pfSenseItaly

Rilasciata la versione 2.8.0 di pfSense

2025-06-12T17:02:00.003+02:00

E' uscita a fine maggio la nuova versione di pfSense, 2.8.0

Questa nuova release, attesa ormai da qualche mese, porta con se parecchie novità e, come sempre, qualche controllo da fare per la compatibilità con sistemi obsoleti e poco performanti, nonchè alcune attenzioni da tenere durante il processo di aggiornamento.

Ecco le principali migliorie e nuove implementazioni:

Sistema operativo aggiornato

pfSense ora si basa su una versione più recente di FreeBSD (15-CURRENT). Ciò garantisce migliori prestazioni, compatibilità con nuovi hardware e un supporto più durevole nel tempo.

Un’interfaccia di backup più semplice

Ora è più facile fare il backup delle impostazioni del sistema grazie a una nuova schermata più chiara e comoda da usare. Puoi anche scaricare direttamente i backup, rinominarli o cambiare la chiave del dispositivo associato

Connessioni Internet più veloci con il nuovo driver

Chi usa connessioni Internet tipo PPPoE, come alcune offerte in fibra o ADSL, potrà notare prestazioni migliori. Questo grazie a un nuovo “motore” che gestisce meglio queste connessioni, utilizzando meno risorse del sistema. Non è attivo di default, ma si può abilitare facilmente.

Nuova tipologia di server DHCP

Il vecchio motore del server DHCP è stato aggiornato. Il nuovo sistema si chiama Kea, ed è più moderno e flessibile, soprattutto per chi utilizza IPv6. Questo cambiamento migliora la registrazione DNS

Compatibilità migliore con reti miste IPv6/IPv4

È stato aggiunto il supporto al NAT64, facilitando l'accesso da IPv6 a IPv4 in ambienti misti. .

Nuove impostazioni predefinite

Sono stati aggiunti alcuni nuovi "alias", ovvero scorciatoie per identificare gruppi di indirizzi IP in modo più semplice. Inoltre, alcune impostazioni di default sono state cambiate per rendere il sistema più stabile, soprattutto quando ci sono molte regole di firewall attive.

Prima di aggiornare

Fai un backup completo: Prima di tutto, salva le impostazioni attuali del sistema, così potrai sempre tornare indietro in caso di problemi.

Disinstalla i pacchetti aggiuntivi: Se hai installato estensioni o componenti aggiuntivi, meglio rimuoverli prima. Alcuni potrebbero non essere ancora compatibili con la nuova versione.

Controlla che il tuo hardware sia adatto: Verifica che il tuo dispositivo abbia abbastanza memoria e risorse per supportare la nuova versione.

riferimenti ufficiali: https://docs.netgate.com/pfsense/en/latest/releases/2-8-0.html

Creare un VPN IPsec per collegare 2 sedi

2025-02-11T09:00:00.001+01:00

Il protocollo IPsec è il più diffuso protocollo per creare una connessione VPN site to site ed è presente su pressochè tutti i firewall, garantendo così l'interoperabilità anche tra apparati differenti.

Come funziona IPsec?

In breve una connessione IPsec si articola in 4 punti:

Negoziazione (Fase 1): i due dispositivi che fanno da terminatori della VPN per le rispettive reti negoziano il metodo di crittografia e autenticazione tramite IKE.
Creazione della connessione (Fase 2): viene stabilita una Security Association (SA) e generata una chiave condivisa.
Trasferimento dati: i pacchetti IP vengono cifrati e trasmessi.
Chiusura della connessione: la SA viene terminata alla fine della comunicazione.

Prerequisiti

Per la configurazione di base che vedremo oggi è necessario che i due endpoint dispongano ciascuno di un IP pubblico e che le sottoreti interne da mettere in comunicazione non siano uguali o anche parzialmente sovrapposte.

In caso questi requisiti non siano presenti, nei prossimi articoli studieremo alcune di queste casistiche.

Configurazione

Nella nostra configurazione supporremo di avere due sedi:

1) Milano con IP pubblico 4.3.2.1 e lan con subnet 192.168.0.0/24

2) Roma con IP pubblico 1.2.3.4 e lan con subnet 192.168.1.0/24

Colleghiamoci al firewall della sede di Milano e configuriamo la connessione verso il server di Roma

Accediamo al menù VPN > IPsec

Clicchiamo su Add P1

Inseriamo una descrizione

Selezioniamo l'interfaccia su cui rimanere in ascolto

Nel remote gateway inseriamo l'ip pubblico della sede di Roma

Inseriamo una chiave condivisa

Selezioniamo gli algoritimi di crittografia secondo gli standard di sicurezza necessari, ad es.

AES256 - SHA512 - DH19

Una configurazione tipica sarà questa:

Lasciamo invariati gli altri parametri e salviamo.

Troveremo perciò la nostra connessione elencata nella pagina delle IP

Clicchiamo ora su Show Phase 2 e poi su Add P2

Scegliamo una descrizione per questa fase 2 e enseriamo la subnet locale e quella remota da mettere in comunicazione

e configuriamo la parte di sicurezza per la gestione di crittografia e autenticazione coi parametri come in figura (ESP - AES256 - SHA512 - DH 19)

Lasciamo gli altri parametri come proposti e salviamo.

Ci spostiamo ora sul firewall di Roma, dove faremo delle configurazioni identiche facendo attenzione a inserire:

- in fase 1, l'IP pubblico di Milano come remote gateway

- in fase 2, la local la remote subnet invertite

Una volta terminato il lavoro anche sul secondo firewall non ci resta che creare le regole sulle interfacce IPsec di entrambe le sedi per permettere il passaggio del traffico nelle due direzioni.

Ci posizioniamo perciò sul firewall prima di Milano e poi di Roma e creiamo una regola su ciascuno che, per semplicità, permette il passaggio di tutto il traffico:

A questo punto non ci resta che verificare lo stato del collegamento sotto Status > Ipsec e testare la bontà della connessione provando a far comunicare tra loro 2 apparati che risiedono sulle lan delle sedi che abbiamo collegato.

La Dashboard di pfSense

2025-02-04T09:30:00.009+01:00

Esploriamo oggi una delle funzioni maggiormente date per scontate, ma non sempre sfruttate al meglio: la Dashboard

La dashboard di pfSense è l'home page dell'interfaccia web e fornisce una panoramica completa sullo stato e sulle prestazioni del firewall.

La dashboard serve principalmente a:

Monitorare lo stato del sistema (utilizzo della CPU, RAM, spazio su disco, uptime).
Visualizzare interfacce di rete con indirizzi IP, stato delle connessioni e velocità.
Gestire connessioni VPN attive.
Controllare i log di sistema e traffico.
Accedere rapidamente alle impostazioni di firewall, NAT, regole e diagnostica.
Verificare gli aggiornamenti del sistema e dei pacchetti installati.

Per sfruttarla al meglio personalizza e minimizza i widget

La dashboard è composta da widget che possono essere aggiunti, rimossi o riorganizzati.
Vai su "Dashboard" > "Aggiungi widget" e seleziona quelli più utili per te

Sui miei pfSense non mancano mai:

System Information con le info generali più rilevanti
Traffic Graph che mi da informazioni sull'uso della banda in tempo reale
i due widget Gateways e Interfaces, che mi segnalano stato e velocità delle connessioni
Disks: che mi segnala lo stato del disco
Service status, che monitora i servizi
i due widget OpenVPN e Ipsec che mi descrivono lo stato delle connessioni remote

Un altro widget secondo me davvero utile è Pictures, che permette di caricare un'immagine: la utilizzo per distinguere le diverse sedi in modo da avere un riscontro immediato quando un cliente ha più firewall e non commettere errori di identificazione della macchina su cui sto lavorando (es. quando le sedi sono in diversi paesi, carico la bandiera)

URL Alias in pfSense

2025-01-28T09:00:00.002+01:00

Per chiudere la panoramica sugli alias che ci ha accompagnato in queste ultime settimane andiamo ad analizzare una tipologia di alias molto utile, che è quella delle URL Tables: posso caricare su un sito web, in una pagina raggiungibile dal firewall (pubblica o privata) un txt con un elenco di URL o IP e il sistema sarà in grado di fare il fetch di tutti i valori contenuti, utilizzandoli all'interno delle regole.

Questo permette di avere alias dinamici basati sul contenuto del file di cui viene fatto il retrieve.

Applicazioni interessanti possono essere quelle per creare regole di blocco sfruttando blacklist pubbliche, piuttosto che regole di permit basate su elenchi custom che andiamo a inserire in un txt online.

Vediamo i passi per creare una regola sfruttando questa funzionalità:

Creiamo l'alias di tipo URL Table (IPs): Firewall > Alias > URLs > Add

Verifichiamo che il sistema sia in grado di fare il fetch degli IP presenti su quella pagina web: Diagnostics - Tables - Selezioniamo l'Alias appena creato:

Scorrendo la pagina sono elencate tutte le entry presenti che possono essere anche in numero molto alto (gli Alias URL Table supportano oltre 30k indirizzi)

Andiamo ora a creare una regola ad hoc per vietare l'accesso a questi ip dalla LAN

Allo stesso modo potremo pubblicare dei file con un elenco di IP consentiti e creare regole che permettano l'accesso a specifici servizi in base agli IP sorgenti in esso contenuti.

Questa funzionalità spesso è utile quando vanno mantenute aggiornate in automatico liste di ip molto lunghe o spesso variabili e sopratutto liste di ip di fornitori di servizi terzi che pubblicano direttamente un url contenenti le liste di ip aggiornate al variare del loro indirizzi.

La nomenclatura degli Alias in pfSense

2025-01-17T15:26:00.002+01:00

La scorsa settimana abbiamo visto a cosa servono gli Alias.

Oggi voglio condividere con voi la nomenclatura che utilizzo per mantenerli ordinati:

Prefisso

IP_ = per gli IP
P_ = per le porte
NET_ = per liste di subnet
FQDN_ = per liste di FQDN
URL_ = per liste di IP/Porte/… scaricati da URL

Subnet di riferimento per IP o Subnet

Nome dell’alias

Ottenendo quindi questa forma: PREFISSO_SUBNET_NOME

Esempi possono essere:

IP_LAN_SRV_WEB_01
P_VOIP_UDP
NET_VOIP_IP_PHONE
URL_GOOGLE

Nella scelta dei nomi il trattino alto e lo spazio non sono utilizzabili, andremo quindi ad usare _

Utilizzare gli Alias in pfSense

2025-01-08T14:38:00.007+01:00

Gli Alias in pfSense sono dei placeholders per IP, Network, Porte e FQDN

Rappresentano uno strumento molto utile al fine di migliorare la comprensione delle regole che creiamo e la loro modifica in modo massivo.

Per gestire gli Alias dobbiamo posizionarci su Firewall > Alias

E' consigliato stabilire una nomenclatura standard per mantenere ordine e leggibilità

Cliccando su Add possiamo aggiungere un Alias assegnadogli un nome secondo la nomenclatura stabilita, scegliendo il tipo (host, port, ip table, ecc) ed inserendone infine i valori.

Gli Alias sono utilizzabili in modo annidato e per contenere più valori contemporaneamente.

Possono essere utilizzati in diversi punti della configurazione per creare regole e si autocompletano e autovalidano: se inizio a scrivere il nome di un alias in un campo, il sistema mi suggerisce con l'autocompletamento tutti i nome che matchano, ma solo se sono alias compatibili con quella tipologia di campo (es. un Port Alias mi sarà proposto solo in un campo dove va indicata una porto o un port range).

Gestire lo spegnimento pilotato di una appliance pfSense tramite NUT con UPS APC

2025-01-02T10:30:00.011+01:00

Quando si installa pfSense su una macchina fisica conviene proteggerlo dagli sbalzi o le mancanze di corrente tramite un UPS.

Oggi vediamo come gestire questo tipo di configurazione in uno scenario in cui il pfSense è collegato a un UPS della APC.

L'UPS APC è dotato di scheda di rete per la gestione remota via web (NMC2 o NMC3).

I passi da seguire sono i seguenti:

Installazione del pacchetto NUT su pfSense
Configurazione dell'SNMP sulla Network Card dell'UPS
Conifgurazione utente per lo shutdown sulla Network Card dell'UPS
Configurazione del NUT su pfSense

Eccoli nel dettaglio

Installazione del pacchetto NUT su pfSense

Da System > Package Manager > Available Packages > cercare e installare il pacchetto NUT

Configurazione dell'SNMP sulla Network Card dell'UPS

Loggarsi via web sulla Network Card e attivare l'SNMP v1 e configurare l'accesso in lettura al firewall:

Configuration > Network > SNMPv1 > Access > Abilitare
Configuration > Network > SNMPv1 > Access Control > Creare la community e inserire l'ip del firewall

Configurazione utente per lo shutdown sulla Network Card dell'UPS

Loggarsi via web sulla Network Card e crreare l'utente dedicato

Configuration > Security > Local Users > Management > Add User

Enable: Si
Username: shutdown
Password: sceglierne una sicura e univoca
User Type: device
Descrizione: utente per shutdown firewall
Next - Apply

Configurazione del NUT su pfSense

Una volta preparato tutto lato Network Card, non ci resta che configurare il pacchettoNUT che troviamo sotto Services > UPS

Services > UPS > UPS Settings

UPS Type: Remote snmp
UPS NAme: il nome dell'ups a cui ci colleghiamo
Enable Notifications: Si

Remote IP address: IP dell'UPS

Extra Arguments to driver (optional):

mibs = auto
community = nome_community_snmp_UPS
snmp_version = v1
pollfreq = 30

ignorelb

override.battery.charge.warning = XX //stimare dal runtime e poi verificare col test di shutdown. E' la soglia di warning pre shutdown calcolata in % della carica della batteria dell'UPS

override.battery.charge.low = YY //stimare dal runtime e poi verificare col test di shutdown. Questa è la % di carica dell'UPS raggiunta la quale parte lo shutdown del firewall

In Advanced

Additional configuration lines for upsmon.conf:

NOTIFYFLAG ONLINE SYSLOG+EXEC
NOTIFYFLAG ONBATT SYSLOG+EXEC
NOTIFYFLAG LOWBATT SYSLOG+EXEC
NOTIFYFLAG FSD SYSLOG+EXEC
NOTIFYFLAG COMMOK SYSLOG+EXEC
NOTIFYFLAG COMMBAD SYSLOG+EXEC
NOTIFYFLAG SHUTDOWN SYSLOG+EXEC
NOTIFYFLAG REPLBATT SYSLOG+EXEC
NOTIFYFLAG NOCOMM SYSLOG+EXEC
NOTIFYFLAG NOPARENT SYSLOG+EXEC

SHUTDOWNCMD "/sbin/shutdown -p +0

Additional configuration lines for upsd.users

shutdown //lo username dell'utente creato sulla network card (es. "shutdown")
password = la password dell'utente "shutdown"
upsmon slave

Al termine della configurazione è opportuno testarne la bontà e validare le soglie percentuali con un test di spegnimento programmato.

Reinstallare pfSense utilizzando il backup della configurazione

2024-12-27T09:00:00.005+01:00

Abbiamo visto qualche mese fa come installare da zero un pfSense versione 2.7

Come fare però se abbiamo necessità di reinstallare mantenendo le configurazioni?

Creare un backup

Il primo passo per poter fare il restore delle configurazioni è assicurarsi di avere un backup recente utile.

Accedere all'interfaccia web e andare su Diagnostics > Backup & Restore e selezionare "Backup extra data" oltre a quanto già selezionato di default

Cliccare su "Download configuration as XML"

Eseguire la reinstallazione

Per reinstallare pfSense possiamo utilizzare la guida creata in precedenza: Installare pfSense 2.7

Effettuare il restore della configurazione

Accedere all'interfaccia web tramite le credenziali di default, andare su Diagnostics > Backup & Restore e cliccare "Choose File" dal menù Configuration File sotto la sezione Restore Backup

Cliccare su Restore Configuration e attendere il reboot

Creare una VPN Site to Site con OpenVPN in pfSense 2.7

2024-12-24T15:03:00.006+01:00

Riproponiamo oggi la versione aggiornata di uno degli articoli più apprezzati del blog.

Questa volta però abbandoneremo la configurazione basata su chiave condivisa per passare a quella più sicura basata su certificati SSL.

Lo scenario prevede sempre una sede A che fa da server e una sede B che fa da client.

Nella sede A è necessaria la presenza di 1 IP pubblico statico, nella sede B può esserci o non esserci.

Sede A (Server):
LAN: 192.168.0.0/24
IP Pubblico: 1.2.3.4

Sede B (Client):
LAN: 192.168.5.0/24
IP Pubblico: 5.6.7.8

Rete Tunnel VPN: 192.168.254.0/24

1. Creazione della CA e dei Certificati

Accedere all'interfaccia web di pfSense (Sede A).

Navigare su System > Cert. Manager > CAs e cliccare su "Add" e inserire i seguenti parametri:

Descriptive Name: OpenVPN_CA
Method: Create internal Certificate Authority
Key Length: 2048
Digest Algorithm: SHA256
Common Name: OpenVPN-CA
Salvare cliccando su "Save".

Passare alla scheda Certificates e cliccare su "Add" per creare il certificato del server:

Method: Create internal Certificate
Certificate Authority: OpenVPN_CA
Descriptive Name: OpenVPN_Server
Common Name: server
Type: Server Certificate
Key Length: 2048
Digest Algorithm: SHA256

Ripetere l'operazione per creare il certificato del client (che sarà utilizzato sulla sede B):

Descriptive Name: OpenVPN_Client
Common Name: client
Type: Client Certificate

2. Configurazione del Server OpenVPN (Sede A)

Navigare su VPN > OpenVPN > Servers e cliccare su "Add" e configurare i seguenti parametri:

Server Mode: Peer to Peer (SSL/TLS)
Protocol: UDP
Device Mode: tun
Interface: WAN
Local Port: 1194
Description: Site-to-Site VPN Server

Cryptographic Settings:

TLS Authentication: Spuntare "Use a TLS Key" e generare la chiave cliccando su "Generate TLS Key".
Peer Certificate Authority: OpenVPN_CA
Server Certificate: OpenVPN_Server
Encryption Algorithm: CHACHA20-POLY1305; AES-256-GCM
Auth Digest Algorithm: SHA256
Hardware Crypto: No Hardware Crypto Acceleration

Tunnel Settings:

Tunnel Network: 192.168.254.0/24
Local Network: 192.168.0.0/24
Remote Network: 192.168.5.0/24

Salvare e applicare le modifiche

3. Configurazione del Firewall su Sede A

Andare su Firewall > Rules > WAN e cliccare su "Add" e configurare:

Action: Pass
Interface: WAN
Protocol: UDP
Source: Any
Destination: WAN Address
Destination Port Range: 1194
Description: Allow OpenVPN Traffic
Salvare e applicare le modifiche.

4. Esportazione e Importazione Certificati Client

Su pfSense (Sede A), navigare su System > Cert. Manager > Certificates.

Scaricare il certificato e la chiave privata del client OpenVPN.
Importare questi file su pfSense (Sede B) in System > Cert. Manager > Certificates cliccando su "Add" e selezionando "Import an existing certificate".

5. Configurazione del Client OpenVPN (Sede B)

Accedere all'interfaccia web di pfSense (Sede B). Navigare su VPN > OpenVPN > Clients e cliccare su "Add" e configurare i seguenti parametri:

Server Mode: Peer to Peer (SSL/TLS)
Protocol: UDP
Device Mode: tun
Interface: WAN
Server Host or Address: 1.2.3.4
Server Port: 1194
Description: Site-to-Site VPN Client

Cryptographic Settings:

Peer Certificate Authority: OpenVPN_CA
Client Certificate: OpenVPN_Client
Encryption Algorithm: CHACHA20-POLY1305; AES-256-GCM
Auth Digest Algorithm: SHA256
Hardware Crypto: No Hardware Crypto Acceleration

Tunnel Settings:

Tunnel Network: 192.168.254.0/24
Remote Network: 192.168.0.0/24

Salvare e applicare le modifiche.

6. Verifica della Connessione VPN

Navigare su Status > OpenVPN in entrambe le sedi: se la configurazione è corretta, vedrai la connessione attiva.

Log Management in pfSense - Come leggere i log in formato Raw

2024-08-27T08:00:00.001+02:00

pfSense di default ci presenta i log in formato parsed, più leggibili ma meno ricchi di informazioni.

Tramite i Log Raw invece possiamo riuscire a ricavare dati aggiuntivi che ci permettono di analizzare il traffico ed eventuali anomalie in modo più preciso.

Leggere un Log Raw di pfSense può sembrare complicato, ma con un po’ di pratica e una buiona guida che ce li spieghi non è così difficile. In questo articolo scopriremo come interpretarli

Visualizzare i Log Raw

Vai su Status - System Logs.

Seleziona la scheda Firewall.

Nelle impostazioni (icona della chiave inglese), sotto Formatted/Raw Display, scegliere Raw e salvare

Struttura dei Log Raw

I log raw di pfSense sono generalmente formattati come una singola linea di valori separati da virgole. Ecco una panoramica dei campi comuni che potresti trovare:

Timestamp: Data e ora dell’evento.

Hostname: Nome dell’host (non incluso nei log inviati tramite syslog).

Rule Number: Numero della regola che ha generato il log.

Interface: Interfaccia reale (es. em0).

Reason: Motivo dell’entrata nel log (es. match).

Action: Azione intrapresa (es. block, pass).

Direction: Direzione del traffico (in/out).

IP Version: Versione IP (4 per IPv4, 6 per IPv6).

Source IP: Indirizzo IP sorgente.

Destination IP: Indirizzo IP di destinazione.

Protocol: Protocollo (es. TCP, UDP).

Source Port: Porta sorgente.

Destination Port: Porta di destinazione.

Esempio di Log Raw

Un esempio di log raw potrebbe apparire così:

Aug 13 23:11:04 pfSense filterlog: 1000000103,0,,1000000103,em0,match,pass,in,4,0x0,,64,4500,0,DF,6,tcp,60,192.168.1.100,1.2.3.4,443,80,0,PA,123456789,987654321,1024,0,,mss;nop;wscale

Interpretazione del Log

Timestamp: Aug 13 23:11:04 - Data e ora dell’evento.

Hostname: pfSense - Nome dell’host.

Rule Number: 1000000103 - Numero della regola.

Interface: em0 - Interfaccia reale.

Reason: match - Motivo dell’entrata nel log.

Action: pass - Azione intrapresa.

Direction: in - Direzione del traffico.

IP Version: 4 - IPv4.

Source IP: 192.168.1.100 - Indirizzo IP sorgente.

Destination IP: 1.2.3.4 - Indirizzo IP di destinazione.

Protocol: tcp - Protocollo.

Source Port: 443 - Porta sorgente.

Destination Port: 80 - Porta di destinazione.

Strumenti Utili

grep: Puoi usare grep per filtrare i log e trovare informazioni specifiche.

Ad esempio: grep "192.168.1.100" /var/log/filter.log

clog: Per versioni precedenti di pfSense, puoi usare clog per leggere i file di log binari: clog /var/log/filter.log

Creare Regole di NAT in pfSense - Parte 1

2024-08-20T08:00:00.006+02:00

NAT IN PFSENSE

Il Network Address Translation (NAT) è una tecnica utilizzata per modificare gli indirizzi IP nei pacchetti di rete mentre transitano attraverso un router o un firewall. pfSense offre potenti funzionalità di NAT che possono essere configurate per gestire sia il traffico in entrata (inbound) che quello in uscita (outbound).
NAT InbounD.

NAT INBOUND

Il NAT Inbound, noto anche come Port Forwarding, consente di reindirizzare il traffico proveniente dall’esterno verso un indirizzo IP interno specifico.

Questo è utile quando si desidera rendere accessibili servizi interni, come un server web, agli utenti esterni.

Configurazione del NAT Inbound su pfSense

Navigare su Firewall - NAT: Selezionare la scheda “Port Forward”.

Aggiungere una nuova regola: Cliccare su “Add” per creare una nuova regola di port forwarding.

Configurare i dettagli della regola:

Interface: Selezionare l’interfaccia WAN.
Protocol: Scegliere il protocollo (TCP).
Destination: Selezionare “WAN address”.
Destination Port Range: Inserire la porta esterna
Redirect Target IP: Inserire l’indirizzo IP interno del server
Redirect Target Port: Inserire la porta interna
Salvare e applicare le modifiche: Cliccare su “Save” e poi su “Apply Changes”.

