asistentes de la talladora, y el asistente mostrará las opciones adecuadas y crear las colas adecuadas para usted, basado en
la disciplina ALTQ elegido.
Advertencias de rendimiento
Permitiendo ALTQ trá fi co conformación coloca una carga adicional sobre el hardware, y habrá una pérdida global rendimiento de la red potencial. En sistemas
que tienen potencia de sobra, esto puede no ser perceptible. En los sistemas que operan cerca de sus límites fi caciones, a continuación, es posible que
aparezca una degradación del rendimiento. Si la pérdida es peor que trabajar sin conformación depende de su carga de trabajo individual.
Local LAN-to-LAN trá fi co
En pfSense 1.2.x y antes, el conformador sólo podía aplicarse a un solo tipo de interfaz LAN y el trá fi co entre los que LAN y otras redes locales seguirían
estando afectados por el formador y tienen su velocidad limitada. En pfSense 2.x, el formador tiene ahora una cola separada para este local de trá fi co que
no limitarlo. Sólo trá fi co hacia y desde la WAN a la LAN será moldeado.
448 Capítulo 22. Traf fi c Shaper

Curva Feria servicio jerárquica (HFSC)
La disciplina de la formación de HFSC trá fi co ha estado en pfSense durante muchos años. En 1.2.x, que era la única opción disponible. Es una disciplina muy
potente, bien para asegurar que los servicios como VoIP y vídeo se entregan una cantidad mínima garantizada de ancho de banda.
En HFSC, las colas están dispuestos en una jerarquía, o un árbol, con colas de raíz para cada interfaz, las colas de padres derneath un-, y las colas de niño
anidadas en las colas de los padres (etc.). Cada cola puede tener un ancho de banda fijo y opciones relacionadas.
HFSC-especí fi cos Opciones de la cola
HFSC soporta unas pocas opciones de cola que no son compatibles con las otras disciplinas. Es a través de estas opciones que logra garantizado su procesamiento y uso
compartido de enlace en tiempo real.
La curva de Servicio (SC) es donde se puede definir consonancia con los requisitos de ancho de banda para esta cola.
• límite de ancho de banda m1 Burstable
• límite d Tiempo de ráfaga ancho de banda, se especifica en milisegundos. (Por ejemplo, 1000 = 1 segundo)
• m2 límite de ancho de banda normal
Por ejemplo, el ancho de banda que necesita m1 dentro del tiempo d, pero un máximo normal de m2. En el tiempo inicial establecido por d, m2 no está marcada, sólo se m1. Después
d ha expirado, si el tráfico c está todavía por encima m2, que será moldeado. Más comúnmente, m1 y d se dejan en blanco, de modo que sólo se comprueba m2. Cada uno de estos
valores se pueden configurar para los siguientes usos:
• ancho de banda superior límite máximo permitido para la cola. Hará ancho de banda límites forzados. El parámetro m1 aquí también se puede utilizar para
limitar la explosión. En el marco de tiempo d no obtendrá más de ancho de banda M1.
• Verdadera garantía de ancho de banda mínimo de tiempo para la cola. Esto sólo es válido para las colas niño. El parámetro m1 siempre será satisfecha en
marco de tiempo d, y m2 es el máximo que esta disciplina se permita que se use. Nota El valor por m2 no puede superar el 30% del ancho de banda
disponible de la cola de los padres.
• Enlace Share La cuota de ancho de banda de una cola atrasados. Compartirá el ancho de banda entre clases si las garantías de tiempo real han sido satisfechas. Si se
establece el valor m2 para compartir enlace, se anulará el ancho de banda de la configuración de la cola. Estas dos configuraciones son las mismas, pero si ambos están
establecidos, se utiliza m2 de Enlace Compartir. Mediante la combinación de estos factores, una cola obtendrá el ancho de banda fi especificados por los factores de tiempo real,
además de los provenientes Enlace Compartir, hasta un máximo del límite superior. Se puede tomar una gran cantidad de ensayo y error, y tal vez una gran cantidad de aritmética,
pero puede valer la pena para asegurarse de que el trá fi co se rige como se ve fi cio. Para obtener más información sobre la M1, d, y los valores de m2 para diferentes escenarios,
visite el pfSense Traf fi c foro Shaping .
Class-Based Queuing (CBQ)
Class-Based Queuing, o CBQ, es similar a HFSC en que es puede tener un árbol de colas anidadas en otras colas. Es compatible con los límites de ancho de banda
(no garantías como HFSC), las prioridades de las colas y la capacidad de permitir colas para pedir prestado ancho de banda de su padre. Debido a la más simple
cola de con fi guración, puede ser una buena alternativa a HFSC especialmente si no es necesario para garantizar anchos de banda mínimos.
Con CBQ, prioridades de colas van de 0 a 7, los números más altos indican mayor prioridad. Colas de una misma prioridad se procesan de un modo
round-robin.
Nota: A pesar de las colas de los niños pueden tomar prestado de su cola de los padres, la suma del ancho de banda de las colas de los niños no puede exceder el ancho de banda de la
matriz, por lo que esta no es una alternativa al uso de limitadores de aplicar individuo (por ejemplo, per-IP) límites de ancho de banda.
22.3. Tipos ALTQ Programador 449

CBQ-especí fi co Opciones de la cola
La disciplina CBQ es compatible con el concepto de pedir prestado, lo que significa que si la casilla de verificación en la cola se comprueba que pedir prestado a otras colas
cuando esté disponible, entonces será capaz de tomar prestado otro ancho de banda disponible de su cola de los padres. Esto sólo se permitirá una cola niño a obtener hasta el
ancho de banda de su padre inmediato, si está disponible, no va a tomar prestado de otras colas de padres.
La cola de prioridad (PRIQ)
PRIQ es una de las disciplinas más fáciles de con fi gura y entender. Las colas son directamente debajo de la cola matriz, no hay una estructura para tener
colas bajo otras colas con PRIQ ya que es con HFSC y CBQ. Que no se preocupa por el ancho de banda en las interfaces, sólo la prioridad de las colas.
Los valores de prioridad van de 0 a 15, y cuanto mayor sea el número de prioridad, es más probable la cola ha de tener su paquetes procesados.
PRIQ puede ser bastante duro para colas de menores, de hambre cuando las colas de prioridad más alta necesitan el ancho de banda. En casos extremos, es posible que una cola
de prioridad más baja para tener poco o nada de paquetes manipulados si las colas de mayor prioridad están consumiendo todos los recursos disponibles.
CODEL Gestión de cola de activos
La disciplina CODEL activo Gestión de colas (AQM) se añadió recientemente a pfSense 2.1. El nombre
es la abreviatura de retardo controlada y se pronuncia “consentir”. Fue diseñado para combatir algunas de las
Los problemas asociados con bufferbloat en la infraestructura de red. Bufferbloat se describe en detalle en
http://www.bufferbloat.net/projects/bloat/wiki/Introduction . Básicamente, debido al tamaño de los buffers de red a equipamiento de trá fi co puede acumularse e ir
en trozos en lugar de una corriente suave. Mediante el control de la demora del tráfico c este efecto puede reducirse.
CODEL no tiene controles de con fi guración especí fi cos u opciones. Cuando se activa para una cola, intentará automáticamente para gestionar tráfico c como se
describe en el wiki Codel en http://www.bufferbloat.net/projects/codel/wiki . Se trata de mantener los retrasos trá fi co bajo, pero hace estallar permiso, controla retrasos
pero no presta atención al retardo de ida y vuelta, carga o velocidad de enlace, y se puede ajustar automáticamente si cambia la velocidad del enlace.
El objetivo de CODEL es la creación de redes de gama media. No funciona bien a muy bajo ancho de banda de 512 Kbps (o menos) y no maneja con gracia un gran
número de flujos simultáneos o cargas de trá centro de datos de calidad fi cos.
Con fi guración del fi co talladora ALTQ Traf Con el Asistente
Se recomienda que con fi gura el trá fi co de la talladora de la primera vez utilizando el asistente que le guiará a través del proceso. Debido a la complejidad de
las colas y las reglas de la talladora, no es una buena idea para intentar empezar de cero por su cuenta. Si necesita reglas personalizadas, con el asistente y
aproximarse a lo que se necesita, a continuación, hacer las reglas de encargo después. Cada programa de instalación de la pantalla colas únicas, y las reglas
que controlan lo que se le asigna trá fi co en esas colas. Si desea con fi gurar todo manualmente, basta con especificar la velocidad WAN en la pantalla primero,
a continuación, haga clic en Siguiente en todas las pantallas restantes sin con fi gurar nada.
Nota: El paso por el asistente y hacer clic en Finalizar al final reemplazará todas sus colas y reglas de la talladora flotando creados por el asistente, o clonados a
partir de las reglas del asistente, con las colas y las reglas de la nueva asistente de con fi guración.
Selección de un Asistente
Para comenzar con el fi Traf c Asistente Shaping, haga clic en Firewall de trá fi co talladora, y haga clic en la pestaña Asistentes. Se le presentará con una lista de asistentes
de la talladora disponibles en la actualidad. Al escribir estas líneas, los incluidos:

Sola LAN, WAN múltiples Se utiliza cuando se tiene sólo una LAN, y una o más redes WAN. El “LAN”
interfaz para la conformación se supone que es la interfaz indicada por “LAN” en la interfaz de pfSense as- signments. Las interfaces
WAN son seleccionables.
Individual WAN, LAN múltiples Se utiliza cuando se tiene sólo una WAN, y una o más redes de área local. El “WAN”
interfaz para la conformación se supone que es la interfaz indicada por “WAN” en las asignaciones de interfaz pfSense. Las interfaces
LAN son seleccionables.
Múltiples LAN / WAN Se utiliza cuando se tiene una o más redes WAN y una o más redes de área local. WAN y LAN
interfaces son seleccionables.
Enlaces dedicados Se utiliza cuando fi especí co emparejamientos LAN + WAN debe tenerse en cuenta en el conformador con fi g-
URACIÓN. las interfaces WAN y LAN son seleccionables.
Tenga en cuenta que los tres primeros son muy similares, y se puede, de hecho, utilizar cualquiera de ellos y terminan con el mismo resultado. Como tal, sólo a
cubrir una de las de este capítulo. Si sólo tiene una sola LAN y WAN una sola, puede utilizar cualquiera de los tres y sólo tiene que introducir 1 cuando se le pida la
cantidad de interfaces que tiene la variedad de LAN / WAN.
Inicio del asistente
Una vez que haya seleccionado el asistente va a utilizar, y ha hecho clic en él, a los asistente se inicia y la pantalla primero y luego le pedirá el número de
conexiones que son variables en el asistente que fue elegido. Este paso pide el número de WAN, LAN, o ambos, como en la figura Al entrar en la interfaz de
contador . Introduce el número de conexiones que tiene, cuando se le solicite, y continuar con el asistente. A medida que fi nal cada pantalla del asistente,
haga clic en Siguiente para pasar a la página siguiente.
Fig. 22.1: Introducción de la Count Interface
Redes y plazos de envío
Esta pantalla, como se muestra en la figura Shaper Con fi guración , es donde se con fi gurar las interfaces de red que estarán dentro y por fuera, desde el
punto de vista del formador, junto con la descarga y velocidades de carga para un determinado WAN. Cuando hay más de una interfaz de un tipo dado,
habrá múltiples secciones en la página de manejar cada uno de ellos individualmente.
Aparte de las interfaces y sus velocidades, también es necesario seleccionar un programador ALTQ ( Tipos ALTQ Programador ) Para la WAN (s) y LAN (s).
Usted tendrá que usar el mismo planificador en cada interfaz.
Dependiendo del tipo de conexión, la verdadera velocidad del enlace no puede ser la velocidad real de uso. En el caso de PPPoE, usted tiene no sólo por encima de
PPPoE, sino también por encima del enlace de red ATM subyacente que se utiliza en la mayoría de PPPoE
22.4. Con fi guración del fi co talladora ALTQ Traf Con el Asistente 451
despliegues. Según algunos cálculos, entre la cabeza de la ATM, PPPoE, IP y TCP, puede perder hasta un 13% de la velocidad del enlace se anuncia. En caso de duda
de lo que establezca la velocidad, ser un poco conservador. Reducir en 10-13% y trabajar su camino de vuelta a valores mayores. Si usted tiene una línea de 3 Mbit / s,
establecido por alrededor 2,7 '' Mbit / s y probarlo. Siempre se puede editar la cola de los padres resulta más tarde y ajustar la velocidad. Si se establece que suficiente, la
conexión será al tope exactamente a la velocidad que ha establecido. Mantenga empujándola más arriba hasta que ya no obtiene ningún beneficio de rendimiento. Las
velocidades de interfaz pueden ser especificados en Kbit / s, Mbit / s, o Gbit / s.
Fig 22.2:. Shaper Con fi guración
Voz sobre IP
Hay varias opciones disponibles para el manejo de llamadas de VoIP trá fi co, que se muestra en la figura Voz sobre IP . La primera elección, dar prioridad a la voz sobre IP trá fi
co, se explica por sí. Esto permitirá a la priorización de VoIP trá fi co y este comportamiento puede ser fi ne-sintonizado por los otros parámetros de la página. Hay algunos
proveedores muy conocidos que incluyen Vonage, VoicePulse, PanasonicTDA y servidores Asterisk. Si usted tiene un proveedor diferente, puede elegir Genérico , o anular esta
configuración con la Dirección de campo mediante la introducción de la dirección IP de su central aguas arriba o troncal SIP, o un alias que contiene las direcciones IP o redes
para ellos.
También puede elegir la cantidad de ancho de banda para garantizar a sus teléfonos VoIP. Esto puede variar en función de la cantidad de teléfonos que tiene, y la
cantidad de ancho de banda utilizará cada sesión.
Nota: La reserva de ancho de banda para un servicio como VoIP no puede superar el 30% del ancho de banda disponible en el enlace. Por ejemplo, en el enlace de un
1 Mbit / s, no se puede reservar más de 300KBit / s.
Nota: La forma en que el conformador de tráfico coincide con las reglas c flotantes, funciona mejor utilizar el enlace troncal SIP remoto o PBX porque de lo contrario puede que no sea capaz de
igualar el tráfico fi c correctamente. Si utiliza las direcciones IP de los teléfonos que sólo puede coincidir con trá fi co en una dirección, o nada en absoluto.
Área de castigo
El área de penalti, representado en la figura Área de castigo , es un lugar al que se puede relegar a comportarse mal usuarios o dispositivos que de otro modo consumir
más ancho de banda de lo deseado. Estos usuarios se les asigna un ancho de banda de la tapa dura, que no pueden superar. Compruebe la IP penalizar o Alias para
activar la función, introduzca una IP o alias en el cuadro Dirección,

La figura 22.3:. Voz sobre IP
a continuación, introduzca el límite de ancho de banda, y elegir la unidad correcta. Ciertos programadores altq sólo se permitirá seleccionar un porcentaje (% ), Otros le
permitirá establecer el valor en Bit / s, kbit / s, Mbit / s, o Gbit / s.
Peer-to-peer
La siguiente pantalla, que se muestra en la figura Peer-to-peer , le permitirá establecer controles sobre muchos protocolos de red peer-to-peer (P2P). Por diseño, los
protocolos P2P utilizarán todo el ancho de banda disponible a menos que los límites se ponen en marcha. Si esperas P2P trá fi co de la red, es una buena práctica
para asegurar que otra trá fi co no se degrada debido a su uso. Penalizar P2P trá fi co, en primer lugar comprobar Baja prioridad de punto a punto de trá fi co.
Muchas de las tecnologías P2P deliberadamente tratan de evitar la detección. Bittorrent es especialmente culpable de este comportamiento. Se utiliza a menudo no estándar o
puertos aleatorios, o puertos asociados con otros protocolos. Puede comprobar la opción p2pCatchAll lo que hará que cualquier desconocido trá fi co a ser asumido como P2P
trá fi co y su prioridad baja en consecuencia. Puede establecer límites de ancho de banda duros de este trá fi co por debajo de la regla de cajón de sastre. Los límites de ancho
de banda de subida y bajada se establecen en kilobits por segundo.
Las opciones restantes se componen de varios protocolos P2P conocidos, más de 20 en total. Compruebe cada uno que le gustaría ser reconocido.
Juegos de red
Muchos juegos se basan en una baja latencia para ofrecer una buena experiencia de juego en línea. Si alguien trata de descargar grandes archivos o parches de juego
durante el juego, que tra fi co puede tragar fácilmente los paquetes asociados con el juego en sí y la causa de retraso o desconexiones. Al marcar la opción de prioridad
a la red de trá fi co de juego, como se ve en la figura Juegos de red ,
se puede aumentar la prioridad de juego de trá fi co de modo que será transferido primero y le dio un trozo garantizada de ancho de banda.
Fig. 22.4: Penalty Box
Fig. 22.5: Peer-to-Peer Networking

Hay muchos juegos de la lista, verifique todos aquellos que deben ser priorizados. Si el juego no está aquí todavía puede querer comprobar un juego similar por lo
que va a tener una norma de referencia que puede ser alterado después.
Fig. 22.6: Juegos de la Red
Subiendo o bajando Otras aplicaciones
La pantalla fi guración última con el asistente de la talladora, visto en la figura Subir o bajar otras aplicaciones , enumera muchas otras aplicaciones y
protocolos comúnmente disponibles. ¿Cómo se manejan estos protocolos dependerá del entorno que este router pfSense será proteger. Algunos de estos
pueden desear, y otros no. Por ejemplo, en un entorno corporativo, es posible que desee bajar la prioridad de no interactivo trá fi co, como el correo, donde
una desaceleración no es observado por nadie, y aumentar la prioridad de los servicios interactivos como RDP, donde el mal rendimiento es un impedimento
a la capacidad de las personas para trabajar. En una casa, streaming multimedia puede ser más importante, y otros servicios se puede bajar. Habilitar la
opción para otros protocolos de red, y luego escoger y elegir de la lista. Hay otros más de 25 protocolos para elegir, y cada uno se puede dar una Una
prioridad más alta, Baja prioridad, o hacia la izquierda en el prioridad por defecto. Si ha habilitado p2pCatchAll, tendrá que utilizar esta pantalla para asegurarse
de que estos otros protocolos son reconocidos y tratados normalmente, en lugar de penalizadas por la regla p2pCatchAll defecto.
Fig. 22.7: subir o bajar otras aplicaciones
Finalizar el asistente
Todas las reglas y las colas se creará ahora, pero aún no está en uso. Al pulsar el botón Finalizar en la pantalla final, las reglas se cargarán y
activa.
Conformación ahora debe ser activado para todas las conexiones nuevas. Debido a la naturaleza de estado del conformador, solamente nuevas conexiones tendrán trá fi co conformación
aplicada. Para que esto sea completamente activo en todas las conexiones, debe borrar los estados. Para ello, visite Diagnóstico Unidos, haga clic en la pestaña Restaurar Unidos, comprobar la
tabla de estado del cortafuegos, a continuación, haga clic en Restablecer.
Shaper Asistente e IPv6
Al escribir estas líneas, el asistente talladora no creó las reglas IPv6, pero funcionará si crea las reglas de forma manual o mediante la clonación de las normas existentes.
Monitoreo de las colas
Con el fin de estar seguros de que trá fi co conformación funciona según lo previsto, puede ser monitoreada por la navegación a las colas de estado. Como puede verse en la figura Las
colas básicos WAN , esta pantalla mostrará cada cola de la lista por nombre, su uso actual, y algunas otras estadísticas relacionadas.
Fig. 22.8: WAN colas básicos
La barra gráfica que muestra cómo “completo” es una cola. La velocidad de datos en la cola se muestra en los dos paquetes por segundo (pps) y bits por segundo
(Kbps). Toma prestado sucede cuando una cola de vecinos no es completa y la capacidad es tomado de allí cuando sea necesario. Las gotas se producen cuando trá
fi co en una cola se abandonó en favor de un mayor tráfico de prioridad fi co. Es normal ver gotas, y esto no quiere decir que una conexión completa se deja caer,
sólo un paquete. Por lo general, un lado de la conexión verá que un paquete se perdió y vuelva a enviar, a menudo ralentización en el proceso para evitar caídas
futuras. El contador se suspende indica cuando ocurre una acción de retardo. El contador se suspende sólo se utiliza con el planificador CBQ, y debe ser cero cuando
otros programadores están en uso.
Personalización avanzada
Después de utilizar el asistente de la talladora, es posible hallar que las reglas que genera no acaban de fi t sus necesidades. Es posible que desee dar forma a un servicio que
no está controlada por el asistente, un juego que utiliza un puerto diferente, o puede haber otros servicios que necesitan limitado. Una vez que las reglas básicas han sido
creados por el asistente, debería ser relativamente fácil de editar o copiar esas reglas y crear otros personalizados de su propio.

Edición de la talladora colas
Como se ha mencionado en el resumen, las colas son donde el ancho de banda y las prioridades se asignan realidad. Cada cola tendrá la configuración específico para
el programador que fue elegido en el asistente, como se ha mencionado anteriormente en Tipos ALTQ Programador . Las colas también se pueden asignar otros atributos
que controlan cómo se comportan, tales como ser de bajo retardo, o tener ciertos algoritmos de evitación de congestión aplican. Las colas pueden ser cambiados por ir a
Firewall Traf fi c Shaper, y haciendo clic en los nombres de cola en la lista o árbol que se muestra en la interfaz por o mediante lengüetas de cola, como el de la figura
Tra fi co talladora Lista Colas
Edición de colas no es para los débiles de corazón. Puede ser una tarea compleja y con resultados de gran alcance, pero sin conocimiento profundo de la
configuración involucrados, lo mejor es seguir con las colas generadas por el asistente y alterar su configuración, en lugar de tratar de hacer otros nuevos desde
cero.
Para editar una cola, haga clic en su nombre en la lista / árbol. Para eliminar una cola, haga clic una vez para editarlo, a continuación, haga clic en Eliminar esta cola. No debe intentar
eliminar una cola si todavía está siendo referenciado por una regla. Para agregar una nueva cola, haga clic en la cola de interfaz o el padre en virtud del cual vivirá la nueva cola y, a
continuación, haga clic en Agregar nueva cola.
Fig. 22.9: Traf fi c Shaper lista Colas
Al editar una cola, cada una de las opciones deben ser consideradas cuidadosamente. Si usted está buscando más información sobre estos valores
que se menciona aquí, visite el PF paquetes de Colas y Prioridades FAQ o leer en El filtro de paquetes de OpenBSD PF libro.
El nombre de la cola debe estar entre 1-15 caracteres y no puede contener espacios. La convención más común es iniciar el nombre de una cola con la letra “q”
para que pueda ser más fácilmente identificados en el conjunto de reglas. La prioridad puede ser cualquier número entre 0-7 para CBQ y 0-15 para PRIQ.
Aunque HFSC puede apoyar las prioridades, el código actual no respeta ellas cuando se realiza la conformación. Colas con números más altos son los preferidos
cuando hay una sobrecarga, por lo sitúan sus colas en consecuencia. Por ejemplo, VoIP tráfico c debe ser de la más alta prioridad, por lo que se debe establecer
a un 7 en CBQ o 16 en PRIQ. Peer-to-peer tráfico de red fi co, que puede ser retrasado a favor de otros protocolos, debe fijarse en 1.
El Límite de cola puede establecer un límite de paquetes por segundo en una cola, pero típicamente se deja en blanco. Esta es una forma alternativa para limitar el rendimiento.
Hay cuatro opciones de la agenda diferentes que se pueden establecer para una cola determinada:
cola por omisión Selecciona esta cola como predeterminado, el que se encargará de todos los paquetes sin igual. Cada
interfaz debe tener una y sólo una cola predeterminada.
22.6. Personalización avanzada 457

Random Early Detection (RED) Un método para evitar la congestión en un enlace; intentará activamente
asegúrese de que la cola no se llena. Si el ancho de banda está por encima del máximo dado por la cola, se producen gotas. Además, las
gotas pueden ocurrir si el tamaño promedio de la cola se acerca al máximo. paquetes descartados son elegidos al azar, por lo que el más
ancho de banda en uso por una conexión dada, lo más probable es ver gotas. El efecto neto es que el ancho de banda está limitado de
manera justa, fomentando un equilibrio. ROJO sólo debe utilizarse con conexiones TCP desde el TCP es capaz de manejar paquetes
perdidos, y puede volver a enviar cuando sea necesario.
En Random Early Detección y hacia fuera (RIO) Permite rojo con de entrada / salida, lo que resultará en tener
promedios de cola se mantienen y se comparan con los paquetes entrantes y salientes.
Explícita de congestión Notificación (ECN) Junto con RED, que permite el envío de mensajes de control
que va a estrangular conexiones si ambos extremos de soporte ECN. En lugar de dejar caer los paquetes como el rojo, normalmente lo hará, se
establecerá un pabellón en el paquete que indica congestión de la red. Si la otra parte ve y obedece al pabellón, se reducirá la velocidad de la
transferencia en curso.
La descripción de la cola es de usted. Se puede dejar en blanco, o llenada con un poco de texto para explicar el propósito de la cola.
El ajuste de ancho de banda debe ser una fracción del ancho de banda disponible en la cola de los padres, pero también se debe configurar con una conciencia de las
otras colas vecinos. Cuando se utilizan porcentajes, el total de todas las colas bajo un padre dado no puede exceder 100%. Al utilizar límites absolutos, los totales no
pueden superar el ancho de banda disponible en la cola de los padres. A continuación se muestran las opciones de la agenda-específica. Ellos cambian dependiendo de
si se ha elegido HFSC, CBQ, o PRIQ. Todos ellos se describen en Tipos ALTQ Programador .
Haga clic en Guardar para guardar los ajustes de la cola y volver a la lista de la cola, a continuación, haga clic en Aplicar cambios para recargar la colas y activar los cambios.
Reglas de la talladora de edición
reglas para la conformación de trá fi co controlan la forma c fi tráfico se asigna a las colas. Si un paquete coincide con una regla c conformador de tráfico, se le asignará a la especificidad
de colas cado por esa regla. coincidente paquete es manejado por reglas fi cortafuego, especialmente en la pestaña flotante. Para editar las reglas de la talladora, ir a las reglas del
cortafuegos, y haga clic en la ficha flotante. En esa pantalla, que se muestra en la figura Tra fi co talladora Lista de reglas , las reglas existentes se enumeran con los atributos habituales de
reglas fi cortafuegos, incluyendo las colas utilizadas por las reglas. Usted puede aplicar colas en las reglas de otras fichas, pero el asistente sólo hace que las reglas de la ficha flotante
utilizando la
partido acción que no afecta a la acción pase / bloque, sólo se pone en cola de trá fi co. Para obtener más información sobre las reglas flotando, véase Reglas flotante para obtener más
información sobre las reglas flotando, y Con fi gurar reglas de cortafuego para obtener información sobre normas cortafuego en general. Dado que estas reglas son como cualquier otra norma,
que puede coincidir con cualquier forma en la que está familiarizado. En esta pantalla también se encuentra el control maestro para dar forma. Para eliminar las reglas y las colas creadas por
el c conformador de tráfico, y restablecer el conformador a los valores predeterminados, haga clic en Quitar Shaper.
Fig 22.10:. Traf Lista fi c talladora Reglas

limitadores
Limitadores son un nuevo método de c conformación tráfico, introducido en pfSense 2,0 en Cortafuegos Traf fi c Shaper en la pestaña limitadores. limitadores de uso dummynet
(4) promulgar límites de ancho de banda y realizar otras tareas de priorización, entre otras cosas. Limitadores son actualmente la única manera de lograr ancho de banda
por IP limitante en pfSense.
Limitadores han sido realmente en uso durante mucho más tiempo en pfSense como parte de los límites de ancho de banda por usuario del portal cautivo, pero en 2.0 que se han
enganchado en PF para que puedan ser utilizados por su cuenta con reglas normales fi cortafuego, fuera del cautivo Portal.
Al igual que HFSC y CBQ, limitadores pueden anidarse con colas dentro de otras colas. limitadores de nivel raíz (también llamados tubos), pueden tener límites de ancho de banda y
los retrasos, mientras que los niños limitadores (también llamados colas), pueden tener prioridades (también llamados pesos). límites de ancho de banda puede estar opcionalmente
enmascarados por ya sea la IP de origen o el destino de IP, de modo que los límites se pueden aplicar per-IP en lugar de como un grupo.
Limitadores se utilizan casi siempre de dos en dos, una para entrada de trá fi co y otro para salida trá fi co. los dummynet (4) sistema fue diseñado originalmente, de acuerdo con
su página de manual, como un medio para poner a prueba el control de congestión del TCP, y que había crecido a partir de ahí. Debido a este fin, una característica única de
limitadores es que pueden usarse para inducir arti fi pérdida de paquetes cial y retrasar en la red de tráfico c. Que se utiliza principalmente en la resolución de problemas y
pruebas (o estar mal y jugar una broma a alguien), y no se encuentra a menudo en la producción.
Usos de los limitadores
El uso principal de limitadores es la aplicación de límites de ancho de banda para los usuarios o protocolos específicos, por ejemplo, “máximo de 1 Mbit / s para SMTP”, o “PC de Joe
sólo puede utilizar 5bit / s”. También se puede aplicar un límite por IP, tales como “todos los usuarios en cada 192.168.50.0/24 puede utilizar un máximo de 3 Mbit / s cada uno”.
Limitadores son la única Tipo de la talladora actualmente en pfSense capaz de tal exceso de suscripción. El conformador ALTQ requiere que todas las colas derivadas que se resumen a
no más de la velocidad de la cola de los padres, pero limitadores enmascarados dejar que le da un límite establecido para el mayor número de direcciones IP como se puede canalizar a
través del limitador. Otro uso de limitadores es aplicar un límite de grupo para una parte de su red, como “Todos los usuarios de 192.168.40.0/24 pueden utilizar un máximo del total de 5
Mbit / s” o “No deje que Bob el Bittorrent individuo utilice más de 2 Mbit / s”. Limitadores también se pueden utilizar de una manera indirecta para reservar ancho de banda mediante la
limitación de todo, excepto un protocolo que desea consumir todo el ancho de banda. En este tipo de configuración en el enlace de un 10 Mbit / s que le pase trá fi co de, por ejemplo, un
servidor SIP sin limitador, pero luego tienen una regla de pase para todos los demás trá fi co que pone un límite aplicado a 8 Mbits / s. Esto permitiría que el uso del servidor SIP todo el
ancho de banda que quería, pero siempre tendría al menos 2 Mbit / s, suponiendo que la velocidad de enlace es fiable / constante.
Cómo limitadores de Trabajo
Limitadores, como ALTQ, sostienen tráfico c hasta cierto punto por la caída o el retraso de los paquetes para conseguir una velocidad de línea fi específico. Por lo general, los
mecanismos incorporadas de un protocolo detectarán la pérdida y de marcha atrás a una velocidad que pueden sostener. En situaciones donde los paquetes se ponen en cola en la
misma tubería matriz, sus pesos se consideran al ordenar los paquetes antes de ser enviados.
A diferencia de las prioridades en CBQ y PRIQ de ALTQ, el peso de una cola en un limitador no hará que se muere de hambre de ancho de banda.
Limitadores y IPv6
Limitadores de trabajar con IPv6, aunque se necesitan reglas IPv4 e IPv6 separadas a fin de que los limitadores que deben aplicarse correctamente.
22.7. limitadores 459

limitaciones
limitador tuberías no tienen un concepto de préstamo de ancho de banda de otras tuberías. Si se establece un límite, es un límite superior duro. Aunque dummynet (4) ¿Apoya
estallido, que no soporta una tasa para eso, sólo es compatible con un trozo dado de tamaño de ráfaga si una cola está inactivo, y la interfaz gráfica de usuario pfSense no
soporta actualmente el establecimiento de ese valor. Limitadores de uso IPFW, por lo que habrá algunos (aunque pequeño) una sobrecarga adicional de que el módulo de núcleo
está cargado y el procesamiento de paquetes adicional implicado.
Limitadores no pueden garantizar de manera efectiva una cantidad mínima de ancho de banda para un tubo o cola, sólo un máximo. Las colas no pueden tener valores de ancho de banda,
por lo que no se pueden particionar un tubo en tubos más pequeños, sólo se puede usar pesas para priorizar los paquetes dentro de un tubo.
La sobrecarga de retrasar y puesta en cola de paquetes puede causar un aumento mbuf uso. Para obtener más información sobre incrementando de forma la cantidad de mbufs
disponibles, consulte Sintonización de hardware y solución de problemas .
Limitadores y Multi-WAN
Cuando se utiliza con limitadores de multi-WAN, tendrá que ser aplicado usando reglas flotantes con los límites de las puertas de enlace no predeterminados fuera la dirección y el conjunto de
puerta de enlace apropiado.
La creación de limitadores
Limitadores se manejan bajo Firewall Traf fi c talladora de la ficha limitadores. Para crear un nuevo limitador de nivel de raíz (tubería), haga clic
. Para crear un limitador de niño (cola), haga clic en el limitador en las que se puede crear y, haga clic en Agregar nueva cola. Usted casi siempre querer
utilizar limitadores de dos en dos en el mismo nivel (por ejemplo, dos tubos, o dos colas), uno para entrada de trá fi co y otro para salida trá fi co, así que tenlo en
cuenta a la hora de crearlos.
Habilitar Marque la casilla para habilitar esta limitador. Si el limitador está desactivado, no estará disponible como una opción
ser utilizado en reglas fi cortafuego.
Nombre Esto define el nombre del limitador, tal y como aparecerá en reglas para la selección fi cortafuego. El nombre
debe ser alfanumérico, y también puede incluir - y'_'. Al elegir un nombre, lo mejor es evitar el uso En y Fuera ya que la
misma limitador, si se utiliza en tanto WAN y LAN, se utilizarían en la dirección en la en una interfaz y la dirección de salida
en otro. Es mejor utilizar en su lugar * Abajo
o Descargar, y Arriba o Subir, pero en última instancia la convención de nombres puede ser cualquier cosa que te gusta, de preferencia algo que tenga
sentido para los administradores fi cortafuego.
Ancho de banda (Pipes) Esta sección le permite definen un valor de ancho de banda para el tubo, o múltiples anchos de banda
si se trata de horarios. Esta opción no aparece cuando se edita un limitador de niño (cola).
ancho de banda La parte numérica del ancho de banda para la tubería, por ejemplo * 3 o 500.
Ráfaga El parámetro de especificación de ráfaga és a cantidad total de datos que puede ser transmitida
sin límite aplicado después de un período de tiempo de inactividad. Esta no es una tasa, pero de un tamaño. Por ejemplo, si se
establece en 2 MB, entonces el usuario transmitirá 2 MB de datos a toda velocidad, y una vez que el tamaño de datos de ruptura
ha sido enviado, la tasa será cortado al límite especificado en el campo Ancho de banda desde ese punto hasta que el limitador
entra en inactividad de nuevo. Para desactivar el estallido, introduzca una 0 aquí.
Tipo de peso corporal Las unidades que se aplicarán a la ELD ancho de banda fi, tales como Bit / s, Kbit / s,
Mbit / s, o Gbit / s.
Programar Si usted tiene de fi nidas horarios ( Reglas basada en el tiempo ), Puede optar por uno aquí. Cuando los programas
están en uso, se puede de fi nir un valor de ancho de banda para cada

horario potencial haciendo clic añadir otro ancho de banda de fi nición. Si tu

utilizar varios cationes especí fi ancho de banda, cada uno debe tener un horario diferente de fi nido. Por ejemplo, si
usted tiene una agenda “día de trabajo”, se necesita de una programación “fuera de horario” que contiene todo el
tiempo no incluido en el “Día del trabajo”.
Máscara Esta selección desplegable controla cómo se enmascaran las direcciones en el limitador. Si no se establece en ninguna
, entonces no se realizará ninguna de enmascaramiento, y el ancho de banda de tubo se aplicará a todos tráfico c en el grupo como un todo. Si Dirección
de la fuente o Dirección de destino se eligen, a continuación, límite de ancho de banda de la tubería se aplicará sobre una base por IP (o una base de
subred, dependiendo de los bits de enmascaramiento), utilizando la dirección elegida en el enmascaramiento. En general, usted querrá para
enmascarar el Dirección de la fuente En el (Subir) Limitadores para las interfaces de tipo LAN y Dirección de destino sobre el Out (Descargar)
limitadores en las interfaces de tipo LAN. Al igual que en el canje de la direccionalidad de los limitadores cuando se aplica a redes LAN y WAN, el
enmascaramiento se intercambia y, por lo mismo limitador de máscaras que se encuentra en la LAN se utiliza fuera de la WAN. Hay cajas separadas
para controlar el enmascaramiento exacta de direcciones en el limitador. en pfSense
2.0.x, los bits de máscara IPv4 eran siempre 32 Por IPv4-dirección de límite de foros. Este es el uso más común. Para un límite de IPv6-dirección
per-, utilice 128 como el valor de los bits de máscara IPv6. Si usted desea hacer subred per o máscaras similares, introduzca los bits de subred en
el cuadro correspondiente, ya sea IPv4 o IPv6 bits de máscara, como 24 para limitar en grupos de 24 / subredes.
Descripción La descripción, como de costumbre, es un bit opcional de texto para su referencia para explicar el propósito
para este limitador.
Opciones avanzadas Hay algunas opciones adicionales que varían de si edita un tubo o una cola,
haga clic en Mostrar opciones avanzadas y aparecerán.
Retardo (Tubos) La opción de programación sólo se encuentra en las tuberías del limitador. Se introduce una
retraso arti fi cial (latencia), se especifica en milisegundos, en la transmisión de los paquetes en el tubo limitador. Esto
normalmente se deja en blanco para que los paquetes son nes de transmisión lo más rápido posible. Esto puede ser
usado para simular conexiones de alta latencia, como enlaces satelitales para las pruebas de laboratorio.
Peso (colas) La opción de peso sólo se encuentra en los niños limitadores (colas).
Este valor puede variar de 1 a 100. Los valores más altos dan más prioridad a los paquetes que se encuentran en una
cola determinada. A diferencia de las prioridades PRIQ y la CBT, una cola ponderada lowly- no está en peligro de ser
privado de ancho de banda.
tasa de pérdida de paquetes Otro método de arti fi cialmente degradar trá fi co, la pérdida de paquetes
Rate, puede ser con fi gurada para dejar caer una cierta fracción de los paquetes que entran en el limitador. El valor
se expresa como una representación decimal de un porcentaje, por lo
0.01 es 1%, o un paquete de cada cien caído. Al igual que con los otros campos, normalmente se deja en blanco
para que cada paquete se entregó.
Tamaño de cola Establece el tamaño de la cola, especificados en las ranuras de cola, que se utiliza para la manipulación
demora de espera. Deja en blanco, el valor predeterminado es 50, que es el valor recomendado. enlaces de baja velocidad pueden
necesitar un tamaño de la cola inferior de operar eficientemente fi.
Tamaño de cubo El tamaño de la cubeta, también se especifica en las ranuras, se establece el tamaño del hash
tabla utilizada para el almacenamiento de colas. El valor por defecto es 64. Debe ser un valor numérico entre
16 y 65 536, inclusive.
Para obtener más información sobre estos valores, también puede mirar en el ipfw (8) página hombre, en la sección titulada “Traf fi c Shaper (Dummynet) Con fi
guración”.
Asignación y uso de limitadores
Limitadores se asignan utilizando reglas fi cortafuego, utilizando los selectores de Entrada / Salida en la sección Opciones avanzadas de la regla fi cortafuegos. Cualquier coinciden con los
criterios posibles se puede expresar en una regla se pueden utilizar para asignar trá fi co a un limitador.
22.7. limitadores 461

Lo más importante para recordar cuando se asigna un limitador a una regla es que los campos de entrada y salida se designan desde la perspectiva de la
misma fi cortafuegos. Por ejemplo, en una sola configuración WAN sola LAN, entrada trá fi co en una interfaz LAN es en realidad va hacia la Internet, es
decir cargan los datos. Salida trá fi co en la interfaz LAN va hacia el PC del cliente, es decir, los datos descargados. Al considerar la interfaz WAN, la
direccionalidad se invierte; Entrante trá fi co proviene de la Internet para el cliente, y de salida trá fi co va desde el cliente a Internet. En la mayoría de los
casos, serán seleccionados tanto en un limitador y limitador de salida, pero se puede optar por seleccionar sólo uno si trá fi co debe limitarse en una sola
dirección.
Limitadores pueden aplicarse en reglas de interfaz normales, o en reglas flotantes, incluso usando el mismo Partido acción que puede ser utilizado por ALTQ.
Comprobación del uso del limitador
Información sobre limitadores de activos puede ser encontrado en Diagnósticos limitador de Información. A continuación, se muestra cada limitador y cola de niño, en
formato de texto. ancho de banda y los parámetros de cada conjunto limitador se muestran, junto con el nivel actual c tráfico en movimiento en el interior del limitador. En
el caso de los limitadores de enmascarados, se muestra el ancho de banda de cada dirección IP. En el futuro, habrá una representación gráfica fácil de leer esta
información limitador. Por ahora, el acceso a la información en bruto es útil hasta que la característica particular se ha completado.
Capa 7 Inspección
Capa 7 inspección (L7) es, en términos sencillos, de coincidencia de patrón para ver si tráfico c partidos un protocolo c especificidad tales como HTTP, FTP, Bittorrent, etc. Se
compara paquetes contra un patrón dado que expresa la forma en tráfico c para un protocolo debe buscar, y si fi NDS una coincidencia, entonces se aplica una acción para la
conexión. En algunos lugares esto también se conoce como inspección profunda de paquetes (DPI). En pfSense, Capa 7 inspección se puede utilizar para la conformación de
tráfico utilizando ALTQ c o para el bloqueo de tráfico c. Las entradas que contienen patrones de la capa 7 de inspección se llaman Capa 7 contenedores. Estos recipientes se
mantienen a Firewall Traf fi c Shaper en la pestaña de la capa 7.
Requisitos de CPU pesados / penalización en el rendimiento
Capa 7 inspección consiste en colocar cada paquete que coincide con una regla específico a través de un demonio de inspección. No sólo se introduce retardo adicional debido
a que los paquetes se encaminan a través de un demonio, también hay gastos generales de funcionamiento de un ajuste de patrones en la carga útil de cada paquete en
cuestión. Por lo tanto, dependiendo de la cantidad de tráfico fi c está inspeccionando, la CPU utilizado puede aumentar drásticamente. Capa 7 reducirá su rendimiento potencial
global. La única manera de evitarlo es utilizar una CPU más potente, pero incluso eso tiene sus límites.
limitaciones
La capa 7 puede ayudar a identificar trá fi co, pero hay algunas cosas que no puede hacer, tales como:
• Coincidencia de cifrado tráfico c no es posible en la actualidad. Si un usuario cifra su tráfico c, como Bittorrent, se puede eludir un partido capa 7.
• Algunos protocolos varían demasiado para ser fiable identi fi cado. Los ejemplos notables de esto son Bittorrent y Skype. Como aspectos del cambio de protocolo,
pueden ser necesarios nuevos patrones.
• Como se mencionó anteriormente, hay una pesada carga en la CPU para realizar la inspección de la capa 7.
• No hay ningún caso afirmativa fi af para la aplicación del protocolo; HTTP tráfico c se puede adaptar para ser puesto en cola o bloqueado, pero una inspección de la capa 7 no
se puede utilizar para asegurar que sólo HTTP tráfico c está viajando en el puerto 80.

• Capa 7 inspección no puede ser utilizado para el enrutamiento o multi-wan decisiones. Por la capa de tiempo 7 tiene identi fi ed un protocolo, la conexión
ya se ha establecido, por lo que no se puede volver a instalar en una ruta alternativa.
• Todavía es necesario pasar tráfico c en la capa 7 de inspección con el fin de para que sea procesado. Si un protocolo de saltos entre puertos, como Bittorrent,
que tendría que pasar todas de trá fi co en todos los puertos a través de la capa 7 de inspección, a un gran costo para su CPU, y si alguien encripta el protocolo,
entonces todavía se puede evitar ser emparejado.
Capa 7 Patrones
El corazón de la forma de la capa 7 obras coincidentes son patrones regulares expresión (expresiones regulares) que se comparan con cada paquete en cola para su
inspección. pfSense barcos con un conjunto de patrones de la obtenida a partir de la proyecto ltro L7- fi , Pero los nuevos regímenes pueden ser creados y subidos (Ver Carga
de Nuevos Patrones ).
Creación de Capa 7 Contenedores
Para crear un nuevo contenedor de capa 7, vaya a Firewall de trá fi co talladora y haga clic en la capa 7 pestaña. A partir de ahí, haga clic a
añadir un nuevo contenedor.
Habilitar deshabilitar Esta casilla de verificación controla si o no el contenedor está activo y seleccionable en fi cortafuegos
reglas.
Nombre El nombre del contenedor, tal y como aparecerá en reglas para la selección fi cortafuego. El nombre debe ser
alfanumérico y puede incluir también - y _.
Descripción Un bit opcional de texto para su referencia, para describir el propósito de este contenedor.
Reglas El recipiente puede tener una o más reglas. Cada patrón se comprueba y la acción apropiada
aplicada a los paquetes fl debido a través del recipiente. Para añadir una nueva regla, haga clic .
Patrón El nombre de fi le que contiene los parámetros de coincidencia para un protocolo dado o
tipo de tráfico c, por ejemplo, Bittorrent, SMB, o http.
Estructura Estructura de la opción controla qué tipo de comportamiento se producirá una vez
coincidencia de patrones se ha encontrado. Las opciones posibles son: acción para una acción fi cortafuegos, cola colocar
tráfico c en una cola de ALTQ, y limitador para enviar tráfico a través de un limitador c.
Comportamiento Esta opción controla el comportamiento que es dictado por la estructura de este
regla. Por un acción estructura, la única opción es bloquear. por cola estructuras, se enumeran todas las colas altq disponibles.
por limitador, limitadores de todas habilitadas se enumeran a continuación.
Usando capa 7 Contenedores
El uso de un recipiente de capa 7 es un poco contra-intuitivo. Al igual que con otras características, que ellos promulgan a través de reglas fi cortafuego, sin embargo, con
un recipiente de capa 7, incluso si desea bloquear el trá fi co, que todavía utiliza la acción pase a la regla fi cortafuegos. La razón de esto es debido a cómo funciona la
capa 7 inspección. La regla pasa el paquete en el recipiente de la capa 7, y el recipiente en sí toma la decisión de pasar, bloque, cola, o limitar el tráfico c en función de si
o no se encuentra una coincidencia.
Para utilizar un recipiente capa 7 en una regla, primero asegúrese de que es una regla de pase, y luego elija la entrada de la capa 7 deseado en la opción Capa 7 de la norma,
al final de la avanzada Características sección de la pantalla Editar regla fi cortafuegos .
22.8. Capa 7 Inspección 463

Carga de Nuevos Patrones
Nuevos patrones se pueden cargar haciendo clic en el enlace situado en la parte inferior de Firewall de trá fi co talladora de la ficha Capa 7. Antes de poder cargar un
patrón fi l, usted tiene que crear primero una en el formato adecuado, o descargar una de otra fuente que ya está en el formato adecuado. Para algunos ejemplos, se
puede ver en / / Acción usr / local / protocolos /, pfSense el repositorio en Github, o la página del proyecto de filtro L7- vinculado anteriormente en esta sección.
Una vez que haya diseñado o localizado su patrón personalizado, visite la página de carga, haga clic en Examinar, busque su patrón fi l, y seleccionarlo. Una vez que el expediente ha
sido seleccionado, haga clic en Cargar archivo de patrones y el nuevo modelo estará disponible para la selección durante la edición de un contenedor Capa 7.
Traf fi c Shaping y VPNs
Las siguientes discusiones se refieren en gran parte a la conformación ALTQ. Limitadores trabajarán fi ne con VPNs como lo harían con cualquier otra interfaz y reglas.
Sólo el conformador ALTQ requiere una consideración especial.
La conformación de tráfico con VPNs c es un tema complicado debido a cómo se considera separado de la VPN de trá fi co, sino también una parte de, la WAN trá fi co a través
del cual OWS también fl. Si la WAN es de 10 Mbit / s, entonces el VPN también se puede utilizar de 10 Mbit / s, pero no es en realidad 20Mbit / s de ancho de banda a tener en
cuenta, sólo el 10 Mbit / s. Como tal, es más fiable utilizar métodos de formación que se centran más en la priorización de ancho de banda, tales como PRIQ o, en algunos casos,
CBQ.
Si el VPN contiene sólo trá fi co que se debe priorizar, entonces es suficiente considerar sólo el tráfico VPN fi c sí en la WAN, en lugar de intentar hacer cola trá fi co
en la VPN, así como WAN. En estos casos, se necesita una regla flotando en la WAN para que coincida con el fi VPN tráfico c sí. El tipo exacto de tráfico c varía
dependiendo del tipo de VPN. IPSec y PPTP pueden ambos ser priorizados por el asistente de la talladora, y estas reglas se pueden utilizar como un ejemplo para
que coincida con otros protocolos.
OpenVPN
Con OpenVPN, existen múltiples interfaces en el sistema operativo, uno por VPN. Esto puede hacer más fácil la conformación en algunos casos. Además, algunas características de
OpenVPN puede hacer que sea más fácil dar forma a tra fi co sobre la WAN e ignorar el propio túnel.
Dando forma dentro del túnel
Si hay varias clases de tráfico c se realizan en el túnel, entonces algún tipo de priorización debe hacerse para el tráfico dentro del túnel c. Para que el asistente para
considerar el trá fi co de esta manera, la VPN se debe asignar como su propia interfaz de la GUI. Para lograr esto, asignarla como se describe en asignación de
interfaz y con fi guración , y luego utilizar el asistente de la talladora como si se tratara de una interfaz WAN separado, y clasificar el tráfico c según sea necesario.
Formando el exterior del túnel (passtos)
Si la principal preocupación se perfila VoIP trá fi co través de una VPN, otra opción a considerar es la opción passtos de OpenVPN, llamado Tipo-de-servicio en
las opciones de pfSense OpenVPN. Esta opción copiará el bit TOS del paquete interior para el paquete exterior de la VPN. Así, si el tráfico VoIP c tiene la
porción TOS (DSCP) del conjunto de cabecera de paquete, entonces los paquetes OpenVPN también tendrán el mismo valor. El valor puede ser igualada
mediante la opción DSCP en normas fi cortafuego, como se describe en Punto Código Diffserv . Usando este método, es posible priorizar VoIP tráfico dentro de la
VPN c sin tratar realmente el VPN como una WAN adicional.
Nota: Dado que los datos a partir del paquete interior se copian en el paquete exterior, esto no exponer un poco de información sobre el tipo de tráfico de cruzar la VPN
c. Depende de usted decidir si es o no la divulgación de información, aunque de menor importancia, vale la pena el riesgo de las ganancias que ofrece priorización de
paquetes adecuado.

IPsec
IPsec se presenta al sistema operativo en una única interfaz, no importa cuántos túneles son con fi gura y que son utilizados por los túneles de redes WAN. Esto puede
plantear algunas di fi cultades, sobre todo cuando se trata de dar forma a trá fi co en el interior de un túnel IPsec en particular.
También la interfaz IPsec no es posible usar por sí misma como una interfaz con el asistente. Puede añadir sus propias reglas flotantes para igualar y Cola de trá fi co en la
interfaz IPsec, pero es posible hallar que sólo entrante trá fi co se pondrá en cola como se esperaba, a pesar de que los resultados reales pueden variar.
Solución de problemas de la talladora
Tra fi co Shaping / QoS es un tema complicado, y puede resultar difícil de hacerlo bien la primera vez. Hay algunos errores comunes que las personas caen sobre, que
están cubiertos en esta sección.
¿Por qué no se Bittorrent trá fi co de entrar en la cola P2P?
Bittorrent es conocido por no usar mucho en el camino de los puertos estándar. Los clientes están autorizados a declarar a qué puerto otros deben utilizar para llegar a ellos, lo que
significa un caos para los administradores de red que tratan de realizar el seguimiento del trá fi co basado en el puerto solo. Los clientes también pueden elegir para cifrar su trá fi co.
talladora reglas normales no tienen ninguna forma de examinar los paquetes de decir qué programa del trá fi co parece ser, por lo que se ve obligado a confiar en los puertos. Por
esta razón, puede ser una buena idea utilizar la regla P2P Catchall, y / o hacer reglas para cada tipo de tráfico c desea, y tratar su cola por omisión como de baja prioridad. Puede
utilizar la inspección de la capa 7 para intentar clasificar los tra fi co, pero viene con una penalización de CPU fuerte y todavía no se puede clasificar a los protocolos cifrados.
¿Por qué no se trá fi co de puertos abiertos por UPnP correctamente en cola?
Traf fi c permitido en el daemon UPnP va a terminar en la cola predeterminada. Esto sucede porque las reglas generadas dinámicamente por el demonio UPnP no
tienen ningún conocimiento de las colas a menos UPnP es con fi gurado para enviar trá fi co en una cola específica. Dependiendo de lo que haya usando UPnP
en su entorno, esto puede ser baja prioridad tráfico fi ca como BitTorrent o alta prioridad trá fi co como consolas de juegos o programas de chat de voz como
Skype. La cola se puede ajustar por ir a los servicios UPnP y entrar en un nombre de la cola en el fi Traf c talladora cola campo.
Ese truco sólo funciona con colas ALTQ talladora, sin embargo. No existe actualmente una manera de asegurar que UPnP trá fi co consigue un limitador se aplica
correctamente, pero está esperando a tener que abordó en una versión futura.
¿Cómo puedo calcular la cantidad de ancho de banda para asignar a las colas de ACK?
Este es un tema complejo, y la mayoría de las personas brillo sobre ella y adivine un fi cientemente alto valor. Para explicaciones más detalladas con fórmulas
matemáticas, compruebe el cesárea Shaping tráfico de los foros pfSense . Hay un puesto pegajosa en ese tablero que describe el proceso con gran detalle, y
también hay una hoja de cálculo descargable que puede ser utilizado para ayudar a facilitar el proceso.
¿Por qué es <x> no en forma adecuada?
Al igual que con otras preguntas de esta sección, esto tiende a suceder debido a las reglas introducidos ya sea internamente o por otros paquetes que no tienen conocimiento
de las colas. Dado que ninguna cola se especi fi ca para una regla, que termina en la cola predeterminada o raíz, y no en forma. Puede que tenga que desactivar las reglas
anti-bloqueo WebGUI / ssh y tal vez incluso sustituir a la LAN por defecto a cualquier norma fi cortafuegos con más opciones específicas. En el caso de envases, es posible
que necesite ajustar la forma en que se maneja su cola predeterminada.
22.10. Solución de problemas de la talladora 465

Mi ISP me cambió la velocidad de conexión, pero mi shaper todavía está limitando mi ancho de banda a la velocidad de edad, ¿cómo puedo cambiarlo?
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sólo es necesario editar las colas apropiadas en Firewall de trá fi co Shaper para obtener la nueva velocidad. Las colas que necesitan actualización son la cola
matriz para la interfaz WAN para la velocidad de subida, y la cola qinternet en la LAN u otra interfaz interno para la velocidad de descarga. Si tiene varias redes
WAN, la cola qinternet será la velocidad de descarga sumado de todas las WAN, por lo que ajustar por la cantidad que cambió su descarga ancho de banda ISP.
Alternativamente, si se utiliza el asistente y no se hicieron cambios personalizados en las colas o las reglas, a continuación, el asistente se puede ejecutar de
nuevo, y el valor puede ser actualizado en el asistente.
Tra fi co conformado, o la calidad de la red de servicio (QoS), es un medio de priorizar el tráfico de red inalámbrica que atraviesa el cortafuego c. Sin tráfico c
conformación, los paquetes se procesan en una primera en / primera cabo base por su fi cortafuegos. QoS ofrece un medio de dar prioridad a diferentes tipos de
trá fi co, lo que garantiza que los servicios de alta prioridad reciben el ancho de banda que necesitan antes de servicios de prioridad menor. El asistente c
conformador de tráfico en pfSense le da la capacidad de QoS figura estafadores para escenarios comunes y reglas personalizadas también se pueden crear de
forma rápida para tareas más complejas. Por simplicidad, el sistema de c conformación tráfico en pfSense también puede ser denominado como el “talladora”, y el
acto de tráfico c conformación fi puede ser llamado “conformación”. pfSense 2.x introdujo un concepto talladora separado llamado limitadores. Limitadores le
permiten establecer límites de ancho de banda difícil para un grupo o en una base por IP,
Traf Fundamentos Shaping fi
Para aquellos de ustedes que no están familiarizados con la conformación de trá fi co, que es algo así como un guardia de seguridad en un club exclusivo. Los VIPs (paquetes muy importantes)
siempre que sea en la primera y sin tener que esperar. Los paquetes regulares tienen que esperar su turno en la fila, y los paquetes “indeseables” pueden ser mantenidos fuera hasta después de
la verdadera fiesta ha terminado. Al mismo tiempo, el club se mantiene a la capacidad y nunca sobrecargado. Si más VIP vienen a lo largo de más adelante, algunos paquetes regulares pueden
necesitar ser arrojado a cabo para mantener el lugar de conseguir demasiado lleno de gente.
La forma en que la conformación se realiza en pf, y por lo tanto pfSense, puede ser un poco contra-intuitivo a primera debido a que el tráfico c tiene que
ser limitada en un lugar donde pfSense en realidad puede controlar el flujo. Entrante trá fi co de Internet va a un host en la LAN (descarga) es en realidad
en forma saliendo de la interfaz LAN del sistema pfSense. De la misma manera, trá fi co que va desde la red local a Internet (carga) se forma al salir de la
WAN. Hay tráfico colas c de conformación, y las reglas c conformación de tráfico. Las colas son donde el ancho de banda y las prioridades se asignan
realidad. reglas para la conformación de trá fi co controlan la forma c fi tráfico se asigna en esas colas. Reglas para la talladora funcionan de la misma
como reglas fi cortafuego, y permiten que las mismas características determinadas. Si un paquete coincide con una regla de la talladora, se le asignará a
la especificidad colas cado por esa regla. En pfSense 2.x,
partido acción que sólo se asigna el trá fi co en las colas, pero también puede asignar trá fi co en las colas utilizando reglas de paso sobre cualquier otra interfaz también.
normas limitador se manejan de forma diferente. Limitadores aplican en las reglas de paso regular y hacer cumplir sus límites en el tráfico c medida que entra y sale
de la interfaz. Cuando se trabaja con limitadores, que casi siempre ellos trabajan en pares, uno para la “descarga” dirección de trá fi co y uno para la “carga”
dirección de trá fi co.

CAPÍTULO
VEINTITRES
SERVIDOR balanceo de carga
Servidor de equilibrio de carga de Con fi guración Opciones
Quinielas
Piscinas para con fi gurar:
• Navegar a Servicios> equilibrador de carga
• Haga clic en el Quinielas lengüeta
• Hacer clic Añadir añadir una nueva piscina
• Con fi gura las opciones de la piscina como se explica a continuación:
Nombre Un nombre para la piscina. El nombre es cómo se hace referencia a la piscina cuando con fi gurar el virtual
Servidor que va a utilizar esta piscina. Este nombre se debe adherir a los mismos límites que un nombre de alias o de la interfaz.
Letras y números, el separador sólo se permite es un subrayado. .. note :: Este nombre no puede ser el mismo que un alias
existente.
Modo Seleccionar Equilibrio de carga para equilibrar la carga entre todos los servidores en la piscina, o Manual de conmutación por error a
Siempre utilizar los servidores de la lista Habilitado, y que se pueden mover manualmente entre un estado activado y desactivado.
Descripción Una descripción más detallada opcional para la piscina.
Puerto Este es el puerto de los servidores están escuchando internamente. Esto puede ser diferente de la externa
puerto, que se define más adelante en el servidor virtual con fi guración. Un alias también se puede utilizar para definir varios puertos,
sin embargo, si se utiliza un alias debe usar el mismo alias de puerto aquí y en el servidor virtual con fi guración.
Rever Esto define el número de veces que un servidor será contactado por el monitor antes de ser
declarada hacia abajo.
Monitor Esto define el tipo de monitor de usar, que es como el equilibrador de carga determina si el
servidores están en marcha y utilizable. Selección TCP hará que el equilibrador conectar al puerto previamente definido en la Puerto,
y si no puede conectarse a ese puerto, el servidor se considera abajo. ING Choos- ICMP será en lugar de monitorizar los
servidores de fi nidas mediante el envío de un ICMP ping y los marcará abajo si ellos no responden. Hay muchos más tipos de
monitores, y se pueden personalizar. Están cubiertas con más detalle más adelante en el capítulo.
Dirección IP del servidor Aquí es donde se enumeran las direcciones IP internas de los servidores del grupo. Entrar
uno a la vez, al hacer clic Añadir a la piscina después.
Actuales miembros de la reserva Este campo muestra la lista de servidores en esta piscina. Un servidor puede ser eliminado
de la piscina haciendo clic en su dirección IP y luego haciendo clic Retirar. Hay dos listas en
467
esta sección, Piscina de movilidad reducida, y Activado (predeterminado). Los servidores de la Activado (predeterminado) lista son activos y se utilizan, los
servidores de la piscina discapacitados la lista no se utilizan nunca. los piscina discapacitados lista se utiliza principalmente con Manual de conmutación por
error modo. Los servidores se pueden mover entre las listas seleccionando
y haciendo clic o .
Si se requiere una conmutación por error automática, crear una segunda piscina para ser utilizado como una Fall Back piscina, que contiene el conjunto de copia de seguridad de las direcciones IP
del servidor.
Servidores virtuales
Para con fi gurar un servidor virtual para manejar conexiones de cliente:
• Haga clic en el Servidores virtuales lengüeta
• Hacer clic Añadir añadir un nuevo servidor virtual
• Con fi gura las opciones de servidor virtual tal como se explica a continuación:
Nombre Un nombre para el servidor virtual. Esto es para referencia, sino que también deben cumplir con los mismos límites que
un alias o interfaz nombre. Letras y números, el separador sólo se permite es un subrayado. Sin espacios o barras.
Descripción Una descripción más larga opcional para el servidor virtual. Esto es para fines de referencia
solamente, y no tiene ningún límite de formato.
Dirección IP Aquí es donde se introducen las direcciones IP para su uso por el servidor virtual. Este suele ser el
dirección IP WAN o una dirección IP virtual en la WAN. Debe ser una dirección IP estática. Un VIP CARP también puede ser utilizado para
una configuración de alta disponibilidad. Para obtener más información sobre los VIPs de alta disponibilidad y la carpa, consulte Alta
disponibilidad . Un Alias VIP IP puede ser utilizado, o (sólo en modo TCP) un Proxy ARP VIP. Por otra parte, un alias también se puede
utilizar para especificar varias direcciones IP en la que este servidor virtual puede aceptar conexiones.
Nota: En el modo TCP, las direcciones IP se especi fi ca que aquí se no con destino en el nivel de sistema operativo, lo que significa que relayd como un
demonio no está enlazado y escucha en estos puertos directamente.
Puerto Este es el puerto sobre el cual el servidor virtual aceptará conexiones. Puede ser diferente
desde el puerto utilizado por los servidores de la piscina internamente. Un alias puede ser utilizado para definir varios puertos, sin embargo, si el
mismo alias puerto debe ser utilizado aquí y en la piscina con fi guración.
Servidor Virtual Pool Aquí es donde se selecciona la fi gurada la piscina con anterioridad. Las conexiones a
el Dirección IP y Puerto definida en esta pantalla será dirigido a las direcciones IP y los puertos con fi gura en la piscina.
Fall Back piscina Esta es la piscina alternativo que los clientes se dirigen a si todos los servidores de la primaria
piscina están abajo. Si no hay un servidor alternativo, deje este conjunto de Ninguna, aunque el resultado será inaccesible si todos los servidores del
grupo se han reducido. Por lo menos, para evitar que el servidor de estar abajo del todo, la configuración de un servidor web sencillo para devolver una
página de mantenimiento básico para cualquier solicitud y usarlo como la caída posterior de la piscina.
Protocolo de retransmisión El Protocolo de relé puede ser TCP o DNS, dependiendo de lo que será este relé
obra.
468 Capítulo 23. Servidor de equilibrio de carga

- En TCP modo, relayd actúa como un puerto mejorado hacia delante, dirigiendo las conexiones como si estuvieran golpeando una
regla NAT tradicional. Servidores podrán ver la dirección IP de origen original del cliente, que no actúa como un proxy.
- En DNS modo, relayd actúa como un proxy DNS. Se va a equilibrar la carga entre varios servidores DNS, pero se pierde la dirección IP
original del cliente. camareros de la piscina verán el cortafuego como la fuente de la consulta DNS. Tenga esto en cuenta al establecer
puntos de vista o las restricciones de consulta basadas en la fuente en los servidores DNS que intervienen en el equilibrio de carga.
• Hacer clic Enviar
• Hacer clic Aplicar cambios Advertencia: Si todos los miembros del servidor de grupo virtual y entrar de nuevo los miembros de la piscina están abajo, relayd actuará como si
el equilibrador de carga no está manejando las conexiones para la dirección IP del servidor virtual y el puerto. Si la dirección IP y el puerto utilizado también son utilizados por otro
servicio o regla de NAT, podría ser expuesto accidentalmente a los clientes.
monitores
Hay cinco tipos de monitor fi básicos pre-de nido: ICMP, TCP, HTTP, HTTPS y SMTP. tipos personalizados adicionales pueden ser agregados para detectar mejor tipos
específicos de fracasos.
Monitores definido previamente de
Los monitores de pre-de fi nido se incluyen en la con fi guración por defecto y son:
ICMP Envía una solicitud de eco ICMP al servidor de destino y espera una respuesta de eco ICMP.
TCP Los intentos de abrir una conexión de puerto TCP a la dirección IP de destino y el puerto. Si se puede abrir el puerto
(3-way handshake TCP), entonces se tiene éxito, si se rechaza la conexión o el tiempo de espera, se produce un error.
HTTP y HTTPS Los intentos para abrir una conexión con el servidor y solicitar la URL / o mediante HTTP
HTTPS, lo que se ha seleccionado. Si se devuelve un código de respuesta 200, que está bien. De lo contrario, se consi- Ered un fracaso.
SMTP Se abre una conexión con el puerto definida de la cadena y envía nosuchhost EHLO. Si el servidor
responde con ningún mensaje a partir de 250-, se considera OK. Otras respuestas son consideradas un fracaso.
Creación de monitores personalizados
Los monitores incluidos no son su fi ciente para las necesidades de un sitio, o que necesitan ajustar, a continuación, monitores personalizados pueden ser creados. La mayoría de los tipos de
monitores tienen sus propios ajustes especí fi cos que se pueden personalizar según sea necesario.
Para crear un nuevo monitor: * Vaya a Servicios> equilibrador de carga * Haga clic en el monitores * Haga clic en la pestaña Añadir añadir
un nuevo monitor * Con fi gura las opciones del monitor, como se explica a continuación:
Nombre Un nombre para el monitor. Esto es para referencia, sino que también deben cumplir con los mismos límites
como un alias o nombre de la interfaz. Letras y números, el separador sólo se permite es un subrayado. Sin
espacios o barras.
Descripción Una descripción más larga opcional para el monitor. Esto es para fines de referencia
solamente, y no tiene ningún límite de formato. Las opciones
restantes varían en función del tipo seleccionado.
23.1. Servidor de equilibrio de carga de Con fi guración Opciones 469

ICMP y TCP No hay opciones adicionales. Cualquier monitor personalizado utilizando estos tipos se comportará identifi-
camente a la pre-de fi nida del monitor del mismo nombre.
HTTP y HTTPS Estos se comportan de forma idéntica a la otra, la única diferencia es si

No cifrado se utiliza para hablar con el servidor de destino. Estos tienen cada uno tres opciones para controlar el comportamiento del
monitor:
Camino El camino define la sección de ruta de la URL se envía al servidor. Si el sitio

contiene sobre todo contenido dinámico, o la URL base hace una redirección, lo mejor es establecer esto en una ruta
completa a una pieza estática de contenido, como una imagen, es poco probable que mover o cambiar.
Anfitrión Si el servidor se ejecuta varios hosts virtuales, este campo de fi ne que el nombre de host
se envía con el pedido, por lo que la respuesta esperada se puede recibir.
Código HTTP Esto define la respuesta esperada desde el servidor, dada la re-
búsqueda para el host / path. Lo más común es que esto se establece en 200 OK, pero si el servidor utiliza otro
código de retorno que se esperaría como una respuesta sana a esta consulta, seleccione aquí. Si el código de
retorno es desconocida, inspeccionar los registros del servidor para hallar qué códigos se devuelven al cliente para
cada solicitud.
Enviar / cuente Este tipo de monitor abre una conexión con el puerto definida de una cadena y envía
y espera la respuesta fi cado. El ejemplo más común es el monitor de SMTP discutido previamente. Las
opciones son:
Enviar cuerdas La cadena enviada al servidor después se realiza una conexión a su puerto.
cadena esperada Si la respuesta del servidor no se inicia con esta cadena, entonces
se considera abajo.
ajustes
Además de las opciones de la por-piscina o por servidor, también hay algunas opciones globales que controlan el comportamiento de relayd. Estos ajustes están bajo Servicios>
equilibrador de carga sobre el ajustes lengüeta:
Se acabó el tiempo El tiempo de espera global en milisegundos para cheques. Dejar en blanco para usar el valor por defecto de 1000
ms (1 segundo). Si un grupo de servidores de carga tarda más en responder a las solicitudes, aumentar este tiempo de espera.
Intervalo El intervalo en segundos en el que se comprobará el miembro de una piscina. Dejar en blanco para usar
el intervalo predeterminado de 10 segundos. Para comprobar el servidores más (o menos) con frecuencia, ajustar la temporización en consecuencia.
prefork Número de procesos utilizados por relayd para el manejo de las conexiones de entrada a los relés. Esta opción
sólo es activo para relés utilizando Modo de DNS. No tiene ningún efecto en el modo TCP, ya que utiliza una redirección, no un relé. Dejar
en blanco para usar el valor por defecto de 5 procesos. Si el servidor está ocupado, aumentar esta cantidad para acomodar la carga.
Las reglas de firewall
El último paso en la con fi gurar el equilibrio de carga es con fi gurar fi reglas de cortafuego para permitir trá fi co a la piscina. por TCP el modo, las reglas de cortafuego
debe permitir trá fi co a las direcciones IP privadas internas de los servidores, lo mismo que con las reglas de NAT, así como el puerto que se está escuchando en el
interior. Crear un alias para los servidores del grupo para hacer el proceso más fácil, y crear una sola regla de cortafuego en la interfaz donde se iniciará el trá fi co
destinado a la piscina (por lo general PÁLIDO) permitiendo que la fuente apropiada (por lo general alguna) a un destino del alias creado para la piscina.

