pfSenseをInstallする

anonymous@undisclosed.example.com (Anonymous) — Thu, 05 May 2016 12:34:21 +0000

pfSenseをInstallする

今回は、XenServer上にpfSenseをVMとして導入する。

Install

ともあれ、公式サイトからInstallイメージ(isoイメージ)を取得し、XenServerから見えるようにしておくこと

普通にVMを作る。起動イメージを上記Installイメージにすること

今回の構成

設定

とにかく、設定が重要。

初期設定

VMを起動
ConsoleからNetwork関係の設定を投入
1. WAN/LAN関係の設定を入れる
  - LAN I/FからWeb Accessで設定することになる。ここを間違えると、かなり面倒なことになるので、十分に注意
    - Webから初期設定出来なくなるのでconsoleからshell loginしてpfを止めなければならなくなる
2. 1) Assign Interface
  1. VLAN設定についてきかれるので、nを選択。(必要に応じて設定すればよい)
  2. WAN Interface name を訊かれるので、re1を入力
  3. LAN Interface name を訊かれるので、re0を入力
  4. Optional Interface name 1 を訊かれるので、re2を入力
  5. Optional Interface name 2 を訊かれるので、何も入力せず、Returnを押す
  6. Do you want to proceed と訊かれるので y を入力
3. Set interface(s) IP Address
  1. 先ほど入力したI/Fが表示されるので、IP Addressを入力するI/Fを選択。今回はLANの2
  2. IPv4 Addressを入力
  3. Mask lengthを入力
  4. DHCP Serverを動かすか訊かれるので、nを入力
    - 動かしたい人はyを入力すればよいが、あとで設定できるので、最初はnにしておくことを勧める
  5. これでBrowserから設定できるようになる
4. 10) Filter logs
  1. これで、Packet filterに引っかかっているパケットが見えるので、最初の設定が終了するまでは、表示しておこう
Browserから設定をする
1. 設定したIP Addressへhttpで接続するとlogin画面が出るはず
  1. 出ない人はまず、filterに引っかかっているか確認。もし引っかかっているならI/Fの設定の問題なので、もう一回LAN/WAN関係を確認
  2. filterに引っかかっていないなら、Network的に通信できているか確認
    1. filter画面でCtrl+cを入力
    2. 7) Ping hostを選択し通信確認をする
    3. これでダメなら、色々確認。
2. 初期userとpasswordはadmin/pfsenseなので、loginする
3. まず何はともあれ、User情報を書き換える
  1. System→UserManagerでadminが存在するはずなので、右端のeのアイコンをクリック
  2. 必要な情報を全部入力し、パスワードを変更する。
  3. saveする
  4. 自分用のアカウントを作成する。「右端下側」の「+」のアイコンをクリック
  5. 必要な情報を全部入力し、パスワードを変更する
    1. 特にGroup設定に注意すること。admin groupに入っていないと、設定変更が出来ない
  6. saveする
4. ともあれlogoutし、adminや自分用のアカウントでlogin出来ることを確認する
5. 失敗したら、コンソール画面から4) Reset to factory defaultsを選択し、最初からやり直し

これで他の設定をする準備ができた。

全般的な設定

システム全般に関わる設定をする

System → General Setup
1. hostname を設定する
2. Domain を設定する
3. DNS Servers を設定する
4. TimeZone を設定する(Asia/Tokyoかな？)
5. NTP Time Serverを設定する。
  - これは、一般に公開されているものでも良いし、内部に保持しているNTP ServerでもOK
6. (好みで) Themeを設定する
7. saveする
System → Advanced → Admin Access
1. (必要があれば)ProtocolをHTTPsにする
2. (必要があれば)sshを生かす
  - この場合、個人アカウント設定でsshのPublic keyを設定し、Authentication MethodでPassword loginをOffにすることを勧める
  - また、sshのポートを22ではなく、別のポート番号にすることを勧める
  - sshでloginした時に、簡易メニューを出したければ、/etc/rc.initialを実行すればよい
3. saveする
- 他にも色々設定できるので、必要に応じて設定する
System → Advanced → Firewall/NAT
1. IP Do-Not-Fragment compatibilityにチェックを入れる
2. IP Random id generationにチェックを入れる
3. saveする
- 他にも色々設定できるので、必要に応じて設定する
System → Advanced → Networking
1. (必要に応じて)Allow IPv6にチェックを入れる
2. (必要に応じて)IPv6 over IPv4 Tunnelingにチェックを入れる
3. (必要に応じて)Device pollingにチェックを入れる
  - 非常に通信量が多い所にpfSenseを導入する場合、kernelが割り込みに追いつかずにパケットを取りこぼすことがある。このような場合に対応し、割り込みベースではなく、ポーリングベースで通信を処理させる時に、ここにチェックを入れる。特に仮想システム上でのVirtual Firewallとして利用する場合、状況をみて設定すると良い。
- 他にも色々設定できるので、必要に応じて設定する
System → Advanced → Miscellaneous
- ほとんどいじる所はない
System → Advanced → System Tunable
1. net.inet.tcp.recvspace: 回線速度に応じて適切に(うちでは、仮想なので、defaultのまま。Bare MetalでMemoryも十分にあるなら3倍〜5倍くらい)
2. net.inet.tcp.sendspace: 回線速度に応じて適切に(うちでは、仮想なので、defaultのまま。Bare MetalでMemoryも十分にあるなら3倍〜5倍くらい)
- 他にも色々設定できるので、必要に応じて設定する
System → Advanced → Notifications
1. 通知先の情報を入れる。特にE-Mailの部分をいじっておくと良い
- 他にも色々設定できるので、必要に応じて設定する

