Instalacin de pfSense

Contenidos 1. 1 Descarga de pfSense 1. 1.1 ltimas imgenes estables oficiales de pfSense (versin oficial): 1. 1.1.1 ltimas imgenes oficiales de pfSense (versin oficial con todos los parches que hayan salido): 2. 1.2 Instalacin en Compact Flash 1. 1.2.1 Usando Unix/Linux 2. 1.2.2 Usando Windows 2. 2 Instalacin de pfSense en Red mediante PXE 1. 2.1 Introduccin 2. 2.2 Requisitos 3. 2.3 Servidor TFTP 4. 2.4 Servidor DHCP 1. 2.4.1 Servidor NFS 2. 2.4.2 Comprobacin de NFS 3. 2.4.3 Imagen ISO de Pfsense 3. 3 Instalacin PXE 4. 4 Actualizacin de pfSense 1. 4.1 Advertencias 2. 4.2 Actualizando con WEBGUI 3. 4.3 Actualizando desde la consola
Descarga de pfSense Se har desde la web oficial de Notas importantes: Hay dos tipos de imgenes de pfSense: y Embedded. Es la que se emplea para Compact Flash, tiene los acesos a disco minimizados y no admite instalacin de paquetes. De esta forma se preserva la vida de la Compact Flash. Se presenta comprimida con gzip, con la extensin img. No soporta ni teclado ni monitor, hay que conectar cable serie para acceder a la consola de pfSense y poder hacer la configuracin inicial. LiveCD. Es una imagen iso, para ser ejecutada desde el propio CD. Tiene una opcin para instalar pfSense en disco duro y a partir de entonces se pueden instalar paquetes, muchos de ellos administrables desde la interfaz web.

ltimas imgenes estables oficiales de pfSense (versin oficial): y y Instalaciones nuevas: Actualizaciones:

ltimas imgenes oficiales de pfSense (versin oficial con todos los

parches que hayan salido): y y Embedded: LiveCD:

Instalacin en Compact Flash Introduccin Se necesita una tarjeta de 250Mb mnimo. Adems de un lector de Tarjetas Compact flash para escribir la ltima SNAPSHOT de PfSense que habremos descargado de Pfsense: Usando Unix/Linux Descargamos desde uno de los "mirrors" oficiales la imagen de la ltima versin estable, y comprobamos la huella "md5": $ wget $ wget $ more pfSense-1.2-LiveCD-Installer.iso.md5 MD5 (pfSense-1.2-LiveCD-Installer.iso) = f382c0284cd805cc9c4acf0d1f129432 $ md5 pfSense-1.2-LiveCD-Installer.iso MD5 (pfSense-1.2-LiveCD-Installer.iso) = f382c0284cd805cc9c4acf0d1f129432 Usa este comando para escribir la imagen descargada a la Tarjeta CompactFlash: $ zcat pfsense.img.gz | dd of=/dev/hdc bs=16k Donde hdc es el dispositivo compact flash detectado por el sistema. Usando Windows Descarga la utilidad para escribir la imagen desde Nota: Si se bajan los archivos a travs de Windows, para comprobar firmas se puede emplear fsum: Descomprime las dos utilidades descargadas y despus desde una ventana de comandos comprueba la firma de la imagen:

> fsum -jm *.gz > type pfSense-1.0.1-512-ad2.img.gz.md5

Una vez comprobada la firma en tu mquina Windows con lector de tarjetas CompactFlash con el fin de poder grabar la CompactFlash, grabamos la


> physdiskwrite pfSense.img.gz physdiskwrite v0.5.1 by Manuel Kasper <> Searching for physical drives... Information for \\.\PhysicalDrive0: Windows: cyl: 4427 tpc: 255 spt: 63 Information for \\.\PhysicalDrive1: DeviceIoControl() failed on \\.\PhysicalDrive1. Information for \\.\PhysicalDrive2: Windows: cyl: 31 tpc: 255 spt: 63 Information for \\.\PhysicalDrive3:DeviceIoControl() failed on \\.\PhysicalDrive3. Information for \\.\PhysicalDrive4: DeviceIoControl() failed on \\.\PhysicalDrive4. Which disk do you want to write? (0..2) 0 That disk is larger than 2 GB (safety overwrite check). Please choose another one. Which disk do you want to write? (0..2) 2 About to overwrite the contents of disk 2 with new data. Proceed? (y/n) y Found compressed image file 122441728/122441728 bytes written in total
Ten cuidado con elegir el dispositivo adecuado, aunque physdiskwrite controla automticamente que no se puedan escribir discos de ms de 2 GByte. De esta manera evita las confusiones entre el disco duro y la Compact Flash. Por ltimo instala la tarjeta CompactFlash en tu hardware (Soekris, PCWrap), y listo. Instalacin de pfSense en Red mediante PXE Introduccin Para una instalacin completa sobre disco duro (la nica que soporta instalacin de "packages"), la opcin ms facil es con el "live CD"

descargado directamente desde la WEB de pfSense. Pero en algunos equipos sin lector de CD (ni posibilidad de tenerlo), podremos hacer la instalacin desde la RED mediante PXE. Requisitos

1. Servidor TFTP instalado y configurado. 2. Servidor DHCP instalado y configurado. 3. Servidor NFS instalado y configurado.

