En este post vamos a ver cómo desplegar y configurar dos firewalls OPNSense en modo clúster HA en Azure.

La topología que vamos a utilizar será esta:

• Lo primero que vamos a realizar es acceder a este link de dmauser, aquí vamos a encontrar un desarrollo para desplegar dos firewalls OPNSense sobre FreeBSD en modo cluster HA Activo-Activo:

• Se nos abrirá esta plantilla para el despliegue de OPNSense, sobre Deployment Scenarios le indicamos la suscripción, el grupo de recursos, la región y muy importante OPNSense Scenario que le indicamos Active-Active:

• Sobre Virtual Machine Settings le indicamos el nombre y tamaño de máquina, la URL para la descarga del script, la versión de OPNSense y la versión del agente de Azure:

• Para el despliegue y la configuración de la red virtual en Azure, vamos a seleccionar un espacio de direcciones en la red virtual, y le configuraremos las distintas subredes que va a utilizar el firewall y la que utilizaremos como la red local de Azure dónde se conectarán nuestras máquinas virtuales (ésta última la configuraremos a posteriori de la plantilla de despliegue):
• Red virtual: opnsenseha-vnet168.128.0/18
• Subred Externa: Untrusted-Subnet168.191.0/27
• Subred Interna: Trusted-Subnet168.191.32/27
• LAN Azure: SubnetLAN-192_168_128_0-24
• DMZ Azure: SubnetLAN-192_168_129_0-24

• Sobre Virtual Network Settings estas serían las configuraciones para nuestra infraestructura:

• Sobre Revisar y crear, nos muestra un resumen de todas las configuraciones realizadas, comenzamos a Crear todos los recursos de la plantilla OPNSense deployment:

• Como podemos ver, comienza el despliegue:

• Aquí vemos que ya ha terminado y se ha implementado correctamente, podemos ver, los distintos recursos que ha creado el despliegue de esta plantilla:

• Accedemos al grupo de recursos y vemos todos los recursos que se nos han creado, entre ellos, dos firewalls opnsense (primario y secundario), dos Load Balancer (Externo e Interno) y una IP pública:

• Ahora vamos a clicar sobre la máquina virtual opnsense-Primary:

• En la máquina virtual accedemos a Configuración de red y cómo podemos ver tenemos dos interfaces de red, una es la interface WAN de OPNSense que tiene asignada una IP privada del rango de la subred Untrusted, y la otra es la interface LAN que tiene asignada una IP privada del rango de la subred Trusted:

• Debemos de configurar las IPs privadas como estáticas, tanto la WAN cono la LAN:

• Para la máquina opnsense-Secondary hacemos lo mismo:

• Otro de los recursos que se han creado es el Load Balancer Interno:

• Sobre Configuración de IP de front-end, vemos que la IP asignada es una IP del rango de la subred Trusted:

• Sobre Grupos de back-end, vemos que tenemos asignados los dos firewall opnsense en su interface Trusted:

• Sobre Sondeos de estado, vemos que tenemos uno agregado para el protocolo TCP puerto 443:

• Sobre Reglas de equilibrio de carga, vemos que tenemos una regla configurada para equilibrar la carga entre los dos firewalls:

• Otro de los recursos que se han creado es el Load Balancer Externo:

• Sobre Configuración de IP de front-end, vemos que la IP asignada es una IP pública, que será la que nos dará la entrada y salida desde y hacia la WAN:

• Sobre Grupos de back-end, vemos que tenemos asignados los dos firewall opnsense en su interface Untrusted:

• Sobre Sondeos de estado, vemos que tenemos uno agregado para el protocolo TCP puerto 443:

• Sobre Reglas de equilibrio de carga, vemos que tenemos una regla configurada a modo de ejemplo para definir cómo se distribuye el tráfico entrante a todas las instancias del grupo de back-end, en este ejemplo sería una regla creada en el puerto 3389 para equilibrar la carga del tráfico RDP:

• Sobre Regla NAT de entrada, tenemos dos reglas configuradas para el acceso a los firewalls opnsense a través de su IP pública, al firewall primario se accede por el puerto 50443 y al firewall secundario por el puerto 50444, que como vemos está mapeado al puerto 443 de cada firewall:

• Sobre Reglas de salida, tenemos configurada una regla para la salida a la WAN de nuestra infraestructura, con esta regla todas las máquinas ubicadas detrás de los firewalls van a salir a Internet con la IP pública de nuestro load balancer externo:

• Para acceder a los firewalls accedemos a través de su IP pública, https://PublicIP:50443 para el primario y https://publicip:50444 para el secundario, las credenciales por defecto son root/opnsense:

• Lo primero que vamos a configurar en los firewall opnsense, va a ser la configuración de HA.
• Nos vamos primero al firewall primario y sobre System > High Availability > Settings configuramos el peer del firewall secundario:

• Ahora accedemos al firewall secundario y sobre System > High Availability > Settings configuramos el peer del firewall primario:

• Accedemos de nuevo al firewall primario y sobre System > High Availability > Status sincronizamos y reconfiguramos todo, una vez configurado este cambio, todo lo que hagamos y configuremos en el firewall opnsense primario se va a replicar en el firewall opnsense secundario:

• Veamos un ejemplo, hemos configurado los servidores NTP en el firewall primario:

• Sincronizamos todos los servicios:

• Una vez que se ha sincronizado todo, si accedemos al firewall secundario, vemos que la configuración de los servidores NTP se ha replicado correctamente:

• Como comentamos anteriormente, vamos a configurar la red local de Azure dónde se conectarán nuestras máquinas virtuales, LAN Azure: SubnetLAN-192_168_128_0-24 y DMZ Azure: SubnetDMZ-192_168_129_0-24:

• Lo siguiente que vamos a desplegar y configurar es una tabla de rutas UDR (User Definition Routes) en Azure.
• Accedemos al Marketplace, buscamos Route table y damos a crear:

• Sobre Básico le indicamos el grupo de recursos, la región, le damos un nombre y le indicamos que propague las rutas de puerta de enlace:

• Sobre Etiquetas podemos configurar las que nos interesen:

• Sobre Revisar y crear nos muestra un resumen sobre todo lo que le hemos configurado a la tabla de rutas:

• Aquí vemos que se ha implementado correctamente:

• Accedemos al recurso y sobre subredes vamos a asociar las subredes LAN y DMZ que configuramos anteriormente, estas subredes son dónde vamos a ubicar las máquinas virtuales de nuestra infraestructura en Azure:

• Como podemos ver, ya las tenemos asociadas:

• Ahora vamos a configurar las rutas, para ello, accedemos a Rutas > Agregar:

• La primera ruta que vamos a agregar, será la ruta por defecto:

• La siguiente ruta será para el acceso a la subred LAN dónde vamos a ubicar nuestras máquinas virtuales:

• La siguiente ruta será para el acceso a la subred DMZ dónde vamos a ubicar nuestras máquinas virtuales:

• Aquí vemos las rutas agregadas:

• Sobre Información general en la tabla de rutas, podemos ver, todo lo que se ha configurado:

• Una vez configurada la tabla de rutas, accedemos a nuestro OPNSense HA en Azure, y nos vamos a crear estas dos rutas estáticas, la primera es la ruta por defecto, para que todo lo que no se encuentre en la tabla de enrutamiento del OPNSense lo envíe por la interface WAN al gateway de la subred Untrusted, y la segunda ruta son para servicios internos de Azure, para que lo envíe por la interface LAN al gateway de la subred Trusted:

• Para todas las demás configuraciones de opnsense, podemos seguir los enlaces a estos post creados hace algún tiempo en el blog.

Saludos y espero que os sea de ayuda

En este post, vamos a ver cómo configurar el acceso administrativo a OPNSense vía web y SSH.

La topología que vamos a utilizar será esta:

• Primero, vamos a configurar el acceso administrativo a OPNSense vía web a través del puerto 30443, para ello, nos vamos a crear esta regla de entrada para el acceso interno a través de la VPN IPsec que ya tenemos configurada, Firewall > Rules > IPsec, le indicamos que desde un equipo de nuestra LAN on-premise vamos a poder acceder a la interface lan de opnsense en el puerto 30443:

• Si también queremos tener acceso, a través de la IP pública de OPNSense (interface WAN), accedemos a Firewall > Rules > WAN y nos creamos esta regla de entrada:

• Ahora desde System > Settings > Administration > Web GUI vamos a indicarle que el puerto de acceso es el 30443:

• En nuestro Fortigate on-premise hemos creado esta regla, para que el equipo de nuestra LAN on-premise tenga acceso al puerto 30443:

• Como podemos ver, ya tenemos acceso a la configuración web a través del puerto 30443:

• A continuación, vamos a configurar el acceso administrativo a OPNSense vía SSH a través del puerto 2490, para ello, nos vamos a crear esta regla de entrada para el acceso interno a través de la VPN IPsec que ya tenemos configurada, Firewall > Rules > IPsec, le indicamos que desde un equipo de nuestra LAN on-premise vamos a poder acceder a la interface lan de opnsense en el puerto 2490:

• Ahora desde System > Settings > Administration > Secure Shell vamos a indicarle que el puerto de acceso es el 2490:

• En nuestro Fortigate on-premise hemos creado esta regla, para que el equipo de nuestra LAN on-premise tenga acceso al puerto 2490:

• Como podemos ver, ya tenemos acceso a la configuración web a través del puerto 2490:

Saludos y espero que os sea de ayuda

En este post vamos a ver cómo configurar un servidor LDAP en OPNSense, así nos vamos a poder autenticar al firewall opnsense con usuarios del Active Directory y configurar vpn de acceso remoto con usuarios del Active Directory.

La topología que vamos a utilizar será esta:

• Accedemos a System > Access > Servers > +:

• Introducimos los datos necesarios para conectarnos a nuestro Active Directory:

• Como podemos ver, ya lo tenemos creado:

• Ahora sobre Firewall > Rules > IPsec debemos de crearnos esta regla de salida, para que OPNSense pueda acceder al puerto LDAP (389) de uno de nuestros controladores de dominio:

• Ahora, como nuestros controladores de dominio los tenemos en la parte on-premise, detrás de un fortigate, y como ya tenemos configurada la VPN IPSec site to site, debemos de configurar esta regla, para que OPNSense pueda acceder al puerto LDAP (389) de uno de nuestros controladores de dominio:

• Para comprobar que todo funciona correctamente y que OPNSense se comunica con nuestro servidor LDAP de Active DIrectory, accedemos a System > Access > Tester e introducimos las credenciales de uno de nuestros usuarios del dominio, damos clic a Test, y si todo está correctamente configurado, podemos ver que el usuario se autentica:

• Una vez que ya tenemos comunicación con nuestro Active Directory, vamos a configurar que podamos hacer logon en el OPNSense con uno de nuestros usuarios del dominio, para ello, lo primero que nos vamos a crear es un grupo de administradores de LDAP, accedemos a System > Access > Groups > +:

• Le indicamos un nombre y una descripción:

• Como podemos ver, aquí lo tenemos creado:

• Ahora debemos de editar los permisos de este grupo, y le asignamos todos los privilegios:

• Una vez creado el grupo, OPNSense requiere que todas las cuentas de usuario LDAP existan en la base de datos local, por lo que procederemos a crear la cuenta, System > Access > Users > +, esta cuenta la añadimos como miembro del grupo que hemos creado, la password no tiene porque ser la del usuario del dominio, podemos poner otra, lo que hace OPNSense es verificar primero la base de datos del LDAP y luego la base de datos local, por lo que si ponemos otra password a este usuario podemos acceder con las dos password (una del LDAP y la otra Local):

• Como podemos ver, aquí tenemos el usuario creado:

• A continuación, vamos a habilitar la autenticación LDAP, para ello, accedemos a System > Settings > Administration > Authentication > Server y seleccionamos la autenticación por LDAP Active Directory como primera opción, y como segunda opción seleccionamos la base de datos local, clic a Save:

• Ahora ya podemos acceder con las credenciales de nuestro usuario del dominio:

Saludos y espero que os resulte de ayuda

En este post vamos a ver cómo configurar una VPN site to site IPSEC entre un Fortigate on-premise y un OPNSense en Azure.

