Pfsense 2: Squid Proxy y Envio de Parametros Automaticos WPAD.

Una persona que pregunto que si podia remplazar un equipo inhalambrico con pfsense, yo le dije que dependia de si el equipo tenia alguna funcion en especial, el me comento que no, que solo es un acceso para la visita, pero que si deseaba que se tuvieran que autenticar.

Su principal problema era que sentia que sus empleados estaban abusando de ese servicio y ya saben, uno le da clave y este empieza a repartirla a medio mundo, y deseaba saber cuanto tiempo duran, cuanto consumen y donde se la pasan.

Yo le dije que si podria hacerlo, asi que empece mi tarea, tenia yo 6 objetivos:

1. Que el cambio fuera sencillo y los empleados no notaran mucho el remplazo de equipo.
2. Usar las mismas credenciales de acceso.
3. Usar un equipo de bajo consumo de energia, de esos que no hacen ruido o sea sin abanicos y compactos. 
4. No usar cache de squid.
5. No bloquear nada.
6. Que todos pasen por squid y nadie se lo pueda brincar.

Ya con esto en mente, opte por un equipo que tengo tiempo usando de la marca Neoware modelo CA10 le cual tiene las siguientes caracteristicas:

• CPU 800Mhz.
• 512RAM DDR400
• Slot para montar una adaptador de memoria CF y ahi cargar el OS.
• 1 Slot PCI para poder agregar cualquier tarjeta de PCI(De Red).
• 4 Puertos USB
• 1 Puerto Paralelo
• 2 Puertos Seriales
• 1 VGA
• 1 NIC Integrado VIA
• 1 NIC 3com en la ranura PCI
• 1 Memoria CF 4GB con pfsense 2.0.1 nano-vga version 4GB.

Aqui esta un imagen del equipo:

Figura 1: Neoware CA10 con Pfsense Nano.

Como observaran, voy a usar la version nano, por cierto estos equipos los estoy ofreciendo en mercadolibre.com.mx si lo buscan como pfsense daran con el.

Ahora regresando a el tema, ya tengo el equipo y pfsense cargado, que necesito configurar?

• squid
• sarg

Estos dos paquetes ya hemos visto en el blog como configurarlos ya no voy a tocar estos temas, aclarando que siempre he sido un seguidor de squid modo no-transparente y aqui es lo mismo, nadie se va a brincar el proxy.

Lo que voy agregar es:

• Usar usuarios locales
• WPAD para que los navegadores obtengan los parametros del proxy sin intervencion.

Ahora si hago todo desde el GUI, ya no tengo que manipular la configuracion de squid desde la consola, para los usuarios existe una pestaña en los parametros de squid donde hacer esto, ver siguiente imagen:

Figura 2: Creacion de usuarios locales.

Ya tenemos las credenciales de acceso igual como las tiene el sistema que ellos estan manejando, sigue por ahi como configurar WPAD para que los navegadores busquen a el proxy y obtengan los parametros sin la intervencion humana.

Siguiendo el doc: http://doc.pfsense.org/index.php/WPAD_Autoconfigure_for_Squid

Dice que debemos crear 1 archivo llamado: wpad.dat en la raiz del folder root de un servidor web, que en mi caso es la misma caja de pfsense y ahi esta squid mas facil, pero su caso puede ser otro, entoces mi configuración seria:

function FindProxyForURL(url,host)
{
if (isPlainHostName(host)) { return .DIRECT.; }
if (isInNet(host, .192.168.0.0., .255.255.255.0.)) { return .DIRECT.; }
return "PROXY 192.168.50.1:3128";
}

Rapido podremos suponer que squid corre en la maquina con IP 192.168.50.1 y el puerto es el conocido 3128.

Ahi viene como se puede brincar la intranet para que no pase por el Proxy.

Tambien dice que debemos copear ese mismo archivo en otros con los nombres:

• wpad.da
• proxy.pac

Les quiero aclarar que yo no he usado esos archivos y mis clientes han logrado obtener la info automatica excepto el navegador opera, leyendo un poco este aun no tiene la funciona de autodescubrir proxies.

De ahi dice el manual que debemos apoyarnos de dns forwarder ya que debemos crear un registro en la seccion "Host Overrides" quedaria asi:

Figura 3: Registro en DNS Forwarder.

Ahora viene la parte del firewall, claro que tambien entra en juego pero estas reglas son sencillas, son 3:

Permitir a la LAN consultar el DNS de pfsense TCP/UDP.
Permitir a la LAN llegar a el puerto 3128 de squid de pfsense TCP.
Permitir a la LAN salir a el puerto FTP si lo llegaran a necesitar TCP.

Es todo, no puedo ser mas abierto por que se supone que la conexion la estan usando para que los clientes puedan accesar a Internet solamente, nada mas, por ello no requiero mas puertos, a lo mejor va a salir algunos en especifico pero hasta el momento no ha pasado nada.

Parece que tenemos todo en su lugar, vamos revisando:

• Squid configurado y operando.
• Sarg configurado y operando los scripts de cron.
• DNS Forwarder configurado.

Prueba de fuego con nuestros navegadores, los configuramos segun el manual:

Windows XP Pro sp3:
Firefox: Si Funciona.
Iexplore: Si Funciona.
Safari: Si Funciona.
Opera: No Funciona, no tiene opcion de busqueda automatica hasta hoy.

Windows 2003:
Firefox: Si Funciona.
Iexplore: Si Funciona.
Safari: Si Funciona.
Opera: No Funciona, no tiene opcion de busqueda automatica hasta hoy.


Windows 7:
Firefox: Si Funciona.
Iexplore: Si Funciona.
Safari: Si Funciona.

Windows Server 2008:
Firefox: Si Funciona.
Iexplore: Si Funciona.
Safari: Si Funciona.


Deseaba probar mi caja Linux pero desgraciadamente fallo el disco, asi que luego pruebo y les informo.

Los updates de Windows sin problemas.


Posibles problemas:

Si estan trabajando sobre esto y cuando prueben y no les aparezca la ventana de autentificacion les recomiendo renovar su IP, este asunto me paso cuando hice los cambios en el DNS forwarder, al renovar mi IP empezo a funcionar sin problemas.

Este equipo entra a trabajar la proxima semana, asi que estaremos monitoreando su funcionamiento, saludos!!!

2012-08-25

Problemas con ciertas tabletas: Pues cabe la sorpresa para enterarme por mi propios ojos que por ejemplo tenemos una tableta de asus con adroid version 4.0.3 y resulta que no tiene soporte para proxy, mucho menos para deteccion automatica, he leido al respecto como muchos equipos y creo que todos tienen este problema, por que google tomo esta decision tan estupida de no agregarle una caracteristica tan basica que es soporte de proxy?

Resumen no puedo usarlo con esta implementacion de pfsense, tengo que buscar el IP crear un alias y agregar una regla que permita la navegacion libre.

Tenemos otro smartphone de motorola con android 2.x, este al menos tiene la opcion de ponerle manualmente el proxy y funciona con el esta implementacion.

Hasto donde he leido la familia de IOS(Apple) desde que salieron tiene este soporte, aun flata probar y ver si es correcto, solo me toco ver uno donde si aparecia la opcion de configuracion.

Si alguien tiene info al respecto espero pueda proporcionarla, saludos!!!

2012-08-27

Si estan trabajando y ya han modificado mucho su pfsense a el punto que ya sus navegadores no pueden obtener los parametros del proxy de manera automatica, les recomiendo que ejecuten el ccleaner en los equipos windows para limpiar todo el cache de sus navegadores.

Pfsense 2: OpenVPN a FreeBSD/Linux via Shared Key

Buenos dias.

Me llego la inquietud de una persona, que me preguntaba como podria conectar una VPN via OpenVPN de Pfsense a Linux?

Me puse a pensar un poco y me dije si ya hemos levantado tipo Site2Site entre Pfsense, RoadWarrior con clientes Windows, que diferencia hay con clientes tipo Linux/FreeBSD.

Tengo mi dominio y ahi tengo una VPN, no tipo shared por que se me hacen muy fragiles, pero al final de cuenta la puedo usar para llevar a cabo esta pequeña tarea.

Haya tengo FreeBSD 8.x con openvpn 2.2.2, ahora pfsense 2.0.1 tiene la version 2.2.0 entonces no hay tanta diferencia de versiones debe funcionar.

La configuracion de este tipo "Shared Key" es de las mas sencilla, ya que solo hay una llave compartida por todas las partes y esto la hace realmente simple, si alguien tiene esa llave puede entablar comunicacion sin problemas.

Para generar la llave se puede hacer desde Pfsense o atraves de Linux/FreeBSD, desde este ultimo puede ser algo tan sencillo como ejecutar:

openvpn --genkey --secret shared.key

Pero podemos ponerle algunos parametros hacer la llave de encriptacion mas grande que es lo mas recomendable 2048, 4096, etc.

Recordar que al aumentar el tamaño tanto la encriptada como desencriptada y la compresion le lleva mas tiempo a el CPU entonces nuestro equipo de computo va a ser masacrado, por ello es conveniente al estar configurando estos parametros hacer pruebas, ya que le podemos poner una llave de 8192 bits y los equipos encargados de la VPN son pc's PIII 500Mhz 512RAM disco IDE 5400RPM, estos sin van resentir nuestra avaricia de seguridad y mas si vamos a entablar comunicacion con varios puntos.

Volviendo a el caso, ya tenemos nuestra llave(shared.key) creada la cual yo la hice en mi caja FreeBSD y la almacene en:

/usr/local/etc/openvpn/keys

Es momento de configurar ese lado de la conexión, mi archivo de configuración quedaria asi:


local W.X.Y.Z
port 1194
proto udp
dev tun
secret /usr/local/etc/openvpn/keys/shared.key
ifconfig 10.8.0.1 10.8.0.2
push "route 192.168.40.0 255.255.255.0"
route 192.168.50.0 255.255.255.0
keepalive 10 120
cipher AES-192-CBC   # AES
comp-lzo
persist-key
persist-tun
status openvpn-status.log
log         /var/log/openvpn.log
verb 0
daemon

NOTA: verb 0 para no arroje tanto log, pueden subirlo a mas cuando esten empezando por si hay errores poder leer los logs para ver si damos con el problema, una vez entablada y probada la conexion lo bajan a 0 para que no haya nada y salvar accesos a el disco y CPU, si hay problema lo vuelven a subir y de nuevo repiten el ciclo.

Recordar que siempre debemos mandar la red que estamos protegiendo, este FreeBSD es mi firewall para la red:

192.168.40.0/24

Por ello el parametro:

push "route 192.168.40.0 255.255.255.0"

Y mi otro punto que seria el Pfsense que protege la red:

192.168.50.0/24

route 192.168.50.0 255.255.255.0

Estos parametros al momento de entablar la comunicacion el 1ro envia esas ruta a el cliente remoto y el 2do agrega la ruta a el mismo, de lo contrario va a ver enlace pero de ahi no vamos a pasar.

Una vez hecho esto de lado de FreeBSD ya ven que estos sistemas controlan muchos demonios atraves del archivo /etc/rc.conf, ahi voy a poner que siempre que arranque el sistema cargue OpenVPN:

openvpn_enable="YES"
openvpn_if="tap"


Ya con esto listo, arrancamos ese punto:

/usr/local/etc/rc.d/openvpn start

Observemos las rutas que aparecen:

Figura 1: Ruta hacie el otro punto.

Como podran observar en la figura 1, aparece la ruta que dice que toda comunicacion hacia la red

192.168.50./24 se va ir por el gw 10.8.0.2 que es la conexion virtual que se crea con el otro punto una vez entablada la comunicacion.

Ahora vamos del lado de Pfsense, haya es atraves del GUI mas sencillo aun, y tenemos esta configuracion:

Figura 2: Configuracion de Pfsense Shared-Key.

Figura 3: Configuracion terminada.

Figura 4: Nuestro dashboard con la conexion establecida.

Figura 5: Ruta creada para el otro punto.

Reglas del Firewall.

Ya solo es cuestion de abrir sus reglas si es que son paranoicos y solo estan dejando salir/entrar lo que necesitan, entonces en su LAN deben crear lo necesario, alias de los servidores remotos, servicios, yo creo alias a los servidores/servicios remotos y solo dejo pasar lo que necesito no mas.

Del otro lado tambien, por ejemplo en FreeBSD solo tengo 2 reglas que voy a permitir:

pass in quick on $ovpn_if proto tcp from $SiteA to $web port http label "VPN Web Server Access"

pass in quick on $ovpn_if proto tcp from $SiteA to $spam port 3306 label "VPN MySQL Server Access"

$SiteA = Red remota que tiene Pfsense detras.

Es todo lo que voy a permitir, entonces esas mismas reglas debe haber algo que permita llegar a estos equipos y servicios y viceversa.

Como ultimo comentario, si tenemos un puño de servidores remotos a los cuales nos vamos a conectar atraves de Pfsense solo recordar que por cada uno debemos llevar a cabo la configuracion, entonces si tenemos 5 remotos, vamos a tener que crear 5 configuraciones, no necesitamos tener una NIC por cada tunel requerido, recordar que lo que manda es el par: IP-remoto:puerto, entoces nuestro pfsense va a tener 5 conexiones en el puerto 1194 por asi decirlo pero a distinto IP.

Bien es todo por hoy, espero les sirva este pequeño doc sobre pfsense y OpenVPN.