En este documento usaremos un servidor con OpenBSD 4.1 para cubrir estos requisitos. Este servidor tendr una interfaz sis1 con IP con DHCP escunchando en ese interfaz. Servidor TFTP Para activar el demonio tftpd, Se suele hacer a traves de inetd. La instalacin estandar de OpenBSD posee una lnea de ejemplo en el /etc/inetd.conf que te facilitar el trabajo:

#tftp dgram udp wait root /usr/libexec/tftpd tftpd -s /tftpboot

Lo nico que tendrs que hacer es eliminar el caracter # y enviar una seal -HUP para que inetd se recargue. tftpd sirve archivos desde un directorio particular, en este caso el directorio sera /tftpboot, que usaremos en este ejemplo. Obviamente, este directorio debe ser creado con anterioridad. Entonces:

# mkdir /tftpboot # kill -HUP `cat /var/run/`

Servidor DHCP Para que se pueda hacer el arranque PXE hay que agregar algunas opciones al fichero de configuracin de DHCP (/etc/dhcpd.conf). Agregaremos una seccin "host pfsense" con las opciones: (filename, next-server, y option root-path)

shared-network LOCAL-NET { option domain-name ""; option domain-name-servers,; subnet netmask { option routers

range; host pfsense { hardware ethernet 00:00:24:c9:2a:34; fixed-address; filename "pfsense/boot/pxeboot"; next-server; option root-path "";} }
Servidor NFS NFS depende de que portmap se encuentre en ejecucin antes de poder operar. Portmap, desde la versin 3.2 de OpenBSD, se encuentra desactivado en el modo predeterminado, y por lo tanto hay que activarlo en el fichero /etc/rc.conf.local. Agregamos lo siguiente para que cuando se reinicie el sistema se inicie automticamente #Enable the NFS server portmap=YES nfs_server=YES Nota:Para que los cambios en /etc/rc.conf.local sean efectivos se debe reiniciar. Pero se pueden iniciar los dmons desde lnea de comandos. Estos dmons deben ser iniciados por el superusuario, root. El ejemplo que sigue sobre cmo iniciar nfsd sirve tanto para TCP como para UDP usando 4 dmons. Para gestionar el mximo nmero de requerimientos de clientes concurrentes a los que se quiera dar servicio, hay que activar un nmero apropiado de dmons del servidor de NFS. # /usr/sbin/portmap # /sbin/nfsd -tun 4 # echo -n >/var/db/mountdtab # /sbin/mountd Crea el directorio de exportacin:

# mkdir -p /usr/local/export/pfsense/

El fichero /etc/exports se compone de una lista con los sistemas de archivos que se quiera que sean accesibles por medio de NFS, y define

quin puede acceder a cada uno de ellos. Modifica este fichero para que contenga la siguiente linea que servir NFS slo a clientes dentro de esa red:

/usr/local/export/pfsense/ -alldirs -ro -mapall=nobody -network -mask

Nota: Si se hace un cambio en el fichero /etc/exports mientras NFS esta funcionando, se tendr que avisar a mountd sobre el cambio pasndole una seal HUP: # kill -HUP `cat /var/run/` Comprobacin de NFS # rpcinfo -p program vers 100000 2 tcp 100000 2 udp 100005 1 udp 100005 3 udp 100005 1 tcp 100005 3 tcp 100003 2 udp 100003 3 udp 100003 2 tcp 100003 3 tcp localhost proto port 111 portmapper 111 portmapper 633 mountd 633 mountd 916 mountd 916 mountd 2049 nfs 2049 nfs 2049 nfs 2049 nfs

# showmount -e localhost Exports list on calhost: /usr/local/exprt/pfsense Imagen ISO de Pfsense Descarga la imagen ISO de la ltima versin estable de pfsense, y despus de comprobar la huella "md5" mntala en un directorio que crears con antelacin (ej: /mnt/iso/pfsense) # mkdir /usr/iso # mkdir -p /mnt/iso/pfsense # cd /usr/iso # wget

Installer.iso # wget # more pfSense-1.2-LiveCD-Installer.iso.md5 MD5 (pfSense-1.2-LiveCD-Installer.iso) = f382c0284cd805cc9c4acf0d1f129432 # md5 pfSense-1.2-LiveCD-Installer.iso MD5 (pfSense-1.2-LiveCD-Installer.iso) = f382c0284cd805cc9c4acf0d1f129432 # vnconfig -c svnd1 /usr/iso/pfSense-1.2-LiveCD-Installer.iso # mount /dev/svnd1a /mnt/iso/pfsense Copia el fichero pxeboot de la ISO montada al directorio del Servidor TFTP

# mkdir -p /tftpboot/pfsense/boot/ # cp /mnt/iso/pfsense/boot/pxeboot /tftpboot/pfsense/boot/

Copia el contenido de la imagen ISO a /usr/local/export/pfsense/

# cp -R /mnt/iso/pfsense/* /usr/local/export/pfsense/

Nota muy importante: Si la configuracin de tu RED no deja que el servidor DHCP asigne la IP fija, podrs elegir otra IP cualquiera para la instalacin de pfSense, pero entonces durante el arranque la instalacin se cuelga en el paso Configuring LAN interface.... Debido a que el instalador de pfsense modifica la IP de la interfaz LAN y la define siempre como, haciendo perder la conexin con el servidor NFS. Para arreglar este problema modifica el contenido del fichero /usr/local/export/pfsense/conf.default/config.xml para que se ajuste a tu configuracion, cambiando en la seccin <lan> el parmetro <ipaddr> por la IP que hayas definido en el servidor DHCP para asignar. No olvides tampoco que el parmetro <if> ser "sis0" para soekris net4801 y "vr0" para los soekris net5501

<interfaces> <lan>

<if>vr0</if> <ipaddr></ipaddr> <subnet>24</subnet> <media></media> <mediaopt></mediaopt> <bandwidth>100</bandwidth> <bandwidthtype>Mb</bandwidthtype> <!-<wireless> *see below (opt[n])* </wireless> --> </lan> Instalacin PXE Arranca el soekris conectado al puerto serie de un equipo que utilizaremos para hacer la instalacin, y con la interfaz eth0 (sis0 en soekris net4801, y vr0 en soekris net5501) conectada a la red donde est el servidor DHCP que hemos configurado anteriormente.

Desde el equipo que hemos conectado al puerto serie del Soekris usamos una aplicacion como minicom o cu para ver e interactuar con el arranque del soekris. pulsa Ctrl+p durante el arranque y despues boot f0 para que empieze el arranque PXE desde eth0. NOTA: Si el equipo a instalar es un Soekris Net5501 las insterfaces de red no son "sis" sino "vr" por lo que habr que asignar la interfaz LAN y WAN durante la instalacin:

Network interface mismatch -- Running interface assignment option.

Valid interfaces are:

vr0 vr1 vr2 vr3

00:00:24:c9:2a:34 00:00:24:c9:2a:35 00:00:24:c9:2a:36 00:00:24:c9:2a:37


Do you want to set up VLANs first? If you are not going to use VLANs, or only for optional interfaces, you

should say no here and use the webConfigurator to configure VLANs later, if required.

Do you want to set up VLANs now [y|n]?n

If you do not know the names of your interfaces, you may choose to use auto-detection... In that case, disconnect all interfaces now before hitting a. autodetect. The system will then prompt you to plug in each nic to

Enter the LAN interface name or 'a' for auto-detection: vr0

Enter the WAN interface name or 'a' for auto-detection: vr1

Enter the Optional 1 interface name or 'a' for auto-detection (or nothing if finished):

The interfaces will be assigned as follows: LAN -> vr0 WAN -> vr1 Do you want to proceed [y|n]?y Updating configuration...done.

Una vez ha terminado todo el proceso de arranque conectaremos a nuestro nuevo pfsense a travs de un navegador (o la que hallamos definido anteriormente) usando el usuario admin y password pfsense. Una vez dentro nos dirijimos al men System -> Advanced para modificar las siguientes opciones, y poder conectarnos a l via ssh y comenzar la instalacin propiamente dicha.

System: Advanced functions

Note: the options on this page are intended for use by advanced users only. Enable Serial Console [X] This will enable the first serial port with 9600/8/N/1 Note: This will disable the internal video card/keyboard Save Secure Shell [X] Enable Secure Shell [ ] Disable Password login for Secure Shell (KEY only) SSH port ____________________ Note: Leave this blank for the default of 22

Puede que tarde un poco en generar las claves ssh

# ssh root@ The authenticity of host ' (' can't be established. DSA key fingerprint is 69:e6:1f:9c:e0:e6:fe:85:50:6a:c7:28:e7:92:9c:1a. Are you sure you want to continue connecting (yes/no)? yes Warning: Permanently added '' (DSA) to the list of known hosts. Password:

*** Welcome to pfSense 1.2-RC3 -cdrom on pfSense ***


-> ->

sis0 sis1

-> ->

pfSense console setup

*********************** 0) 1) 2) 3) 4) 5) 6) 7) 8) 9) 10) 11) 99) Logout (SSH only) Assign Interfaces Set LAN IP address Reset webConfigurator password Reset to factory defaults Reboot system Halt system Ping host Shell PFtop Filter Logs Restart webConfigurator Install pfSense to a hard drive/memory drive, etc.

Enter an option: 99

Configure Console Your selected environment uses the following console settings, shown in parentheses. Select any that you wish to change. < < < < Change Change Change Accept Video Font (default) > Screenmap (default) > Keymap (default) > these Settings >

Select Task Choose one of the following tasks to perform.

< Install pfSense > < Reboot > < Exit >

Select a Disk Select a disk on which to install pfSense. < ad0: 38154MB <IC25N040ATCS04 0 CA4OA71A> at ata0-master UDMA33 > < Return to Select Task >

Format this Disk? Would you like to format this disk? You should format the disk if it is new, or if you wish to start from a clean slate. You should NOT format the disk if it contains information that you want to keep. < Format this Disk > < Skip this step > < Return to Select Disk >

Select Geometry The system reports that the geometry of ad0 is 77520 cylinders, 16 heads, 63 sectors This geometry should enable you to boot from this disk. Unless you have a pressing reason to do otherwise, it is recommended that you use it. If you don't understand what any of this means, just select 'Use this Geometry' to continue. Cylinders Heads Sectors [77520 [16 [63 ] ] ] < Return to Select Disk >

< Use this Geometry >

ABOUT TO FORMAT! Proceed? WARNING! ALL data in ALL partitions on the disk

ad0: 38154MB <IC25N040ATCS04 0 CA4OA71A> at ata0-master UDMA33 will be IRREVOCABLY ERASED! Are you ABSOLUTELY SURE you wish to take this action? This is your LAST CHANCE to cancel! < Format ad0 > < Return to Select Disk >

Partition Disk? You may now partition this disk if you desire. If you formatted this disk, and would now like to install multiple operating systems on it, you can reserve a part of the disk for each of them here. Create multiple partitions, one for each operating system. If this disk already has operating systems on it that you wish to keep, you should be careful not to change the partitions that they are on, if you choose to partition. Partition this disk? < Partition Disk > < Skip this Step > < Return to Format Disk >

Partition Anyway?

No changes appear to have been made to the partition table layout. Do you want to execute the commands to partition the disk anyway? < Yes, partition ad0 > < No, Skip to Next Step > < No, Return to Edit Partitions >

Information The disk ad0: 38154MB <IC25N040ATCS04 0 CA4OA71A> at ata0-master UDMA33 was successfully partitioned.

< OK >

Install Bootblock(s)

You may now wish to install bootblocks on one or more disks. If you already have a boot manager installed, you can skip this step (but you may have to configure your boot manager separately.) If you wish to install pfSense on a disk other than your first disk, you will need to put the bootblock on at least your first disk and the pfSense disk.

Disk Drive mode? [ad0 [X]

Install Bootblock? ] [X]


< Accept and Install Bootblocks > < Skip this Step > < Return to Partition Disk >

Information Bootblocks were successfully installed! < OK >

Select a Partition Select the primary partition of ad0 (also known as a `slice' in the BSD tradition) on which to install pfSense. < 1: 37.26G (63-78140160) id=165 > < Return to Install Bootblocks >

Are you SURE? WARNING! ALL data in primary partition #1, 1: 37.26G (63-78140160) id=165 on the disk ad0: 38154MB <IC25N040ATCS04 0 CA4OA71A> at ata0-master UDMA33 will be IRREVOCABLY ERASED! Are you ABSOLUTELY SURE you wish to take this action? This is your LAST CHANCE to cancel! < OK > < Cancel >

Information Primary partition #1 was formatted. < OK >

Select Subpartitions

Set up the subpartitions (also known as just `partitions' in BSD tradition) you want to have on this primary partition.

For Capacity, use 'M' to indicate megabytes, 'G' to indicate gigabytes, or a single '*' to indicate 'use the remaining space on the primary partition'.

Mountpoint Capacity [/ > [swap > ] [256M ] < Ins >< Del ] [* ] < Ins >< Del

< Add >

< Accept and Create > < Return to Select Partition > < Switch to Expert Mode >

Reboot This machine is about to be shut down. After the machine has reached its shutdown state, you may remove the CD from the CD-ROM drive tray and press Enter to reboot from the HDD. < Reboot > < Return to Select Task >

Actualizacin de pfSense Advertencias Aunque existe la opcin de actualizacin a travs de WEBGUI pfsense recomienda la actualizacin mediante la consola. Recuerda que para conectarte a la consola o bien lo haces mediante un cable serie, o bien con "ssh client", habiendolo habilitado previamente en SYSTEM -> ADVANCED -> enable secure shell. Ants de nada recomendamos hacer un backup de tu configuracin desde Diagnostic -> Backup/Restore:

