Hoy os traemos un pequeño manual, de instalación y configuración VPN L2TP en pfSense, primero vamos a ver que es L2TP y cuales son sus ventajas y sus desventajas.
¿Qué es una VPN L2TP?
L2TP (Layer 2 Tunneling Protocol) es un protocolo de túnel de red que permite la creación de una conexión segura entre dos puntos en una red privada o pública. Es utilizado para conectarse a una red privada a través de una conexión pública, como Internet.
En combinación con el protocolo IPsec, L2TP ofrece una conexión segura para el tráfico de red. IPsec se utiliza para cifrar los datos y garantizar la privacidad y la autenticidad de la conexión, mientras que L2TP se utiliza para establecer y mantener la conexión de túnel.
Una VPN (Virtual Private Network) es una conexión segura a través de una red pública, como Internet, que permite a los usuarios conectarse a una red privada. Una VPN L2TP es una conexión VPN que utiliza el protocolo L2TP para establecer y mantener la conexión de túnel.
Una vez establecida la conexión, los usuarios pueden acceder a recursos de la red privada, como servidores y aplicaciones, de manera segura desde una ubicación remota. Es utilizado en empresas para conectarse a sus redes internas de manera segura y también es utilizado por usuarios para proteger su privacidad y acceder a contenido bloqueado en su país.
Ventajas de VPN L2TP
L2TP tiene varias ventajas en comparación con otros protocolos VPN como OpenVPN, Wireguard o Tinc:
Compatibilidad: L2TP es un protocolo estándar, por lo que es compatible con una amplia variedad de sistemas operativos, incluyendo Windows, macOS, iOS, Android, Linux, etc.
Facilidad de configuración: L2TP es fácil de configurar en comparación con otros protocolos VPN, ya que no requiere una configuración tan compleja.
Escalabilidad: L2TP es escalable, lo que significa que puede manejar un gran número de conexiones VPN simultáneas.
Seguridad: Cuando se combina con IPsec, L2TP ofrece una conexión segura para el tráfico de red. IPsec se utiliza para cifrar los datos y garantizar la privacidad y la autenticidad de la conexión.
Combinación con otras tecnologías: L2TP se puede combinar con otras tecnologías, como RADIUS, para proporcionar autenticación y control de acceso a la red privada.
Desventajas de VPN L2TP:
Algunas desventajas de L2TP en comparación con otros protocolos VPN como OpenVPN, Wireguard o Tinc como son:
Mayor sobrecarga: L2TP tiene una mayor sobrecarga en comparación con otros protocolos VPN, lo que puede afectar el rendimiento de la red.
Mayor complejidad: Aunque es fácil de configurar, L2TP puede ser más complejo de administrar y mantener en comparación con otros protocolos VPN.
Menor seguridad: Aunque L2TP combinado con IPsec ofrece una buena seguridad, otros protocolos VPN como OpenVPN y WireGuard ofrecen una seguridad superior.
No nativo en algunos sistemas operativos: Algunos sistemas operativos no incluyen soporte nativo para L2TP, lo que puede dificultar la configuración y el uso de la conexión VPN.
No es tan flexibles: L2TP tiene una configuración más estandarizada y no permite una gran flexibilidad en comparación con otros protocolos como OpenVPN o Tinc.
Conclusiones sobre VPN L2TP:
Ten en cuenta que cada uno de estos protocolos tiene sus propias ventajas y desventajas, y la elección del protocolo VPN adecuado dependerá de las necesidades específicas de cada red. Por ejemplo, OpenVPN es conocido por su alta seguridad, Wireguard por su rendimiento y eficiencia y Tinc por su flexibilidad en la configuración.
Configuración VPN L2TP en pfSense
Ahora sí, pasamos directamente a configurar una VPN L2TP en pfSense, así como un pequeño manual de cómo instalar esta VPN en los sistemas más utilizados (WIndows, Mac, Linux, Android e iOS).
Configurar L2TP en pfSense:
Accede a la interfaz de configuración de pfSense en tu navegador web.
Haz clic en «VPN» en el menú de navegación y luego en «L2TP».
Haz clic en el botón «Enable L2TP Server» para habilitar el servidor L2TP.
En la sección «Server Settings», ingresa la dirección IP del servidor L2TP y la clave compartida que se usará para autenticar los clientes.
Haz clic en «Save» para guardar los cambios.
Configurar usuarios L2TP en pfSense, sigue estos pasos:
Accede a la interfaz de configuración de pfSense en tu navegador web.
Vaya a «VPN» en el menú de navegación y luego en «L2TP».
Haz clic en «Users» en la sección de configuración del servidor L2TP.
Haz clic en el botón «Add» para agregar un nuevo usuario.
Ingresa el nombre de usuario y la contraseña que se usarán para autenticar al cliente.
Haz clic en «Save» para guardar los cambios.
Configurar L2TP en Windows:
Haz clic en el botón de inicio y busca «Panel de control».
Vaya a «Red e Internet» y luego en «Centro de redes y recursos compartidos».
Haz clic en «Configurar una nueva conexión o red» y luego en «Conexión de escritorio remoto».
Ingresa la dirección IP del servidor L2TP y el nombre de usuario y contraseña que configuraste en pfSense.
Haz clic en «Conectar» para establecer la conexión L2TP.
Configurar L2TP en Mac:
Abra «Preferencias del Sistema» y vaya a «Red».
Haga clic en el «+» para agregar una nueva conexión. Seleccione «VPN» como tipo de servicio.
En el menú desplegable «Interface», seleccione «L2TP over IPSec».
Escriba un nombre para la conexión en el campo «Service Name».
Indique la dirección IP o el nombre de host del servidor L2TP en el campo «Server Address».
Escriba su nombre de usuario y contraseña en los campos correspondientes.
En la sección «Advanced», seleccione «Send all traffic over VPN connection» para garantizar que todo el tráfico se envíe a través de la conexión VPN.
Haga clic en «Apply» para guardar la configuración.
Seleccione la conexión recién creada en el menú desplegable «Status» y haga clic en «Connect» para conectarse a la VPN.
Configurar L2TP en Linux:
Para configurar una conexión L2TP en un sistema Linux, se puede utilizar la herramienta «network manager» para configurar y conectarse a la VPN. A continuación se detallan los pasos para configurar una conexión L2TP en Linux utilizando Network Manager:
Instale «network-manager-l2tp» y «network-manager-l2tp-gnome» (o los paquetes equivalentes para su distribución) si aún no están instalados.
Abra el Network Manager y haga clic en «Add VPN».
Seleccione «L2TP» como tipo de conexión.
Ponga un nombre para la conexión en el campo «Connection Name».
Indique la dirección IP o el nombre de host del servidor L2TP en el campo «Gateway».
Escriba su nombre de usuario y contraseña en los campos correspondientes.
En la sección «Advanced», habilite «Use Point-to-Point encryption (MPPE)» para habilitar el cifrado de datos.
Haga clic en «Apply» para guardar la configuración.
Seleccione la conexión recién creada en el Network Manager y haga clic en «Connect» para conectarse a la VPN.
Otra opción para conectarse a una VPN L2TP es usar comandos del sistema, utilizando el programa «pppd» y el script «xl2tpd». Sin embargo, este método es menos intuitivo y requiere más conocimiento técnico para configurarlo.
Configurar L2TP en Android:
Para configurar una conexión L2TP en un dispositivo Android, siga estos pasos:
Abra la aplicación «Configuración» y vaya a «Conexiones» y luego a «VPN».
Toque el botón «+» para agregar una nueva conexión VPN.
Seleccione «L2TP/IPSec PSK» como tipo de conexión.
Escriba un nombre para la conexión en el campo «Nombre».
Indique la dirección IP o el nombre de host del servidor L2TP en el campo «Servidor».
Escriba su nombre de usuario y contraseña en los campos correspondientes.
Escriba la clave compartida en el campo «IPSec pre-shared key»
Toque «Guardar» para guardar la configuración.
Seleccione la conexión recién creada en la lista de conexiones VPN y toque «Conectar» para conectarse a la VPN.
Configurar L2TP en iOS:
Para configurar una conexión L2TP en un dispositivo iOS (iPhone o iPad), siga estos pasos:
Abra la aplicación «Configuraciones» y toque «VPN».
Toque el botón «+» para agregar una nueva conexión VPN.
Escriba un nombre para la conexión en el campo «Descripción».
Seleccione «L2TP» como tipo de conexión.
Indique la dirección IP o el nombre de host del servidor L2TP en el campo «Servidor».
Escriba su nombre de usuario y contraseña en los campos correspondientes.
Escriba la clave compartida en el campo «Clave compartida»
Activar «Enviar todo el tráfico» si deseas enviar todo el tráfico a través de la conexión VPN.
Toque «Guardar» para guardar la configuración.
Seleccione la conexión recién creada en la lista de conexiones VPN y toque «Conectar» para conectarse a la VPN.
Confía en DCSeguridad
EN DCSeguridad tenemos la experiencia para implantar políticas de ciberseguridad en su empresa, si estas interesado, puedes ponerte en contacto con nosotros, en la sección contacto de nuestra WEB.
Hoy os traemos un pequeño manual para instalar ACME en pfSense y solicitar certificados para usarlos en la interfaz WEB, recuerda que recomendamos tener la interfaz WEB capada y solo accesible desde la IP publica de gestion.
Primeramente, ¿Qué es ACME?
ACME es un protocolo automatizado para la emisión de certificados SSL (Secure Socket Layer) y TLS (Transport Layer Security). Es ampliamente utilizado para automatizar el proceso de emisión y renovación de certificados, lo que elimina la necesidad de realizar este proceso manualmente. En pfSense es un paquete que se puede instalar y configurar desde la interfaz web del firewall para obtener y renovar certificados SSL/TLS de forma automatizada, esto es importante porque permite tener una conexión segura en el servicio web de pfsense, permitiendo una mayor seguridad en la conexión de los usuarios.
Para instalar ACME en pfSense y solicitar un certificado SSL, sigue estos pasos:
Inicia sesión en la interfaz web de pfSense como administrador.
Ahora vamos a «System» y luego en «Package Manager».
Damos en «Available Packages» y busca «ACME».
Haz clic en «Install» para instalar el paquete ACME.
Una vez instalado, haz clic en «Services» y luego en «ACME».
Haz clic en «Accounts» y luego en «Add».
Ingresa la información de tu cuenta de correo electrónico y luego haz clic en «Save».
Haz clic en «Certificates» y luego en «Add».
Ingresa la información del dominio para el cual deseas solicitar un certificado y luego haz clic en «Save».
Haz clic en «Issue» para solicitar el certificado.
Una vez emitido el certificado, haz clic en «Certificates» y luego en «View/Download» para descargar el certificado.
Ahora vamos a «Services» y luego en «Services» nuevamente.
Haz clic en «Edit» junto a «HTTPS» y selecciona el certificado recién emitido en el menú desplegable «Server Certificate».
Haz clic en «Save» y luego reinicia el servicio HTTPS para aplicar los cambios.
El certificado SSL ha sido instalado y configurado en pfSense.
Generar un CRON para que ACME renueve automáticamente los certificados
Para generar un cron para autorenovar los certificados de ACME a una determinada hora en pfSense, sigue estos pasos:
Accede a la línea de comandos de pfSense mediante SSH o mediante la opción «Diagnostics» en la interfaz web.
Utiliza el comando «crontab -e» para editar el archivo cron del sistema.
Agrega una nueva línea al archivo cron con el siguiente formato: «0 [hora] [día del mes] * * /usr/local/sbin/acme-client -c -f /var/etc/acme-client.conf» (sin comillas)
Ejemplo: «0 2 * * 1 /usr/local/sbin/acme-client -c -f /var/etc/acme-client.conf» (Este ejemplo renueva el certificado todos los lunes a las 2:00 am)
Guarda y cierra el archivo.
Ahora el cron esta configurado para ejecutar el comando acme-client para renovar los certificados automáticamente en la hora especificada.
Ten en cuenta que es importante asegurarse de que los certificados sean renovados antes de su fecha de expiración, para evitar interrupciones en los servicios que utilizan el certificado.
Recomendación sobre puerto abierto para renovar los certificados de ACME
Ya que se debe de tener el puerto 443 abierto para poder renovar los certificados, recomendamos hacer lo siguiente:
Crear un Schelude para el puerto 443, que solo tenga asignados 15 minutos en la franja que hayamos puesto en el Cron
Crear una regla del Firewall de apertura del puerto 443, y asignarle el Schelude creado en el paso 1
A poder ser usar GEOIP y poner que este puerto solo sea accesible desde USA.
Por que confiar en DCSeguridad
En DCSeguridad ofrecemos servicios de ciberseguridad especialmente enfocados a PYMEs, tales como:
Instalación y Mantenimiento de Firewall
Concienciación de Usuarios
Ciberseguridad Gestionada con nuestro XDR & EDR
Instalación y mantenimiento de VPN
Backup en la Nube como servicio (SaaS)
Análisis de Vulnerabilidades
Monitorización de Servicios contratados 24×7
Contacta con nosotros en nuestra sección de contacto y estaremos encantados de ayudarle a implantar y mantener servicios de ciberseguridad.
Hoy os traigo un pequeño manual para instalar pfSense en ZFS y ampliar SWAP.
Primero un poco de teoría que es ZFS?
ZFS (Zettabyte File System) es un sistema de archivos de código abierto desarrollado por Sun Microsystems (ahora propiedad de Oracle) para sistemas operativos basados en BSD y Linux. ZFS ofrece una gran cantidad de características avanzadas, como la administración automática de espacio, la detección y corrección de errores, la integridad de los datos, la virtualización de almacenamiento y mucho más.
Una de las características más notables de ZFS es su soporte para la creación de «pools» de almacenamiento, que permite a los usuarios agrupar varios dispositivos de almacenamiento en un solo pool lógico. Los pools ZFS también son escalables, lo que significa que se pueden agregar o quitar dispositivos de almacenamiento en cualquier momento sin interrumpir el funcionamiento del sistema.
Ademas ZFS también ofrece soporte para snapshots, que permite tomar instantáneas de los datos en un momento dado, lo que permite a los usuarios recuperar datos anteriores o revertir los cambios en caso de problemas. También ofrece soporte para la replicación de datos, lo que permite copiar automáticamente los datos entre varios dispositivos o servidores para mayor seguridad y disponibilidad.
Que beneficios nos aporta instalar pfSense en ZFS y ampliar SWAP
Al instalar pfSense en ZFS, se pueden obtener varios beneficios, entre ellos:
Integridad de datos: ZFS proporciona características de verificación de integridad de datos, como la detección y corrección de errores, lo que garantiza que los datos almacenados en el sistema estén siempre correctos y seguros.
Virtualización de almacenamiento: ZFS permite crear «pools» lógicos de almacenamiento a partir de varios dispositivos físicos, lo que permite a los usuarios aprovechar al máximo el espacio de almacenamiento disponible y escalar el sistema según sea necesario.
Snapshots y replicación: ZFS ofrece soporte para snapshots, lo que permite tomar instantáneas de los datos en un momento dado, lo que permite a los usuarios recuperar datos anteriores o revertir los cambios en caso de problemas. También ofrece soporte para la replicación de datos, lo que permite copiar automáticamente los datos entre varios dispositivos o servidores para mayor seguridad y disponibilidad.
Mejora en la administración de la memoria: Al expandir la partición de swap, se podría mejorar el rendimiento del sistema al tener más memoria disponible para los procesos en caso de necesitarlo.
Mayor estabilidad y rendimiento: ZFS es un sistema de archivos muy maduro y estable, al tener pfSense instalado sobre este sistema de archivos, se podría obtener un mayor rendimiento y estabilidad en comparación con otros sistemas de archivos.
Instalar pfSense en ZFS y ampliar SWAP
Para instalar pfSense con ZFS y ampliar la partición del swap, siga los siguientes pasos:
Hoy nos hemos encontrado con este fallo en un firewall de un cliente em3: detached pci4: detached, por lo que la interface no aparecía en la lista y no dejaba asignarla, aparte de eso, terminaba por colapsar el firewall, aquí os dejamos la solución que hemos encontrado y aplicado y esta todo correctamente funcionando.
En un primer momento pensábamos que podía ser un problema de hardware, pero hemos observado que el hardware funcionaba correctamente, por lo que hemos procedido a realizar unas modificaciones para su correcto funcionamiento.
Revisando los archivos de los logs hemos encontrado los siguientes problemas del kernel:
pci4: detached
em3: detached
mountroot: waiting for device /dev/ufsid/60a0e7493914b351
Solución em3: detached pci4: detached
Para solucionar este problema hemos realizado las siguientes acciones:
Acceder a la GUI de pfSense
Diagnostics -> Edit File
Browse -> Boot -> loader.conf
Ahora debemos de agregar las siguientes líneas al archivo, si alguno de ellos ya está omitirla, en nuestro caso faltaban casi todas:
kern.cam.boot_delay=10000
kern.ipc.nmbclusters=»1000000″
kern.ipc.nmbjumbop=»524288″
kern.ipc.nmbjumbo9=»524288″
kern.vty=sc
autoboot_delay=»3″
hw.hn.vf_transparent=»0″
hw.hn.use_if_start=»1″
net.link.ifqmaxlen=»128″
Una vez añadimos todas las líneas que falten, sin eliminar las que previamente estaban en el archivo, debemos de proceder a guardar los cambios, esta acción también la podemos hacer por ssh o directamente desde la consola, pero es mucho más cómodo hacerlo por la GUI.
Cuando tengamos todos los cambios guardados, procedemos a reiniciar el pfSense.
Una vez haya terminado el proceso de carga ya podemos asignar nuevamente la tarjeta em3 a una interface.
Solo hemos observado el fallo en nuestro caso con la tarjeta em3, pero esta solución también será válida en caso de tener los mismos mensajes en cualquier otra tarjeta.
Necesitas ayuda con tu mantenimiento de pfSense
Si estas interesado en una empresa que te de servicios de ciberseguridad, no dudes en ponerte con nosotros en nuestro apartado de contacto de nuestra web, nos pondremos en contacto con usted. Tenemos más de 15 años de experiencia, en soporte y mantenimiento de Firewall para Pyme, especialmente con pfSense en todas sus versiones.
Nos encargamos de la ciberseguridad de tu empresa
Nos esforzamos continuamente en buscar las mejores soluciones para nuestros clientes, es por ello que ofrecemos una gran cantidad de servicios de ciberseguridad, tales como:
Cuando arrancamos pfSense no arranca y se queda clavado en pfSense Can´t find ´/etc/hostid´/boot/entropy size=0x1000, ante esto la mejor solución es volver a instalar el sistema, pero el problema reside si no disponemos de un Backup actualizado o directamente no tenemos ninguno, tras muchos quebraderos de cabeza, lo mejor es reinstalar pfSense de la siguiente manera:
Reinstalación de pfSense después de error Can´t find ´/etc/hostid´/boot/entropy size=0x1000
Aquí vamos a ver dos métodos diferentes para la reinstalación del dispositivo y que nuestra configuración se quede exactamente igual que estaba, sin perder ninguna configuración y no perder tiempo con las reconfiguraciones del dispositivo:
Disco no accesible desde otro equipo
Esta opción, funciona con sistemas de archivos UFS o ZFS.
Para realizar esta primera opción, recomendamos que se haga con un segundo disco duro, para ello hacemos lo siguiente:
Conectamos un segundo disco duro, o bien hacemos un Backup del archivo /conf/config.xml
Arrancamos desde un pendrive con la imagen booteable de nuestro pfSense
En el menú de instalación, le damos a la tercera opción Recover config.xml
Nos aparecerá el archivo config.xml que queremos restaurar, le damos a aceptar y nos llevará de nuevo a la ventana de instalación
Ahora procedemos a la instalación del sistema como siempre la realizamos
Una vez arranque el sistema veremos que nos ha volcado la configuración y todo funciona como antes del problema detectado
Aunque este sistema es muy probable que funcione a la primera, como comentábamos anteriormente, es recomendable usar un segundo disco para comprobar que todo funciona correctamente, y una vez comprobado, realizar el proceso en el disco de destino final de la instalación de pfSense.
Disco duro accesible desde otro dispositivo
Esta opción, al igual que el ejemplo anterior, funciona con sistemas de archivos UFS o ZFS.
En esta segunda opción y si el disco del sistema pfSense conectándolo a otro equipo es accesible, debemos de proceder de la siguiente manera:
Conectar el disco duro a un sistema Linux y montar la unidad
Copiar el archivo /conf/config.xml a un pendrive:
Formatear el Pendrive en FAT/FAT3
Crear un directorio llamado conf
Copiar dentro de este el archivo que salvamos de la carpeta /conf/config.xml
Ahora procedemos con la instalación
En el menú de instalación, procedemos desde la tercera opción Recover config.xml
Cuando nos salga el menú nuevamente de instalación, procedemos a la instalación de nuestro pfSense
Una vez haya finalizado, retiramos el pendrive con el archivo que teníamos de configuración y arrancamos el pfSense como si nada hubiese pasado
Opción extra
Os queríamos dejar también otra forma de pasar un Backup de un pfSense a una nueva instalación, para ello, debemos de seguir los pasos que hacemos en la segunda parte de este tutorial: Disco duro accesible desde otro dispositivo, para ello, lo que debemos hacer en el paso 2, es copiar el archivo de Backup que tengamos y solamente cambiarle el nombre para que sea config.xml, de esta manera directamente en la instalación nos volcara el Backup directamente y tendremos el nuevo dispositivo totalmente accesible y funcional. Únicamente deberemos de asignar las interfaces para que en el nuevo dispositivo las dejemos configuradas.
Necesitas ayuda con tu mantenimiento de pfSense
Si estas interesado en una empresa que te de servicios de ciberseguridad, no dudes en ponerte con nosotros en nuestro apartado de contacto de nuestra web, nos pondremos en contacto con usted. Tenemos más de 15 años de experiencia, en soporte y mantenimiento de Firewall para Pyme, especialmente con pfSense en todas sus versiones.
Para ofrecer las mejores experiencias, utilizamos tecnologías como las cookies para almacenar y/o acceder a la información del dispositivo. El consentimiento de estas tecnologías nos permitirá procesar datos como el comportamiento de navegación o las identificaciones únicas en este sitio. No consentir o retirar el consentimiento, puede afectar negativamente a ciertas características y funciones.
Funcional
Siempre activo
El almacenamiento o acceso técnico es estrictamente necesario para el propósito legítimo de permitir el uso de un servicio específico explícitamente solicitado por el abonado o usuario, o con el único propósito de llevar a cabo la transmisión de una comunicación a través de una red de comunicaciones electrónicas.
Preferencias
El almacenamiento o acceso técnico es necesario para la finalidad legítima de almacenar preferencias no solicitadas por el abonado o usuario.
Estadísticas
El almacenamiento o acceso técnico que es utilizado exclusivamente con fines estadísticos.El almacenamiento o acceso técnico que se utiliza exclusivamente con fines estadísticos anónimos. Sin un requerimiento, el cumplimiento voluntario por parte de tu proveedor de servicios de Internet, o los registros adicionales de un tercero, la información almacenada o recuperada sólo para este propósito no se puede utilizar para identificarte.
Marketing
El almacenamiento o acceso técnico es necesario para crear perfiles de usuario para enviar publicidad, o para rastrear al usuario en una web o en varias web con fines de marketing similares.