Un ejemplo específico de esto se proporciona en Con fi gurar reglas de cortafuego . Para obtener más información sobre las reglas cortafuego, consulte
firewall . por DNS el modo, las reglas cortafuego debe permitir trá fi co directamente a la dirección IP virtual del servidor y el puerto, no los camareros de la piscina.
conexiones adhesivas
Hay una opción adicional con fi guración disponibles para el equilibrio de carga del servidor, bajo Sistema> Opciones avanzadas, sobre el
Diverso lengüeta. Debajo Balanceo de carga, llamado Utilizar conexiones adhesivas. Al marcar esta casilla intentará enviar a los clientes con una conexión activa con el servidor de
la piscina para el mismo servidor para las conexiones posteriores. Una vez que el cliente cierra todas las conexiones activas y los tiempos estado cerrado a cabo, se pierde la
conexión pegajosa. Esto puede ser deseable para algunas de carga web estafadores equilibrio fi guración donde las solicitudes de clientes sólo deben ir a un único servidor, para la
sesión o por otras razones. Esto no es perfecto, como si el navegador web del cliente cierra todas las conexiones TCP al servidor después de carga de una página y se sienta allí
durante 10 minutos o más antes de cargar la página siguiente, la página siguiente se puede servir desde un servidor diferente. Por lo general esto no es un problema ya que la
mayoría de los navegadores web no cerrará inmediatamente una conexión, y existe el tiempo suficiente para no hacer que sea un problema del estado, pero si el sitio es
estrictamente dependiente de un cliente especí fi co no conseguir un servidor diferente en la piscina sin tener en cuenta el tiempo que el navegador se sienta allí inactivo, busque
una solución de equilibrio de carga diferente. Hay una caja debajo de la opción de controlar el Tiempo de espera de seguimiento Fuente que puede permitir que el conocimiento de
la relación cliente / servidor que persista más tiempo.
Advertencia: Pegajosa es en general poco fiables para este propósito y también puede tener otros efectos secundarios no deseados. Completo ofrecido paquetes de
proxy como HAProxy tienen mucho mejores mecanismos y opciones para mantener relaciones cliente / servidor.
Ver también:
Los clientes con una pfSense Suscripción Oro puede acceder al Hangouts Archivo para ver el número de enero 2 015 Hangout la carga del
servidor y failover, que incluye información sobre con fi gurar HAProxy.
Hay cuatro áreas de con fi guración para el equilibrador de carga del servidor:
1. Quinielas de colecciones fi ne de servidores a utilizar, qué puerto que utilizan, y el método de monitorización.
2. Servidores virtuales definen la dirección IP y el puerto para aceptar conexiones de usuario, y la piscina adecuada para dirigir
la entrada de trá fi co destinado a esa dirección IP y el puerto.
3. monitores se utilizan para crear los métodos de seguimiento personalizados para determinar si los servidores de la piscina están trabajando y utilizable.
4. La ajustes pestaña contiene opciones globales que alteran el funcionamiento del equilibrador de carga. En un ejemplo típico, hay una Servidor virtual para aceptar
conexiones de usuario, y contiene varios servidores de una Piscina.

los Piscina utiliza una Monitor para cada servidor para determinar si es capaz de aceptar conexiones de usuario. Un servidor virtual puede tener una regular y una Fall Back
piscina utilizar si todos los miembros de la regularidad Servidor Virtual Pool se han reducido. Esto se puede aprovechar para presentar una página de mantenimiento o un corte,
por ejemplo.
Carga de Servidor Web Ejemplo de equilibrio Con fi guración
En esta sección se muestra cómo con fi gurar el equilibrador de carga de principio a fi nal para el medio ambiente equilibrado de carga con dos servidores web.
ambiente Ejemplo red
Figura Servidor de equilibrio de carga Ejemplo Red muestra la fi ejemplo entorno con gurado en esta sección. Se compone de un único cortafuego, utilizando su
dirección IP WAN para la piscina, con dos servidores web en un segmento de DMZ.
23.2. Carga de Servidor Web Ejemplo de equilibrio Con fi guración 471

Fig. 23.1: la carga del servidor de equilibrio Ejemplo Red
Con piscina fi guración
Para con fi gurar la piscina:
• Haga clic en el Quinielas lengüeta
• Hacer clic Añadir para crear una nueva piscina
• Con fi gura la piscina tal como se muestra en la figura Con fi guración de la piscina , el cual utiliza los siguientes ajustes:
Nombre webservers
Modo Equilibrio de carga
Descripción servidor Web piscina
Puerto 80
Rever 5
Los miembros de la piscina Añadir los dos servidores web ( 10.6.0.11 y 10.6.0.12) utilizando una HTTP Monitor
Con fi gurar servidor virtual
• Haga clic en el Servidores virtuales lengüeta
• Hacer clic Añadir añadir un nuevo servidor virtual
• Con fi gura el servidor virtual como se muestra en la figura Servidor Virtual con fi guración , el cual utiliza los siguientes ajustes:
Nombre WebVirtualServer
Descripción Servidor web
Dirección IP dirección IP WAN del cortafuego, 198.51.100.6
Puerto 80
Servidor Virtual Pool webservers
Fall Back piscina Ninguna
• Hacer clic Enviar

La figura 23.2:. Piscina Con fi guración
Fig. 23.3: Servidor Virtual Con fi guración

• Hacer clic Aplicar cambios Advertencia: En este ejemplo, si tanto de los camareros de la piscina están abajo, el servidor virtual es inaccesible. El cortafuego actuará
como si no hay un servidor virtual es con fi gurado. Si algo en el cortafuego está enlazado al puerto 80, los clientes llegar a ese lugar. Esto incluye la interfaz gráfica de usuario
Web incorporada de redirección para el puerto 80, por lo que se debe inhabilitar bajo Sistema> Avanzado sobre el El acceso de administrador lengüeta.
Con fi gurar reglas de cortafuego
Las reglas del cortafuegos deben ser con fi gurada para permitir el acceso a los servidores del grupo. Las reglas deben permitir que el trá fi co de las direcciones IP internas y el
puerto que se utiliza, y no hay reglas son necesarias para la dirección IP y el puerto exterior utilizado en el mundo virtual con fi guración del servidor.
Crear un alias que contiene todos los servidores en la piscina, así que el acceso se puede permitir que con una sola regla fi cortafuegos.
• Hacer clic Añadir para agregar un alias.
Nombre www_servers
Tipo Hospedadores
Hospedadores Las direcciones IP de los servidores web: 10.6.0.11 y 10.6.0.12
Figura Alias para Servidores Web muestra el alias utilizado para este ejemplo con fi guración, que contiene los dos servidores web.
Fig. 23.4: alias de los servidores Web
A continuación, cree una regla fi cortafuegos usando ese alias: * Vaya a Cortafuegos> Reglas * Cambie a la ficha de la interfaz donde
conexiones entrarán (por ejemplo, PÁLIDO) * Hacer clic Añadir para iniciar una nueva regla en la parte superior de la lista * Utiliza el siguiente

ajustes:
Interfaz PÁLIDO
Protocolo TCP
Fuente alguna
Tipo de destino Host único o Alias
Dirección de destino www_servers
Puerto de destino Rango HTTP
Descripción Permitir al servidor Web
Figura Adición de reglas de firewall para servidores Web muestra un fragmento de la regla de cortafuegos fi añadido para esta con fi guración. Las opciones no se muestran en dejarse en sus
valores por defecto.
Fig. 23.5: Adición de reglas de firewall para servidores Web
Figura Regla de cortafuegos para servidores Web Muestra la regla tal como aparece en la lista.

Fig. 23.6: reglas de firewall para servidores Web
Visualización del estado del equilibrador de carga
Ahora que el equilibrador de carga es con fi gurado, para ver su estado, vaya a Estado> equilibrador de carga y haga clic en el Servidores virtuales lengüeta. Esta página
muestra el estado del servidor en su conjunto, por lo general aparece como sea Activo o Abajo.
los Quinielas pestaña muestra un estado individual para cada miembro de una piscina (como se muestra en la figura Estado de la piscina ). La fila para un servidor es verde si está en
línea, y rojo si el servidor es de ine fi.
Además, cada servidor de la piscina tiene una casilla junto a él. Los servidores que se comprueban son activos en la piscina, y sin marcar, los servidores están desactivados en la
piscina, lo mismo que moverlos entre la lista de activado y desactivado en la página de edición de la piscina. Para desactivar un servidor: desactiva, a continuación, haga clic Salvar.
Fig. 23.7: Estado piscina
Si el servicio de servidor web se detiene en uno de los servidores, o si el servidor se elimina de la red por completo si el uso de monitores ICMP, las
actualizaciones de estado del INE a fl y el servidor se elimina de la piscina.
Verificación de equilibrio de carga
Para verificar el equilibrio de carga, rizo es la mejor opción para garantizar la caché del navegador web y las conexiones persistentes no afectan los resultados de las pruebas. rizo está
disponible para todos los sistemas operativos imaginables y puede ser descargado desde el página web rizo . Para usarlo, simplemente ejecute:
rizo http: // mysite
En ese comando, reemplace 198.51.100.6 ya sea con la dirección IP o nombre de host del sitio. Esta debe ser probados desde fuera de la red (por ejemplo,
desde una red remota o cliente en WAN). A continuación se ilustra un ejemplo de la prueba con el enrollamiento de la banda de WAN:
# rizo http://198.51.100.6 Esta es www2 servidor -

10.6.0.12
# rizo http://198.51.100.6 Esta es www1 servidor -
10.6.0.11
Al principio, cuando las pruebas de equilibrio de carga, con fi gura a cada servidor devuelve una página especificando su nombre de host, dirección IP, o ambos, por lo que se hace
evidente qué servidor está respondiendo a la petición. Si las conexiones adhesivas no está habilitada, un servidor diferente, responder a cada solicitud.

Solución de problemas de equilibrio de carga del servidor
En esta sección se describe cómo identificar, solucionar problemas y resolver los problemas más comunes encontrados por los usuarios con balanceo de carga del servidor.
Las conexiones no están equilibrados
Las conexiones no ser equilibrada es casi siempre un fallo de la metodología de prueba que se utiliza, y es generalmente específica para HTTP. navegadores web
mantendrán comúnmente conexiones a un servidor web de código abierto, y golpear refresco reutiliza la conexión existente. Una sola conexión no será cambiado a otro
servidor con equilibrio. Otro problema común es la caché del navegador web, donde el navegador en realidad nunca solicita la página de nuevo. Es preferible utilizar
una herramienta de línea de comandos como rizo para las pruebas de esta naturaleza, ya que asegura que la prueba no se ve afectada por los problemas inherentes a
las pruebas con los navegadores web. rizo no tiene caché, y abre una nueva conexión al servidor cada vez que se ejecuta. Más información sobre rizo se puede
encontrar en Verificación de equilibrio de carga .
Si se habilitan las conexiones adhesivas, asegurar las pruebas se realizan a partir de múltiples direcciones IP de origen. Las pruebas de una sola dirección IP de origen irán a un
único servidor a menos que un largo período de tiempo que transcurre entre intentos de conexión.
Abajo servidor no marcado como de fl ine
Si un servidor se cae, pero no está marcado como de ine fi, es debido a que el monitoreo realizado por el demonio de balanceo de carga cree que es todavía en
funcionamiento. Si se utiliza un monitor TCP, el puerto TCP debe estar todavía de aceptar conexiones. El servicio en ese puerto puede ser roto en numerosas formas y todavía
responder a las conexiones TCP. Para los monitores ICMP, este problema se agrava, ya que los servidores se pueden colgar o se haya estrellado con ningún servicio de
escucha en absoluto y todavía responden a los pings.
servidor en vivo no marcado como línea
Si el servidor está en línea, pero no tan marcada en línea, es porque no está en línea desde la perspectiva de los monitores demonio equilibrio de carga. El servidor
debe responder en el puerto TCP utilizado o responder a los pings provenientes de la dirección IP de la interfaz cortafuego más cercano al servidor.
Por ejemplo, si el servidor está en la LAN, el servidor debe responder a las peticiones iniciadas a partir de la dirección IP LAN del cortafuego. Para verificar esto
para monitores ICMP, vaya a Diagnóstico> Ping y ping a la dirección IP del servidor utilizando la interfaz donde se encuentra el servidor. Para los monitores de TCP,
el uso Diagnóstico> puerto de prueba, y elegir la interfaz LAN del cortafuego como la fuente, y la dirección IP del servidor web y el puerto como destino.
Otra forma de probar es de un intérprete de comandos del cortafuego, ya sea mediante la opción de menú de la consola o ssh 8 y el Carolina del Norte
mando:
# nc -vz 10.6.0.12 80
NC: conectarse a 10.6.0.12 puerto 80 (TCP) ha fallado: vencimiento de la operación
Y aquí es un ejemplo de una conexión exitosa:
# nc -vz 10.6.0.12 80
La conexión al puerto 80 10.6.0.12 [TCP / HTTP] tuvo éxito!
Si la conexión falla, resolver otros problemas en el servidor web.
23.3. Solución de problemas de equilibrio de carga del servidor 477

No se ha podido llegar a un servidor virtual de un cliente en la misma subred que el servidor de la piscina
Los sistemas cliente en la misma subred que los servidores de la piscina no se podrán conectar adecuadamente el uso de este método de equilibrio de carga.
relayd reenvía la conexión con el servidor web con la dirección de origen del cliente intacta. El servidor entonces tratar de responder directamente al cliente.
Si el servidor tiene un camino directo hacia el cliente, por ejemplo, a través de una conexión local NIC en la misma subred, no va a fluir a través de la fi
cortafuegos correctamente y el cliente recibirá la respuesta de la dirección IP local del servidor y no la dirección IP en relayd. Entonces, debido al hecho de
que la dirección IP del servidor es incorrecto desde el punto de vista del cliente, la conexión se interrumpe como válido.
Una forma de evitar esto es mediante el uso de NAT saliente manual y la elaboración de una regla de salida NAT manual para que tra fi co salir de la interfaz interna
(LAN) procedente de la subred LAN, yendo a los servidores web, se traduce a la dirección de la interfaz de LAN. De esta forma el trá fi co parece originarse desde el
cortafuego, y el servidor responderá de nuevo al cortafuego, que luego retransmite el trá fi co de vuelta al cliente usando las direcciones esperadas. La dirección IP
original de origen del cliente se pierde en el proceso, pero la única solución viable es mover los servidores a un segmento de red diferente. Hay dos tipos de
funcionalidad de balanceo de carga están disponibles en pfSense: Gateway y Servidor. balanceo de carga de puerta de enlace permite la distribución de Internet
ligado trá fi co a través de múltiples conexiones WAN. Para obtener más información sobre este tipo de equilibrio de carga, ver Las conexiones WAN múltiples .
balanceo de carga del servidor gestiona entrante trá fi co por lo que utiliza múltiples servidores internos para la distribución de la carga y redundancia, y es el tema
de este capítulo.
el equilibrio de carga de servidores permite tráfico c a ser distribuido entre múltiples servidores internos. Se utiliza más comúnmente con los servidores web y servidores SMTP
aunque puede ser usado para cualquier servicio TCP o para DNS.
Mientras pfSense ha reemplazado gama alta, balanceadores de carga comerciales de alto costo, incluyendo BigIP, Cisco LocalDirector, y más graves en entornos de producción,
pfSense no es tan potente y flexible como soluciones de balanceo de carga comercial de nivel empresarial. No es adecuado para las implementaciones que deben controlarse
muy flexible y equilibrado fl fi guraciones. Para implementaciones grandes o complejos, una solución más potente se llama generalmente para. Sin embargo, la funcionalidad
disponible en pfSense se adapte a un sinnúmero de sitios muy bien para las necesidades básicas. paquetes con todas las funciones de equilibrado de carga están disponibles
para pfSense, tales como HAProxy y Barniz, pero el equilibrador de carga integrado basado en relayd de OpenBSD hace un gran trabajo para muchas implementaciones.
monitores en relayd puede comprobar los códigos de respuesta HTTP adecuados, comprobar las direcciones URL específicas, hacer una comprobación de puerto de ICMP o
TCP, incluso enviar una cadena específico y esperar una respuesta específica.
servicios TCP en el equilibrador de carga pfSense se manejan de una redirigir forma, lo que significa que funcionan como puertos delanteros inteligentes y no como un
proxy. La dirección de origen del cliente se conserva cuando la conexión se pasa a los servidores internos, y las reglas fi cortafuego debe permitir trá fi co a la dirección
interna real de los servidores de la piscina. Cuando relayd es con fi gurado para manejar DNS, sin embargo, funciona como un proxy, de aceptar conexiones y la creación de
nuevas conexiones a los servidores internos. Los servidores de equilibrio de carga de piscinas siempre se utilizan de una manera round-robin. Para técnicas de balanceo
más avanzadas, como fuente de hash, probar un paquete de proxy inverso como HAProxy en lugar.
Ver también:
Los clientes con una pfSense Suscripción Oro puede acceder al Hangouts Archivo para ver el número de enero el año 2015 Hangout en la carga del servidor y
failover.

CAPÍTULO
VEINTICUATRO
INALÁMBRICO
Hardware inalámbrica recomendada
Una variedad de tarjetas inalámbricas están soportadas en FreeBSD 10.3-RELEASE, y pfSense incluye soporte para cada tarjeta de apoyo de FreeBSD. Algunos tienen un mejor
soporte que otros. La mayoría de los desarrolladores de pfSense funcionan con el hardware de Atheros, por lo que tiende a ser el hardware más recomendado. Muchos tienen
éxito con otras tarjetas también, y Ralink es otra opción popular. Otras tarjetas pueden ser soportados, pero no son compatibles con todas las funciones disponibles. En particular,
algunas tarjetas de Intel se pueden utilizar en el modo de infraestructura como clientes, pero no se puede ejecutar en modo de punto de acceso debido a las limitaciones del
hardware en sí.
Las tarjetas inalámbricas de proveedores de renombre
Linksys, D-Link, Netgear y otros grandes fabricantes cambian el chipset comúnmente utilizado en sus tarjetas inalámbricas sin cambiar el número de modelo.
No hay manera de asegurar una fi co tarjeta de modelo específico de estos proveedores será compatible porque no hay manera confiable de saber qué
revisión “menor” y el chip de la tarjeta contiene un paquete. Mientras que una revisión de un modelo en particular puede ser compatible y trabajar bien, otra
carta del mismo modelo pueden ser incompatibles. Por esta razón, se recomienda evitar las tarjetas de los principales fabricantes. Si ya hay una tarjeta en la
mano, vale la pena probar para ver si es compatible. Tenga cuidado al comprar porque incluso si el “mismo” modelo funcionó para otra persona, una nueva
compra puede resultar en una pieza completamente diferente de hardware que no es compatible.
Estado de Soporte 802.11n
pfSense 2.3.3-RELEASE se basa en FreeBSD 10.3-RELEASE que tiene soporte para 802.11n en determinado hardware tales como los basados en el Atheros AR9280 y
conjuntos de chips AR9220. Hemos probado las tarjetas que utilizan esos conjuntos de chips y funcionan bien. Algunas otras tarjetas Atheros no son documentadas por
FreeBSD para trabajar en 802.11n, específicamente, MWL (4) y
IWN (4). Estos pueden trabajar con el estándar 802.11n pero las experiencias con velocidades de 802.11n puede variar. los Artículo FreeBSD Wiki para el apoyo
802.11n contiene la información puesta al día sobre los chipsets y controladores compatibles que funcionan con 802.11n.
Estado de Soporte 802.11ac
Actualmente, no hay soporte para 802.11ac en FreeBSD ni en pfSense.
Las frecuencias de radio y soporte de doble banda
Algunas tarjetas tienen soporte para 2,4 GHz y 5 GHz bandas, tales como la Atheros AR9280 , Pero sólo una banda se puede usar a la vez. Actualmente no
hay tarjetas soportadas y trabajan en FreeBSD que operará en ambas bandas al mismo tiempo.
479
El uso de dos tarjetas separadas en una sola unidad, no es deseable ya que sus radios pueden interferir. En los casos que requieren soporte de doble o múltiple de banda, se recomienda
encarecidamente un punto de acceso externo.
controladores inalámbricos incluidas en pfSense
En esta sección se enumeran los controladores inalámbricos incluidos en pfSense y los conjuntos de chips que son compatibles con los conductores. Esta información se deriva de
las páginas del manual de FreeBSD para los conductores en cuestión. Los conductores en FreeBSD se denominan por su nombre de controlador, seguido por (4), tal como ath (4). El
(4) se refiere a la sección de interfaces del núcleo de la colección página hombre, en este caso la especificación de un controlador de red. Los controladores se enumeran en orden
de frecuencia de uso con pfSense, basado en informes de los usuarios.
Para obtener información más detallada sobre tarjetas compatibles, y la información más actualizada, consulte la wiki de pfSense .
Tarjetas compatible con el modo de punto de acceso (hostap)
Las cartas de esta sección de soporte que actúan como punto de acceso para aceptar conexiones de otros clientes inalámbricos. Esto se conoce como hostap modo.
ath (4)
los ath (4) controlador es compatible con las tarjetas basadas en la Atheros AR5210, AR5211, AR5212, AR5416, y APIs AR92xx que son utilizados por muchos otros chips Atheros
de diferentes números de modelo. La mayoría de las tarjetas Atheros compatibles con cuatro puntos de acceso virtuales (VAPs) o estaciones o una combinación para crear un
repetidor inalámbrico. Aunque no aparece de forma explícita en la página del manual, el Artículo FreeBSDWiki de Apoyo 802.11n También establece que el conductor tiene soporte
para AR9130, AR9160, AR9280, AR9285, AR9287, y potencialmente otros conjuntos de chips relacionados.
ral (4) / ural (4) / ron (4) / run (4)
Hay varias Ralink Technology IEEE 802.11 controladores de red inalámbricos relacionados, cada uno por un conjunto y el tipo de tarjeta diferente.
• ral (4) soporta tarjetas basadas en el Ralink Technology RT2500, RT2501 y RT2600, RT2700, RT2900 y RT3090 conjuntos de chips.
• ural (4) apoya RT2500USB.
• ejecutar (4) apoya RT2700U, RT2800U, RT3000U, RT3900E, y similar.
• ron (4) apoya RT2501USB y RT2601USB y similar. De éstos, sólo ciertos chips de apoyo de ejecutar (4) puede soportar los VAP. el RT3090 ral
(4) chip es el único modelo que aparece como capaz de 802.11n en FreeBSD. El RT2700 y RT2800 ral (4)
y la RT3900E ejecutar (4) de hardware son capaces de 802.11n, pero los conductores en FreeBSD actualmente no admiten su
características 802.11n.
MWL (4)
El controlador de red inalámbrica IEEE 802.11 Marvell, MWL (4), soporta tarjetas basadas en el chipset 88W8363 y es totalmente compatible con 802.11n. Esta tarjeta es
compatible con múltiples VAP y estaciones, hasta ocho de cada uno.
480 Capítulo 24. inalámbrica

Tarjetas que soporta solamente el modo de cliente (estación)
Las cartas de esta sección no son capaces de actuar como puntos de acceso, pero se pueden usar como clientes en modo de estación, por ejemplo, como una WAN inalámbrica.
uath (4)
USB 2.0 dispositivos inalámbricos Atheros utilizando AR5005UG y AR5005UX conjuntos de chips son compatibles con el uath (4) conductor.
ipw (4) / iwi (4) / IWN (4) / IPM (4)
controladores de red inalámbrica Intel cubren varios modelos con diferentes conductores.
• ipw (4) soporta Intel PRO / Wireless 2100 adaptadores MiniPCI.
• iwi (4) soporta Intel PRO / Wireless 2200BG / 2915ABG MiniPCI y 2225BG PCI adaptadores.
• IWN (4) soporta Intel Wireless WiFi Link 4965, 1000, 5000 y 6000 adaptadores serie PCI-Express.
• WPI (4) soporta adaptadores Intel 3945ABG. Tarjetas soportadas por el IWN (4) piloto se documentan por FreeBSD como soporte 802.11n en modo
cliente. Varios adaptadores Intel tienen una restricción de licencia con una advertencia que aparece en el registro de arranque. los ipw (4), iwi (4), y WPI (4) conductores
tienen licencia archivos que debe ser leído y aceptó.
Estas licencias son lo-

cadas en el cortafuego en / usr / share / doc / legal / intel_ipw / LICENCIA, / Usr / share / doc / legal / intel_iwi / LICENCIA, y
/ Usr / share / doc / legal / intel_wpi / LICENCIA respectivamente. Para estar de acuerdo con la licencia, editar / boot / loader.conf.local y añadir una línea para indicar el
reconocimiento de licencias, tales como:
legal . intel_ipw . license_ack = 1
Dado el uso limitado de estos adaptadores como clientes solamente, una solución basada en GUI para reconocer estas licencias aún no ha sido creado.
BWI (4) / BWN (4)
El conductor inalámbrica 802.11b / g Broadcom BCM43xx IEEE se divide en dos, dependiendo de los modelos fi cos en uso.
• BWI (4) apoya BCM4301, BCM4303, BCM4306, BCM4309, BCM4311, BCM4318, BCM4319 usando una versión más antigua de la v3 fi rmware
Broadom.
• BWN (4) apoya BCM4309, BCM4311, BCM4312, BCM4318, BCM4319 usando una versión más reciente de la v4 fi rmware Broadcom.
Apoyo ofrecido por los conductores se solapa para algunas tarjetas. los BWN (4) controlador es el preferido para las tarjetas que soporta mientras que el BWI (4) conductor debe ser utilizado en
las tarjetas de más edad que no están cubiertos por BWN (4)
Malo (4)
conductor inalámbrica 802.11b / g Marvell Libertas IEEE, Malo (4), admite tarjetas que utilizan el chipset 88W8335.
upgt (4)
El conductor inalámbrica IEEE 802.11b / g USB Conexant / Intersil PrismGT SoftMac, upgt (4), admite tarjetas que utilizan el chipset GW3887.
24.1. Hardware inalámbrica recomendada 481

urtw (4) / urtwn (4) / RSU (4)
El trío de controladores inalámbricos relacionados Realtek cubre varios modelos diferentes:
• urtw (4) soporta modelos IEEE 802.11b / g RTL8187B / L USB con una radio RTL8225
• urtwn (4) apoya RTL8188CU / RTL8188EU / RTL8192CU 802.11b / g / n
• RSU (4) soportes RTL8188SU / RTL8192SU 802.11b / g / n Como en otros casos similares, aunque los chips de apoyo de urtwn (4) y RSU (4) son
capaces de 802.11n, FreeBSD no soporta sus características 802.11n.
zyd (4)
El conductor 802.11b / g dispositivo de red inalámbrica IEEE USB ZyDAS ZD1211 / ZD1211B, zyd (4), soporta adaptadores utilizando los chips USB ZD1211 y
ZD1211B.
Soporte de hardware especificaciones cs
Tenemos una hoja de cálculo en línea con detalles más completos de soporte de hardware, incluyendo más conjuntos de chips y modelos de ejemplo de dispositivos que son
compatibles con ciertos controladores. Actualmente esta información se lleva a cabo en un público hoja de cálculo de Google Docs ligado de la Artículo wiki de documentación en
soporte inalámbrico . Como se ha señalado anteriormente en este capítulo, a menudo los fabricantes de chips de dispositivos cambiarán pero no números de modelo, por lo que es una
guía aproximada, en el mejor, pero todavía pueden dar alguna orientación útil.
Trabajar con Access Point Wireless Virtual Interfaces
pfSense es compatible con las interfaces inalámbricas virtuales utilizando múltiples BSS. Estos son conocidos como punto de acceso virtual o VAP con interfaces, incluso si
están siendo utilizados para el modo de cliente. VAP permiten múltiples puntos de acceso o clientes que se ejecutan en la misma tarjeta de red inalámbrica, o que utilizan una
combinación de punto de acceso y el modo cliente. El caso de uso más común es para múltiples puntos de acceso con diferentes SSID cada uno con requisitos de seguridad
únicos. Por ejemplo, uno sin cifrado pero con portal cautivo y estrictas reglas de acceso y una red independiente con encriptación, autenticación y reglas de acceso menos
estrictas.
Incluso si una tarjeta no soporta múltiples instancias VAP, la primera entrada se debe crear manualmente antes de que pueda ser asignado.
El apoyo a los VAP varía según la tarjeta y controlador, consulte la información sobre el soporte conductor en Hardware inalámbrica recomendada aprender más. Las
probabilidades son, sin embargo, si una tarjeta inalámbrica Atheros está en uso, va a trabajar. Aunque no hay límite teórico para el número de una tarjeta de VAP puede
utilizar, el conductor y el soporte de hardware varía, por lo que el límite práctico es de cuatro VAP en ath (4) y ocho en MWL (4).
Todos los VAP en un recurso compartido de tarjetas dado algunas opciones comunes, tales como el canal, los ajustes de regulación, configuración de la antena, y el estándar inalámbrico. Otros
ajustes tales como el modo, SSID, configuración de cifrado y así sucesivamente pueden variar entre los VAP.
Creación y gestión de instancias de Wireless
Para crear una nueva instancia inalámbrica:
• Navegar a Interfaces> (asignar) sobre el Inalámbrico lengüeta.
• Hacer clic Añadir para crear una nueva entrada

• Selecciona el Interfaz de los padres, por ejemplo ath0
• escoger el Modo de uno de Punto de Acceso, Infraestructura ( BSS, modo cliente), o Ad hoc ( IBSS)
• Entrar a Descripción
Un ejemplo se muestra en la figura Adición de una Instancia Wireless .
Fig. 24.1: Adición de un Instancia Wireless
Una vez que la entrada ha sido guardado está entonces disponible para asignación en virtud Interfaces> (asignar). A partir de ahí, asignar y luego editar la configuración como
cualquier otra interfaz inalámbrica.
Nota: La interfaz asignado debe ser con fi gurada para utilizar el mismo modo específico ed cuando se creó el VAP.
WAN inalámbrica
Una tarjeta de red inalámbrica en un cortafuego corriendo pfSense se puede utilizar como la interfaz WAN primaria o una WAN adicional en un despliegue multi-WAN.
asignación de interfaces
Si aún no se ha asignado la interfaz inalámbrica, hay dos opciones posibles: agregarlo como una interfaz OPT adicional o reasignar como WAN.
Antes de comenzar, crear la instancia inalámbrico como se describe en Creación y gestión de instancias de Wireless si no existe ya. Cuando se trabaja como una
WAN, se debe utilizar Infraestructura modo (BSS). Para añadir la interfaz como una nueva interfaz OPT:
• Vaya a Interfaces> (asignar)
• Seleccione la interfaz inalámbrica de la puertos de red disponibles desplegable debajo de las otras interfaces
• Hacer clic Añadir añadir la interfaz como una interfaz OPT
Para volver a asignar la interfaz inalámbrica WAN como:
• Vaya a Interfaces> (asignar)
24.3. WAN inalámbrica 483

• Seleccione la interfaz inalámbrica como PÁLIDO
• Haga clic en Guardar la figura Asignación de interfaz WAN inalámbrica muestra una tarjeta Atheros asignado como WAN.
Fig 24.2:. Asignación de interfaz de WAN inalámbrica
Con fi guración de la red inalámbrica
La mayoría de las WAN inalámbricas necesitan sólo un puñado de opciones establecidas, pero especí fi cs varían dependiendo del punto de acceso (AP) al que se conectará esta
interfaz de cliente.
• Vaya a la Interfaces menú de la interfaz WAN inalámbrica, por ejemplo Interfaces> WAN
• Seleccione el tipo de con fi guración ( DHCP, IP estática, etc.)
• Desplazarse hacia abajo para Común con fi guración inalámbrica
• Selecciona el Estándar para que coincida con el AP, por ejemplo 802.11g
• Seleccione la apropiada Canal para que coincida con el punto de acceso
• Desplazarse hacia abajo para fi-red específica C con fi guración inalámbrica
• Selecciona el Modo a Infraestructura (BSS) modo
• Introducir el SSID para el AP
• cifrado con fi gura como WPA2 (Wi-Fi Protected Access) si está en uso por el AP
• Revisar la configuración restantes si es necesario y seleccione otras opciones adecuadas para que coincida con el punto de acceso
Comprobación del estado inalámbrico
Vaya a Estado> Interfaces para ver el estado de la interfaz inalámbrica. Si la interfaz se ha asociado con éxito con el punto de acceso que se indica en
la página de estado. UN estado de asociado significa la interfaz se ha conectado al AP con éxito, como se muestra en la figura Interfaz WAN inalámbrica
asociada
Si la interfaz estado espectáculos Ninguna compañía, no fue capaz de asociar. Figura Ninguna compañía de WAN inalámbrica muestra un ejemplo de esto, donde
la antena se desconectó por lo que no se pudo conectar a una red inalámbrica que estaba a cierta distancia.

Fig. 24.3: Asociada Interfaz WAN inalámbrica
24.3. WAN inalámbrica 485

Fig. 24.4: No portador en WAN inalámbrica
Mostrando las redes inalámbricas disponibles y fuerza de la señal
Los puntos de acceso inalámbricos visibles por el cortafuego se pueden ver navegando a Estado> Inalámbrico como se muestra en la figura Estado inalámbrico .
Una interfaz inalámbrica debe ser con fi gurado antes de que aparezca este elemento de menú.
Fig. 24.5: Estado inalámbrico
Bridging e inalámbrico
Bridging dos interfaces juntos los coloca en el mismo dominio de difusión como si estuvieran conectados al mismo conmutador. Normalmente, esto se hace
para que dos interfaces actuarán como si estuvieran en la misma FL en red utilizando la misma subred IP, en este caso una interfaz inalámbrica y por cable de
interfaz. Cuando se puentean dos interfaces, broadcast y multicast tráfico fi co se reenvía a todos los miembros de puente.

Ciertas aplicaciones y dispositivos se basan en la emisión de trá fi co de funcionar. Por ejemplo, AirTunes de Apple no funcionarán a través de dos dominios de
difusión. Así que si AirTunes está presente en la red inalámbrica y debe ser accedido desde un sistema en la red por cable, las redes cableadas e inalámbricas
deben estar puenteados. Otros ejemplos incluyen los servicios de medios proporcionados por dispositivos como Chromecast, TiVo, Xbox 360 y Playstation 3.
Estos dependen de multidifusión o difusión tráfico c que sólo puede funcionar si se puentean las redes cableadas e inalámbricas.
Puntos de acceso inalámbricos y Bridging
Únicamente las interfaces inalámbricas en modo de punto de acceso (hostap) funcionarán en una con fi guración en puente. A fi interfaz inalámbrica con gurada para
hostap se puede salvar a otra interfaz que los combina en el mismo dominio de difusión. Esto puede ser deseable para ciertos dispositivos o aplicaciones que deben
residir en el mismo dominio de difusión para funcionar correctamente, como se mencionó anteriormente.
BSS e inalámbrico IBSS y Bridging
Debido a las obras inalámbricas manera en el modo BSS (Basic Service Set, el modo de cliente) y el modo IBSS (Conjunto de Servicios Básicos Independientes, el modo
Ad-hoc), y la forma en la reducción de obras, una interfaz inalámbrica no se puede salvar en BSS o el modo IBSS. Cada dispositivo conectado a una tarjeta inalámbrica en BSS
o IBSS modo debe presentar la misma dirección de MAC. Con puente, la dirección de MAC pasado es la MAC real del dispositivo conectado. Esto es normalmente una faceta
deseable de la forma en la reducción de las obras. Con la tecnología inalámbrica, la única forma de esta función lata es si todos los dispositivos detrás de esa tarjeta inalámbrica
presentan la misma dirección MAC en la red inalámbrica. Esto se explica en profundidad por expertos inalámbrica señalado Jim Thompson en un puesto de la lista de correo .
Como un ejemplo, cuando VMware Player, estación de trabajo o servidor es con fi gurado para tender un puente a una interfaz inalámbrica, se traduce
automáticamente la dirección MAC a la de la tarjeta inalámbrica. Porque no hay manera de traducir una dirección MAC en FreeBSD, y debido a la forma de
puente en FreeBSD funciona, es difícil proporcionar soluciones provisionales similares a los que ofrece VMware. En algún momento pfSense puede apoyar esto,
pero no está en la hoja de ruta para 2.x.
La elección de enrutamiento o Bridging
La elección entre puente (utilizando la misma subred IP que la red LAN existente) o encaminamiento (usando una subred IP dedicada para la telefonía celular) para los
clientes inalámbricos dependerá de qué servicios requieren los clientes inalámbricos. En muchas redes domésticas entornos existen aplicaciones o dispositivos que
requieren conexión de cable y redes inalámbricas para ser salvada. En la mayoría de las redes corporativas, hay pocas o ninguna las aplicaciones que requieren de
puente. ¿Cuál elegir depende de los requisitos de las aplicaciones de red en uso, así como las preferencias personales.
Hay algunos compromisos a este, siendo el paquete Avahi un ejemplo. Se puede escuchar en dos dominios de difusión y los mensajes de retransmisión de uno a otro diferente con
el fin de permitir multicast DNS para trabajar (también conocido como Rendezvous o Bonjour) para el descubrimiento y servicios de red. Si los servicios que se requieren todos los
protocolos de uso que pueden ser manejados por Avahi, a continuación, utilizando un método encaminado pueden ser posibles.
Para los servicios que se ejecutan en el cortafuego, puente también puede ser problemático. Características tales como limitadores, portal cautivo, y proxies transparentes
requieren especial con fi guración y gastos de envío para trabajar en redes con puentes. Específicamente, el puente en sí debe ser asignado y la única interfaz en el
puente con una dirección IP debe ser el puente asignado. Además, a fin de que estas funciones trabajen, la dirección IP en el puente debe ser la dirección utilizada por los
clientes como su puerta de enlace.
El uso de un punto de acceso externo
La mayoría de los enrutadores inalámbricos de estilo SOHO puede ser utilizado como un punto de acceso si un cierto punto de acceso (AP) no está disponible. Si pfSense
sustituyó a un router inalámbrico existente, todavía podría ser utilizado para manejar la parte inalámbrica de la red si lo desea. Este tipo de implementación es muy popular para
inalámbrica, ya que es más fácil mantener el punto de acceso en un lugar con
24.5. El uso de un punto de acceso externo 487

mejor señal y tomar ventaja de hardware inalámbrico más actual sin depender de la compatibilidad de controladores en pfSense. De esta manera una red inalámbrica
802.11ac todavía puede ser usada y asegurada por pfSense en la frontera, a pesar de que pfSense todavía no tiene soporte para tarjetas 802.11ac.
Esta técnica también se utiliza comúnmente con equipos inalámbricos corriendo * WRT, tomate, u otro rmware encargo fi para su uso como puntos de acceso dedicados
en lugar de routers de frontera.
Volviendo un router inalámbrico en un punto de acceso
Al sustituir un router inalámbrico simple tal como un Linksys, D-Link u otro dispositivo de grado casa con pfSense como un cortafuego perímetro, la funcionalidad inalámbrica
puede ser retenido. Para convertir el router inalámbrico a un punto de acceso inalámbrico, siga estos pasos genéricos para cualquier dispositivo. Para hallar especí fi cs para un
router inalámbrico en particular, consulte la documentación correspondiente.
Desactivar el servidor DHCP
Desactivar el servidor DHCP en el router inalámbrico para evitar un conflicto. pfSense se encargará de esta función para la red, y que tiene dos servidores
DHCP en el mismo dominio de difusión causará problemas.
Cambiar la dirección IP de la LAN
Cambiar la dirección IP LAN del router inalámbrico a una dirección IP no utilizada en la subred donde se ubicará (comúnmente LAN). Si el cortafuego corriendo
pfSense reemplazado este router inalámbrico, entonces el router inalámbrico fue probablemente utilizando la misma dirección IP ahora asignada a la interfaz LAN
pfSense, por lo que debe ser cambiado. Se requiere una dirección IP funcional en el punto de acceso con fines de gestión y para evitar dirección IP conflictos.
Enchufe la interfaz LAN
La mayoría de los enrutadores inalámbricos puente de su red inalámbrica a los puertos internos de puerto o conmutador LAN. Esto significa que el segmento inalámbrico estará en el mismo
dominio de difusión y la subred IP que los puertos cableados. Para los routers con un conmutador integrado, cualquiera de los puertos de switch LAN normalmente funcionará.
Nota: No conecte el puerto WAN o Internet del router inalámbrico! Esto hará que la red inalámbrica en un dominio de difusión diferente del resto de
la red y el router inalámbrico llevará a cabo NAT en el trá fi co entre el inalámbrico y LAN. Esto también se traduce en NAT doble de trá fi co entre
la red inalámbrica e Internet. Este es un diseño feo, y dará lugar a problemas en algunas circunstancias, especialmente si debe producirse la
comunicación entre los clientes de LAN inalámbricas y por cable.
La decisión de dónde conectar la interfaz LAN del router inalámbrico depende del diseño de la red elegida. Las siguientes secciones cubren opciones y
consideraciones para la selección del mejor estilo de despliegue.
Puente inalámbrico a la red LAN
Uno de los medios comunes de despliegue inalámbrico es conectar el punto de acceso directamente en el mismo interruptor como los anfitriones LAN, donde el AP bridges los
clientes inalámbricos a la red cableada. Esto funcionará definir, pero ofrece un control limitado sobre la capacidad de los clientes inalámbricos para comunicarse con sistemas
internos. Ver La elección de enrutamiento o Bridging para más detalles sobre puente en este papel.

Bridging inalámbrico a una interfaz OPT
Para un mayor control sobre los clientes inalámbricos, añadiendo una interfaz OPT al cortafuego para el punto de acceso es la solución preferida. Para mantener las
redes inalámbricas y por cable en el mismo dominio de subred IP y difusión, la interfaz OPT puede ser superada a la interfaz LAN. Este escenario es funcionalmente
equivalente a conectar el punto de acceso directamente en el conmutador LAN, excepto pfSense puede filtro de trá fi co de la red inalámbrica para proporcionar
protección a los hosts de la LAN y viceversa.
Nota: Una con fi guración con el puente asignado como LAN es óptima aquí, en lugar de sólo tener los TPO puente a la LAN cableada existente.
segmento de enrutado en una interfaz OPT
La red inalámbrica también se puede colocar en una subred IP diferente si lo desea. Esto se hace sin cerrar la interfaz de TPO en pfSense, en lugar de asignarlo con una
dirección IP en una subred independiente diferente de la LAN. Esto permite encaminamiento entre redes internas e inalámbricas, según lo permitido por el conjunto de
reglas fi cortafuegos. Esto se hace comúnmente en las redes más grandes, donde múltiples puntos de acceso están conectados a un conmutador que está conectado a
continuación en la interfaz OPT en pfSense. También es preferible cuando los clientes inalámbricos se verán obligados a conectarse a una VPN antes de permitir
conexiones a los recursos de la red interna.
pfSense como un Punto de Acceso
Con una tarjeta inalámbrica que soporte el modo hostap (Ver Tarjetas compatible con el modo de punto de acceso (hostap) ), pfSense puede ser con fi gurada como un punto de acceso
inalámbrico.
En caso de un punto de acceso externo o pfSense ser utilizados para un punto de acceso?
La funcionalidad de punto de acceso en FreeBSD, y por lo tanto pfSense, ha mejorado de manera espectacular en los últimos años y es estable consi- Ered actualmente para la
mayoría de usos. Dicho esto, muchos casos de uso se comportan mejor con un punto de acceso externo, especialmente implementaciones que tienen requisitos tales como
802.11ac, el funcionamiento simultáneo de 2,4 GHz y 5 GHz, redes inalámbricas en malla, o casos raros con los clientes que no va a asociarse con un punto de acceso de
ejecución utilizando pfSense. Los puntos de acceso en pfSense se han utilizado con éxito en despliegues a pequeñas y medianas empresas, con equipo como un MacBook,
AirTunes Pro de Apple, iPod Touch, iPad, teléfonos Android y tabletas, varios ordenadores portátiles de Windows, clientes de Xbox, y FreeBSD y funciona muy fiable a través de
todos estos dispositivos. Existe la posibilidad de hallazgo dispositivos incompatibles con cualquier punto de acceso, y FreeBSD no es una excepción.
El principal factor decisivo en estos días es el apoyo 802.11n o 802.11ac; Soporte para hardware 802.11n en pfSense es algo limitado y no existe
802.11ac apoyo. Esto es motivo de ruptura para algunos, y como tal mediante un punto de acceso externo que sería mejor para redes que requieren
802.11ac y en algunos casos 802.11n si no se puede obtener el hardware adecuado.
El siguiente factor más común es la ubicación de las antenas o el punto de acceso inalámbrico en general. A menudo, el cortafuego corriendo pfSense se encuentra en un
área del edificio que no es óptimo para la telefonía celular, tales como una sala de servidores en un rack. Para la cobertura de ideales, la mejor práctica es localizar el punto
de acceso en un área que es menos susceptible a la interferencia inalámbrica y que tendría una mejor intensidad de la señal a la zona donde residen los clientes
inalámbricos. Si el cortafuego corriendo pfSense se encuentra solo en un estante en un área común u otra área similar propicio para una buena señal inalámbrica, esto puede
no ser una preocupación.
24.6. pfSense como un Punto de Acceso 489

Con fi gurar pfSense como un punto de acceso
El proceso de con pfSense fi guración para actuar como un punto de acceso inalámbrico (AP) es relativamente fácil. Muchas de las opciones será familiar para cualquier
persona que tenga con fi gurada otros enrutadores inalámbricos antes, y algunas opciones pueden ser nuevas a menos que los equipos inalámbricos de calidad comercial
se ha utilizado. Hay docenas de maneras para con los puntos de acceso cifra docenas, y todos ellos dependen del entorno en el que se desplegará. En este ejemplo
pfSense es con fi gurado como un AP básica que utiliza el cifrado WPA2 con AES. En este ejemplo, ExampleCo necesita acceso inalámbrico para algunos ordenadores
portátiles en la sala de conferencias.
Preparación de la interfaz inalámbrica
Antes de comenzar, asegúrese de que la tarjeta inalámbrica se instala en el cortafuego y las trenzas y las antenas están unidas firmemente. Crear la instancia
inalámbrico como se describe en Creación y gestión de instancias de Wireless si no existe ya. Cuando se trabaja como un punto de acceso, se debe utilizar Punto
de acceso modo. La tarjeta inalámbrica se debe asignar como una interfaz OPT y activada antes de la con fi guración restante se puede completar.
Descripción de la interfaz Cuando está en uso como un punto de acceso, nombrando a la interfaz WLAN ( LAN inalámbrico)
o Inalámbrico, o dándole el nombre de la SSID hace que sea más fácil de identificar. Si pfSense va a manejar múltiples puntos de
acceso, que debería haber alguna manera de distinguirlos, como “WLANadmin” y “WLANsales”. En este ejemplo, se nombra ConfRoom.
Tipo de interfaz Dado que este ejemplo será un punto de acceso en una subred IP dedicada, el IPv4 Con fi guración Tipo
debe establecerse en IPv4 estática
Dirección IP Una dirección IPv4 y la máscara de subred debe ser especi fi cado. Esta es una subred separada de la
otras interfaces. Para este ejemplo puede ser 192.168.201.0/24, una subred que es de otra manera no utilizado en la red
ExampleCo. El uso de esa subred, la dirección IPv4 para esta interfaz será
192.168.201.1.
Parámetros inalámbricos comunes
Estos valores son compartidos por todos los VAP en una tarjeta inalámbrica física dada. La modificación de esta configuración de una interfaz cambiará ellas en todas las demás
interfaces virtuales utilizando el mismo adaptador físico.
Persistir ajustes comunes Al marcar Persistir ajustes comunes, los valores con fi guración en esta sección
se conservarán incluso si todas las interfaces y los VAP son eliminados o reasignados, cuando de otra manera se perderían.
Estándar inalámbrico Dependiendo de soporte de hardware, hay varias opciones disponibles para el
inalámbrico Estándar entorno, incluyendo 802.11b, 802.11g, Turbo 802.11g, 802.11a, turbo 802.11a,
802.11ng, 802.11na, y posiblemente otros. Para este ejemplo, elegiremos 802.11ng un punto de acceso 802.11n funciona en la
banda de 2,4 GHz.
Modo de Protección 802.11g OFDM los 802.11g OFDMProtectionMode ajuste sólo es útil en mixto
entornos estándar donde 802.11g y 802.11b tienen que interactuar. Su uso principal es para evitar colisiones. Dada la edad de 802.11b y la
escasez de los dispositivos que lo utilizan de trabajo, el ajuste es mejor dejar al Modo de protección fuera. Hay una penalización de
rendimiento para su uso, ya que tiene cierta sobrecarga en cada fotograma y también requiere pasos adicionales cuando se transmiten
tramas.
Selección de canal inalámbrico Al seleccionar una Canal, conocimiento de los transmisores de radio en las proximidades de sim-
bandas de frecuencia ILAR se requiere para evitar interferencias. Además de los puntos de acceso inalámbricos, también hay teléfonos
inalámbricos, Bluetooth, monitores de bebés, transmisores de video, microondas y muchos otros dispositivos que utilizan el mismo espectro de
2,4 GHz que puede causar interferencias. A menudo, cualquier canal funcionará siempre y cuando los clientes de AP están cerca de la antena.
Con 802.11g y antes, los canales más seguros para uso se 1, 6, y 11 ya que sus bandas de frecuencia no se solapan entre sí.

Esto ya no es cierto con 802.11n y más tarde o incluso algunas configuraciones 802.11g que utilizan rangos de frecuencias más amplio para
alcanzar velocidades más altas. Para esta red, ya que no hay otros a su alrededor, el canal 1
es una opción definir.
Nota: Siempre recoger un canal específico. No seleccione Auto para el canal de un punto de acceso. La validación de la entrada en las
versiones actuales de pfSense evita que esto ser seleccionado.
Al utilizar otras normas, o utilizando una conexión inalámbrica en países distintos de los EE.UU., puede haber muchos más canales disponibles
que se describe aquí. Las tarjetas que soportan 802.11a o 802.11n también pueden soportar los canales en el espectro de 5 GHz.
La lista completa de canales soportados por la tarjeta se muestra en la Canal desplegable y debe estar de acuerdo con los elegidos Estándar.
Por ejemplo, no elija 802.11ng para el Estándar y luego recoger una Canal utilizado sólo para 802.11na. La lista de canales también
incluye información sobre el estándar, la frecuencia del canal, y la potencia de transmisión máximo tanto de la tarjeta y en el dominio
regulador para ese canal particular. Tenga cuidado para ver la potencia cuando se selecciona un canal, debido a que algunos
canales, especialmente en la banda de 5 GHz, varían ampliamente en sus niveles de potencia permitidos.
Ver también:
herramientas de estudio como NetSurveyor , inssider , Wi-Spy, y un sinnúmero de otras aplicaciones para varios sistemas operativos, teléfonos,
tabletas, etc. pueden ayudar a elegir un canal menos ocupado o zona del espectro. Kilometraje puede variar.
ajuste de la distancia Medido en metros, y sólo con el apoyo de Atheros tarjetas, El distancia de ajuste campo
temporizadores melodías ACK / CTS a FI t la distancia entre el AP y el cliente. En la mayoría de los casos no es necesario con fi gurar este valor, pero
puede ayudar en ciertas configuraciones inalámbricas difíciles tales como clientes a largo plazo.
ajustes regulatorios
los ajustes regulatorios sección controla cómo se permite que la tarjeta para transmitir legalmente en una región fi cado. Los distintos países suelen tener diferentes ajustes
de regulación, y en algunos países no tienen ninguno. Si no está seguro, consulte con el gobierno local para ver los que se aplican las leyes en un área determinada. Los
valores por defecto son por lo general bien, como las tarjetas se pueden fijar a una región especí fi co ya. En algunos casos ajustes regulatorios se deben ajustar
manualmente si la tarjeta tiene un valor predeterminado no se entiende por el conductor. Al igual que en el apartado anterior, estos valores se aplican a la propia tarjeta y no
pueden variar entre los VAP en la tarjeta.
Si bien puede ser tentador para ajustar la tarjeta al Depurar con el fin de utilizar los ajustes no permitían otra manera, esta acción podría resultar en problemas legales en caso de
que se dio cuenta. La probabilidad de que esto ocurra varía mucho según el país / zona por lo que utilizar con precaución.
Dominio regulatorio los Dominio regulatorio es el organismo gubernamental que controla comu- inalámbrico
caciones en una región. Por ejemplo, los EE.UU. y Canadá seguimos regulaciones de la FCC, mientras que en el Reino Unido es el ETSI. Si no está
seguro del dominio regulador en una región, consulte la País ajuste.
País A veces los países especí fi cos dentro de un dominio regulador tienen diferentes restricciones. los Con-
tratar opción contiene una lista desplegable de muchos países de todo el mundo y sus códigos de los países asociados y
dominios reguladores.
Ubicación Existen ciertas restricciones para Interior y Al aire libre transmisiones también. Ajuste de la Ubicación
del transmisor ajustará aún más la potencia y / o canales de transmisión permitido.

Red-específico con fi guración inalámbrica
Estos ajustes son únicos para cada interfaz, incluso en las interfaces inalámbricas virtuales. El cambio de estos ajustes no afecta a otras interfaces.
Modo inalámbrico Selecciona el Modo campo de Punto de acceso , y pfSense utilizará hostapd para actuar como un punto de acceso.
Service Set identi fi cador (SSID) los SSID es el “nombre” de la AP como se ve por los clientes. Ajuste el SSID para
algo fi fácilmente identificables pero único. Siguiendo con el ejemplo, ConfRoom es un buen nombre para su uso.
estándar inalámbrico mínimo los estándar inalámbrico mínimo desplegable controla si o no

clientes mayores son capaces de asociar a este punto de acceso. Permitiendo a los clientes de edad avanzada pueden ser necesarios en algunos entornos si los
dispositivos están todavía alrededor que lo requieran. Algunos dispositivos sólo son compatibles con
802.11g y requieren una red g mixta / n con el fin de trabajar. El lado ip fl de esto es que las velocidades más lentas pueden ser vistos como un resultado de
permitir que tales dispositivos de la red como el punto de acceso se verá obligado a atender al denominador común más bajo cuando un dispositivo 802.11g
está transmitiendo al mismo tiempo como un 802.11 dispositivo de n. En nuestro ejemplo, sala de conferencias, los usuarios sólo van a utilizar los
ordenadores portátiles recientemente adquiridos propiedad de la compañía que son todos capaces de 802.11n, por lo 802.11n es la mejor opción.
Intra-BSS Comunicación Si Permitir la comunicación intra-BSS está marcada, los clientes inalámbricos estarán
capaz de ver directamente entre sí. Si los clientes sólo tendrán acceso a Internet, normalmente es más seguro para desactivar esta opción. En este escenario, los
usuarios en la sala de conferencias pueden necesitar compartir archivos de ida y vuelta directamente entre ordenadores portátiles, por lo que este se mantendrán
comprobado.
Habilitar WME Extensiones multimedia inalámbricas, o WME, es una parte de la estándar inalámbrico que ofrece
algunos Calidad de Servicio para el tráfico inalámbrico fi co para asegurar una correcta entrega de contenidos multimedia. Se requiere para 802.11n para operar,
pero es opcional para las normas más antiguas. Esta característica no es compatible con todas las tarjetas / controladores.
Hide SSID Normalmente, el AP transmitirá su SSID para que los clientes puedan localizar y asociarse con él fácilmente.
Esto es considerado por algunos como un riesgo de seguridad, anunciando a todos los que están escuchando que una red inalámbrica está disponible, pero en
la mayoría de los casos la comodidad es mayor que el (insignificante) riesgo para la seguridad. Los beneficios de la desactivación de SSID de difusión son
exagerados por algunos, ya que en realidad no ocultar la red de cualquier persona capaz de utilizar muchas herramientas de seguridad inalámbrica de libre
disposición que fi fácil encontrar este tipo de redes inalámbricas. Para nuestra sala de conferencias AP, vamos a dejar esta opción sin marcar para que sea más
fácil para los asistentes de la reunión de encontrar y utilizar el servicio.
Encriptación inalámbrica (WPA)
Hay dos tipos de cifrado son compatibles con las redes 802.11: WPA, y WPA2. WPA2 con AES es el más seguro. Incluso cuando no preocuparse por cifrar el
exceso de tráfico por el aire fi c (que debe ser hecho), proporciona un medio adicional de control de acceso. Todas las tarjetas inalámbricas modernas y
controladores soportan WPA2.
Advertencia: Las debilidades de cifrado inalámbrico

WEP tiene problemas de seguridad graves conocida desde hace años, y soporte para WEP se ha eliminado de pfSense. Es posible obtener la clave WEP en
cuestión de minutos como máximo, y nunca se debe confiar en la seguridad. Si se requiere WEP, un punto de acceso externo debe ser utilizado.
TKIP (Temporal Key Integrity Protocol), que forma parte de AES, se convirtió en un sustituto de WEP después de que se rompió. Se utiliza el mismo
mecanismo subyacente como WEP, y por lo tanto es vulnerable a algunos ataques similares. Estos ataques se han vuelto más práctico y TKIP ya no se
considera seguro. TKIP nunca debe usarse a menos que los dispositivos están presentes que son incompatibles con WPA o WPA2 usando AES. WPA y
WPA2 en combinación con AES no están sujetos a estas fl AWS en TKIP.
En este ejemplo, el ConfRoom inalámbrico debe asegurarse con WPA2.

Habilitar Esta casilla de verificación permite WPA o el cifrado WPA2, así que debe ser comprobado WPA Pre-Shared Key Introduzca
la clave inalámbrica deseada, en este ejemplo excoconf213.
Modo WPA WPA o WPA2, en este ejemplo, WPA2
Modo de administración de claves WPA Puede ser Pre-Shared Key ( PSK) o Protocolo de autenticación extensible
(EAP). En este ejemplo, PSK es su fi ciente.
WPA por parejas Esto casi siempre se debe establecer en AES, debido a las deficiencias en TKIP mencionado
previamente.
Grupo de rotación de clave Esta opción permite configurar la frecuencia con las claves de cifrado de difusión / multidifusión
(Grupo Transient Key, GTK) se hacen girar, en segundos. Puede ser cualquier valor de 1 a 9999 pero debe ser más corto que el Regeneración
grupo Llave Maestra valor. El valor por defecto de 60 Seconds (un minuto) es adecuado. Los valores más bajos pueden ser más seguro,
pero pueden atascar las cosas con cambio de claves frecuente.
Regeneración grupo Llave Maestra Este parámetro controla la frecuencia, en segundos, la llave maestra (Grupo
Llave maestra, GMK) utilizado internamente para generar GTK se regenera. Puede ser cualquier valor de 1 a
9999 pero debe ser más largo que el Grupo de rotación de clave valor. El valor por defecto de 3600
segundos (una hora) es adecuada.
Regeneración clave estricta Esta opción hace que el cortafuego para cambiar el GTK cada vez que un cliente sale de la
punto de acceso, al igual que el cambio de las contraseñas cuando sale de un empleado. Puede haber una ligera pérdida de rendimiento en los casos
donde hay una alta rotación de clientes. En los casos en que la seguridad no es una preocupación primordial, esto se puede dejar desactivado.
La autenticación IEEE 802.1X (WPA Empresa)
Otro tipo de seguridad inalámbrica soportado se conoce como la autenticación IEEE 802.1X, o más comúnmente conocido como WPA Empresa o WPA2
Enterprise. Este modo permite utilizar una entrada de nombre de usuario y una contraseña más tradicional con el fin de obtener acceso a la red inalámbrica. El
inconveniente es que esta autenticación debe hacerse a través de servidores RADIUS. Si un servidor RADIUS existente es ya presente o fácilmente desplegado,
puede ser una fuente viable de control de acceso inalámbrico. En este ejemplo, 802.1X no se utiliza, pero se explican las opciones.
Ver también:
los FreeRADIUS2 paquete de pfSense puede ser utilizado para este propósito.
Nota: Algunos sistemas operativos más antiguos no pueden manejar adecuadamente 802.1X o pueden tener largos retrasos después de intentos fallidos autenti- cación, pero no son típicamente
soluciones para esos problemas a través de actualizaciones del sistema operativo o parches.
Los clientes también deben ser con fi gurada para acceder correctamente el servicio. Algunos pueden recoger los ajustes adecuados de forma automática, otros pueden necesitar configurar para
un modo específico (por ejemplo, PAEP) o puede necesitar certi fi cados cargados. Los valores especí fi cos dependen de la configuración del servidor RADIUS.
Para empezar a utilizar la autenticación 802.1X, fi establece primero Administración de claves WPA a Protocolo de autenticación extensible.
Habilitar la autenticación 802.1X Cuando se activa, el soporte de autenticación 802.1X está habilitada y es necesaria
de los clientes.
Primaria 802,1 servidor El servidor preferido para la autenticación 802.1X.
Dirección IP La dirección IP del servidor RADIUS prefiere usar para el cliente 802.1X au-
thentication.
Puerto El puerto sobre el que contactar con el servidor RADIUS para las solicitudes de autenticación, typ-
camente 1812.