Esempio di NAT Inbound

Supponiamo di avere un server web interno con l’indirizzo IP 192.168.1.100 e di voler rendere accessibile il sito web tramite HTTPS su Internet. La configurazione della regola di port forwarding sarà la seguente:

NAT Outbound

Il NAT Outbound, noto anche come Source NAT, controlla come gli indirizzi IP interni vengono tradotti quando il traffico esce dalla rete locale verso Internet. Questo è utile per nascondere gli indirizzi IP interni e utilizzare un singolo indirizzo IP pubblico.

Configurazione del NAT Outbound su pfSense

Navigare a Firewall - NAT: Selezionare la scheda “Outbound”.

Selezionare la modalità di NAT Outbound: Scegliere tra Automatic, Hybrid, o Manual.

Automatic: pfSense gestisce automaticamente le regole di NAT Outbound.
Hybrid: Consente di aggiungere regole manuali mantenendo quelle automatiche.
Manual: Tutte le regole devono essere configurate manualmente.

Aggiungere una nuova regola (se in modalità Hybrid o Manual):

Interface: Selezionare l’interfaccia WAN.

Source: Inserire l’indirizzo IP del dispositivo interno

Source Port Range: Lasciare vuoto per tutte le porte.

Destination: Inserire l’indirizzo IP di destinazione

Translation / target: Selezionare “Interface address”.

Salvare e applicare le modifiche: Cliccare su “Save” e poi su “Apply Changes”.

Esempio di NAT Outbound

Supponiamo di avere un centralino con l’indirizzo IP 192.168.1.120 che deve contattare un SIP provider con l’indirizzo IP pubblico 1.2.3.4 presentandosi con un IP pubblico diverso da quello su cui è attestata l'interfaccia WAN del firewall. La configurazione della regola di NAT Outbound sarà la seguente:

Come aggiornare pfSense con fix e minor update

2024-08-13T23:07:00.018+02:00

Oltre agli update di versione e sottoversione, (da 2.6 a 2.7, oppure da 2.7 a 2.7.2) pfSense offre la possibilità di applicare dei fix per la risoluzione di bug e vulnerabilità tramite un pacchetto aggiuntivo chiamato System Patches.

Questo pacchetto è uno di quelli che consigliamo di installare sempre e di mantenere monitorato: ogni volta che risulta da aggiornare, significa che sono stati rilasciati uno o più aggiornamenti minori.

Ecco cosa fare quindi per installarlo, mantenerlo aggiornato ed applicare i fix:

Installazione: posizionarsi su System - Package Manager - Available Packages e cercare "patch"

Cliccare su install e attendere il termina dell'installazione.

Applicazione : posizionarsi poi su System - Patches e cliccare su Apply All Recomanded in fondo alla pagina per attivare tutte le patch.

Riavviare il firewall o il servizio coinvolto o ricaricare il filtro (di fianco a ogni patch è spiegato cosa serve fare per renderla subito operativa)

Creare regole di firewall in pfSense - parte 1

2024-06-05T23:45:00.001+02:00

Le regole del firewall in pfSense sono fondamentali per controllare il traffico tra le reti ad esso connesse, che siano esse reti Internet (WAN) o reti locali (LAN).

Le caratteristiche principali delle regole di firewall in pfSense sono:

Azione: Ogni regola può avere un’azione specifica:

Pass: Permette al traffico di passare attraverso il firewall.
Block: Scarta il traffico senza inviare alcuna risposta.
Reject: Scarta il traffico e invia un messaggio al mittente indicando che la connessione è stata rifiutata

Interfaccia: Specifica l’interfaccia su cui applicare la regola. La regola è sempre applicata in ingresso all'interfaccia in questione. In altre parole, le regole dell’interfaccia LAN si applicano al traffico proveniente dalla rete locale (LAN), mentre le regole dell’interfaccia WAN si applicano al traffico proveniente da Internet.
Versione TCP/IP: Puoi specificare se la regola si applica solo a IPv4, IPv6 o entrambi.
Protocollo: Indica il protocollo, ad esempio, TCP, UDP o ICMP.
Origine e destinazione: Le regole possono specificare sia l’indirizzo IP che la porta/e di origine che quelli di destinazione. Ad esempio, puoi consentire il traffico solo da un indirizzo IP specifico verso il centralino VoIP sulla VLAN fonia.
Ordine di valutazione: Le regole vengono valutate dall’alto verso il basso. La prima regola corrispondente viene applicata. L’ordine delle regole è perciò fondamentale affinchè il firewall si comporti come desiderato.
Negazione implicita: Se non c’è una regola corrispondente, il traffico viene implicitamente negato.

Ecco alcuni esempi:

1. Regola per permettere il traffico da Internet verso un web server interno posizionato nella LAN:

- Web Server:

- Nome della regola: "Permetti traffico HTTPS al Web Server"

- Interfaccia: WAN

- Protocollo: TCP

- Porte: 80 (HTTP) e 443 (HTTPS)

- Origine: Qualsiasi

- Destinazione: Indirizzo IP del web server nella LAN

- Azione: Pass

2. Regola che rigetta il traffico RDP dalla VLAN Users alla VLAN Server:

- Nome della regola: "Blocco traffico RDP tra VLAN Users e VLAN Server"

- Interfaccia: VLAN Users

- Protocollo: TCP

- Porta: 3389 (RDP)

- Origine: VLAN Users

- Destinazione: VLAN Server

- Azione: Reject

E' possibile poi specificare ulteriori parametri per controllare in modo ancor più granulare le regole (gateway da utlizzare, limiter, logging, ecc.), è possibile aggregare IP, subnet o porte tramite alias e molto altro ancora che scopriremo negli articoli delle prossime settimane.

Stay tuned!

Autenticazione Active Directory con pfSense

2024-05-14T07:30:00.001+02:00

Tra le più interessanti e utili funzioni che offre pfSense c'è l'opportunità di autenticare gli utenti appoggiandosi su back end di tipo LDAP, tipicamente Active Directory.

Ciò permette a un utente di accedere con le proprie credenziali di dominio alla OpenVPN remota o all'interfaccia web del firewall, laddove autorizzato.

Che cos'è LDAP?

LDAP è un protocollo applicativo utilizzato per gestire e accedere a servizi informativi distribuiti di directory. Organizza i dati in modo gerarchico, facilitandone il controllo e la gestione. E' il protocollo su cui Active Directory di Microsoft si appoggia per accedere al proprio database di utenti computer e oggetti.

Configurazione autenticazione LDAP con Active Directory su pfSense

Posizionarsi su System - User Manager - Authentication Servers

Cliccare su Add

Scegliere un Nome Descrittivo: SRV-DC

Type: LDAP

Hostname or IP address: l'ip o l'hostname di un domain controller che il firewall può raggiungere

Porta e protocollo: lasciare di default o impostare su LDAPS se necessario coi relativi parametri

Search Scope: Entire Subtree

Base DN: la base del vostro AD - es. DC=pfsenseitaly,DC=local

Authentication container: la OU che contine gli utenti da autenticare (utilizzare il tasto "Select a container") - es. OU=Users,DC=pfsenseitaly,DC=local

Extended Query: da flaggare

Query: gruppo precedentemente creato in AD e utilizzato per identificare uno specifico gruppo di utenti autorizzati - es. memberOf=CN=OpenVPN_Auth,OU=Groups,DC=pfsenseitaly,DC=local

Bind credentials: inserire le credenziali di un utente che abbia accesso in lettura al db di AD

Lasciare il resto di default e salvare.

Verifica autenticazione

Posizionarsi su Diagnostics - Authentication

Scegliere il back-end di autenticazione appena creato

Inserire le credenziali di un utente e cliccare su Test

Log Management in pfSense: quali quali informazioni fondamentali ci offrono

2024-05-07T00:11:00.000+02:00

Abbiamo visto in precedenza come conservare i log generati da pfSense su un server syslog remoto, ma non ci siamo ancora soffermati ad analizzare quali sono le principali voci che vengono registrate sul nostro firewall.

Ricordiamo che i log di pfSense sono conservati nel percorso /var/log e sono fruibili tramite interfaccia web nel menù Status > System Logs.

Andremo ad analizzare le sezioni più significative

System
Firewall
DHCP
Authentication
OpenVPN e IPsec
Packages

1. SISTEMA

I log di tipo System a loro volta contengono diverse sottosezioni, queste le principali

General: racchiude tutti gli eventi generati dai processi, da quelli generati dal kernel, all'interfaccia web e a molti altri sottosistemi sia quelli installati di default che alcuni pacchetti aggiuntivi. Si tratta comunque di processi che non producono molte registrazioni, I sottosistemi che generano grosse quantità di log, hanno il loro menù dedicato. Questi log sono utili per monitorare le attività dei principali processi e servizi (start e stop), sicurezza (sshguard), sincronia di membri di un cluster, login via web, comandi di riavvio o eventi legati allo stato dell'UPS se ce n'è uno collegato, e così via
Gateways: registra gli eventi relativi ai Gateway (in particolare perdita di pacchetti, stato online/offline, latenza dei monitor). Sono utili per il troubleshooting sulla connettività e sul multiwan
Os Boot: riporta l'output della procedura di boot ed è utile per il trobleshooting dell'avvio

2. FIREWALL

I log di questo tipo di default intercettano tutti gli eventi di block svolti dal Packet Filter.

Come configurazione globale o su singole regole è attivabile anche il logging dei pass

Viene segnalata l'azione (block o pass), l'orario, l'interfaccia di origine, la regola matchata, ip e porta di origine e di destinazione e tipo di protocollo (TCP/UDP + flag di extra information).

Sono fondamentali per verificare se c'è un evento di blocco e dovuto a cosa o, viceversa, per capire se il traffico stia effettivamente passando.

L'interpretazione di questi log merita un articolo a parte, che linkeremo appena disponibile

3. DHCP

Quando attivo su una o più interfacce, registrano i log del servizio DHCP server.

Contiene tutte le informazioni necessarie per verificarne il corretto funzionamento (gestione del lease, pool pieno, ecc.)

4. AUTHENTICATION

Contiene le informazioni circa i login riusciti e non, sia al firewall stesso sia per quei servizi per i quali svolge la funzione di back-end di autenticazione (Captive Portal per esempio o le VPN L2TP)

Monitora inoltre lo stato e i cambiamenti di diversi servizi (CARP, sshguard,ecc.)

5. VPN

IpSec e OpenVPN dispongono entrambe di un log dedicato, ognuno dei quali contiene informazioni sulle connessioni in corso e permettono di verificare al livello di dettaglio necessario (la verbosità potrebbe essere necessario cambiarla a livello dell'istanza da monitorare) eventuali problemi sulle connessioni (mancate risposte, certificati scaduti, mismatch di configurazione, configurazioni deprecate, autenticazione riuscita/fallita, ecc.)

6. PACKAGES

Questo log di default è vuoto, ma alcuni pacchetti extra (es. HAProxy) hanno un flag che permette di registrare i propri log, che finiranno in questa sezione.

Il menù dei log di pfSense contiene anche altre voci, ma oggi abbiamo voluto dettagliare maggiormente quelle che riteniamo più importanti.

Aggiugnere rotte alla OpenVPN con FQDN

2024-04-17T16:54:00.003+02:00

Un utilizzo abbastanza classico della VPN è quello di veicolare il traffico verso indirizzi specifici facendo passare il traffico dal tunnel, per presentarsi alla destinazione, anzichè col proprio indirizzo, con l'IP del sito in cui si trova la VPN.

Per esempio se il Sito A è configurato per poter essere accessibile solo dall'IP pubblico del mio ufficio, posso creare una VPN con l'ufficio che mi permetta di veicolando il traffico via VPN per arrivare al sito A.

In OpenVPN esistono i comandi di push route per ottenere questo comportamento: tuttavia nell'utilizzo base e più diffuso, è possibile passare solo degli indirizzi IP e non dei nomi FQDN.

Oggi vedremo come attuare questa configurazione avanzata.

Per prima cosa inseriamo nelle custom options del Server il push della rotta FQDN necessaria.

posizionarsi su VPN --> OpenVPN --> Server:
editare il Server utilizzato e posizionarsi su su Advanced Configuration -> Custom Options
inserire il push route con questa stringa: push "route google.com 255.255.255.255";

In questo modo tutto il traffico verso google.com sarà veicolato nel tunnel VPN e uscirà con l'ip pubblico del firewall pfSense che termina la VPN

Posizionarsi poi su VPN --> OpenVPN --> Client Export Utility:

sotto Advanced fare il push dell’opzione: “allow-pull-fqdn”

Una volta salvate le modifiche è possibile scaricare il certificato con la nuova configurazione.

Installare pfSense 2.7

2024-03-25T15:59:00.004+01:00

L'installazione di pfSense 2.7 può avvenire tranquillamente su una appliance fisica (persino su un pc purchè abbia almeno 2 schede di rete, anche se è fortemente consigliato utilizzare hardware dedicato), cosiccome in un ambiente virtuale on premises o in cloud.

La procedura di installazione è pressochè la medesima, fatto salvo il fatto che su hardware fisico dovremo preparare uno stick USB, mentre in ambito virtuale dovremo aver pre-caricato la ISO da cui far avviare la VM.

L'immagine con l'ultima versione la troviamo sul sito ufficiale: https://www.pfsense.org/download/, dove avremo anche la possibilità di leggere le release notes dell'ultima versione, prima di scaricarla.

Avviato l'installer tramite di default partirà l'installer senza fare nulla se non attendere

Accettiamo la licenza

Scegliamo Install e poi Auto (ZFS) - per approfondire l'uso di ZFS: Link

Andiamo a selezionare il disco di installazione e al termine clicchiamo su "Proceed with Installation"

Accettiamo l'avviso che ci mette in guardia sul fatto che tutto il contenuto del disco verrà distrutto, attendiamo il processo di installazione e poi procediamo col reboot

Attendiamo il riavvio e in meno di 10 minuti abbiamo il nostro nuovo firewall pfSense installato.

A questo punto possiamo procedere a configurare le interfacce di rete e poi il software stesso, tramite interfaccia web partendo dalle credenziali di default admin / pfsense

Riservare un IP specifico ai client collegati in VPN su pfSense 2.7

2024-03-14T08:30:00.000+01:00

Se utilizzate OpenVPN una delle necessità più ricorrenti è quella di operare un assegnamento statico degli indirizzi IP di uno o più client.

Tale necessità può sorgere, in genere, quando serve abilitare per una specifico utente l'accesso a un particolare servizio.

A livello di rules sarà necessario creare la regola di pass verso il servizio, limitandola alla source autorizzata: per fare questa limitazione sull'indirizzo sorgente, dovremo fare in modo che ogni volta che l'utente si collega, acquisisca sempre lo stesso IP.

Avevamo già scritto un articolo in precedenza (Assegnare IP statico a client OpenVPN), di cui riportiamo qui i requisiti, sempre validi, mentre aggiorniamo la procedura di configurazione che ora è ancora più semplice.

Prima di iniziare rammentiamo alcuni concetti di base:

tutte le configurazioni OpenVPN sono di tipo Client-Server;
anche le VPN Site to Site sono di tipo Client-Server;
quando parliamo di IP del client ci stiamo riferendo all'IP del tunnel stabilito tra client e server.

Sebbene siano nozioni scontate è bene rinfrescarle perchè spesso ci si dimentica che:

anche una connessione tra due firewall pfSense o più in generale tra due gateway deve essere configurata come client-server
al nostro client non verrà mai assegnato un IP della subnet locale del server.

Per poter assegnare un indirizzo IP statico ad un client è necessario:

poterlo individuare con certezza;
che non esistano due client che si presentino con lo stesso nome.

L'unico modo per farlo è utilizzare connessioni OpenVPN con certificati dove ogni client è identificato da un certificato con CN univoco e soprattutto usato per una sola installazione.

Se non sapete come fare vi consiglio di legere prima l'articolo "OpenVPN server su pfSense 2.7"

A questo punto assumiamo:

di aver configurato correttamente server e client;
di aver creato un certificato client: mario.rossi;
di aver scelto come subnet per il tunnel 10.0.0.0/24;

Per poter assegnare un IP statico alle due connessioni occorre effettuare la seguente configurazione sul server.
Accediamo a VPN > OpenVPN > Client Specific Overrides

In questa sezione dovremo creare un override per ogni client a cui vogliamo assegnare un IP statico
Per ogni Overrides dovremo indicare:

la descrizione dell'override in Description: es. Mario Rossi
l'identificativo del certificato sotto Common Name: es. mario.rossi
l'ip da assegnare staticamente in IPv4 Tunnel Network: es. 10.0.0.250/24

Questa configurazione, in cui viene indicato direttamente l'ip da assegnare, sostituisce la precedente, un pochino più tricky, che utilizzava le subnet /30.

La nuova modalità è onfigurata in questo del server Ovpn dove deve essere selezionato il valore di default "One IP address per client in a common subnet". Se selezioniamo l'altra opzione disponibile (net30), torniamo alla modalità con le subnet /30, che è ancora presente per retrocompatibilità e ambienti legacy.

Una volta effettuata questa configurazione avremo un ip statico sulla VPN per il Sig. Rossi da utilizzare per creare delle regole ad hoc che lo riguardano.

Log Management in pfSense

2024-03-11T09:00:00.005+01:00

La gestione dei log è un tema ormai fondamentale quando si parla di sicurezza informatica.

I log ci permettono di mantenere traccia degli eventi che impattano il nostro sistema e delle attività svolte dagli amministratori e dagli utenti.

Attualmente inoltre, una corretta gestione dei log non è solo un tema di sicurezza, ma anche di ottemperanza a leggi quali il GDPR, o di compliance a normative come la ISO27001 e a direttive europee, ad esempio la recente NIS2.

Oggi vedremo quali sono i principali strumenti di logging che ci offre pfSense e come configurarli in modo ottimale, per porterne gestire lo storico in modo flessibile e confacente le proprie necessità.

I log di pfSense sono conservati nel percorso /var/log e sono fruibili tramite interfaccia web nel menù Status > System Logs.

Sono organizzati in diversi macroblocchi, sfogliando i quali possiamo andare a rintracciare le attività legate a:

Sistema
Filtraggio del traffico
DHCP
Autenticazione
VPN (OpenVPN, IPsec, ecc.)
NTP
Pacchetti aggiuntivi

Ciascuna di queste voci dispone di una serie di sotto menù per la registrazione puntuale di diverse ti

topologie di eventi.

Log Settings

In questa voce di menù, che è l'ultima, troviamo tutte opzioni di configurazione per la raccolta dei log che andremo ad analizzare oggi.

PfSense mette a disposizione di default un numero molto ampio di log, tuttavia la loro conservazione in locale ha limiti di spazio, prestazioni e durata, motivo per cui porremo particolare attenzione alla conservazione in remoto.

Opzioni Generali

Log Message Format: è il formato dei syslog messaggi che vengono conservati in locale o che vengono inviati a un eventuale syslog server remoto. Sono disponibili due formati (RFC3164 o RFC5424): la scelta tra i due dipende dalla compatibilità col sistema di raccolta remoto.

RFC3164 è lo standard più datato, nativo di BSD, mentre RFC5424 è uno standard più recente che permette una gestione più precisa del timestamp.

La scelta tra i due formati dipende dalla compatibilità col sistema di parsing prescelto per renderli maggiormente leggibili, anche se entrambi gli standard possono essere utilizzati in qualsiasi demone syslog (syslog-ng e rsyslog, ecc.) e tendenzialmente i template per parsarli sono presenti nei principali motori di aggregazione log, come Splunk o Elastic, su cui si basa la maggior parte dei prodotti di log management in commercio.

La trasmissione dei messaggi Syslog inoltre può avvenire sia in UDP che in TCP.

Se non ci sono esigenze particolari, possiamo lasciare il default (RFC3164)

Selezionare le seguenti opzioni, valutando le altre alla bisogna:

Forward/Reverse Display
Log firewall default blocks
Log packets blocked by 'Block Bogon Networks' rules
Log packets blocked by 'Block Private Networks' rules
Log errors from the web server process
Generate log entries when making changes to the configuration

GUI Log Entries: 1000

Il tasto Reset log files, ci permette di eliminare tutti i log presenti in locale compresi i file di rotazione dei log.

Log Rotation

In questa sezione possiamo decidere la dimensione dei singoli file di log e poichè il sistema non è studiato per una conservazione long term in locale si consiglia di mantenere questi valori:

Log Rotation Size (Bytes): tra 512000 e 10240000

Log Retention Count: tra 7 e 14

Queste impostazioni si applicheranno a tutte e 20 le tipologie di file di log presenti, bisogna perciò fare attenzione allo spazio occupato.

Il sistema ci preallerta, indicandoci l'attuale spazio occupato dai log, il massimo raggiungibile con le dimensioni da noi impostate e lo spazio libero su disco in questo momento.

Log Compression: La compressione dei log va attivata solo in caso di file system diverso da ZFS, che di default comprime già il contenuto del disco.

Può essere utile disattivarla anche in caso di file di log molto grandi per i quali ci metterebbe troppa a comprimere o per sistemi particolarmente lenti.

Remote Logging Options

In questa sezione possiamo fare il redirect dei log verso un sistema remoto.

Source Address: scelgo l'interfaccia su cui fare il bind del servizio

IP Protocol: IPv4/IPv6

Remote log servers: ip_remote_syslog_server:port

E' possibile specificare fino a 3 server syslog remoti. E' necessario specificare la porta solo se differente dalla 514 UDP che è la porta di default del syslog.

L'invio avviene solo in UPD, se necessario attivarlo in TCP, si può utilizzare il pacchetto aggiuntivo syslog-ng, di cui non parleremo oggi, ma sarà oggetto di un articolo futuro.

Remote Syslog Contents: è possibile filtrare la tipologia di eventi da inviare al remote syslog selezionando le voci di interesse in questo menù.

Salvare al termine delle modifiche.

OpenVPN Server su pfSense 2.7

2024-03-07T08:00:00.001+01:00

Una delle funzionalità più utilizzate e più apprezzate di pfSense è la possibilità di fare da terminatore per la OpenVPN.

Abbiamo già descritto come creare un Server OpenVPN in diversi articoli precedenti (OpenVPN Server su pfSense 2.3, l'ultimo), ma vogliamo riprendere l'argomento, in quanto col passare del tempo e delle versioni sono cambiati gli algoritmi supportati e anche alcune delle funzionalità offerte dal configuratore.

In questo articolo prendiamo in considerazione la configurazione di un server pfSense come terminatore per una VPN Road Warrior, che permetta agli utenti remoti di collegare il proprio pc, da ovunque si trovino, alla rete aziendale.

Per autenticarsi saranno necessari un certificato SSL + username e password.

Il backend di autenticazione sarà il database locale del firewall stesso.

La configurazione che vedremo in seguito è effettuata su un pfSense 2.7.2

Gli step da effettuare sono i seguenti:

Creazione dei certificati (CA - Server - User)
Configurazione del server OpenVPN
Configurazione dell'interfaccia virtuale
Impostazione regole di firewall
Export della configurazione del client

Creazione dei certificati

Creazione del certificato della CA

Portarsi nel menù System > Cert Manager > CAs

Cliccare su Add

Compilare in modo preciso i campi sotto ripotati per la creazione del nostro certificato

Descriptive Name: Nome del certificato
Method: Create an internal Certificate Authority
Key length: 4096
Digest Algorithm: sha512
Lifetime: 3650 days (10 anni)
Country Code:
State or Province:
City:
Organization:
Email Address:
Common Name: internal-ca

Cliccare su Save

Creazione del certificato Server

Portarsi nel menù System > Cert Manager > Certificates

Cliccare su Add

Compilare in modo preciso i campi sotto ripotati per la creazione del nostro certificato

Method: Create an internal Certificate
Descriptive Name: Nome del certificato
Certificate Authority: la CA creata in precedentza
Key length: 4096
Digest Algorithm: sha512
Lifetime: 3650 days (10 anni)
Common Name: nome dns firewall
Country Code:
State or Province:
City:
Organization:
Email Address:
Certificate Type: Server Certificate

Cliccare su Save

Creazione della Certificate Revocation List

A questo punto è buona prassi creare anche una Certificate Revocation List che tornerà utile nel momento in cui ci sarà da invalidare dei certificati.

Portarsi nel menù System > Cert Manager > Certificate Revocation

Cliccare su Add or Import CRL in corrispondenza del nome del certificato della nostra CA

Compilare in modo preciso i campi sotto riportati per la creazione del nostro certificato

Certification Authority: la CA creata in precedentza
Method: Create an internal Certificate Revocation List
Descriptive Name: CRL
Lifetime: 730 days
Serial: 0

Cliccare su Save

Creazione del certificato User

Portarsi nel menù System > Cert Manager > Certificates

Cliccare su Add

Compilare in modo preciso i campi sotto riportati per la creazione del nostro certificato

Method: Create an internal Certificate
Descriptive Name: Nome del certificato (per esempio lo username dell'utente)
Certificate Authority: la CA creata in precedentza
Key length: 4096
Digest Algorithm: sha512
Lifetime: 3650 days (10 anni)
Common Name: lo username dell'utente
Distinguished Name:
Country Code:
State or Province:
City:
Organization:
Email Address:
Certificate Type: User Certificate

Se si utilizzano utenti locali al firewall la creazione del certificato può essere fatta contestualmente alla creazione dell'utente cliccando sulla voce apposita

Configurazione del server OpenVPN

Portarsi nel menù VPN > OpenVPN > Server

Cliccare su Add

Impostare i seguenti campi:

Description: il nome descrittivo
Server Mode: Remote Access (SSL/TSL + User Auth)
Selezioniamo i backend di autenticazione

Device Mode: tun
Protocol: UDP
Interface: WAN (interfaccia su cui viene fatto il bind)
Local Port: 1194
TLS authentication: YES
Automatically generate a shared TLS authentication key: YES
Peer Certificate Authority: Selezionare il certificato della CA appena creato
Peer Certificate Revocation List: Selezionare la CRL appena creata
Server Certificate: Selezionare il certificato del server appena creato
DH Parameters Length: 4096 bits
Encryption algorithm: CHACHA20-POLY1305 + AES-256-GCM
Auth digest algorithm: SHA256 (256-bit)
Hardware Crypto: selezionare una eventuale scheda di accelerazione
Certificate Depth: One (Client+Server)
Flaggare Strict User-CN Matching
Flaggare Enforce key usage
Tunnel Network: Inserire una subnet per il tunnel, non usare subnet già in uso.
Ipv4 Local network(s): inserire le subnet locali raggiugibili tramite la VPN separandole con virgola
Allow Compression: Refuse any non-stub compression
Topology: One IP address per client
Configurare eventuali impostazioni relative a DNS default domain, server DNS, NTP, NetBIOS secondo le proprie esigenze

Cliccare su Save

Configurazione dell'interfaccia virtuale

Per poter utilizzare il tunnel VPN come gateway nelle roules o per creare rotte statiche, è necessario assegnare al tunnel VPN un interfaccia virtuale.

Portarsi nel menù Interfaces > (assign)
Nella colonna Network port selezionare ovpns1 (REMOTE ACCESS)
Cliccare su Add per aggiungere la nuova interfaccia
Cliccare sul nome della nuova interfaccia, tipicamente optx
Nell'interfaccia effettuare le seguenti modifiche:

Enable: Yes
Description: OPENVPN_REMOTE

Cliccare su Save

Impostazione regole di firewall

A questo punto non ci resta che configurare il firewall affinchè permetta il traffico verso la wan sulla porta 1194 UDP per ricevere le connessioni dai client OpenVPN e creare le regole sull'interfaccia virtuale per permettere il traffico tra i client e il site della vpn.

Portarsi sul menù Firewall > Rules > WAN

Cliccare su Add

E compilare i seguenti campi:

Action: Pass
Protocol: UDP
Destination Port Range: From OpenVPN to OpenVPN

Cliccare su Save

Portarsi sul menù Firewall > Rules > OPENVPN_REMOTE

Cliccare su Add

E compilare i seguenti campi:

Action: Pass
Protocol: Any
Source: Any
Destination: Any

Cliccare su Save (questa regola fa passare tutto il traffico verso le subnet raggiungibili in VPN, restringere le regole secondo necessità).

Export della configurazione del client

Per esportare la configurazione da inserire nel client OpenVPN sul proprio device, installare il pacchetto aggiuntivo openvpn-client-export

Una volta installato posizionarsi su VPN > OpenVPN > Client Export

Scaricare il file di configurazione cliccando sul tasto Most Clients di fianco al nome dell'utnete di nostro interesse

Bloccare regole con gateway specifico in ambiente MultiWAN quando questo non è disponibile

2024-03-04T11:27:00.090+01:00

In ambienti MultiWAN può sorgere l'esigenza di configurare una regola affinché utilizzi sempre e solo uno specifico gateway.

In caso il gateway in questione si trovi in stato di down, il comportamento di default di pfSense è quello di ignorare tale specifica e di far fluire il traffico tramite il gateway di default.

Se questo comportamento non è quello desiderato, è possibile inibire tale l'automatismo, vincolando il traffico intercettato dalla regola alla disponibilità del suo specifico gateway.

La modifica va apportata in System - Advanced - Miscellaneous ed ha valenza globale

E' consigliabile, infine, creare una regola di reject coi medesimi criteri sotto la rule incriminata, per evitare possibili match con eventuali regole seguenti.

Abilitare FTP Client Proxy su pfSense

2024-02-28T11:19:00.007+01:00

Il FTP Client Proxy su pfSense è uno strumento che offre vantaggi di sicurezza e gestione per le connessioni FTP.

Funziona come intermediario tra il client e il server FTP, intercettando le richieste FTP e gestendo separatamente le connessioni di dati e di controllo.
I principali vantaggi di una sua implementazione sono:

NAT traversal: Facilita la gestione delle connessioni in presenza di NAT

Sicurezza: L'FTP Proxy Client può fornire un livello aggiuntivo di sicurezza agendo come un punto di controllo per monitorare e filtrare il traffico FTP in base alle politiche di sicurezza dell'azienda;

Controllo degli accessi: Può essere utilizzato per controllare e limitare gli accessi agli utenti FTP. Ad esempio, è possibile configurarlo per consentire solo determinati indirizzi IP o utenti autorizzati a connettersi ai server FTP interni;

Logging: L'FTP Proxy Client registra le attività FTP, consentendo agli amministratori di rete di monitorare e analizzare il traffico per identificare eventuali problemi di sicurezza o anomalie;

Riduzione del carico di lavoro: In ambienti con un alto volume di traffico FTP, l'FTP Proxy Client può ridurre il carico sui server FTP interni, gestendo in modo efficiente le connessioni e ottimizzando le risorse di rete;

Supporto per protocolli FTP attuali e legacy: Può essere configurato per supportare sia il tradizionale protocollo FTP (File Transfer Protocol) che le sue varianti più sicure come FTPS (FTP over SSL/TLS) e SFTP (SSH File Transfer Protocol).

Gli step di installazione e configurazione sono i seguenti:

Installare il package da System à Package Manager à Avaiable Packages
Individuare il Package: FTP_Client_Proxy

Una volta installando andare su à Services à FTP Client Proxy
Posizionarsi su Local Interface à Selezionare l’interfaccia locale sul quale applicare questo package (la/le LAN/VLAN desiderate): in questo caso lo applichiamo su un interfaccia di Bridge.

Flaggare Early Firewall Rule per posizionare le regole FTP in cima al set di regole per ignorare i blocchi espliciti; aiuta inoltre a consentire l’FTP passivo verso destinazioni arbitrarie
Flaggare Rewrite Source to Port 20
Abilitare le Log Connection per avere una traccia all’interno dei log.

Rilasciata la versione 2.7.2 di pfSense

2024-02-15T18:11:00.006+01:00

E' stata rilasciata la versione 2.7 di pfSense a cui sono seguite, nel giro di poche settimane, le minor release 2.7.1 e 2.7.2.

Vediamo quali sono le principali migliorie e i fix più importanti introdotti.

Versione 2.7.0

La versione 2.7.0 (qui i dettagli) ha introdotto diverse novità interessanti, in particolare i major upgrade delle versioni di PHP e del sistema operativo FreeBSD.

In particolare:

PHP è stato aggiornato dalla versione 7.4.x a 8.2.6.
Il sistema operativo di base è stato aggiornato a FreeBSD 14-CURRENT

Sono poi state apportate diverse modifiche agli algoritmi accettati dalle VPN Ipsec:

Sono stati rimossi diversi algoritmi IPsec deprecati, tra cui:

3DES Encryption
Blowfish Encryption
CAST 128 Encryption
MD5 HMAC Authentication

Stanti queste modifiche, prima di aggiornare, è importante controllare e riconfigurare le tue connessioni IPsec utilizzando algoritmi di crittografia più sicuri, e testarle.

E’ stato aggiunto il supporto per la crittografia ChaCha20-Poly1305 con IPsec.

Altre modifiche:

Captive Portal è stato migrato da IPFW a PF
E’ stata introdotta una nuova GUI per il Packet Capture
OpenVPN è stata upgradata alla 2.6.4

Sono state inoltre fixate diverse vulnerabilità e migliorata la GUI

NB. Il processo di aggiornamento da versioni più vecchie (2.5.x) prevede la necessità di fare un aggiornamento intermedio alla 2.6.

Come sempre, prima di effettuare un aggiornamento è consigliato effettuare il backup della configurazione.

Versioni 2.7.1 e 2.7.2

Le versioni 2.71. e 2.7.2 apportano poche modifiche sostanziali, ma implementano il fix di diverse vulnerabilità:

2.7.1 (elenco completo qui)

Migliora il supporto a SCTP
PHP è stato aggiornato alla versione 8.2.11.
Il sistema operativo di base è stato aggiornato a un punto più recente su FreeBSD 14-CURRENT.
OpenSSL nel sistema base è stato aggiornato dalla versione 1.1.1g a 1.1.1n.
Risolve la vulnerabilità di tipo remote code execution CVE-2023-42326

2.7.2 (elenco completo qui)

Sono state apportate correzioni per diverse Notices e Security Advisories di FreeBSD, tra cui:

Vulnerabilità di spoofing TCP in pf (4) (FreeBSD-SA-23:17.pf)
Possibile corruzione dei dati ZFS (FreeBSD-EN-23:16.openzfs)
Utilizzo elevato della CPU da parte dei thread del kernel ZFS (FreeBSD-EN-23:18.openzfs)
Implementazione AES-GCM errata in ossl (4) (FreeBSD-EN-23:17.ossl)
Problemi di prestazioni in OpenSSL, corretti con accelerazione come AES-NI

Viene installata la versione 2.6.8 di OpenVPN che risolve le vulnerabilità CVE-2023-46849 e CVE-2023-46850

Come sempre, prima di effettuare un aggiornamento è consigliato effettuare il backup della configurazione. Al termine dell’update, installare tramite l'apposito addon le eventuali patch presenti.

Per quanto riguarda gli update, nei test effettuati anche su configurazioni complesse, non ho riscontrato problemi.

Se aggiornate in presenza di pacchetti deprecati perderete le funzionalità offerte da tali pacchetti, non sono state previste migrazioni automatiche a versioni alternative dei servizi.

Se durante gli aggiornamenti doveste riscontrare anomalie, scrivetelo nei commenti

Rilasciata la versione 2.5 di pfSense

2021-03-07T21:41:00.001+01:00

Dopo un attesa durata 3 anni è stata rilasciata la versione 2.5 di pfSense. La precedente release (2.4) risale ad ottobre 2017.

L'aggiornamento più sbandierato è però il grande assente, dopo vari comunicati che annunciavano la presenza a partire dalla versione 2.5 è arrivata la comunicazione sotto forma di piccola nota che ne dichiara l'assenza.

Stiamo parlando della necessità di avere processori con supporto alle istruzioni AES-NI per poter installare ed eseguire pfSense. Una mossa che avrebbe messo fuori gioco i produttori di appliance a basso costo e la possibilità di riutilizzare hw datato per l'impiego come firewall.

Versione di FreeBSD

La prima modifica è legata alla versione di FreeBSD che passa dalla 11.3 alla 12.2 questo introduce importanti aggiornamenti ai componenti di base come OpenSSL.

WireGuard

Un'altra modifica degna di nota è l'introduzione di WirwGuard come alternativa per creare tunnel VPN a livello kernel.

WireGuard è un software open-source e un protocollo che attraverso VPN permette di creare connessioni sicure punto-punto in configurazione routed o bridged. Viene eseguito come modulo nel kernel e punta ad avere prestazioni migliori rispetto ad IPsec e OpenVPN.

File system check

Una modifica degna di nota riguarda l'opzione di riavvio, in realtà non è così importante, ma finalmente è possibile riavviare il firewall ed attivare il check del file system al riavvio senza dover creare manualmente file che ne forzino l'attivazione.

Log

Un'altra modifica interessante è legata al sistema di gestione dei log, l'interfaccia ha subito delle modifiche ed ora mostra in tab separati varie informazioni come i log dell'interfaccia web o i log di boot. Oltre l'interfaccia è stato modificato il sistema di gestione dei log con l'introduzione della rotazione, gestibile dal menù di configurazione dei log.

Gestione dei certificati

Diverse modifiche riguardano anche il gestore dei certificati, è ora possibile effettuare il rinnovo dei certificati scaduti ed è attivo un sistema di notifica per i certifiati scaduti o in scadenza.

OpenVPN ed IPSec

Anche per quanto riguarda OpenVPN c'è stato l'aggiornamento alla versione 2.5 che porta in dote l'algoritmo ChaCha20-Poly1305. Lo stesso algoritmo alla base di WireGuard e che promette lo stesso miglioramento di performance.

Il passaggio alla versione 2.5 richiede l'aggiornamento dei client quindi se state facendo uso di OpenVPN per gestire il lavoro in smart-working avete un primo motivo per non effettuare un aggiornamento immediato.

Anche per IPSec ci sono stati aggiornamenti e migliorie.

Routing

L'introduzzione della versione 2.5 porta con se anche la rimozione di tutti i pacchetti di routing ad eccezione di quelli basati sul pacchetto FRR.

Sono stati quindi rimossi: RIP (routed), OpenBGPD, OSPF (Quagga).

LoadBalancer

Il servizio di LoadBalancer interno è sato rimosso, ora è necessario installare il pacchetto HAproxy

Aggiornamento

Come sempre, prima di aggiornare, il consiglio è di leggere attentamete le informazioni di rilascio che potete trovare qui e fare attenzione ad i seguenti aspetti:

Se utilizzate OpenVPN effettuate prima l'aggiornamento dei client;
Se utilizzate uno dei protocolli di routing sopra citati effettuate prima il passaggio ad FRR;
Se utilizzate il servizio LoadBalancer effettuate prima il passaggio ad HAproxy;
Se utilizzate let's encrypt verificate che non esistano certificati CA scaduti e se esistono eliminateli per non essere invasi da notifiche inutili, ovviamente vale anche per qualsiasi certificato scaduto.

Se tutti questi controlli hanno dato esito positivo non vi resta che effettuare una pulizia dei repository dei packages lanciando dalla console i seguenti comandi

pkg-static clean -ay; pkg-static install -fy pkg pfSense-repo pfSense-upgrade

rm /usr/local/etc/pkg.conf

Ora potete procedere con l'aggiornamento come di consueto

Per quanto riguarda l'update, nei test effettuati anche su configurazioni complesse, non ho riscontrato problemi. Ho notato che la rimozione di package come routed (RIP) non rimuovono dalla configurazione i relativi tag.

Se aggiornate in presenza di pacchetti deprecati perderete le funzionalità offerte da teli pacchetti, non sono state previste migrazioni automatiche a versioni alternative dei servizi.

Se durante gli aggiornamenti doveste riscontrare anomalie, scrivetelo nei commenti.

Rilasciata la versione 2.4.5 di pfSense

2020-03-30T23:19:00.003+02:00

A distanza di pocomeno di un anno, è stata rilasciata l'ultima minor release di pfSense. La nuova release non introduce novità significative ma porta in dote una lunga serie di correzioni anche per bug molto fastidiosi che da un anno affliggevano pfSense.

La nuova release è basata sul sistema FreeBSD 11-STABLE after FreeBSD 11.3 l'unica modifica degna di nota è l'introduzione della possibilità di effettuare delle ricerche all'interno di alcune pagine come: Cert. Manager, DHCP Lease, ecc...

C'è da dire che a questa mancanza si poteva sopperire con la funzionalità di ricerca presente in ogni browser.

Numerose sono invece le correzioni di bug ed i fix di sicurezza. Tra i bug viene finalmente risolto un grave problema alle tabelle degli alias di tipo FQDN che in modo casuale venivano resettate compromettendo il funzionamento di regole basate su alias.

Altri fix importanti riguardano le vpn IPSec VTI

Un elenco completo delle modifiche presenti in questa release è disponibile sul sito ufficiale alla pagina delle Releases

L'immagine della nuova versione può essere scaricati da questa pagina.

Per quanto riguarda l'installazione non si segnalano particolari problemi, come sempre prima di procedere con l'upgrade si consiglia di leggere attentamente l'elenco dei cambiamenti.

Nel caso in cui doveste riscontrare dei problemi durante l'upgrade potete indicarli nei commenti a beneficio di tutti i lettori.