Mis inicios con pfSense, comienza la aventura ¡Ahora sin Linux!

switch de red

Inicie un proceso de transición de ipCop a pfSense, no es que ipCop fallara, sigue haciendo lo suyo sin queja, pero hubo dos razones que provocaron el cambio.

La primera es que parece que le dieron fin al proyecto de ipCop. Ha pasado mucho tiempo desde la última actualización. El sitio web ya no muestra la información de la distribución y los foros también están muertos.

He intentado buscar alguna declaración oficial, pero no la he encontrado. Distrowatch dice que el status de la distribución es descontinuado. Es una lástima porque era una excelente distribución.

Como dije, el sistema sigue funcionando y haciendo su labor, pero en el caso de los firewalls es importante que estén actualizados por cuestiones de seguridad. Como ejemplo está el reciente caso de los ruteadores MikroTik (New exploit for Mikrotik router winbox vulnerability). Al parecer, aprovecharon esta vulnerabilidad para minar criptomonedas.

La segunda razón es un experimento personal. Como una forma de mejorar la conexión de internet del trabajo se hizo un servidor pfSense con una configuración MultiWAN. O sea, que soporta más de un proveedor de internet y a la fecha ha funcionado muy bien. 

ipCop no tiene esta opción así que ya era tiempo de migrar a otros rumbos.

¿Qué es pfSense?

Para empezar, pfSense no está basado en Linux, en su lugar usa FreeBSD que es una versión de UNIX de código abierto desarrollado por la Universidad de Berkeley. 

pfSense es un sistema operativo derivado de m0n0wall. Usa filtrado de paquetes, FreeBSD 6.x (o a DragonFly BSD cuando ALTQ y CARP estén terminados), ALTQ para un excelente encolado de paquetes y un sistema gestor de paquetes integrado para expandir el ambiente mediante nuevas características. 

DistroWatch.

La función de pfSense es funcionar como un firewall y ruteador con el fin de  mejorar la seguridad y la administración del internet de una red local.

En lo particular usar FreeBSD no me causa mayor problema, pero eran de esperar algunas diferencias.  Afortunadamente la instalación es muy sencilla y si todo fluye correctamente, el contacto directo con FreeBSD no es necesario. La mayor parte del trabajo diario ocurre en su aplicación web.

Problemas durante la instalación.

Todo mi experimento estuvo a punto de arruinarse debido a un problema durante la instalación de pfSense.

Durante el arranque de la USB de instalación me apareció un error

error 1 lba 1244608 no/boot/loader

Investigué en los foros de pfSense, con poco éxito. Creo que dí con la solución de casualidad especificando en el BIOS un HDD Mode del dispositivo USB.

HDD Mode en un BIOS Phoenix.
HDD Mode ¡Y listo!.

Hecho este ajuste, el error desapareció y pude empezar con la instalación.

UFS vs ZFS.

No pienso escribir una guía de instalación. Hay muchas en internet, pero si quiero comentar mi primer disyuntiva al momento de instalar pfSense. 

El canal de Manuel Cabrera Caballero tiene una lista de videos sobre pfSense muy recomendables.

pfSense utiliza UFS que es el sistema de archivos por default de FreeBSD. Pero leí que este sistema de archivos tiene muchos problemas cuando hay cortes de energía inesperados.

ZFS es un viejo conocido en Linux, desarrollado por Sun Microsystems para su sistema Solaris ya tiene algo de tiempo en el mercado. Tiene muchas ventajas, pero en los foros de pfSense (Pfsense 2.4 ZFS File System) tiene la fama de ser un gran consumidor de memoria.

Para mis pruebas decidí empezar con 1 GB en RAM y de ser necesario, subir a 2 GB que es lo que tengo disponible. Pero hasta el momento no ha sido necesario. Tengo configurada mi red, la instalación básica y mi inseparable Squid como proxy y todavía no veo un consumo elevado en la memoria RAM o algún problema asociado.

Gráficas de consumo de recursos en pfSense.
Consumo de memoria RAM razonable.

Igual le instalo 1 GB de RAM adicional solamente por precaución.

Primeras impresiones.

Han sido muchos años de ipCop, muchos de sus problemas los resolvía hasta con los ojos cerrados (generalmente reiniciando el equipo jejejeje). Todos los menús me los sabía de memoria y algunas tareas eran ya cosa de rutina. Ahora tengo que ajustarme a una nueva forma de hacer las cosas.

El cambio ha sido bueno, pfSense tiene opciones que no estaban disponibles con ipCop, como la posibilidad de conectar 2 proveedores de Internet distintos.

El cuestión de desempeño no he tenido queja, pfSense no es muy exigente de recursos, usé una máquina modesta para probarlo. Microprocesador Celeron, 1GB en RAM, 70 GB en disco duro y se ha portado de maravilla. Es una buena forma de jubilar un equipo veterano.

Durante mucho tiempo le estuve dando vueltas a pfSense y cuando por fin lo instalo me doy cuenta de otro proyecto igual de interesante que se llama OPNSense, les paso el dato por si quieren darle un vistazo.

Seguramente este será el primer artículo de varios en el que escriba sobre pfSense.

Imagen principal de Tomas Jensen.