Secreto compartido La contraseña a usar cuando se comunica con el servidor RADIUS

este fi cortafuegos. Este debe coincidir con el secreto de fi nida compartida para este fi cortafuegos en el servidor RADIUS.
Servidor secundario 802.1X Los mismos parámetros como anteriormente, pero para un servidor RADIUS secundario en caso
la primera es inalcanzable.
Autenticación de Roaming PREAUTH Esta opción configura la autenticación previa para acelerar el roaming entre
puntos de acceso. Esto llevará a cabo parte del proceso de autenticación antes de que el cliente se asocia plenamente a facilitar la transición.
Acabado Ajustes de AP
Los valores anteriores son suficientes para obtener un punto de acceso inalámbrico se ejecuta con 802.11n con el cifrado WPA2 + AES. Cuando los ajustes,
haga clic Salvar, entonces Aplicar cambios.
Con fi guración DHCP
Ahora que una red totalmente independiente ha sido creado, DHCP debe estar habilitado para proporcionar automáticamente aso- ing clientes inalámbricos una
dirección IP. Vaya a Servicios> Servidor DHCP, clic en la pestaña de la interfaz inalámbrica ( ConfRoom para este ejemplo). Marque la casilla para Habilitar, establecen
lo rango de tamaño será necesario y, cualquier opción adicional que desee y pulse Salvar y Aplicar cambios. Para más detalles sobre la con fi gurar el servicio
DHCP, consulte Servidor DHCP IPv4 .
Adición de reglas Firewall
Desde esta interfaz inalámbrica es una interfaz OPT, tendrá ninguna regla fi cortafuego por defecto. Por lo menos hay que añadir una regla para permitir trá fi co de esta
subred a cualquier destino. Dado que los usuarios de las salas de conferencias tendrán acceso a Internet y acceso a otros recursos de la red, un defecto regla de
permiso será definir en este caso. Para crear la regla:
• Navegar a Cortafuegos> Reglas
• Haga clic en la ficha de la interfaz inalámbrica ( ConfRoom para este ejemplo).
• Hacer clic Añadir y con fi gurar una regla de la siguiente manera:
Interfaz ConfRoom
Protocolo Alguna
Fuente ConfRoom neto
Destino Alguna
• Hacer clic Aplicar también cambia
Ver:
Para obtener más información sobre la creación de reglas fi cortafuego, véase firewall .
La asociación de Clientes
El recientemente con fi gura pfSense AP debería aparecer en la lista de puntos de acceso disponibles desde un dispositivo inalámbrico, asumiendo la difusión del SSID no se
ha desactivado. Un cliente ahora debe ser capaz de asociarse con ella como lo haría con cualquier otro

punto de acceso. El procedimiento exacto puede variar entre los sistemas operativos, dispositivos y controladores, pero la mayoría de los fabricantes han simplificado el
proceso para que sea sencillo para todos.
Visualización del estado del cliente inalámbrico
Cuando una interfaz inalámbrica es con fi gurado para el modo de punto de acceso, los clientes asociados serán listados en Estado> de alambre menos.
Una protección adicional para una red inalámbrica
Además de una fuerte fromWPA2 cifrado con AES, algunos usuarios les gusta emplear una capa adicional de cifrado y autenticación para permitir el
acceso a los recursos de red. Las dos soluciones son más comúnmente desplegados portal cautivo y Redes privadas virtuales . Estos métodos pueden
emplearse si se utiliza un punto de acceso externo en una interfaz OPT o una tarjeta inalámbrica interna como el punto de acceso.
Nota: En teoría, el servidor PPPoE también podría ser utilizado en este papel, pero el apoyo sería imposible en algunos clientes y no trivial en la mayoría de los demás, por lo que
no suele ser una opción viable cuando se combina con la tecnología inalámbrica.
protección inalámbrica adicional portal cautivo
Al permitir portal cautivo en la interfaz en la que reside la radio, la autenticación puede ser necesario para que los usuarios puedan acceder a los recursos de red más
allá del cortafuego. En las redes corporativas, esto se implementa habitualmente con la autenticación RADIUS para Microsoft Active Directory para que los usuarios
pueden usar sus credenciales de Active Directory para autenticar mientras que en la red inalámbrica. Portal cautivo con fi guración está cubierto de portal cautivo .
Nota: Si el único requisito es la autenticación RADIUS por usuario, una mejor solución para RADIUS es 802.1X en lugar de utilizar portal cautivo, a
menos que haya clientes actuales que no soportan 802.1X.
Portal cautivo es más probable que se utilicen en las redes inalámbricas de acceso abierto o limitadas, tales como los de un hotel, un restaurante o establecimiento similar en el
que o bien no hay cifrado activado o una tecla de conocimiento común / compartido.
Una protección adicional con VPN
La adición de portal cautivo ofrece otra capa de autenticación, pero no ofrece ninguna protección adicional contra el espionaje de la tecnología inalámbrica de
trá fi co. Necesidad de una conexión VPN antes de permitir el acceso a la red interna e Internet añade otra capa de autenticación, así como una capa
adicional de cifrado para el tráfico inalámbrico fi co. La con fi guración para el tipo elegido de VPN no será diferente de un acceso remoto con fi guración,
pero las reglas de cortafuego debe ser con fi gura en la interfaz pfSense para permitir únicamente VPN trá fi co de los clientes inalámbricos.
Con fi gurar reglas fi cortafuego para IPsec
Figura Reglas para permitir que sólo IPsec desde inalámbrico muestra las normas mínimas requeridas para permitir sólo el acceso a IPsec en la dirección IP de la interfaz WLAN. Pings a
la dirección IP de la interfaz WLAN también están autorizados para ayudar en la resolución de problemas.
Con fi gurar reglas fi cortafuego para OpenVPN
Figura Reglas para permitir que sólo OpenVPN desde inalámbrico muestra las normas mínimas requeridas para permitir el acceso sólo a Open- VPN en la dirección IP de la
interfaz WLAN. Pings a la dirección IP de la interfaz WLAN también están autorizados para asistir en
24.7. Una protección adicional para una red inalámbrica 495

Fig. 24.6: Reglas para permitir sólo IPsec desde inalámbrico
solución de problemas. Esto supone que el valor por defecto el puerto UDP 1194 está en uso. Si se eligió otro protocolo o puerto, ajustar la regla en consecuencia.
Fig. 24.7: Reglas para permitir sólo OpenVPN desde inalámbrico
Con fi gurar un Secure Wireless Hotspot
Una empresa u organización puede desear proporcionar acceso a Internet a los clientes o clientes utilizando una conexión a Internet existente. Esto puede ser
una gran ayuda para los clientes y los negocios, pero también puede exponer a la red privada existente para atacar si no se hace correctamente. Esta sección
cubre los medios comunes de proporcionar acceso a Internet a los clientes y clientes, al tiempo que protege la red interna.
enfoque de múltiples cortafuegos fi
Para la mejor protección entre una red privada y una red pública, obtener al menos dos direcciones IP públicas desde el ISP y usar un segundo
cortafuego para la red pública. Para acomodar esto, coloque un interruptor entre la conexión a Internet y la interfaz WAN de ambos rewalls fi.
Esto tiene el beneficio añadido fi t de poner la red pública en una dirección IP pública diferente de la red privada, por lo que si se recibe una denuncia
de abuso, es fácil saber el origen. El cortafuego proteger la red privada verá la red pública de manera diferente que cualquier host de Internet y
viceversa.
enfoque único cortafuegos fi
En entornos en los que el enfoque múltiple fi cortafuegos es el costo prohibitivo o de otra manera indeseable, la red interna todavía puede ser protegida mediante
la conexión de la red pública a una interfaz OPT en un cortafuego corriendo pfSense. asignar una

dedicada subred IP privada a esta interfaz OPT, y con fi gurar sus reglas fi cortafuego para permitir el acceso a Internet, pero no la red interna. En Reglas
para permitir sólo el acceso a Internet inalámbrico de las reglas fi cortafuego permiten a los clientes llegan al cortafuego para solicitudes DNS y solicitud
de eco ICMP (ping), pero impiden todo acceso a otras redes privadas. El alias RFC1918 referencia en la figura incluye la lista de redes privadas
RFC1918, 192.168.0.0/16, 172.16.0.0/12, y 10.0.0.0/8.
Fig. 24.8: Reglas para permitir sólo el acceso a Internet inalámbrico de
de control de acceso y egreso fi consideraciones ltrado
Aparte de no permitir trá fi co de la red de acceso público a la red privada, hay cosas adicionales a considerar en la con fi guración de un punto de
acceso.
Restringir el acceso a la red
Mientras que muchos puntos de acceso utilizan redes inalámbricas abiertas sin ningún otro tipo de autenticación, considere protecciones adicionales para pre abuso de la red
de ventilación. En inalámbrico, considere el uso de WPA o WPA2 y proporcionar la frase de contraseña para huéspedes o clientes. Algunas empresas toman este enfoque
muestran la frase de contraseña en un cartel en el vestíbulo o zona de espera, publicado en una habitación de invitados, o le proporcionan a petición. También considerar la
implementación de portal cautivo en pfSense (cubierto en portal cautivo ). Esto ayuda a evitar que la gente de otros o fi cinas y fuera del edificio del uso de la red inalámbrica,
incluso si es de libre acceso.
Desactivar la comunicación intra-BSS
Si el punto de acceso permite, desactivar la comunicación intra-BSS. Esta opción también se llama a veces “Cliente AP Iso-ción”. Esto evita que los clientes inalámbricos
se comuniquen con otros clientes inalámbricos directamente, lo que protege a los usuarios contra ataques intencionales de otros usuarios inalámbricos, así como los no
intencionales, como los gusanos. Intra-BSS comunicación puede ser necesario para ciertas funciones, tales como impresoras inalámbricas, dispositivos Chromecast o en
casos similares cuando dos dispositivos inalámbricos deben hablar directamente el uno al otro, pero esto es raramente necesaria en el contexto de un punto de acceso
público.
Egreso fi ltrado
Considere qué tipo de política de egreso para con fi gura. El más básico, lo que permite el acceso a Internet sin permitir el acceso a la red privada, es
probable que las restricciones adicionales, pero más comúnmente desplegados considerar.
24.8. Con fi gurar un Secure Wireless Hotspot 497

Para evitar que la dirección IP pública del negro fi cortafuegos que aparece debido a los sistemas que visitan infectadas que actúan como robots de spam, considere el bloqueo de
SMTP. Varios ISPs grandes ya se bloquean saliente SMTP porque los clientes se han trasladado a usar el acceso autenticado en el puerto de presentación (587) en lugar de utilizar el
puerto 25 directamente. Una alternativa que todavía permite que las personas utilizan su correo electrónico SMTP, pero limita el efecto de los robots de spam es crear una regla de
permiso para SMTP y especificar Máximo de entradas de estado por host debajo Opciones avanzadas al editar la regla fi cortafuegos. Asegúrese de que la regla está por encima de
cualquier otra norma que se correspondería con SMTP trá fi co, y especificar un límite bajo. Puesto que las conexiones pueden no siempre estar debidamente cerradas por el cliente de
correo o servidor, no realice este ajuste demasiado bajo para evitar el bloqueo de los usuarios legítimos, pero un límite de cinco conexiones deben ser razonables. Máximo de entradas
de estado por host se pueden establecer en todas las reglas fi cortafuego, pero tenga en cuenta que algunos protocolos requieren decenas o cientos de conexiones para funcionar.
HTTP y HTTPS pueden requerir numerosas conexiones para cargar una sola página web en función del contenido de la página y el comportamiento del navegador, por lo que no fijan
los límites demasiado bajos.
Equilibrar los deseos de los usuarios frente a los riesgos inherentes a la concesión de acceso a Internet para los sistemas no controlados, y definen una política que fi cios del medio
ambiente.
Solución de problemas de conexiones inalámbricas
Cuando se trata de hilos, hay una gran cantidad de cosas que pueden salir mal. A partir de conexiones de hardware defectuosos a interferencias de radio con
software / controladores incompatibles, o desajustes ajustes simples, todo es posible, y puede ser un desafío para hacer que todo funcione en el primer intento. Esta
sección cubre algunos de los problemas más comunes que han sido encontrados por los usuarios y desarrolladores de pfSense.
Compruebe la antena
Antes de gastar tiempo a diagnosticar un problema, dobles y triples comprobar la conexión de la antena. Si se trata de un tipo de rosca, asegurarse de que está completamente
apretado. Para las tarjetas mini-PCI, asegúrese de que los conectores de cable flexible son conectados correctamente y encajar en su lugar. Coletas en las tarjetas mini-PCI son
frágiles y fáciles de romper. Después de desconectar y reconectar coletas un par de veces, pueden necesitar ser reemplazados.
Comprobar el estado inalámbrico
El estado de los clientes inalámbricos conectados y puntos de acceso cercanos se puede ver mediante la navegación a Estado> Inalámbrico.
Esta opción de menú sólo aparece cuando una interfaz inalámbrica está presente y activado. En esta página, haga clic Volver a analizar y luego actualizar la página después
de 10 segundos para ver otros puntos de acceso cercano. Si están en el mismo o un canal cercano, podría haber interferencias.
En la lista de clientes asociados, varias banderas fl se enumeran que explican las capacidades del cliente conectado. Por ejemplo, si el cliente tiene una “H” banderín, esto
indica de alto rendimiento utilizado por 802.11n. Si un cliente está conectado sin que banderín, que pueden estar usando un estándar más baja mayor. UN la lista completa de
AGS fl inalámbricos se pueden encontrar en el wiki, incluyendo descripciones capacidad de punto de acceso.
Tratar con múltiples clientes o tarjetas inalámbricas
Para eliminar una posible incompatibilidad entre las funciones inalámbricas en pfSense y un cliente inalámbrico, asegúrese de probar con varios dispositivos o tarjetas
de primera fi. Si el mismo problema se puede repetir con varias marcas y modelos diferentes, es más probable que sea un problema con la con fi guración o hardware
relacionado que el dispositivo cliente.

Intensidad de la señal es baja
Si la señal es débil, incluso cuando la antena cerca del punto de acceso, compruebe la antena de nuevo. Para las tarjetas mini-PCI o mini-PCIe, si sólo hay un cable
flexible en el uso y hay dos conectores internos, intente conectar el cable flexible hasta el otro conector interno de la tarjeta. También tratar de cambiar la Canal o el
ajuste de la La potencia de transmisión, o el Configuración de antena en la interfaz inalámbrica con fi guración. Para las tarjetas mini-PCI y mini-PCIe, la verificación de
extremos rotos de los conectores del cable flexible frágiles en los que se conectan a la tarjeta. Si el Dominio regulatorio ajustes no han sido con fi gurado, los puso
antes de probar de nuevo.
Errores Beacon Stuck
Si se encuentra un error “Stuck Beacon” en el sistema o registro inalámbrico, por lo general es una indicación de que el canal inalámbrico elegido es demasiado ruidoso:
kernel: ath0: faro atascado; REPOSICION (bmiss recuento de 4)
La sensibilidad de este comportamiento se puede ajustar mediante la adición de una entrada de sistema sintonizable para hw.ath.bstuck con un valor de
8 o mas alto.
Si los errores persisten, utilice una aplicación de encuesta WiFi o programa para determinar un canal abierto o menos-usado en vez de usar el canal actual.
Interfaz disponible para asignación
Si una interfaz inalámbrica no aparece en la lista de interfaces Interfaces> (asignar) hay dos cuestiones possibile: Si se admite la tarjeta inalámbrica, una
instancia inalámbrica primero debe crearse como se describe en Creación y gestión de instancias de Wireless . Una vez que se crea la instancia, que estará
disponible para su asignación.
Si no se admite la tarjeta inalámbrica, no estará disponible para la selección como una interfaz padres al crear una instancia inalámbrica.
pfSense incluye construido en capacidades inalámbricas que permiten a un software de pfSense correr fi cortafuegos que se convirtió en un punto de acceso inalámbrico, para
utilizar una conexión inalámbrica 802.11 como una conexión WAN, o ambos. En este capítulo se explica cómo con fi gura pfSense para estas funciones, así como medios sugeridos
de acomodar de forma segura los puntos de acceso inalámbricos externos y cómo implementar de forma segura un punto de acceso inalámbrico. Una cobertura en profundidad de
802.11, en general, está fuera del alcance de este libro. Para aquellos que buscan dicha información, recomendamos el libro Redes inalámbricas 802.11: La guía definitiva fi De .
Ver también:
Los clientes con una pfSense Suscripción Oro puede acceder al Hangouts Archivo para ver el Hangouts se pueden 2015 sobre puntos de acceso inalámbrico.
24.9. Solución de problemas de conexiones inalámbricas 499


CAPÍTULO
VEINTICINCO
portal cautivo
Zonas portal cautivo
las zonas de portal cautivo de fi ne portales separados para diferentes conjuntos de interfaces. Por ejemplo, LAN inalámbrica y podrían utilizar un solo portal, mientras que una sala de
conferencias obtendría una página de portal por separado. Cada zona tiene una configuración independiente para páginas HTML, autenticación, direcciones permitidas, y así sucesivamente.
Una zona debe ser creado antes de que sus ajustes se pueden cambiar.
Nota: Una zona puede tener múltiples interfaces, pero una interfaz sólo puede ser un miembro de una zona. El intento de añadir la misma interfaz para múltiples
zonas se traducirá en un error.
Gestión de zonas portal cautivo
zonas de portal cautivo se gestionan a Servicios> portal cautivo. Una lista de zonas se muestra allí, y se puede añadir zonas, editado o eliminado de esa
lista. Para crear una nueva zona de portal cautivo:
• Navegar a Servicios> portal cautivo
• Entrar a Nombre de la zona, que sólo puede consistir en letras, dígitos, números y subrayados. Espacios y otros caracteres especiales no se pueden
utilizar
• Introduzca una opcional Descripción de la zona para describir adicionalmente la zona, si se desea
• Hacer clic Guardar continuar para pasar a la configuración de portal para la zona
Para editar una zona existente, haga clic al final de su fila.
Para eliminar una zona existente, haga clic al final de su fila y haga clic en para confirmar la acción.
Escenarios comunes portal cautivo
Los siguientes son algunos escenarios comunes, básicos para el uso de un portal cautivo. Los detalles de cómo llevar a cabo todas las acciones descritas
serán cubiertos en este capítulo.
501
Portal de Con fi guración sin autenticación
Para un simple portal sin autenticación:
• Crear una zona nueva
• Comprobar Habilitar portal cautivo
• Seleccione una Interfaz
• Sube una página HTML con los contenidos del portal como se describe en página de portal sin autenticación
opciones con fi guración adicionales pueden ser agregados como se detalla en Zona de Con fi guración Opciones .
Portal de Con fi guración Uso de la autenticación local o vales
Para configurar un portal con autenticación local:
• Crear una zona
• Ajuste método de autentificación a Administrador de usuarios / vales locales
• Sube una página HTML con los contenidos del portal como se describe en página de portal con autenticación .
opciones con fi guración adicionales pueden ser agregados como se detalla en Zona de Con fi guración Opciones . Luego con fi gurar los usuarios locales en el Administrador
de usuarios ( Gestión de usuarios y autenticación ). Para utilizar vales, proceder a la vales pestaña y crear allí. Ver vales para más información sobre vales, y utilizando
un código portal de muestra de la página HTML a partir de página de portal con vales .
Portal de Con fi guración Uso de la autenticación RADIUS
Para configurar un portal mediante la autenticación RADIUS:
• Con fi gura el servidor RADIUS para permitir que las solicitudes del cortafuego
• Crear una zona
• Ajuste método de autentificación a La autenticación RADIUS
• Complete los ajustes de Servidor RADIUS primaria debajo Fuente de autenticación primaria
Lea la siguiente sección para obtener información sobre las opciones de con fi guración especí fi cos.
Zona de Con fi guración Opciones
En esta sección se describe cada una de las opciones de con fi guración portal cautivo. Estas opciones están disponibles una vez a la zona de portal cautivo ha sido
creada bajo Servicios> portal cautivo. todas estas opciones funcionan independientemente uno del otro para cada zona. Por ejemplo, el permitido direcciones IP
especificados en una zona que sólo afectan a una zona.
502 Capítulo 25. portal cautivo

Interfaz Determina las interfaces que estarán activas para esta zona de portal cautivo. Esta no poder ser una
interfaz WAN. Puede ser una interfaz de puente con tal de que es el puente real (por ejemplo, bridge0) y la interfaz de puente tiene una
dirección IP asignada.
número máximo de conexiones simultáneas Especi fi ca el número máximo de conexiones simultáneas al

servidor de portal web por dirección IP. El valor por defecto es 4, que es su fi ciente para la mayoría de entornos. Este límite
existe para evitar que un único host de agotar todos los recursos en el cortafuego, ya sea accidental o intencional. Un ejemplo
en este otro modo sería un problema es un huésped infectado con un gusano. Los miles de conexiones emitidos hará que la
página de portal cautivo que se generen varias veces si el anfitrión no está autenticado ya que de otra manera generar tanta
carga que dejaría la fi cortafuegos no responde.
Tiempo de inactividad Un tiempo de espera, se especifica en minutos, después de lo cual se desconectarán los usuarios inactivos. Los usuarios pueden conectarse
espalda en forma inmediata.
tiempo de espera dura Un tiempo de espera, se especifica en minutos, lo que fuerza cerrar la sesión usuarios después de un período fi cado.
Ya sea un disco de tiempo de espera, tiempo de inactividad o ambos se debe ingresar a garantizar que las sesiones se eliminan si los usuarios no cierran la sesión,
como la mayoría de los usuarios probablemente no lo hará. Los usuarios serán capaces de entrar de nuevo inmediatamente después del tiempo de espera difícil si
sus credenciales siguen siendo válidos (para cuentas locales, no caducado, y para la autenticación RADIUS, el usuario todavía puede autenticar correctamente a
RADIUS).
Nota: Si se establece un valor de tiempo de espera, el tiempo de espera debe ser menor que el tiempo de concesión DHCP o sesiones de portal cautivo
puede permanecer activo para direcciones IP que han cambiado a diferentes dispositivos. Ajuste del tiempo de espera inferior se asegurará de que las sesiones
portal terminan antes de que el contrato de arrendamiento se reasignará a un nuevo cliente.
De paso a través de créditos Estos créditos dan los dispositivos de un período de gracia antes de que deben autenticarse a través de la
portal. Por ejemplo, un dispositivo podría conectar 3 veces en un día sin ver la página del portal, pero nada más que eso y que necesitan
para iniciar sesión. Al establecer el tiempo de espera dura a un valor como 1 hora, el cliente efectivamente se limitaría a tres horas de
acceso antes de tener que autenticarse. Por defecto está desactivada, y todos los clientes se presentan con la página de inicio de sesión
del portal y debe iniciar sesión.
Nota: Para que esto sea efectivo, establecer un tiempo de espera dura y / o tiempo de espera.
Pase-a través de créditos permitidos por la dirección MAC El número de veces que una especificidad c dirección MAC puede
conecte a través del portal. Una vez que se agota, el cliente sólo puede iniciar sesión con credenciales válidas hasta que el período de espera se especi fi ca
a continuación ha expirado.
período de espera para restablecer los créditos de paso a través El número de horas después de lo cual los clientes tendrán su
créditos disponibles de paso a través restaurados a la cuenta original después de usar el primer uno. Esto debe estar por encima 0 horas si los créditos
de paso a través se habilitan.
Restablecer período de espera de intento de acceso Si está activado, el período de espera se restablece a la duración original
si se intenta acceder cuando todos los créditos de paso a través que ya se han agotado. Esto evitará que las personas que intentan
repetidamente para acceder al portal de acceso abierto demasiado rápido.
Salir ventana emergente Cuando se activa, un cierre de sesión ventana emergente se muestra al usuario, que permite a los clientes
desconectar explícitamente a sí mismos antes de que ocurra el tiempo de inactividad o dura. Por desgracia, ya que la mayoría de los navegadores tienen
bloqueadores de pop-up está activada, esta ventana puede no funcionar para la mayoría de los clientes a menos que el portal puede ser excluido de bloqueo de
ventanas emergentes en su navegador.
URL de redireccionamiento pre-autenticación Como su nombre lo indica, esta opción redirige a los usuarios a la URL especificada fi
antes de se autentican. Comúnmente, esto se utiliza para mostrar una página de destino personalizada que describe la ubicación del dispositivo
alojado en un servidor local o en otro lugar que la página de destino debe contener un enlace que a su vez vuelve a dirigir a los usuarios de nuevo a
la página del portal, por ejemplo, http: // xxxx: 8002 / index.php.
Ver también:
25.3. Zona de Con fi guración Opciones 503

Ver Los nombres de host permitido para permitir que los nombres de host a través del portal sin necesidad de autenticación, y Permitió que la dirección IP para las
direcciones IP.
La página de portal cautivo personalizada debe tener código adicional en la parte superior con el fin de manejar adecuadamente esta redirección.
<? Php
exigir ( " globals.inc" );
$ request_uri = urldecode ( str_replace ( "/index.php?redirurl=" , "" , $ _SERVER [ "REQUEST_URI" ]));
$ portal_redirurl = urldecode ( " ps PORTAL_REDIRURL ps );
Si ( ! stristr ( urldecode ( " ps PORTAL_REDIRURL ps ), ps request_uri )) {Header ( "Ubicación: ps PORTAL_REDIRURL ps );
salida ;
}
?>
Después de la autenticación de redirección de URL Después de autenticar o hacer clic a través del portal, los usuarios
ser redirigido a esta URL en lugar de la que originalmente intentó acceder. Si este campo se deja en blanco, el usuario será redirigido a
la URL del usuario intentó inicialmente para el acceso.
inicios de sesión de usuario simultáneas Cuando se activa, sólo se permite una entrada por cada cuenta de usuario. El más reciente
Se permite el inicio de sesión y se desconectará cualquier inicio de sesión anteriores bajo ese nombre de usuario. Esto no es un límite total para todo
el portal, pero un límite por cuenta.
MAC fi ltrado Cuando se establece, la dirección MAC fi ltrado se desactiva. Esto es necesario en caso de que el MAC
dirección no puede fiable puede determinar, por ejemplo, cuando existen múltiples subredes detrás de un enrutador por separado a través del portal. En
ese tipo de situación, todos los usuarios detrás de un router mostrarán hasta el portal con la dirección MAC del router. Si se establece esta opción, no se
hará ningún intento de asegurar que la dirección MAC de los clientes siguen siendo los mismos, mientras que están registradas en el portal.
Nota: Si esta opción está marcada está activado, la autenticación RADIUS MAC no se puede utilizar.
Paso a través de la entrada automática MAC En algunos casos de uso, los usuarios sólo pueden necesitar para autenticar una vez por dispositivo,
y luego no ver el portal de entrada de nuevo a menos que cambien los dispositivos. Configuración de entradas MAC de paso a través se puede lograr este
objetivo de forma automática.
Paso a través de MAC adiciones automáticas Si se establece esta opción, un MAC PASSTHROUGH entrada
se añade de forma automática después de que el usuario se ha autenticado con éxito. Los usuarios de esa dirección MAC
nunca tendrán que autenticarse de nuevo a menos que la entrada se elimina manualmente. Para quitar la entrada MAC
pasarela, conectarse y quitar manualmente desde la pestaña de Transmisión de MAC.
Nota: Si esta opción está activada, la autenticación RADIUS MAC no puede ser utilizado y no se mostrará la ventana de
cierre de sesión.
Pase-a través de la adición automática MAC con nombre de usuario Si se establece esta opción, el usuario del
nombre que se utiliza durante la autenticación se guardará junto con la transmisión de hipoteca entrada MAC. Para quitar la
entrada MAC pasarela, conectarse y quitar manualmente desde la pestaña de paso a través de MAC.
restricciones de ancho de banda por usuario Portal cautivo puede también a los usuarios de la velocidad límite, opcionalmente, para evitar que se
usando demasiado ancho de banda. los descargas por defecto y de carga predeterminado campos de fi ne los valores predeterminados para el ancho de banda del
usuario, especificadas en kilobits por segundo. Estos valores pueden ser anulados por RADIUS ( Al pasar de vuelta con fi guración de los servidores RADIUS ) para
diferentes límites para usuarios específicos. Si los campos están en blanco o un conjunto de 0, a continuación, los usuarios pueden tener un ancho de banda ilimitado.

Autenticación
Esta sección permite autenticación sea con fi gura. Si se requiere autenticación, se pueden usar ya sea el gestor de usuario local o la autenticación
RADIUS.
Sin autenticacion Cuando se selecciona, los usuarios sólo tienen que hacer clic a través de la pantalla del portal de acceso. La forma
todavía debe ser sometido, pero no necesita tener ninguna campos de entrada de usuario, solamente un botón de envío.
Administrador de usuarios / vales locales Esta opción permite a los usuarios autenticarse con un nombre de usuario y de Transmisión
palabra, pero no con un servidor RADIUS. Los usuarios del portal cautivo en este modo se gestionan en la interfaz gráfica de usuario pfSense. Los usuarios
locales se añaden en el Administrador de usuarios Gestión de usuarios y autenticación . Además, si Permitir que sólo los usuarios / grupos con el conjunto de
privilegios 'portal cautivo inicio de sesión' se comprueba, a continuación, para acceder al portal, los usuarios deben tener el privilegio portal cautivo en su
cuenta, o ser un miembro de un grupo que contiene este privilegio.
Los vales son códigos de acceso que pueden ser proporcionados a los usuarios conceder acceso a corto plazo pre-generados. Los vales se pueden utilizar
además de, o en lugar de, la autenticación de usuario local. Para obtener más información sobre el uso de cupones, véase vales más adelante en este
capítulo.
La autenticación RADIUS Cuando se selecciona, las opciones de servidor RADIUS se muestran y portal cautivo
usuarios en esta zona serán validados contra el servidor RADIUS con fi gurado (s).
Opciones de autenticación RADIUS
RADIUS es un medio de autenticación de los usuarios en un servidor central que contiene información de la cuenta. Hay muchas implementaciones de RADIUS, como
FreeRADIUS, radiador, y fuentes de energía nuclear en servidores Windows. Para aquellos con una infraestructura de red de Microsoft Active Directory, RADIUS
puede utilizarse para autenticar usuarios del portal cautivo de Microsoft Active Directory utilizando fuentes de energía nuclear. Esto se describe en Autenticación
RADIUS con Windows Server . contabilidad RADIUS puede ser habilitado para enviar información de uso para cada usuario al servidor RADIUS. Consulte la
documentación para el servidor RADIUS para obtener más información. Para utilizar RADIUS, seleccione La autenticación RADIUS debajo Autenticación y luego llenar
en los datos sobre el servidor RADIUS.
Protocolo RADIUS Control de qué protocolo el servidor RADIUS puede utilizar para la autenticación. la disposición
Las opciones son:
PAP (Password Authentication Protocol) La opción menos segura, pero más compatible,
PAP envía contraseñas en texto plano.
CHAP_MD5 (Protocolo de autenticación por desafío mutuo) Más seguro que PAP,
CHAP utiliza MD5 y cifra la contraseña durante la transmisión. Aunque es más seguro que PAP en el
alambre, el servidor debe conocer la contraseña de texto con el fin de calcular el desafío.
MSCHAPv1 (Microsoft CHAP, versión 1) Una variación diseñado por Microsoft de CHAP
utilizado principalmente en las versiones anteriores de Windows NT 3.x (a través de Windows 95). Hay programas disponibles que
pueden capturar fácilmente los hashes de contraseñas desde el intercambio.
MSCHAPv2 (Microsoft CHAP, Versión 2) Añade más características de seguridad en la parte superior de
v1 CHAP / MS-CHAP.
La (in) seguridad relativa de estos protocolos puede ser de poca importancia en función del diseño de la red y la ubicación
del servidor RADIUS, pero aún debe ser considerado.

Al pasar de vuelta con fi guración de los servidores RADIUS
Algunos ajustes por defecto portal cautivo pueden ser anulados por la respuesta atributos de los servidores RADIUS. Los atributos exactos pueden variar según el proveedor, y no
pueden ser apoyados por todos los servidores RADIUS.
restricciones de ancho de banda del usuario Define el ancho de banda para el usuario, elaborado a partir de OP común
ciones como WISPr ancho de banda Max-Up / WISPr ancho de banda Max-abajo, o
Chillispot-Bandwidth-Max-Up / Chillispot-Bandwidth-Max-Down.
Hora de término de la sesión Elaborado a partir del atributo RADIUS Hora de término de la sesión, desconectará el usuario
después del tiempo especi fi cado por el servidor RADIUS.
Tiempo de inactividad Elaborado a partir del atributo RADIUS Tiempo de inactividad, desconectará el usuario después de la
el tiempo especi fi cado por el servidor RADIUS.
Provisional de contabilidad de intervalo Tomado de Acct-Interim-Interval que dirige el portal para enviar
actualizaciones contables provisionales en el intervalo especi fi cado.
redirección de URL Permite que la URL de redirección después de la autenticación que se define por el servidor RADIUS
mediante WISPr redirección de URL.
Fuente de autenticación primaria
La primaria / servidores RADIUS secundarios se utilizan para los principales de nombre de usuario y contraseña fi campos en el formulario de inicio de sesión,
auth_user y auth_pass, como:
< tr >
< td alinear = "derecho" > Nombre de usuario: </ td >
< td > < entrada nombre = Tipo "auth_user" = "estilo de texto = "Border: 1px corriendo;" > </ td >
</ tr >
< tr >
< td alinear = "derecho" > Contraseña: </ td >
< td > < entrada nombre = Tipo "auth_pass" = estilo "contraseña" = "Border: 1px corriendo;" > </ td >
</ tr >
Si el servidor RADIUS principal es hacia abajo, se trató el servidor RADIUS secundario.
Dirección IP La dirección IP o nombre de host del servidor RADIUS
Puerto El puerto de autenticación para el servidor RADIUS, por lo general 1812.
Secreto compartido El secreto compartido para este fi cortafuegos en el servidor RADIUS.
Fuente secundaria de autenticación
La secundaria fuente de autenticación de fi ne una configuración de autenticación RADIUS completamente separada de la primaria. Por ejemplo, la fuente de RADIUS
principal podría ser nombres de usuario y contraseñas tradicionales, mientras que el secundario podría ser números o PIN de tarjetas pre pagadas. Al igual que con la
fuente de autenticación primaria, un servidor primario y servidor secundario puede ser definido.
La fuente de autenticación secundario utiliza los campos de formulario fi auth_user2 y auth_pass2 en el código HTML de portal cautivo, tales como:
< tr >
< td alinear = "derecho" > Nombre de usuario: </ td >
< td > < entrada nombre = Tipo "auth_user2" = "estilo de texto = "Border: 1px corriendo;" > </ td >
</ tr >
< tr >

< td alinear = "derecho" > Contraseña: </ td >

< td > < entrada nombre = Tipo "auth_pass2" = estilo "contraseña" = "Border: 1px corriendo;" > </ td >
</ tr >
Contabilidad
Las cuentas RADIUS envía la información de sesión de vuelta al servidor RADIUS que indica cuando la sesión de un usuario inicia, termina, y la cantidad de datos
que se han transmitido.
Advertencia: No todos los servidores RADIUS apoyan o son con fi gurada para aceptar datos de contabilidad, así que asegúrese de que el servidor RADIUS se ha
configurado correctamente antes de activar esta función.
Puerto de contabilidad con fi guras del puerto sobre el cual el servidor RADIUS acepta paquetes de contabilidad, normalmente, un
camente 1813.
Actualizaciones de contabilidad Este estafadores cifras lo tipo específico de la contabilidad es compatible con el servidor.
Sin actualizaciones Sinónimo de desactivación de contabilidad, no enviará la contabilidad

actualizaciones al servidor.
Parada / arranque Enviará los registros de inicio y parada por sólo una sesión de usuario.
Arranque / parada (FreeRADIUS) Enviará START y STOP registros para un usuario SES
sión única, de una manera que sea compatible con FreeRADIUS.
Provisional Enviará START y STOP registros y también enviar periódicamente actualizaciones

al servidor mientras que una sesión de usuario activa. Esto es menos probable que pierda los datos de sesión si el
cortafuego se reinicia sin notificar al servidor RADIUS de un mensaje de detención, pero causará un mayor uso de
bases de datos en el servidor RADIUS.
Opciones RADIUS
Estas opciones definen con precisión cómo se comporta la autenticación RADIUS.
reautenticación Si está activado, Acceso requerido los paquetes se envían al servidor RADIUS para cada
el usuario que se registra en cada minuto. Si una De rechazo de acceso es recibido por un usuario, éste se desconecta del portal cautivo de
inmediato. Esto permite que termina de forma activa las sesiones de usuario desde el servidor RADIUS. Nota Si los límites de acceso
concurrentes se definen en RADIUS esta opción puede no funcionar correctamente, ya que la solicitud adicional sería un fracaso como el
intento de repetir la autenticación sería considerado una segunda entrada concurrente.
Nota: Si se combina con la nueva autenticación RADIUS de contabilidad, Provisional actualizaciones de contabilidad deben ser utilizados para rastrear el uso
durante las sesiones, de lo contrario el servidor RADIUS no sabrá si un usuario excede los límites hasta que termine la sesión.
autenticación RADIUS MAC Si esta opción está activada, el portal cautivo intentará autenticar
usuarios mediante el envío de su dirección MAC como nombre de usuario y la contraseña introducida en MAC autenti- secreto nológica al
servidor RADIUS. Esta opción no se puede utilizar si ltrado MAC Fi está desactivada.
atributo RADIUS NAS IP Este campo controla lo que se envía al servidor RADIUS en el
Llamando Estación atributo. Elija la dirección de interfaz / IP para utilizar en la lista desplegable.
Hora de término de la sesión Cuando Utilizar RADIUS atributos de tiempo de espera de sesión está activado, los clientes serán desco-
TARSE después de la cantidad de tiempo recuperado de la RADIUS Hora de término de la sesión atributo

Tipo Establece el tipo de proveedor RADIUS para el comportamiento del cliente. Si el Tipo de RADIUS se establece en Cisco,
Acceso requerido paquetes tendrán el valor de Calling-Station-Id ajustado a la dirección IP del cliente y la Called-Station-Id se
establece en la dirección MAC del cliente. Defecto comportamiento es
Calling-Station-Id = cliente y la dirección MAC Called-Station-Id = fi cortafuegos dirección IP WAN.
Estilo de contabilidad Cuando Invertir Acct-Input-octetos y Acct-Output-octetos está activada, el recuento de datos
para RADIUS se tomarán los paquetes de contabilidad desde la perspectiva del cliente, no el NAS.
Acct-Input-octetos Descarga se representan, y Acct-Output-octetos representará carga.
NAS identi fi cador El nombre de host del cortafuego se envía como el NAS identi fi cador por defecto. especificar una NAS
Identi fi cador aquí para anular el valor por defecto
formato de dirección MAC Esta opción cambia el formato de la dirección MAC utilizado en RADIUS. Cambie esto a
alterar el formato de nombre de usuario para la autenticación RADIUS MAC a uno de los siguientes estilos:
Defecto pares separados por dos puntos de dígitos: 00: 11: 22: 33: 44: 55
Dash sola Los dígitos en dos grupos, separados por un único medio camino Dash:
001122-334455
IETF pares separados por guiones de dígitos: 00-11-22-33-44-55
Cisco Grupos de cuatro dígitos separados por un período de: 0011.2233.4455
sin formatear todos los dígitos junto con ningún formato o separadores:
001122334455
inicio de sesión HTTPS
Marcar esta opción para utilizar HTTPS para la página del portal. Si está activado, un Certi fi cado SSL también debe ser seleccionado.
nombre del servidor HTTPS Especificar el FQDN (nombre de host + dominio) que se utilizará para HTTPS. Este debe coincidir
el nombre común (CN) en el certi fi cado para evitar que los usuarios reciban errores de certi fi cado en sus navegadores.
SSL Certi fi cado Seleccione el SSL certi fi cado para ser utilizado por el portal para las conexiones HTTPS. certi fi cados son
logrado en Gestión de certi fi cado .
Desactivar HTTPS Delanteros Cuando está marcada, los intentos de conectarse a sitios HTTPS en el puerto 443 no están rellamadas
rected al portal. Esto evita que los usuarios reciban errores de certi fi cado no válidos. Los usuarios deben intentar una
conexión a un sitio HTTP, y se remitirán al portal.
Contenido de la página HTML
El uso de estos controles, las páginas HTML personalizados se pueden subir a alterar la apariencia de la página se presenta a los usuarios cuando se les redirige al portal.
Personalización de estas páginas es opcional. Cualquier contenido de la página se deja en blanco usará por defecto internos. Las páginas del portal pueden contener código PHP, y también
pueden incluir otros recursos tales como imágenes y archivos CSS. Ver Administrador de archivos para obtener más información sobre la inclusión de activos adicionales en una página de portal
personalizado.
Advertencia: Debido a que las páginas del portal de encargo pueden ejecutar PHP, garantizar para asegurar correctamente el código de la página para que no pueda ser explotada mediante
la conexión de los usuarios. También, evitar la concesión de privilegios a esta página a los administradores no son de confianza.
En cada sección individual, las páginas pueden ser manejados usando los controles que se muestran:

• Para cargar una nueva página, haga clic Vistazo y seleccionar el expediente para la carga. Cuando se guardan las opciones del portal, el expediente será copiada.
• Para ver una página existente, haga clic Ver
• Para descargar una copia de una página existente, haga clic Descargar
• Para borrar la página personalizada, haga clic Restaurar la página predeterminada
contenido de la página de portal
Este control es para la página principal del portal presenta a los usuarios. Dependiendo de las opciones seleccionadas para el portal, utilice uno de los siguientes ejemplos como la
base para una página personalizada.
página de portal sin autenticación Esto muestra el código HTML de una página de portal que se puede utilizar sin necesidad de autenticación.
Listing 25.1: Descarga: ejemplo-noauth.html

1 < html >
2 < cabeza >
3 < título > Bienvenido a nuestro portal </ título >
4 </ cabeza >
5 < cuerpo >
6 < pag > Bienvenido a nuestro portal </ pag >
7 < pag > Haga clic en Continuar para acceder a Internet </ pag >
8 < formar método = "Post" action = "$ $ PORTAL_ACTION" >
9 < entrada nombre = Tipo "redirurl" = valor "oculta" = "$ $ PORTAL_REDIRURL" >
10 < entrada nombre = Tipo de "zona" = valor "oculta" = "$ $ PORTAL_ZONE" >
11 < entrada nombre = "Aceptar" Tipo = "Submit" value = "Continuar" >
12 </ formar >
13 </ cuerpo >
14 </ html >
página de portal con autenticación Aquí es una página de portal de ejemplo que requiere autenticación.
Listing 25.2: Descarga: ejemplo-auth.html

1 < html >
2 < cabeza >
4 </ cabeza >
5 < cuerpo >
7 < pag > Introduzca su nombre de usuario y contraseña y haga clic en Inicio de sesión para acceder a Internet </ pag >
9 < entrada nombre = Tipo "auth_user" = "texto" >
10 < entrada nombre = Tipo "auth_pass" = "contraseña" >
13 < entrada nombre = "Aceptar" Tipo = "Submit" value = "Iniciar sesión" >
14 </ formar >
15 </ cuerpo >
dieciséis </ html >

página de portal con vales He aquí un ejemplo de página de portal para su uso con los vales.
Listing 25.3: Descarga: ejemplo-voucher.html

1 < html >
2 < cabeza >
4 </ cabeza >
5 < cuerpo >
7 < pag > Introduzca su código de cupón y haga clic en Inicio de sesión para acceder a Internet </ pag >
9 < entrada nombre = Tipo "auth_voucher" = "texto" >
12 < entrada nombre = "Aceptar" Tipo = "Submit" value = "Iniciar sesión" >
13 </ formar >
14 </ cuerpo >
15 </ html >
contenido de la página de error de autenticación
El uso de este control, opcionalmente cargue una página HTML personalizada que se mostrará cuando ocurren errores de autenticación. Un error de autenticación se produce cuando un
usuario introduce un nombre de usuario o contraseña mal, o en el caso de la autenticación RADIUS, potencialmente un servidor RADIUS inalcanzable. Por defecto, esta página de error
es simplemente la página de inicio de sesión de nuevo.
contenido de la página de cierre de sesión
La página de cierre de sesión se presenta al usuario después de inicio de sesión y se desencadena una ventana emergente. El código por defecto utiliza JavaScript para crear la nueva ventana
de la siguiente manera:
La mayoría de los navegadores tienen bloqueadores de ventanas emergentes que muy probablemente no se detendrán esa ventana de cierre de sesión de aparecer, por lo que investigar otros
medios posibles de crear un pop-up JavaScript usando un código similar.
Control de dirección MAC
los MAC de fi ne acciones ficha de direcciones MAC que se pueden pasar ya sea a través del portal de esta zona sin necesidad de autenticación, o
bloqueados para llegar al portal. Para gestionar estas entradas MAC:
• Hacer clic en la línea por la Zona para editar
• Haga clic en el MAC lengüeta
• Hacer clic Añadir añadir una nueva entrada
• Rellenar el formulario de la siguiente manera:
Acción Define la acción a tomar en esta entrada:
Pasar Siempre permitir trá fi co a través de esta dirección MAC sin autenticación.

Listing 25.4: Descarga: ejemplo-logout.html

1 < html >
2 < cabeza > < título > Redirigiendo ... </ título > </ cabeza >
3 < cuerpo >
4 < lapso estilo = "Font-family: Tahoma, Verdana, Arial, Helvetica, sans-serif; font-size: 11px;" >
5 < segundo > Redirigiendo a < un href = "<? = $ My_redirurl;?>" > <? = $ my_redirurl;?> </ un > ... </ segundo >
6 </ lapso >
7 < guión tipo = "Text / javascript" >
8 // <! [CDATA [
9 LogoutWin = ventana .abierto( '' , 'Cerrar sesión' , 'Barra de herramientas = 0, barras de desplazamiento = 0, ubicación = 0, barra de estado = 0, barra de menú = 0, de tamaño variable = 0, width = 256, altura = 64
10 Si ( LogoutWin) {
11 LogoutWin. documento .escribir( '<Html>' );
12 LogoutWin. documento .escribir( '<Head> <title> Salir </ title> </ head>' );
13 LogoutWin. documento .escribir( '<Tipo de carrocería = "background-color: # 435370">' );
14 LogoutWin. documento .escribir( '<Div class = estilo "text-centro" = "color: #ffffff; font-family: Tahoma, Verdana, Arial, Helvetica, sans-serif; font-size: 11px;">' );
15 LogoutWin. documento .escribir( '<B> Haga clic en el botón de abajo para desconectar </ b> <p />' );
dieciséis LogoutWin. documento .escribir( '<Form method = "post" action = "<= $ logouturl;?>">' );
17 LogoutWin. documento .escribir( '<Input name = "logout_id" type = valor "oculta" = "<= $ sessionid;?>" />' );
18 LogoutWin. documento .escribir( '<Input name = "zona" type = valor "oculta" = "<= $ cpzone;?>" />' );
19 LogoutWin. documento .escribir( '<Nombre de entrada = "cerrar sesión" type = "submit" value = "Salir" />' );
20 LogoutWin. documento .escribir( '</ Form>' );
21 LogoutWin. documento .escribir( '</ Div> </ body>' );
22 LogoutWin. documento .escribir( '</ Html>' );
23 LogoutWin. documento .cerca();
24 }
25
26 documento .location.href = "<? = $ My_redirurl;?>" ;

27 //]]>
28 </ guión >
29 </ cuerpo >
30 </ html >
25.4. Control de dirección MAC 511

Bloquear Denegar siempre trá fi co de esta dirección MAC
Dirección MAC La dirección MAC del dispositivo para permitir. El valor debe ser pares separados por dos puntos de
dígitos, tales como 00: 11: 22: 33: 44: 55.
Descripción Parte del texto que describe la entrada, si lo desea.
Ancho de banda hacia arriba / abajo La cantidad de ancho de banda que este dispositivo puede utilizar, se especifica en Kilobits por
segundo. Dejar en blanco para no especificar un límite.
Desde esta página, una entrada puede ser editada haciendo clic en su fila o eliminar haciendo clic .
Permitió que la dirección IP
los Permitió que la dirección IP pestaña funciona de manera similar a la MAC pestaña, excepto que comprueba las direcciones IP en lugar de direcciones MAC.
Traf fi búsqueda de la dirección IP fi cado y la dirección con fi gurada c siempre será permitido a través del portal sin autenticación en esta zona.
Dirección IP La dirección IP del dispositivo para pasar siempre a través del portal.
Dirección La dirección para permitir tráfico c búsqueda de esta dirección IP.
De Permitir trá fi co procedente de esta dirección IP a través del portal, como por ejemplo un cliente local
Dirección IP de intentar acceder a Internet o la dirección IP de un cliente de gestión que debe llegar a los
hosts de la red de portales.
A Permitir trá fi co con esta dirección IP como destino, como una dirección IP del servidor web local
que debe ser alcanzado a través del puerto hacia delante, o una dirección IP remota del servidor web que los clientes deben llegar siempre.
Ambos Permitir trá fi co hacia y desde esta dirección IP.
Ancho de banda hacia arriba / abajo La cantidad de ancho de banda que puede utilizar este dispositivo. Dejar en blanco para no especificar un
límite.
Los nombres de host permitido
Los nombres de host permitido funcionar de manera similar a Permitió que la dirección IP entradas, excepto que son con fi gurada por nombre de host en lugar de la dirección
IP. Un demonio resuelve periódicamente los nombres de host a direcciones IP (es) y les permite a través del portal sin autenticación en esta zona.
El uso más común de esta función es hacer un portal de estilo “jardín amurallado”, donde los usuarios pueden acceder a un conjunto restringido de sitios sin
autenticarse en el portal. Esto también se utiliza comúnmente con el URL de redirección pre-autenticación si esa página está alojado externamente.
Nota: A menudo, los sitios usarán muchos nombres de host, redes de distribución de contenidos, o servidores de anuncios como parte de su contenido. Con el fin de permitir que un sitio se cargue
por completo, todos estos sitios adicionales hay que añadir a la lista de nombres de host permitidos.
Dirección La dirección para permitir tráfico c búsqueda de este nombre de host. En la mayoría de los casos de uso típicos para permitir
nombres de host, el A o Ambos direcciones son el mejor ajuste.

A Permitir trá fi co de los clientes locales a un sitio remoto que cumpla este nombre de host como destinos pertenecientes
ción sin autenticación. Por ejemplo, un servidor web remoto que debe estar siempre accesible por los clientes
locales, incluso cuando no están conectados.
De Permitir tráfico c obtiene de este nombre de host a través del portal, tal como el nombre de host
de un cliente local tratando de acceder a Internet.
Ambos Permitir trá fi co hacia y desde este nombre de host.
nombre de host El nombre totalmente cuali fi ed dominio (FQDN) del host o sitio de destino. El nombre de host debe existir
en DNS para que se pueda resolver en una dirección IP.
Ancho de banda hacia arriba / abajo La cantidad de ancho de banda que tra fi co hacia o desde este nombre de host puede utilizar. Salir
en blanco para no especificar un límite.
vales
Los cupones son códigos de un solo uso que se utilizan para acceder a Internet a través de un portal cautivo. Cada rollo de vales se criptográficamente genera y se incluye un
límite de tiempo establecido. Los cupones se realizan generalmente en lugares donde autenticadas, pero, se desea una conexión a Internet limitada en el tiempo sin
necesidad de proporcionar un nombre de usuario y contraseña a los usuarios. Este tipo de con fi guración se encuentra con frecuencia en lugares como cafeterías, hoteles y
aeropuertos. Los usuarios introducen un código de cupón en el formulario de acceso del portal y tienen acceso a la cantidad de tiempo con fi gurada para el rollo de vales.
rollos de vales se pueden exportar como un archivo CSV fi l, y algunas empresas incluso han integrado las listas de vales exportados en su punto de venta de aplicaciones
para imprimir un vale de recibos de los clientes.
bono de tiempo no se detiene la cuenta atrás si un usuario cierra la sesión; que permiten el acceso sólo desde el inicio de la sesión hasta que haya transcurrido la
duración de la longitud de vales. Durante ese tiempo, el bono se puede volver a utilizar desde el mismo o un equipo diferente. Si el bono se utiliza de nuevo desde otro
ordenador, la sesión anterior se detiene. Se requiere un privado par de claves pública / RSA para generar y verificar vales. Un conjunto de 32 bits de claves se genera
automática- mente por el fi cortafuegos primera vez la página es visitada, y un par de claves personalizado se puede generar manualmente si se desea. La longitud de
clave máxima soportada es de 64 bits. El uso de claves más cortas hará que los comprobantes generados más corto pero con el tiempo menos seguro.
Los ajustes de vales son únicos por cada cautivo Zona Portal. Para con fi gurar vales:
• Hacer clic en la línea por la Zona para editar
• Haga clic en el vales lengüeta
• Rellenar el formulario según sea necesario. En la mayoría de los casos, las opciones restantes de esta pantalla pueden dejarse en sus valores por defecto.
Rolls Vale Vale rollos se gestionan en esta sección de la pantalla. La información sobre cada rollo es de
aparece junto con un enlace para añadir nuevos rollos. No hay opciones aparecen aquí hasta después de los otros ajustes han sido con fi gurado y
guardado. Ver La gestión de Rolls Vale para más.
Claves Vale Las claves utilizadas para generar y verificar vales. Antes de vales están habilitados en una zona,
estos valores se generan aleatoriamente cada vez que se carga la página. Una vez que los vales se habilitan y se guarda, se establecen las llaves.
Advertencia: Tenga cuidado de no cambiar las llaves u otros bits una vez que han sido salvados, o todos los comprobantes actuales son
prestados rollos de cupones no válidos y deben crearse nuevos.
25.7. vales 513

Vale de Clave Pública Esta clave se utiliza para descifrar los vales. La clave pre-generado puede ser
utilizado, o haga clic Generar nuevas claves para hacer un nuevo par de claves pública y privada. Una clave puede generarse
también en otro lugar y luego utilizados por pegar la clave pública RSA (64 bits o más pequeño) en formato PEM aquí.
Vale de clave privada Esta clave se utiliza para generar los códigos de bono y no necesita ser
disponible si los vales se han generado de ine fi. La clave pre generado puede ser utilizado, o pegar en una clave
privada RSA (64 bits o más pequeño) en formato PEM aquí si la clave se genera en otro lugar.
Conjunto de caracteres El conjunto de caracteres multas de qué caracteres son válidos para el texto bono. El juego de caracteres es
entre mayúsculas y minúsculas y debe contener caracteres imprimibles (números, minúsculas y mayúsculas) que son difíciles de
confundir con otros. Por ejemplo, evitar 0 ( Digit cero), O ( La letra O), l ( minúsculas
L), y 1 ( Uno dígitos). No puede contener un espacio, comillas dobles, o una coma. El uso de un conjunto de caracteres más pequeños causará
generalmente vales más para asegurar la aleatoriedad.
Vale Bits Los siguientes campos “bit” controlan cómo los vales mismos se generan. Dejando
estos valores en sus valores por defecto se recomienda pero se pueden ajustar si es necesario. El total de todos los campos de bits fi debe ser menor que el
tamaño de la clave RSA. Por ejemplo, los valores predeterminados son dieciséis, 10, y 5.
La suma de estos es 31, que es uno menos que el tamaño de la clave RSA por defecto de 32.
# Rollo de Bits Número de bits utilizados para almacenar el ID de rollo. Ajuste este grande para tener una gran cantidad de rollos
activo al mismo tiempo. Puede ser de 1-31 el valor por defecto es dieciséis.
# Los bits de entradas Número de bits utilizados para almacenar el ID de entradas. Ajuste este grande si cada rollo se
tener un gran número de vales. Puede ser 1-16, el valor por defecto es 10.
# Los bits de la suma de comprobación Reserva un rango en cada vale para almacenar una suma de comprobación simple a través de
bits de rollo y los bits de entradas. El rango permitido es de 0-31, el valor por defecto es 5.
Número mágico El número mágico es almacenada en cada bono, y es veri fi durante el registro de vales. los
tamaño del número mágico depende de la cantidad de bits dada por la suma del número de bits para el rollo, compra de entradas y suma de
comprobación. Si se utilizan todos los bits, hay un número mágico será utilizada o controlada.
Vale no válida Mensaje Este mensaje se muestra al usuario si intentan entrar en un vale que
no existe o no es válida en cualquier forma excepto por haber sido vencido.
Expirado mensaje vale Este mensaje se muestra al usuario si entran en un vale que era válido,
pero ha expirado.
Una vez que los ajustes se han guardado, los controles de gestión de vales estarán activos.
La gestión de Rolls Vale
Los vales se crean en lotes llamados Rollos. Cada rollo tiene ajustes especí fi cos que son únicos para ese rollo. Por ejemplo, un rollo puede tener un límite de tiempo de 8
horas y un rollo separado puede tener un límite de tiempo de 12 horas. A continuación, los usuarios pueden recibir códigos de descuento dependiendo de qué nivel de
servicio que compran y que se limitarán a la cantidad de tiempo que corresponde al bono de rodar su código fue recogido a partir.
La creación de Rolls Vale
Para crear un rollo, haga clic Añadir en la lista de eventos.
Rodar # El número de este rollo. Cada rollo debe tener un número único. Esto puede ser cualquier número de 0 a
65535.

Minutos por entradas multas de cuánto tiempo dura el bono, en cuestión de minutos. El tiempo empieza a contar bono
hasta el momento se utiliza el vale, y no se detiene, por lo que planificar la longitud de vales en consecuencia. Debido a que este se define en minutos,
asegurarse de que se utiliza la longitud correcta, por ejemplo, 1440 minuto es de 24 horas.
Contar De fi ne el número de vales se hizo en esta tirada. El valor puede ser de 0 a 1023.
Nota: Si se cambia el recuento en un rollo existente, invalidará todas otros vales en el rollo, así que lo mejor es no cambiar esta
vez un rollo ha sido creado.
Comentario Una descripción del rodillo para la referencia, tal como 2 vales por hora para el café
compras.
Hacer clic Salvar y el nuevo rollo está listo para usar.
Edición de Rolls existentes
Un rollo de bono existente se puede editar haciendo clic , pero tenga cuidado al hacer cambios. Cambiando el Rodar
número o Contar hará que los bonos actuales sobre el rollo a ser invalidados.
Extracción Rolls Vale
Rollos de vales se pueden eliminar haciendo clic al final de su fila. Cuando se retira un rollo, todas de los vales
en ese rollo de ser válida, por lo que no retire un rollo que no haya sido utilizado por completo, en peligro o de lo contrario ya no es necesaria.
Exportación / descarga de Vale de Rolls
Hacer clic para descargar un expediente que contiene los vales en el rollo fi cado. Esta acción descarga una. csv ( Valores separados por comas hoja de cálculo) que
contiene todos los códigos de bono para este rollo.
Este expediente se puede guardar y abrió en casi cualquier editor de hojas de cálculo como LibreOf fi cina Calc, Google Docs, o Excel. A partir de ahí se pueden imprimir, se introducirán en un
sistema de punto de venta, y así sucesivamente.
El uso de vales en una página de portal
Los vales deben ser presentadas a través de la auth_voucher formar campo. Ver página de portal con vales para un ejemplo.
Visualización de bonos de activos
Una lista de los vales actualmente activos y sus temporizadores se puede encontrar en Estado> portal cautivo, sobre el bonos de activos
pestaña para una zona, como se ve en la figura bonos de activos .
Viendo Utilización vale rollo
Una lista de los rollos de vales y cuántos se han utilizado se puede encontrar en Estado> portal cautivo, sobre el Rolls Vale
pestaña para una zona, como en la figura Vales rollo de uso
25.7. vales 515

Fig. 25.1: bonos de activos
Fig 25.2:. Uso vales rollo
Vales de prueba
Un código de cupón puede ser probado para la validez introduciéndola en Estado> portal cautivo, sobre el Vales de prueba pestaña para una zona. Tras la presentación, la
página mostrará si un código es válido o no, y si es válido, se mostrará el límite de tiempo vale, como se ve en la figura Vales de prueba . Prueba de un bono no cuenta
como se usa o ha caducado, todavía es libre para ser utilizado en un momento posterior.
Fig. 25.3: vales Testing
expira Vales
Los vales pueden ser invalidadas durante o antes de su uso mediante la introducción de ellos en Estado> portal cautivo, sobre el expirará Vales
pestaña para una zona. Después de la presentación, cualquier bono que aparece en el formulario ya no funcionará. bonos de activos introducidos en esta página también se cumplan de
inmediato.
Cualquier número de títulos de mis estar vencida en un lote. Introduzca vales separadas por saltos de línea.

Sincronización de vales
En la parte inferior de la vales pestaña hay opciones para sincronizar vales a otra unidad. Esto funciona de manera similar a la de XML-RPC con fi guración de
sincronización que se encuentra en configuraciones de alta disponibilidad (Ver pfSense XML-RPC Con fi g sincronización general ). Cuando con fi gurado, esto copiará los
rollos de cupón en la unidad objetivo y también empujar información acerca de bonos de activos a la unidad objetivo como se utilizan los vales.
Vale sincronizar la base de datos IP La dirección IP de destino o el nombre de host del otro nodo para bono
sincronización.
puerto de sincronización vale El puerto en el nodo de destino en la interfaz gráfica de usuario está escuchando (típicamente 443).
nombre de usuario de sincronización vale El nombre de usuario para el acceso de sincronización (Debe ser administración).
contraseña de sincronización bono La contraseña de interfaz gráfica de usuario para el sistema de destino.
A diferencia de la sincronización con fi guración en un clúster de alta disponibilidad, esta sincronización es con fi gurado tanto en los nodos maestro y esclavo. Esto se
hace para asegurar que los vales utilizados en el nodo esclavo mientras está activo también se envían de vuelta al maestro cuando se vuelve a un estado activo. A
diferencia de la sincronización con fi guración, esto no crea un bucle.
Generar manualmente RSA Claves para vales
RSA pública y claves privadas se pueden crear manualmente en un sistema separado para su uso con los vales. Los comandos para generar una clave de 64 bits para
los vales son:
$ Openssl genrsa 64> key64.private

$ Openssl rsa -pubout <key64.private> key64.public
Administrador de archivos
los Administrador de archivos pestaña en una zona de portal cautivo se utiliza para cargar los archivos que luego puede ser utilizado dentro de una página de portal cautivo, tales como hojas de
estilo, la imagen fi les, PHP o JavaScript archivos. El límite de tamaño total de todos los archivos en una zona es 1 MB.
Convenciones de nombre de archivo
Cuando un fi l se carga mediante el Administrador de archivos, el nombre fi l será automáticamente pre fi jos con captiveportal-.
Por ejemplo, si logo.png se sube se convertirá portal cautivo-logo.png. Si un expediente ya tiene que pre fi jo en su nombre, el nombre no se
cambió.
Estos archivos estarán disponibles en el directorio raíz del servidor de portal cautivo para esta zona. Los archivos que se pueda hacer referencia directamente desde el
código HTML página de portal utilizando rutas relativas. Ejemplo: Una imagen con el nombre portal cautivo-logo.jpg fue cargado con el gestor de fi le, A continuación,
se puede incluir en la página del portal de la siguiente manera:
< img src = "Portal cautivo-logo.jpg" />
scripts PHP se pueden cargar también, pero es posible que deban pasar parámetros adicionales para trabajar como se desee, por ejemplo:
< un href = "/captiveportal-aup.php?zone=$PORTAL_ZONE$&redirurl=$PORTAL_REDIRURL$" > Política de uso aceptable </ un >
25.8. Administrador de archivos 517

Manejo de archivos
Para cargar los archivos:
• Editar la zona donde se subirá al fi les
• Haga clic en el Administrador de archivos lengüeta
• Hacer clic
• Localizar y seleccionar el fi l para cargar
• Hacer clic Subir
La fi le será transferido al cortafuego y se almacena en la configuración con fi. Para borrar archivos:
• Editar la zona donde se encuentra el expediente para eliminar
• Haga clic en el Administrador de archivos lengüeta
• Hacer clic junto al fi l para eliminar
• Hacer clic DE ACUERDO para confirmar la acción de eliminación
El expediente será retirado desde el portal con fi guración y ya no estará disponible para su uso en las páginas del portal.
Visualización de los usuarios autenticados del portal cautivo
Una lista de usuarios activos actualmente para el portal se puede consultar en Estado> portal cautivo. En primer lugar, elegir una zona y haga una lista de usuarios para los
que se muestra la zona. Dependiendo de la configuración de autenticación, uno de los varios estilos diferentes usuarios pueden aparecer en la lista. Un portal con Sin
autenticacion, un listado parecido a la figura Usuarios en línea portal cautivo sin autenticación se muestra.
Fig. 25.4: Línea portal cautivo Usuarios Sin autenticación

por Administrador de usuarios locales o RADIO la autenticación se selecciona, un listado parecido a la figura Portal cautivo de autenticación de usuarios de usuario en linea se
muestra. Si RADIO con MACAuthentication se utiliza, el nombre de usuario será la dirección MAC.
La figura 25.5:. Línea portal cautivo Usuarios de autenticación de usuario
Si vales están activos, los usuarios que firmaron en el uso de un bono figurará como figura En línea portal cautivo los usuarios de vales .
Fig. 25.6: Línea portal cautivo los usuarios de vales
Solución de problemas portal cautivo
Esta sección contiene sugerencias para la solución de los problemas más comunes con el portal cautivo.
Los errores de autenticación
Los errores de autenticación son normalmente el resultado de los usuarios que entran en un nombre de usuario o contraseña incorrecta. En el caso de la autenticación
RADIUS, estos pueden ocurrir debido a problemas de conectividad al servidor RADIUS con fi gurado (s), o problemas en el propio servidor RADIUS. Compruebe los
registros del servidor RADIUS para la indicación de por qué se le niega el acceso, y asegurar el cortafuego se puede comunicar con el servidor RADIUS.
Para los usuarios locales, si la opción de requerir el privilegio de inicio de sesión de portal cautivo está activado, garantizar los usuarios tienen el privilegio directa o son miembros
de un grupo con el privilegio.
Página de Portal no carga (tiempo de espera) ni será cualquier otra carga de la página
Esto es más comúnmente un fallo de DNS. Si el cortafuego no se utiliza para DNS, y no hay entradas en el Permitió que la dirección IP pestaña ( Permitió que la dirección IP ) Para
los servidores DNS, a continuación, los usuarios no pueden ponerse en contacto con DNS para resolver un nombre de host. Si no pueden resolver un nombre de host, entonces su
navegador ni siquiera intentará cargar una página web, y por lo tanto nunca será redirigido a la página del portal.
Para resolver esto, o bien utilizar la dirección IP fi cortafuegos y el promotor de DNS para el DNS del cliente, o añadir Permitió que la dirección IP
entradas para los servidores DNS externo.
Otra posible explicación para esto es que las reglas fi cortafuego en la interfaz con el portal no permiten que los usuarios llegar a sitios web sobre el puerto 80. Asegúrese
de que las reglas fi cortafuego salgan trá fi co en el puerto TCP 80, y para hacer que funciona DNS seguro, deben también será capaz de llegar a los servidores DNS con fi
gura en el puerto TCP 53 y UDP.
25.10. Solución de problemas portal cautivo 519

usuarios de la página HTTPS casa no se les redirige a la página del portal
No es posible redireccionar los intentos de navegación HTTPS de una manera que funcione para los usuarios de forma segura y sin errores. Sería o no funcionar en absoluto, o dar al
usuario un certificado SSL advertencia fi cado de miedo para un sitio que normalmente confían. Los usuarios directos para cargar un sitio HTTP y entonces van a ser redirigidos al
portal y reciben una solicitud de inicio de sesión.
los dispositivos de Apple no son capaces de cargar la página del portal o login
Ciertas versiones de Safari en iOS no manejan correctamente el formulario de acceso para la página de portal cautivo. La resolución más común es la de desactivar el auto para
llenar formularios en Safari en iOS.
En algunos casos, los dispositivos de Apple no le sugerirán automáticamente para un inicio de sesión de portal cautivo o la prueba de su presencia si la red inalámbrica utiliza
codificación. En estos casos, abrir manualmente un navegador y vaya a un sitio HTTP para conseguir la redirección de inicio de sesión.
También ha habido informes de que en la versión anterior de OS X, un Mac se negaría a cargar todos los sitios HTTPS, incluyendo un portal de HTTPS, hasta que se
pudiera cargar una CRL y OCSP URL para la certi fi cado. Esto ha sido fijada en las versiones actuales de OS X.
Algunos usuarios han tenido que añadir www.apple.com a sus nombres de host permitidos por lo que el llamado de Apple para su página de prueba es satisfactoria.
Puerto hacia delante a detrás de los ejércitos portal sólo funcionan cuando se registra el sistema de destino
en
Este es un efecto secundario de cómo opera el portal. Sin trá fi co se le permite alcanzar un host detrás del portal de menos que haya sido autenticada o pasado a través del
portal. Si un puerto hacia adelante siempre se debe trabajar a un dispositivo detrás del portal, entonces debe ser configurado para omitir el portal, ya sea con una entrada de MAC
de paso a través ( Control de dirección MAC ) O una entrada de direcciones IP permitidas ( Permitió que la dirección IP ) Para permitir tráfico c A el objetivo.
La función de portal cautivo de pfSense redirige a los usuarios a una página web alojada en el cortafuego antes de permitir el acceso a Internet. A partir de esta página,
los usuarios pueden ser obligados a autenticarse antes de conceder el acceso o realizar un click-sencilla a través. Los usos más comunes de portal cautivo son los
puntos calientes inalámbricos, o para la autenticación adicional antes de permitir el acceso a las redes internas de los clientes inalámbricos. También se puede utilizar
con clientes cableados si se desea. Portal cautivo es con fi gurado bajo Servicios> portal cautivo. Ver también:
Los clientes con una pfSense Suscripción Oro puede acceder al Hangouts Archivo para ver el Hangout de abril de 2015 sobre portal cautivo
limitaciones
La aplicación de portal cautivo en pfSense tiene algunas limitaciones. Esta sección cubre los y las formas comunes de trabajo alrededor de ellos
cuando sea posible.
Aun no soporta IPv6
Actualmente, portal cautivo no es compatible con IPv6.

No sean capaces de portal inversa
Un portal inversa, lo que requiere autenticación para trá fi co que entra en una red local desde Internet, no es posible.
25.11. limitaciones 521


CAPÍTULO
VEINTISEIS
ALTA DISPONIBILIDAD
pfsync general
pfsync permite la sincronización de la tabla de estado fi cortafuegos entre nodos del clúster. Los cambios en la tabla de estado en el primario se envían al
cortafuego secundario (s) sobre la interfaz de sincronización, y viceversa. Cuando pfsync está activa y adecuadamente con fi gura, todos los nodos tendrán
conocimiento de cada conexión fl que fluye a través del clúster. Si el nodo maestro falla, el nodo de reserva se hará cargo y clientes no notará la transición
desde ambos nodos sabían acerca de la conexión de antemano.
pfsync utiliza multicast por defecto, aunque una dirección IP puede ser definido para forzar actualizaciones de unidifusión para entornos con sólo
dos rewalls fi, donde el tráfico de multidifusión fi co no funcionará correctamente. Cualquier interfaz activa se puede utilizar para el envío de
actualizaciones pfsync, sin embargo la utilización de una interfaz dedicada es mejor para la seguridad y el rendimiento. pfsync no es compatible
con cualquier método de autenticación, por lo que si se utiliza aparte de una interfaz dedicada algo, es posible que cualquier usuario con acceso a
la red local para insertar estados en la tabla de estado. En ambientes de baja de rendimiento que no son de seguridad paranoide, el uso de la
interfaz de LAN para este propósito es aceptable. Ancho de banda requerido para esta sincronización estado variará significativamente de un
entorno a otro,
Conmutación por error puede seguir funcionando sin pfsync, pero no va a ser perfecta. Sin pfsync si un nodo falla y otro toma el control, conexiones de usuario se
abandonarían. Los usuarios pueden volver a conectar inmediatamente a través de otro nodo, pero se interrumpió durante la transición. Dependiendo del uso en un
entorno particular, esto puede pasar desapercibida o podría ser un signi fi cativo, pero breve, apagón. Cuando pfsync está en uso, la configuración pfsync debe estar
habilitado en todos los nodos que participan en la sincronización de estado, incluidos los nodos secundarios, o no funcionará correctamente.
pfsync y reglas del cortafuegos
Traf fi c para pfsync se debe pasar de forma explícita en la interfaz de sincronización. La regla debe pasar la pfsync protocolo de una fuente de la la red de sincronización a alguna destino.
Una regla que pasa todos los tra fi co de cualquier protocolo también podría permitir que el requerido trá fi co, pero una regla más específico es más seguro.
pfsync e interfaces físicas
Unidos en pfSense están obligados a fi interfaces del sistema operativo específicos. Por ejemplo, si WAN es em0, a continuación, un estado de WAN estaría ligado a em0. Si
los nodos del clúster tienen asignaciones de hardware y de interfaz idénticos entonces funciona como se esperaba. En los casos en que se utiliza un hardware diferente,
esto puede ser un problema. Si la WAN en un nodo es em0 pero en otro nodo que es igb0, los estados no coincidirán y no van a ser tratados de la misma.
Siempre es preferible tener un hardware idéntico, pero en los casos en que esto no es práctico hay una solución: Adición de interfaces para un
LAGG se resumen la interfaz física subyacente real así que en el ejemplo anterior, WAN sería
523
lagg0 en ambos estados y estaría obligado a lagg0, aunque lagg0 en un nodo contiene em0 y contiene igb0
en el otro nodo.
pfsync y actualizaciones
Normalmente pfSense permitiría mejoras fi cortafuego sin ningún tipo de interrupciones en la red. Por desgracia, esto no siempre es el caso con las actualizaciones como el
protocolo pfsync puede cambiar para adaptarse a la funcionalidad adicional. Siempre consulte la guía de actualización vinculado en todos los anuncios de liberación antes de
actualizar para ver si hay algunas consideraciones especiales para los usuarios de CARP.
pfSense XML-RPC Con fi g sincronización general
Para hacer el trabajo de mantener prácticamente idénticos nodos fi cortafuego más fácil, la sincronización con fi guración es posible el uso de XML-RPC. Cuando se
habilita la sincronización de XML-RPC, la configuración de las zonas compatibles se copian en el secundario y se activan después de cada cambio de con fi
guración. XMLRPC sincronización es opcional, pero manteniendo un cluster es mucho más trabajo sin ella.
Algunas áreas no pueden ser sincronizados, tales como la interfaz con fi guración, pero muchas otras áreas puede: Las reglas de firewall, alias, los usuarios, los certi fi cados,
VPNs, DHCP, rutas, puertas de enlace, y mucho más. Como regla general, los elementos especí fi cos en el hardware o una instalación en particular, como las interfaces o valores
menores Sistema> General o Sistema> Avanzado no se sincronizan. La lista de las regiones que reciben fondos puede variar dependiendo de la versión de pfSense en uso. Para
obtener una lista de áreas que se sincronizarán, consulte los artículos casilla de verificación en Sistema> Alta Disponibilidad de sincronización en la sección XMLRPC. La mayoría de
los paquetes no se sincronizarán pero algunos contienen sus propios ajustes de sincronización. Consulte la documentación del paquete para más detalles.
Con fi guración de sincronización debe utilizar la interfaz de sincronización, o si no hay ninguna interfaz de sincronización dedicado, utilizar el mismo fi interfaz con gurado para
pfsync.
En un clúster de dos nodos la configuración XML-RPC debe solamente estar habilitado en el nodo principal, el nodo secundario debe tener las siguientes configuraciones discapacitado.
Para XML-RPC para funcionar, ambos nodos deben tener la GUI se ejecuta en el mismo puerto y protocolo, por ejemplo: HTTPS en el puerto 443, que es la configuración
predeterminada. La cuenta de administrador no puede ser desactivado y ambos nodos deben tener la misma contraseña de cuenta de administrador.
Ejemplo redundante Con fi guración
En esta sección se describe un sencillo de tres interfaz de HA con fi guración. Las tres interfaces son LAN, WAN y sincronización. Este es funcionalmente
equivalente a una implementación de LAN y WAN dos interfaz, con la interfaz pfsync siendo utilizado únicamente para sincronizar con fi guración y cortafuego
estados entre los rewalls fi primario y secundario.
Nota: Este ejemplo sólo cubre un IPv4 con fi guración. Alta disponibilidad es compatible con IPv6, pero requiere direccionamiento estático en las interfaces fi cortafuego.
Cuando se prepara para con fi gura HA, si las asignaciones IPv6 estáticas no están disponibles, configurar IPv6 Ninguna en todas las interfaces.
Determinar asignación de direcciones IP
La primera tarea es la de planificar la asignación de direcciones IP. Una buena estrategia es utilizar la dirección IP bajo utilizable en la subred como el VIP CARP, la siguiente
dirección IP subsiguiente, como la dirección IP de la interfaz primaria cortafuegos fi, y la siguiente dirección IP
524 Capítulo 26. Alta disponibilidad

como la dirección IP de la interfaz fi cortafuegos secundario. Este diseño es opcional, cualquier esquema puede ser utilizado, pero se recomienda encarecidamente un esquema
coherente y lógica para hacer diseño y una administración más simple.
Dirigiéndose a la WAN
Las direcciones WAN serán seleccionados de entre los asignados por el ISP. Para el ejemplo en la tabla Asignación de direcciones IP WAN , la WAN del
par HA es 198.51.100.0/24, y las direcciones 198.51.100.200 través 198.51.100.202 será utilizado como las direcciones IP WAN.
Tabla 26.1: asignación de direcciones IP WAN
Dirección IP Uso
198.51.100.200/24 CARP dirección IP compartida
198.51.100.201/24 nodo primario dirección IP WAN
198.51.100.202/24 nodo secundario dirección IP WAN
Dirigiéndose a LAN
La subred LAN es 192.168.1.0/24. Para este ejemplo, las direcciones IP de LAN serán asignados como se muestra en la tabla Asignación de direcciones IP de LAN .
Tabla 26.2: asignación de direcciones IP de LAN
Dirección IP Uso
192.168.1.1/24 CARP dirección IP compartida
192.168.1.2/24 nodo primario dirección IP LAN
192.168.1.3/24 nodo secundario dirección IP LAN
Sincronización de interfaz de direccionamiento
No hay ninguna VIP CARP compartida en esta interfaz porque no hay necesidad de una. Estas direcciones IP sólo se utilizan para la comunicación entre los
rewalls fi. Para este ejemplo, 172.16.1.0/24 se utiliza como la subred Sync. se usan sólo dos direcciones IP, pero a / 24 se utiliza para ser consistente con la otra
interfaz interna (LAN). Para el último octeto de las direcciones IP, utilice el mismo último octeto como la dirección IP LAN que fi de cortafuegos para mantener la
coherencia.
Tabla 26.3: asignación de direcciones IP de sincronización
Dirección IP Uso
172.16.1.2/24 nodo primario dirección de sincronización IP
172.16.1.3/24 nodo secundario dirección de sincronización IP figura Ejemplo Diagrama de Red HA muestra el diseño de este ejemplo HA par. La primaria y
secundaria cada uno tiene conexiones idénticas a la WAN y LAN, y un cable cruzado entre ellos para conectar las interfaces de sincronización. En este
ejemplo básico, el interruptor de WAN y LAN switch siguen siendo posibles puntos de fallo. Cambio de redundancia se expone más adelante en este capítulo
en Capa 2 Redundancia .
Fundamentos de Con fi guración Cluster
Cada nodo requiere un poco básico con fi guración exterior de la configuración real de HA. No conecte los dos nodos en la misma LAN antes de que ambos nodos tienen una
estafa configuración de la LAN no infligir.
26.3. Ejemplo redundante Con fi guración 525

Fig. 26.1: Ejemplo Diagrama de Red HA

Instalación, misiones interfaz y con fi guración básica
Instalar el sistema operativo en los rewalls fi como de costumbre y asignar las interfaces de forma idéntica en ambos nodos. Las interfaces deben ser asignados en el
mismo orden en todos los nodos exactamente. Si las interfaces no están alineados, la sincronización con fi guración y otras tareas no se comportan correctamente. Si los
ajustes se han hecho a las tareas de interfaz, que deben replicarse de forma idéntica en ambos nodos.
A continuación, conectarse a la interfaz gráfica de usuario y utilizar el asistente de configuración para con fi gura cada cortafuego con un nombre de host único y no conflictivas direcciones IP
estáticas. Referirse de nuevo a Asistente de configuración si es necesario.
Por ejemplo, un nodo podría ser “fi rewall-a.example.com” y el otro “fi rewall- b.example.com”, o un par alized más persona- de nombres.
Nota: Evitar nombrar los nodos “maestro” o “copia de seguridad” ya que esos son los estados y no papeles, sino que podrían denominarse “primaria” y “secundaria”.
La dirección IP de la LAN por defecto es 192.168.1.1. Cada nodo debe ser movido a su propia dirección, tal como 192.168.1.2 para el primario y 192.168.1.3 para el
secundario. Esta disposición se muestra en la Asignación de direcciones IP de LAN . Una vez que cada nodo tiene una dirección IP LAN única, entonces ambos nodos puede ser
enchufado en el mismo conmutador LAN.
Configuración de la interfaz de sincronización
Antes de continuar, las interfaces de sincronización en los nodos del clúster deben ser con fi gurado. Asignación de direcciones IP de sincronización enumera las direcciones a
utilizar para las interfaces de sincronización en cada nodo. Una vez que se ha completado en el nodo primario, lleve a cabo de nuevo en el nodo secundario con el apropiado dirección
IPv4 valor.
Para completar la sincronización de interfaz con fi guración, las reglas de cortafuego deben agregarse a ambos nodos para permitir la sincronización. Como mínimo, las reglas fi
cortafuego deben pasar la con fi guración de sincronización de tráfico c (por defecto, HTTPS en el puerto 443) y pfsync tráfico c. En la mayoría de los casos, un simple “permitir que todos”
se utiliza regla de estilo. Cuando se haya completado, las reglas se verá como el ejemplo de la fi gura Ejemplo de sincronización de interfaz de reglas del cortafuegos , que también incluye
una regla para permitir eco ICMP (ping) para fines de diagnóstico.
Fig. 26.2: Ejemplo de sincronización de interfaz de reglas del cortafuegos
El secundario no necesita esas reglas Inicialmente, sólo una regla para permitir trá fi co a la interfaz gráfica de usuario para XML-RPC para funcionar. El conjunto completo de reglas
se sincronizará una vez XML-RPC ha sido con fi gurado.
Con fi gura pfsync
sincronización Estado usando pfsync debe ser con fi gurado tanto en los nodos primario y secundario para su funcionamiento. En primer lugar en el nodo
principal y luego en la secundaria, realizar lo siguiente:
• Navegar a Sistema> Alta Disponibilidad de sincronización
• Comprobar Sincronizar Unidos
• Ajuste Interfaz de sincronización a SINC

• Ajuste Sincronizar pfsync Peer IP al otro nodo. Ponga esto en 172.16.1.3 cuando con fi gurar el nodo primario, o 172.16.1.2 cuando con fi
gurar el nodo secundario
Con fi gura con fi guración de sincronización (XML-RPC)
Advertencia: Con fi guración de sincronización Sólo debe ser con fi gurada en el nodo principal. Nunca activar opciones de esta sección en el nodo
secundario de un clúster de dos miembros.
En sólo el nodo primario, realizar lo siguiente:
• Navegar a Sistema> Alta Disponibilidad de sincronización
• Ajuste Sincronizar con fi ga IP a la dirección IP de la interfaz de sincronización en el nodo secundario, 172.16.1.3
• Ajuste Sistema de Nombre de usuario remoto a administración.
Nota: Este debe ser siempre administración, ningún otro usuario va a funcionar!
• Ajuste Contraseña del sistema remoto a la contraseña de la cuenta de usuario de administración, y repetir el valor en el cuadro de con fi rmación.
• Marque las casillas para cada área de sincronizarse con el nodo secundario. Para esta guía, al igual que con la mayoría de configuraciones fi, todas las casillas están marcadas.
los Alternar todo botón puede utilizarse para seleccionar todas las opciones a la vez, en lugar de seleccionar de forma individual.
Como con rápida fi rmación que la sincronización trabajó, en el navegar nodo secundario para Cortafuegos> Reglas sobre el
SINC lengüeta. Las normas introducidas en la primaria ya están allí, y la regla temporal se ha ido. Los dos nodos están vinculados para la sincronización con fi
guración! Los cambios realizados en el nodo primario en las zonas apoyadas se sincronizan con el secundario siempre que se hace un cambio.
Advertencia: No realizar cambios en el secundario en áreas establecidas para ser sincronizado! Estos cambios se SOBRESCRITOS la próxima vez que el
nodo primario realiza una sincronización.
Con fi gurar la carpa direcciones IP virtuales
Con la sincronización con fi guración en su lugar, las direcciones IP virtual CARP sólo tienen que ser añadidos al nodo primario y que se copiarán
automáticamente a la secundaria.
• Navegar a Cortafuegos> direcciones IP virtuales en el nodo principal para gestionar VIPs CARP
• Hacer clic Añadir en la parte superior de la lista para crear un nuevo VIP.
Nota: A VIP se debe añadir para cada manipulación interfaz de tráfico de usuario fi c, en este caso WAN y LAN.
Tipo Define el tipo de VIP, en este caso CARPA.
Interfaz Define la interfaz en la que residirá el VIP, tales como PÁLIDO
Dirección (es) los Dirección cuadro es donde se introducen los valores de la dirección IP para el VIP. Una máscara de subred debe
También puede seleccionar y debe coincidir con la máscara de subred de la dirección IP de la interfaz. Para este ejemplo, introduzca 198.51.100.200
y 24 ( Ver Asignación de direcciones IP WAN ).

Contraseña virtual IP Establece la contraseña para el VIP CARP. Esta necesidad única coincidencia entre los dos nodos,
que será manejado por la sincronización. El cuadro de contraseña firme con contraseña y debe ser llenada tanto dentro y que debe
coincidir.
Grupo VHID Define el ID de la carpa VIP Una táctica común es hacer que el VHID coincide con el último
octeto de la dirección IP, por lo que en este caso elegir 200
Publicidad de frecuencia determina con qué frecuencia se envían latidos CARP.
Base Controla cuántos segundos enteros transcurren entre los latidos del corazón, por lo general 1. Esta
debe coincidir entre nodos del clúster.
Sesgar Controla fracciones de un segundo (1 / incrementos 256o). Un nodo primario es típicamente

ajustado a 0 o 1, los nodos secundarios serán 100 o superior. Este ajuste se realiza automáticamente mediante la
sincronización de XML-RPC.
Descripción Parte del texto para identificar el VIP, tales como WAN CARP VIP.
Nota: Si CARP parece ser demasiado sensible a la latencia en una red dada, el ajuste de la Base mediante la adición de un segundo a la vez se recomienda hasta que se
consigue estabilidad.
La descripción anterior utiliza el VIP WAN como un ejemplo. El VIP de LAN sería con fi gurado de manera similar, excepto que estará en el LAN interfaz y
la dirección será 192.168.1.1 ( Ver Asignación de direcciones IP de LAN ).
Si hay algún direcciones IP adicionales en la subred de la WAN que serán utilizados para fines tales como 1: 1 NAT, puerto remite, VPN, etc., que pueden añadirse ahora
también. Hacer clic Aplicar cambios después de hacer cualquier modificación a los VIPs. Después de la adición de VIPs, comprobar Cortafuegos> direcciones IP virtuales en el
nodo secundario para asegurar que los VIPs sincronizan como se esperaba.
Las direcciones IP virtuales en ambos nodos se parecerán CARP lista de direcciones IP virtual si el proceso se ha realizado correctamente.
La figura 26.3: CARP lista de direcciones IP virtual.
Con fi gura de salida NAT para CARP
El próximo paso será para con fi gurar NAT para que los clientes de la LAN utilizarán el IP WAN compartida como la dirección.
• Navegar a Firewall> NAT, Saliente lengüeta
• Clic para seleccionar generación de reglas NAT de salida Manual
Un conjunto de reglas parecerá que son las normas equivalentes a las existentes para la generación automática de salida NAT. Ajustar las reglas para las fuentes de subred
interna para trabajar con la dirección IP en lugar CARP.
• Hacer clic a la derecha de la regla para editar
• localizar el Traducción sección de la página

• Seleccione la dirección VIP WAN del CARP Dirección desplegable
• Cambiar la descripción de mencionar que esta regla NAT LAN a la dirección VIP WAN CARP
Advertencia: Si se añaden las interfaces locales adicionales más adelante, como una segunda LAN, DMZ, etc., y que utiliza la interfaz de direcciones IP privadas, a continuación, las
reglas de NAT salientes manuales adicionales deben ser agregados en ese momento.
Cuando se haya completado, los cambios en las reglas se verá como las que se encuentran en Salientes reglas NAT para LAN con VIP CARP
Fig. 26.4: IDA reglas NAT para LAN con VIP CARP
Modificar el servidor DHCP
Los demonios del servidor DHCP en los nodos del clúster necesitan ajustes para que puedan trabajar juntos. Los cambios sincronizar desde la
primaria a la secundaria, así como con los VIPs y salientes NAT, estos cambios sólo tienen que hacerse en el nodo principal.
• Navegar a Servicios> Servidor DHCP, LAN * lengüeta.
• Selecciona el Servidor DNS a la LAN CARP VIP, aquí 192.168.1.1
• Selecciona el Puerta a la LAN CARP VIP, aquí 192.168.1.1
• Selecciona el Peer IP de conmutación por error a la dirección real IP LAN del nodo secundario, aquí 192.168.1.3
Ajuste de la Servidor DNS y Puerta a un VIP CARP asegura que los clientes locales están hablando con la dirección de conmutación por error y no directamente a cualquier nodo.
De esta manera si el primario falla, los clientes locales continuarán hablando con el nodo secundario. los Peer IP de conmutación por error permite que el daemon para
comunicarse con los pares directamente en esta subred para intercambiar datos tales como información de concesión. Cuando los ajustes se sincronizan con el secundario, este
valor se ajusta automáticamente de manera que los puntos secundarios de nuevo a la primaria.
Multi-WAN con HA
HA también se puede implementar para la redundancia fi cortafuegos en un entorno multi-WAN con fi guración. En esta sección se detalla la configuración VIP y con NAT fi
necesaria para un despliegue de doble WANHA. Esta sección sólo cubre temas específico para HA y multi-WAN.
Determinar asignación de direcciones IP
Para este ejemplo, cuatro direcciones IP serán utilizados en cada WAN. Cada fi cortafuegos necesita una dirección IP, además de un VIP CARP para salida NAT, además de
un VIP CARP adicional para un 1: entrada NAT 1 que será utilizado para un servidor de correo interno en el segmento de DMZ.

IP WAN y WAN2 Dirigiéndose
Mesa Direccionamiento IP WAN mostrar la dirección IP de ambas redes WAN. En la mayoría de los entornos de estas serán las direcciones IP públicas.
Tabla 26.4: Direccionamiento IP WAN
Dirección IP Uso
VIP 198.51.100.200 compartido CARP de salida NAT
198.51.100.201 fi primaria cortafuegos WAN
198.51.100.202 secundaria fi cortafuegos WAN
198.51.100.203 compartido CARP VIP por 1: 1 NAT Tabla 26.5:
WAN2 direccionamiento IP
Uso de direcciones IP
203.0.113.10 compartido VIP CARP para salida NAT
203.0.113.11 fi primaria cortafuegos WAN2
203.0.113.12 secundaria fi cortafuegos WAN2
203.0.113.13 compartido CARP VIP por 1: 1 NAT
Dirigiéndose a LAN
La subred LAN es 192.168.1.0/24. Para este ejemplo, las direcciones IP de LAN serán asignados de la siguiente manera.
Tabla 26.6: asignación de direcciones IP de LAN
192.168.1.1 CARP compartida VIP de LAN
192.168.1.2 fi primaria cortafuegos de LAN
192.168.1.3 fi secundaria cortafuegos de LAN
Dirigiéndose DMZ
La subred DMZ es 192.168.2.0/24. Para este ejemplo, las direcciones IP DMZ serán asignados de la siguiente manera en la tabla Asignación de direcciones IP DMZ .
Tabla 26.7: DMZ asignación de direcciones IP
192.168.2.1 CARP compartida DMZ VIP
192.168.2.2 fi cortafuegos primaria DMZ
192.168.2.3 Secondary fi cortafuegos DMZ
Dirigiéndose pfsync
No habrá VIP CARP compartida en esta interfaz porque no hay necesidad de una. Estas direcciones IP sólo se utilizan para la comunicación entre los rewalls
fi. Para este ejemplo, 172.16.1.0/24 se utilizará como la subred Sync. se usan sólo dos direcciones IP, pero a / 24 se utiliza para ser consistente con las otras
interfaces internas. Para el último octeto de la dirección IP, el mismo último octeto como IP LAN que fi del cortafuegos se elige para mantener la coherencia.
26.4. Multi-WAN con HA 531

Tabla 26.8: asignación de direcciones IP de sincronización
172.16.1.2 fi primaria cortafuegos Sincronización
172.16.1.3 fi secundaria cortafuegos de sincronización
NAT Con fi guración
El aire NAT fi guración cuando se utiliza HA con Multi-WAN es el mismo que HA con una sola WAN. Asegúrese de que sólo VIPs CARP se utilizan para tráfico
entrante c o encaminamiento. Ver Traducción de Direcciones de Red para más información sobre NAT con fi guración.
Firewall Con fi guración
Con Multi-WAN una regla de cortafuego debe estar en su lugar para pasar trá fi co a redes locales utilizando la pasarela por defecto. De lo contrario, cuando se tra fi co intentos
de llegar a la dirección de la carpa o de LAN a DMZ en su lugar saldrá una conexión WAN. Una regla debe ser añadido en la parte superior de las reglas fi cortafuego para
todas las interfaces internas que dirigirán tráfico c para todas las redes locales a la puerta de enlace predeterminada. La parte importante es la puerta de entrada tiene que ser defecto
para esta regla y no uno de los grupos equilibrio de puerta de enlace de conmutación por error o de carga. El destino de esta regla sería la red LAN local, o un alias que
contiene todas las redes a nivel local alcanzables.
Multi-WAN HA con Diagrama DMZ
Debido a los elementos adicionales WAN y DMZ, un diagrama de este diseño es mucho más compleja, como puede verse en la figura Diagrama de
Multi-WAN HA con DMZ .
Verificación de la funcionalidad de conmutación por error
Dado que el uso de HA se trata de una alta disponibilidad, pruebas exhaustivas antes de colocar un grupo en producción es una necesidad. La parte más importante de que la prueba es
asegurarse de que los compañeros de HA conmutación por error con gracia durante las interrupciones del sistema. Si cualquier acción en esta sección no funcionan como se esperaba, véase Solución
de problemas de alta disponibilidad .
Comprobar el estado de CARP
En ambos sistemas, vaya a Estado> CARP (failover). Si todo funciona correctamente, el principal mostrará
DOMINAR para el estado de todos los VIPs carpa y el espectáculo voluntad secundaria APOYO.
Si ya sea en lugar espectáculos DISCAPACITADO, haga clic en el Habilitar CARP botón y luego actualice la página.
Si una interfaz shows EN ESO, esto significa que la interfaz que contiene la carpa VIP no tiene un enlace. Conecta el
interfaz a un conmutador, o al menos a otro nodo. Si no va a utilizar la interfaz desde hace algún tiempo, retire el VIP CARP desde la interfaz ya que esto
interfiere con el funcionamiento normal CARP.

Fig. 26.5: Diagrama de Multi-WAN HA con DMZ
26.5. Verificación de la funcionalidad de conmutación por error 533

Compruebe con fi guración de replicación
Vaya a lugares clave en el nodo secundario, tales como Cortafuegos> Reglas y Firewall> NAT y asegurar que las reglas creadas sólo en el nodo
primario se replican en el nodo secundario.
Si el ejemplo anteriormente en este capítulo fue seguido, el “temp” regla fi cortafuegos en la interfaz pfsync sería sustituida por la regla de la primaria.
Compruebe DHCP de conmutación por error de estado
Si la conmutación por error de DHCP fue con fi gurado, su estado se puede comprobar en Estado> asignaciones DHCP. Una nueva sección aparecerá en la parte superior de la página que
contiene el estado del conjunto DHCP de conmutación por error, como en la figura DHCP de conmutación por error piscina Estado .
La figura 26.6:. DHCP de conmutación por error piscina Estado
Prueba CARP conmutación por error
Ahora para la prueba de conmutación por error real. Antes de comenzar, asegúrese de que un cliente local detrás de la pareja de la carpa en LAN puede conectarse a Internet con ambas
rewalls fi pfSense en línea y funcionando. Una vez que se confirma a trabajar, es un excelente momento para hacer una copia de seguridad.
Para la prueba real, desconecte el nodo principal de la red o apagarlo temporalmente. El cliente será capaz de mantener el contenido de la carga a través de Internet a través
del nodo secundario. Comprobar Estado> CARP (conmutación por error) otra vez en la copia de seguridad y ahora se informará de que se trata DOMINAR para los VIPs CARP
LAN y WAN. Ahora llevar el nodo primario de nuevo en línea y va a recuperar su papel como DOMINAR, y el sistema de copia de seguridad a degradarse a sí mismo APOYO Una
vez más. En cualquier momento durante este proceso, la conectividad a Internet seguirá funcionando correctamente. Probar el par de HA en tantos escenarios de fallo como
sea posible. Las pruebas adicionales incluyen:
• Desconecte el cable WAN o LAN
• Tire del enchufe de alimentación de la primaria
• Desactivar CARP en el primario utilizando tanto el modo de función y mantenimiento deshabilitar temporalmente
• Prueba con cada sistema individual (alimentación secundaria, entonces el poder de nuevo y cerrar el primario)
• Descargar un expediente o probar la transmisión de audio / vídeo durante la conmutación por error
• Ejecutar una petición continua de eco ICMP (ping) a un host de Internet durante la conmutación por error
Proporcionar redundancia Sin NAT
Como se mencionó anteriormente, sólo los VIPs CARP proporcionan redundancia para direcciones directamente manejados por el cortafuego, y que sólo se pueden utilizar
en conjunción con NAT o servicios en la fi cortafuegos sí mismo. La redundancia también se puede proporcionar para las subredes IP públicas enrutados con HA. Esta
sección describe este tipo de con fi guración, que es común en las redes grandes, ISP y redes ISP inalámbricos, y entornos de centros de datos.

Las asignaciones IP públicas
Al menos es necesario un bloque de IP pública / 29 para el lado WAN del pfSense, que ofrece seis direcciones IP utilizables. Sólo tres son necesarios para una
implementación de cortafuegos de dos fi, pero esta es la subred IP más pequeño que se acomoda a tres direcciones IP. Cada cortafuego requiere una dirección
IP, y se necesita al menos un VIP CARP en el lado WAN. La segunda subred IP pública se dirigirá a una de las personalidades carpa por el ISP, centro de
datos, o router aguas arriba. Debido a esta subred se enruta a una VIP CARP, el enrutamiento no será dependiente de un solo cortafuego. Para el ejemplo
representado con fi guración en este capítulo, una subred IP pública / 24 será utilizada y que se dividirá en dos / 25 subredes.
Descripción de la red
La red de ejemplo representado aquí es un entorno de centro de datos que consta de dos rewalls fi pfSense con cuatro inter- enfrenta cada uno: WAN,
LAN, DBDMZ, y pfsync. Esta red contiene un número de servidores web y bases de datos. No se basa en ninguna red real, pero hay incontables
despliegues de producción similares a este.
Red WAN
El lado WAN conecta a la red de aguas arriba, o bien el ISP, centro de datos, o enrutador de aguas arriba.
Red WEB
El segmento WEB en esta red utiliza la interfaz “LAN”, pero el nombre cambiado. Contiene los servidores web, por lo que se ha llamado WEB pero podría
ser llamada DMZ, servidores, o si se desea nada.
DBDMZ Red
Este segmento es una interfaz OPT y contiene los servidores de base de datos. Es común para segregar los servidores web y bases de datos en dos redes en entornos
de alojamiento. Los servidores de bases de datos por lo general no requieren acceso directo a través de Internet, y por lo tanto están menos sujetos a comprometer a los
servidores web.
sincronización de red
La red de sincronización en este diagrama se utiliza para replicar pfSense estafadores cambios fi guración vía XML-RPC y para pfsync para replicar cambios de la tabla
de estado entre las dos rewalls fi. Como se ha descrito anteriormente en este capítulo, se recomienda una interfaz dedicada para este fin.
diseño de red
Figura Diagrama de HA con enrutados IPs ilustra este diseño de la red, incluyendo todas las direcciones de ruta IP, la red web, y la zona de distensión de base de
datos.
Nota: Segmentos que contienen los servidores de bases de datos por lo general no tienen que ser accesibles al público, y por lo tanto serían más comúnmente usar subredes IP
privadas, pero el ejemplo ilustrado aquí se pueden utilizar independientemente de la función de las dos subredes internas.
26.6. Proporcionar redundancia Sin NAT 535

Fig. 26.7: Diagrama de HA con enrutada IPs

Capa 2 Redundancia
Los diagramas anteriores en este capítulo no describieron la capa 2 de redundancia (interruptor), para evitar tirar demasiados conceptos en los lectores de forma simultánea. Esta
sección cubre los elementos de diseño de capa 2 que deben considerarse en la planificación de una red redundante. En este capítulo se asume una implementación de dos
sistemas, aunque esto se escala para el mayor número de instalaciones según sea necesario. Si ambos redundantes rewalls fi pfSense están conectados en el mismo interruptor
en cualquier interfaz, que el interruptor se convierte en un punto único de fallo. Para evitar este único punto de fallo, la mejor opción es desplegar dos interruptores para cada
interfaz (excepto la interfaz dedicada pfsync).
Ejemplo Diagrama de Red HA es de red centrada, no se muestra la infraestructura de conmutación. La figura Diagrama de HA con conmutadores redundantes ilustra la forma
en que el medio ambiente se ve con una infraestructura de conmutación redundante.
Fig. 26.8: Diagrama de HA con conmutadores redundantes
Conmutar Con fi guración
Cuando se utilizan varios interruptores, los interruptores deben estar interconectados. Mientras existe una única conexión entre los dos interruptores, y no hay puente en
cualquiera de las rewalls fi, esto es seguro con cualquier tipo de interruptor. Donde el uso de puente, o cuando existen múltiples interconexiones entre los interruptores,
se debe tener cuidado para evitar bucles de Capa 2. Un switch gestionado sería necesario que sea capaz de utilizar el protocolo de árbol de expansión (STP) para
detectar y bloquear puertos que haría
26.7. Capa 2 Redundancia 537

de lo contrario crear bucles de conmutación. Cuando se utiliza STP, si muere un enlace activo, por ejemplo, el fracaso de conmutación, a continuación, un enlace de respaldo puede ser
llevado de forma automática en su lugar. pfSense también tiene soporte para lagg (4) interfaces de agregación de enlace y el enlace de conmutación por error que permite que múltiples
interfaces de red para ser conectado a uno o más conmutadores para una mayor tolerancia a fallos. Ver LAGG (Link Aggregation) para más información sobre la con fi guración de agregación
de enlaces.
redundancia Anfitrión
Es más di fi culto para obtener redundancia de acogida para los sistemas críticos dentro del cortafuego. Cada sistema puede tener dos tarjetas de red y una conexión a
cada grupo de interruptores mediante el Protocolo de Control de agregación de enlaces (LACP) o funcionalidad fi co-proveedor específico similar. Los servidores también
podrían tener varias conexiones de red, y la función del sistema operativo puede ser posible ejecutar CARP o un protocolo similar en un conjunto de servidores de modo
que serían redundantes también. Proporcionar redundancia de acogida es más específico a las capacidades de los interruptores y sistemas operativos de servidor, que está
fuera del alcance de este libro.
Otros puntos únicos de fallo
Cuando se trata de diseñar una red totalmente redundante, hay muchos puntos únicos de fallo que a veces se perdieron. Dependiendo del nivel de tiempo de
actividad para lograr, hay más y más cosas a considerar que un fallo simple interruptor. Aquí están algunos ejemplos más para la redundancia en una escala más
amplia:
• Fuente de alimentación aislada para cada segmento redundante.
- Utilice interruptores separados para sistemas redundantes.
- El uso de múltiples bancos de UPS / generadores.
- El uso de múltiples proveedores de energía, entrando en lados opuestos del edificio cuando sea posible.
• Incluso un multi-WAN con fi guración no es garantía de tiempo de actividad de Internet.
- El uso de múltiples tecnologías de conexión a Internet (ADSL, cable, fibra, Inalámbrico).
- Si cualquiera de los dos portadores utilizan el mismo polo / túnel / ruta, ambos podrían ser eliminados al mismo tiempo.
• Tener refrigeración copia de seguridad, refrigeradores redundantes o un aire acondicionado portátil / de emergencia.
• Considerar la colocación de la segunda serie de equipos redundantes en otra habitación, otro piso, o en otro edificio.
• Tener una configuración duplicada en otra parte de la ciudad o en otra ciudad.
• He oído de alojamiento es barato en Marte, pero la latencia es asesino.
Alta disponibilidad con Bridging
Alta disponibilidad no es actualmente compatible con puente en una capacidad nativa que se considera fiable o digno de su uso en producción. Se requiere
significantes intervención manual. Los detalles del proceso se pueden encontrar en Alta disponibilidad .
Utilización de alias IP para reducir el latido del corazón de trá fi co
Si hay un gran número de carpa VIP en un segmento, esto puede conducir a una gran cantidad de tráfico de multidifusión c. Un latido por segundo se envía por VIP CARP. Para
reducir este tráfico c, VIPs adicionales pueden ser “apilados” en la parte superior de una VIP CARP en una interfaz. En primer lugar, elegir uno VIP CARP para ser el VIP “principal”
para la interfaz. A continuación, cambie las otras personalidades de carpas en

que misma subred sea una IP Alias escriba VIP, con la interfaz “principal” CARP VIP seleccionado para ser su Interfaz en la con fi guración VIP.
Esto no sólo reduce los latidos del corazón que se verán en un segmento dado, sino que también hace que todos los VIPs de alias IP para cambiar el estado junto con el
VIP “principal” CARP, reduciendo la probabilidad de que un problema de capa 2 hará que VIPs CARP individuales a no fallar por encima de lo esperado.
IP Alias VIPs normalmente no se sincronizan a través de XML-RPC sincronización con fi guración, sin embargo, VIPs alias IP configurada para utilizar interfaces de carpa
de esta manera se sincronizarán.
Interfaz
Si se requieren varias subredes en una sola interfaz con HA, esto puede lograrse usando los alias IP. Al igual que con las principales direcciones IP de interfaz, se recomienda cada fi
cortafuegos tiene una dirección IP dentro de la subred adicional, para un total de al menos tres direcciones IP por subred. Separadas entradas de alias IP deben ser añadidos a cada
nodo dentro de la nueva subred, asegurando que sus máscaras de subred coinciden con la máscara de subred actual para la nueva subred. IP alias VIPs que son directamente en
una interfaz de sincronización no lo hacen, así que esto es seguro.
Una vez que el Alias VIP IP ha sido añadido a ambos nodos para obtener un punto de apoyo en la nueva subred, VIPs CARP entonces pueden añadirse usando direcciones IP
de la subred nueva.
Es posible omitir los alias IP y utilizar un VIP CARP directamente en la otra subred siempre que la comunicación entre la subred adicional y ambos
nodos de HA individuales no se requiere.
Solución de problemas de alta disponibilidad
De alta disponibilidad con fi guraciones pueden ser complejos, y con tantas maneras diferentes de con fi gura un clúster de conmutación, puede ser difícil de conseguir
cosas funcionan correctamente. En esta sección, algunos problemas comunes (y no tan comunes) serán discutidos y resueltos con suerte para la mayoría de los casos.
Si los problemas todavía están presentes después de consultar esta sección, hay una dedicada CARP / VIP A bordo del Foro pfSense .
Antes de continuar, tómese el tiempo para revisar todos los miembros del clúster de alta disponibilidad para asegurar que tengan ciones con fi gura- consistentes. A menudo, ayuda a
caminar a través de la configuración de ejemplo, doble control de todos los ajustes apropiados. Repita el proceso en el nodo secundario, y esté pendiente de los lugares donde la con fi
guración debe ser diferente en el secundario. Asegúrese de comprobar el estado de la carpa ( Comprobar el estado de CARP ) y asegurar CARP está habilitado en todos los miembros
del clúster. Los errores relacionados con HA se registran en Registros de Estado> del sistema, sobre el Sistema lengüeta. Compruebe los registros en cada sistema implicado para ver
si hay mensajes relacionados con sincronización XMLRPC, transiciones de estado CARP, u otros errores relacionados.
configuraciones comunes fi Miscon
Hay tres configuraciones fi Miscon común que suceden que impiden HA funcione correctamente.
Use un VHID diferente en cada VIP CARP
A VHID diferente debe ser utilizado en cada VIP CARP creado en una interfaz dada o dominio de difusión. Con un solo par HA, la validación de entrada
evitará VHIDs duplicados. Por desgracia, no siempre es tan sencillo. CARP es una tecnología de multidifusión, y, como tal, cualquier cosa usando CARP en
el mismo segmento de red debe usar un VHID único. VRRP también utiliza un protocolo similar como CARP, por lo que garantizar que no haya conflictos
con VRRP VHIDs, tales como si el ISP o otro router en la red local utiliza VRRP.
26.10. Interfaz 539

La mejor forma de evitar esto es utilizar un conjunto único de VHIDs. Si una red privada segura conocido está en uso, empieza la numeración en 1. En una red donde
VRRP o CARP son conflictivos, consultar con el administrador de dicha red para encontrar un bloque libre de VHIDs.
Los tiempos incorrectos
Compruebe que todos los sistemas implicados están sincronizando adecuadamente sus relojes y tienen zonas horarias válidas, sobre todo si se ejecuta en una máquina virtual. Si los relojes están
demasiado separadas, algunas tareas de sincronización como de conmutación por error de DHCP no funcionará correctamente.
Máscara de subred incorrecta
La máscara de subred real debe ser utilizado para un VIP CARP, no / 32. Este debe coincidir con la máscara de subred de la dirección IP en la interfaz a la que está
asignado el IP CARP.
Dirección IP de la interfaz CARP
La interfaz en la que reside el CARP VIP ya deben tener otro IP definido directamente en la interfaz (VLAN, LAN, WAN, OPT) antes de que pueda
ser utilizado.
Hash incorrecta Error
Hay algunas razones por las que este error se convierte en imagen en los registros del sistema, algunas más preocupantes que otros. Si CARP no está funcionando correctamente cuando está
presente este error, que podría ser debido a una falta de coincidencia con fi guración. Asegúrese de que para un determinado VIP, que el VHID, contraseña, y la dirección IP / máscara de subred
que todo el partido.
Si la configuración parece ser correcta y la carpa todavía no funciona mientras se genera este mensaje de error, entonces puede haber varias instancias de la carpa en
el mismo dominio de difusión. Desactivar la carpa y supervisar la red con tcpdump ( La captura de paquetes ) Para comprobar si hay otra CARP o CARP-como tráfico c,
y ajustar VHIDs apropiadamente. Si CARP está funcionando correctamente, y este mensaje se encuentra en los registros cuando se inicia el sistema, se pueden
ignorarse. Es normal que este mensaje sea visto durante el arranque, siempre y cuando CARP sigue funcionando correctamente (espectáculos primarias
DOMINAR, shows secundarias APOYO para el estado).
Ambos sistemas parecen como maestro
Esto sucederá si el secundario no puede ver los anuncios de la carpa principal. Compruebe si hay reglas fi cortafuego, problemas de conectividad, configuraciones fi interruptor
de la estafa. También comprobar los registros del sistema de los errores relevantes que pueden conducir a una solución. Si esto se encuentra en un producto de la máquina
virtual (VM) como ESX, consulte Problemas dentro de máquinas virtuales (ESX) .
sistema primario se ha quedado atascado como SECUNDARIA
En algunos casos, esto se puede ocurrir normalmente por un período corto después de un sistema viene de nuevo en línea. Sin embargo, ciertos fallos de hardware o de otras
condiciones de error pueden hacer que un servidor para tomar en silencio en un alto advskew de 240 con el fin de indicar que todavía tiene un problema y no debe convertirse
en maestro. Esto puede comprobarse cheque desde la GUI, o a través de la cáscara o Diagnóstico> Comando.
En la GUI, esta condición se imprime un mensaje de error en Estado> CARP.
Desde el shell o Diagnóstico> Comando, ejecute el siguiente comando para comprobar si hay un descenso de categoría:

Fig. 26.9: Estado CARP cuando se degrada primaria
# sysctl net.inet.carp.demotion net.inet.carp.demotion:

240
Si el valor es mayor que 0, el nodo ha degradado en sí.
En ese caso, aislar el cortafuego, compruebe sus conexiones de red, y realizar pruebas adicionales de hardware. Si el valor de descenso es 0 y el nodo primario todavía
parece estar degradar sí para copia de seguridad o es plana apping, comprobar la red para asegurar que no hay capa de 2 bucles. Si el cortafuego recibe de vuelta sus
propios latidos del interruptor, sino que también puede desencadenar un cambio de estado de respaldo.
Problemas dentro de máquinas virtuales (ESX)
Al utilizar HA en el interior de una máquina virtual, especialmente VMware ESX, se necesitan algunas configuraciones fi especial con:
1. Activar el modo promiscuo en el conmutador virtual.
2. Habilitar “Dirección MAC cambios”.
3. Activar “transmite” forjadas.
ESX VDS promiscuo modo de Solución
Si un Distributed Switch virtual está en uso, un grupo de puertos se puede hacer para las interfaces de fi cortafuego con el modo promiscuo está activado, y un grupo de
puertos promiscuos no separada para otros huéspedes. Esto ha sido reportado a trabajar por los usuarios en el foro como una manera de lograr un equilibrio entre los
requisitos para permitir que la función CARP y para asegurar puertos de cliente.
ESX VDS problema de actualización
Si se usó un VDS (conmutadores distribuidos virtual) en 4,0 o 4,1 y actualizar de 4.0 a 4.1 o 5.0, el VDS no pasará correctamente CARP tráfico c. Si un
nuevo VDS se creó el 4.1 o 5.0, que va a funcionar, pero los VDS actualizados no. Se ha informado de que la desactivación modo promiscuo en la VDS y
luego vuelva a lo que le va a resolver el problema.
Edición ESX VDS duplicación de puertos
Si la duplicación de puertos está habilitada en un VDS se romperá modo promiscuo. Para fi jar que, deshabilitar y volver a habilitar el modo promiscuo.
26.11. Solución de problemas de alta disponibilidad 541

ESX cliente Puerto Cuestiones
Si un clúster HA física está conectada a un interruptor con un host ESX usando varios puertos en el host ESX (grupo lagg o similar), y sólo ciertos dispositivos / IPs son
accesibles por el objetivo VM, a continuación, puede necesitar la configuración de grupos de aberturas de ajuste en la ESX para ajustar el equilibrio de carga para el grupo de
hash basado en IP, no la interfaz de origen. efectos secundarios de tener que establecer incorrectamente incluyen:
• C tráfico solamente alcanzar el objetivo VM en modo promiscuo en su NIC.
• Incapaz de alcanzar el VIP CARP desde la máquina virtual de destino cuando se puede llegar a la dirección IP “real” del cortafuego primario.
• redirecciones de puertos u otras conexiones de entrada con el objetivo VM trabajo de algunas direcciones IP y otros no.
ESX NIC física fracaso se produce un error de desencadenar la conmutación por error
Auto-degradación en CARP se basa en la pérdida de enlace en un puerto del switch. Por lo tanto, si una instancia fi cortafuegos primaria y secundaria están en unidades ESX
separadas y la unidad primaria pierde un enlace de puerto del conmutador y no expone que a la máquina virtual, la carpa se quedará MAESTRO en todos sus VIPs allí y la
secundaria también lo creerá deberían ser principales. Una forma de evitar esto es la escritura de un evento en ESX que se llevará a abajo el puerto del switch en la máquina
virtual si el puerto físico pierde enlace. Puede haber otras maneras de evitar esto en ESX también.
KVM + Problemas QEmu
NIC uso e1000 ( em (4)), no la ed (4) NIC o VIPs CARP no dejarán estado Inicial.
Problemas de VirtualBox
Ajuste “modo promiscuo: AllowAll” en las interfaces pertinentes de la VMallows CARP para funcionar en cualquier tipo de interfaz (Sólo en puente, Host-,
interna)
Otro interruptor y de la Capa 2
• Si las unidades están conectados a los interruptores separados, asegúrese de que los interruptores están pasando los enlaces troncales y de amplio elenco / multidifusión trá fi co
correctamente.
• Algunos conmutadores han transmitido / fi ltrado de multidifusión, limitar o características de “control” de tormenta que pueden romper CARP.
• Algunos conmutadores han roto fi rmware que puede causar características como la inspección IGMP para interferir con la carpa.
• Si un interruptor en la parte trasera de un módem / CPE es el uso, trate de un interruptor real en lugar. Estos interruptores incorporados a menudo no manejan
adecuadamente CARP trá fi co. A menudo tapar los rewalls fi en un interruptor adecuado y luego enlace ascendente de al CPE eliminará problemas.
Con fi guración de los problemas de sincronización
Vuelva a comprobar los siguientes elementos cuando se encuentran problemas con la sincronización con fi guración:
• El nombre de usuario debe estar administración en todos los nodos.
• La contraseña en la configuración de sincronización con fi guración en la primaria debe coincidir con la contraseña en la copia de seguridad.
• WebGUI debe estar en el mismo puerto en todos los nodos.

• El WebGUI debe ser utilizando el mismo protocolo (HTTP o HTTPS) en todos los nodos.
• Trá fi co se debe permitir que el puerto WebGUI en la interfaz que maneja el tráfico de sincronización fi co.
• La interfaz pfsync debe estar habilitado y con fi gurado en todos los nodos.
• Verificar que sólo el nodo de sincronización primario tiene las opciones de sincronización con fi guración habilitados.
• Asegurar que no es la dirección IP especificados en el Sincronizar con fi ga IP en el nodo secundario.
• Asegúrese de que los relojes en ambos nodos están al día y son razonablemente precisos.
HA y multi-WAN Solución de problemas
Si se encuentra problemas para llegar a los VIPs CARP fromwhen tratando con Multi-WAN, vuelve a comprobar que una regla está presente como el que se menciona en Firewall
Con fi guración
pfSense es una de las pocas capacidades de alta disponibilidad que ofrece soluciones de código abierto de clase empresarial con reconexión dinámica, lo que permite la
eliminación del cortafuego como un único punto de fallo. La alta disponibilidad se logra a través de una combinación de características:
• CARP dirección de redundancia de IP
• XMLRPC para con sincronización fi guración
• pfsync para la sincronización de tabla de estado
Con esta con fi guración, las unidades actúan como un clúster “activo / pasivo” con el nodo primario de trabajo como la unidad principal y el nodo secundario en un papel de copia
de seguridad, de asumir como sea necesario si falla el nodo primario.
Aunque a menudo erróneamente llamado un “Cluster CARP”, dos o más redundantes rewalls pfSense fi se titulan más acertadamente un “Cluster disponibilidad
alta” o “Cluster HA”, ya que la carpa es sólo una de varias tecnologías utilizadas para lograr alta disponibilidad con pfSense, y en CARP futuro podría ser
canjeado por un protocolo de redundancia diferente. Una interfaz en cada nodo del clúster estará dedicado para tareas de sincronización. Esto se conoce
típicamente como la interfaz de “sincronización”, y se utiliza para la sincronización con fi guración y la sincronización de estado pfsync. Cualquier interfaz
disponible puede ser utilizado.
Nota: Algunos llaman a esto la interfaz “CARP”, pero esto es incorrecto y muy engañoso. latidos CARP suceden en cada interfaz con un VIP CARP; CARP trá fi co
de conmutación por error y acciones no utilizan la interfaz de sincronización.
El más común de alta disponibilidad con fi guración grupo incluye sólo dos nodos. Es posible tener más nodos en un clúster, pero no proporcionan
una ventaja significativa.
Es importante distinguir entre las tres funciones (redundancia de direcciones IP, sincronización con fi guración y tabla de estado de sincronización), porque ocurren
en diferentes lugares. Con fi sincronización configuración y la sincronización de estado ocurren en la interfaz de sincronización, la comunicación directa entre
unidades fi cortafuego. latidos CARP se envían en cada interfaz con un VIP CARP. la señalización de conmutación por error no se produce en la interfaz de
sincronización, sino que más bien esto ocurre en cada interfaz de CARP habilitado.
Ver también:
Los clientes con una pfSense Suscripción Oro puede acceder al Hangouts Archivo que contiene el Hangout de junio de el año 2015 también se cubre de alta
disponibilidad.
CARP general
Protocolo de redundancia de direcciones común (CARP) fue creado por los desarrolladores de OpenBSD como una solución de redundancia libre, abierto para el intercambio
de direcciones IP entre un grupo de dispositivos de red. soluciones similares ya existían, principalmente la
26.12. CARP general 543

estándar del IETF para Virtual Router Redundancy Protocol (VRRP). Sin embargo Cisco afirma VRRP está cubierto por su patente sobre su Standby Router Protocol
caliente (HSRP), y le dijo a los desarrolladores de OpenBSD que haría cumplir su patente. Por lo tanto, los desarrolladores de OpenBSD crearon un nuevo protocolo
libre, abierto para llevar a cabo esencialmente el mismo resultado sin infringir la patente de Cisco. CARP llegó a estar disponible en octubre de 2003 en OpenBSD, y
se añadió más tarde para FreeBSD también.
Un tipo CARP dirección IP virtual (VIP) se comparte entre los nodos de un clúster. Un nodo es maestro y recibe trá fi co para la dirección IP y los demás nodos de
mantener el estado de copia de seguridad y el monitor de latidos del corazón para ver si necesitan asumir la función de maestro, si el maestro falla anterior. Dado que
sólo un miembro de la agrupación a la vez está utilizando la dirección IP, no hay una dirección IP conflicto para la carpa VIP.
Con el fin de conmutación por error para que funcione correctamente, es importante que el tráfico entrante fi co venir al clúster, como enrutado aguas arriba de trá fi co, VPN,
NAT, puerta de acceso de cliente local, las solicitudes de DNS, etc., pueden enviar a un VIP CARP y de salida trá fi co como NAT saliente para ser enviado desde un VIP
CARP. Si tráfico c se dirige a un nodo directamente y no a una VIP CARP, entonces ese tráfico c no será recogido por otros nodos.
CARP funciona de forma similar a VRRP y HSRP, y puede incluso conflicto en algunos casos. Los latidos del corazón se envían en cada interfaz que contiene un VIP
CARP, un latido del corazón por VIP por interfaz. En los valores predeterminados para skew y base, un VIP envía latidos aproximadamente una vez por segundo. La
inclinación determina qué nodo es maestro en un punto dado en el tiempo. Sea cual sea el nodo transmite latidos rápidos del asume la función de maestro. Un valor de
sesgo mayor causa latidos que deben transmitirse con más retraso, por lo que un nodo con un sesgo menor será el maestro a menos que una red u otro problema hace que
los latidos del corazón para ser retrasados o perdidos.
Nota: Nunca acceda a la interfaz gráfica de usuario fi cortafuegos, SSH, u otro mecanismo de gestión utilizando un VIP CARP. A efectos de gestión, sólo utilice la
dirección IP real en la interfaz de cada nodo separado y no el VIP. De lo contrario, no se puede determinar de antemano qué unidad se está accediendo.
Requisitos dirección IP para CARP
Un cluster de alta disponibilidad utilizando CARP necesita tres direcciones IP de cada subred junto con una subred sin usar por separado para la interfaz de sincronización. Para las
WAN, esto significa que se requiere una subred / 29 o más grande para una óptima configuración con fi. Una dirección IP es utilizado por cada nodo, además de una dirección VIP
CARP compartida para la conmutación por error. La interfaz de sincronización sólo requiere una dirección IP por nodo.
Es técnicamente posible con fi gurar una interfaz con un VIP CARP como la única dirección IP en una subred determinada, pero generalmente no se recomienda.
Cuando se utiliza en una WAN, este tipo de con fi guración sólo permitirá la comunicación desde el nodo principal a la WAN, lo que complica en gran medida las tareas
tales como actualizaciones, instalaciones de paquetes, vigilancia de puerta de enlace, o cualquier cosa que requiere conectividad externa desde el nodo secundario.
Puede ser un mejor fi t para una interfaz interna, sin embargo interfaces internas no suelen sufren de las mismas limitaciones dirección IP como una WAN, por lo que
es todavía preferible para con direcciones IP cifra en todos los nodos.
Switch / Capa 2 Preocupaciones
latidos carpa utilizan multidifusión y pueden requerir una manipulación especial en los interruptores involucrados en el clúster. Algunos conmutadores filtro, límite de velocidad, o
de otra manera interfieren con multidifusión en formas que pueden causar CARP falle. Además, algunos interruptores emplean métodos de seguridad portuaria que puede no
funcionar correctamente con la carpa. Como mínimo, el interruptor debe:
• Permitir Multicast tráfico c a ser enviado y recibido sin interferencia en los puertos utilizando CARP VIPs.
• Permitir trá fi co que se envían y se reciben múltiples direcciones MAC.
• Permitir que la dirección MAC CARP VIP para moverse entre puertos.

Casi todos los problemas con la carpa en su defecto para volver a reflejar adecuadamente el estado esperado son las fallas del interruptor u otros problemas de capa 2, por lo que asegúrese de
que los interruptores estén correctamente con fi gurado antes de continuar.
26.12. CARP general 545


CAPÍTULO
VEINTISIETE
SERVICIOS
Servidor DHCP IPv4
el IPv4 Servidor DHCP asigna las direcciones IPv4 y Con fi guración relacionada opciones de PC del cliente en una red. Está activada de forma predeterminada
en la interfaz LAN con un rango predeterminado de 192.168.1.100 mediante 192.168.1.199. De esta con fi guración por defecto, el cortafuego asigna su dirección
IP LAN ( 192.168.1.1) como el servidor de puerta de enlace y DNS si bien la resolución DNS o DNS Forwarder está habilitada. Existen numerosas opciones
disponibles en la interfaz web, que están cubiertos en la siguiente sección.
Con fi guración
Para modificar el comportamiento del servidor DHCP IPv4, vaya a Servicios> Servidor DHCP en la interfaz web. El comportamiento del servidor DHCP IPv4 se
controla allí, junto con asignaciones de direcciones IP estáticas y opciones relacionadas, tales como ARP estática.
La elección de una interfaz
La página de con fi guración DHCP contiene una ficha para cada interfaz con una dirección IP estática. Cada interfaz tiene su propio servidor DHCP con fi guración
por separado, y que puede ser activada o desactivada de forma independiente el uno del otro. Antes de realizar cambios, visita la pestaña de la interfaz correcta.
Opciones generales
Habilitar El ajuste de primera en la pestaña activa o desactiva el servicio DHCP para la interfaz. Para activar el DHCP
para la interfaz, comprobar Habilitar el servidor DHCP en la interfaz de [nombre]. Para deshabilitar el servicio, desactive la casilla lugar.
Denegar clientes desconocidos En circunstancias normales, el servidor DHCP responderá peticiones de cualquier
cliente que solicita un contrato de arrendamiento. En la mayoría de los entornos de este es un comportamiento normal y aceptable, pero en re-
stricted o entornos seguros este comportamiento es indeseable. Con este conjunto de opciones, sólo los clientes con asignaciones estáticas de fi
nidas recibirán arrendamiento. Esta es una práctica más segura, pero es mucho menos conveniente. Esta opción es per-piscina, lo que significa
que si los clientes desconocidos se les niega en el rango por defecto, otro grupo de direcciones IP puede ser de fi nido que no tiene el valor
facturado. El servidor DHCP asignará direcciones IP a clientes fuera de ese grupo alternativo en lugar.
Nota: Esto protegerá contra los usuarios bajo el conocimiento y las personas que casualmente se conectan en los dispositivos. Tenga en cuenta, sin
embargo, que un usuario con conocimiento de la red podría codificar una dirección IP, máscara de subred, puerta de enlace y DNS que todavía darles
acceso. También podrían alterar / spoof su dirección MAC para que coincida con un cliente válido y todavía obtener una concesión. Siempre que sea
posible, pareja con esta configuración estática
547
entradas ARP, control de acceso en un interruptor que limitará las direcciones MAC a ciertos puertos de conmutación para mayor seguridad, y apagar o
desactivar los puertos de conmutación no utilizados.
subred La dirección de red de la subred de la interfaz, para fines de referencia.
Máscara de subred La máscara de subred para la subred de la interfaz, para fines de referencia.
se consigue Gama El rango de direcciones disponibles dentro de la subred de interfaz, para referencia y para ayudar
determinar el rango deseado para los clientes DHCP. La dirección de red y la dirección de difusión se excluyen, pero las direcciones
de interfaz y las direcciones IP virtuales no se excluyen.
Distancia Esto define el rango de direcciones DHCP, también conocido como el alcance o la piscina. Las dos cajas
para Distancia decir la fi cortafuegos la primera y la última dirección para su uso como un conjunto DHCP. Direcciones entre los valores
introducidos, ambos inclusive, serán utilizados para los clientes que lo soliciten direcciones a través de DHCP. La gama se debe introducir con el
menor número primera fi, seguido por el número más alto. Por ejemplo, el rango LANDHCP predeterminado se basa en la subred de la dirección IP
de la LAN por defecto. Es 192.168.1.100
a 192.168.1.199. Este rango puede ser tan grande o tan pequeño como necesita la red, pero debe ser contenida enteramente dentro
de la subred para la interfaz ser con fi gurado.
Las piscinas adicionales
los Las piscinas adicionales la sección de fi ne piscinas extra de direcciones dentro de la misma subred. Estas piscinas se pueden utilizar para conjuntos de artesanía de
direcciones IP específicamente para ciertos clientes, o por más de flujo de una original piscina más pequeña, o para dividir la piscina principal en trozos más pequeños con un
espacio de direcciones IP que no es DHCP en el medio de lo que se usa siendo la piscina. Una combinación de las opciones de control de dirección MAC se puede utilizar para
guiar a los clientes del mismo fabricante en una piscina especí fi co, tales como teléfonos VoIP.
Para añadir un nuevo grupo, haga clic Añadir piscina y la pantalla cambiará a la vista de edición de la piscina, que es casi el mismo
como se omiten las opciones de DHCP normales, excepto unas pocas opciones que no están actualmente posible en piscinas. Las opciones se comportan igual que los
demás tratados en esta sección. Artículos dejados en blanco voluntad, por defecto, caen a través y utilizar las opciones de la gama principal de DHCP.
Nota: Vea la sección de control de dirección MAC a continuación para especi fi cs en dirigir clientes dentro o fuera de las piscinas.
servidores
Servidores WINS Dos servidores WINS (Windows Internet Name Service) pueden ser de fi nido que será pasado
a los clientes. Si se requiere uno o más servidores WINS, introduzca sus direcciones IP aquí. Los servidores reales no tienen que estar en esta
subred, pero asegúrese de que las reglas de enrutamiento y cortafuego adecuadas están en su lugar para hacerles llegar en los PC cliente. Si
se deja en blanco, no hay servidores WINS se envían al cliente.
Servidores DNS Los servidores DNS pueden o no necesitar llenada en función de la fi cortafuegos con fi guración.
Si el incorporado en la resolución de DNS o DNS Forwarder se utiliza para gestionar DNS, deje estos campos en blanco y pfSense asignará
automáticamente a sí mismo como el servidor DNS para PC del cliente. Si el promotor de DNS está desactivada y estos campos se dejan en
blanco, pfSense a transmitir lo que los servidores DNS se definen bajo Sistema> Configuración general. Para utilizar los servidores DNS
personalizados en lugar de las opciones automáticas, llenar en las direcciones IP de hasta cuatro servidores DNS aquí. En redes con
servidores Windows, especialmente los que utilizan Active Directory, se recomienda utilizar los servidores de DNS de cliente. Cuando se
utiliza el Resolver DNS o promotor de DNS en combinación con la carpa, especifique la dirección IP virtual CARP en esta interfaz aquí.
548 Capítulo 27. Servicios

Otras opciones
Puerta Esto también se puede dejar en blanco si esta fi cortafuegos actúa como puerta de entrada para la red en este
interfaz. Si ese no es el caso, llenar en la dirección IP de la puerta de entrada a ser utilizado por los clientes en esta interfaz. Al
utilizar CARP, llenar la dirección IP virtual CARP en esta interfaz aquí.
Nombre de dominio Especi fi ca el nombre de dominio pasa al cliente para formar el nombre de host totalmente calificado fi cado. Si el
Nombre de dominio se deja en blanco, el nombre de dominio de la fi cortafuegos se envía al cliente. De lo contrario, el cliente se envía este
valor.
Lista de búsqueda de dominio Controla los dominios de búsqueda DNS que se proporcionan al cliente a través de DHCP. Si multi-
dominios tiple están presentes y se desean los nombres de host cortos, proporcionan una lista de los nombres de dominio aquí, separadas por un punto y
coma. Clientes intentarán resolver nombres de host mediante la adición de los dominios, a su vez, de esta lista antes de tratar de encontrar de forma externa.
Si se deja en blanco, se utiliza la opción de nombres de dominio.
Nota: los Lista de búsqueda de dominio se proporciona a través de la opción DHCP 119. Al escribir estas líneas, sin DHCP de Windows cliente de
cualquier versión soporta la opción DHCP 119. Otros sistemas operativos como BSD, Linux y OS X no apoyar la obtención de la lista de búsqueda de
dominios a través de la opción DHCP 119.
tiempo de arrendamiento por defecto Controla el tiempo de un contrato de arrendamiento tendrá una duración cuando un cliente no solicita un contrato de arrendamiento c especificidad
longitud. Especificados en segundos, el valor predeterminado es 7200 segundos (2 horas)
El tiempo máximo de arrendamiento Limita una longitud de arrendamiento solicitado a una cantidad máxima de tiempo determinado. Especificados en
segundo, el valor predeterminado es 86400 segundos (1 día).
Peer IP de conmutación por error Si este sistema es parte de un clúster de conmutación por error de alta disponibilidad, ingrese la dirección IP real de
el otro sistema en esta subred aquí. No introduzca una dirección IP virtual CARP.
ARP estática Esta casilla de verificación funciona de forma similar a la negación de direcciones MAC desconocidas a partir de la obtención de contratos de arrendamiento,
pero toma un paso más, ya que también restringe cualquier dirección de MAC desconocida a partir de la comunicación con este fi
cortafuegos. Esto detiene would- ser abusadores de codificar una dirección sin usar en esta subred, evitar las restricciones de DHCP.
Nota: Al utilizar ARP estática, todos los sistemas que necesitan para comunicarse con el cortafuego deben enumerarse en asignaciones
estáticas antes de activar esta opción, sobre todo el sistema que se utiliza para conectarse a la interfaz gráfica de usuario pfSense. También
tenga en cuenta que esta opción puede evitar que la gente hardcoding una dirección IP y hablar con el cortafuego, pero no impide que
lleguen a la otra en el segmento de red local.
Tiempo de cambio de formato Por defecto, el daemon de DHCP de ISC mantiene tiempos de concesión en UTC. Cuando esto
opción está marcada, los tiempos en la página de estado de arrendamiento DHCP se convierten en el local de zona horaria definida en el cortafuego.
Estadísticas gráficas Esta opción, desactivada por defecto, se activa RRD gráfica para el seguimiento del DHCP
la utilización de la piscina.
DNS Dinámico
Para la configuración de DNS dinámico, haga clic mostrar avanzada a la derecha de ese campo, que muestra las siguientes opciones:
Habilitar Marque la casilla para permitir el registro de nombres de cliente DHCP en DNS utilizando una externa
servidor DNS (no pfSense).
DDNS dominio El nombre de dominio utilizado para el registro de clientes en DNS
DDNS Dirección primaria El servidor DNS se utiliza para el registro de clientes en DNS
Clave de dominio DNS La clave de cifrado utilizado para el registro DNS
27.1. Servidor DHCP IPv4 549

Dominio DNS clave secreta El secreto de la clave utilizada para el registro DNS
Control de dirección MAC
Para control de direcciones MAC, haga clic mostrar avanzada para mostrar las listas de direcciones MAC cliente permitidos y denegados. Cada lista es separada por
comas y contiene porciones de direcciones MAC. Por ejemplo, un grupo de teléfonos de VoIP del mismo fabricante puede comenzar con toda la dirección MAC aa: bb: cc. Esto
se puede aprovechar para dar a los grupos de dispositivos o usuarios separados opciones de DHCP.
Permitir Una lista de direcciones MAC para permitir en esta piscina. Si una dirección MAC se encuentra en la caja de permitir, entonces todo
otros serán negados excepto la dirección MAC especificada en el cuadro Permitir.
Negar Una lista de direcciones MAC para negar de este grupo. Si una dirección MAC se encuentra en la lista de rechazo, entonces todo
otros están permitidos.
Lo mejor es utilizar una combinación de permitir y denegar a obtener el resultado deseado, como por ejemplo: En la piscina principal, deje en blanco permitir y negar aa: bb: cc. Luego,
en la piscina de VoIP, permitirá aa: bb: cc. Si ese paso extra no se toma para que el MAC pre fi jo en la piscina adicional, a continuación, otros clientes de telefonía VoIP no podían
recibir direcciones IP de esa reserva, lo que puede conducir a un comportamiento no deseado.
Este comportamiento también se puede utilizar a la lista negra ciertos dispositivos de recepción de una respuesta DHCP. Por ejemplo, para evitar que las impresoras de marca Ejemplo
de recibir una dirección DHCP, si todas las direcciones MAC a empezar con ee: ee: ee, a continuación, lugar que en la lista de cada grupo niega.
Los servidores NTP
Para especificar los servidores NTP (servidores Network Time Protocol), haga clic en el mostrar avanzada botón a la derecha de ese campo, e introduzca las direcciones IP para un máximo
de dos servidores NTP.
servidor TFTP
haga clic en el mostrar avanzada botón al lado de TFTP para mostrar la opción de servidor TFTP. El valor en el cuadro servidor TFTP, si lo desea, debe ser una
dirección IP o nombre de host de un servidor TFTP. Esta es la más utilizada para los teléfonos de VoIP, y también puede ser referido como “la opción 66” en otra
documentación para VoIP y DHCP.
LDAP URI
haga clic en el mostrar avanzada botón al lado de LDAP para mostrar la URI del servidor LDAP opción. URI del servidor LDAP enviará un servidor LDAP URI para el
cliente si así lo solicita. Esto también puede ser denominado opción DHCP 95. ya que toma la forma de un totalmente cuali fi ed LDAP URI, tal como LDAP:
//ldap.example.com/dc=example,dc=com. Esta opción puede ayudar a los clientes el uso de ciertos tipos de sistemas, como OpenDirectory, de encontrar su servidor.
BOOTP / DHCP Opciones Adicionales
Otras opciones de DHCP numéricos pueden ser enviados a los clientes que utilizan la BOOTP / DHCP Opciones Adicionales controles. Para ver
estas opciones, haga clic mostrar avanzada en esta sección. Para añadir una nueva opción, haga clic Añadir.
Número El número de código de la opción DHCP. IANA mantiene una Lista de todas las opciones de DHCP válidos .
Tipo Las opciones y formatos para cada tipo pueden ser un poco contra-intuitivo, pero se utilizan las etiquetas
directamente desde el proceso de DHCP. Los usos y formatos adecuados son:

Texto Forma libre texto a ser expedido en respuesta, tal como
http://www.example.com/wpad/wpad.dat o Ejemplo Company.
Cuerda Una cadena de dígitos hexadecimales separados por dos puntos, tales como C0: A8: 05: 0C.
Boole Ya sea cierto o falso.
Sin signo de 8, 16, o entero de 32 bits Un entero positivo que quepan dentro de los datos dada
tamaño, tales como 86400.
Firmado 8, 16, o entero de 32 bits Un número entero positivo o negativo que quepan dentro del dado
tamaño de los datos, tales como - 512.
dirección IP o host Una dirección IP como 192.168.1.1 o un nombre de host, tal como
www.example.com.
Valor El valor asociado a esta opción numérica y tipo.
Para obtener más información sobre las opciones que toman un tipo especí fi co o el formato, consulte la lista enlazada arriba del IANA.
inicio de la red
Para ver la configuración de arranque de red, haga clic en el inicio de la red sección de la barra de encabezado.
Habilitar Marque para activar opciones de arranque de red en DHCP
Siguiente servidor La dirección IP desde la que las imágenes de arranque están disponibles
Por defecto BIOS fi l nombre Nombre del archivo de imagen de arranque (no UEFI)
UEFI de 32 bits fi l nombre Archivo para el arranque UEFI de 32 bits
UEFI de 64 bits fi l nombre Archivo para el arranque UEFI de 64 bits
Ruta raíz Cadena para utilizar otro dispositivo fi ca como dispositivo raíz fi sistema de archivos del cliente, tales como
iSCSI: (ServerName) :( protocolo) :( puerto) :( LUN): TargetName.
Guardar ajustes
Después de realizar los cambios, haga clic Salvar antes de intentar crear asignaciones estáticas. Cambios en los ajustes se perderán si el navegador deja esta página
sin guardar.
Asignaciones estáticas
asignaciones DHCP estáticas expresan una preferencia por el cual se le asigna la dirección IP a un cliente determinado, basándose en su dirección MAC. En una red donde se les niega
clientes desconocidos, esto también sirve como una lista de clientes “conocidos” que están autorizados para recibir contratos de arrendamiento o tienen entradas ARP estáticas. asignaciones
estáticas se pueden añadir en una de dos maneras:
• Desde esta pantalla, haga clic Añadir.
• Añadirlos desde el punto de vista de arrendamiento DHCP, que se expone más adelante en este capítulo. En esta
pantalla, sólo el Dirección MAC es necesario.
Dirección MAC La dirección MAC del cliente, que identi fi ca el anfitrión para ofrecer opciones de esta página, o mediante
introduciendo sólo la dirección MAC, que se añadirá a la lista de clientes conocidos para su uso cuando el Denegar clientes desconocidos opción se
establece.
Nota: la dirección MAC del cliente se puede obtener a partir de un símbolo del sistema en la mayoría de las plataformas. En

Basados en UNIX o sistemas operativos UNIX-trabajo-igual incluyendo Mac OS X, mecanografía ifconfig
mostrará la dirección MAC para cada interfaz. En las plataformas basadas en Windows, ipconfig / all
mostrará la dirección MAC. La dirección MAC puede también a veces se encuentra en una pegatina en la tarjeta de red, o cerca de la
toma de red para los adaptadores integrados. Para los hosts de la misma subred, el MAC se puede determinar haciendo ping a la
dirección IP del anfitrión y a continuación, ejecutar arp - a.
Cliente identi fi cador Un ID enviado por el cliente para identificarse.
Dirección IP La dirección IP de campo es necesario si esto será una asignación de dirección IP estática en lugar de solamente
informar al servidor DHCP que el cliente es válida. Esta dirección IP es una preferencia, no una reserva. Asignación de una dirección
IP que aquí no evitará que otra persona utilice la misma dirección IP. Si esta dirección IP está en uso cuando este cliente solicita una
concesión, será en cambio recibir una dirección del conjunto general. Por esta razón, el pfSense WebGUI no permite adjudicar
asignaciones de IP estáticas dentro del conjunto DHCP.
nombre de host El nombre de host del cliente. Esto no tiene por qué coincidir con el nombre de host actual fijado en el cliente.
El nombre de host configurado aquí se puede utilizar al registrar las direcciones DHCP en el promotor de DNS.
Descripción Sólo cosmética, y disponible para su uso para ayudar a rastrear cualquier información adicional sobre esta
entrada. Podría ser el nombre de la persona que utiliza el PC, su función, la razón por la que necesitaba una dirección estática, o el
administrador que añade la entrada. También puede dejarse en blanco.
ARP entrada estática tabla Si se selecciona, esta entrada recibirá una entrada ARP estática en el sistema operativo atar esta IP
frente a esta dirección MAC.
Nota: Si esta opción se utiliza en lugar de utilizar la opción global ARP estática, no impide que la dirección MAC del uso de otras
direcciones IP, sólo se impide que otras direcciones MAC de usar esta dirección IP. En otras palabras, se evita el uso de otra
máquina que la propiedad intelectual para llegar al cortafuego, pero no para que el usuario cambie su propia dirección IP a algo
diferente.
El resto de opciones disponibles para configurar para este cliente son los mismos en el comportamiento de los encontrados anteriormente en esta sección para los principales parámetros de
DHCP. Hacer clic Salvar al fi nal de editar la asignación estática y el retorno a la página de con fi guración del servidor DHCP.
Estado
El estado del servicio de servidor DHCP en sí mismo es Estado> Servicios. Si está activado el servidor DHCP, su estado se mostrará como Corriendo, como en la figura Estado
del servicio DHCP Daemon . Los botones del lado derecho permiten reiniciar o detener el demonio del servidor DHCP. El reinicio normalmente no es necesario ya que
pfSense se reiniciará automáticamente el servicio cuando se realizan cambios con fi guración que requiere reinicio. Detener el servicio también es probable que no es
necesario, ya que el servicio se detendrá cuando todas las instancias del servidor DHCP están desactivados.
La figura 27.1:. Estado DHCP Demonio de servicio

arriendos
Las asignaciones DHCP asignadas actualmente se pueden ver en el Estado> asignaciones DHCP. Esta página muestra diversos aspectos de las concesiones de cliente. Éstas incluyen:
• La dirección IP asignada
• La dirección MAC del cliente
• El nombre de host (si los hay) que el cliente envía como parte de la solicitud de DHCP
• La descripción de un huésped con una asignación estática DHCP
• Los tiempos de inicio y fin del contrato de arrendamiento
• Sea o no la máquina está en línea (en la tabla ARP del cortafuego)
• Sea o no el contrato de arrendamiento se activa, ha caducado, o un registro estático
Ver concesiones inactivas
Por defecto, sólo se muestran las concesiones activas y estáticas, pero todo, incluyendo las concesiones caducadas, se pueden visualizar haciendo clic Mostrar todos los contratos con fi
gura. Para reducir la vista de nuevo a normal, haga clic Mostrar solamente las concesiones activas y estáticas.
Wake on LAN Integración
al hacer clic en el icono a la derecha del arrendamiento envía un Wake on LAN (WOL) de paquetes a ese host. Hacer clic crear
una entrada de WOL para la dirección MAC en su lugar. Para más detalles acerca de Wake on LAN, consulte Activación de la LAN .
Añadir asignación estática
Para crear una asignación estática de un permiso dinámico, haga clic el de la derecha del arrendamiento. Esto pre fi ll del MAC
dirección de esa máquina en el Editar asignación estática pantalla. Añadir la dirección IP deseada, nombre de host y la descripción y haga clic Salvar.
Eliminar un contrato de arrendamiento
Mientras ve los contratos de arrendamiento, arrendamiento inactiva o caducados puede eliminarse manualmente haciendo clic al final de su línea.
Esta opción no está disponible para las concesiones activas o estáticos, sólo para de ine fi o concesiones caducadas.
Registros de servicio DHCP
El demonio DHCP registrará su actividad a Estado> SystemLogs, sobre el DHCP lengüeta. Se mostrarán cada petición y respuesta DHCP, junto con otros
mensajes de estado y de error.

IPv6 servidor DHCP del router y Anuncios
asignación automática de direcciones IPv6 funciona un poco diferente que IPv4. Aun así, la mayor parte de las opciones de DHCP son similares, pero hay diferencias
notables en el comportamiento en cómo se asignan las cosas y también el número de elementos como la puerta de entrada se traspasa a los clientes. A menos que se
indique lo contrario, las opciones del mismo nombre funcionan de la misma para DHCP y DHCPv6. DHCPv6 y anuncios de enrutador (RA) son con fi gurada bajo Servicios>
DHCPv6 servidor / AR. Bajo esa página hay dos pestañas: una para DHCPv6 servidor y otro para Anuncios de enrutador.
DHCPv6 vs Dirección estado Autocon fi guración
Hay algunos clientes que no tienen soporte para DHCPv6. Algunos clientes sólo admiten Dirección estado Autocon- guración fi o SLAAC para abreviar. No hay
forma de que el cortafuego para tener conocimiento directo de una lista de hosts en el segmento usando direcciones SLAAC, por lo que para algunos entornos es
mucho menos deseable debido a la falta de control y la notificación de direcciones. Considere el seguimiento de la dirección y los requerimientos de soporte del
sistema operativo al momento de decidir cómo asignar direcciones IPv6 a los clientes en la red.
Muchos sistemas operativos como Windows, OS X, FreeBSD, Linux, y sus primos contienen clientes DHCPv6 que son capaces de obtener las
direcciones como se esperaba a través de DHCPv6. Algunos sistemas operativos ligeros o móviles como Android no contienen un cliente DHCPv6 y sólo
funcionarán en un segmento local con IPv6 utilizando SLAAC.
Anuncios de enrutador (O: “¿Dónde está la opción de puerta de enlace DHCPv6”)
En IPv6, un router está situado a través de anuncio de enrutador (RA) los mensajes enviados desde routers en lugar de por DHCP; Se espera que los routers habilitados para
IPv6 que apoyan la asignación dinámica de direcciones para anunciarse en la red a todos los clientes. Como tal, DHCPv6 no incluye ninguna información de puerta de enlace.
Así que los clientes pueden obtener sus direcciones de DHCPv6 o SLAAC, pero a menos que sean estáticamente con fi gura, que siempre localizar a su siguiente salto
mediante el uso de los paquetes enviados desde AR puertas de enlace disponibles. Para habilitar el servicio RA:
• Navegar a Servicios> DHCPv6 servidor / RA
• Haga clic en la pestaña de interfaz para la interfaz de estar con fi gurado
• Haga clic en el anuncios de enrutador lengüeta
• Seleccionar un modo distinto Discapacitado desde el Modo Router la lista desplegable
Las otras opciones para controlar el comportamiento de la AR se pueden establecer, según sea necesario para la red:
Modos de router Publicidad Los modos para el demonio de la AR controlan los servicios ofrecidos por pfSense,
anunciar el cortafuego como un enrutador IPv6 en la red, y los clientes directos sobre la forma de obtener las direcciones.
Discapacitado El demonio de la AR está desactivado y no se ejecutará. puertas de enlace IPv6 deben introducirse
manualmente en cualquier máquina cliente.
Sólo enrutador Este cortafuego enviará paquetes con AR que se anuncian a sí mismo como un router IPv6.
DHCPv6 está deshabilitada en este modo.
no administrado El cortafuego enviará paquetes y clientes con AR se dirigen a asignar ellos-

yos direcciones IP dentro de la subred interfaz mediante SLAAC. DHCPv6 está deshabilitada en este modo.
Gestionado El cortafuego enviará paquetes y direcciones RA solamente ser asignados a

clientes usando DHCPv6.

asistida El cortafuego enviará paquetes de AR y direcciones puede ser asignado a los clientes
por DHCPv6 o SLAAC.
DHCP sin estado El cortafuego enviará paquetes de AR y direcciones puede ser asignado a
clientes por SLAAC mientras que proporciona información adicional, como DNS y NTP de DHCPv6.
prioridad del router Si existen varios enrutadores IPv6 en el mismo segmento de red, que pueden indicar a los clientes
el orden en que deben ser utilizados. Si un router de alta prioridad no está disponible, los clientes intentarán un router prioridad
normal, y finalmente un router de baja prioridad. Seleccione Baja, Normal, o Alto de la lista. Si sólo hay un router en la red, el uso Normal.
Predeterminado de vida válido Longitud de tiempo, especificado en segundos, que el fi pre anuncian x será válida. los
valor predeterminado es 86.400 segundos (un día)
Lifetime Preferida predeterminado Período de tiempo, especificado en segundos, que las direcciones de clientes generan en
Esta pre fi x usando SLAAC son válidos. El valor predeterminado es 86.400 segundos (un día)
RA subredes Esta sección permite de fi nir una lista de subredes para el que este fi cortafuegos enviará paquetes con AR.
Introduzca tantas subredes, según sea necesario, cada uno con un pre fi x apropiado (típicamente 64.). Para crear una
fila adicional para otra subred, haga clic Añadir.
Ajustes DNS La obtención de información fromRAmessages DNS no es universalmente compatible, pero para los clientes
que la soporten, utilizando SLAAC de dar una dirección IP y DNS de la AR puede eliminar la necesidad de usar DHCPv6 en su
totalidad.
Servidores DNS Introducir hasta tres direcciones IP de los servidores DNS, o dejar los campos en blanco para
utilizar los servidores DNS por defecto del sistema o promotor de la resolución de DNS / DNS si está habilitado.
Lista de búsqueda de dominio Funciona de forma idéntica a la opción DHCP del mismo nombre.
Utilizar la misma configuración como servidor DHCPv6 Cuando se activa, estos valores serán sacados de
las opciones DHCPv6 automáticamente.
Rango DHCPv6
los Distancia parámetro funciona de manera similar a la misma configuración en IPv4, pero vale la pena mencionar aquí de nuevo debido a las diferencias en el direccionamiento IPv6.
Dada la gran cantidad de espacio disponible en el interior incluso a / 64, un buen truco es para elaborar una gama que restringe hosts a utilizar una fácil de recordar o
reconocer gama. Por ejemplo, el interior de un / 64 tal como 2001: db8: 1: 1 ::, establecer el DHCPv6 Rango de ser: 2001: db8: 1: 1 :: d: 0000 a 2001: db8: 1: 1 :: d:
FFFF, utilizando el re en la segunda a la última sección de la dirección como una especie de taquigrafía para “DHCP”. Ese rango ejemplo contiene 2 ^ 16 (65.536) IPs,
lo cual es muy grande para los estándares de hoy en día IPv4, pero sólo una pequeña parte de la totalidad / 64.
DHCPv6 Pre fi x Delegación
Pre fi x delegación, cubierto anteriormente en DHCP6 Pre fi x Delegación y Track Interface , permite dividir y asignar un bloque de IPv6 automáticamente las
direcciones de redes que van a vivir detrás de otros routers y cortafuego que residen aguas abajo de pfSense (por ejemplo, en la LAN, DMZ, etc.). La mayoría de los
usuarios actúen en calidad de cliente no necesitarán esta y es probable que deje en blanco.
Pre fi x delegación se puede utilizar para entregar / 64 trozos de a / 48 a los routers de forma automática, o cualquier otra combinación, siempre que el intervalo
se encuentra en los límites del tamaño de delegación deseado. El router aguas abajo obtiene una dirección IPv6 y solicita una delegación, y el servidor asigna
una forma dinámica y añade una ruta para que sea accesible a través de la dirección DHCPv6 asignado dado al cliente.
27.2. IPv6 servidor DHCP del router y Anuncios 555

los Pre fi Rango x Delegación Establece el inicio y el final de la piscina delegación. El rango de direcciones IPv6 fi especificados aquí se debe dirigir a este fi
cortafuegos por los routers de aguas arriba. Por ejemplo, para asignar / 60 redes a rewalls fi aguas abajo fuera de un rango dado, entonces uno podría
especificar 2001: db8: 1111: F000 :: a 2001: db8: 1111: FF00 :: con un pre fi tamaño x Delegación de 60. Esto asigna a / 60 (16 subredes de tamaño / 64) a
cada cortafuego aguas abajo que solicita una delegación para que puedan a su vez utilizar los de sus LAN, VPN, DMZ, etc. rewalls fi Downstream incluso
pueden delegar su propia asignación a los routers detrás de ellos. Nótese que en este ejemplo, 16 delegaciones serían posibles. Ajuste el rango y el tamaño
según sea necesario.
Cuando la elaboración de los valores para el tamaño de la gama y la delegación, tenga en cuenta que el rango debe comenzar y terminar en aries teras que se alinean
con el tamaño fi x pre deseada. En este / 60 ejemplo, el rango no pudo empezar o terminar en cualquier cosa que tiene un valor en los lugares a la derecha del segundo
valor en la cuarta sección de la dirección, por lo que puede comenzar en
2001: db8: 1111: F500 :: pero no 2001: db8: 1111: F550 ::.
DHCPv6 asignaciones estáticas
asignaciones estáticas en DHCPv6 funcionan de forma diferente que IPv4. En IPv4, las asignaciones se realizaron con la dirección MAC del PC. Para IPv6, los
diseñadores decidieron que no era suficiente, ya que la dirección MAC de un PC podría cambiar, pero aún así ser el mismo PC. Introducir el DHCP único identi
fi cador, o DUID. El DUID del huésped es generado por el sistema operativo del cliente y, en teoría, seguirá siendo único para ese específico de acogida fi co
hasta el momento en que el usuario fuerza una nueva DUID o el sistema operativo se vuelve a instalar. El DUID puede variar de 12 a 20 bytes, y varía
dependiendo de su tipo. los DUID de campo en la página de asignación estática espera un DUID para un PC cliente en un formato especial, representado por
pares de dígitos hexadecimales, separados por dos puntos, tales como 00: 01: 00: 01: 1b: a6: e7: ab: 00: 26: 18: 1a: 86: 21.
Cómo obtener esta DUID depende del sistema operativo. La forma más fácil es permitir que el PC para obtener un contrato de arrendamiento a través de DHCPv6, y luego
añadir una entrada de la DHCPv6 Arrendamientos Vista (estado DHCPv6 Arrendamientos). En Windows, se puede encontrar como DHCPv6 cliente DUID en la salida de ipconfig
/ all.
Nota: En Windows, el DUID se genera en el momento de la instalación, por lo que si la imagen se usa una base y estaciones de trabajo son clonados a partir de ahí, todos ellos
pueden terminar con el mismo DUID, y por lo tanto todos terminan tirando la misma dirección IPv6 a través de DHCPv6. Desactive la DUID del registro antes de realizar una
imagen para clonar, emitiendo el siguiente comando:
reg delete HKLM \ SYSTEM \ CurrentControlSet \ Services \ Tcpip6 \ Parameters / f / v Dhcpv6DUID
Este comando también se puede ejecutar en un sistema de trabajo para restablecer su DUID si es necesario.
DHCP y DHCPv6 Relay
solicitudes DHCP se transmiten trá fi co. Transmitido trá fi co se limita al dominio de difusión en el que se inicia. Para ofrecer un servicio DHCP en un
segmento de red sin un servidor DHCP, utilice el relé DHCP para reenviar las peticiones a un servidor de fi nido en otro segmento.
Advertencia: No es posible ejecutar tanto un servidor DHCP y un relé DHCP al mismo tiempo. Para activar el relé DHCP, primero desactiva el servidor
DHCP en cada interfaz.
Para con fi gurar el relé DHCP:
• Desactivar el servidor DHCP en cada interfaz
• Navegar a Servicios> DHCP Relay
• Haga clic en la pestaña de la interfaz para utilizar con DHCP Relay

Activar DHCP Relay Comprobado
Anexar ID circuito y el ID de agente a las solicitudes Active esta opción para añadir un ID de circuito (nú- interfaz de pfSense
BER) y el ID de agente para la solicitud de DHCP. Esto puede ser requerido por el servidor DHCP en el otro lado, y puede ayudar
a distinguir dónde se originaron las peticiones.
servidor de destino Un cuadro de entrada manual para configurar el servidor DHCP de destino
La función DHCPv6 Relay funciona de forma idéntica a la función de retransmisión DHCP para IPv4.
de resolución de DNS
La resolución DNS utiliza en pfSense sin consolidar, que es una validación, recursiva, resolución de caché DNS que soporta DNSSEC y una amplia variedad de
opciones. La resolución DNS está activado por defecto en las versiones actuales de pfSense. Por defecto, la resolución DNS consulta la Los servidores DNS raíz directamente
y no utiliza los servidores DNS con fi gurado bajo

Sistema> Configuración general o los obtenidos automáticamente desde una WAN dinámica. Este comportamiento puede ser cambiado, SIN EMBARGO, utilizando el Consulta DNS
de reenvío opción. Poniéndose en contacto con las raíces directamente por defecto, que elimina muchos problemas típicamente encontrados por los usuarios con configuraciones
DNS fi locales incorrectas, y los resultados de DNS son más confiable y verificable con extensiones de nombre de dominio Seguridad del sistema (DNSSEC).
De resolución de DNS Opciones avanzadas
pfSense proporciona una interfaz gráfica de usuario para con fi gura algunas de las opciones avanzadas más comunes disponibles en no unido. Las siguientes opciones están documentados como
se encuentra en el página del manual unbound.conf .
Ocultar identidad Cuando se establece, los intentos para consultar la identidad del servidor ( id.server y hostname.bind) son
negado.
Ocultar versión Cuando se establece, los intentos para consultar la versión del servidor ( version.server y
version.bind) se negó.
Soporte de captación previa Cuando está activado, los elementos del mensaje de caché se prebuscados antes de que caduquen para ayudar a mantener
la memoria caché hasta la fecha. Esta opción puede provocar un aumento de alrededor del 10% más de tráfico DNS fi co y la carga en el
servidor, pero ítemes de uso frecuente no expirará de la caché.
El soporte clave de captación previa de DNS Cuando está activado, DNSKEYs se recuperan más temprano en el proceso de validación
cuando se encuentra un registro Delegación del firmante. Esto ayuda a reducir la latencia de las solicitudes, pero utiliza un poco más de la CPU, y requiere que
el caché de ser establecido por encima de cero.
Harden datos DNSSEC Si esta opción está desactivada y no se reciben datos DNSSEC, a continuación, la zona es
hecho inseguro. se requieren datos DNSSEC para las zonas de confianza-anclado. Si tales datos no está presente, la zona se convierte en falsa.
Caché tamaño de los mensajes Las tiendas de caché DNS mensaje códigos de respuesta y los estados de validación. Ahí-
conjunto (RRSet) caché de registro de origen se ajustará automáticamente al doble de esta cantidad. El caché RRSet contiene los datos reales de
registros de recursos. El valor por defecto es 4 MB.
TCP salientes tampones El número de buffers de salida TCP para asignar por hilo. El valor por defecto es
10. Si se establece en 0, consultas TCP no se enviarán a servidores autorizados.
Entrantes TCP buffers El número de buffers TCP entrantes para asignar por hilo. El valor por defecto
es 10. Si se establece en 0, consultas TCP no serán aceptadas de los clientes.
27.4. de resolución de DNS 557

Tamaño del búfer EDNS Número de bytes de tamaño para hacer publicidad como el tamaño del buffer de reensamblaje EDNS. Este valor es
colocado en datagramas UDP enviadas a pares. la recomendación RFC es 4096 ( el valor por defecto). Si se producen problemas de fragmentación de reensamblado,
que normalmente se observa como los tiempos de espera, entonces un valor de 1480 puede ayudar. los 512
valor no pasa por la mayoría de los problemas de MTU de ruta, pero es excesivo y puede generar una cantidad excesiva de TCP de reserva.
Número de consultas por Tema El número de consultas que cada hilo dará servicio a la vez. Si
consultas adicionales llegan que necesitan ser atendidos, y no hay consultas pueden ser empujados hacia fuera, las nuevas consultas se dejan caer
jostle Tiempo de espera Tiempo de espera utiliza cuando el servidor está muy ocupado. Esto protege contra la denegación de servicio lento
consultas o altas tasas de consulta. El valor por defecto es 200 milisegundos. Se establece en un valor que se aproxima el tiempo de ida y vuelta a los servidores de
autoridad. A medida que llegan nuevas consultas, el 50% está autorizado a ejecutar y el 50% son reemplazadas por nuevas consultas si son mayores que el tiempo
de espera establecido.
TTL máximo para RRsets y mensajes El MaximumTime de vida (TTL) para RRsets y mensajes
en la caché, se especifica en segundos. El valor por defecto es 86400 segundos (1 día). Cuando el TTL expira interno ha caducado el elemento de la caché.
Esto puede ser con fi gurada para forzar el sistema de resolución para consultar los datos más a menudo y no confiar (muy grande) valores TTL
TTL mínimo para RRsets y mensajes El tiempo mínimo para vivir para RRsets y mensajes en la
caché, especificado en segundos. El valor por defecto es 0 segundos. Si un registro tiene un TTL bajo que el valor mínimo con fi gurada, los datos pueden
ser almacenados en caché durante más tiempo que el dueño del dominio deseado, y por lo tanto menos consultas se hacen para buscar los datos. los 0 valor
asegura los datos en la caché no se mantiene más tiempo que el propietario del dominio destinado. Los valores altos pueden conducir a problemas como
los datos de la caché pueden no coincidir con los datos reales si cambia.
TTL para entradas de caché de host Tiempo de Vida, en segundos, para entradas en el caché del host infraestructura. los
caché del host contiene la infraestructura de tiempo de ida y vuelta, cojera, y la información de apoyo EDNS para los servidores DNS. El valor
por defecto es 15 minutos.
Cantidad de hosts para almacenar en caché El número de hosts de infraestructura para las que se almacena en caché información. El valor por defecto
es 10.000.
Umbral de respuesta no deseada Si está activado, un número total de respuestas no deseadas se realiza un seguimiento de cada hilo.
Cuando se alcanza el umbral, se toma una acción defensiva y una advertencia se imprime en el registro de archivo. La acción defensiva es limpiar los
cachés RRSet y mensajes, es de esperar fl ushing basura cualquier veneno. El valor por defecto está desactivada, pero si está activado, se sugiere un
valor de 10 millones de dólares.
Nivel de registro Seleccione el nivel de detalle de registro. por defecto es Nivel 1.
nivel 0 Sin verbosidad, sólo los errores.
Nivel 1 La información operacional.
Nivel 2 información operativa detallada.
Nivel 3 información de nivel de consulta, la producción por consulta.
Nivel 4 información del nivel de algoritmo.
Nivel 5 Registros de cliente de identi fi cación de errores de caché.
Desactivar el auto-añadido Control de Acceso Desactiva las entradas de control de acceso que se agregan automáticamente. por de-
culpa, se permiten las redes IPv4 e IPv6 que residen en las interfaces internas de este fi cortafuegos. Redes permitidas deben ser manualmente
con fi gurada en el Listas de acceso pestaña si en caso de control.
Bit experimental Soporte 0x20 Utilice bits aleatorios 0x20 codificados en la consulta DNS para frustrar spoo fi ng en-
tienta. Ver la puesta en práctica proyecto dns-0x20 para más información:

Listas de resolución de DNS de Acceso
Sin consolidar requiere listas de acceso (ACL) para controlar qué clientes se les permite enviar consultas. De manera predeterminada, se permiten las redes IPv4 e IPv6 que
residen en las interfaces internas de este fi cortafuegos. redes adicionales se les debe permitir manualmente.
Nota: Las ACL automáticas pueden ser desactivadas mediante el Desactivar el auto-añadido Control de Acceso opción en el Ajustes avanzados lengüeta.
Para gestionar listas de acceso para la resolución DNS, vaya a Servicios> resolución de DNS, Listas de Acceso lengüeta. De esta lista, las nuevas entradas pueden añadirse y
las entradas existentes pueden ser editados o eliminados. Al añadir o editar una entrada, las siguientes opciones están disponibles:
Nombre Lista de acceso El nombre para la lista de acceso, que aparece como un comentario en la lista de acceso con fi gu-
ración fi l.
Acción Método para el manejo de las redes de contenidos en la Lista de Acceso
Negar Detiene las consultas de los clientes en las redes con fi gurar
Desperdicios Detiene las consultas de los clientes en las redes con fi gurar y devuelve una NEGÓ
código de respuesta
Permitir Permite las consultas de los clientes en las redes con fi gurar
Permitir Snoop Permite consultas recursivas y no recursivas de clientes en la fi con gurado

redes, utilizados para el espionaje caché, y normalmente sólo con fi gura en los hosts administrativos.
Descripción Un campo de texto fi ya para las notas de referencia acerca de esta entrada.
redes Una lista de redes que se rige por esta entrada de lista de acceso.
De resolución de DNS e IPv6
La resolución DNS es totalmente compatible con IPv6. Acepta y hace consultas sobre IPv6, soporta registros AAAA, y no tiene problemas conocidos con cualquier
aspecto de IPv6 y DNS manipulación.
De resolución de DNS Con fi guración
Para con fi gurar el Resolver DNS, vaya a Servicios> Resolución DNS
Habilitar Al marcar esta casilla se activa el Resolver DNS o desactivar para desactivar esta funcionalidad. el DNS
Forwarder y de resolución de DNS no pueden ser ambos activos al mismo tiempo en el mismo puerto, por lo que desactivar el DNS
redireccionador o mover un servicio o el otro a un puerto diferente antes de intentar activar la resolución del cliente.
Puerto de escucha Por defecto, la resolución DNS escucha en el puerto TCP y UDP 53. Esto es normal para cualquier DNS
servidor, ya que son los clientes del puerto tratarán de usar. Hay algunos casos en los que se mueven de resolución de DNS a otro puerto de escucha, tal
como 5353 o 54 es deseable, y las fuentes entonces mercantiles pueden ser enviados allí a través de hacia delante del puerto.
Interfaces Por defecto, la resolución DNS escucha en todas las interfaces disponibles y dirección IPv4 e IPv6.
El control de la interfaz limita las interfaces donde el promotor de DNS aceptar y responder a las consultas. Esto se puede utilizar para aumentar
la seguridad, además de fi reglas cortafuego. Si se selecciona una interfaz específica, tanto las direcciones IPv4 e IPv6 en esa interfaz serán
utilizados para responder a las preguntas. los sin consolidar
daemon solamente se unirá a la interfaz seleccionada. Consultas enviadas a otras direcciones IP en el cortafuego serán descartados
silenciosamente.

Interfaces de red salientes Por defecto, la resolución DNS utiliza todos los interfaces para consultas salientes,
por lo que será fuente de la interfaz de consulta fromwhichever y la dirección IP es la más cercana al servidor de destino desde una perspectiva de
enrutamiento. Selección de las interfaces mercantiles limitará las opciones a sólo interfaces de fi cas que pueden ser utilizados como fuente de consultas.
Tipo de sistema de dominio Zona Local Esta opción determina el tipo de zona local- con fi gura en
sin consolidar para el dominio del sistema. El tipo de zona gobierna el tipo de respuesta a dar a los clientes cuando no hay coincidencia en los
datos locales, tales como anulaciones de host, hosts DHCP, etc. En cada caso, si hay un torneo local, la consulta se responde normalmente. Los
tipos disponibles para regir las respuestas no coincidentes son:
Negar Suelta la consulta y no contesta el cliente.
Desperdicios Notifica a la cliente que se negó la consulta (Uso rcode rechazada).
Estático Devuelve una SIN DATOS o NXDOMAIN respuesta al cliente.
Transparente Este es el comportamiento predeterminado. Si la consulta es un nombre que no existe

a nivel local, se resuelve como de costumbre. Si el nombre tiene un partido local, pero el tipo es diferente, una
NOERROR, NODATA la respuesta se envía al cliente
tipo transparente Al igual que en transparente, que también pasa a través de consultas en el nombre
coincide con el tipo, pero no lo hace. Por ejemplo, si sólo existe un cliente consulta un registro AAAA sino un
registro A, la consulta AAAA se transmite en lugar de recibir una respuesta negativa.
redirigir Maneja las consultas de datos locales y redirige las consultas para las zonas por debajo de la
zona local (por ejemplo, subdominios). Esto se puede utilizar para controlar las consultas de todos los subdominios bajo el dominio
dado.
Informar Las respuestas normalmente, pero registra la consulta del cliente.
informar a Denegar Niega y registra la consulta.
Ningún valor predeterminado Desactiva cualquier contenido predeterminado para la zona sin afectar el comportamiento de la consulta.
DNSSEC Permite extensiones de nombres de dominio de seguridad del sistema (DNSSEC), que permite a los clientes confían
el origen y el contenido de las respuestas DNS. Esto está habilitado por defecto. DNSSEC protege contra la manipulación de las respuestas DNS,
como el envenenamiento de caché DNS u otra intercepción consulta, pero no hace que el contenido de las respuestas secreto. DNSSEC funciona
mejor cuando se utilizan los servidores raíz directamente, a menos que los servidores de reenvío soportan DNSSEC. Si los servidores DNS upstream
no soportan DNSSEC en el modo de transmisión o con las anulaciones de dominio, se sabe que las consultas DNS a ser interceptado aguas arriba, o
los clientes tienen problemas con las respuestas sobre el tamaño de DNS, DNSSEC puede necesitar estar deshabilitado.
Consulta DNS de reenvío Desactivado por defecto. Cuando está activado, sin consolidar utilizará el sistema de DNS
servidores de Sistema> Configuración general o las recibidas de una WAN dinámica, en lugar de nosotros-ing directamente a los servidores raíz.
Esto es mejor para un escenario multi-WAN donde se desea el control fi ne de enrutamiento consulta DNS, pero normalmente también requiere la
desactivación DNSSEC debido a la falta de apoyo de los servidores DNS de aguas arriba u otros problemas de reenvío de las consultas.
registro de DHCP Cuando, nombres de equipos internos activos para clientes DHCP pueden resolverse mediante DNS.
Esto sólo funciona para los clientes que especifican un nombre de host en sus peticiones DHCP. El nombre de dominio de
Sistema> Configuración general se utiliza como nombre de dominio en los hosts.
DHCP estático Esto funciona igual que Registro de arrendamiento DHCP en el promotor de DNS, excepto que se registra
la asignación estática direcciones DHCP en su lugar.
Opciones personalizadas Un área de texto para colocar directivas avanzadas para sin consolidar que no son compatibles con el
Interfaz gráfica de usuario directamente. Si sin consolidar no se inicia correctamente después de entrar en las opciones de personalización, añada servidor: en una
línea antes de que las opciones de personalización.

anulaciones de acogida
entradas DNS personalizados pueden ser creados en el anulaciones de acogida sección de la página. anulaciones huésped pueden de fi ne nuevos registros, o anular los
registros existentes para que los clientes reciban las respuestas locales con fi gura en lugar de respuestas de los servidores DNS upstream. Esto también es útil para
configuraciones DNS dividida fi (véase DNS dividido ), y como un medio semi-efectiva de bloquear el acceso a ciertos sitios web específicos.
registros múltiples pueden definirse por el mismo nombre de host, y todas las direcciones IP serán devueltos en el resultado. Esto puede ser usado para suministrar tanto un
IPv4 (A) y IPv6 resultado (AAAA) para un único nombre de host.
Nota: No recomendamos el uso de sólo la funcionalidad de anulación de DNS como un medio de bloquear el acceso a ciertos sitios. Hay mil maneras
de evitar esto. Se dejará de usuarios no técnicos, pero es fácil de eludir para los que tienen más aptitud técnica.
Anfitrión Este campo de fi nes únicamente la parte nombre de host del registro de DNS (sin el dominio), por ejemplo, www.
Se puede dejar en blanco para hacer un registro de anulación para el dominio de sí mismo (similar a un registro de “@” en lazo.)
Dominio Se requiere este campo, y define el nombre de dominio para el registro de anulación, por ejemplo, example.com.
Dirección IP La dirección IP (IPv4 o IPv6) para volver como el resultado de una búsqueda DNS de esta entrada.
Descripción Una descripción de texto se utiliza para identificar o dar más información acerca de esta entrada.
Nombres adicionales de este alojamiento De fi ne los nombres de host adicionales para la misma dirección IP (muy parecido
CNAME) para mantenerlos en un solo registro de anulación.
anulaciones de dominio
anulaciones de dominio se encuentran en la parte inferior de la página de resolución de DNS. Estas entradas especifican un servidor DNS alternativo de usar para la resolución de un dominio
específico.
Un ejemplo de donde esto se implementa comúnmente se encuentra en las redes de pequeñas empresas con un único servidor interno con Active Directory, por lo
general de Microsoft Small Business Server. Las solicitudes de DNS para el nombre de dominio de Active Directory debe ser resuelta por el servidor de Windows Active
Directory interno para que funcione correctamente. La adición de un reemplazo para el dominio de Active Directory que apunta a la dirección IP del servidor de Windows
interno asegura que estos registros se resuelven correctamente si los clientes están utilizando este cortafuego como un servidor DNS o el servidor directamente de
Windows. En un entorno de Active Directory la mejor práctica es tener clientes siempre utilizan el servidor DNS de Windows como el servidor DNS principal registro de
nombres de manera dinámica y otra relacionada con dominio de función tareas DNS correctamente. En ambientes con sólo un servidor DNS de Windows, permitir a la
resolución DNS con un reemplazo para el dominio de Active Directory y utilizar este fi cortafuegos como el servidor DNS secundario para las máquinas internas. Esto
asegura la resolución de DNS (excepto para Active Directory) no tiene un único punto de fallo, y la pérdida del único servidor no significará una interrupción completa de
Internet. La pérdida de un solo servidor en un entorno de este tipo por lo general tiene consecuencias significativas, pero los usuarios se sentirá más inclinado a
abandonar el administrador solo para fi jar el problema si es que todavía pueden retirar sus lolcats, Facebook, Twitter, et al en el ínterin.
Otro uso común de las anulaciones de DNS es resolver los dominios DNS internos en sitios remotos utilizando un servidor DNS en el sitio principal accesible a través de
VPN. En este tipo de entornos todas las consultas DNS se resuelven normalmente en el sitio central para el control centralizado sobre DNS, sin embargo, algunas
organizaciones prefieren dejar que la resolución DNS de Internet con pfSense en cada sitio, y sólo reenviar consultas para dominios internos al servidor DNS central.
Tenga en cuenta una ruta estática es necesaria para que esto funcione a través de IPsec. Ver pfSense-iniciado Traf fi c y IPsec para más información.
Dominio El campo de dominio establece el nombre de dominio que se resolverá mediante esta entrada. Esto no lo hace
tiene que ser un dominio de nivel superior válido, puede ser cualquier cosa (por ejemplo, local, haciendo pruebas, laboratorio), o puede ser un nombre de dominio real
( example.com).

Dirección IP Especí fi ca de la dirección IP del servidor DNS al que las consultas de nombres de host de dominio
se envían. Si el servidor DNS objetivo está ejecutando en un puerto distinto 53, añadir el número de puerto después de la dirección IP con un @ la
separación de los valores, por ejemplo:
192.0.2.3@5353
De resolución de DNS y Multi-WAN
Con la configuración predeterminada, la resolución DNS tendrá problemas en un entorno multi-WAN. El principal problema es que la resolución DNS quiere consultar los
servidores DNS raíz directamente. Estas consultas sólo se enviarán a cabo utilizando la puerta de enlace predeterminada. Si la WAN que contiene la puerta de enlace
predeterminada falla, entonces las consultas DNS también es probable que falle. Hay maneras de evitar esta limitación, sin embargo:
modo de reenvío
Habilitar Consulta DNS de reenvío y con fi gura al menos un servidor DNS por puerta de enlace WAN bajo Sistema> Configuración general. DNSSEC también puede necesitar
ser inhabilitado, dependiendo de soporte de servidor DNS aguas arriba.
Habilitar Puerta de enlace predeterminada de conmutación debajo Sistema> Opciones avanzadas, Varios lengüeta. Esto moverá la puerta de enlace predeterminada a la siguiente puerta
de enlace disponible si falla el preferido por defecto. Sin embargo, esta opción todavía se considera experimental y puede tener problemas en ciertos casos.
De resolución de DNS y DNS Protección Revinculación
Por defecto, la protección Revinculación DNS está activado y se rechazan las respuestas de direcciones IP privadas. Para permitir que las respuestas de direcciones IP privadas a partir de un
dominio conocido, utilice el Opciones personalizadas caja en la configuración de resolución de DNS para con fi gurar dominios permitidos de la siguiente manera:
servidor:
-Dominio privado: "example.com"
DNS Forwarder
El Forwarder DNS en pfSense es una resolución de caché DNS que emplea el dnsmasq demonio. Se está desactivado por defecto en las versiones actuales, con el de
resolución de DNS ( sin consolidar) siendo activada por defecto en su lugar. El DNS Forwarder permanecerá activado en sistemas antiguos o sistemas en los que era activa
previamente actualizado. El Forwarder DNS utiliza los servidores DNS con fi gurada en Sistema> Configuración general, o los obtenidos automáticamente de un ISP para fi
dinámicamente con gurado interfaces WAN (DHCP, PPPoE, PPTP). Para la dirección IP estática conexiones WAN, servidores DNS deben introducirse en el Sistema>
Configuración general o durante el asistente de configuración para el redireccionador de DNS para funcionar. fi gurada servidores DNS estáticamente Con también se
pueden usar con dinámicamente con fi interfaces de gurado WAN desactivando la
Permitir lista de servidores DNS para ser anulado por DHCP / PPP en la caja de WAN en el Sistema> Configuración general página. Por defecto, el Forwarder DNS consulta todos
los servidores DNS de una sola vez, y la única la primera respuesta recibida se usa y almacena en caché. Esto se traduce en servicio DNS mucho más rápido desde la perspectiva
del cliente, y puede ayudar a suavizar los problemas que se derivan de los servidores DNS que son de forma intermitente lenta o que tienen una alta latencia, especialmente en
entornos multi-WAN. Este comportamiento se puede desactivar mediante la activación de la Consulta servidores DNS secuencialmente opción.

DNS Forwarder e IPv6
El DNS Forwarder es totalmente compatible con IPv6. Acepta y hace consultas sobre IPv6, soporta registros AAAA, y no tiene problemas conocidos con
cualquier aspecto de IPv6 y DNS manipulación.
DNS Forwarder Con fi guración
Para con fi gurar el DNS Forwarder, vaya a Servicios> DNS Forwarder
Las opciones disponibles para el redireccionador de DNS son:
Habilitar Al marcar esta casilla se activa el Forwarder DNS o desactivar para desactivar esta funcionalidad. los
DNS Forwarder y de resolución de DNS no pueden ser ambos activos al mismo tiempo en el mismo puerto, por lo que desactivar el
Resolver DNS o mover un servicio o el otro a un puerto diferente antes de intentar activar la Forwarder DNS.
registro de DHCP Cuando, nombres de equipos internos activos para clientes DHCP pueden resolverse mediante DNS.
Esto sólo funciona para los clientes que especifican un nombre de host en sus peticiones DHCP. El nombre de dominio de
Sistema> Configuración general se utiliza como nombre de dominio en los hosts.
DHCP estático Esto funciona igual que Registro de arrendamiento DHCP en el promotor de DNS, excepto que se registra
la asignación estática direcciones DHCP en su lugar.
Prefiero DHCP Cuando una dirección IP tiene varios nombres de host, haciendo una búsqueda inversa puede dar una ines-
se sospecha vienen resultar si uno de los nombre de host se encuentra en las anulaciones de host y el sistema utiliza otro nombre de host a través
de DHCP. Marcando esta opción se coloque el DHCP nombres de host obtenidos por encima de las asignaciones estáticas en los anfitriones fi l en
el cortafuego, haciendo que se pueden consultar primero. Esto sólo afecta a la resolución inversa (PTR), ya que sólo devuelven el resultado primero
y no múltiple. Por ejemplo, esto produciría un resultado de labserver01.example.com, DHCP de un servidor de prueba obtiene la dirección IP, en lugar
de un nombre de host de anulación testwww.example.com que de otro modo serían devueltos.
Consulta servidores DNS secuencialmente Por defecto, el cortafuego consulta todos los servidores DNS de forma simultánea y
utiliza el resultado más rápido. Esto no siempre es deseable, especialmente si hay un servidor DNS local con nombres de host personalizados que podrían
Por evitado mediante el uso de un servidor DNS más rápido, pero pública. Al activar esta opción hace que las consultas que deben efectuarse en cada
servidor DNS en secuencia desde la parte superior hacia abajo, y la fi cortafuegos espera un tiempo de espera antes de pasar al siguiente servidor DNS en la
lista.
requerir de dominio Requiere un nombre de dominio de nombres de host que se remitirá a los servidores upstreamDNS. Hospedadores
sin nombre todavía se cotejan con las anulaciones de acogida y los resultados de DHCP, pero no se les preguntó en contra de los
servidores de nombres con fi gura en el cortafuego. En cambio, si un nombre corto no existe localmente, un resultado NXDOMAIN ( “no
encontrado”) se devuelve al cliente.
No reenvíe búsquedas inversas privadas Cuando se activa, esta opción evita dnsmasq de hacer
búsquedas inversas DNS (registro PTR) para las direcciones IP privadas a aguas arriba RFC1918 servidores de nombres. Todavía le proporcione
resultados de entradas locales. Es posible utilizar un registro de anulación de dominio para la zona de búsqueda inversa, por ejemplo, 1.168.192
.in-addr.arpa, para que las consultas para una subred específico todavía serán enviados a un servidor DNS fi co.
Puerto de escucha Por defecto, el Forwarder DNS escucha en el puerto TCP y UDP 53. Esto es normal para cualquier
servidor DNS, ya que son los clientes del puerto tratarán de usar. Hay algunos casos en los que se mueven los Forwarder DNS a otro puerto de
escucha, tales como 5353 o 54 es deseable, y luego consultas especí fi cas pueden ser enviados allí a través del puerto hacia delante.
Interfaces Por defecto, el Forwarder DNS escucha en todas las interfaces disponibles y todos IPv4 disponibles y
Direcciones IPv6. El control de la interfaz limita las interfaces donde el promotor de DNS aceptar y responder a las consultas. Esto se puede
utilizar para aumentar la seguridad, además de fi reglas cortafuego. Si se selecciona una interfaz específica, tanto las direcciones IPv4 e IPv6
en esa interfaz serán utilizados para responder a las preguntas. Consultas enviadas a otras direcciones IP en el cortafuego serán descartados
silenciosamente.
27.5. DNS Forwarder 563

Interfaz estricta Encuadernación Cuando se establece, el promotor de DNS sólo se unirá a las interfaces que contienen el
direcciones IP seleccionadas en el Interfaz de control, en lugar de unirse a todas las interfaces y descartando las consultas a otras direcciones. Esto
puede ser usado de manera similar a la Puerto de escucha para controlar la forma en que el servicio se une de manera que pueda coexistir con otros
servicios de DNS que tienen opciones similares.
Nota: Esta opción no es compatible con IPv6 en la versión actual del daemon de DNS Forwarder,
dnsmasq. Si está marcada, el proceso dnsmasq no se unirá a ninguna de las direcciones IPv6.
Opciones avanzadas
parámetros con fi guración dnsmasq personalizado que no están con fi gurable en la interfaz gráfica de usuario se puede colocar en Opciones avanzadas.
Por ejemplo, para establecer un TTL bajo para registros DNS, introduzca max-TTL = 30. O diseñar una tarjeta de registro de DNS para resolver salvaje
. lab.example.com a 192.2.5.6 especificando abordar = / lab.example.com / 192.2.5.6.
comandos separados por un espacio o una nueva línea. Para obtener más información sobre los posibles parámetros que se pueden utilizar, consulte la documentación
dnsmasq .
anulaciones de acogida
entradas de anulación anfitrión proporcionan un medio para con fi gurar entradas DNS personalizados. La configuración con fi es idéntica a anulaciones de acogida en la resolución DNS, consulte
allí para obtener más detalles.
anulaciones de dominio
Dominio anula con fi gura un servidor DNS alternativo de usar para la resolución de un dominio específico. La configuración con fi es idéntica a anulaciones de
dominio en la resolución DNS, con algunas ligeras diferencias:
Dominio El campo de dominio establece el nombre de dominio que se resolverá mediante esta entrada. Esto no lo hace
tiene que ser un dominio de nivel superior válido, puede ser cualquier cosa (por ejemplo, local, haciendo pruebas, laboratorio), o puede ser un nombre de dominio real
( example.com).
Dirección IP Este campo puede ser utilizado en una de tres maneras. En primer lugar, se puede utilizar para especificar la dirección IP
del servidor DNS al que se envían las consultas de nombres de host de dominio. En segundo lugar, se puede utilizar para anular
otra entrada tecleando #. Por ejemplo, para reenviar example.com a 192.2.66.2,
pero tienen lab.example.com remitir a los servidores de nombres estándar, introduzca un # en este campo. En tercer lugar, se puede utilizar para prevenir que las
consultas no locales mediante la introducción de un!. Si existen entradas de anulación de host para
www.example.org y mail.example.org, pero otras búsquedas para hosts bajo example.org

No debe ser enviada a los servidores DNS remotos, introduzca una! en este campo.
IP de origen Este campo es opcional, y se utiliza principalmente para comunicarse con un servidor DNS a través de una VPN. Típicamente
sólo las direcciones IP locales especí fi cos son capaces de atravesar una VPN, este campo específico es el que se utiliza la dirección IP en el cortafuego a
la fuente el DNS para las consultas pasarán correctamente.
DNS Forwarder y Multi-WAN
El DNS Forwarder es totalmente compatible con multi-WAN. Con fi gura al menos un servidor DNS por la puerta de enlace WAN bajo
Sistema> Configuración general.

DNS y DNS Forwarder Protección Revinculación
Por defecto, la protección Revinculación DNS está activado y se rechazan las respuestas de direcciones IP privadas. Para permitir que las respuestas de direcciones IP privadas a partir de un
dominio conocido, utilice el Opciones avanzadas caja en la configuración de DNS Forwarder para con fi gurar dominios permitidos de la siguiente manera:
rebind-dominio-ok = / example.com /
DNS Dinámico
El cliente de DNS dinámico integrado en pfSense registra la dirección IP de una interfaz WAN con una variedad de proveedores de servicios de DNS dinámico. Esto se utiliza
para acceder de forma remota servicios de hosts que tienen las WAN con direcciones IP dinámicas, más comúnmente VPN, servidores web, y así sucesivamente.
Cualquier número de clientes DNS dinámico puede ser con fi gurada utilizando cualquiera de más de 20 diferentes proveedores de DNS dinámicos, o incluso proveedores de DNS
dinámico personalizado. Los clientes DNS dinámicos pueden utilizar cualquier red WAN, e incluso puede registrar la dirección IP pública real en entornos en los que el cortafuego
recibe una dirección IP privada para su WAN y se NATed aguas arriba. Además de los proveedores de DNS dinámico basado en HTTPS HTTP / típicas, pfSense también es
compatible con el estilo RFC 2136 DNS dinámico actualiza directamente a los servidores de DNS.
DNS dinámico e IPv6
Al escribir estas líneas, hay muy pocos proveedores de DNS dinámicos que ofrecen soporte para IPv6. Las opciones disponibles se limitan a HE.net cuando reciban
DNS para un dominio, tipos personalizados, y RFC 2136 servidores.
Con fi gurar un Cliente DNS dinámico
pfSense permite el registro con muchos diferentes proveedores de DNS dinámico. Los proveedores disponibles se pueden ver haciendo clic en el Tipo de servicio selector. Más
información acerca de los proveedores se pueden encontrar mediante la búsqueda de su nombre para hallar su sitio web. Varios ofrecen un servicio de nivel básico, sin costo alguno,
y algunos ofrecen servicios de primera calidad a un costo adicional. También hay una Personalizado opción que permite utilizar una URL personalizada para dar cabida a un proveedor
no es compatible. Seleccionar un proveedor, visite su sitio web, registrarse en una cuenta, y la configuración de un nombre de host. Los procedimientos de este variará con cada
proveedor, pero todos ellos tienen instrucciones en sus sitios web. Después de con fi gurar un nombre de host con un proveedor, con fi gura pfSense con propiedades que coinciden.
La mayoría de los proveedores tienen las mismas o similares opciones. Hay unos pocos tipos con opciones de personalización que se tratarán más adelante en esta sección.
Para con fi gurar un cliente de DNS dinámico:
• Navegar a Servicios> DNS dinámico
Inhabilitar Compruebe para desactivar la entrada, o deje sin marcar por lo que será activo.
Tipo de servicio Seleccione el proveedor de DNS dinámico aquí.
Interfaz de Seguimiento Seleccione la interfaz que tiene la dirección IP para mantenerse al día, tales como WAN,
o una interfaz OPTX. Selección de un grupo de puerta de entrada para la interfaz permite la entrada de DNS dinámico para cambiar entre las WAN por lo
que puede permitir la conmutación por error de entrada Multi-WAN de los servicios en este nombre de host.
27.6. DNS Dinámico 565

nombre de host Introduzca el nombre de host creado en el proveedor de DNS dinámico. Esta suele ser la completa
plenamente cuali nombre de dominio fi ed, tales como myhost.example.com, a excepción de Namecheap donde esto es sólo la parte del
host de la dirección.
Nombre de dominio Para los hosts Namecheap, este cuadro debe estar en la parte de dominio del nombre de host completo.
MX Un MX (intercambio de correo) Registro es como servidores de correo de Internet saben dónde entregar el correo para una
dominio. Algunos proveedores de DNS dinámicos permiten registros MX con fi gurada a través del cliente de DNS dinámico. Si el
proveedor elegido lo permite, introduzca el nombre de host del servidor de correo que recibir correo de Internet para el dominio DNS
dinámico.
comodines Cuando DNS comodín está habilitada en un nombre DNS dinámico, todas las consultas de nombres de host
bajo el dominio dado resolverá a la dirección IP del nombre de host DNS dinámico. Por ejemplo, si el nombre de host
es example.dyndns.org, permitiendo comodín hará
* . example.dyndns.org (a.example.dyndns.org, b.example.dyndns.org,
etc.) a resolver el mismo que example.dyndns.org.
El registro detallado Marque esta opción para aumentar el registro para el proceso de actualización de DNS dinámico,
que es útil para la solución de problemas problemas de actualización.
Verificar Peer SSL Cuando se selecciona, el certi fi cado de SSL del servidor proveedor de DynDNS será validada
anticuado. Algunos servidores con Cates con firma certifica, o los que utilizan una CA menos comunes, pueden requerir que esto se establece.
Nombre de usuario Introduzca el nombre de usuario para el proveedor de DNS dinámico. requisitos fi cas de proveedor-específico:
Namecheap, FreeDNS Dejar en blanco
ruta 53 Introducir el Clave de acceso Identificación GleSYS Introducir el la medida del usuario API El nombre de usuario se utiliza con la
autenticación HTTP básica y puede dejarse en blanco.
Contraseña Introduzca la contraseña para el proveedor de DNS dinámico. requisitos fi cas de proveedor-específico:
Namecheap, FreeDNS Este es el Token de autenticación Ruta 53 Introducir el Clave
secreta de acceso GleSYS Introducir el API Key DNSimple Introducir el API
Descripción Token Un campo de texto fi para referencia.
Proveedores con Configuraciones adicionales o diferentes
Algunos proveedores tienen configuraciones especiales o determinados campos que necesitan ser establecido de manera especí fi ca que puede no ser obvia. Las diferencias se
describen en esta sección.
namecheap Como se mencionó anteriormente en los ajustes anteriores, Namecheap requiere que el nombre de dominio totalmente calificado fi cado puede dividir en la parte parte el
nombre de host y el nombre de dominio en campos separados. Al configurar el DNS dinámico para una namecheap dominio, un token de autenticación está dada por Namecheap.
Esto va en el Contraseña campo, y el Nombre de usuario campo se deja en blanco.
HE.net Tunnelbroker los HE.net Tunnelbroker elección actualiza una dirección IP punto final del túnel IPv6 cuando el IP WAN cambia. los nombre de host en este
caso es la Identificación del túnel de HE.net.

ruta 53 Cuando se utiliza un Amazon ruta 53 tipo, el nombre de usuario es el ID de clave de acceso proporcionado por Amazon. Las siguientes opciones
adicionales están disponibles al usar Ruta 53:
Verificar Peer SSL Habilitar para verificar el certificado del servidor de fi cado cuando se utiliza HTTPS
zona de Identificación Recibido al crear el dominio en la Ruta 53. Debe ser llenada en.
TTL Tiempo de vida para el registro DNS.
Personalizado los Personalizado Opciones de tipo DNS con fi guras dinámicas que permiten la actualización de servicios de otro modo no compatible. Cuando se utiliza el tipo de
encargo DNS dinámico, el Nombre de usuario y Contraseña campos se envían mediante la autenticación básica HTTP.
Las siguientes opciones adicionales están disponibles al usar Personalizado:
Interfaz para enviar la actualización de Casi siempre la misma que la interfaz, pero se puede cambiar según sea necesario.
Resolución de la fuerza IPv4 Cuando se activa, el anfitrión actualización sólo se resolverá mediante IPv4
URL de actualización La URL dada por el proveedor de DNS dinámico para las actualizaciones. Si debe aparecer la dirección IP
en la URL, introducirlo como% IP% y el valor real será sustituido cuando sea necesario.
resultado del partido De multas espera que la salida de la consulta DNS dinámico. Si tiene éxito y coincide con el
salida dada, entonces pfSense sabrá que la actualización se ha realizado correctamente. Si no coincide exactamente, entonces se asume que la actualización ha
fallado. Dejar en blanco para desactivar la comprobación de resultados.
DNSSimple
zona de Identificación Recibido al crear el dominio.
TTL Tiempo de vida para el registro DNS.
Con fi gurar RFC 2136 actualizaciones dinámicas de DNS
RFC 2136 DNS dinámico registra un nombre de host en cualquier servidor DNS apoyo a las actualizaciones de estilo RFC 2136. Esto se puede utilizar para actualizar los
registros DNS en los servidores DNS BIND y Windows Server, entre otros.
entradas RFC 2136 DNS dinámico se pueden usar al mismo tiempo que los proveedores de servicios de DNS dinámico estilo normal, y al igual que aquellos,
cualquier número de entradas se pueden crear. RFC 2136 se actualiza el registro A y el registro AAAA IPv6 si se con fi gura en la interfaz monitoreada.
Con fi gurar la infraestructura de servidor para el RFC 2136 de alojamiento DNS dinámico está más allá del alcance de este libro, pero no es un básico de cómo hacerlo en el wiki
de documentación pfSense que las cubiertas la creación de BIND para manejar RFC 2136 actualizaciones . Para con fi gurar un cliente RFC 2136 DNS dinámico:
• Navegar a Servicios> DNS dinámico
• Haga clic en el RFC 2136 lengüeta
Habilitar Controla si la entrada está activa. Si no está marcada, no se realizarán cambios

para esta entrada.
27.6. DNS Dinámico 567

Interfaz La dirección IP de la interfaz elegida será enviado cuando se realiza la actualización de DNS.
nombre de host El nombre totalmente cuali fi ed dominio (FQDN) de la entrada de DNS dinámico para actualizar. por
ejemplo, myhost.example.com.
TTL El tiempo de vida para la entrada de DNS, en cuestión de segundos. Los valores más altos se almacenan en caché ya por otra
Servidores de nombres, por lo que los valores más bajos son mejores para asegurarse de que las actualizaciones de DNS son recogidos de manera oportuna
por otros servidores. Por lo general, un valor entre 30 y 180 segundos es razonable, en función de la frecuencia con que cambia la dirección IP.
Nombre de clave El nombre de la clave que se especifica en el servidor DNS con fi guración. Para las claves de host, esto es
típicamente el FQDN, por lo que sería idéntico al valor en el nombre de host campo. Para las claves de zona Este sería el nombre
de la zona DNS.
Tipo de clave Puede ser una de Zona, Host o Usuario. El tipo de clave se determina por el servidor, así que consulte
la con fi guración del servidor o el administrador del servidor DNS para determinar la Tipo de clave. Normalmente, esto se establece en Anfitrión.
Llave Contiene el texto real de la clave, por ejemplo / == 0 / 4bxF9A08n / ZKE / vANyQ. Este valor es
generada por el servidor DNS o administrador.
Servidor La dirección IP o nombre de host del servidor DNS al que se envían actualizaciones.
Protocolo Cuando no se controla, la actualización de DNS se envía a través de UDP, cuando se comprobó que utiliza TCP en lugar.
Utilice IP pública Por defecto, la dirección IP de la interfaz siempre se envía al servidor de nombres DNS para el
actualizar. Si se marca esta casilla, cuando se detecta una dirección IP privada en el seleccionado Interfaz, se realice una comprobación para
determinar cuál es la dirección IP pública es real, y después de que la dirección IP se utiliza para la actualización de DNS.
Tipo de registro Determina qué registro (s) se actualizará para esta entrada. Para la dirección IPv4, el uso
UN, para IPv6, utilice AAAA, o elegir Ambos.
Descripción Una descripción de texto libre de la entrada de referencia.
Al igual que con los otros tipos de DNS dinámico, RFC 2136 actualizaciones se realizan sólo cuando se detecta un cambio de dirección IP, o una vez cada 25 días.
SNMP
los Protocolo Simple de Manejo de Red (SNMP) daemon permite el monitoreo remoto de algunos parámetros del sistema pfSense. En función de las opciones
elegidas, el seguimiento se puede realizar por el tráfico de red fi co, la red de flujos, pf colas, e información general del sistema como la CPU, la memoria y el
uso del disco. La aplicación SNMP utilizado por pfSense es bsnmpd , Que por defecto sólo tiene las bases más básicas de información de gestión (MIB)
disponibles, y se extiende por la carga de módulos. Además de actuar como un demonio SNMP, sino que también puede enviar capturas a un servidor SNMP
para ciertos eventos. Estos varían en base a los módulos cargados. Por ejemplo, los cambios de estado de enlace de red generarán una trampa si se carga el
módulo MIB II.
El servicio SNMP puede ser con fi gurada navegando a Servicios> SNMP.
La forma más fácil de ver los datos disponibles es ejecutar snmpwalk contra el cortafuego de otro host con net-snmp
o un paquete equivalente instalado. Los contenidos completos de las MIB disponibles están más allá del alcance de este libro, pero hay un montón de recursos
impresos y en línea para SNMP, y algunos de los árboles MIB están cubiertos en RFC. Por ejemplo, el MIB recursos de acogida se define por RFC 2790 .
SNMP e IPv6
los bsnmpd daemon does not currently support IPv6.
568 Chapter 27. Services

The pfSense Book, Release
SNMP Daemon
These options dictate if, and how, the SNMP daemon will run. To turn the SNMP daemon on, check Enable. Once
Enable has been checked, the other options may then be changed.
Polling Port SNMP connections are made using only UDP, and SNMP clients default to using UDP port
161. This setting controls which port is used for the SNMP daemon, and the SNMP client or polling agent must be changed to
match.
System location This text field specifies a string to return when the system location is queried via SNMP.
Any text may be used here. For some devices a city or state may be close enough, while others may need more specific detail
such as which rack and position in which the system resides.
System contact A string defining contact information for the system. It can be a name, an e-mail address,
a phone number, or whatever is needed.
Read Community String With SNMP, the community string acts as a kind of username and password
in one. SNMP clients will need to use this community string when polling. The default value of
public is common, so we strongly recommend using a different value in addition to restricting access to the SNMP service
with firewall rules.
SNMP Traps
To instruct the SNMP daemon to send SNMP traps, check Enable. Once Enable has been checked, the other options may then be changed.
Trap server The trap server is the hostname or IP address to which SNMP traps are forwarded.
Trap server port By default, SNMP traps are set on UDP port 162. If the SNMP trap receiver is set for
a different port, adjust this setting to match.
SNMP trap string This string will be sent along with any SNMP trap that is generated.
Modules
Loadable modules allow the SNMP daemon to understand and respond to queries for more system information. Each loaded module will consume
additional resources. As such, ensure that only required modules are loaded.
MibII This module provides information specified in the standard MIB II tree, which covers networking
information and interfaces. Having this module loaded will, among other things, provides network interface information
including status, hardware and IP addresses, the amount of data transmitted and received, and much more.
Netgraph The netgraph module provides some netgraph-related information such as netgraph node
names and statuses, hook peers, and errors.
PF The pf module provides a wealth of information about pf. The MIB tree covers aspects of the ruleset,
states, interfaces, tables, and ALTQ queues.
Host Resources This module provides information about the host itself, including uptime, load average
and processes, storage types and usage, attached system devices, and even installed software. This module requires MibII,
so if MibII is unchecked when this option is checked, MibII will be checked automatically.
UCD This module provides various system information knows as the ucdavis MIB, or UCD-SNMP-MIB.
It provides information about memory usage, disk usage, running programs, and more.
Regex The Regex module is reserved for future use or use by users customizing the code to their needs.
It allows creating SNMP counters from log files or other text files.
27.7. SNMP 569

Interface Binding
This option configures the SNMP daemon to listen only on the chosen interface or virtual IP address. All interfaces with IP addresses, CARP VIPs,
and IP Alias VIPs are displayed in the drop-down list.
Binding to a specific local interface can ease communication over VPN tunnels, as it eliminates the need for the previously mentioned static route,
and it also provides extra security by not exposing the service to other interfaces. It can also improve communication over multiple local interfaces,
since the SNMP daemon will reply from the “closest” address to a source IP address and not the IP address to which the query was sent.
UPnP & NAT-PMP
Universal Plug and Play (UPnP) and NAT Port Mapping Protocol (NAT-PMP) are network services which allow software and devices to configure
each other when attaching to a network. This includes automatically creating their own dynamic NAT port forwards and associated firewall rules.
The UPnP and NAT-PMP service on pfSense, found at Services > UPnP & NAT-PMP, enables client PCs and other devices such as game
consoles to automatically allow required inbound traffic. There are many popular programs and systems which support UPnP, such as Skype,
uTorrent, mIRC, IM clients, Wii U, PlayStation 4, and XBox One. NAT- PMP is supported on Apple products.
UPnP employs the Simple Service Discovery Protocol (SSDP) for network discovery, which uses UDP port 1900. The UPnP daemon used by
pfSense, miniupnpd , also uses TCP port 2189. When using a strict LAN ruleset, manually add firewall rules to allow access to these services,
especially if the default LAN-to-any rule has been removed, or in bridged configurations. NAT-PMP is also handled by miniupnpd and uses UDP
port 5351.
UPnP & NAT-PMP and IPv6
As of this writing, the UPnP and NAT-PMP service on current versions of pfSense supports IPv6, but client support is still spotty.
Security Concerns
UPnP and NAT-PMP are a classic example of the “Security vs. Convenience” trade- off. By their very nature, these services are insecure. Any
program on the network can allow in and forward any traffic – a potential security nightmare. On the other side, it can be a chore to enter and
maintain NAT port forwards and their associated rules, especially when it comes to game consoles. There is a lot of guesswork and research
involved to find the proper ports and settings, but UPnP just works and requires little administrative effort. Manual port forwards to accommodate
these scenarios tend to be overly permissive, potentially exposing services that should not be open from the Internet. The port forwards are also
always on, where UPnP may be temporary.
Access controls exist in the UPnP service configuration, which helps to lock down which devices are allowed to make alterations. Over and above
the built-in access controls, further control may be exerted with firewall rules. When properly controlled, UPnP can also be a little more secure by
allowing programs to pick and listen on random ports, instead of always having the same port open and forwarded.
Configuration
To configure UPnP and NAT-PMP:
• Navigate to Services > UPnP & NAT-PMP
• Configure the options as follows:

Enable UPnP & NAT-PMP Master control for the entire service. When unchecked, all of the ser-
vices on this page are disabled.
Allow UPnP Port Mapping When checked, UPnP is allowed.
Allow NAT-PMP Port Mapping When checked, NAT-PMP is allowed.
External Interface The WAN interface for outgoing traffic. This must be set to the WAN containing
the default gateway. Only one External Interface may be selected.
Interfaces The local interfaces where clients allowed to use UPnP/NAT-PMP reside. When a bridge
is in use, only select the bridge interface with an IP address. Multiple interfaces may be selected.
Download Speed Maximum download speed reported to clients, in Kilobits per second.
Upload Speed Maximum upload speed reported to clients, in Kilobits per second.
Override WAN Address Selects an alternate interface IP address to use, such as a CARP or IP Alias
Virtual IP address.
Traffic Shaping Queue The name of an ALTQ (not Limiter) traffic shaping queue in which traffic
allowed through using UPnP will be placed.
Note: Exercise caution when selecting this queue. UPnP is used by traffic such as game consoles, which need high
priority, and also by file transfer clients which may need low priority.
Log Packets When checked, port forwards generated by UPnP/NAT-PMP will be set to log, so that
each connection made will have an entry in the firewall logs, found at Status > System Logs,
on the Firewall tab.
Use System Uptime By default, the UPnP daemon reports the service uptime when queried rather
than the system uptime. Checking this option will cause it to report the actual system uptime instead.
Deny Access by Default When checked, UPnP will only allow access to clients matching the access
rules. This is a more secure method of controlling the service, but as discussed above, is also less convenient.
User Specified Permissions These fields specify user-defined access rules. If the default-deny op-
tion is chosen, rules must be set to allow access. Additional rules may be added by clicking
Add Rules are formulated using the following format:
<[allow|deny]> <[external port|port range]> <[internal IP|IP/CIDR]> <[internal port|port range]>
• Click Save
The UPnP and/or NAT-PMP service will be started automatically.
UPnP User Permission Examples
Deny access to external port 80 forwarding from everything on the LAN, 192.168.1.1, with a / 24 subnet, to local port 80:
deny 80 192.168.1.1/24 80
Allow 192.168.1.10 to forward any unprivileged port:
allow 1024-65535 192.168.1.10 1024-65535
27.8. UPnP & NAT-PMP 571

Status
The status of the UPnP daemon process may be viewed at Status > Services. The Service Status page shows if the daemon is running or stopped,
and allows the service to be stopped, started or restarted. Under normal circumstances, manually managing the daemon is not necessary. A list of
currently forwarded ports and clients, similar to Figure UPnP & NAT-PMP Status Screen Showing Client PCs With Forwarded Ports , may be viewed
under Status > UPnP & NAT-PMP.
Fig. 27.2: UPnP & NAT-PMP Status Screen Showing Client PCs With Forwarded Ports
Troubleshooting
Most issues with UPnP tend to involve bridging. In this case it is important to have firewall rules allow UPnP on UDP port 1900. Since it is multicast
traffic, the destination will be the broadcast address for the subnet, or in some cases making it any will be necessary. Consult the firewall logs at Status
> System Logs, on the Firewall tab to see if traffic is being blocked. Pay particular attention to the destination address, as it may be different than
expected. Further trouble with game consoles may also be alleviated by switching to manual outbound NAT and enabling Static Port. See Static
Port for more details.
NTPD
The NTP service is a Network Time Protocol (NTP) daemon which will listen for requests from clients and allow them to synchronize their clock with
that of the pfSense firewall. By running a local NTP server and using it for local clients, it reduces the load on the lower-stratum servers and can
ensure that local systems can always reach a time server. Before delegating this task to a firewall running pfSense, the best practice is to ensure
that the firewall has an accurate clock and keeps time reasonably.
NTP and IPv6
The NTP Project daemon fully supports IPv6 as a client and a server.
NTP Server Configuration
To configure the NTP Server:
• Navigate to Services > NTP
• Configure the settings as follows:

Interface Select the interface(s) to use for NTP. The NTP daemon binds to all interfaces by default
to receive replies properly. This may be minimized by selecting at least one interface to bind, but that interface will also
be used to source the NTP queries sent out to remote servers, not only to serve clients. Deselecting all interfaces is the
equivalent of selecting all interfaces.
Time Servers A list of servers to query in order to keep the clock of this firewall synchronized.
This list is initially pulled from the entries under System > General Setup. For best results, we
recommend using at least three servers, but no more than five. Click Add to configured
additional time servers.
Prefer When checked, this NTP server entry is favored by the NTP daemon over others.
No Select When checked, this NTP server is not used for time synchronization, but
only to display statistics.
Orphan Mode Orphan mode uses the system clock when no other clocks are available, otherwise
clients will not receive a response when other servers are unreachable. The value entered here is the stratum used for Orphan
Mode, and is typically set high enough that live servers are preferred. The default value is 12.
NTP Graphs Check to enable RRD graphs for NTP server statistics.
Logging When logging options are active, NTP logs are written using syslog and may be found
under Status > System Logs, on the NTP tab.
Log Peer Messages When checked, NTP will log messages about peer events, infor-
mation, and status.
Log SystemMessages When checked, NTP will log messages about system events,
information, and status.
Statistics Logging Click Show Advanced to view these options. When enabled, NTP will
create persistent daily log files in / var/log/ntp to keep statistics data. The format of the statistics records in the log files
can be found in the ntp.conf man page
Log reference clock statistics When checked, NTP records clock driver statistics on
each update.
Log clock discipline statistics When checked, NTP records loop filter statistics on
each update of the local clock.
Log NTP Peer Statistics When checked, NTP records statistics for all peers of the
NTP daemon, along with special signals.
Leap Seconds Click Show Advanced to view these options. Defines the contents of the Leap
Second file, used by NTP to announce upcoming leap seconds to clients. This is typically used only by stratum 1
servers. The exact format of the file may be found on the IETF leap second list
• Click Save
Access Restrictions
Access restrictions (ACLs) are configured on the ACL tab under Services > NTP. These ACLs control how NTP interacts with clients.
Default Access Restrictions Control behavior for all clients by default.
27.9. NTPD 573

Kiss-o’-Death When set, NTP will send a KoD packet when an access violation occurs.
Such packets are rate limited and no more than one per second will be sent.
Modifications When set, ntpq and ntpdc queries that attempt to change the configura-
tion of the server are denied, but informational queries are returned.
Queries When set, all queries from ntpq and ntpdc are denied.
Warning: Setting this will effectively disable the NTP status page, which relies on ntpq.
Service When set, NTP will deny all packets except queries from ntpq and ntpdc.
Peer Association When set, NTP denies packets that would result in a new peer associ-
ation, including broadcast and symmetric active packets for peers without an existing association.
Trap Service When set, NTP will not provide mode 6 control message trap service, used
for remote event logging.
Custom Access Restrictions Defines the behavior for specific client addresses or subnets. Click
Add to add a new network definition.
Network/mask The subnet and mask to define the client controlled by the restrictions in
this entry.
Restrictions The option names are abbreviated versions of those in the default list, in the
same order.
Click Save to store the ACLs.
Serial GPS
If this firewall has an available serial port, a Serial GPS may be used to provide a reference clock for the firewall. If the GPS also supports a Pulse
Per Second (PPS) signal, that may also be used as a PPS clock reference.
Warning: USB GPS units may function, but we do not recommend their use due to USB timing issues. The overhead of USB makes its
unreliable as a clock or timing source.
For best results, we recommend configuring at least two NTP servers under System > General Setup or Services > NTP to avoid loss of sync if the
GPS data is not valid over time. Otherwise the NTP daemon may only use values from the unsynchronized local clock when providing time to
clients. To configure a GPS for use by NTP:
• Click the Serial GPS tab
GPS Type Select the make and model of the GPS unit. If the model is unknown, use the Default
choice. If the model is known but not listed, use Custom.
Serial Port All serial ports detected on the firewall are listed. Select the port with the GPS attached.
On-board hardware serial ports start with cuau, USB serial ports are prefixed with cuaU.
Baud Rate Enter the serial speed for the GPS, typically a low value such as 4800

NMEA Sentences By default, NTP will listen for all supported NMEA sentences. To limit this to
specific types, select them from the list.
Fudge Time 1 Specifies a constant to be added to the GPS PPS signal as an offset.
Fudge Time 2 Specifies a constant to be added to the GPS time as an offset.
Stratum Used to configure the stratum of the GPS clock. The default value is 0 so the GPS is
preferred over all others. If another clock must be preferred instead, set the stratum value higher than the stratum of the
preferred clock.
Flags These options provide additional tweaks to fine-tune the GPS behavior:
Prefer this clock Marks the reference clock as preferred by NTP.
Do not use this clock Prevents the clock from being used by NTP for time synchro-
nization, it is only displayed for reference.
PPS signal processing Enables processing of the Pulse Per Second (PPS) signal in the
GPS driver. Only enable this if the GPS is known to output a usable PPS signal.
Falling edge PPS signal processing When set, the falling edge of the PPS signal is
used for timing, rather than the rising edge.
Kernel PPS clock discipline When set, the OS Kernel will use PPS directly for timing.
Obscure location in timestamp Obscures the GPS data so the location of the clock
cannot be determined.
Log the sub-second fraction of the received time stamp When checked, this can
rapidly fill the log, but can be useful for fine tuning of Fudge Time 2. Clock ID A 1-4 character identifier used
to change the GPS Clock ID. The default value is GPS.
GPS Initialization Contains the initialization string sent to the GPS at start up to configure its be-
havior. When using the Custom GPS type, a proper initialization string for the GPS must be entered manually.
NMEA Checksum Calculator Calculates a checksum for use when crafting new GPS Initializa-
tion values or adjusting existing values.
• Click Save
PPS Source (Non-GPS)
A non-GPS PPS Source, such as a radio, may also be used for clock timing. It cannot be used for synchronization since there is no time data, but it
can be used to ensure a clock ticks accurately. To configure a Non-GPS PPS source:
• Click the PPS tab
Serial Port All serial ports detected on the firewall are listed. Select the port with the GPS attached.
On-board hardware serial ports start with cuau, USB serial ports are prefixed with cuaU.
Fudge Time 1 Specifies a constant to be added to the PPS signal as an offset, to account for delay
between the transmitter and receiver.
27.9. NTPD 575

Stratum Used to configure the stratum of the PPS source. The default value is 0 so the PPS source
is preferred over all others. If another clock must be preferred instead, set the stratum value higher than the stratum of
the preferred clock.
Flags
Falling edge PPS signal processing When set, the falling edge of the PPS signal is
used for timing, rather than the rising edge.
Kernel PPS clock discipline When set, the OS Kernel will use PPS directly for timing.
Record a timestamp Record a timestamp once for each second, which is useful for
constructing Allan deviation plots.
Clock ID A 1-4 character identifier used to change the PPS Clock ID. The default value is PPS.
• Click Save
Status
The NTP status page shows the status of each NTP peer server. This status page can be found at Status > NTP. An example of the status is shown
in Figure NTP Daemon Status With GPS Output .
Fig. 27.3: NTP Daemon Status With GPS Output
The status screen contains one line for every peer, and lists the peer IP address or server ID, the reference clock ID for the peer and various other
values that indicate the general quality of the NTP server from the perspective of this firewall. The first column is the most useful, as it indicates
which peer is currently the active peer for time sync, which servers are potential candidates to be peers, and which servers have been rejected and
why. If a serial GPS is connected and configured, the coordinates reported by the GPS device are also listed, along with a link to the coordinates on
Google Maps.
Note: The quality of GPS data can vary widely depending on the signal level, the GPS device, and how it is connected. Traditional serial ports are
higher quality and better suited to GPS clock usage. USB serial GPS units may be acceptable, but due to how USB functions, the timing of signals
cannot be guaranteed the way it can be with a traditional hard-wired serial port.

Wake on LAN
The Wake on LAN (WOL) page at Services > Wake on LAN can wake up computers from a powered-off state by sending special “Magic Packets”.
The network interface card in the client computer that is to be woken up must support WOL and it must be configured properly. Typically there is a
BIOS setting to enable WOL, and non-integrated adapters often require a WOL cable connected between the NIC and a WOL header on the
motherboard.
WOL has many potential uses. Typically, workstations and servers are kept running because of services they provide, files or printers they share, or
for convenience. Using WOL would allow these to remain in a sleep state to conserve power. When a service is required, the system can be woken
up when needed. Another example would be if someone needs remote access to a system, but the user shut it down before leaving the office. Using
WOL the target system can be awoken, and it may then be accessed once it has booted.
Warning: WOL offers no inherent security. Any system on the same layer 2 network may transmit aWOL packet, and the packet will be
accepted and obeyed. It is best to only configure WOL in the BIOS for machines that need it, and disable it in all others. There are some
vendor-specific WOL extensions that provide extra security, but nothing universally supported.
Wake Up a Single Machine
To wake up a single machine:
• Navigate to Services > Wake on LAN
• Select the Interface through which the target system can be reached
• Enter the target system MAC address in the format of xx:xx:xx:xx:xx:xx
• Click Send
pfSense will transmit a WOL Magic Packet out the chosen interface, and if everything went as planned, the system will power on and start to boot.
Keep in mind that systems will take some time to boot. It may be several minutes before the target system is available.
Storing MAC Addresses
To store a MAC address for convenience:
• Click Add under the list of stored MAC addresses to add a new entry
• Select the Interface through which the target system can be reached
• Enter the target system MAC address in the format of xx:xx:xx:xx:xx:xx
• Enter a Description for the entry, such as the target system’s name, owner, or location. For example: “Pat’s PC” or “Sue’s Server”
• Click Save
Once saved, the entry will be available on the list at Services > Wake on LAN.
Maintaining the entries is similar to other tasks in pfSense: Click to edit an existing entry, and click to
remove an entry.
27.10. Wake on LAN 577

Wake a Single Stored Machine
To send a WOL Magic Packet to a system that has been previously stored:
• Locate the desired entry in the list
• Click its MAC address or click the icon in the Actions column
The WOL page will reload, and the Magic Packet will be sent. The status of the WOL attempt will also be displayed.
Wake All Stored Machines
To send a WOL Magic Packet to all stored systems at once:
• Click Wake All Devices under the list of stored addresses.
Wake from DHCP Leases View
To send a WOL Magic Packet from the DHCP Leases view:
• Navigate to Status > DHCP Leases
• Locate the desired system in the list
• Click at the end of the lease row to send a WOL Magic Packet
Note: The WOL function is only available for systems marked offline, meaning they are not in the ARP table on the firewall. If a system was very
recently powered off, it can take a few minutes for the ARP entry to expire before it will be marked offline.
If a system has been powered off for quite some time, clicking Show all configured leases might be required to
see the previous lease.
When the link is clicked, the browser will return to the WOL page, and the Magic Packet will be sent.
Save from DHCP Leases View
A MAC address and hostname may be copied to a new WOL mapping entry while viewing the DHCP leases.
• Navigate to Status > DHCP Leases
• Locate the desired system in the list
• Click at the end of lease entry
• Confirm the values on the page, and enter any missing information.
• Click Save

PPPoE Server
pfSense can act as a PPPoE server, accepting and authenticating connections from PPPoE clients on a local interface, in the role of an access
concentrator (LAC). This feature can be used to force users to authenticate before gaining network access, or otherwise control their login behavior.
The PPPoE Server is located at Services > PPPoE Server. The configuration is very similar to the L2TP VPN server ( L2TP VPN ).
Multiple PPPoE servers may be configured on separate interfaces. To begin setting up a PPPoE server:
• Navigate to Services > PPPoE Server
• Click Add to add a new server entry
• Configure the PPPoE Server as follows:
Enable When checked, this PPPoE Server instance will be active.
Interface The single interface upon which PPPoE service will be available.
Total User Count Determines how many clients in total are allowed to connect to this instance.
User Max Logins Determines how many times a single client may login concurrently.
Server Address The IP address which the pfSense system will send to the PPPoE clients to use as
their gateway.
Warning: This IP address must not be an IP address currently in use on the firewall.
Remote Address Range The IP address for the start of the PPPoE client subnet. Together with the
Subnet Mask it defines the network used by the PPPoE clients.
Subnet Mask Defines the CIDR mask assigned to PPPoE clients.
Description Optional explanatory text for this server instance.
DNS Servers Optional fields used to send specific DNS servers to the PPPoE clients, otherwise the
firewall IP address will be sent to the client for DNS if the DNS Forwarder or DNS Resolver are enabled. If the DNS
Forwarder and DNS Resolver are both disabled, then the DNS servers configured on the firewall will be sent instead.
• Configure RADIUS if that will be utilized for user authentication. Any RADIUS server may be used.
See also:
See RADIUS Authentication with Windows Server for information on setting up RADIUS on a Windows server.
Use RADIUS Authentication Check to configure the PPPoE server to use at least one RADIUS
server for Authentication instead of local users.
Use RADIUS Accounting Optional, sends RADIUS accounting data to the RADIUS server to note
items such as login and logout times, and bandwidth used.
Use a Backup RADIUS Authentication Server A second RADIUS server to use if the primary
RADIUS server fails.
NAS IP Address Optional, sends a specific IP address to the RADIUS server for the NAS-IP-
Address attribute.
RADIUS Accounting Update The interval at which accounting data is sent to the RADIUS server,
in seconds.
27.11. PPPoE Server 579

RADIUS Issued IP Addresses When checked, IP addresses can be assigned to users via RADIUS
reply attributes.
Primary RADIUS Server The preferred RADIUS server to use for Authentication.
IP Address The IP address of the RADIUS server
Authentication Port The port used for authentication (typically 1812)
Accounting Port The port used for accounting data (typically 1813)
Primary RADIUS Server Shared Secret The shared secret configured for this firewall on the RA-
DIUS server. The same value must be entered in the Confirm box.
Secondary RADIUS Server Same type of settings as the primary, but defines the secondary RA-
DIUS server.
• Add users to the server to utilize local authentication:
– Click Add User Username The username for the
user account
Password The password for the user account
IP Address An optional static IP address to assign the user at login
– Repeat as needed
• Click Save
IGMP Proxy
The Internet Group Management Protocol (IGMP) Proxy provides a means to proxy multicast traffic between network segments.
The IGMP Proxy service can be found at Services > IGMP Proxy.
For a working IGMP Proxy configuration, one upstream and at least one downstream interface must be defined. To configure the IGMP
Proxy:
• Navigate to Services > IGMP Proxy
• Click Add to create a new interface instance
• Configure the instance as follows:
Interface The interface to be used for this instance
Description Optional text to describe this instance
Type The type of network interface defined by this instance
Upstream Interface The outgoing interface which is responsible for communicating

to available multicast data sources. There can only be one upstream interface.
Downstream Interface The distribution interfaces to the destination networks, where

multicast clients can join groups and receive multicast data. One or more downstream interfaces must be
configured.

Threshold The TTL threshold for forwarded data on an interface, to prevent looping from occurring.
Packets with a TTL lower than the value in this field will be ignored. The default TTL is 1 if the field is left blank.
Networks A list of CIDR-masked Network entries to control what subnets are allowed to have their
multicast data proxied. Click Add Network to enter additional networks.
– Click Save
A firewall rule is also required on the Downstream side (e.g. LAN) to match and pass the multicast traffic. In the
Advanced Options of the firewall rule, Allow packets with IP Options must be enabled.
The base install of pfSense includes services which add fundamental functionality and flexibility to the firewall. The topics in this chapter discuss
services in the base system that the router provides for other hosts on the network. These services include allocating IPv4 and IPv6 addresses via
DHCP, DNS resolution and Dynamic DNS, SNMP, UPnP and more. Additional services can also be added with packages, which will be covered
later in the book.
27.12. IGMP Proxy 581


CHAPTER
TWENTYEIGHT
SYSTEM MONITORING
System Logs
pfSense logs a lot of data by default, but does so in a manner that will not overflow the storage on the firewall. The logs can be viewed in the GUI
under Status > System Logs and under / var/log/ on the file system. Some components such as DHCP and IPsec generate enough logs that they
have their own logging tabs to reduce clutter in the main system log and to ease troubleshooting for these individual services. To view other logs,
click the tab for the subsystem to view. Certain areas, such as System, and VPN, have sub-tabs with additional related options. pfSense logs are
contained in a binary circular log format called clog. These files are a fixed size and never grow. As a consequence of this, the log will only hold a
certain amount of entries and the old entries are continually pushed out of the log as new entries are added. If log retention is an issue for an
organization, the logs can be copied to another server with syslog where they may be permanently retained or rotated with less frequency. See Remote
Logging with Syslog later in this chapter for information about syslog.
On normal full installations where logs are kept on disk, they are retained across reboots. For NanoBSD installations or when / var is in a RAM disk,
the logs reset at boot time.
Viewing System Logs
The system logs can be found under Status > System Logs, on the System tab. This will include log entries generated by the host itself in addition to
those created by services and packages which do not have their logs redirected to other tabs/log files.
As shown by the example entries in Figure Example System Log Entries , there are log entries from several different areas in the main system log.
Many other subsystems will log here, but most will not overload the logs at any one time. Typically if a service has many log entries it will be moved
to its own tab and log file.
Filtering Log Entries
Every log can be searched and filtered to find entries matching a specified pattern. This is very useful for tracking down log messages from a
specific service or log entries containing a specific username, IP address, and so on. To search for log entries:
• Navigate to Status > System Logs and then the tab for the log to search
• Click in the breadcrumb bar to open the Advanced Log Filter panel
• Enter the search criteria, for example, place some text or a regular expression in the Message field
583
Fig. 28.1: Example System Log Entries
• Click Apply Filter
The filtering fields vary by log tab, but may include:
Message The body of the log message itself. A word or phrase may be entered to match exactly, or use
Regular Expressions to match complex patterns.
Time The timestamp of the log message. Uses month names abbreviated to three letters.
Process The name of the process or daemon generating the log messages, such as sshd or
check_reload_status.
PID The process ID number of a running command or daemon. In cases where there are multiple copies
of a daemon running, such as openvpn, use this field to isolate messages from a single instance.
Quantity The number of matches to return in filter results. Setting this value higher than the number of
log entries in the log file will have no effect, but setting it higher than the current display value will temporarily show more log
messages. The Firewall log tab has a different set of filtering fields:
Source IP Address The source IP address listed in the log entry.
Destination IP Address The destination IP address listed in the log entry.
Pass Check this option to only match log entries that passed traffic.
Block Check this option to only match log entries that blocked traffic.
Interface The friendly description name of the interface to match (e.g. WAN, LAN, OPT2, DMZ)
Source Port The source port of the log entry to match, if the protocol uses ports.
Destination Port The destination port of the log entry to match, if the protocol uses ports.
Protocol The protocol to match, such as TCP, UDP, or ICMP.
Protocol Flags For TCP, this field matches the TCP flags on the log entry, such as SA ( SYN+ACK) or
FA ( FIN+ACK)
The filter pane is hidden by default but it can be included on the page at all times by checking Log Filter under System
> General Setup.
584 Chapter 28. System Monitoring

Changing Log Settings
Log settings may be adjusted in two different ways. First, the options can be set globally at Status > System Logs
on the the Settings tab. Second, each log tab can have its own unique settings which override the global defaults. To
change these settings click in the breadcrumb bar while viewing a log. Each of these methods will be explained
in detail in this section.
The global options area contains more options than the per-log settings. Only differences will be covered in detail for the per-log settings.
Global Log Settings
The global log options under Status > System Logs on the the Settings tab include:
Forward/Reverse Display By default the logs are displayed in their natural order with the oldest entries
at the top and the newest entries at the bottom. Some administrators prefer to see the newest entries at the top, which can be
accomplished by checking this box to flip the order.
GUI Log Entries The number of log entries to display in the log tabs of the GUI by default. This does not
limit the number of entries in the file, only what is shown on the page at the time. The default value is 50. The actual log files
may contain much more than the number of lines to display, depending on the Log File Size. Log File Size (Bytes) The size of
the clog file. The size of the file directly controls how many entries
it can contain. The default log size is approximately 500,000 bytes (500KB). There are roughly 20 log files, so any increase in
file size will result in 20 times larger total disk utilization from logs. The current total log size and remaining disk space are
displayed for reference. At the default size, the logs will hold about 2500 entries on average but it may be significantly more
or less depending on the size of individual log entries.
Warning: The new log size will not take effect until a log is cleared or reinitialized. This may
be done individually from each log tab or it can be done for all logs using the Reset Log
Files button on this page.
Log Packets from Default Block Rules Checked by default. When enabled, the default deny rule,
which blocks traffic not matched by other rules, will log entries to the firewall log. Typically these log entries are beneficial,
but in certain rare use cases they may produce undesirable log entries that are made redundant by custom block rules with
logging enabled.
Log Packets from Default Pass Rules Unchecked by default. When set, logging will occur for packets
matching the default pass out rules on interfaces in pfSense. Setting this option will generate a large amount of log data for
connections outbound from the firewall. We only recommend enabling this for brief periods of time while performing
troubleshooting or diagnostics.
Log Packets from Block Bogon Networks Rules Checked by default. When checked, if an interface
has Block Bogon Networks active, packets matching that rule will be logged. Uncheck to disable the logging.
Log Packets from Block Private Networks Rules Checked by default. When checked, if an interface
has Block Private Networks active, packets matching that rule will be logged. Uncheck to disable the logging.
Web Server Log When checked, log messages from the Web GUI process, nginx, will be placed in the
main system log. On occasion, especially with Captive Portal active, these messages can be frequent but irrelevant and clutter
the log contents.
28.1. System Logs 585

Raw Logs When checked, this setting disables log parsing, displaying the raw contents of the logs in-
stead. The raw logs contain more detail, but they are much more difficult to read. For many logs it also stops the GUI from
showing separate columns for the process and PID, leaving all of that information contained in the Message column.
IGMP Proxy Toggles the verboseness of the IGMP proxy logs. By default, the logs do not contain much
information. Enabling this option causes IGMP proxy to log more detail.
Show Rule Descriptions Controls if, and where, the firewall log display will show descriptions for the
rules that triggered entries. Displaying the rule descriptions causes extra processing overhead that can slow down the log
display, especially in cases where the view is set to show a large number of entries.
Don’t load descriptions The current default. When selected this choice will not display
any rule descriptions. The description may still be viewed by clicking the action column icon in the firewall
log view.
Display as column Adds the rule description in a separate column. This works best if the
descriptions are short, or the display is wide.
Display as second row Adds a second row to each firewall log entry containing the rule
description. This choice is better for long rule descriptions or narrow displays.
Tip: If the firewall logs display slowly with rule descriptions enabled, select Don’t load descriptions
for faster performance.
Local Logging When checked, local logs are not retained. They are not written to disk nor are they
kept in memory. While this saves on disk writes, it necessitates the use of remote logging so that information is not lost. We
do not recommend using this option as having local logs is vital for the vast majority of use cases.
Reset Log Files This button will clear the data from all log files and reinitialize them as new, empty logs.
This must be done after changing the log file sizes, and can also be used to clear out irrelevant/old information from logs if
necessary.
Warning: Resetting the log files will not save the other options on the page. If options on this page have been changed,
click Save before attempting to reset the log files.
Click Save to store the new settings. The remaining options on this screen are discussed in Remote Logging with Syslog .
Per-Log Settings
To change per-log settings, visit the log tab to change and then click in the breadcrumb bar to expand the settings
panel.
On this panel, several options are displayed. Most of the options will show the global default value or have a General Logging Options Settings choice
which will use the global value and not the per-log value. The per-log settings panel for each tab only displays options relevant to that log. For
example, the options to log default block or pass rules are displayed only when viewing the Firewall log tab. Each per-log settings panel has at least
the following options: Forward/Reverse Display, GUI Log Entries, Log File Size (Bytes), and Formatted/Raw Display. For each of these, a value
which will only apply to this log may be set. For more information on how these options work, see Global Log Settings above. Click Save to store
the new log settings.

Note: If the log file size was changed, after saving, open the settings panel again and click the Clear Log button
to reset the log using the new size.
Remote Logging with Syslog
The Remote Logging options under Status > System Logs on the Settings tab allow syslog to copy log entries to a remote server.
The logs kept by pfSense on the firewall itself are of a finite size and they are cleared on reboot on NanoBSD. Copying these entries to a syslog
server can aid troubleshooting and enable long-term monitoring. Having a remote copy can also help diagnose events that occur before a firewall
restarts or after they would have otherwise been lost due to clearing of the logs or when older entries are cycled out of the log, and in cases when
local storage has failed but the network remains active.
Warning: Corporate or local legislative policies may dictate the length of time logs must be retained fromfirewalls and similar devices. If an
organization requires long-term log retention for their own or government purposes, a remote syslog server is required to receive and retain
these logs.
To start logging remotely:
• Navigate to Status > System Logs on the Settings tab
• Check Send log messages to remote syslog server
• Configure the options as follows:
Source Address Controls where the syslog daemon binds for sending out messages. In most cases,
the default ( Any) is the best option, so the firewall will use the address nearest the target. If the destination server is across an
IPsec VPN, however, choosing an interface or Virtual IP address inside the local Phase 2 network will allow the log
messages to flow properly over a tunnel.
IP Protocol When choosing an interface for the Source Address, this option gives the syslog daemon
a preference for either using IPv4 or IPv6, depending on which is available. If there is no matching address for the selected
type, the other type is used instead.
Remote Log Servers Enter up to three remote servers using the boxes contained in this section. Each
remote server can use either an IP address or hostname, and an optional port number. If the port is not specified, the default syslogd
port, 514, is assumed.
A syslog server is typically a server that is directly reachable from the pfSense firewall on a local interface. Logging can also
be sent to a server across a VPN.
Warning: Do not send log data directly across any WAN connection or unencrypted site-to-site link, as it is plain text and
could contain sensitive information.
Remote Syslog Contents The options in this section control which log messages will be sent to the
remote log server.
Everything When set, all log messages from all areas are sent to the server.
System Events Main system log messages that do not fall into other categories.
Firewall Events Firewall log messages in raw format. The format of the raw log is cov-
ered on the documentation wiki article on the Filter Log Format
28.2. Remote Logging with Syslog 587

DNS Events Messages from the DNS Resolver ( unbound), DNS Forwarder
( dnsmasq), and from the filterdns daemon which periodically resolves hostnames in aliases.
DHCP Events Messages from the IPv4 and IPv6 DHCP daemons, relay agents, and
clients.
PPP Events Messages from PPP WAN clients (PPPoE, L2TP, PPTP)
Captive Portal Events Messages from the Captive Portal system, typically authentication
messages and errors.
VPN Events Messages from VPN daemons such as IPsec and OpenVPN, as well as the
L2TP server and PPPoE server.
Gateway Monitor Events Messages from the gateway monitoring daemon, dpinger
Routing Daemon Events Routing-related messages such as UPnP/NAT-PMP, IPv6 rout-

ing advertisements, and routing daemons from packages like OSPF, BGP, and RIP.
Server Load Balancer Events Messages from relayd which handles server load bal-
ancing.
Network Time Protocol Events Messages from the NTP daemon and client.
Wireless Events Messages from the Wireless AP daemon, hostapd.
• Click Save to store the changes.
If a syslog server is not already available, it is fairly easy to set one up. See Syslog Server on Windows with Kiwi Syslog for information on setting
up Kiwi Syslog on Windows. Almost any UNIX or UNIX-like system can be used as a syslog server. FreeBSD is described in the following section,
but others may be similar.
Configuring a Syslog Server on FreeBSD
Setting up a syslog server on a FreeBSD server requires only a couple steps. In this example, replace
192.168.1.1 with the IP address of the firewall, replace exco-rtr with the hostname of the firewall, and replace
exco-rtr.example.com with the full hostname and domain of the firewall. This example uses 192.168.1.1
because the best practice is to send syslog messages using the internal address of a firewall, not a WAN interface.
Note: These changes must all be made on the syslog server, not on the firewall.
First, the firewall will likely need an entry in / etc/hosts containing the address and name of the firewall:
192.168.1.1 exco-rtr exco-rtr.example.com
Then adjust the startup flags for syslogd to accept syslog messages from the firewall. Edit / etc/rc.conf and add this line if it does not exist, or add
this option to the existing line for the setting:
syslogd_flags = " -a 192.168.1.1"
Lastly, add lines to / etc/syslog.conf to catch log entries from this host. Underneath any other existing entries, add the following lines:
!*
+*
+ exco-rtr
* . * /var/log/exco-rtr.log

Those lines will reset the program and host filters, then set a host filter for this firewall using the short name as entered in / etc/hosts.
Tip: Look at / etc/syslog.conf on the pfSense firewall for ideas about filtering the logs for various services into separate log files on the syslog server.
After these changes, syslogd must be restarted . On FreeBSD this is one simple command:
# service syslogd restart
Now look at the log file on the syslog server and if the configuration is correct, it will be populating the logs with entries as activity happens on the
firewall.
Dashboard
The main page of the firewall is the Dashboard. The Dashboard page provides a wealth of information that can be seen at a glance, contained in
configurable widgets. These widgets can be added or removed, and dragged around into different positions.
Managing Widgets
Each widget follows some basic conventions for controlling its position, size, settings, and so on, the mechanics of which are covered here in this
section.
Adding and Removing Widgets
To start adding widgets, click the button in the Dashboard controls area of the breadcrumb bar to display the list
of available widgets. See Dashboard Controls in the Breadcrumb Bar .
Fig. 28.2: Dashboard Controls in the Breadcrumb Bar
Inside the Available Widgets panel, click on the name of a widget to add it to the Dashboard (See Available Widgets List ). The dashboard will reload
with the new widget displayed in one of its columns.
To close and remove a widget from the Dashboard, click the button in its title bar, as seen in Figure Widget Title
Bar , then click in the dashboard controls.
Rearranging Widgets
Widgets can be rearranged and moved between columns. To move a widget, click and drag its title bar (Figure Widget Title Bar ), move the mouse to
the desired position, and then release. As the widget is moved it will “snap” into its new
28.3. Dashboard 589

Fig. 28.3: Available Widgets List
Fig. 28.4: Widget Title Bar
position, so the new location may be previewed before releasing the mouse button. After positioning a widget, click
in the dashboard controls ( Dashboard Controls in the Breadcrumb Bar ).
Minimizing Widgets
To minimize a widget so it hides its content and only shows up as its title bar, click the button in its title bar, as
seen in Figure Widget Title Bar . To restore the widget to its normal display, click the button. After changing the
widget status, click in the dashboard controls ( Dashboard Controls in the Breadcrumb Bar ).
Changing Widget Settings
Some widgets have customizable settings that control how their content is displayed or updated. If a widget has
settings, the button will show up in its title bar as seen in Figure Widget Title Bar . Click that button and the
settings for the widget will appear. Once the settings have been adjusted, click the Save button inside of the widget settings panel.
Available Widgets
Each widget contains a specific set of data, type of information, graph, etc. Each of the currently available widgets will be covered in this section,
along with their settings (if any). These are listed in alphabetical order.
Captive Portal Status
This widget shows the current list of online captive portal users, including their IP address, MAC address, and username.

Estado CARP
CARP el widget de estado muestra una lista de todas las direcciones IP virtuales de tipo carpa, junto con su estado como maestro o BACKUP.
DNS Dinámico
El widget de DNS dinámico muestra una lista de todos los nombres de host con fi gurada de DNS dinámico, su dirección actual y el estado.
gateways
Las puertas de enlace flash listas de todas las puertas de enlace del sistema, junto con su estado actual. La información de estado se compone de la dirección IP de la pasarela, Round
Trip Time (RTT), también conocido como retraso o latencia, la cantidad de pérdida de paquetes, y el estado (en línea, de advertencia, hacia abajo, o con la recopilación de datos). Los
widgets se actualiza cada pocos segundos a través de AJAX.
gmirror Estado
Este widget muestra el estado de una matriz gmirror RAID en el sistema, si uno está con fi gurado. El widget se mostrará si la matriz está en línea / OK
(completa), reconstrucción o degradado.
Los paquetes instalados
Los paquetes instalados flash listas de todos los paquetes instalados en el sistema, junto con alguna información básica acerca de ellos, tales como la
versión instalada y si hay una actualización disponible.
Cuando un paquete tiene una actualización disponible, se muestra al lado del número de versión. Los paquetes pueden ser actualizados desde
este widget haciendo clic en el botón al final de la fila de un paquete.
Los paquetes también pueden ser reinstalados haciendo clic o eliminado haciendo clic .
Estadísticas de la interfaz
Este widget de muestra una cuadrícula, con cada interfaz en el sistema mostrado en su propia columna. Varios estadísticas de la interfaz se muestran en cada fila, incluyendo
paquetes, bytes, y los recuentos de error.
Interfaces
los Interfaces difiere widget de la Estadísticas de la interfaz Widget en que muestra información general sobre la interfaz en lugar de los contadores. los Interfaces Elemento
muestra el tipo y nombre de cada interfaz, la dirección IPv4, la dirección IPv6, el estado del enlace de interfaz (arriba o abajo), así como la velocidad de enlace
cuando esté disponible.
IPsec
El widget de IPsec tiene tres pestañas: La pestaña de primera, Visión de conjunto, es un recuento de túneles activos e inactivos. La segunda pestaña,
Estado del túnel, listas de cada sido con fi gurado túnel IPsec y si ese túnel es hacia arriba o hacia abajo. La última pestaña, Móvil, muestra el acceso remoto de usuarios
VPN IPsec, tales como los que utilizan IKEv2 o Xauth.
28.3. Tablero 591

Equilibrador de carga de estado
Este widget muestra una vista compacta de la configuración del servidor de equilibrio de carga. Cada fila muestra el estado de un servidor virtual. los Servidor columna
muestra el nombre del servidor, el estado y la dirección IP virtual con puerto donde el servidor virtual está aceptando conexiones. los Piscina columna muestra los servidores
individuales de la piscina y su estado, con un porcentaje de tiempo de actividad. los Descripción columna muestra la descripción de texto desde el servidor virtual.
Registros de firewall
los Registros de firewall Reproductor proporciona una vista AJAX-actualización del registro de fi cortafuegos. El número de filas que se muestran por el widget es con fi gurable. Al
igual que con la vista normal de registro fi cortafuegos, haga clic en el icono de acción junto a la entrada de registro mostrará una ventana que muestra la regla que provocó la
entrada de registro. Al hacer clic en la dirección IP de origen o destino copiará a ese valor Diagnóstico> DNS donde la dirección se puede resolver.
NTP Estado
los NTP Estado Reproductor muestra la fuente de corriente de sincronización NTP y la hora del servidor de esa fuente.
OpenVPN
los OpenVPN widget muestra el estado de cada instancia con fi gura OpenVPN, tanto para los servidores y clientes. El estado de cada ejemplo se muestra, pero el
estilo y el tipo de información que se muestra varía en función del tipo de conexión OpenVPN. Por ejemplo, los servidores SSL / TLS basados muestran una lista de
todos los clientes conectados. Para los clientes claves estáticas y servidores, se muestra un estatus arriba / abajo. En cada caso se muestra la dirección IP del cliente
que se conecta con el nombre y la hora de la conexión.
Imagen
los Imagen flash, como su nombre indica, muestra una imagen elegida por el usuario. Esto se puede utilizar ya sea funcionalmente, para un diagrama de red o similares, o
puede ser por el estilo, que muestra un logotipo de la empresa u otra imagen. Para añadir una imagen:
• Hacer clic en la barra de título del widget Imagen
• Hacer clic Vistazo para localizar la imagen para subir
• Hacer clic Subir para cargar la foto
El tamaño de la imagen se ajustará a encajar la zona del widget, que puede variar dependiendo del tamaño del navegador y plataforma.
RSS
El RSS (RDFSite Resumen, o como se le llama a menudo, sindicación realmente simple) widget se mostrará una fuente de alimentación arbitraria. Por defecto, se muestra el
pfSense blog de fuentes RSS. Algunas personas optan por mostrar los canales RSS internos de la empresa o en el sitio de seguridad RSS, pero puede cargar cualquier fuente RSS.
Además de la de fi nición de los canales RSS para mostrar, el número de historias y el tamaño de contenido que se muestra también con fi g- urable.
592 Capítulo 28. Sistema de Monitoreo

servicios Estado
Este widget de proporciona la misma vista y control de los servicios que aparece debajo Estado> Servicios. Cada servicio se muestra junto con su descripción, el
estado (Running, Stopped), y de inicio / reinicio / parada controles.
estado SMART
Si inteligente está activado en una unidad en el cortafuego, este widget mostrará un breve estado de la integridad de la unidad según lo informado por SMART
Información del sistema
Este widget es el widget principal, mostrando una amplia gama de información sobre el sistema en funcionamiento. La información que se muestra incluye:
Nombre La con fi gurado totalmente cuali hostname fi ed del cortafuego.
Versión La versión actual en ejecución de pfSense en el cortafuego. La versión, la arquitectura y el tiempo de construcción
se muestran en la parte superior. Bajo el tiempo de construcción, se muestra la versión subyacente de FreeBSD. En virtud de esos artículos es el resultado de una
comprobación de actualización automática para una versión más reciente de pfSense (solamente la instalación completa). Esta comprobación de actualización
automática se puede desactivar en la configuración de actualización.
Plataforma La plataforma indica el cual la variación de pfSense se está ejecutando. Una instalación completa mostrará pfSense,
instalación incorporada muestra NanoBSD.
rebanada de arranque NanoBSD Si se trata de una instalación incrustada, también se muestra el corte en ejecución ( pfsense0 o pf-
SENSE1), junto con la rebanada que se utilizará para el siguiente inicio.
Tipo de CPU El tipo de CPU que se muestra es la cadena de versión para el procesador, tal como “Intel (R) Atom (TM)
C2758 CPU @ 2.40GHz”. También se muestra el número de CPU y presentación de embalaje / núcleo. Si powerd está activo y la frecuencia de
la CPU se ha reducido, entonces la frecuencia actual se muestra a lo largo de tamaño la frecuencia máxima.
criptográfica de hardware Si se ha detectado un acelerador de hardware criptográfico conocido, se mostrará

aquí.
el tiempo de actividad Este es el tiempo transcurrido desde el cortafuego se reinició el pasado.
fecha / hora actual La fecha y hora actuales del cortafuego, incluyendo la zona horaria. Esto es útil para
la comparación de las entradas de registro, especialmente cuando la zona horaria en el cortafuego es diferente de donde el usuario reside.
Server (s) DNS Lista todos los de la fi gura con los servidores DNS en el cortafuego.
Último cambio con fi g La fecha de la última con fi guración cambiar en el cortafuego.
tamaño de la tabla Estado Muestra una representación gráfica y numérica de los estados activos y la máxima po-
estados bles como con fi gura en el cortafuego. Debajo de los recuentos de estado es un enlace para ver el contenido de la tabla de estado.
el uso de la MBUF Muestra el número de grupos de red de búfer de memoria en uso, y el máximo del sistema
tiene disponible. Estos buffers de memoria de red se utilizan para operaciones de red, entre otras tareas. Si el número es cercano al
máximo o en el máximo, aumentar el número de mbufs disponibles como se describe en Sintonización de hardware y solución de
problemas .
Promedio de carga Es un recuento de cuántos procesos activos se están ejecutando en el cortafuego durante los últimos 5, 10,
y 15 minutos. Esto es típicamente 0,00 en un sistema en reposo o con poca carga.
28.3. Tablero 593

uso de CPU Un gráfico de barras y el porcentaje de tiempo de CPU en uso por el cortafuego. Tenga en cuenta que la visualización del salpicadero
Junta aumentará el uso de la CPU un poco, dependiendo de la plataforma. En las plataformas más lentas como ALIX esto es probable que lea
significativamente mayor de lo que sería de otra manera.
Uso de memoria La cantidad actual de memoria RAM en uso por el sistema. Tenga en cuenta que la memoria RAM no utilizada es a menudo
asignado para el almacenamiento en caché y otras tareas por lo que no se desperdicia o inactivos, por lo que este número puede mostrar mayor de lo esperado,
incluso si está funcionando normalmente.
el uso del intercambio La cantidad de espacio de intercambio en uso por el sistema. Si el sistema se queda sin memoria RAM física,
y hay espacio de intercambio disponible, páginas usadas con menos frecuencia de la memoria que pueden ser llamados a la permuta fi l en el disco duro. Este
indicador sólo muestra cuando el sistema tiene espacio de intercambio con fi gurada, que sólo estará en las instalaciones nuevas.
Uso del disco La cantidad de espacio utilizado en el disco de arranque o medios de almacenamiento. El tipo y la ubicación de
sistemas de ficheros fi montadas se muestran, incluyendo discos de memoria cuando está presente.
Los sensores térmicos
los Los sensores térmicos widget muestra la temperatura de los sensores soportados cuando está presente. Para muchos chips basados en AMD Intel y populares,
los sensores pueden ser activados mediante la elección del tipo de sensor adecuado bajo Sistema> Avanzado sobre el Diverso lengüeta debajo Los sensores térmicos
Una barra se muestra para cada sensor, que típicamente corresponde a cada núcleo de CPU. La advertencia y umbrales críticos pueden ser con fi gurada en la
configuración del widget.
Traf fi c gráficos
La fi Traf c widget de gráficos contiene un gráfico SVG vivo para el tráfico c en cada interfaz. Las interfaces que se muestran son con gurable fi en la configuración del widget. La
frecuencia de actualización predeterminada de los gráficos es una vez cada 10 segundos, pero que también se puede ajustar en la configuración de este widget. Los gráficos se
elaboran de la misma manera como las que se encuentran bajo Estado de trá fi co Gráfico.
Activación de la LAN
El Wake on LAN widget de muestra todas las entradas WOL con fi gura en Servicios de activación de la LAN, y ofrece un medio rápido para enviar el paquete
mágico a cada sistema con el fin de activarlo. También se muestra el estado actual de un sistema. A
despertar un sistema, haga clic junto a su entrada.
Estado de la interfaz
El estado de las interfaces de red se puede ver en Estado> Interfaces. En la primera parte de la figura Estado de la interfaz , una conexión WAN DHCP se ha
hecho y el IPv4 e IPv6, DNS, etc se han obtenido de forma automática. La dirección MAC, tipo de medio, de entrada / salida de paquetes, errores y colisiones
para la interfaz de red son todos visibles. tipos de conexión dinámicos como PPPoE y PPTP tienen una Desconectar botón cuando está conectado y una Conectar
botón cuando de ine fi. Interfaces para obtener una dirección IP de DHCP tienen una Lanzamiento botón cuando hay una concesión activa, y una Renovar
botón cuando no lo hay.
En la parte inferior de la imagen, la conexión a internet es visible. Dado que esta es una interfaz normal con una dirección IP estática, se muestran sólo el juego habitual de
artículos.
Si un estado de la interfaz indica “ninguna compañía”, entonces por lo general significa que el cable no está conectado o el dispositivo en el otro extremo está funcionando
mal de alguna manera. Si se muestran los errores, por lo general son de naturaleza física: el cableado o

errores en el puerto. El sospechoso es más común cables, y son fáciles y baratos de reemplazar. En algunas circunstancias, los errores y las colisiones pueden aparecer debido a una
velocidad de enlace o desajuste dúplex. Ver Velocidad y dúplex para más información sobre el establecimiento de velocidad y dúplex de una interfaz.
Estado del servicio
Muchos servicios del sistema y el paquete muestran el estado de sus demonios en Estado> Servicios.
Cada servicio se muestra con un nombre, una descripción, y el estado, como se ve en la figura servicios Estado . El estado se muestra como Corriendo o Detenido.
Normalmente, no es necesario para controlar los servicios de esta manera, pero ocasionalmente hay razones de mantenimiento o para depurar fallos para hacerlo.
Desde este punto de vista, los servicios se pueden controlar de varias maneras:
• Hacer clic para reiniciar un servicio en ejecución
• Hacer clic para detener un servicio en ejecución
• Hacer clic para iniciar un servicio detenido
Si se demuestra que es posible, otros accesos directos, que vaya a un servicio de configuración con fi ( ) , Página detallada de estado ( ),
o registros ( ) . Ver Navegar rápidamente a la interfaz gráfica de usuario con accesos directos para aprender más acerca de los iconos de acceso directo.
Gráficos de seguimiento
El cortafuego recoge y mantiene datos sobre cómo funciona el sistema, y después se almacena estos datos en la base de datos de Round-Robin (RRD) archivos. Los gráficos
creados a partir de esta información están disponibles bajo Estado> Supervisión.
El gráfico de la página puede ser con fi gurada para mostrar los artículos en varias categorías, y una categoría y el gráfico puede ser elegido tanto para el eje de la izquierda y la
derecha del eje para facilitar la comparación.
Trabajar con gráficos
El cortafuego muestra un gráfico que muestra su uso de la CPU de forma predeterminada. Para ver otros gráficos o para agregar una segunda categoría en otro eje, los ajustes de gráficos
deben ser cambiados como se describe en la siguiente sección, ajustes para gráficos . Dentro del gráfico, las etiquetas en la esquina superior izquierda, tenga en cuenta las fuentes de los
datos en el eje izquierdo y derecho del eje. El gráfico contiene una leyenda en la parte superior derecha con cada una de las fuentes de datos representados en el gráfico. Al hacer clic en una
fuente de datos en la leyenda will hide de la vista.
Propina: Si una fuente de datos tiene un gran pico, haga clic en su nombre en la leyenda para sacarlo de la gráfica. Con la fuente de datos más grande retira,
más detalle de las otras fuentes restantes será visible.
El nombre de host fi cortafuegos, período de tiempo gráfica, y la resolución gráfica se imprimen a lo largo de la parte inferior del gráfico, junto con el tiempo se generó el
gráfico.
28.5. Estado del servicio 595


Fig. 28.6: Servicios Estado
El cortafuego imprime una tabla de abajo el propio gráfico con un resumen de los datos. Esta tabla contiene los mínimos, promedios, máximos, valores actuales,
en algunos casos valores del percentil 95º. En los casos en que se dan las unidades, desplazar el puntero del ratón sobre la unidad mostrará una descripción
más detallada de la unidad.
Nota: Totales no aparecen porque los datos se almacena en forma de RRD archivos, sumas exactas no son posibles. Para ver el uso total de trá fi co en interfaces
de red, instale el Los totales de estado de trá fi co paquete.
Figura WAN Traf fi c Graph muestra un ejemplo de un gráfico de 8 horas de tráfico c en una interfaz de fi cortafuegos llamado CABLE con la inversa habilitado. La
interfaz tiene un utiliztion máximo de 9.96Mbit / s durante un período de 1 minuto.
ajustes para gráficos
Para cambiar el gráfico, haga clic en la barra de ruta para mostrar el panel de configuración de gráficos.
Propina: El panel de configuración de gráficos está oculto por defecto, pero este comportamiento se puede cambiar. Navegar a Sistema> Configuración general y comprobar Ajustes de
vigilancia para mostrar siempre el panel de configuración por defecto.
Las opciones en el panel de configuración son:
Eje izquierda / derecha Eje Las opciones aquí controlan los datos dispayed en cada eje. Por defecto sólo el Izquierda
Eje se rellena con un valor, pero ambos pueden ser utilizados para comparar áreas. Primero elige una Categoría ( o
Ninguna), a continuación, elegir una Grafico dentro de esa categoría. La lista de categorías y gráficos disponibles variará dependiendo de la fi cortafuegos
con fi guración.
Categoría La zona general de la gráfica deseada: Sistema, Traf fi c, paquetes, calidad, cautivo
Portal, NTP, colas, QueueDrops, Usuarios DHCP, celulares, inalámbricas y VPN. Estos se cubren con más detalle
más adelante en esta sección.
Grafico El gráfico específico para visualizar a partir de la categoría elegida.
opciones Esta sección del panel de configuración controla la forma en la gráfica en sí parece, incluyendo el lapso de tiempo
y el estilo.
28.6. Gráficos de seguimiento 597

Fig 28.7:. Fi c Graph WAN Traf

Periodo de tiempo El período de tiempo para mostrar en el gráfico. Los rangos predeterminados cubren desde 1
hora hasta 4 años, o una Personalizado período puede ser elegido. Selección Personalizado muestra el
Período de encargo controles. Todos los periodos se muestran incluso si no hay datos en una base de datos gráfica que se
remonta tan lejos. El gráfico estará vacío para los momentos en gráficas no estaba activo.
Resolución El trozo más pequeño de tiempo para el que hay datos disponibles en este gráfico. Encima
tiempo, los datos se consolodated durante períodos más largos por lo que se pierde resolución. Por ejemplo, en un gráfico
de 1 hora, es posible ver los datos de intervalos de un minuto, pero en un gráfico incluyendo datos más antiguos, no es
posible mostrar datos que con precisión ya que se ha promediado. Dependiendo del periodo de tiempo de la gráfica puede
contener 1 minuto, 5 minutos, 1 hora, o 1 día promedios de los datos. Resoluciones que no son posibles para el período de
tiempo determinado no se pueden seleccionar.
Inverso Utilizado en los gráficos tales como el gráfico de trá fi co, para separar los datos entrantes y salientes.
Por ejemplo, con Inverso ajustado a En, los datos de salida se representa como un valor negativo para diferenciar más
fácilmente de los datos entrantes.
Período de encargo Cuando Periodo de tiempo se establece en Personalizado, la GUI muestra esta sección para con fi gura la
período de tiempo personalizado para la gráfica.
Fecha de inicio La fecha de inicio de la gráfica. Al hacer clic en el campo mostrará una fecha del calendario
recogiendo control. Sólo hoy, o días en el pasado, pueden ser seleccionados.
Hora de inicio La hora del día para iniciar el gráfico usando el estilo de 24 horas ( 0-23).
Fecha final La fecha de finalización para el gráfico.
fin horas La hora final para el gráfico, exclusivo. La hora elegida no está incluido en
la gráfica. Por ejemplo, en un gráfico a partir de las horas 10 a hora 12, el gráfico cubre 10 a.m.-12:00p.m..
ajustes Hacer clic Espectáculo avanzado para mostrar los controles avanzados adicionales que no suelen ser necesarios para
uso medio.
Exportar como CSV Haga clic en este botón para descargar los datos de la gráfica como un archivo. csv ( Coma
Valores separados) de hoja de cálculo fi l, que luego se puede importar en otro programa para el análisis.
Guardar como parámetros predeterminados Haga clic en este botón para guardar la configuración del gráfico actual como el valor por defecto con-
fi guración por lo que este gráfico especí fi co se muestra por defecto en futuras visitas a esta página.
Desactivar / activar gráfica Esta alternancia se desactivar o activar la recogida de datos del gráfico.
La graficación es activado por defecto. Normalmente solo se desactivaría con fines de diagnóstico o si toda representación
gráfica requerida se maneja externamente.
Restablecer gráfica de datos Al hacer clic en este botón, se borrarán todos los datos de gráficos y crear archivos
nuevo, vacío fi les.
Hacer clic actualización de gráficos para cambiar el gráfico a la vista seleccionada.
Gráfico lista de categorías
Hay varias categorías diferentes de datos gráfica que el cortafuego puede trazar. Cada categoría está cubierto aquí, pero no todas las categorías será visible en
cada cortafuego. Algunos gráficos deben estar habilitadas por separado o sólo estarán presentes si se habilita una función especí fi ca o pieza de hardware.

sistema de Gráficos
Los gráficos en el marco del Sistema categoría muestran una visión general de la utilización del sistema, incluyendo el uso de CPU, uso de memoria, y los estados fi cortafuego.
Las agrupaciones mbuf
los Las agrupaciones mbuf gráfico representa la memoria de red de uso de clúster de amortiguamiento de la cortafuego. Firewalls con muchas caras inter, o muchos núcleos
de CPU y tarjetas de red que utilizan una cola de interfaz por núcleo, pueden consumir una gran cantidad de buffers de memoria de la red. En la mayoría de los casos, este
uso será bastante planas, pero dependiendo de diversas circunstancias, tales como unusu- aliado alta carga, los valores pueden aumentar. Si el uso se aproxima a la con fi
gurada máxima, aumentar el número de buffers.
Ver también:
Referirse a Sintonización de hardware y solución de problemas para obtener información sobre cómo aumentar la cantidad de mbufs disponibles para el sistema operativo. los Las agrupaciones
mbuf gráfico contiene las siguientes fuentes de datos:
Corriente El número actual de grupos mbuf consumidos
Cache El número de grupos mbuf en caché
Total El total de la corriente y de la caché
Max El número máximo permitido de clusters mbuf
La memoria de gráficos
los Memoria gráfico muestra el uso de la RAM del sistema desglosado usando las siguientes fuentes de datos:
Activo La cantidad de memoria activa (en uso)
Inactivo La cantidad de memoria inactiva, que estaba en uso, pero podría ser reasignado.
Gratis La cantidad de memoria libre, que no se utiliza en absoluto.
Cache La cantidad de memoria utilizada para el almacenamiento en caché por el sistema operativo.
Cable La cantidad de memoria por cable, por lo general la memoria del núcleo
Nota: El sistema operativo intentará usar la memoria RAM tanto como posssible para almacenar en caché en lugar de permitir que se fuera de uso, por lo que la cantidad de memoria RAM
libre a menudo pueden parecer más bajas de lo esperado. Si aumenta la demanda de memoria, estará disponible para el uso de memoria caché.
Gráfico procesador
El gráfico procesador muestra el uso de CPU para el cortafuego usando las siguientes fuentes de datos:
Utilización de usuario La cantidad de tiempo de procesador consumido por los procesos de usuario.
Utilización de Niza La cantidad de tiempo de procesador consumido por los procesos con una prioridad alta.
la utilización del sistema La cantidad de tiempo de procesador consumida por el sistema operativo y kernel.
interrupciones La cantidad de tiempo de procesador consumido por manejo de interrupciones, que es hardware de procesamiento
entrada y salida, incluyendo las interfaces de red.

procesos El número de procesos en ejecución.
Gráfico Unidos
El gráfico muestra los estados del número de estados del sistema, sino también descompone el valor de varias maneras.
Los cambios de estado El número de cambios de estado por segundo, o “rotación”. Un alto valor de esta fuente haría
indicar una serie rápida de conexiones nuevas o que expiraron.
Filtro Unidos El número total de entradas de estado de la tabla de estados.
direcciones de origen El número de direcciones IP de origen únicos activos.
Las direcciones de destino El número de direcciones IP de destino únicos activos.
Traf fi c gráficos
Traf gráficos fi c muestra la cantidad de ancho de banda utilizado en cada interfaz disponible en bits por segundo notación. los Grafico
lista contiene entradas para cada interfaz asignada, así como clientes IPsec y OpenVPN individuales y servidores. El gráfico de tráfico c se descompone en
varias fuentes de datos. Aparte del total, cada uno tiene un equivalente de IPv4 e IPv6. Las fuentes de datos IPv6 tienen 6 anexado al nombre.
inpass La tasa de tráfico c entrar en esta interfaz que era pasado en el cortafuego.
outpass La tasa de tráfico c partiendo de este interfaz que era pasado fuera del cortafuego.
inblock La tasa de tráfico c tratando de llegar a esta interfaz que era obstruido entren en el cortafuego.
outblock La tasa de trá fi co intentar salir de esta interfaz que era obstruido salga de la ewall fi.
total de inpass La tasa total de que se pasó entrante tráfico c (IPv4 y IPv6).
total de outpass La tasa total de tráfico c (IPv4 y IPv6) que se pasó saliente.
Nota: Los términos “entrada” y “salida” en estos gráficos son desde la perspectiva de la misma fi cortafuegos. En una interfaz externa, como una
WAN, “entrante” trá fi co es tráfico de llegar al cortafuego de Internet y “saliente” tra fi co c es trá fi co de salir del cortafuego ir a un destino en
Internet. Para una interfaz interna, tales como LAN, “entrante” trá fi co es tráfico de llegar al cortafuego de un host en la LAN c, probablemente
destinado a un lugar en Internet y “saliente” trá fi co es trá fi co dejando el cortafuego de ir a un host de la LAN.
Los gráficos de paquetes
Los gráficos de paquetes de trabajar al igual que los gráficos de trá fi co y tienen los mismos nombres para las fuentes de datos, pero en lugar de la presentación de informes
basado en el ancho de banda utilizado, informa del número de paquetes por segundo ( pps) pasado. los Grafico lista contiene entradas para cada interfaz asignada, así como
clientes IPsec y OpenVPN individuales y servidores. Paquetes por segundo (pps) es una métrica mejor para juzgar el rendimiento del hardware de trá fi co throguhput como se re
fl eja con mayor precisión qué tan bien el hardware gestiona los paquetes de cualquier tamaño. Un circuito puede ser vendido en un cierto nivel de ancho de banda, pero el
hardware es más probable que se cuello de botella por una incapacidad para manejar un gran volumen de paquetes pequeños. En situaciones en las que el hardware es el factor
limitante, el Los paquetes gráfico puede mostrar una meseta alta o picos mientras que la fi c gráfica tráfico muestra el uso debajo de la velocidad nominal de la línea.

Los gráficos de la calidad
los Calidad categoría incluye Grafico entradas que hacen un seguimiento de la calidad de WAN o interfaces de WAN-como tales como interfaces con una puerta de enlace especi fi o los
que utilizan DHCP o PPPoE. El cortafuego contiene uno Grafico entrada por puerta de enlace, incluyendo puertas de enlace que estaban con fi gurado previamente, pero ya no existe. los
datos del gráfico para archivos viejos puertas de enlace no se eliminan automáticamente de modo que los datos históricos disponibles para referencia futura. Las fuentes de datos siguientes
se utilizan para rastrear fiabilidad puerta de enlace:
Paquete perdido El porcentaje de intentos de ping a la dirección IP del monitor que se perdieron. Pérdida en el
gráfico indica problemas de conectividad o tiempos de uso excesivo de ancho de banda en los que se abandonaron los pings.
Tiempo medio de La demora media (tiempo de ida y vuelta, RTT) en pings enviados a la dirección IP del monitor. UN
RTT alta significa que tra fi co está tomando mucho tiempo para hacer el viaje de ida y vuelta desde el cortafuego a la dirección IP del
monitor y la espalda. Un alto RTT podría ser de un problema en el circuito o de alta utilización.
Desviación Estándar de retardo La desviación estándar de los valores RTT. La desviación estándar da una
impresión de la variabilidad de la RTT durante un período de cálculo dado. Una desviación estándar baja indica que la conexión es
relativamente estable. Una desviación estándar de alta significa que el RTT es fl ucuating arriba y hacia abajo a través de una amplia
gama de valores, lo que podría significar que la conexión es inestable o muy ocupado.
portal cautivo
los portal cautivo categoría incluye Grafico entradas para cada portal cautivo zona, pasado y presente. datos Gráfico de archivos para las zonas antiguas no se eliminan
automáticamente.
Concurrente los Concurrente elección gráfico muestra cuántos usuarios están conectados en un punto dado en el tiempo.
A medida que los usuarios salgan o sus sesiones expiran, este conteo va a bajar. Un gran número de usuarios simultáneos no necesariamente causa
una tensión en el portal, pero puede ser útil para juzgar las necesidades globales de capacidad y ancho de banda.
Conectado los Conectado gráfico muestra el número de eventos de inicio de sesión que se producen durante cada intervalo de sondeo.
Esto es útil para juzgar lo ocupado el demonio de portal cautivo está en un punto dado en el tiempo. Un gran número de usuarios que inician sesión
en torno al mismo tiempo pondrá más presión sobre el demonio portal de comparación con los inicios de sesión que se extienden a lo largo de un
día.
NTP
los NTP gráfico muestra estadísticas sobre el servicio NTP y la calidad del reloj. Esta gráfica está desactivado por defecto porque no es relevante para la mayoría de los
casos de uso. En el gráfico se puede habilitar Servicios> NTP. En esa página, compruebe Habilitar gráficos RRD de estadísticas NTP. Ver también:
Para obtener más información sobre estos valores, consulte la NTP Con fi guración Manual , Manual de Consulta NTP , y el NTPv4 Speci fi cación .
Compensar diferencia entre el reloj combinado de servidor relativa a este host.
Sistema Jitter (Sjit) Combinado fluctuación del sistema, que es una estimación del error en la determinación de la compensación.
Jitter de reloj (cjit) Fluctuación calculada por el módulo de la disciplina del reloj.
Reloj Wander (vagar) estabilidad de la frecuencia de reloj expresada en partes por millón (PPM)
Desplazamiento de frecuencia (frecuencia) El desplazamiento en relación al reloj de hardware (en ppm)

Dispersión Root (DISP) diferencia total entre el reloj local y el reloj de referencia primaria a través
la red.
Cola / Queuedrops gráficos
Los gráficos de colas son un compuesto de cada tráfico c talladora cola. se muestra Cada cola individual, representada por un color único. los colas categoría
muestra el uso de cola individual en bytes. los QueueDrops categoría muestra un recuento de los paquetes se reduce de cada cola.
DHCP
los DHCP categoría contiene un gráfico para cada interfaz con un servidor DHCP activado. Las fuentes de datos que se muestran son para DHCP:
arriendos El número de contratos de arrendamiento en uso fuera de la con fi gurado rango DHCP para la interfaz.
Arrendamientos estáticas El número de asignación estática arrienda con fi gurada para la interfaz.
Rango DHCP El tamaño total del conjunto DHCP disponible para su uso en la interfaz. Si el arriendos se acerca al recuento Distancia valor, entonces un grupo
más grande puede ser requerida para la interfaz. existen asignaciones estáticas fuera del rango, por lo que no factor en la cantidad de contratos que se consumen en la
piscina.
Celular
En determinados dispositivos 3G / 4G, el cortafuego es capaz de recoger los datos de intensidad de señal para el Celular grafico. La intensidad de la señal es el único valor trazado en
el gráfico.
Inalámbrico
los Inalámbrico categoría está presente en los sistemas que contienen un dispositivo de 802.11 inalámbrico de red que está habilitado y uso interior como un cliente
(Infraestructura, el modo BSS). Las siguientes fuentes de datos se recogen y se muestran cuando actúa como un cliente inalámbrico:
SNR La relación señal-ruido para el punto de acceso el cliente está conectado.
Canal El número de canal inalámbrico utilizado para llegar a la AP.
Tarifa La velocidad de datos inalámbrica al punto de acceso.
Los usuarios de VPN
los Los usuarios de VPN categoría muestra el número de usuarios de OpenVPN conectado simultáneamente para cada servidor OpenVPN individuo.
firewall Unidos
pfSense es una con estado cortafuego y utiliza un estado a realizar un seguimiento de cada conexión desde y hacia el cortafuego. Estos estados pueden ser vistos en varias
formas en el WebGUI y desde la consola.
28.7. firewall Unidos 603

Viendo en los WebGUI
Un listado de los contenidos de la tabla de estado del cortafuegos fi está disponible en el WebGUI navegando a Diagnóstico> Unidos. Figura
ejemplo Unidos muestra un ejemplo de la salida visualizada por la GUI. La fi cortafuegos muestra varias columnas en
esta página, cada uno con información importante:
Interfaz El interfaz a la que el estado es enlazado. Esta es la interfaz a través de la cual el paquete inicialmente
entrado o salido del cortafuego.
Protocolo El protocolo del tráfico c que creó el estado, tales como TCP, UDP, ICMP, o ESP.
Fuente y Destino Esta columna está en dos partes, en primer lugar la fuente, a continuación, una flecha que indica la dirección,
y luego el destino. El origen y el destino también pueden tener un número de puerto que aparece si el protocolo en cuestión utiliza los
puertos. En los casos donde se aplica NAT (NAT saliente, hacia delante de puerto, o 1: 1 NAT), la dirección se muestra antes y
después de NAT se ha aplicado.
Para NAT tales como NAT saliente que se traduce la fuente, la sección de fuente muestra la fuente de trans- lated, y la
fuente original dentro de paréntesis. Para los tipos de NAT que traducen el destino, como puerto remite, la sección de
destino muestra el destino traducida y el destino original entre paréntesis.
Estado El estado actual de la conexión siendo rastreado por esta entrada estado. Los valores especí fi co varían
dependiendo del protocolo. Por ejemplo, TCP tiene muchos más tipos de estado que UDP u otros protocolos tionless conexiones. La entrada
en esta columna contiene dos partes separadas por dos puntos. La primera parte es el estado por el lado de la fuente, y la segunda parte es el
estado por el lado de destino. Ver Interpretación Unidos para obtener más detalles.
Los paquetes El número de paquetes observó que coincida con el estado de los lados de origen y destino.
bytes El tamaño total de paquetes observó que coincida con el estado de los lados de origen y destino.
Los estados individuales se pueden eliminar haciendo clic al final de su fila.
Fig. 28.8: Ejemplo Unidos
filtrado Unidos
los Filtrar Estado Panel permite la búsqueda rápida de los contenidos de la tabla de estado a fi nd artículos de interés. Para buscar un estado:
• Seleccionar un específico Interfaz en el Filtrar Estado panel o dejarlo en todas para que coincida con todas las interfaces.
• Entrar a Expresión de filtro que es una simple cadena de texto que deben coincidir exactamente en la entrada. Las expresiones regulares no son compatibles en este campo.
• Hacer clic Filtrar para localizar los resultados.

Todas las columnas se busca en el texto coincidente, y se muestran sólo las entradas que coinciden con el texto.
Propina: Búsqueda de una dirección IP o subred también presentará una Estados Kill botón que, al ser pulsado, continúa
eliminar todos los estados procedentes de o con destino a la dirección IP o subred.
Interpretación Unidos
los Estado columna para cada entrada de la tabla de estado proporciona la información necesaria para determinar exactamente lo que está sucediendo con la conexión.
Cada entrada del estado que contiene dos valores con dos puntos entre ellos, de marcado que valor representa el estado de la fuente (izquierda), y que representa el
destino (derecha). Algunos de los tipos de estado más comunes son:
SYN_SENT Para las conexiones TCP, esto indica que el lateral que muestra este estado envía un paquete TCP SYN
intentar iniciar un apretón de manos conexión.
CERRADO Para las conexiones TCP, el lado con este estado considera la conexión cerrada, o ninguna de trá fi co
ha sido recibido.
ESTABLECIDO Una conexión TCP se considera completamente establecido por este lado.
TIME_WAIT / FIN_WAIT Una conexión TCP se encuentra en proceso de cierre y de acabado para arriba.
SIN TRÁFICO No se han recibido paquetes que coincidan con el estado de este lado.
SOLTERO Un único paquete se ha observado en este estado desde este lado.
MÚLTIPLE Múltiples paquetes se han observado en este estado de este lado. emparejamientos comunes que se
encuentran con frecuencia en la tabla de estado incluyen:
ESTABLECIDO: ESTABLECIDO Una conexión TCP bidireccional totalmente establecida.
SYN_SENT: CERRADO La proyección lateral SYN_SENT ha enviado un paquete TCP SYN pero no hay respuesta tiene
recibida desde el otro lado. A menudo esto se debe a que el paquete no llegue a su destino, o ser bloqueada por el camino.
INDIVIDUAL: NO_TRAFFIC Al igual que el anterior, pero para UDP y otros protocolos sin conexión. No
se ha recibido respuesta desde el lado de destino.
SOLO múltiple Para UDP y otros protocolos sin conexión, comúnmente observados con el DNS
donde el cliente envía un paquete, sino que recibe una gran respuesta en múltiples paquetes.
MÚLTIPLE múltiple Para UDP y otros protocolos sin conexión, hay múltiples paquetes en
ambas direcciones, lo cual es normal para una conexión UDP en pleno funcionamiento.
Resumen Unidos
los Resumen Tabla de Estado, accesible desde Diagnóstico> Estados Resumen, proporciona estadísticas generadas por un análisis en profundidad de la tabla de
estado y las conexiones en el mismo.
El informe incluye la dirección IP, un recuento total del estado, y las averías por los puertos de protocolo y de origen / destino. Al pasar por encima de los puertos muestra una
pantalla de información de herramientas de la lista de puertos completa en lugar del número total de puertos. Dependiendo del entorno de cortafuego, valores altos de cualquier
métrica pueden ser normales. El informe incluye las siguientes categorías:
Por dirección IP de origen Estados resumidos por la dirección IP de origen. Esto es útil para fi Nding un potencial
fuente de ataque, o un escaneo de puertos o similares sonda tipo / ataque.