LAN設定

Interface → LAN
- Enableであることを確認する
- (必要に応じて)Descriptionを変更する。(今回は、管理I/Fとして設定するので、Mgmtとした)
- (必要に応じて)Mac Address/MTU/MSSを設定する。LAN系統なので、変更の必要なし
Interface → WAN
- Enableであることを確認する
- (必要に応じて)Descriptionを変更する。(今回は、管理I/Fとして設定するので、Mgmtとした)
- (必要に応じて)Mac Address/MTU/MSSを設定する。LAN系統なので、変更の必要なし
- 今回は、NATの内側にいるので、Block private networksはチェックしない
- Block bogon networksをチェックする。Bogon Networkは使わないこと。
Interface → OPT1
- Enableにする
- (必要に応じて)Descriptionを変更する。(今回は、Server収容Segmentとして使うので、SRVとした)
- TypeをStaticにする
- (必要に応じて)Mac Address/MTU/MSSを設定する。LAN系統なので、変更の必要なし
- IP Addressを設定する。Masklenを設定することを忘れないように

ここまで設定すれば、最小限の設定が済んだと考えて良い。

追加設定

System → Packages
- 追加パッケージを突っ込む
1. Available Packages タブをクリック
2. 以下のpackagesを追加する
  1. sudo
    - System → sudo から設定可能。自分のアカウントを追加すること。これ見て判らない人は、CommandLineで何かすることは考えない方が良い。
  2. mtr-nox11 (Enhanced traceroute)
    - Diagnostic → mtr から使える。強化版traceroute
  3. pfBlocker
    - pfを利用したPacket Blocker。Firewall→pfblockerから設定できる。
    - Source Addressを国毎に分類して、国単位で通信を止めることが出来る。
  4. snort + Dashboard Widget: snort (Snort)
    - 恐らく、最も有名なIDS
    - Service → snortから設定可能。
      - snort.orgにSign upして、oink master codeを取得する。
        
        Sign upして、Sign inして、My AccountからSubscriptions and Oinkcodesを確認すると、取得できる。
      1. Global Setting
        
        Install Snort VRT rules → Install Basic Rules or Premium rules にチェック
        
        Oinkmaster Configuration Codeに上記で取得したCodeを投入
        
        Install Snort Community rules にチェック
        
        Install Emerging Threats rules にチェック
        
        Update Interval を 1dayに
        
        Update Start Time を適切な時間に
        
        Remove blocked hosts every を 1 Hourに
      2. Update Rules
        
        Update your rulesetを実行する。これでうまくupdate出来ない場合、Oink Master Codeが間違っているので、確認すること。
      3. Snort Interfaces
        
        WAN Settings
        
        Enableにチェック
        
        saveする
        
        WAN Categories
        
        Select the rulesets Snort will load at startupで、Select Allをクリックする。
        
        実際には、必要なRuleにしぼった方がよいが、最初はどれを外して良いのか判らないはずなので、取り敢えず全部。
        
        全部チェックすると、当然遅いので、段々にTuningすること。
        
        Snort GPLv2 Community Rulesとemerging-*だけOnにしておくと言うのも一つの手ではある。
        
        saveする
        
        WAN Rules
        
        ここで、実際の詳細のRule設定を行う。しかし、正直ルールが多すぎるので、カテゴリーで判別するしかないだろう。
        
        Snort Interfacesの画面に戻るので、IfがWANの項目を確認。
        
        SnortがEnabled「×」になっているはずなので、「×」をクリックし、Snortを起動する
- 将来追加したいpackages
  1. HAVP antivirus + Dashboard Widget: HAVP + Dashboard Widget: Antivirus Status (HTTP Antivirus Proxy)
  2. squid + squidGuard + Sarg (Web Proxy/Reverse Proxy)

NAT/Firewall設定

次の本命。これを設定しないと意味がない。が、TBD

その他サービス

対外部に直接つながっている機器が行うと良いサービスを動かす

Service → NTP
- 生かしたいI/Fを選んでSaveするだけ
Service → SNMP
- Enableにチェックする
- 必要な情報を書き込む
  - 特にCommunityはDefaultから書き換えること。
- Interface Bindingで参照するI/Fを選ぶ
Status → Dashboards
- 左上の「＋」を選び、必要なものを追加する。
  - Snort Alerts、Interface Statistics、Firewall logs、Service Status、Traffic Graphs
  - Save settingsをクリック
xe-guest-utilitiesを突っ込む
- これは、GUIからでは不可能
- CommandLineからpkg installする
  - pkg install xe-guest-utilities
  - echo “xenguest_enable=\”YES\“” » /etc/rc.conf.local
  - ln -s /usr/local/etc/rc.d/xenguest /usr/local/etc/rc.d/xenguest.sh
  - service xenguest start

