Mis inicios con pfSense, comienza la aventura ¡Ahora sin Linux!

Inicie un proceso de transición de ipCop a pfSense, no es que ipCop fallara, sigue haciendo lo suyo sin queja, pero hubo dos razones que provocaron el cambio.

La primera es que parece que le dieron fin al proyecto de ipCop. Ha pasado mucho tiempo desde la última actualización. El sitio web ya no muestra la información de la distribución y los foros también están muertos.

He intentado buscar alguna declaración oficial, pero no la he encontrado. Distrowatch dice que el status de la distribución es descontinuado. Es una lástima porque era una excelente distribución.

Como dije, el sistema sigue funcionando y haciendo su labor, pero en el caso de los firewalls es importante que estén actualizados por cuestiones de seguridad. Como ejemplo está el reciente caso de los ruteadores MikroTik (New exploit for Mikrotik router winbox vulnerability). Al parecer, aprovecharon esta vulnerabilidad para minar criptomonedas.

La segunda razón es un experimento personal. Como una forma de mejorar la conexión de internet del trabajo se hizo un servidor pfSense con una configuración MultiWAN. O sea, que soporta más de un proveedor de internet y a la fecha ha funcionado muy bien. 

ipCop no tiene esta opción así que ya era tiempo de migrar a otros rumbos.

¿Qué es pfSense?

Para empezar, pfSense no está basado en Linux, en su lugar usa FreeBSD que es una versión de UNIX de código abierto desarrollado por la Universidad de Berkeley. 

pfSense es un sistema operativo derivado de m0n0wall. Usa filtrado de paquetes, FreeBSD 6.x (o a DragonFly BSD cuando ALTQ y CARP estén terminados), ALTQ para un excelente encolado de paquetes y un sistema gestor de paquetes integrado para expandir el ambiente mediante nuevas características. 

DistroWatch.

La función de pfSense es funcionar como un firewall y ruteador con el fin de  mejorar la seguridad y la administración del internet de una red local.

En lo particular usar FreeBSD no me causa mayor problema, pero eran de esperar algunas diferencias.  Afortunadamente la instalación es muy sencilla y si todo fluye correctamente, el contacto directo con FreeBSD no es necesario. La mayor parte del trabajo diario ocurre en su aplicación web.

Problemas durante la instalación.

Todo mi experimento estuvo a punto de arruinarse debido a un problema durante la instalación de pfSense.

Durante el arranque de la USB de instalación me apareció un error

error 1 lba 1244608 no/boot/loader

Investigué en los foros de pfSense, con poco éxito. Creo que dí con la solución de casualidad especificando en el BIOS un HDD Mode del dispositivo USB.

HDD Mode en un BIOS Phoenix.
HDD Mode ¡Y listo!.

Hecho este ajuste, el error desapareció y pude empezar con la instalación.

UFS vs ZFS.

No pienso escribir una guía de instalación. Hay muchas en internet, pero si quiero comentar mi primer disyuntiva al momento de instalar pfSense. 

El canal de Manuel Cabrera Caballero tiene una lista de videos sobre pfSense muy recomendables.

pfSense utiliza UFS que es el sistema de archivos por default de FreeBSD. Pero leí que este sistema de archivos tiene muchos problemas cuando hay cortes de energía inesperados.

ZFS es un viejo conocido en Linux, desarrollado por Sun Microsystems para su sistema Solaris ya tiene algo de tiempo en el mercado. Tiene muchas ventajas, pero en los foros de pfSense (Pfsense 2.4 ZFS File System) tiene la fama de ser un gran consumidor de memoria.

Para mis pruebas decidí empezar con 1 GB en RAM y de ser necesario, subir a 2 GB que es lo que tengo disponible. Pero hasta el momento no ha sido necesario. Tengo configurada mi red, la instalación básica y mi inseparable Squid como proxy y todavía no veo un consumo elevado en la memoria RAM o algún problema asociado.

Gráficas de consumo de recursos en pfSense.
Consumo de memoria RAM razonable.

Igual le instalo 1 GB de RAM adicional solamente por precaución.

Primeras impresiones.

Han sido muchos años de ipCop, muchos de sus problemas los resolvía hasta con los ojos cerrados (generalmente reiniciando el equipo jejejeje). Todos los menús me los sabía de memoria y algunas tareas eran ya cosa de rutina. Ahora tengo que ajustarme a una nueva forma de hacer las cosas.

El cambio ha sido bueno, pfSense tiene opciones que no estaban disponibles con ipCop, como la posibilidad de conectar 2 proveedores de Internet distintos.

El cuestión de desempeño no he tenido queja, pfSense no es muy exigente de recursos, usé una máquina modesta para probarlo. Microprocesador Celeron, 1GB en RAM, 70 GB en disco duro y se ha portado de maravilla. Es una buena forma de jubilar un equipo veterano.

Durante mucho tiempo le estuve dando vueltas a pfSense y cuando por fin lo instalo me doy cuenta de otro proyecto igual de interesante que se llama OPNSense, les paso el dato por si quieren darle un vistazo.

Seguramente este será el primer artículo de varios en el que escriba sobre pfSense.

Imagen principal de Tomas Jensen.

7 comentarios en “Mis inicios con pfSense, comienza la aventura ¡Ahora sin Linux!”

  1. Gracias por el articulo, tambien uso ipcop. Y sierto ya dejo de estar disponible en la web, como en actualizacion. Probare lo del articulo.

    Responder
  2. Gracias por compartir tus experiencias, pero ahora voy hacerte una serie de recomendaciones ya que tengo mas de 8 años usando pfsense y 4 años con opnsense en la cual te puedo dar opiniones de cual vendría mejor. Para empezar pfsense al entrar a la versión 2.5 necesitarías si o si un equipo con un procesador i3 de sexta generación como minimo ya que tiene que soportar la encriptacion AES-NI. Por otra parte opnsense no te limita a eso puedes seguir usando un equipo viejo pero con al menos 1.5Gb de memoria Ram. Además he probado pfblockerNG de pfsense y Bind Dnsbl en opnsense, donde te puedo decir que es mas efectivo en bloqueo de publicidad la forma que lo hace opnsense que la hace pfsense; además son un monton de reglas que hay que configurar en pfblockerNG que lo que se hace en Bind Dnsbl con opnsense. Cualquier duda puedes contactarme.

    Responder
  3. Fijate que tengo ganas de hacerme de un enrutador como este, artículo ya viejuno. Mencionas usas un celereo y tengo un Atom de 1.6 PEEEEERO de 32 bits. ¿Crees que este modesto Atom n270 pueda funcionar decente? Es para un departamento como 6 dispositivos cableado y solo quier oalgo de QoS para la IPTV y 2 instancias de Fortnite.

    Responder
    • Hola Viko,

      Es una muy buena pregunta. Sabes que puedes tener problemas con una arquitectura de 32 bits porque la mayoría de las distribuciones de linux la están dejando de soportar.

      Por ejemplo, FreeBSD parece que si soporta cpus de 32bits https://www.freebsd.org/releases/11.2R/hardware.html#proc-i386

      Pero acabo de revisar la descarga del iso de pfSense y no veo una versión de 32 bits para descarga. https://www.pfsense.org/download/ Punto malo.

      Entonces, para empezar, me pregunto si lo vas a poder instalar. De hecho hay versiones del cpu Atom de 64 bits. ¿Seguro que el tuyo es de 32?.

      Supongamos que lo puedes instalar, entonces lo que sigue sería la cantidad de memoria RAM (menos accesos al disco duro), si tienen 1GB ya estas del otro lado. Y una buena tarjeta de red siempre ayuda.

      Intenta instalarlo y veamos que pasa. 🙂

      Saludos !!!
      Saludos

      Responder
  4. hola buen día , recientemente estamos trabajando en un equipo con solarils 11 y tenemos el problema con zfs que usa mucha memoria hay manera de bajar el porcentaje?? o como mencionan en el post algo alternativo?

    Responder
    • Hola Adrían,

      Lamento no poder ayudarte. No tengo experiencia con Solaris y en mi caso, a pesar de estar utilizando ZFS, hasta ahorita no he tenido problemas con el consumo de memoria como puedes ver en la imagen.

      Consumo de memoria pfSense

      ¿Estás seguro que el sospechoso es ZFS? ¿Puedes usar otro sistema de archivos?

      Saludos.

      Responder

¡Me encantaría saber que opinas!

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

A %d blogueros les gusta esto: