Close Menu

    Ghid pfSense pe Proxmox: Instalare, NAT și Backup/Restore

    0
    By on Howto, Linux

    Introducere

    Securizarea rețelei virtualizate începe cu un firewall robust. pfSense acționează ca gateway central și firewall în infrastructura ta, oferind control granular asupra traficului. Urmând acest ghid, vei obține o instanță pfSense complet funcțională pe Proxmox, optimizată pentru performanță și pregătită pentru orice scenariu de recuperare a datelor.

    Contextul Inițial

    Într-un mediu Proxmox standard, mașinile virtuale și containerele au nevoie de o rutare securizată către internet și de o segmentare clară a traficului. Obiectivul este transformarea pfSense în punctul unic de intrare (WAN) și ieșire (LAN) pentru tot traficul rețelei virtuale, depășind limitările izolării standard.

    Lista problemelor rezolvate

    • Deployment-ul pfSense ca mașină virtuală (VM) pe Proxmox.
    • Configurarea corectă a punților de rețea (Linux Bridges) pentru WAN și LAN.
    • Rularea wizard-ului de configurare inițială pfSense.
    • Remedierea erorilor de securitate cauzate de certificate SSL expirate.
    • Implementarea unui protocol de backup și restore bazat pe fișiere XML.

    Soluția completă explicată pas cu pas

    1. Pregătirea mediului în Proxmox

    Problema: pfSense necesită cel puțin două interfețe fizice sau virtuale separate pentru a funcționa ca firewall (WAN și LAN).

    Soluția: Configurarea a două Linux Bridges în Proxmox înainte de crearea VM-ului.

    Pașii exacți:

    1. Mergi la nivel de Nod Proxmox -> System -> Network.
    2. Asigură-te că ai vmbr0 conectat la interfața fizică cu internet (WAN).
    3. Creează vmbr1 (fără port fizic asociat, dacă vrei un LAN pur virtual) pentru traficul intern.
    4. Creează VM-ul pfSense:
      • OS: Selectează ISO-ul pfSense descărcat.
      • System: Bifează Qemu Agent.
      • CPU: Minim 2 nuclee.
      • Memory: Minim 2048 MB RAM.
      • Network: Adaugă prima placă pe vmbr0 (WAN) și a doua pe vmbr1 (LAN).

    2. Instalarea pfSense și Configurarea Interfețelor

    Problema: Sistemul de operare trebuie instalat și interfețele mapate corect la nivel de software.

    Soluția: Parcurgerea procesului de instalare FreeBSD și atribuirea manuală a interfețelor în consolă.

    Pașii exacți:

    1. Pornește VM-ul și urmează prompt-urile de instalare (Accept -> Install -> Auto ZFS).
    2. După restart, pfSense te va întreba în consolă: “Do you want to set up VLANs now?”. Răspunde cu n.
    3. Enter the WAN interface name: Introdu prima interfață (ex: vtnet0).
    4. Enter the LAN interface name: Introdu a doua interfață (ex: vtnet1).
    5. După finalizare, vei primi IP-ul default pentru configurarea web (de obicei 192.168.1.1).

    3. Remedierea Certificatului SSL Expirat (webConfigurator)

    Problema: Browserul blochează accesul sau afișează erori critice dacă certificatul default este expirat. Cauza: Certificatele auto-semnate generate la instalări vechi depășesc data de validitate.

    Soluția: Generarea unui nou certificat intern de server.

    Pașii exacți:

    1. Accesează interfața web (ignoră eroarea browserului temporar).
    2. Navighează la System -> Certificate Manager.
    3. Apasă + Add/Sign. Alege Create an internal Certificate.
    4. La Certificate Type, alege obligatoriu Server Certificate.
    5. Salvează, apoi mergi la System -> Advanced.
    6. La secțiunea webConfigurator, selectează noul certificat la SSL/TLS Certificate și apasă Save.

    4. Protocolul de Backup și Disaster Recovery

    Problema: Backup-ul Proxmox salvează tot VM-ul, dar restaurarea configurației pe un pfSense proaspăt instalat este mai rapidă și mai curată prin XML.

    Soluția: Exportul bazei de date de configurare pfSense.

    Pașii exacți:

    1. Backup: Mergi la Diagnostics -> Backup & Restore.
    2. Apasă Download configuration as XML. Salvează fișierul pe un mediu extern.
    3. Restore: În același meniu, secțiunea Restore configuration, alege fișierul XML și apasă Restore configuration.
    4. Sistemul va reporni și va aplica automat toate regulile NAT, VPN și DHCP salvate.

    Checklist final

    • [ ] VM-ul pfSense are alocate două interfețe de rețea în Proxmox (WAN/LAN).
    • [ ] Instalarea pe disc (ZFS) a fost finalizată cu succes.
    • [ ] Interfețele vtnet sunt mapate corect în consola pfSense.
    • [ ] Certificatul webConfigurator a fost reînnoit și aplicat în meniul Advanced.
    • [ ] Ai descărcat fișierul config.xml după finalizarea setărilor.
    • [ ] Regulile NAT permit traficul către serviciile interne (ex: Port 3001).

    FAQ (SEO Boost)

    1. Cum accesez interfața pfSense dacă IP-ul LAN este pe un subnet diferit? Trebuie să conectezi un PC sau un VM la același Linux Bridge (vmbr1) și să îi atribui manual un IP din clasa pfSense.

    2. De ce pfSense nu vede internetul pe WAN? Verifică dacă vmbr0 din Proxmox are acces la gateway-ul tău real sau dacă ai nevoie de setări PPPoE/Static IP oferite de ISP.

    3. Pot folosi un singur port fizic pentru WAN și LAN? Da, folosind VLAN-uri, dar necesită un switch care suportă management (VLAN tagging).

    4. Ce fac dacă am pierdut parola de admin? Folosește consola din Proxmox și alege opțiunea 3) Reset admin password.

    5. Câte resurse consumă pfSense în Proxmox? Este foarte eficient; 2GB RAM și 2 vCPU sunt suficienți pentru o conexiune de 1Gbps cu reguli NAT standard.

    6. De ce certificatul expirat este o problemă dacă sunt în rețea locală? Anumite servicii și browsere moderne refuză să mențină sesiunea activă sau să permită WebSocket-urile necesare interfeței pfSense pe conexiuni expirate.

    7. Fișierul XML conține și parolele? Da, conține utilizatorii și hash-urile parolelor, deci trebuie păstrat într-un loc sigur.

    8. Pot restaura un backup XML de pe pfSense 2.6 pe versiunea 2.7? Da, pfSense suportă migrarea automată a bazei de date către versiuni superioare la import.

    Concluzie + Next steps

    Instalarea pfSense pe Proxmox îți oferă o bază solidă pentru o rețea securizată și performantă. Prin utilizarea procedurii de backup XML, ai garanția că poți restaura întreaga configurație în câteva minute în caz de dezastru.

    Ce recomand să faci după:

    • Configurează un serviciu de Dynamic DNS dacă ai IP dinamic.
    • Instalează pachetul Service Watchdog pentru a monitoriza serviciile critice.
    • Configurează un tunel VPN (OpenVPN sau WireGuard) pentru acces extern securizat, eliminând necesitatea de a expune porturi în WAN.

    Ce am învățat din această conversație

    1. Segmentarea este cheia: În virtualizare, Bridges-urile Linux sunt esențiale pentru a separa traficul WAN de cel LAN.
    2. Backup-ul granular este superior: Un fișier XML de câțiva KB este adesea mai util decât un backup de VM de câțiva GB pentru restaurări rapide.
    3. Securitatea începe cu identitatea: Certificatele SSL valide sunt obligatorii pentru o administrare web stabilă.
    4. Ordinea contează: Maparea interfețelor în consolă trebuie să coincidă exact cu ordinea hardware-ului virtual alocat în Proxmox.
    5. Virtualizarea firewall-ului este stabilă: Dacă resursele (CPU/RAM) sunt rezervate corect, pfSense virtualizat are performanțe identice cu un dispozitiv hardware dedicat.
    Share.

    Related Posts

    Comments are closed.