Por Destino Dirección IP Estados resumidos por la dirección IP de destino de la conexión. Útil
para el hallazgo en el blanco de un ataque o la identificación de los servidores.
Total por dirección IP Estados resumidos por todas las conexiones hacia o desde una dirección IP. Útil para hallazgo
hosts activos que utilizan una gran cantidad de puertos, como clientes de BitTorrent.
Por Par de la dirección IP Resume los estados entre dos direcciones IP asociados a las conexiones activas. Útil
para el hallazgo pares de cliente / servidor fi cos que tienen un número inusualmente alto de conexiones.
Advertencia: los Resumen Unidos puede llevar mucho tiempo para procesar y mostrar, especialmente si el cortafuego tiene una tabla de estado excepcionalmente
grande o un procesador lento. En los casos en que la tabla de estados es muy grande, la página no se muestre correctamente o la página puede fallar con un error de
memoria. En estos casos, la página de resumen no se puede utilizar.
Estados visualización con pfTop
pfTop está disponible en la interfaz gráfica de usuario y el menú de la consola del sistema, y ofrece vistas en vivo del conjunto de reglas fi cortafuegos, información de tabla de estado y
estadísticas relacionadas.
pfTop en la GUI
En la GUI, pfTop se puede encontrar en Diagnóstico> pfTop. La interfaz gráfica de usuario ofrece varias opciones para controlar la salida:
Ver Controla el tipo de salida mostrado por pfTop. No todos los puntos de vista contendrán información significativa
para cada fi cortafuegos con fi guración.
Defecto Muestra una cantidad equilibrada de la información, en torno a la fuente y el destino

del tráfico c.
Etiqueta Centrado alrededor de las descripciones de reglas de cortafuegos fi.
Largo Al igual que en la vista por defecto, pero adaptada para pantallas más amplias con filas más largas para mayor
columnas de información. Muestra la puerta de enlace después de que el destino.
Cola Muestra la fi ALTQ tráfico c configuran colas y su uso.
Reglas Muestra reglas fi cortafuego y su uso.
tamaño Muestra estados que han aprobado la mayoría de los datos.
Velocidad Muestra los estados que tienen alta tasa de trá fi co.
Estado Muestra el estado de los estados.
Hora Muestra estados de larga vida.
Ordenar por Algunos puntos de vista pueden ser ordenados. Cuando la clasificación es posible, los siguientes métodos de clasificación están disponibles.
Cuando se selecciona, la vista está ordenada por la columna elegida en orden descendente:
Ninguna No clasificado, el orden natural se muestra en la vista elegida.
Años La edad de los estados.
bytes La cantidad de datos enviados estados a juego.
Dirección de destino La dirección IP de destino del estado.
Puerto de destino El número de puerto de destino del estado.
Expiración El tiempo de expiración del estado. Este es el temporizador de cuenta atrás hasta que el estado será
eliminado si no hay más datos coincide con el estado.
Pico La tasa de pico de tráfico c búsqueda de un estado en paquetes por segundo.

Paquete El número de paquetes transferidos a juego de un estado.
Tarifa La tasa actual de tráfico c búsqueda de un estado en paquetes por segundo.
tamaño La cantidad total de tráfico c que ha emparejado un estado.
Puerto de origen El número de puerto fuente del estado.
Dirección de la fuente La dirección IP de origen del estado.
Máximo # de Estados En vistas de que admitir la ordenación, esta opción limita el número de entradas de estado se muestra
en la pagina.
pfTop en la consola
Para acceder a pfTop desde la consola o vía ssh, la opción de utilizar 9 en el menú o correr pftop de un intérprete de comandos. Mientras ve pfTop de esta manera, existen varios
métodos para alterar la vista mientras ve su salida. prensa marido para ver una pantalla de ayuda que explica las opciones disponibles. Los usos más comunes están utilizando 0 mediante
8 para seleccionar diferentes puntos de vista,
espacio para una actualización inmediata, y q abandonar. Consulte la sección anterior para más detalles sobre el significado de las vistas disponibles y criterios de ordenación.
La salida está dimensionada de forma dinámica a la anchura terminal, con terminales más amplias que muestran mucha más información en columnas adicionales.
Seguimiento Unidos Fuente
Cuando usas Las conexiones adhesivas, el cortafuego mantiene una tabla de seguimiento de fuente que registra asignaciones de direcciones IP internas a específicos c gateways
externos para las conexiones que se han pasado por una regla que utiliza un grupo de puerta de enlace de equilibrio de carga (varias puertas de enlace en el mismo nivel). Por
defecto estas asociaciones sólo existen en tanto que hay estados activos a partir de la dirección IP interna. Hay un tiempo de espera con fi gurable para estas entradas de
seguimiento de fuentes para permitir que existan más si es necesario.
Ver también:
Para obtener información adicional acerca de las conexiones adhesivas y las correspondientes opciones, consulte Conexiones pegajosas .
Las asociaciones de rastreo de fuentes se muestran en Diagnóstico> Estados sobre el Seguimiento de la fuente pestaña, que sólo es visible si las conexiones adhesivas están
habilitadas.
La página de seguimiento de Fuente muestra la siguiente información:
Fuente-a-Destino El mapeo de una dirección IP local a una pasarela de equilibrado de carga c especificidad.
# Unidos El número de estados que coinciden con la dirección IP de origen a cualquier destino, incluyendo trá fi co que es
no cargar equilibrada.
# conexiones El número de estados que coincidan con esta dirección IP de origen que utilizan la puerta de enlace. por
ejemplo, las conexiones de salir de esta fuente a un host de Internet.
Tarifa La tasa de paquetes que coincidan con esta entrada del seguimiento de fuente. Estas asociaciones se pueden eliminar de forma individual
haciendo clic en el retirar botón al final de cada fila.
Restablecer Estado Tabla / Tabla de Seguimiento Fuente
Ciertas situaciones requieren para restablecer la tabla de estado para obligar a todas las conexiones existentes para cerrar y restablecer. Los ejemplos más notables están haciendo
cambios a las reglas de NAT, reglas de bloqueo fi cortafuego, o tráfico c conformación. Cuando se realizan estos tipos de cambios, al restaurar la tabla de estados es la única manera de
asegurarse de que todas las conexiones respetan el nuevo conjunto de reglas o tráfico dar forma a las colas c.

Advertencia: Restablecimiento de la tabla de estado es perjudicial, pero los clientes pueden reconectar inmediatamente siempre que todavía se pasan por las normas actuales fi
cortafuego.
Tanto la tabla de estado y la tabla de seguimiento de origen puede restablecer desde Diagnóstico> Estados sobre el Restablecer Unidos lengüeta. A
restablecer las tablas, o bien comprobar Tabla de Estado, Seguimiento de la fuente, o ambos, y luego haga clic en Reiniciar.
Advertencia: El navegador aparecerá a perder la conexión con el cortafuego al restablecer la tabla de estado. Una vez que el navegador se da cuenta de la vieja conexión no
es válido, se volverá a conectar. Cierre y vuelva a abrir el navegador más rápido para volver a conectar.
Traf fi c gráficos
gráficos de tráfico en tiempo real c dibujadas con JavaScript usando NVD3 están disponibles la que se actualizan continuamente. Estos gráficos se pueden ver en Estado>
Traf fi c Gráfico, y un ejemplo de la gráfica se puede encontrar en la figura Ejemplo Graph LAN .
Estos gráficos muestran trá fi co interfaz de trá fi co como es el caso, y dar una visión clara de lo que está sucediendo “ahora” en lugar de confiar en los datos promediados
de los gráficos RRD que son mejores para vistas a largo plazo.
Fig. 28.9: Ejemplo LAN Graph
Sólo una interfaz es visible a la vez, y esta interfaz se puede cambiar mediante el Interfaz la lista desplegable. Una vez que se elige una interfaz, la página se
actualizará automáticamente y empezar a mostrar el nuevo gráfico. gráficos similares estilo de trá fi co también se pueden ver en el panel de control añadiendo el Traf
fi c gráficos Widget. Usando el widget, múltiples gráficos tráfico c se pueden visualizar simultáneamente.
Ver también:
Para más información sobre el tablero de instrumentos, véase Tablero .
Una tabla que contiene destellos momentáneos de datos que se están transfiriendo de direcciones IP c especí fi también se muestra junto a la gráfica tráfico c. Estos se
limitan a mostrar solamente brevemente, las transferencias en curso por lo que son más propensos a mostrar hasta que las conexiones rápidas. Además, sólo se mostrará la
conexión desde dentro de la subred principal de esa interfaz. La pantalla del gráfico y la tabla puede ser controlado mediante las siguientes opciones:
Interfaz La interfaz de cortafuego para usar como la fuente c tráfico para el gráfico y la tabla.

Ordenar por Selecciona el orden de clasificación de la gráfica, ya sea En el ancho de banda o Ancho de banda de salida.
Filtrar Selecciona qué tipo de anfitriones para que aparezcan en la tabla
Local Muestra sólo las direcciones IP dentro de la red de interfaz
Remoto Muestra sólo las direcciones IP que no están dentro de la interfaz de red
Todas Muestra todas las direcciones IP, dentro y fuera de la red de interfaz
Monitor Controla la visualización de la IP de host columna usando una de las siguientes opciones:
Dirección IP La dirección IP de la máquina.
Nombre de host El nombre corto que corresponde a la dirección IP, tal como aparece en DHCP
asignaciones estáticas, las redefiniciones de acogida de resolución de DNS, o anulaciones de host DNS Forwarder.
Descripción La descripción que corresponde a la dirección IP, que se enumeran en estática DHCP
asignaciones, las redefiniciones de acogida de resolución de DNS, o anulaciones de host DNS Forwarder.
FQDN El nombre de dominio totalmente calificado fi cado que corresponde a la dirección IP, que se enumeran en
asignaciones DHCP estáticas, las redefiniciones de acogida de resolución de DNS, o anulaciones de host DNS Forwarder.
Actividad del sistema (Inicio)
los Diagnóstico> Sistema de Actividad lista muestra la página de los principales procesos activos que se ejecutan en el cortafuego. Esto es equivalente a ejecutar el comando superior
-ASH en el intérprete de comandos, excepto la versión de interfaz gráfica de usuario no tiene el resumen de uso de la CPU.
El uso de este punto de vista, es fácil ver los procesos que consumen la mayor potencia de la CPU durante un tiempo de carga alta. Por ejemplo, si los valores más alto es una
cola de proceso de interrupción para una de las tarjetas de red, y el sistema no está presionando lo suficiente trá fi co, podría ser una señal de que el cortafuego está tratando
de impulsar más que el hardware puede manejar en el actual con fi guración. Si el proceso de arriba es un proceso PHP, podría ser que un navegador ha solicitado una página
interfaz gráfica de usuario que está procesando una gran cantidad de datos.
PFINFO
los Diagnóstico> PFINFO página muestra las estadísticas y contadores para los fi cortafuegos de paquetes de filtro, que sirven como indicadores para juzgar la forma en que se comporta y
procesamiento de datos. La información mostrada en la página contiene elementos tales como:
Bytes de entrada / salida Bytes transferidos dentro y fuera del cortafuego.
Los paquetes In / Out Los paquetes transferidos dentro o hacia fuera y se pasan o bloqueados contadores para cada dirección.
Tabla de Estado / Fuente Tabla de Seguimiento Estadísticas sobre la mesa y la fuente de seguimiento del estado ( firewall
Unidos ).
Las entradas actuales El número de entradas en la tabla
búsquedas ¿Cuántas veces la tabla se ha buscado y la tasa actual de búsquedas,

que corresponde aproximadamente al número de paquetes que se pasaron por el cortafuego en conexiones abiertas
actuales.
inserciones El número de nuevos estados agrega a la tabla, y la velocidad a la que los estados son
adicional. Una tasa elevada indica que hay una gran cantidad de nuevas conexiones que se realizan para oa través del cortafuego.
mudanzas El número de estados viejos siendo eliminado del cortafuego.
28.9. Actividad del sistema (Inicio) 609

contadores Estadísticas una cuenta para varios tipos de paquetes especiales, inusuales o mal formateado.
Contadores límite Contadores que pertenecen a los paquetes que han alcanzado o excedido los límites con fi gurado en
reglas de cortafuego, tales como estados como máximo por cada dirección IP.
Límites Tamaño de tabla Estado tamaño de la mesa máx, nodo fuente tamaño de la tabla, tamaño de la tabla de fragmentación, número de mesas permitidas,
y el número máximo de entradas de la tabla.
Estado temporizadores Los valores actuales con fi gurada de tiempo de espera para diferentes estados de conexión de TCP, UDP, y
otros protocolos.
Estadísticas de la interfaz contadores de paquetes cada interfaz.
SMART del disco duro de estado
El cortafuego puede supervisar el estado de los discos duros que soportan Self-Monitoring, Análisis y Tecnología de informes (SMART). Este mecanismo tiene por objeto
permitir a las unidades de prueba y realizar un seguimiento de su propio rendimiento y fiabilidad, con el objetivo último de la identificación de una unidad defectuosa antes de
que sufra pérdida de datos o provoca una interrupción. Soporte para SMART varía según la unidad y el BIOS, pero está bastante bien soportado en los discos duros y SSD
ATA modernas.
SMART puede necesitar ser activado en el BIOS y en la unidad.
Nota: Inteligente no es una medida perfecta de la localización de una unidad que ha fallado; Muchas unidades que no han logrado todavía pasan una prueba SMART, pero en términos
generales, si INTELIGENTE hace localizar un problema, uno existe, por lo que es útil para identificar los fallos de disco.
los Diagnóstico> Estado de SMART página obtiene y muestra la información de las unidades, realiza o aborta pruebas de la unidad, y muestra la unidad logs. En
cada sección de la página, una Dispositivo debe seleccionarse antes de elegir una opción. Esta Dispositivo es el disco a ensayar por SMART
Advertencia: Si una unidad no aparece en el Dispositivo lista, ya sea no soporta inteligente o que está conectado a un controlador que no es compatible para este
propósito. En el caso de los controladores RAID, el controlador en sí mismo puede ofrecer una funcionalidad similar o informes a través de los servicios públicos fi c
controlador especí en la cáscara.
Visualización de información de la unidad
Para ver información sobre una unidad:
• Navegar a Diagnóstico> Estado de SMART
• localizar el Información Panel en la página
• Selecciona el Dispositivo para ver
• Selecciona el información Tipo
• Hacer clic Ver
Después de revisar la salida, haga clic Espalda para volver a la lista de opciones.
Los tipos de información se explican en las siguientes subsecciones.

información
los información opción muestra información sobre la unidad misma, incluyendo la marca, modelo, número de serie y otra información técnica acerca de las capacidades
de la unidad, la conexión y el funcionamiento .:
Familia Modelo: Hitachi Travelstar 5K500.B

Modelo de dispositivo: Hitachi HTS545050B9A300
Número de serie: 090630PB4400XXXXXXXX
LU WWN ID de dispositivo: 5 000cca 597XXXXXX Firmware
Version: PB4OC64G la capacidad de usuarios:
500,107,862,016 bytes [500 GB]
Tamaño del sector: 512 bytes lógica / física
Tasa de rotación: 5400 rpm
Factor de forma: 2.5 pulgadas
Device es: En la base de datos smartctl [para más detalles usan: -P mostrar]
ATA versión es: ATA8-ACS T13 / 1699-D revisión 6
SATA versión es: SATA 2.6, 3.0 Gb / s Hora Local:
Fri Oct 7 2016 16:31:20 EDT
soporte inteligente es: Disponible - dispositivo tiene la capacidad de SMART. apoyo SMART es: Habilitado
Salud
los Salud opción da un pase breve / reprobación de la unidad:
INTELIGENTE autoevaluación resultado de la prueba-salud en general: PASADO
Capacidades de SMART
los Capacidades de SMART elección da un informe acerca de las características y prueba los soportes de transmisión, como en esta salida:
Los valores generales de SMART:

Desconectado estado de la recopilación de datos: la actividad de recolección (0x00) sin conexión de datos
nunca fue comenzado.
Auto Collection sin conexión de datos: personas de movilidad reducida.
Autocomprobación estado de ejecución: (0) La rutina de auto-prueba anterior se completó

sin error ni ninguna autocomprobación cada vez se ha ejecutado.
El tiempo total para completar la recopilación de datos

fuera de línea: (645) segundos.
capacidades de recopilación de datos fuera
de línea: (0x5b) de SMART ejecutar sin conexión inmediata.
la recopilación de datos fuera de línea automático de encendido / apagado apoyo.
Suspender la recaudación sin conexión al nuevo comando.
exploración de superficie Desconectado compatible.

Autocomprobación compatible. No Traspaso de autodiagnóstico
compatible. Selectiva de autodiagnóstico compatible.
capacidades inteligentes: (0x0003) guarda los datos de SMART antes de entrar

modo de ahorro de energía. Soporta auto Listo Salva
temporizador.
Error capacidad de registro: (0x01) Registro de errores soportado.
Registro de uso general compatible.
rutina de auto-prueba corta recomendado
tiempo de sondeo: ( 2 minutos.
28.11. SMART del disco duro de estado 611

Extendido rutina de auto-prueba del tiempo de

sondeo recomendada: (158) minutos.
SCT capacidades: Estado (0x003d) SCT compatible.
SCT error de control de recuperación compatible. Control de funciones
SCT compatible. SCT tabla de datos compatible.
atributos
los atributos punto de vista es la pantalla más útil en el majoriy de los casos, pero también puede ser uno de los más difíciles de interpretar. Hay varios valores que se muestran,
pero el número y los valores varían ampliamente según la marca y el modelo. La siguiente salida es de un disco duro tradicional para ordenador portátil:
=== inicio de la sección LEER Smart Data === atributos SMART número de estructura de datos
de revisión: 16 de SMART atributos específicos del proveedor con umbrales: ID #
ATTRIBUTE_NAME
BANDERA VALOR peor tipo UMBRAL ACTUALIZADO WHEN_FAILED RAW_VALUE
1 Raw_Read_Error_Rate 0x000b 099 099 062 Pre-fail Siempre - 65537
2 Throughput_Performance 0x0005 100 100 040 Pre-fail Desconectado - 0
3 Spin_Up_Time 0x0007 136 136 033 Pre-fail Siempre - 2
4 Start_Stop_Count 0x0012 100 100 000 siempre Old_age - 96
5 Reallocated_Sector_Ct 0x0033 100 100 005 Pre-fail Siempre - 0
7 Seek_Error_Rate 0x000b 100 100 067 Pre-fail Siempre - 0
8 Seek_Time_Performance 0x0005 100 100 040 Pre-fail Desconectado - 0
9 Power_On_Hours 0x0012 061 061 000 siempre Old_age - 17502
10 Spin_Retry_Count 0x0013 100 100 060 Pre-fail Siempre - 0
12 Power_Cycle_Count 0x0032 100 100 000 siempre Old_age - 96
191 G-Sense_Error_Rate 0x000a 100 100 000 siempre Old_age - 0
192 Power-Off_Retract_Count 0x0032 100 100 000 siempre Old_age - 37
193 Load_Cycle_Count 0x0012 093 093 000 siempre Old_age - 77869
194 Temperature_Celsius 0x0002 152 152 000 siempre Old_age - 36 (Min / Max 19/41)
196 Reallocated_Event_Count 0x0032 100 100 000 siempre Old_age - 0
197 Current_Pending_Sector 0x0022 100 100 000 siempre Old_age - 0
198 Offline_Uncorrectable 0x0008 100 100 000 Old_age Desconectado - 0
199 UDMA_CRC_Error_Count 0x000a 200 200 000 siempre Old_age - 0
223 Load_Retry_Count 0x000a 100 100 000 siempre Old_age - 0
Hay una minuciosa artículo en la Wikipedia para SMART que incluye una guía para la interpretación de los valores. Algunos valores son más evidentes que
otros, por ejemplo los recuentos de sectores reasignados deben estar en o cerca de cero. Otros pueden ser más difíciles, tales como la tasa de error sin
procesar lectura, que en la mayoría de las unidades debe ser baja, pero hay Seagate y unidades similares que galimatías de salida o un alto número aleatorio
en ese campo que hace que sea inútil en esos discos. Algunos de los valores son informativos, tales como el Start / Stop Conde, ciclo de encendido del Conde,
y horas de encendido, que dan una sensación de la edad y el uso general de la unidad. Un valor alto no es necesariamente malo para ellos, pero si la unidad
es extraordinariamente vieja, o ha sido apagada y encendida una gran cantidad de veces, y luego tener un plan preparado para reemplazar el disco en un
futuro próximo. Temperatura de la unidad puede dar una indicación de su entorno,
El conde carga del ciclo es un valor especial para los discos giratorios, ya que indica el número de veces que las cabezas han sido estacionados. Algunas unidades
portátiles van a estacionar automáticamente las cabezas después de un corto tiempo, pero un sistema operativo como pfSense querrán escribir periódicamente, lo que
trae las cabezas de nuevo. El aparcamiento cabeza sólo tiene sentido en un dispositivo móvil que se mueve mucho por lo que las cabezas tienen menos posibilidades
de impactar el plato; En una situación de servidor / fi cortafuegos, es completamente innecesario. Unidades sólo son capaces de 100.000-300.000 ciclos de carga en
su vida, lo que significa que el recuento se ejecute a través rápidamente si las cabezas están continuamente aparcados y no aparcado. pfSense intenta desactivar las
características de administración de energía de unidades de disco duro en el arranque porque de lo contrario la unidad podría fallar prematuramente después de
ejecutar este recuento alto.

Para contrastar lo anterior, la siguiente salida es de una SSD:
=== inicio de la sección LEER Smart Data === atributos SMART número de estructura de datos
de revisión: 10 de SMART atributos específicos del proveedor con umbrales: ID #
ATTRIBUTE_NAME
BANDERA VALOR peor tipo UMBRAL ACTUALIZADO WHEN_FAILED RAW_VALUE
5 Reallocated_Sector_Ct 0x0032 100 100 000 siempre Old_age - 0
9 Power_On_Hours_and_Msec 0x0032 100 100 000 siempre Old_age - 4198h + 12m + 31.560s
12 Power_Cycle_Count 0x0032 100 100 000 siempre Old_age - 219
170 Available_Reservd_Space 0x0033 100 100 010 Pre-fail Siempre - 0
171 Program_Fail_Count 0x0032 100 100 000 siempre Old_age - 0
172 Erase_Fail_Count 0x0032 100 100 000 siempre Old_age - 0
174 Unexpect_Power_Loss_Ct 0x0032 100 100 000 siempre Old_age - 184
183 SATA_Downshift_Count 0x0032 100 100 000 siempre Old_age - 0
184 End-to-END_ERROR 0x0033 100 100 090 Pre-fail Siempre - 0
187 Uncorrectable_Error_Cnt 0x0032 100 100 050 siempre Old_age - 0
190 Airflow_Temperature_Cel 0x0022 053 065 000 siempre Old_age - 53 (Min / Max 19/65)
192 Power-Off_Retract_Count 0x0032 100 100 000 siempre Old_age - 184
199 UDMA_CRC_Error_Count 0x0032 100 100 000 siempre Old_age - 0
225 Host_Writes_32MiB 0x0032 100 100 000 siempre Old_age - 21422
226 Workld_Media_Wear_Indic 0x0032 100 100 000 siempre Old_age - 65535
227 Workld_Host_Reads_Perc 0x0032 100 100 000 siempre Old_age - 17
228 Workload_Minutes 0x0032 100 100 000 siempre Old_age - 65535
232 Available_Reservd_Space 0x0033 100 100 010 Pre-fail Siempre - 0
233 Media_Wearout_Indicator 0x0032 100 100 000 siempre Old_age - 0
241 Host_Writes_32MiB 0x0032 100 100 000 siempre Old_age - 21422
242 Host_Reads_32MiB 0x0032 100 100 000 siempre Old_age - 4635
249 NAND_Writes_1GiB 0x0013 100 100 000 Pre-fail Siempre - 595
Los valores mostrados para las una SSD pueden ser significativamente diferentes, como se ha visto anteriormente. En particular, los SSD pueden dar una estimación de su vida útil
restante, escribe de diversos tamaños, tipos de errores, fracasos, escribir y otros valores SSD-especí fi cos en el lugar de los otros valores que no se aplican a un SSD.
Todas
Selección Todas será, como su nombre lo indica, mostrar toda la información anterior y también incluye los registros de la unidad y los resultados de la auto-prueba.
Conducir Autopruebas
Para realizar una prueba en una unidad:
• localizar el Realizar comprobación automática Panel en la página
• Selecciona el Dispositivo Probar
• Selecciona el Tipo de prueba
• Hacer clic Prueba
Los tipos de pruebas se describen en las siguientes subsecciones.
28.11. SMART del disco duro de estado 613

De fl ine
Un De fl ine prueba se llama así porque se realiza mientras el disco está en reposo. Esta prueba se puede realizar accediendo a la unidad lenta mientras está sucediendo, pero si hay
una gran cantidad de actividad en el disco, la unidad puede retrasar la prueba hasta que el disco esté sin utilizar de nuevo. Debido a esta variabilidad, la hora exacta de la prueba dura
es difícil de predecir. Una estimación del tiempo necesario para completar una prueba de ine fi para un disco determinado se muestra en la Capacidades inteligentes. Una prueba de fl
ine también hará que la unidad para actualizar varios de los atributos SMART para indicar los resultados. Después de ejecutar una prueba y verificación de los resultados, revise la
atributos SMART de nuevo, así como la Error Iniciar sesión.
Corto
los Corto prueba tarda alrededor de diez minutos y se comprueba la mecánica de la unidad y el rendimiento de la lectura. Una estimación más precisa de la longitud de la
prueba se llevará en una unidad se puede ver en la Capacidades inteligentes. Para ver los resultados de esta prueba, ver el Autotest Troncos. Se puede ejecutar en
cualquier momento y que no suele afectar al rendimiento.
Largo
los Largo prueba es similar a la Corto prueba, pero es más completo. El tiempo empleado por la prueba depende del tamaño del disco, pero es mucho más larga que la
prueba corta por sí mismo. Una estimación más precisa de la longitud de la prueba se llevará en una unidad se puede ver en la Capacidades inteligentes. Al igual que con la
prueba corta, los resultados terminan en el Autotest Troncos.
Transporte
Esta prueba no es compatible con todas las unidades. Su objetivo principal es poner a prueba la unidad después de haber sido trasladado físicamente para determinar si cualquiera de los
componentes han sido dañados por el movimiento. En la mayoría de los casos sólo toma unos minutos para completar. Para determinar si una unidad compatible con una prueba de
transporte, consulte la Capacidades de SMART salida.
Cancelación de pruebas activas
Para cancelar una prueba activa en una unidad:
• localizar el Abortar Panel en la página
• Selecciona el Dispositivo Actualmente se ejecuta una prueba que debe ser cancelado
• Hacer clic Abortar
Se detendrán todas las pruebas activas en la unidad.
Registros de unidad
Los registros de la unidad contienen información y errores, por lo general relacionados con auto-pruebas y potencialmente otros errores encontrados. Para ver los registros de accionamiento:
• localizar el Ver los registros Panel en la página
• Selecciona el Dispositivo para ver
• Selecciona el Tipo de registro

• Hacer clic Ver
Registro de errores
los Error ingrese en una unidad contiene un registro de errores encontrados durante la operación de la unidad, tales como errores de lectura, errores incorregibles, errores de CRC, y así
sucesivamente. Ejecución de una De fl ine prueba también hará que la unidad de impresión más errores aquí si se encuentran durante la prueba.
Registros de autocomprobación
los Autotest registros contienen un registro de varias auto-pruebas recientes se ejecutan en la unidad. Muestra el tipo de prueba, los resultados de la prueba, y en el caso de las
pruebas que se detuvieron prematuramente, se muestra el porcentaje de la prueba restante. Si se produce un error durante una prueba, la dirección de bloque lógico primera
(LBA) se imprime para ayudar a determinar en qué parte del disco del problema reside.
SMTP y Growl Noti fi caciones
El estado del sistema se puede informar pasivamente usando SMTP o Growl cationes Noti fi. Estas noti fi caciones permiten a los clientes recibir alertas
sobre eventos del sistema sin tener que entrar en el cortafuego. Con fi guración y uso de estos mecanismos está cubierta de noti fi caciones .
Ver el contenido de las tablas
Alias y otra lista similar de direcciones se almacenan en una PF estructura llamada Mesa. Estas tablas pueden ser relativamente estática, al igual que con la lista bogons o
alias, o dinámico para cosas como las direcciones IP ronquido o que excedan los límites de conexión. Un alias se convierte en una “tabla” una vez que se ha cargado en el
conjunto de reglas fi cortafuegos. Las tablas pueden contener direcciones IPv4 e IPv6, y las direcciones correspondientes se utilizan en función de las reglas en las que se
hace referencia a las tablas. El contenido de estas tablas se pueden consultar en Diagnóstico> Tablas, el cual sistema y tablas de fi nida por el usuario muestra. En esa
página, seleccione la tabla que desee de la Mesa desplegable y el cortafuego se mostrará su contenido. Si cualquier alias contiene un nombre de host, el contenido de los
alias están pobladas de DNS. Visualización de la tabla resultante aquí con fi rma las direcciones IP que están en la mesa en ese momento.
Las entradas individuales pueden eliminarse haciendo clic al final de su fila. Tablas que se definen de forma manual o
por un fi l se actualizará cuando el sistema realiza una recarga de filtro, así que lo mejor es editar un alias y quitar una entrada en lugar de retirarlo de esta página. La
eliminación de las entradas es el más utilizado para tablas dinámicas para eliminar una entrada antes de que expire automáticamente.
Las tablas por defecto
El cortafuego incluye varias tablas por defecto, en función de los cuales incorporan características:
bogons / bogonsv6 Si cualquier interfaz es con fi gurado con Bloque Bogon Redes activos, estas tablas serán
presente en el cortafuego. Un Actualizar botón también se presenta para las tablas que se Bogon
inmediatamente volver a recuperar los datos bogons lugar de esperar a la actualización mensual normal.
28.12. SMTP y Growl Noti fi caciones 615

tonatsubnets Cuando se utiliza NAT de salida automática, esta tabla muestra la lista de redes para las cuales au-
se realiza NAT saliente tomatic. La inspección de la tabla puede ayudar en el diagnóstico de problemas de NAT difíciles para confirmar
si una subred tendrá saliente automática NAT aplica a su trá fi co.
snort2c Una tabla dinámica que contiene bloqueado delincuentes de paquetes IDS / IPS, Snort y Suricata.
virusprot Una tabla dinámica que contiene las direcciones que han excedido los límites de fi nidas en las reglas de fi cortafuego.
WebCon fi guratorlockout Una tabla dinámica que contiene los clientes que en varias ocasiones los intentos fallidos de interfaz gráfica de usuario de inicio de sesión.
sshlockout Al igual que en WebCon fi guratorlockout sino que se utiliza para el seguimiento de los clientes que no repiten inicio de sesión SSH
intentos.
Prueba de DNS
Diagnóstico> búsqueda de DNS realiza sencillo de avance y retroceso consultas DNS para obtener información sobre una dirección IP o nombre de host, y también para probar
los servidores DNS utilizados por el cortafuego. Para realizar una búsqueda de DNS:
• Navegar a Diagnóstico> búsqueda de DNS
• Entrar a nombre de host o la dirección IP para consultar
• Hacer clic Buscar
Los resultados de la consulta DNS se muestran en la página, junto con la información de apoyo y opciones. Las direcciones devueltas por la
consulta DNS se imprimen en el resultados el panel, junto con el tipo de registro.
Al lado de Buscar botón se llama un nuevo botón Añadir alias, lo que hace exactamente eso: Se crea un alias
debajo Cortafuegos> Alias que contiene los resultados de la consulta como entradas en el alias. Debajo de los resultados es una tabla que muestra la resolución sincronizaciones
por servidor. Esto demuestra la rapidez con cada uno de los servidores DNS con fi gura respondieron a la consulta fi cado, o si nunca respondieron. los Más información panel
contiene enlaces a las funciones Ping y Traceroute en el cortafuego de este alojamiento, y enlaces a herramientas externas para buscar información acerca de quién es dueño
de la máquina o la dirección IP.
Prueba de un puerto TCP
los Diagnóstico> puerto de prueba página realiza una sencilla prueba de conexión de puerto TCP para ver si el cortafuego puede comunicarse con otro huésped.
Esta prueba si un host está en marcha y aceptar conexiones en un puerto dado, al menos desde la perspectiva de la cortafuego. No se transmiten datos al host
remoto durante esta prueba, sólo se intentará abrir una conexión y, opcionalmente, mostrar los datos enviados desde el servidor.
Nota: Esta prueba no funciona para UDP ya que no hay manera de determinar con seguridad si un puerto UDP acepta las conexiones de esta manera.
Para realizar una prueba:
• Navegar a Diagnóstico> puerto de prueba
• Rellenar los campos en la página. los nombre de host y Puerto Se requieren campos, el resto son opcionales.
• Hacer clic Prueba.

Las siguientes opciones están disponibles en esta página:
nombre de host Esta es la dirección IP o el nombre de host del sistema de destino. Este es un campo requerido.
Puerto Este es el puerto TCP en el host de destino a ensayar. Este es un campo obligatorio y debe ser un puerto válido
número, lo que significa un número entero entre 1 y 65.535.
Puerto de origen Si es necesario, un puerto de origen fi cado de forma manual para la consulta. Esto no es necesario en la mayoría de los casos.
Texto remoto Si se selecciona, esta opción muestra el texto dado por el servidor cuando se conecta al puerto. los
servidor se le dan 10 segundos en responder, y esta página se mostrará todo el texto enviado por el servidor en esos 10 segundos. Como tal, la
prueba tendrá una duración de un mínimo de 10 segundos cuando se realiza esta comprobación.
Dirección de la fuente Una dirección específica fuente c IP o IP Alias / CARP virtual IP desde la que será la consulta
expedido. El servicio está probando puede requerir una fuente fi co dirección IP, red, etc, con el fin de establecer una conexión.
Protocolo IP Esta opción selecciona cualquiera IPv4 o IPv6 para controlar qué tipo de dirección de IP se utiliza cuando
dado un nombre de host. Si la conexión se ve obligado a IPv4 o IPv6 y el nombre de host no contiene un resultado usando ese protocolo, que
dará lugar a un error. Por ejemplo si se le obliga a IPv4 y dado un nombre de host que sólo devuelve una dirección IPv6 IP (registro AAAA), no va a
funcionar. Los datos y la información que recopila y muestra pfSense es tan importante como los servicios que presta. A veces parece que los routers
comerciales salen de su manera de ocultar mayor cantidad de información posible de usuarios, pero pfSense puede proporcionar casi toda la información
que cualquier persona podría desear (y algo más). Este capítulo contiene una variedad de métodos para hallazgo información sobre el estado fi cortafuegos,
registros, trá fi co, el hardware, y así sucesivamente.
28.15. Prueba de un puerto TCP 617


CAPÍTULO
VEINTINUEVE
PAQUETES
Instalación de Paquetes
Los paquetes son manejados en Sistema> Paquetes. Los listados de allí, ejemplificado por la figura El paquete de venta , mostrar toda la información acerca de un
paquete: Su nombre, categoría, versión y el estado, un enlace de información de paquetes, y una breve descripción. Mantener los paquetes instalados al mínimo
requerido para un despliegue para una mayor seguridad. La lista de paquetes se presenta en orden alfabético.
Fig. 29.1: paquete de venta
Los paquetes se instalan de la siguiente manera:
• Haga clic en el Paquetes disponibles lengüeta
• Localizar el paquete para instalar en la lista
- Opcionalmente, la búsqueda de un paquete mediante la introducción de un valor en el Término de búsqueda cuadro y haciendo clic Buscar
• Haga clic en el Instalar botón a la derecha de la entrada paquete.
• Hacer clic Con fi rm para proceder a la instalación del paquete
Una vez que la instalación es con rma fi, se muestra la pantalla de instalación del paquete donde se muestra el progreso instalar (figura Después de la instalación de la pantalla
Paquete ).
619
La figura 29.2:. Posteriores a la instalación de la pantalla Paquete
Reinstalar y actualizar paquetes
Los paquetes se vuelven a instalar y actualizados de la misma manera que se instalan:
• Haga clic en el Los paquetes instalados pestaña, la lista se parecerá a la figura Lista de paquetes instalados
• Localizar el paquete para volver a instalar o actualizar en la lista. Si hay una nueva versión disponible que tenga instalada,
Versión del paquete la columna se resaltará indicando las versiones antiguas y nuevas.
• Hacer clic actualizar o para volver a instalar el paquete.
• Hacer clic Con fi rm para proceder con la reinstalación paquete
La figura 29.3:. Instalado Lista de paquetes
620 Capítulo 29. Paquetes

Paquetes de desinstalación
Para desinstalar un paquete:
• Haga clic en el Los paquetes instalados lengüeta
• Localizar el paquete para desinstalar en la lista
• Hacer clic para eliminar el paquete
• Hacer clic Con fi rm para proceder con la eliminación de paquetes
El desarrollo de Paquetes
Para los desarrolladores familiarizados con FreeBSD, pkgng, y PHP, los paquetes no son dif fi cil crear. Los usuarios finales y organizaciones pueden beneficiarse de
desarrollar un paquete que no existe. Para aquellos interesados en la creación de paquetes, los recursos están disponibles en el Wiki de documentación pfSense, comenzar
con el artículo sobre Paquetes de desarrollo . Para enviar un nuevo paquete, crear una solicitud de extracción en Github para el pfSense-repositorio de ports de FreeBSD por lo
que el trabajo puede ser evaluado para su inclusión en el sistema de paquetes para que todos puedan ver.
Una breve introducción a proxies web y presentación de informes: calamar, Squid-

Guardia, y Lightsquid
Esta sección no pretende ser una manera formal, detallada y completa de cómo hacerlo para el uso de calamar y otro software de proxy web relacionada, sino un
resumen de las mismas para su creación y funcionamiento y para cubrir la preguntas más frecuentes acerca de sus capacidades . Esta sección cubre calamar para
cachear las páginas web y las tareas relacionadas, SquidGuard para fi ltrado y controlar el acceso a los contenidos web, y Lightsquid para informar la actividad del
usuario en base a los registros de acceso de calamar. Esta discusión asume la fi cortafuegos tiene una única y simple LAN y WAN sola con fi guración. Si se producen
problemas durante esta con fi guración, visite el Wiki de documentación pfSense y Foro pfSense para la orientación y asistencia adicional.
Ver también:
Los clientes con una pfSense Suscripción Oro puede acceder al Hangouts Archivo para ver el lugar de reunión de marzo de 2014 calamar, SquidGuard y
Lightsquid.
Advertencia: HTTPS trá fi co no pueden ser interceptados transparente en casi todos los casos, esta sección sólo cubre transparente capturar tráfico HTTP c.
Ver Los proxies transparentes y HTTP / HTTPS para detalles.
El almacenamiento en caché de proxy web calamar
Calamar es la base de muchas otras tareas que se inician con un proxy: Puede actuar como una memoria caché para mejorar la web su rendimiento óptimo se puede enganchar en
SquidGuard para el contenido de fi ltrado, y sus registros proporcionan la base para incluir información en el que los usuarios están en marcha La web.
Antes que nada, el paquete de calamar debe estar instalado. Una vez instalado, el paquete debe ser con fi gurado. El calamar con fi guración se divide en varias
pestañas. Antes de salir de una pestaña, haga clic Salvar.
Para iniciar la con fi guración, vaya a Servicios> Squid Proxy Server.
29.3. Paquetes de desinstalación 621

Con fi gura la configuración del calamar de la siguiente manera, a partir de la General lengüeta:
Habilitar proxy Squid Comprobado
Mantener la configuración Comprobado
Interfaces de proxy LAN, bucle invertido
Permitir a los usuarios en la interfaz A cuadros, de manera que los usuarios de LAN serán autorizados a utilizar el proxy.
Proxy HTTP transparente Marcada, por lo que el tráfico HTTP de cliente fi co será interceptada.
proxy para direcciones privada Destino Cuadros, de manera que VPN local y trá fi co pasará por alto la
apoderado.
Proxy para estos Fuente IPs Si ciertas direcciones IP de los clientes locales tienen que utilizar el servidor proxy, puesto
en este cuadro. Varias direcciones, redes o los nombres de alias pueden introducirse separados por un punto y coma.
Proxy para estas direcciones IP Destino Si ciertos servidores remotos necesitan para utilizar el servidor proxy, ponerlos en
esta caja. Varias direcciones, redes o los nombres de alias pueden introducirse separados por un punto y coma.
Habilitar el acceso de registro Si pfSense se está ejecutando en una instalación completa (NO incrustado / NanoBSD) y ac- Web
se necesita reporte Cess, marque esta casilla.
Nombre de host visible Introduzca el nombre de host del cortafuego tal como se presenta a los clientes en los mensajes de error de proxy.
Administrador E-mail Introduzca una dirección de contacto utilizable. Si un usuario se encuentra con un error de proxy, éste será
se muestra al usuario para que puedan ponerse en contacto con la dirección de apoyo. Guardar la
configuración, a continuación, cambiar a la caché local pestaña y con fi gurar la siguiente manera:
Disco duro Tamaño de caché Ajústelo a un valor que es razonable para el espacio de disco disponible y la memoria RAM. Si
corriendo NanoBSD, introduzca 0 aquí.
Sistema de disco duro caché Si se ejecuta NanoBSD, ponga esto en nulo
Otros parámetros de esta pestaña se pueden ajustar según sea necesario para controlar el tamaño de los objetos a ser almacenado en caché, la cantidad de memoria se puede
utilizar para el almacenamiento en caché, y otros ajustes relacionados. Guardar la configuración antes de salir de la página. Si hay más subredes locales detrás de una ruta estática
en la red local, visite el Control de acceso pestaña y añadirlos a la
Las subredes permitidas lista.
Después de haber completado estos pasos con fi guración, el proxy estará en funcionamiento. Si el modo transparente está en uso, la carga de un sitio de prueba de proxy
como http://www.lagado.com/proxy-test se revelan ahora que la solicitud haya sido transferida a través de un proxy.
Control de Acceso SquidGuard Web y Filtrado
El paquete permite SquidGuard muy potente contenido del URL fi ltrado y control de acceso. Se puede utilizar listas negras o listas personalizadas de sitios web, y puede
permitir selectivamente o denegar el acceso a esos sitios. SquidGuard puede trabajar en las instalaciones nuevas y NanoBSD, pero las listas negras sólo podrá ser
utilizado en instalaciones completas. SquidGuard es capaz de mucho más que se tratarán en esta sección. Visita el Wiki de documentación pfSense y Foro pfSense para
obtener más información y tutoriales relacionados.
Para utilizar SquidGuard:
• Instalar y con fi gura calamar tal como se describe en la sección anterior
• Instalar el paquete SquidGuard
• Navegar a Servicios> Filtro Proxy para con fi gura SquidGuard.

Configuración general
• Navegar a Servicios> SquidGuard filtro proxy, Configuración general lengüeta
• Comprobar Habilitar para permitir SquidGuard
• Casillas de verificación para habilitar opcionalmente otras características deseadas, tales como el registro de eventos y registro de eventos bloque GUI
Nota: Después de guardar la configuración en cualquier ficha en SquidGuard, siempre volver a la Configuración general ficha y haga clic en el
Aplicar botón. Hasta que se haya tomado esa acción, no se utilizarán los nuevos ajustes SquidGuard.
Las listas negras
Las listas negras son listas PREDE definida de sitios en categorías específicas, tales como Los sitios sociales, sitios para adultos, sitios de música, y sitios de deportes. Para utilizar las listas
negras, comprobar Lista negra y llenar en una Lista negra de URL. Las dos listas más comunes son la lista MEDOS
y el lista shalla .
Advertencia: Las listas negras no funcionan correctamente en NanoBSD. No intente usarlos en esa plataforma.
Antes de la lista negra puede ser utilizado, debe ser descargado y descomprimido. Para ello, después de guardar la configuración de esta
pestaña, visite el Lista negra ficha y haga clic Descargar.
Advertencia: Si sólo se utilizan listas negras, SquidGuard puede fallar. De fi ne al menos una Categoría Target como se detalla en
Categorías de destino .
Categorías de destino
Categorías de destino son listas personalizadas de sitios u otras expresiones que definen un grupo de elementos que se pueden utilizar para permitir o denegar el acceso. Ellos se
mantienen en el Categorías de destino lengüeta. Al agregar una nueva categoría de destino, se requieren algunas opciones:
Nombre El nombre de la categoría, tal y como aparecerá para la selección de las ACL. El nombre debe tener entre
2 y 15 caracteres alfanuméricos, y el primer carácter Fi debe ser una letra.
Lista de dominios Esta es la lista de nombres de dominio para bloquear, como www.facebook.com, google.com,
microsoft.com, etc. Varios dominios se pueden introducir, separadas por un espacio.
modo redirigir Esta opción controla lo que sucede cuando un usuario está bloqueado por un sitio en esta lista. El valor por defecto
de ninguna No se redirigirá al usuario. La configuración más común es int página de error.
redirigir Si el usuario es redirigido utilizando int página de error, introducir el mensaje de error que se presentará a la
de usuario aquí. Si se utiliza un tipo de redireccionamiento externo, introduzca la URL completa al sitio diana deseado, incluyendo el protocolo
apropiado tal como http: // o https: //.
Listas de acceso (ACL)
Hay dos tipos de entradas de ACL en SquidGuard:
1. ACL Común, que es la ACL por defecto se aplica a todos los usuarios
29.5. Una breve introducción a proxies web y presentación de informes: calamar, SquidGuard y Lightsquid 623
2. Las entradas de Grupo de ACL que se aplican a especí direcciones IP fi c, los grupos de direcciones IP, o redes.
En primer lugar, visite el ACL común lengüeta. Elija las acciones predeterminadas para todas las categorías disponibles a partir de las listas negras o aquellos
de fi nido a nivel local. Para ello, haga clic Lista de reglas de destino , y recoger las acciones deseadas de la lista desplegable al final
de la fila para cada categoría. los El acceso por defecto [todos] opción controla lo que sucede cuando no hay coincidencia se ha encontrado en ninguna de las categorías disponibles.
Después de guardar la configuración, cambiar a la grupo ACL pestaña para crear una entrada para un usuario fi co o grupo de usuarios. El uso de un ACL Group, una excepción a las
normas comunes de ACL puede hacer a mano, ya sea para bloquear el acceso a un sitio que otros pueden alcanzar, o para permitir el acceso a un sitio que los demás se bloquea la
visualización. Para crear un Grupo de ACL:
• Cambiar a la grupo ACL lengüeta
• Hacer clic Añadir para iniciar una nueva entrada y con fi gurar la siguiente manera:
Nombre El nombre de la ACL
Client (fuente) Introduzca la dirección IP del usuario, subred, etc. Los valores pueden introducir múltiples, separados
por espacios.
Lista de reglas de destino Define la lista de acciones para este fi conjunto específico de usuarios
• Volver a la Configuración general lengüeta
• Hacer clic Aplicar
Lightsquid Web Access Reporting
Lightsquid se utiliza para crear informes que detallan el historial web de los ordenadores que han accedido a sitios a través del proxy. Después de que el paquete de
Lightsquid se ha instalado, la configuración del informe pueden encontrarse debajo Estado> Informes de proxy Squid. Advertencia: Esta función no es compatible con
incrustado / NanoBSD instala sin modi fi caciones manuales que están más allá de lo que la mayoría de los usuarios son capaces de realizar.
La apariencia de los informes se pueden personalizar eligiendo el Idioma, el color de bar, y Esquema informe.
los planificador de actualización opción controla la frecuencia del informe se actualizará de forma automática, por ejemplo, cada 30 minutos.
Hacer clic Salvar para almacenar los ajustes y haga clic Renovación completa para construir el informe inicial. Espere unos minutos, a continuación,
haga clic en el Abrir Lightsquid botón para ver el informe.
Si no hay datos en el informe, asegúrese de que Habilitar el registro se establece en calamar, y que el tráfico de usuario fi c va a través del proxy como se
esperaba.
Los proxies transparentes y HTTP / HTTPS
Cuando se utiliza un proxy, sólo es posible interceptar HTTP tráfico transparente c. Es decir, sólo tráfico HTTP C puede ser tomado de forma automática y
forzada a través de un proxy sin intervención por parte del usuario o de su conocimiento. Esto es conveniente, ya que no requiere con fi gurar los ajustes en
el PC del usuario. La desventaja es que Sólo HTTP tráfico c puede ser capturado utilizando este método; No es posible interceptar HTTPS de la misma
manera.

El intento de intercepción transparente HTTPS rompería la cadena de confianza creado por SSL, haciendo que el usuario para ser recibidos con una advertencia certi
fi cado de miedo cuando intentan acceder a un sitio seguro. Esta advertencia sería válida en este caso, debido a que el proxy está llevando a cabo esencialmente un
ataque man-in-the-middle con el fin de inspeccionar tráfico del usuario c. El paquete proxy Squid es capaz de interceptar HTTPS, pero no se puede hacer por
completo sin el conocimiento del usuario o alteraciones en su ordenador. Como mínimo, interceptando HTTPS requiere la instalación de una CA raíz de confianza
que se ha creado para este fin, por lo que el proxy puede aparecer a utilizar certi fi cados válidos. El mejor método es colocar la configuración del proxy en el
ordenador del usuario y / o software de navegación. Esta tarea se puede hacer de forma manual, a través de GPO en un dominio de Windows, mediante DHCP, o
automáticamente utilizando WPAD. Los detalles de los que están más allá del alcance de este libro, pero no hay información sobre muchas de esas tácticas en el Wiki
de documentación pfSense
y Foro pfSense .
El sistema de paquetes pfSense ofrece la posibilidad de ampliar pfSense sin añadir la hinchazón y la capacidad potencial de seguridad vulnerables a la distribución base. Los
paquetes son compatibles con la instalación completa y un conjunto reducido de paquetes están disponibles en las instalaciones integrados basados en NanoBSD.
Nota: NanoBSD instala tener la capacidad de ejecutar algunos paquetes, pero debido a la naturaleza de la plataforma y sus restricciones de escritura en disco, algunos
paquetes no va a funcionar y por lo tanto no están disponibles para la instalación en esa plataforma.
Para ver los paquetes disponibles para la plataforma fi cortafuegos actual que está siendo utilizado, vaya a Sistema> Paquetes, sobre el
Paquetes disponibles lengüeta.
Introducción a los Paquetes
Muchos de los paquetes han sido escritos por la comunidad pfSense y no por el equipo de desarrollo de pfSense. Los paquetes disponibles varían mucho, y
algunos son más maduros y bien mantenido que otros. Hay edades PACK- que instalan y proporcionan una interfaz gráfica de usuario para software de
terceros, tales como calamar, y otros que amplían la funcionalidad de la misma pfSense, al igual que el paquete Utilidad de exportación OpenVPN cliente VPN
que crea automáticamente con fi guración de los archivos.
Con mucho, el paquete más popular disponible para pfSense es el servidor proxy Squid. Se instala más de dos veces más que el siguiente paquete más popular:
SquidGuard, que es un filtro de contenido que funciona con el calamar para controlar el acceso a recursos en la red por los usuarios. No es sorprendente que el tercer
paquete más popular es Lightsquid, que es un paquete de análisis de registros calamar que hace que los informes de los sitios web que han sido visitadas por los
usuarios detrás del proxy. Algunos otros ejemplos de paquetes disponibles (que no están relacionados Calamar) son:
• monitores de ancho de banda que muestran trá fi co por dirección IP, como ntopng y darkstat.
• servicios adicionales, tales como FreeRADIUS.
• Proxies para otros servicios tales como SIP y FTP, y proxies inversos para HTTP o HTTPS como HAProxy.
• Utilidades del sistema tales como NUT para el seguimiento de un UPS.
• utilidades de terceros populares, tales como nmap, iperf y arping.
• BGP enrutamiento, enrutamiento OSPF, edición Cron, agente Zabbix, y muchos, muchos otros.
• Algunos elementos que antes estaban en el sistema base, pero fueron trasladados a los paquetes, tales como RIP (enrutado) Al escribir estas líneas hay más de 40
diferentes paquetes disponibles; demasiadas para cubrirlas todas en este libro! La lista completa de los paquetes que se pueden instalar en un sistema en particular está
disponible desde dentro de cualquier sistema de pfSense de la navegación a Sistema> Paquetes.
La pantalla de paquetes puede tardar un poco más en cargar que otras páginas de la interfaz web. Esto es debido a que el cortafuego obtiene la información del
paquete de los servidores de paquetes pfSense antes de que la página se representa para proporcionar la información del paquete fecha más actualizada. Si el
cortafuego no tiene una conexión a Internet funcional, incluyendo DNS
29.6. Introducción a los Paquetes 625

resolución, esto va a fallar y provocar una noti fi cación. Si la información del paquete se ha recuperado previamente, se mostrará desde la memoria caché, pero la
información será obsoleta. Esto es generalmente causado por un servidor DNS con fi guración que falta o incorrecta. Para conexiones IP estáticas, compruebe que trabaja se
introducen los servidores DNS en el Sistema> Configuración general página. Para aquellos con conexiones asignadas dinámicamente, aseguran los servidores DNS
asignados por el ISP están funcionando. Este tráfico c solamente irá a través de la entrada de defecto en el cortafuego, así asegurar que la puerta de enlace es hacia arriba o
cambiar otra puerta de enlace WAN activo a ser el valor predeterminado.

CAPÍTULO
TREINTA
SOFTWARE DE TERCEROS Y pfSense
Autenticación RADIUS con Windows Server
Windows 2008 y más tarde pueden ser con fi gurada como un servidor RADIUS de Microsoft utilizando la red del servidor de políticas (NPS). Esto permite la autenticación de
OpenVPN, portal cautivo, el servidor PPPoE, o incluso la propia interfaz gráfica de usuario pfSense utilizando cuentas de usuario local de Windows Server o Active Directory.
La elección de un servidor de NPS
NPS requiere una cantidad mínima de recursos y es adecuado para la adición a un existente de Windows de servidor en la mayoría de los
entornos. Microsoft recomienda instalar en un controlador de dominio de Active Directory para mejorar el rendimiento en entornos en los NPS se
autentica en Active Directory. También se puede instalar en un servidor miembro, que puede ser deseable en algunos entornos para reducir la
huella ataque de controladores de dominio. Cada servicio accesible Network- ofrece otra vía potencial para comprometer un servidor. NPS tiene
un registro sólido de seguridad, sobre todo en comparación con otros servicios que deben estar en ejecución en controladores de dominio de
Active Directory para la función, así que esto no es una gran preocupación en la mayoría de los entornos de red. La mayoría de los entornos de
instalación de fuentes de energía nuclear en uno de sus controladores de dominio.
Instalación de fuentes de energía nuclear
En Windows Server 2008:
• Navegar a Administrador del servidor
• Hacer clic Roles A la izquierda y expandirlo
• Hacer clic Agregar funciones a la derecha
• Hacer clic Siguiente para omitir la pantalla de
introducción En Server 2012:
• Abra el Panel de control SystemManager
• Hacer clic Agregar roles y características
• Haga clic en la instalación basada en roles o funciones basadas pasado
• Hacer clic Siguiente una vez más
• Seleccione el servidor de la lista
• Hacer clic Siguiente de nuevo
627
En cualquiera de las versiones de servidor, los siguientes pasos son similares:
• Comprobar Y directivas de redes Servicios de Acceso en la lista de roles
• Hacer clic Agrega características si aparece
• Hacer clic Siguiente en cada pantalla hasta el final del asistente
• Hacer clic Terminar o Instalar, dependiendo de la versión del servidor de Windows
Con fi gurar NPS
Para con fi gurar NPS, abrir el Administrador de servidores y directivas de redes y servicios de acceso (2008) o NAP (2012) deben estar presentes.
Se añadirá un cliente RADIUS para pfSense primero, entonces las políticas de acceso remoto se con fi gura.
Adición de un cliente RADIUS
Abrir el NPS con fi guración: En
servidor 2008:
• Abre el Administrador del servidor árbol
• Expandir la vista debajo de ella hasta Clientes RADIUS y servidor es visible
• Hacer clic Clientes RADIUS
En Server 2012:
• Abre el Administrador del servidor tablero
• Hacer clic SIESTA
• Haga clic derecho en el servidor en la lista de servidores
• Hacer clic Política de red del servidor
• Expandir Clientes RADIUS y servidor
• Hacer clic Clientes RADIUS
Añadir el nuevo cliente RADIUS:
• Haga clic derecho en Clientes RADIUS
• Hacer clic Nuevo, como se muestra en la figura Añadir Nuevo cliente RADIUS
• Entrar a Nombre amigable para el cortafuego, como se muestra en la figura Añadir Nueva Dirección del cliente RADIUS . Este puede ser el nombre de host o FQDN.
• Introducir el (IP o DNS) para el cortafuego, que debe ser la dirección IP desde la que pfSense iniciará solicitudes RADIUS o un FQDN que
se resolverá a esa dirección IP.
Nota: Esta es la dirección IP de la interfaz fi cortafuegos más cercano al servidor RADIUS. Si el servidor RADIUS es accesible a través de la interfaz LAN
inalámbrica cortafuegos, esta será la dirección IP de la LAN. En las implementaciones donde pfSense no es el cortafuegos perimetral fi, y la interfaz WAN
reside en la red interna donde reside el servidor RADIUS, la dirección IP de la WAN es lo que se debe introducir.
• Entrar a Secreto compartido, como se muestra en la figura Añadir Nuevo cliente RADIUS Shared Secret . Este secreto compartido es utilizado por pfSense se
autentifique al hacer peticiones de acceso de RADIUS. Windows puede crear automáticamente una por clic Generar.
628 Capítulo 30. Software de Terceros y pfSense

Fig. 30.1: Añadir Nuevo cliente RADIUS
La figura 30.2:. Añadir nuevo radio Dirección del cliente
30.1. Autenticación RADIUS con Windows Server 629

• Haga clic en Aceptar.
Fig. 30.3: Añadir Nuevo cliente RADIUS Shared Secret
El NPS con fi guración se ha completado. El cliente de RADIUS es visible como en la figura Listado del cliente RADIUS .
Fig. 30.4: Listado del cliente RADIUS
Consulte las secciones anteriores en este libro que describe el servicio para ser utilizado con RADIUS para mayor orientación sobre la forma de utilizar el servicio.
RADIUS se puede utilizar en el Administrador de usuarios ( Gestión de usuarios y autenticación ) Que también permite RADIUS para IPsec y OpenVPN, de portal
cautivo ( Portal de Con fi guración Uso de la autenticación RADIUS ),
y el servidor PPPoE ( PPPoE del servidor ), Entre otros lugares.
Con fi gurar usuarios y directivas de red
Si un usuario puede autenticarse a través de RADIUS se controla a través Directivas de red. Uso de directivas de red, un administrador puede colocar un usuario en un
grupo de Active Directory especí fi ca para permitir el acceso VPN, y también ofrecen capacidades más avanzadas como la hora del día restricciones. Más
información sobre las políticas de acceso remoto se puede encontrar en la documentación de Microsoft en
http://technet.microsoft.com/en-us/library/cc785236%28WS.10%29.aspx .
Adición de una directiva de red
• Abrir la ventana con fi guración NPS
• Expandir NPS (local), Políticas, entonces Directivas de red
• Haga clic derecho en Directivas de red
• Hacer clic Nuevo

• Entrar Dejar de pfSense en el Nombre de directiva
• Deje el Tipo de servidor de acceso a la red ajustado a No especi fi ed
• Hacer clic Añadir En la ventana Especificar Condiciones
• Seleccionar Grupos de Windows
• Introduzca o seleccione el nombre del grupo de usuarios que contiene los usuarios de VPN, por ejemplo, VPNUsers
• Escoger Acceso permitido
• Seleccionar adicional Métodos de autenticación según sea necesario para las funciones de pfSense:
- Deja métodos de autenticación existentes seleccionados
- Seleccionar Microsoft: Contraseña Asegurado (v2 EAP-MSCHAP) Si esta política se usará para IPsec IKEv2 EAP-RADIUS de
autenticación
- Seleccionar Cifrados de autenticación (CHAP)
- Seleccionar Autentificación encriptada (PAP, SPAP)
dejando otros métodos seleccionados que ya estaban habilitados.
• Hacer clic Disminución Si un mensaje para ver un tema de ayuda se presenta por el asistente
• Con fi gura cualquier restricción de acceso adicionales, si es necesario
• Hacer clic Siguiente en las pantallas restantes hasta llegar a la pantalla final
• Hacer clic Terminar
Edición de una directiva de red existente
Las políticas existentes se pueden modificar para cambiar sus limitaciones u otras propiedades. Por ejemplo, para editar una política de más edad a fin de que para el uso de
IPsec para IKEv2 EAP-RADIUS:
• Expandir NPS (local), Políticas, entonces Directivas de red
• Editar la política actualmente en uso
• Haga clic en el restricciones lengüeta
• Hacer clic Métodos de autenticación
• Seleccionar Microsoft: Contraseña Asegurado (v2 EAP-MSCHAP)
• Hacer clic Aplicar para reiniciar NPS
30.1. Autenticación RADIUS con Windows Server 631

Solución de problemas de NPS
Si la autenticación falla, esta sección se describen los problemas más comunes que encuentran los usuarios con fuentes de energía nuclear.
verificar el puerto
En primer lugar garantizar el puerto por defecto 1812 está siendo utilizado por NPS. Si el servidor NPS se ha instalado anteriormente, puede haber sido puertos con fi gurado con no
estándar.
• Haga clic derecho en NPS (local) en la parte superior izquierda de la consola
• Hacer clic propiedades
• Haga clic en el puertos lengüeta
• verificar el Autenticación puerto con fi guración. Especificar varios puertos separándolos con una coma. (Como se muestra en la figura Puertos NPS ). Puerto
1812 debe ser uno de los puertos con fi gurado para la autenticación.
• verificar el Contabilidad puertos si es necesario. Si es necesaria una contabilidad RADIUS, el puerto 1813 debe ser uno de los puertos se especifica en esta caja.
Fig. 30.5: Puertos NPS
Compruebe el Visor de sucesos
Cuando un intento de autenticación RADIUS es respondida por el servidor, los registros de fuentes de energía nuclear en el registro del sistema en Visor de sucesos con el resultado
de la solicitud de autenticación. Si se deniega el acceso, la razón por la que se denegó se registra. En la descripción de campo de las propiedades del evento, la línea Razón dice por
qué ha fallado la autenticación. Los dos fallos comunes son: mala nombre de usuario y contraseña, cuando un usuario introduce credenciales incorrectas; y “permiso de acceso
remoto para

la cuenta de usuario se ha denegado”cuando la cuenta de usuario se establece en Denegar las políticas de red con fi gura en NPS acceso o no permitir el acceso de dicho usuario. Si NPS
está registrando que la autenticación se ha realizado correctamente, pero el cliente está recibiendo un mal mensaje nombre de usuario o contraseña, el secreto RADIUS con fi gurada en
NPS y pfSense no coincide. Los registros de fuentes de energía nuclear en el Visor de sucesos se pueden encontrar fácilmente en Vistas personalizadas, entonces las funciones de
servidor, y finalmente la directiva de red y servicios de acceso.
Syslog Server en Windows con Kiwi Syslog
pfSense puede enviar registros a un servidor externo a través del protocolo syslog ( Registro remoto con Syslog ). Para los usuarios de Windows,
Kiwi Syslog Servidor es una buena opción libre para que recogen registros de pfSense rewalls fi. Puede ser instalado como un servicio de recopilación de registros a largo
plazo, o ejecuta como una aplicación para las necesidades de corto plazo. Es compatible con el servidor y las versiones de escritorio de Windows 2000 y versiones posteriores.
La instalación es sencilla y no requiere de mucha con fi guración. Se puede encontrar ayuda en su documentación después de la instalación.
El uso de software de Sistema de Puertos de FreeBSD (paquetes)
Debido a pfSense se basa en FreeBSD, muchos paquetes familiares de FreeBSD están disponibles para su uso por los administradores del sistema veterano de FreeBSD.
Advertencia: Instalación de software de esta manera no es para los inexpertos, ya que podría tener efectos secundarios no deseados, y no se recomienda ni
apoyado.
Muchas partes de FreeBSD no están incluidos, por lo que la biblioteca y otros problemas pueden ocurrir al intentar utilizar el software instalado de esta manera.
pfSense no incluye un compilador en el sistema base por muchas razones, y como tal, el software no se puede construir localmente. Sin embargo, los paquetes se
pueden instalar desde pre-construido repositorio de paquetes de FreeBSD.
Preocupaciones / Advertencias
Varias preocupaciones importantes deben ser considerados por cualquier administrador antes de decidirse a instalar software adicional para un fi cortafuegos pfSense, sobre
todo el software que no es un paquete sancionado.
Preocupaciones de seguridad
Cualquier software adicional añadido a un cortafuego es un problema de seguridad, y debe ser evaluado completamente antes de la instalación. Si la necesidad es mayor
que el riesgo, puede ser digno de tomar. O fi ciales paquetes pfSense no son inmunes a este problema. Cualquier servicio adicional es otro vector de ataque potencial.
Las preocupaciones de desempeño
La mayoría del hardware corriendo pfSense puede manejar la carga c tráfico con los que tienen la tarea. Si el hardware fi cortafuegos tiene potencia de sobra, no
puede perjudicar el sistema para agregar software adicional. Dicho esto, ser conscientes de los recursos consumidos por el software añadido.
30.2. Syslog Server en Windows con Kiwi Syslog 633

Conflictivos Software
Si una funcionalidad duplicados paquete instalado encontró en el sistema base, o sustituye un paquete de sistema de base con una nueva versión, que
podría causar inestabilidad en el sistema impredecible. Asegúrese de que el software no existe ya en pfSense antes de tratar de instalar nada.
La falta de integración
Ningún software adicional instalado no tendrá la integración de interfaz gráfica de usuario. Para algunos, esto no es un problema, pero ha habido personas que se espera instalar un
paquete y tienen una interfaz gráfica de usuario aparece mágicamente por su con fi guración. Estos paquetes tienen que ser con fi gurada con la mano. Si se trata de un servicio, lo que
significa que también debe asegurarse de que todos los scripts de inicio cabida a los métodos utilizados por pfSense.
El software también puede instalar páginas web adicionales que no están protegidos por el proceso de autenticación en pfSense. Probar cualquier software instalado para
asegurar que el acceso está protegido o filtrada de alguna manera.
La falta de copias de seguridad
Los paquetes instalados de esta manera deben tener ninguna con fi guración o de otro tipo necesaria archivos copia de seguridad de forma manual.
Estos archivos no se respaldarán durante una copia de seguridad pfSense normal y podría perderse o ser cambiado durante la actualización de fi rmware. El paquete adicional se describe en Los
archivos de copia de seguridad y directorios con el paquete de copia de seguridad es capaz de realizar copias de seguridad fi les como estos.
Instalación de Paquetes
Para instalar un paquete, el paquete de sitio adecuado debe ser utilizado. pfSense está compilado con una especificidad c FreeBSD rama de lanzamiento, y sólo tiene un fi co conjunto
específico de paquetes alojados en los servidores del proyecto.
Paquetes ubicados en el repositorio de paquetes de pfSense, incluyendo algunos paquetes de software de FreeBSD que no forman parte de pfSense, se pueden instalar
utilizando PKG instalar directamente:
# PKG instalar iftop
O utilizar una dirección URL completa a una PKG complemento para añadirlos a los servidores de paquetes de FreeBSD:
# PKG añadir http://pkg.freebsd.org/freebsd:10:x86:64/quarterly/All/iftop-1.0.p4.txz
El paquete será descargado e instalado, junto con las dependencias necesarias. Adicionalmente,
el completo conjunto de paquetes de FreeBSD Puede ser hecho disponible por edición
/usr/local/etc/pkg/repos/pfSense.conf y el cambio de la línea de primera a:
FreeBSD: {permitido: Sí}
Advertencia: Adición de software desde los repositorios de paquetes de FreeBSD puede introducir problemas con el CIES paquete de dependen-, especialmente si
un paquete depende de otra pieza de software que ya existe en pfSense que puede haber sido construido con con fl opciones contradictorias. Tome mucho
cuidado al añadir paquetes de esta manera.
Los paquetes personalizados también se pueden construir en otro equipo que ejecuta FreeBSD y entonces el paquete fi l pueden ser copiados e instalados en una fi
cortafuegos pfSense. Debido a la complejidad de este tema, no se cubrirá aquí.