その他運用

Configuration Backup

Diagnostics → Backup/Restore
Download Configuration

pfSenseでOpenVPN

anonymous@undisclosed.example.com (Anonymous) — Mon, 22 Feb 2016 10:39:50 +0000

pfSenseでOpenVPN

幾つかの理由で、pfSenseを用いてOpenVPN接続を設定しなければならなくなったので、そのメモ。

今回はBridgeモードで動かしたいので、Tapを利用する設定でいく。
Security的に弱いのは承知の上で、認証を個人証明書ではなくPassword Authenticationにする

以下にやったことを記載する。

pfSenseにlogin
System→Package→Avail Package
- OpenVPN Client Export Utilityを突っ込む
証明書を作成
- System→Cert Manager→CAタブ
  - 「＋」をクリック
  - Descriptive Name 何か良い名前をつける
  - Method Create internal Certificate Authority
  - Key length 4096
  - Digest Algorithm SHA512
  - Lifetime 730 (２年）
  - Distinguished name それぞれ必要な情報を入れる
- System→Cert Manager→Certificatesタブ
  - 「＋」をクリック
  - Method Create and internal Certificate
  - Descriptive name 良い名前を入れる
  - Key Length 4096
  - Digest Algorithm SHA512
  - Certificate Type Server Certificate
  - Lifetime 730 (２年）
  - Distinguished name それぞれ必要な情報を入れる
- System→Cert Manager→Certificate Revocationタブ
  - Method Create an internal Certificate Revocation List
  - Descriptive name 良い名前を入れる
OpenVPN 設定
- VPN→OpenVPN→Server
- 「＋」をクリック
- General Information
  - Server Mode: Remote Access(User Auth)
  - Protocol UDP(TCPでも良いが、UDPの方が性能がよさそう
  - Device Mode tap
  - Interface WAN (Global Addressが付いているI/F)
  - Description 適切なものを記載する
- Cryptographic Settings
  - Peer Certificate Authority 上記で作成したものを選ぶ
  - Peer Certificate Revocation List 上記で作成したものを選ぶ
  - Server Certificate 上記で作成したものを選ぶ
  - DH Parameters Length 4096
  - Encryption Algorithm AES-256-CBC
  - Auth Digest Algorithm SHA512
  - Hardware Crypto BSD cryptodev Engine
    - (CPUがAES-NI機能を持ち、かつ利用できる場合)
- Tunnel Settings
  - Bridge DHCP Check
  - Bridge Interface LAN等
  - Server Bridge DHCP Start 割り当てアドレス（開始）
  - Concurrent connections 同時接続数
  - Compression Enable with Adaptive Compression
- Client Settings
  - Dynamic IP Check
  - Address Pool UnCheck
  - DNS Default Domain 必要に応じて設定
  - DNS Servers 必要なDNS Serverを設定
Firewall Ruleの作成
- Firewalls→Rules→WANタブ
- 「＋」をクリック
- Action Pass
- Interface WAN
- TCP/IP Version IPv4+IPv6
- Protocol TCP/UDP
  - (VPN→OpenVPN→Server→General Information→Protocolで設定したもの)
- Source any
- Destination WAN Address
- Destination port range OpenVPN(1194)
- Description 適切なものを記載する
OpenVPN用I/Fを作成
- Interface→Assign
- 「＋」
- ovpnsの適切なものを選択し「＋」
- 作成されたI/Fを選択
- Enable Interface Check
- Description 適切なものを記載
Bridgeを作成
- Interface→Assign→Bridgeタブ
- 「＋」
- 必要なI/Fを選択(二つ) 上記で作成したI/FとVPNでの接続先I/F(LANなど)を選ぶ
- Description 適切なものを記載する
OpenVPNの設定はこれで終了
VPN Client用の設定ファイルを取得する
- VPN→OpenVPN→Client Exportタブ
- 情報が正しいことを確認
- Client Install Package 必要なLinkから設定ファイルを取得
  - Tunnel Brick用はStandard Configurations→ArchiveでOK
取得した設定をVPN Clientに設定する
- Tunnel Brickの場合には、単純に*.ovpnをダブルクリックするだけ

これで通信できればOK

ほほほのほ - networkapp:pfsense

pfSenseをInstallする

pfSenseをInstallする

Install

今回の構成

設定

初期設定

全般的な設定

LAN設定

追加設定

NAT/Firewall設定

その他サービス

その他運用

pfSenseでOpenVPN

pfSenseでOpenVPN