Práctica Segundo Parcial, VPN Site to Site,

instalación PFSense
Materia: Seguridad de la Información
José Luís Alejandro Hernández Ramírez

Alumno: Gasca Martínez Juan José

Guadalupe
000072
Carrera: Ingeniería en Tecnologías de la
Información.

Grupo: ITI 1005

Parcial: 2do. Decimo Cuatrimestre

Introducción:
A lo largo del segundo parcial se revisó la solución PFSense, solución basada en
BSD la cual es un completo firewall con el cual es posible implementar numerosas
soluciones de infraestructura y seguridad, desde un servidor DHCP para nuestra
empresa, hasta un completo firewall y VPN, lo mejor de todo es que es
opensource, con una implementación correcta podemos implementar esta solución
y ahorrar costos en una costosa caja de alguna solución comercial. Además,
PFSense cuenta con el suficiente soporte si llegáramos a tener algún problema,
en seguida se muestras los pasos realizados para la instalación e implementación
de PFSense.

Desarrollo
Durante el desarrollo de esta actividad se hicieron varias pruebas con fines
didácticos para conocer como poder implementar PFSense con una infraestructura
de hogar, con un internet comercial y con la PC con la que contamos. Sin
embargo, se tuvo distintos problemas debido a los ISP que restringen demasiado
los puertos de los módems y las IP´s publicas son compartidas entre un grupo de
usuarios, de esta forma realizan un doble NAT entre los hogares, impendo así la
correcta implementación de PFSense.

Con virtual box se realiza la instalación de PFSense, se baja la imagen desde

www.pfsense.org
Una ves terminada basta con reiniciar.

Como mencioné a un inicio se realizaron varias pruebas para ver cual es la que
mejor se adaptaba para nuestras necesidades de realizar la práctica mediante los
recursos que tenemos al alcance, se realizó la prueba con la utilería ngrok.

Esta herramienta sin duda es muy efectiva, sin embargo, esta limitada solo a los
puertos TCP, para realizar la conexión se requiere el puerto UDP 500 y 4500, por
lo que no fue posible realizar la conexión VPN, sin embargo es una buena opción
para cualquier otro proyecto que pudiéramos tener.
Aquí Ngrok funcionado desde pfsense
La página de PFSense de mi equipo vista desde la dirección que genera Ngrok.

Para efectos prácticos y ver como funciona PFSense como solución de VPN site
to site tuve que utilizar algunos recursos de mi empresa, por lo que la topología
quedó de la siguiente manera.
Como se puede apreciar se hizo una conexión VPN site to site entre ambas
locaciónes, en el sitio 1 en Silao se colocó una maquina virtual en un servidor, este
servidor proporciona una IP de la red local y se hace NAT para poder publicar los
servicios necesario a internet. En el sitio 2, se recibe la conexión VPN por lP
publica ya instalada, cabe mencionar que la conexión se tuvo que realizar entre un
Cisco Meraki MX80 y PFSense, esto por que del otro lado no tengo opción de otra
IP publica más la que recibe el Cisco Meraki.

Aquí la configuración del NAT a la IP publica.

Aquí la configuración VPN en el Cisco meraki del sitio 2, se ponen los parámetros
necesarios para recibir la conexión de PFSense
Se muestra ambas fases de conexión site to site, para que funcione ambos el
pfsense y cisco meraki deben tener exactamente los mismos parámetros y
conocer la subred del otro lado.
Aquí la configuración en PFSense
En la configuración de la máquina virtual se colocó dos conexiones una en modo
bridge para recibir conectividad con el Gateway y otra interna para conectar con
un host virtual en el mismo servidor.
Aquí la consola de PFSense con los parámetros configurados de IP local con un
DHCP configurado y la IP de la infraestructura y que dará salida a internet.
En el host virtual como se puede ver se tiene conectividad con el panel de
PFSense
Una vez dentro se procede a configurar la conexión VPN Site to Site.

Como se puede ver, la conexión se realizó exitosamente.

Tanto en el dashboard de Cisco Meraki como en el Dashboard de pfsense se
puede ver la conectividad exitosa.

Se puede observar la subred local 10.10.130.0/24 y la subred remota

10.10.98.0/27 perfectamente conectadas.
Aquí una muestra de conectividad, se hizo ping a él Gateway del sitio remoto y a
la IP de una maquina local del otro sitio.
Conclusión
PFSense es una herramienta poderosa que nos puede ayudar a implementar un
sin número de soluciones profesionales sin mucho presupuesto, PFSense permite
desde una conexión VPN Site to Site, DHCP, VPN cliente, filtrado de contenido e
incluso detección de intrusos.
Sin embargo, es importante considerar siempre todos los pormenores necesarios
para un correcto despliegue de infraestructura, como profesionales debemos
asegurar al cliente que cuenta con todo lo necesario para soportar el servicio
desde la parte física en el centro de datos y la parte lógica de la infraestructura
como IP´s publicas y una infraestructura empresarial.
Esta práctica sin duda fue de mucha ayuda para entender a grandes rasgos todos
los problemas que implica realizar una implementación a gran escala. El aprender
a realizarla como profesionales nos evitarán muchos dolores de cabeza en un
futuro.