El mantenimiento de Paquetes
El siguiente comando imprime una lista de todos los paquetes instalados, incluyendo los paquetes pfSense y partes del sistema de base de pfSense:
# información PKG
Para borrar un paquete instalado, pase su nombre completo o utilizar un comodín:
# pkg_delete iftop-1.0.p4
# pkg_delete pstree- \ *
Con fi gura BIND como un RFC 2136 Servidor DNS dinámico
Si el DNS para un dominio se controla directamente en un servidor BIND, RFC 2136 DNS dinámico de apoyo puede ser configurado para su uso por pfSense. En
esta sección se muestra c omo con BIND fi gura para admitir esta función. La ubicación exacta del directorio con fi guración de BIND variará según el sistema
operativo. Podría ser en

/ Usr / local / etc / namedb /, / Etc / namedb /, o en otro lugar.
Ver también:
Ver Con fi gurar RFC 2136 actualizaciones dinámicas de DNS para más información sobre el RFC 2136 DNS dinámico.
Con fi gura el servidor BIND
En el servidor de named.conf, añadir el siguiente bloque:
incluir "/etc/namedb/dns.keys.conf"; zona "dyn.example.com" {
type master;
presentar "dinámico / dyn.example.com";
update-policy {subvención * .dyn.example.com. dyn.example.com auto. A AAAA; }; };
A continuación, crear la zona inicial fi l. BIND requiere acceso de lectura / escritura a este expediente y el directorio en el que reside de manera que la zona y su revista
pueden ser actualizadas.
Advertencia: BIND volverá a escribir esta zona fi l, por lo que un subdominio se utiliza en el ejemplo.
A partir de ahí, crear el archivo de zona fi para la nueva zona dinámica, dinámico / dyn.example.com $ ORIGEN
.
$ 30 TTL ; 30 segundos
dyn.example.com IN SOA ns.example.com. hostmaster.example.com. (2016062801; serial 3600
; volver a cargar (1 hora)

600 ; reintento (10 minutos)
2600 ; expirarán (43 minutos 20 segundos)
30 ; mínima (30 segundos)
)
NS ns.example.com.
NS ns2.example.com.
Actualizar el servicio denominado usando rndc recarga o un comando similar, y luego, si algún servidores de nombres esclavos están en su lugar, añadir una zona a esos
servidores, así:
30.4. Con fi gura BIND como un RFC 2136 Servidor DNS dinámico 635
zona "dyn.example.com" {
tipo de esclavo;
presentar "dinámico / dyn.example.com"; amos {192.0.2.5;
}; };
En el servidor de nombres maestro, que el directorio de claves:
# mkdir -p / etc / namedb / teclas
Y ahora generar una clave de host. La segunda línea es la salida del comando, no parte del propio comando.
# / Usr / sbin / dnssec-keygen -K / etc / namedb teclas / -a -b HMAC-MD5 128 myhost.dyn.example.com HOST -n.
Kmyhost.dyn.example.com. + 157 + 32 768
La salida Kmyhost.dyn.example.com. + 157 + 32 768 es la primera parte del nombre de archivo de la clave fi, añadirá
. privado a una fi l y. llave a otro. Ambos contienen los mismos datos en diferentes formatos. Ahora lee la clave de la
nueva clave fi le:
# / Usr / bin / grep ^ Clave: /etc/namedb/keys/Kmyhost.dyn.example.com.+157+32768.private | / Usr / bin / awk '{Print $ 2; }'
/ 0 / 4bxF9A08n / ZKE / vANyQ ==
Y luego añadir que la clave para dns.keys.conf:
myhost.dyn.example.com clave. {
algoritmo HMAC-MD5;
secreto "/ 0 / 4bxF9A08n / ZKE / vANyQ =="; };
Esto se puede automatizar con un guión sencillo, make-ddns-host.sh:
# ! / Bin / sh
KEY_NAME = ps 1 }
KEY_DIR = / / / namedb llaves, etc.
KEYS_CONFIG = /etc/namedb/dns.keys.conf / bin / mkdir -p ps KEY_DIR
}
discos compactos ps KEY_DIR }
KEY_FILE_NAME = ` / Usr / sbin / dnssec-keygen -K ps KEY_DIR } -b -a HMAC-MD5 128 HOST -n ps KEY_NAME } . `

KEY_TEXT = ` / Usr / bin / grep "^ Clave:" ps KEY_DIR } / ps KEY_FILE_NAME } .private | / Usr / bin / awk '{Print $ 2; } ' `
eco "llave ps KEY_NAME } . {" >> ps KEYS_CONFIG }
eco " algoritmo HMAC-MD5;" >> ps KEYS_CONFIG }
eco " \ Secreta" ps KEY_TEXT } \ ";" >> ps KEYS_CONFIG }
eco "};" >> ps KEYS_CONFIG }
eco "La clave para ps KEY_NAME } es: ps KEY_TEXT } "
Después de hacer el expediente, hacerlo ejecutable:
# chmod u + x make-ddns-host.sh
Para utilizar la secuencia de comandos:
# . /make-ddns-host.sh mynewhost.dyn.example.com
# rndc recarga
Con fi gurar un Cliente en pfSense
Para añadir una entrada de DynDNS en la GUI pfSense:
• Navegar a Servicios> DNS dinámico, RFC 2136 lengüeta

• Hacer clic Añadir para crear una nueva entrada con los siguientes ajustes:
Habilitar Comprobado
Interfaz PÁLIDO
nombre de host La fi completamente cuali ed nombre de host, por ejemplo, xxxxx.dyn.example.com
TTL 30
Nombre de clave El nombre de host totalmente calificado fi cada vez más, exactamente: xxxxx.dyn.example.com
Tipo de clave de host clave clave secreta para este
nombre de host
Servidor La dirección IP o nombre de host del servidor BIND
Protocolo Desenfrenado
Descripción Mi entrada DynDNS
Suponiendo que el cortafuego tiene conectividad con el servidor de nombres, y no existen otras políticas de acceso que impidan la actualización, RFC 2136 servicio
DynDNS está trabajando ahora. Si la actualización no funciona, compruebe el registro de vinculación y el registro del sistema en pfSense.
Si bien este libro se centra en pfSense, hay una serie de paquetes de software de terceros que pueden ser con fi gurado para interoperar con pfSense o
aumentar su funcionalidad. En este contexto, software de terceros se refiere a software disponibles de otros proveedores o fuentes que pueden utilizarse
junto con pfSense, pero no se considera parte del “sistema pfSense”. Estos son diferentes de paquetes de pfSense, que son software adicional que se
ejecuta en el sistema pfSense y se integra en el GUI del sistema.
30.4. Con fi gura BIND como un RFC 2136 Servidor DNS dinámico 637

CAPÍTULO
TREINTA Y UNO
captura de paquetes
Seleccionar la interfaz adecuada
Para realizar una captura de paquetes, en primer lugar determinar la ubicación desde la que se debe tomar la captura. Una captura del paquete será diferente
dependiendo de la interfaz elegida y en ciertos escenarios es mejor para capturar en una interfaz especí fi co, y en otros, la ejecución de múltiples capturas
simultáneas en distintas interfaces es preferible. Usar tcpdump en la línea de comandos, los nombres de interfaz “reales” que van con los nombres descriptivos
que se muestran en la WebGUI deben ser conocidas. Visitar Interfaces> (asignar) y hacer una nota de qué interfaces físicas (por ejemplo, igb1),
corresponden con los nombres interfaces amigables en la fi cortafuegos (por ejemplo, WAN). Interfaces reales vs. nombre descriptivo enumera los nombres de interfaces no
asignados adicionales comunes que están presentes en muchos rewalls fi, dependiendo de su con fi guración.
Tabla 31.1: Interfaces reales vs. nombre descriptivo
/ Nombre físico real Nombre amigable

enc0 IPsec, el tráfico cifrado fi c
ovpnc0 ... ovpnc <x>, ovpns0 ... ovpns <x> OpenVPN, trá fi cifrada pppoe0 c (clientes, servidores) ... PPPoE <x>,
poes0 ... poes <x> PPPoE WAN, servidor PPPoE
l2tp0 ... l2tp <x>, l2tps0 ... l2tps <x> L2TP WAN, servidor L2TP
lo0 interfaz de bucle invertido
pfsync0 pfsync interfaz - utilizado internamente

p fl og0 PF registro - utilizado internamente
Cuando se selecciona una interfaz, comenzar con en el que el trá fi co fluye en el cortafuego. Por ejemplo, si un usuario está teniendo problemas para
conectarse a un puerto hacia delante desde fuera de la red, comenzar con el interfaz WAN ya que es donde el tráfico c origina. Si un PC cliente no puede
acceder a Internet, comenzar con la interfaz LAN. En caso de duda, trate de múltiples interfaces y filtro para las direcciones IP o puertos en cuestión, teniendo
en cuenta cuando se aplica NAT.
Limitar el volumen de captura
Cuando la captura de paquetes, lo que limita el volumen de los paquetes capturados es importante. Sin embargo, el límite no debe ser demasiado baja para que se captura toda la información
pertinente de trá fi co para el problema que se está troubleshooted. Capturar archivos también consumen espacio en disco, lo que puede ser un factor en sistemas con unidades más
pequeñas. Las grandes capturas también tomarán más tiempo para descargar, que puede ser un problema en los sistemas remotos con capacidad de subida lenta WAN.
Al capturar sin fi ltrado en la mayoría de las redes, incluso para corto período de tiempo, grandes cantidades de datos va a terminar en la captura de excavar a través al
intentar localizar el problema. filtros Display Fi en Wireshark pueden limitar el que se muestran partes de una captura existente fi le, pero fi ltrado apropiadamente en el
momento de la captura es preferible mantener la captura fi le tamaño hacia abajo y para reducir el tiempo de procesamiento. Los filtros se analizan más adelante en este
capítulo. Con un filtro de paquetes y recuento apropiada, la captura de los archivos puede ser manejable y contienen información útil.
639
Captura de paquetes desde los WebGUI
WebGUI ofrece un fácil de usar interfaz para tcpdump que realiza capturas de paquetes que puede ser visto o descargado para su análisis más profundo en Wireshark. Debido
a su simplicidad, sólo puede ofrecer algunas opciones para fi ltrado de tráfico deseada fi co. A pesar de sus limitaciones, es su fi ciente para las necesidades de captura de la
mayoría de los usuarios. Si las opciones disponibles en la interfaz gráfica de usuario están demasiado limitante, vaya a Usando tcpdump desde la línea de comandos .
Conseguir una captura de paquetes
Para hacer una captura de paquetes en la interfaz gráfica de usuario, vaya a Diagnóstico> Captura de paquetes.
Con fi gura las opciones de la página de la siguiente manera:
Interfaz La interfaz de red fromwhich serán capturados paquetes. Cada interfaz asignada en la re fi
pared aparecerá en la lista, junto con una entrada para IPsec, y las entradas individuales para cada cliente OpenVPN y el servidor.
Habilitar el modo promiscuo Cuando se activa, una captura incluirá toda tráfico de llegar a la NIC para c
cualquier dirección MAC de destino. Sin modo promiscuo, será capturado solamente tráfico c destinado para el host o de difusión. Ciertas tarjetas
de red no manejan modo promiscuo bien, así que esto no está seleccionada de forma predeterminada.
dirección familiar Limita la captura de sólo IPv4 o IPv6 únicamente trá fi co. Esto es útil cuando no fi ltrado por
Dirección IP.
Protocolo Listas protocolos comunes, tales como TCP, UDP, ICMP, icmp6, CARP y otros, y una exclusión
opción para cada uno. Para limitar la captura a uno de estos protocolos, seleccionarlo de la lista. Para excluir uno de los protocolos, seleccione la
opción para el protocolo pre fi jo con Excluir. La interfaz gráfica de usuario va a rechazar un intento de presentar una combinación no válida (egIPv4
solamente y icmp6).
Dirección del servidor Filtros tráfico va a o desde un host fi específico o subred CIDR-enmascarado c. Deje el campo
en blanco para capturar trá fi co hacia y desde cualquier host. Algunos lógica es posible el uso de este campo:
exclusiones Pre fi x con una dirección! para excluirlo de la captura
Y booleana Unir dos direcciones con una coma (,) para capturar trá fi co entre sólo el
especí hosts fi ed (por ejemplo, xxxx, yyyy)
booleano OR Unir dos o más hosts con una barra vertical (|) para capturar trá fi co hacia o desde cualquiera de los
hosts fi cados. (p.ej xxxx | aaaa | zzzz)
Puerto Rellenar un número de puerto para limitar la captura a sólo TCP o UDP que coincida con el puerto de fi cado como fuente
o puerto de destino.
Longitud del paquete Establece el tamaño del propio paquete a capturar. Por lo general, el paquete completo es mejor ( 0), pero para
capturas de funcionar durante períodos más largos de tiempo, donde las cabeceras importar más que la carga útil de los paquetes, lo que limita
este a 64 bytes o, dará lugar a una captura mucho más pequeña fi l que todavía puede tener datos suficientes para solucionar problemas.
Contar Determina el número de paquetes para capturar antes de detenerse. Si la captura no se limita en modo alguno,
tener en cuenta que esto puede ser “ruidoso” y este valor podría tener que aumentar de forma significativa más allá del defecto 100, como
1000 o 10000.
Nivel de detalle Selecciona la cantidad de detalles que se mostrará en la interfaz gráfica de usuario cuando se ve una captura. Lo hace no
cambiar el nivel de detalle en la captura en sí fi le. Este valor puede ser cambiado después, haga clic
Ver captura para mostrar la captura con el nuevo nivel de detalle.
640 Capítulo 31. Captura de paquetes

Búsqueda de DNS inversa Causas una búsqueda DNS inversa que se realizará en los hosts incluidos en el paquete
capturar. No recomendamos el uso de esta opción, ya que retrasará la salida debido al tiempo adicional tomado por las búsquedas de DNS inversa.
También es más fácil de solucionar problemas durante la visualización de las direcciones IP en lugar de nombres de host y DNS inversa a veces
puede ser inexacta.
Hacer clic comienzo para comenzar la captura de paquetes. La página mostrará “captura de paquetes está en funcionamiento” en la parte inferior, lo que indica la captura está
en proceso.
Hacer clic Detener al finalizar manualmente la captura y ver la salida. Si un recuento máximo de paquete fue especi fi cado para la captura, se detendrá
automáticamente cuando se llega a ese recuento.
Visualización de los datos capturados
La salida de captura se puede ver en el WebGUI, o descargado para verlos más tarde en un programa como Wireshark. Para obtener más detalles sobre el uso de Wireshark para ver una
captura de fi le, véase Visualización de Captura de paquetes de archivos más adelante en este capítulo.
Cuando la página de captura de paquetes se carga después de una captura se ha completado, una Ver captura se presenta botón
que mostrará los paquetes de la última ejecución de captura. Selecciona el Nivel de detalle opción antes de hacer clic en este botón para ajustar el contenido de la
pantalla.
Hacer clic Descargar Capture descargar fi l para su posterior visualización. La salida se muestra en la Los
paquetes capturados marco está en estándar tcpdump estilo.
Usando tcpdump desde la línea de comandos
los tcpdump programa es una utilidad de captura de paquetes de línea de comandos proporcionada con la mayoría de distribuciones de sistemas operativos UNIX y UNIX,
incluyendo FreeBSD. También se incluye con pfSense, y utilizable a partir de una concha en la consola o a través de SSH. Es una herramienta muy poderosa, pero que
también hace que sea desalentador para el usuario no iniciado. El binario de tcpdump en FreeBSD 10.3 soporta 50 diferentes de línea de comandos fl ags, posibilidades
ilimitadas con expresiones filtrantes, y su página de manual, proporcionando sólo un breve resumen de todas sus opciones, es casi 1200 líneas de largo y 67k. Después de
aprender a usarlo, el conocimiento de cómo interpretar los datos que proporciona también necesario, que puede requerir una comprensión en profundidad de los protocolos
de red.
Una revisión completa de captura de paquetes y la interpretación de los resultados se encuentra fuera del alcance de este libro. De hecho, libros enteros se han
escrito sobre este tema solo. Para aquellos con sed de más de conocimientos básicos en la materia, algunas recomendaciones para la lectura adicional se
proporcionan al final de este capítulo. Esta sección está destinada a proporcionar una introducción a este tema, y dejar al lector con conocimientos suficientes para
solucionar problemas básicos.
tcpdump fl línea de comandos AGS
La siguiente tabla muestra la línea de comandos que se utiliza con mayor frecuencia fl ags con tcpdump. Cada opción se discutirá con más detalle en esta sección.
31.4. Usando tcpdump desde la línea de comandos 641

Tabla 31.2: Banderas tcpdump más utilizadas
Bandera Descripción
- i <interfaz> Escuchar en <interface>, .eg “-i igb0”
-n No lleve a cabo la resolución de DNS inversa en direcciones IP
- w <fi nombre de archivo> Guardar captura en formato pcap a <fi nombre de archivo>, por ejemplo, “-w /tmp/wan.pcap”
-s Snap longitud: cantidad de datos a ser capturado desde cada trama
- c <paquetes> Salir después de recibir un número c especificidad de paquetes
-pag No poner la interfaz en modo promiscuo

-v salida detallada
-e Imprimir encabezado de capa de enlace en cada línea
- i fl ag
Los - yo fl ag especí fi ca de la interfaz en la que va a escuchar tcpdump. Utilice nombres de interfaz de FreeBSD aquí, tales como igb0, em0, vmx0, etcétera
- n fl ag
No resolver direcciones IP utilizando DNS inversa. Cuando esta opción está no especí fi ed, tcpdump llevará a cabo una búsqueda DNS inversa (PTR) para cada
dirección IP. Esto genera una cantidad significativa de tráfico DNS fi co en las capturas al mostrar grandes volúmenes de trá fi co. Desactive esta para evitar la adición
de la carga a los servidores DNS. Recomendamos utilizar siempre - norte ya que elimina el retraso entre la captura de un paquete y su pantalla que es causada por la
realización de la búsqueda inversa. También direcciones IP tienden a ser más fácil de leer y comprender que sus registros PTR. Esa es una cuestión de preferencia
personal, sin embargo, y en ambientes familiares donde se sabe que los registros PTR para proporcionar los nombres de host de los dispositivos reales, capturas Se
podrá realizar sin - norte para mostrar los nombres de host. Otra razón para usar - norte, es ser “furtivo”. Un medio de detección de captura de paquetes está buscando
picos y patrones en las búsquedas DNS PTR. Saltarse la búsqueda de DNS no causará ningún extra trá fi co que se genere en el proceso.
- w fl ag
tcpdump permite la captura de los archivos que se guardan en formato pcap para su posterior análisis o análisis en otro sistema. Esto se hace comúnmente a partir de la
línea de comandos sólo dispositivos como pfSense por lo que el expediente se puede copiar en un rodaje de acogida Wireshark u otro analizador de protocolo de red
gráfica y revisado allí. Al guardar en una fi l usando - w, los marcos no se mostrarán en la terminal, ya que de lo contrario son.
Ver también:
Ver Uso de Wireshark con pfSense para obtener más información sobre el uso de Wireshark con pfSense.
- s fl ag
Por tcpdump por defecto sólo ahorrará el primer 64 bytes de cada cuadro cuando se captura a un archivo. Esto es suficiente para conseguir la cabecera IP y el protocolo para la mayoría de
los protocolos, pero limita la utilidad de captura de archivos. Mediante el uso de la - s abanderamiento, tcpdump se le puede decir qué parte de la estructura de capturar, en bytes. Esto se
llama la longitud broche de presión.
Tabla 31.3: Ejemplo Usos de -s tcdump
Descripción de la bandera
- s 500 Captura la primera 500 bytes de cada trama

-s0 Capturar cada cuadro en su totalidad

En la mayoría de los casos, el uso de - s 0 es la mejor práctica cuando se captura a un fi l para el análisis en otro sistema. La única excepción a esto es escenarios en los que
una cantidad significativa de tráfico c debe ser capturada durante un período de tiempo más largo. Si la información que se busca es conocido por ser en la cabecera, el valor
predeterminado 64 bytes de cada trama se pueden utilizar para obtener la información requerida mientras que signi fi cativamente reducir el tamaño de la captura resultante fi l.
- c fl ag
Para capturar un cierto número de fotogramas y luego salir, utilice el - do pabellón. Ejemplo de uso: tcpdump saldrá después de capturar 100 imágenes
especificando - c 100.
- p fl ag
Normalmente, cuando la captura de tráfico c con tcpdump, se pone la interfaz de red en modo promiscuo. Cuando no se está ejecutando en modo promiscuo, el
NIC sólo recibe las tramas destinadas a su propia dirección MAC, así como la difusión y direcciones de multidifusión. Cuando se enciende en modo promiscuo, la
interfaz muestra cada trama en el alambre que llega a la interfaz de red. En una red conmutada, por regla general, tiene poco impacto en la captura. En redes en
las que el dispositivo está conectado a un conmutador virtual también en modo promiscuo, o un concentrador, usando - pag puede signi fi cativamente de ruido
límite en la captura cuando la única fi c tráfico de interés es hacia y desde el sistema de realizar la captura.
- v pabellón
Los - v fl ag controla el detalle, o nivel de detalle, de la salida. El uso más opciones “v” brinda mayor detalle, a fin de utilizar - v, -vs,
o - vvv para ver más detalle en la salida impresa a la consola. Esta opción no afecta el detalle almacenado en una captura fi l cuando se utiliza el - w cambiar,
sino que en lugar hacer que el proceso de informar el número de paquetes capturados cada 10 segundos.
- e fi ag
Normalmente tcpdump no muestra ninguna información de la capa de enlace. Especificar - mi para mostrar el origen y las direcciones MAC de destino, y la información de la etiqueta
de VLAN para cualquier trá fi co etiquetados con VLAN 802.1Q.
captura Ejemplo sin -e
Esta captura muestra la salida por defecto, que no contiene información de capa de enlace:
# tcpdump -ni igb1 -c 5

tcpdump: salida detallada suprimida, utilice -v o -VV para decodificar protocolo completo que escucha en igb1, de tipo enlace EN10MB
(Ethernet), tamaño de captura de 96 bytes
23: 18: 15.830706 IP 10.0.64.210.22> 10.0.64.15.1395: P 2023587125: 2023587241 (116) ack 2091089207 ganar 65 535 23: 18: 15.830851 IP 10.0.64.210.22> 10.0.64.15.1395: P 116: 232 (
ACK ganar 65535 23: 18: 15.831256 IP 10.0.64.15.1395> 10.0.64.210.22:. ack 116 ganar 65299
23: 18: 15.839834 IP 10.0.64.3> 224.0.0.18: VRRPv2, Anuncio, VRID 4, prio 0, AuthType ninguno, 1s a intervalos La, longitud de 36 23: 18: 16.006407 IP 10.0.64.15.1395> 10.0.64.210.22: . A
paquetes capturados
captura Ejemplo utilizando -e
Aquí la información de capa de enlace se incluye mediante el uso de - mi. Tenga en cuenta el origen y destino direcciones MAC, además de las direcciones IP de origen
y de destino:

# tcpdump -ni igb1 -e -c 5

23: 30: 05,914958 00: 0c: 29: 0b: c3: ed> 00: 13: d4: f7: 73: d2, ethertype IPv4 (0x0800), longitud 170: 10.0.64.210.22> 10.0.64.15.1395: P 2023592509: 2023592625 (116) ack 2091091355 g
10.0.64.15.1395: P 116: 232 (116) ack 1 ganar 65 535 23: 30: 05,915396 00: 13: d4: f7: 73: d2> 00: 0c: 29: 0b: c3: ed , ethertype IPv4 (0x0800), longitud 60: 10.0.64.15.1395> 10.0.64.210.22:
23: 30: 05,973359 00: 00: 5e: 00: 01: 04> 01: 00: 5e: 00: 00: 12, ethertype IPv4 (0x0800), longitud 70: 10.0.64.3> 224.0.0.18: VRRPv2, Publicidad, vrid 4, prio 0, AuthType ninguno, 1s a interv
232 ganar 65183 5 paquetes capturados
tcpdump Filtros
En la mayoría de los rewalls fi ejecutan tcpdump sin filtros producirá tanto de salida que va a resultar muy difícil de encontrar trá fi co de interés. Existen
numerosas expresiones fi ltrado disponibles que limitan el trá fi co muestra o capturado.
Anfitrión filtros
Para filtro para un fi anfitrión específico c, anexe anfitrión y la dirección IP a la tcpdump mando. Para filtro para el anfitrión
192.168.1.100 utilice el siguiente comando:
# tcpdump igb1 -ni 192.168.1.100 anfitrión
Que capturará todas de trá fi co hacia y desde ese host. sólo para capturar tráfico c bienestar iniciado por que host, utilice el src
directiva:
# tcpdump igb1 -ni 192.168.1.100 anfitrión src
Del mismo modo, fi ltrado para tráfico c destinado a esa dirección IP es posible mediante la especificación DST:
# tcpdump igb1 -ni 192.168.1.100 anfitrión dst
Los filtros de red fi
filtros de red estrechan la captura a una subred específico utilizando la red expresión. Siguiendo red, especificar un quad de puntos ( 192.168.1.1), punteada triple ( 192.168.1),
par de puntos ( 192.168) o simplemente un número ( 192). Un quad de puntos es equivalente a especificar anfitrión, un triple de puntos utiliza una máscara de subred
255.255.255.0, un par de puntos utiliza 255.255.0.0, y un número solo utiliza 255.0.0.0.
El siguiente comando muestra tráfico c hacia o desde cualquier host con una 192.168.1.x Dirección IP:
# tcpdump igb1 -ni red 192.168.1
El siguiente comando capturará trá fi co hacia o desde cualquier host con una 10.xxx Dirección IP:
# tcpdump igb1 -ni neta 10
Esos ejemplos capturar toda trá fi co hacia o desde la red fi cado. los src o DST palabras clave pueden usarse el mismo que con anfitrión filtros para
capturar sólo trá fi co iniciado por o con destino a la red fi cado:
# tcpdump -ni igb1 src neta 10
Una máscara CIDR también se puede transmitir como argumento para red:
# tcpdump -ni igb1 src red 172.16.0.0/12

filtros de protocolo y de puertos
Estrechando por el anfitrión o red con frecuencia no es suficiente para eliminar el tráfico innecesario fi co de una captura. O el origen o destino de trá fi co
pueden no ser significativos, y todas de trá fi co de un cierto tipo debe ser capturado. En otros casos, fi ltrado toda trá fi co de un tipo especí fi co puede
reducir el ruido.
filtros de puerto TCP y UDP fi
Para filtro en los puertos TCP y UDP, utilice el Puerto directiva. Esto captura TCP y fi tráfico UDP c utilizando el puerto fi cado ya sea como un puerto de
origen o destino. Se puede combinar con tcp o UDP para especificar el protocolo, y src o
DST para especificar un puerto de origen o destino.
Capturar todo el tráfico HTTP fi co
# tcpdump puerto TCP igb1 -ni 80
Capturar todo el tráfico DNS fi co Capturar todo el tráfico DNS fi co (por lo general UDP, pero algunas consultas utilizan TCP):
# tcpdump puerto igb1 -ni 53
filtros de protocolo fi
protocolos especí fi cos pueden filtran usando el proto Directiva o utilizando el nombre del protocolo directamente. Los parámetros pasados a la proto directiva puede ser
especi fi usando el número de protocolo IP o uno de los nombres ICMP, IGMP, IGRP, pim, ah, ESP, carpa, VRRP, UDP, o tcp. Debido a que los nombres de protocolos
normales son palabras reservadas, deben ser escapados con una o dos barras invertidas cuando se utiliza con el proto Directiva, dependiendo de la cáscara. La cáscara
disponible en pfSense requiere dos barras invertidas para escapar de estos nombres de protocolo. Si se devuelve un error de sintaxis, compruebe que el nombre del
protocolo se escapó correctamente.
La siguiente captura mostrará todos ICMP trá fi co en el igb1 interfaz:
# tcpdump -ni igb1 proto \\ ICMP
Especificación carpa para el protocolo capturará CARP trá fi co pero también necesita - T carpa con el fin de interpretar los paquetes CARP correctamente cuando se ve
la salida utilizando tcpdump. La interfaz gráfica de usuario hace que este ajuste automáticamente al capturar CARP.
La siguiente captura mostrará todas las carpas de trá fi co en el igb1 de la interfaz, que puede ser útil para asegurar CARP tráfico c está siendo enviado y recibido
en la interfaz fi cado. También omite la proto palabra clave, lo que demuestra que funciona por sí solo:
# tcpdump -i igb1 -T carpa carpa
La negación de un partido de filtro
Además de búsqueda de parámetros específicos, un partido de filtro puede ser negado especificando no delante de la expresión de filtro. Cuando la solución
de algo distinto de la carpa, y sus latidos de multidifusión se saturan la salida de captura, excluirlo de la siguiente manera:
# tcpdump -ni igb1 no proto \\ carpa

La combinación de filtros
Cualquiera de los filtros antes mencionados se pueden combinar usando y o o. Las secciones siguientes proporcionan algunos ejemplos.
Ver todas a tráfico HTTP fi c hacia y desde un anfitrión
Mostrar todo el tráfico HTTP fi co hacia o desde 192.168.1.11:
# tcpdump -ni anfitrión igb1 192.168.1.11 y el puerto TCP 80
Mostrar todo el tráfico HTTP fi co hacia y desde múltiples hosts
Ver todas a tráfico HTTP fi c de cualquiera 192.168.1.11 o 192.168.1.15:
# tcpdump -ni 192.168.1.11 anfitrión igb1 o host 192.168.1.15 y el puerto TCP 80
el uso de la expresión de filtro
Las expresiones de filtro deben venir después de cada fl ag línea de comandos utiliza. La adición de cualquier AGS fl después de una expresión de filtro dará lugar a un error de sintaxis.
orden incorrecto
# tcpdump -ni igb1 -T carpa carpa -c tcpdump 2: error de sintaxis
orden correcto
# tcpdump -ni igb1 -T carpa -c 2 carpa

tcpdump: salida detallada suprimida, usar -v o -VV para decodificar protocolo completo que escucha en igb1, de tipo enlace EN10MB
14: 50: 07,426993 IP 198.51.100.12> 224.0.0.18: CARPv2-anunciar 36: vhid = 11 advbase = 1 advskew = 0 authlen = 7 contador = 5449924379588860810 14: 50: 08,436849 IP 198.51.100.1
advskew = 0 authlen = 7 contador = 5449924379588860810 2 paquetes capturados
78 paquetes recibidos por filtros de 0 paquetes

descartados por el kernel
Más de Filtros
En esta sección se cubrió el más comúnmente utilizado tcpdump expresiones de filtro, y probablemente cubre toda la sintaxis de la mayoría de los usuarios
necesitarán. Sin embargo, esto apenas roza la superficie de las posibilidades. Hay muchos documentos en la web que cubren tcpdump en ltrado general y fi
específicamente. Ver Referencias adicionales al final de este capítulo para obtener enlaces a más recursos.
Los ejemplos de solución de problemas prácticos
Esta sección detalla un enfoque que preferimos para solucionar algunos problemas específicos. Existen múltiples maneras de abordar cualquier problema, pero
rara vez se captura de paquetes puede ser vencido por su eficacia. Examinando el trá fi co en el cable proporciona un nivel de visibilidad de lo que está
sucediendo realmente en la red

Puerto delantero no funciona
En este ejemplo, un nuevo avance puerto no está respondiendo a una solicitud de un host en Internet. Los pasos de solución de problemas descritos en Port Forward
Solución de problemas ofrece una manera de abordar esto, pero a veces captura de paquetes es la única o la más fácil manera de encontrar la fuente del problema.
Empezar desde la WAN
En primer lugar, asegúrese de que el trá fi co es llegar a la interfaz WAN. Iniciar una sesión de tcpdump en la interfaz WAN, y el reloj para el trá fi co:
# tcpdump puerto TCP igb1 -ni 5900

11: 14: 02,444006 IP 172.17.11.9.37219> 10.0.73.5.5900: S 3863112259: 3863112259 (0) ganar 65535 <mss 1260, nop, nop, sackOK>
En este caso, llega un paquete desde la WAN, por lo que está haciendo que sea tan lejos. Tenga en cuenta que la primera parte del protocolo de enlace TCP, un paquete con único
conjunto SYN (la S se muestra), está llegando al cortafuego. Si el puerto hacia adelante estaba trabajando, un SYN ACK ( S.) paquete se muestra en respuesta al SYN. Sin retorno trá
fi co visible, que podría ser una regla fi cortafuegos o el sistema de destino puede ser inalcanzable - desactivado, no se escucha en el puerto ed especificidad, anfitrión fi bloqueando
el tráfico c cortafuegos, etc.
Compruebe la interfaz interna
El siguiente paso sería la de ejecutar una sesión de tcpdump en la interfaz interna asociada con el puerto hacia adelante:
# tcpdump igb0 -ni puerto TCP 5900`

11: 14: 38.339926 IP 172.17.11.9.2302> 192.168.30.5.5900: S 1481321921: 1481321921 (0) ganar 65535 <mss 1260, nop, nop, sackOK>
Mirando el interior de trá fi co, la conexión dejó la interfaz interna y la dirección IP local fue traducido correctamente. Si esta dirección local coincida con lo que se
esperaba, entonces tanto el puerto hacia adelante y la regla fi cortafuegos funcionan correctamente, y la conectividad a la PCmust local de ser confirmada por otros
medios. Si se visualiza ninguna salida, entonces hay un problema con la regla de cortafuego o el puerto hacia adelante puede haber sido incorrectamente de fi nido. Para
este ejemplo, el sistema de destino estaba desconectada.
túnel IPsec no se conectará
tcpdump tiene un cierto conocimiento de los protocolos que se utiliza, que puede ser muy útil en la fi gurar los problemas con túneles IPsec. Los próximos ejemplos
mostrarán cómo las condiciones de error determinada puede presentarse cuando se monitorea con tcpdump. Los registros de IPsec son por lo general más útiles,
pero esto puede con fi rmar lo que realmente está siendo visto por el router. Para cifrada tráfico c tales como IPsec, paquete captura del tráfico c es de menor valor
que la carga útil de los paquetes capturados no puede examinarse sin parámetros adicionales, pero es útil para determinar si tráfico c desde el extremo remoto está
alcanzando el cortafuego y que las fases completas . Este túnel tiene una primera pares inalcanzable:
# tcpdump -ni anfitrión igb1 192.168.10.6

19: 11: 11.542976 IP 192.168.10.5.500> 192.168.10.6.500: ISAKMP: fase 1 que agg 19: 11: 21.544644 IP 192.168.10.5.500> 192.168.10.6.500:
ISAKMP: fase 1 que AGG

Este intento túnel tiene una PSK no coincidentes, observe cómo se intenta mover a la fase 2, pero luego se detiene:

tcpdump: salida detallada suprimida, utilice -v o -VV para decodificar protocolo completo que escucha en igb1, de tipo enlace EN10MB (Ethernet), tamaño de captura
de 96 bytes 19: 15: 05,566352 IP 192.168.10.5.500> 192.168.10.6.500: ISAKMP: fase 1 I agg 19: 15: 05,623288 IP 192.168.10.6.500> 192.168.10.5.500: ISAKMP:
fase 1 R agg 19: 15: 05,653504 IP 192.168.10.5.500> 192.168.10.6.500: ISAKMP: fase 2 / inf otros que [E]
Ahora Fase 1 está bien, pero hay una discrepancia en la información de la Fase 2. Se intentará repetidamente fase 2 tráfico c pero no habrá ningún tráfico c
en el túnel:

tcpdump: salida detallada suprimida, utilice -v o -VV para decodificar protocolo completo que escucha en igb1, de tipo enlace EN10MB (Ethernet), tamaño de captura de 96 bytes 19:
17: 18.447952 IP 192.168.10.5.500> 192.168.10.6.500: ISAKMP: fase 1 I agg 19: 17: 18.490278 IP 192.168.10.6.500> 192.168.10.5.500: ISAKMP: fase 1 R agg 19: 17: 18.520149 IP
192.168.10.5.500> 192.168.10.6.500: ISAKMP: fase 1 I agg 19: 17: 18.520761 IP 192.168.10.6.500> 192.168.10.5.500: ISAKMP: fase 2 / otros R inf [E] 19: 17: 18.525474 IP
192.168.10.5.500> 192.168.10.6.500 : ISAKMP: fase 2 / inf otros que [E] 19: 17: 19.527962 IP 192.168.10.5.500> 192.168.10.6.500: ISAKMP: fase 2 / otros que Oakley-rápida [E]
Por último, un túnel completamente de trabajo con bidireccional tráfico c después de la Fase 1 y la Fase 2 han completado !:

tcpdump: salida detallada suprimida, utilice -v o -VV para decodificar protocolo completo que escucha en igb1, de tipo enlace EN10MB (Ethernet), tamaño de captura de 96 bytes 21: 50:
11.238263 IP 192.168.10.5.500> 192.168.10.6.500: ISAKMP: fase 1 I agg 21: 50: 11.713364 IP 192.168.10.6.500> 192.168.10.5.500: ISAKMP: fase 1 R agg 21: 50: 11.799162 IP
192.168.10.5.500> 192.168.10.6.500: ISAKMP: fase 1 I agg 21: 50: 11.801706 IP 192.168.10.5.500> 192.168.10.6.500: ISAKMP: fase 2 / otros I inf [E] 21: 50: 11.812809 IP
192.168.10.6.500> 192.168.10.5.500 : ISAKMP: fase 2 / otros R inf [E] 21: 50: 12.820191 IP 192.168.10.5.500> 192.168.10.6.500: ISAKMP: fase 2 / otros que Oakley-rápida [E] 21: 50:
12.836478 IP 192.168 .10.6.500> 192.168.10.5.500: ISAKMP: fase 2 / otros R Oakley-rápida [E] 21: 50: 12.838499 IP 192.168.10.5.500> 192.168.10.6.500: ISAKMP:fase 2 / otros que
Oakley-rápida [E] 21: 50: 13.168425 IP 192.168.10.5> 192.168.10.6: ESP (spi = 0x09bf945f, SEC = 0x1), longitud 132 21: 50: 13.171227 IP 192.168.10.6> 192.168. 10.5: ESP (spi =
0x0a6f9257, SEC = 0x1), longitud 132 21: 50: 14.178820 IP 192.168.10.5> 192.168.10.6: ESP (spi = 0x09bf945f, SEC = 0x2), longitud 132 21: 50: 14.181210 IP 192.168. 10.6> 192.168.10.5:
ESP (spi = 0x0a6f9257, SEC = 0x2), longitud 132 21: 50: 15.189349 IP 192.168.10.5> 192.168.10.6: ESP (spi = 0x09bf945f, SEC = 0x3), longitud 132 21:50: 15.191756 IP 192.168.10.6>
192.168.10.5: ESP (spi = 0x0a6f9257, SEC = 0x3), longitud 132longitud 132 21: 50: 14.181210 IP 192.168.10.6> 192.168.10.5: ESP (spi = 0x0a6f9257, SEC = 0x2), longitud 132 21: 50:
15.189349 IP 192.168.10.5> 192.168.10.6: ESP (spi = 0x09bf945f, SEC = 0x3), longitud 132 21: 50: 15.191756 IP 192.168.10.6> 192.168.10.5: ESP (spi = 0x0a6f9257, SEC = 0x3), longitud
132longitud 132 21: 50: 14.181210 IP 192.168.10.6> 192.168.10.5: ESP (spi = 0x0a6f9257, SEC = 0x2), longitud 132 21: 50: 15.189349 IP 192.168.10.5> 192.168.10.6: ESP (spi =
0x09bf945f, SEC = 0x3), longitud 132 21: 50: 15.191756 IP 192.168.10.6> 192.168.10.5: ESP (spi = 0x0a6f9257, SEC = 0x3), longitud 132
Traf fi atravesar un túnel IPsec c
Traf fi c también se puede observar que atraviesa túneles IPsec mediante la captura en el enc0 interfaz. Esto puede ayudar a determinar si tráfico c está tratando de alcanzar el
otro extremo mediante el uso del túnel. Todo el trá fi co para todos los túneles IPsec aparece en la enc0
interfaz.
En el siguiente ejemplo, un host en un lado del túnel está enviando con éxito una solicitud de eco ICMP (ping) al otro lado, y la recepción de
respuestas:
# tcpdump -ni enc0

tcpdump: ADVERTENCIA: enc0: ninguna dirección IPv4 asignada
tcpdump: salida detallada suprimida, utilice -v o -VV para decodificar protocolo completo que escucha en enc0, de tipo enlace ENC (OpenBSD encapsulado
IP), tamaño de captura de 65535 bytes
15: 52: 46.151098 (auténtico, confidencial): SPI 0xcd77e085: IP 10.3.0.1> 10.7.0.1: solicitud de eco ICMP, ID 44640, SEC 0, longitud de 64 15: 52: 46.151814 (auténtico, confidencial): SPI 0x
respuesta de eco, ID 44640, ss 0, longitud 64

15: 52: 47.154243 (auténtico, confidencial): SPI 0xcd77e085: IP 10.3.0.1> 10.7.0.1: solicitud de eco ICMP, ID 44640, SEC 1, longitud 64 15: 52: 47.154843 (auténtico, confidencial): SPI 0xc0a
de eco, ID 44640, SEC 1, longitud 64
Si trá fi co no estaba entrando en el túnel adecuadamente, se mostraría sin salida. Si hay un cortafuego o un problema de enrutamiento interno en el otro extremo, trá fi
co aparecerá salir pero nada se mostrará regresar.
Solución de problemas de salida NAT
Para entornos complejos donde se necesita NAT de salida manual, tcpdump puede ser de gran ayuda en troubleshooting la salida NAT con fi
guración. Una buena captura a utilizar es la búsqueda de trá fi co con direcciones IP privadas en la interfaz WAN, como todo en la WAN debe ser
aplicado y tiene NAT parece ser una dirección IP pública. La siguiente captura mostrará ningún trá fi co con la RFC 1918 direcciones IP como el origen
o destino. Esto mostrará cualquier trá fi co que no coincide con una de las reglas NAT salientes, proporcionando información para ayudar a revisar la
salida NAT con fi guración para hallar el problema:
# tcpdump igb1 -ni red 10 o red de 192.168 o red 172.16.0.0/12
Uso de Wireshark con pfSense
Wireshark, anteriormente conocido como Ethereal, es una herramienta de análisis de protocolo GUI y la captura de paquetes que se puede utilizar para ver y capturar tráfico c
mucho como tcpdump. Es un software de código abierto, disponible gratuitamente en http://www.wireshark.org/ . También puede ser utilizado para analizar la captura de los archivos
generados por el pfSense WebGUI, tcpdump, Wireshark, o cualquier otro software que escribe los archivos en el formato estándar fi l PCAP.
Visualización de Captura de paquetes de archivos
Para ver una captura de Wireshark fi l, inicie el programa y luego ir a Archivo> Abrir. Busque la captura de archivo, y luego haga clic en el Abierto botón. A fi l con una. PCAP
extensión también se puede abrir haciendo doble clic sobre él en Windows, OS X, y muchas distribuciones de Linux con la configuración predeterminada después de la
instalación de Wireshark. Una pantalla similar a la figura
Captura Wireshark Ver se mostrará en la que se muestran los datos de la captura de fi le. Como se ve en la figura Captura Wireshark Ver , una lista que resume los
paquetes en la captura fi l se mostrará en la lista de la parte superior, con un paquete por línea. Si hay demasiados, los resultados pueden ser filtran mediante el Filtrar caja
en la barra de herramientas. Cuando se hace clic en un paquete, los bastidores inferiores mostrarán los detalles de lo que está contenido dentro de la carga útil del
paquete. El primer panel inferior muestra un desglose de la estructura del paquete, y cada uno de estos elementos se puede ampliar para más detalle. Si el paquete es
de un protocolo soportado, en algunos casos puede interpretar los datos y mostrar aún más detalles. El panel inferior muestra una representación hexadecimal y ASCII
de los datos contenidos en el paquete. Visualización de la captura de esta manera, es fácil ver el flujo de tráfico c con detalle tanto o tan poco como sea necesario.
Herramientas de análisis de Wireshark
Mientras que algunos problemas requieren un considerable conocimiento de cómo funcionan los protocolos subyacentes, las herramientas de análisis integradas en
Wireshark que ayuda a disminuir la necesidad de muchos protocolos. Bajo la Analizar y Estadística menús, algunas opciones están presentes que automatizan algunos de
los análisis y proporcionar puntos de vista que se resumen de lo que está contenido en la captura. los Información de expertos opciones bajo el Analizar menú de mostrar
una lista de errores, avisos, notas y conversaciones de red contenidos en la captura.
Los errores pueden ser vistos en Wireshark para las sumas de comprobación incorrectas. Esto se debe a que la mayoría de las NIC añadir la suma de comprobación de hardware
directamente antes de ponerlo en el alambre. Esta es la única excepción a la nota anterior diciendo lo que se muestra en una captura de paquetes es lo que está en el alambre. Tra fi co
echó del systemwhere la captura está tomada tendrá sumas de comprobación incorrectas
31.5. Uso de Wireshark con pfSense 649

Fig. 31.1: Captura Wireshark Ver

donde se llevan a cabo en el hardware, aunque trá fi co que viene de un sistema remoto debe tener siempre las sumas de comprobación correctas. Suma de
comprobación de oading fl se puede desactivar para asegurar trá fi co se muestra exactamente como el anfitrión es ponerlo en el cable, aunque por lo general esto es algo
que debe ser ignorado. Para verificar las sumas de comprobación, la captura de trá fi co de otro sistema que utiliza un puerto lapso del grifo o conmutador de red. puertos
Span también se pueden configurar en los puentes de pfSense, ver Puerto Span para más información. los Telefonía menú es un ejemplo de análisis automatizado
Wireshark puede realizar para que sea fácil de ver problemas con VoIP. En este caso particular, VoIP tráfico c atravesaba un circuito de MPLS WAN con routers del
proveedor unidos a un interfaz de OPT de pfSense en ambos lados. Una captura desde la interfaz de OPT en el extremo de iniciar no mostró pérdida, lo que indica el
tráfico c estaba siendo enviado al router proveedor, pero la interfaz OPT en el extremo opuesto mostró una considerable pérdida de paquetes en una dirección cuando
múltiples llamadas simultáneas eran activos. Estas capturas de paquetes ayudaron a convencer al proveedor de un problema en su red, y que encontraron y fija una con fi
guración de un problema de calidad de servicio de su lado. Al ver una captura de paquetes RTP que contiene trá fi co, haga clic Telefonía> RTP> Mostrar todos los flujos para
ver esta pantalla.
Fig 31.2:. Análisis Wireshark RTP
Captura en tiempo real a distancia
Desde un host UNIX que tiene Wireshark disponible, una captura remota en tiempo real se puede ejecutar mediante la reorientación de la salida de una sesión SSH.
Esto ha sido probado y se sabe que funciona en FreeBSD y Linux distribuciones basadas en Ubuntu. Para utilizar esta técnica, SSH debe estar habilitado en el sistema
pfSense y se requiere una clave SSH (ver Secure Shell (SSH) ). La clave debe primero ser cargado en ssh-agent o generado sin una frase de paso debido a que el cambio
de dirección no permitirá una contraseña o frase de contraseña que deben introducirse. Utilizando ssh-agent es la mejor práctica, ya que cualquier llave sin una frase de
paso es muy inseguro.
Antes de intentar esta técnica, compruebe que el usuario puede conectarse al router pfSense usando una clave SSH sin necesidad de teclear la contraseña. La primera
vez que el usuario se conecta, se le pedirá que guarde la clave de host, por lo que también debe hacerse antes de intentar iniciar Wireshark. ssh-agent también puede
ser iniciado desde una ventana de terminal o envuelta de este modo:
# Agente de ssh-agent eval

pid 29047
# ssh-add
Introduzca la frase de contraseña para /home/jimp/.ssh/id_rsa:
Identidad añadido: /home/jimp/.ssh/id_rsa (/home/jimp/.ssh/id_rsa)
A continuación, iniciar una sesión SSH como de costumbre:
# root@192.168.1.1 ssh
La autenticidad de anfitrión '192.168.1.1 (192.168.1.1)' no puede ser establecida. DSA huella de la clave es 9e: c0: b0: 5a: b9: 9b: f4: ec: 7f:
1d: 8a: 2d: 4a: 49: 01: 1b. ¿Seguro que desea continuar conexión (sí / no)? Sí Advertencia: se ha añadido de forma permanente
'192.168.1.1' (DSA) a la lista de hosts conocidos.
* * * Bienvenido a pfSense 2.3.1-release-p5 (amd64 instalación completa) en clara *** [...]
31.5. Uso de Wireshark con pfSense 651

Después confirmando las obras de conexión SSH, inicie la captura remota de la siguiente manera:
# Wireshark -k -i <(ssh root@192.168.1.1 tcpdump -i igb1 -U -w - no puerto TCP 22)
Reemplazar 192.168.1.1 con la dirección IP del cortafuegos fi pfSense. los No puerto TCP 22 filtro excluye trá fi co de la sesión SSH, que de lo contrario va
a obstruir la salida de captura. Lo anterior está escrito en sintaxis de estilo Bash, pero puede trabajar con otros proyectiles. Ajustar el tcpdump argumentos
a favor de la interfaz y añadir expresiones adicionales. los
- T y - w - son necesarios para que se escribe la salida a la salida estándar, y escribe cada paquete que llega. Véase también la Captura de
configuración / Tubos página en el wiki Wireshark para otras técnicas relacionadas.
Referencias adicionales
En este capítulo sólo roza la superficie de las posibilidades con las capturas de paquetes. captura de paquetes es un medio muy poderoso de los problemas de conectividad de red
solución de problemas y habilidades de resolución de problemas se mejoran en gran medida cuando las posibilidades se aprenden con mayor profundidad. Los siguientes enlaces son
recursos relacionados con el conocimiento más profundo más allá del alcance de este libro.
Interconexión en red: Protocolos de Internet en Acción por Jeanna Matthews
Tcpdump Filtros de Jamie French Tcpdump Filtros
avanzados por Sebastien Wains
Tcpdump Filtros por Marios Iliofotou FreeBSD
página de manual de tcpdump
La captura de paquetes es el medio más eficaz de resolución de problemas con la conectividad de red. Paquete ing captur-, también conocido como “snif fi ng”,
muestra paquetes “en el cable” que entra y sale de una interfaz. La observación de cómo el tráfico se envía fi co y recibida por el cortafuego es una gran ayuda en
la reducción a problemas con las reglas fi cortafuego, las entradas de NAT y otros problemas de red. Este paquete cubiertas capítulo obtención de captura de la
WebGUI, con tcpdump en la línea de comandos en una cáscara, y el uso de Wireshark.
Capturar marco de referencia
Tenga en cuenta que las capturas de paquetes muestran exactamente lo que está en el alambre. Una captura de paquetes es el proceso primero para ver trá fi co al
recibir paquetes y último para ver trá fi co al enviar paquetes a medida que fl ujo a través del cortafuego. Se ve tráfico c antes de fi cortafuegos, NAT, y todos los demás
de procesamiento en el cortafuego sucede por tráfico c entrada en dicha interfaz, y después de todo que el procesamiento se produce de tráfico c dejando esa interfaz.
Para entrante trá fi co, capturas mostrarán trá fi co que llega a una interfaz en el cortafuego sin importar si ese trá fi co será bloqueado por el cortafuegos fi con fi
guración. Figura
Captura de referencia ilustra donde tcpdump y también los paquetes WebGUI interfaz de captura lazos en el orden de procesamiento.

Fig. 31.3: Captura de referencia
31.7. Capturar marco de referencia 653


CAPÍTULO
TREINTA Y DOS
GUÍA DE MENÚ
Sistema
los Sistema menú contiene opciones para la ficción en sí, opciones generales y avanzadas, las actualizaciones de cortafuegos, paquetes de add-on, los usuarios y el enrutamiento.
Avanzado Configuración avanzada para el cortafuego, hardware, SSH, noti fi caciones, sintonizables, y muchos otros.
Ver Opciones avanzadas de Con fi guración .
cert Director Manejo de Autoridades Certi fi cado, Certi fi cados y listas de revocación de Certi fi cado (X.509).
Ver Gestión de certi fi cado .
Configuración general Ajustes generales tales como nombre de host, el dominio y servidores DNS. Ver Con fi guración general
opciones .
Alta Disponibilidad. sync Controla cómo los nodos pfSense en una alta disponibilidad (HA), el grupo sincronizan y estados
con fi guración. Ver Alta disponibilidad .
Cerrar sesión Cierra la sesión de la interfaz gráfica de usuario, que regresan al usuario a la pantalla de inicio de sesión. Ver Gestión de usuarios y
Autenticación .
Gerente de empaquetación Adicionales de software add-ons para pfSense para ampliar su funcionalidad. Ver paquetes .
enrutamiento Manejo de puertas de enlace, las rutas estáticas, y grupos de pasarela de multi-WAN. Ver enrutamiento .
Asistente de configuración El asistente de configuración realiza la con fi guración inicial básica. Ver Asistente de configuración .
Actualizar PfSense actualizar a la última versión. (Por ejemplo, actualización desde pfSense 2.3.2 a 2.4). Ver La actualización
utilizando los WebGUI .
Administrador de usuarios La gestión de usuarios, grupos y servidores de autenticación (RADIUS o LDAP) para el acceso GUI,
acceso VPN, etc. Ver Gestión de usuarios y autenticación .
Nota: Si un usuario tiene la WebCFG - Sistema: Contraseña Administrador de usuarios privilegio, esta opción de menú que conduce usuario a una página
donde se pueden cambiar su propia contraseña, pero no hacer cambios a otros usuarios.
Ajustes de usuario Si se habilitan configuración por usuario, esta página proporciona una forma para que los usuarios modificar por defecto
opciones de comportamiento encontrado en Configuración general.
Interfaces
los Interfaces menú contiene una entrada para la asignación de las interfaces y las entradas para cada interfaz asignada actualmente. las interfaces asignadas
mostrarán sus fi gurada nombres estafadores, o los nombres estándar si no se han cambiado (por ejemplo, WAN, LAN, OptX)
655
(asignar) Asignar interfaces a funciones lógicas (por ejemplo, WAN, LAN, OPT), y crear / mantener VLANs y
otros tipos de interfaces virtuales. Ver Interfaz Con fi guración , Tipos de interfaz y con fi guración y LAN virtuales (VLAN) .
PÁLIDO Con fi gura la interfaz WAN. Ver Interfaz Con fi guración .
LAN Con fi gura la interfaz LAN. Ver Interfaz Con fi guración .
OptX Con fi gurar las interfaces opcionales adicionales. Ver Interfaz Con fi guración .
firewall
los firewall las entradas del menú de con fi gura fi reglas de cortafuego, las reglas de NAT, y su estructura de soporte.
alias Administra colecciones de direcciones IP, redes o puertos para simplificar la creación de reglas y manage-
ción. Ver alias .
NAT Administra reglas NAT que controlan el puerto remite, 1: 1 NAT, y el comportamiento de salida NAT. Ver Red
Traducción de direcciones .
Reglas cifras reglas fi cortafuego Con. Hay una pestaña en esta pantalla para cada fi gurada con interfaz, además de las pestañas
para grupos y diferentes tipos de VPN, cuando está activado. Ver Introducción a la pantalla de las reglas del cortafuegos .
horarios Gestiona planificaciones de normas basadas en el tiempo. Ver Reglas basada en el tiempo .
Traf fi c Shaper Gestiona la configuración de trá fi co de conformación / Calidad de Servicio (QoS). Ver Traf fi c Shaper .
IPs virtuales Con fi gurar direcciones IP virtuales que permiten a pfSense para manejar tráfico C durante más de una dirección IP
abordar por interfaz, por lo general para las reglas de NAT o de alta disponibilidad. Ver Las direcciones IP virtuales .
Servicios
los Servicios menú contiene elementos que controlan los servicios prestados por los demonios ejecutándose en el cortafuego. Ver Servicios .
portal cautivo Controla el servicio de portal cautivo, que dirige a los usuarios a una página web para la autenticación
antes de permitir el acceso a Internet. Ver portal cautivo .
relé DHCP con fi guras del servicio de retransmisión DHCP, que proxies peticiones DHCP de una red de segmentos
ment a otro. Ver DHCP y DHCPv6 Relay .
Servidor DHCP Con fi guras el servicio DHCP que proporciona automática de direcciones IP con fi guración de
clientela. Ver Servidor DHCP IPv4 .
DHCPv6 Relay con fi guras del servicio de retransmisión DHCP para IPv6, que proxies solicitudes DHCPv6 de una
segmento de red a otro. Ver DHCP y DHCPv6 Relay .
DHCPv6 servidor & RA con fi guras del servicio DHCP para IPv6 y anuncios de enrutador, que pro-
vide automática de direcciones IPv6 con fi guración para los clientes. Ver tisements IPv6 DHCP Server y el Router adver- .
DNS Forwarder Con fi guras del promotor de la caché de DNS incorporada. Ver DNS Forwarder .
de resolución de DNS Con fi guras la resolución de caché DNS incorporada. Ver de resolución de DNS .
DNS Dinámico con fi guras servicios de DNS dinámico (dyndns “”), que actualiza un servidor de nombres remoto cuando
la dirección IP WAN de esta fi cortafuegos ha cambiado. Ver DNS Dinámico .
Proxy IGMP Con fi guras el proxy Group Management Protocol interior para el paso de multidifusión trá fi co
entre las interfaces. Ver Proxy IGMP .
656 Capítulo 32. Guía de menús

Equilibrador de carga Con fi guras del equilibrador de carga, que equilibra entrante conexiones a través de múltiples
servidores locales. Ver Servidor de equilibrio de carga .
NTP Con fi guras el demonio del servidor Network Time Protocol. Ver NTPD .
PPPoE del servidor Con fi guras del servidor PPPoE que acepte y autentica las conexiones de PPPoE
clientes en las redes locales. Ver PPPoE del servidor .
SNMP Con fi guras Network Management Protocol (SNMP) daemon simple para permitir basadas en red
recopilación de estadísticas de este router. Ver SNMP .
UPnP y NAT-PMP con fi guras Universal Plug and Play (UPnP) y NAT Protocolo de asignación de puertos
servicio que figuras automáticamente estafadores NAT y reglas fi cortafuego para los dispositivos que soportan los estándares UPnP o
NAT-PMP. Esta entrada de menú sólo aparece si se ha asignado más de una interfaz. Ver
UPnP y NAT-PMP .
Activación de la LAN con fi guras Wake on LAN entradas, que se despiertan de forma remota los dispositivos cliente locales. Ver Despertar
on LAN .
VPN
los VPN menú contiene elementos pertenecientes a redes privadas virtuales (VPNs), incluyendo IPsec, OpenVPN y L2TP. Ver Redes privadas virtuales .
IPsec Con fi gurar túneles IPsec VPN, IPsec móvil, y la configuración de IPsec. Ver IPsec .
L2TP Con fi gura servicios L2TP y usuarios. Ver L2TP VPN .
OpenVPN servidores con fi gura OpenVPN y clientes, así como el cliente específico con fi guración. Ver Abierto-
VPN .
Estado
los Estado entradas de menú muestran información de estado y los registros de varios componentes y servicios del sistema.
portal cautivo Cuando se habilita portal cautivo, pero esta entrada muestra el estado del usuario y vales. Ver Cautivo
Portal .
CARP (conmutación por error) Muestra el estado de las direcciones IP en esta CARP fi cortafuegos, tales como maestro / BACKUP
estado para cada VIP CARP. También tiene controles para el modo de mantenimiento de HA. Ver Comprobar el estado de CARP .
Tablero Un acceso directo volver a la página principal de la fi cortafuegos pfSense, que muestra sistema general
información. Ver Tablero .
asignaciones DHCP Muestra una lista de todas las concesiones DHCP IPv4 asignadas por este fi cortafuegos y proporciona controles basados
en esos contratos de arrendamiento, tales como la adición de asignaciones estáticas. Ver arriendos .
arriendos DHCPv6 Muestra una lista de todas las concesiones DHCP IPv6 asignadas por este fi cortafuegos. Ver arriendos .
Filtro Recargar Muestra el estado de la solicitud de filtro de recarga última fi, incluyendo acciones de recarga activos. también
proporciona un medio para obligar a un filtro de recarga fi, y para forzar una XMLRPC con fi guración sincronización cuando HA es con fi gurado. Ver Solución de
problemas de las reglas del cortafuegos .
gateways Muestra el estado de las puertas de enlace y los grupos de pasarela de multi-WAN. Ver enrutamiento .
Interfaces Muestra el estado del hardware para interfaces de red, equivalente a usar ifconfig sobre el
consola. Ver Estado de la interfaz .
IPsec Muestra el estado de cualquier con fi gurado túneles IPsec. Ver IPsec .
32.5. VPN 657

Equilibrador de carga Muestra el estado de las piscinas del equilibrador de carga del servidor. Ver Visualización del estado del equilibrador de carga .
Supervisión Espectáculos grafican los datos para las estadísticas del sistema, tales como ancho de banda utilizado, uso de la CPU, los estados fi cortafuego,
Ver etc. Gráficos de seguimiento .
NTP Muestra el estado del demonio del servidor Network Time Protocol. Ver NTPD .
OpenVPN Muestra el estado de todas las instancias de OpenVPN con fi gura. Ver Comprobación del estado de Open-
Los clientes VPN y servidores .
registros de paquetes Ver los registros de ciertos paquetes soportados.
colas Muestra el estado de las colas de tráfico c conformación. Ver Monitoreo de las colas .
Servicios Muestra el estado de los demonios de servicios del sistema y del paquete. Ver Estado del servicio .
los registros del sistema Muestra los registros de los servicios del sistema y del sistema, tales como el cortafuego, DHCP, VPN, etc. Ver
Registros del sistema .
gráfico Traf fi c Muestra un gráfico fi c en tiempo real el tráfico dinámico para una interfaz. Ver Traf fi c gráficos .
UPnP y NAT-PMP Muestra una lista de los puertos delanteros UPnP activos actualmente. Esta entrada sólo está presente
cuando el cortafuego contiene más de una interfaz. Ver UPnP y NAT-PMP .
Inalámbrico Muestra una lista de las redes inalámbricas disponibles actualmente en rango, junto con niveles de señal.
Esta entrada de menú sólo está presente si el cortafuego tiene una interfaz inalámbrico asignado. Ver Comprobar el estado inalámbrico .
Diagnóstico
Los productos bajo la Diagnóstico menú de realizar diversas tareas de diagnóstico y administrativos.
La tabla ARP Muestra una lista de sistemas a nivel local, como se ve por el cortafuego. La lista incluye una dirección IP,
dirección MAC, nombre de host, la interfaz donde se ve el sistema, y otra información relacionada.
Autenticación Las pruebas de autenticación a un definido RADIUS o LDAP del servidor de. Ver Solución de problemas .
Copia de seguridad de restauracion Copia de seguridad y restaurar la con fi guración de los archivos. Ver Copia de seguridad y recuperación .
Símbolo del sistema Ejecutar comandos shell o código PHP, y cargar / descargar archivos a / de la re fi
pared. Utilizar con precaución. Búsqueda de DNS Ejecuta una búsqueda de DNS para resolver nombres de host para fines de diagnóstico, y para probar
conexiones
tividad a los servidores DNS. Ver Prueba de DNS .
Editar archivo Editar un expediente sobre la fi cortafuego sistema de ficheros.
Fallas de fábrica Restablece la con fi guración por defecto. Tenga en cuenta, sin embargo, que esto no altera
el sistema de ficheros fi o paquete de desinstalación archivos; sólo cambia la configuración de con fi guración. Ver Restablecer los valores predeterminados de fábrica .
GEOMMirrors Si el cortafuego contiene un espejo de disco GEOM, esta página muestra el estado del espejo
y proporciona controles para gestionar el espejo.
sistema de interrupción Apaga el router y apaga la alimentación cuando sea posible. Ver sistema de interrupción .
limitador de Información Muestra el estado de los limitadores y el trá fi co fl debido dentro de ellos. Ver limitador de comprobación
Uso .
Tabla NDP Muestra una lista de los sistemas locales de IPv6 como se ve por el cortafuego. La lista incluye una dirección IPv6,
dirección MAC, nombre de host (si se sabe que el cortafuego), y la interfaz.
658 Capítulo 32. Guía de menús

Captura de paquetes Realizar una captura de paquetes para inspeccionar trá fi co, y luego ver o descargar los resultados. Ver
Captura de paquetes desde los WebGUI .
PFINFO Muestra información sobre el paquete de filtro, incluyendo las tasas de trá fi co en general, las tasas de conexión, el estado
Datos de mesa, y varios otros contadores. Ver PFINFO .
pfTop Muestra una lista de los mejores conexiones activas de una métrica de selección tal como bytes, tasa, la edad, etc. Ver
Estados visualización con pfTop .
Silbido Envía peticiones de eco ICMP a una dirección IP dada, enviado a través de una interfaz elegida.
Reiniciar el sistema Reinicia el cortafuego. Esto puede tardar varios minutos en completarse, dependiendo del hardware
ware y características habilitadas. Ver Reiniciar el sistema .
rutas Muestra el contenido de la tabla de enrutamiento. Ver Visualización de rutas .
estado SMART Muestra información de diagnóstico sobre las unidades de disco, si es compatible con el hardware. Poder
También ejecutar pruebas de la unidad. Ver SMART del disco duro de estado .
zócalos Muestra una lista de procesos en el cortafuego que están obligados a puertos de red, la escucha de conexiones
ciones o hacer las conexiones salientes de la fi cortafuegos en sí.
Unidos Muestra los estados fi cortafuego actualmente activos. Ver firewall Unidos .
Resumen Unidos Muestra información sobre la tabla de estado, para ver la actividad resumidos por dirección IP.
Ver Resumen Unidos .
Actividad del sistema Muestra el uso de memoria y una lista de procesos activos y los hilos del sistema en el cortafuego,
la salida es de -ASH superior. Ver Actividad del sistema (Inicio) .
Mesas Muestra y modifica el contenido de varias tablas y los alias del sistema. Ver Ver el contenido de
Mesas .
Puerto de prueba Realiza una prueba sencilla de la conexión TCP del cortafuego para determinar si un host remoto es AC-
cepting conexiones en un puerto fi cado.
traceroute Trazar la ruta tomada por los paquetes entre este fi cortafuegos y un sistema remoto. Ver Utilizando
traceroute .
Esta sección es una guía a las opciones de menú estándar disponibles en pfSense. Esta guía le ayudará a identificar rápidamente el propósito de una opción de menú
determinado, y se refieren a lugares en el libro donde se discuten estas opciones con más detalle. Los paquetes pueden añadir elementos a cualquier menú, a fin de
comprobar cada menú o consulte la documentación de un paquete para localizar sus entradas de menú. Normalmente, los paquetes se instalan entradas bajo la Servicios menú,
pero hay numerosas excepciones.
32.7. Diagnóstico 659

Pfsense

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Pfsense

Încărcat de

Drepturi de autor:

Formate disponibile

El libro pfSense

28 de de marzo de, 2017

4.6 Dominios de difusión . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17

8 Interfaz Tipos y con fi guración 115

9 Gestión de usuarios y autenticación 131

10 Certi fi cado de Gestión 143

11 Copia de seguridad y recuperación 155

Traducción de Direcciones de Red 13 211

16 LAN virtuales (VLAN) 267

18 Redes Privadas Virtuales 307

21 L2TP VPN 439

22 Traf fi c Shaper 447

23 Servidor de equilibrio de carga 467

25 portal cautivo 501

26 de alta disponibilidad 523

Software de Terceros y 30 pfSense 627

31 de paquetes Capturing 639

32 Guía de menús 655

• Co-fundador Chris Buechler

tiempo para el proyecto durante los últimos nueve años.

apoyo de pfSense, FreeBSD, y el software de código abierto en general.

Las selecciones de menú Las reglas del cortafuegos

Etiquetas de elementos GUI / Nombres Destino

Botones Aplicar cambios

Prompt para entrada Quieres proceder?

Entrada del usuario Descripción de la regla

Los nombres de archivo / boot / loader.conf

Los nombres de los comandos o programas comandos gzip

escritos en el intérprete de comandos :: # ls -l

Notas especiales .. Nota: Tenga cuidado con esto!

router de código abierto y fi cortafuegos.

• Una introducción a pfSense y sus características.

• Hardware y la planificación del sistema.

• Instalación y actualización de pfSense.

• Mediante la interfaz con fi guración basada en la web.

• Copia de seguridad y restauración.

• fundamentos de cortafuegos, incluyendo la de fi nición y reglas de solución de problemas.

• Traducción de puertos de reenvío y de direcciones de red (NAT).

• establecimiento de una red general y enrutamiento con fi guración.

• Construyendo puentes, redes de área local virtuales (VLAN), y Multi-WAN.

• Redes privadas virtuales utilizando IPsec y OpenVPN.

• Traf fi c conformación y el equilibrio de carga.

• La red inalámbrica y las configuraciones de portal cautivo.

• rewalls fi redundantes y de alta disponibilidad.

• Diversos servicios relacionados con la red.

las opciones de menú estándar disponibles en pfSense.

1.3. Convenciones tipográficas 3

¿Qué significa para pfSense / media?

¿Por qué FreeBSD?

La familiaridad y la facilidad de tenedor

Soporte del sistema operativo alternativo

Los despliegues comunes

LAN o WAN del router

Electrodomésticos de propósito especial

DHCP Server Appliance

para pfSense con fi guración del daemon de DHCP de ISC.

Terminología interfaz de nomenclatura

Como mínimo, el cortafuego debe tener una interfaz, y que es la WAN.

3.4. Terminología interfaz de nomenclatura 9

FreeBSD nomenclatura interfaz

Búsqueda de información y obtención de ayuda

3.6. proyecto de Inicio 11

los conceptos de redes

10.70.64.0/22 divide en / 24 redes