La topología que vamos a utilizar será esta:

• Lo primero que vamos a realizar será acceder a nuestro Fortigate on-premise, y sobre VPN > Túneles IPsec > Crear nuevo > IPsec Tunnel, empezaremos a crear el primer extremo de la VPN:

• En Configuración de VPN seleccionamos Personalizar y le indicamos un Nombre:

• En la parte de Red configuramos la IP estática que tenemos asignada al OPNSense de Azure y la interface de salida:

• En Autenticación le indicamos la Key compartida:

• Configuramos la fase 1:

• Configuramos la fase2:

• Como podemos ver, ya tenemos el primer extremo de la VPN configurado, el de la parte on-premise:

• Ahora vamos a crear las políticas:

• Accedemos a Políticas y objetos> Política IPv4 > Crear nuevo:

• Creamos una política para la conexión de sitio a sitio que permita el tráfico saliente:

• Creamos otra política para la conexión de sitio a sitio que permita el tráfico entrante:

• Aquí podemos ver las políticas creadas:

• Ahora creamos la ruta estática hacia Azure:

• Lo segundo que vamos a realizar será acceder a nuestro OPNSense en Azure, y sobre Firewall > WAN > +, nos crearemos tres reglas de firewall para permitir el tráfico IPSEC a la interfaz WAN:

• Regla para IPSec ESP:

• Regla para IPSec ISAKMP puerto 500:

• Regla para IPSec NAT-T puerto 4500:

• Como podemos ver aquí tenemos las tres reglas creadas en la interface WAN:

• Ahora vamos a configurar la fase 1 de la VPN site to site, para ello, accedemos a VPN > IPSec > Connections > Tunnel Settings (legacy) > +:

• Como podemos ver, ya tenemos la fase 1 creada, habilitamos IPSec y aplicamos los cambios:

• Ahora vamos a configurar la fase 2 de la VPN site to site, para ello, accedemos a VPN > IPSec > Connections > Tunnel Settings (legacy) > +:

• Aplicamos los cambios:

• Como podemos ver, ya tenemos la fase 2 de la VPN site to site configurada:

• Para terminar, vamos a crear dos políticas, una de entrada y otra de salida para comunicar las dos subredes que tenemos, una en Azure y otra On-premise, para ello, accedemos a Firewall > Rules > IPSec > +:

• Regla de entrada:

• Regla de salida:

• Aquí vemos las dos reglas creadas:

• A continuación, sobre Firewall > Rules > LAN vamos a crear esta regla para permitir el tráfico entre la subred de Azure y la subred on-premise:

• Como podemos ver, ya tenemos el túnel IPSEC levantado.
• Fortigate On-premise:

• OPNSense Azure:

• Para verificar que todo funciona correctamente vamos a realizar un ping desde una máquina on-premise a una máquina en Azure y viceversa:

Saludos y espero que os sea de ayuda

En este post, vamos a ver cómo configurar las categorías y alias, estos alias serán los que vamos a aplicar posteriormente en las reglas del firewall.

La topología que vamos a utilizar será esta:

• Lo primero que vamos a configurar serán las categorías, para ello, accedemos a Firewall > Categories > + y vamos añadiendo las que nos interesen:

• Por ejemplo, en este caso, nos hemos creado una llamada Web Access:

• Aquí vemos todas las que nos hemos creado:

• Una vez que nos hemos creado las categorías, podemos proceder a crear los Alias, vamos a mostrar ejemplos de alias para un solo puerto, dos puertos, un rango de puertos, host, grupo de hosts y red, para ello, accedemos a Firewall > Aliases > +:

• Empezamos por mostrar un ejemplo de un solo puerto, por ejemplo, para el servicio SSH:

• Ejemplo con dos puertos, SNMP:

• Ejemplo con un rango de puertos:

• Ejemplo con grupo rango de puertos, Windows Active Directory:

• Ejemplo con un solo host:

• Ejemplo con un grupo de hosts:

• Ejemplo para una red:

• Como resumen, nos quedaría algo parecido a esto:

Saludos y espero que os resulte de ayuda

En este post vamos a ver cómo realizar la configuración inicial y avanzada en nuestro firewall OPNSense en Azure.

La topología que vamos a utilizar será esta:

• Lo primero que vamos a realizar será cambiar la password de root del sistema, para ello accedemos a Lobby > Password y procedemos a cambiarla:

• Esta password también la podemos cambiar desde System > Access > Users > root:

• Sobre System > Settings > General configuramos el nombre del host, dominio, zona horaria y los servidores DNS:

• Sobre Services > Network Time > General configuramos los servidores NTP:

• Las interfaces LAN y WAN las dejamos tal y como están, configuradas por DHCP, ya que en la propia máquina de Azure las hemos configurado con una IP estática:

• Sobre Firewall > Aliases vamos a configurar los distintos objetos que iremos utilizando en las reglas de filtrado del firewall OPNSense:

• Sobre Type podemos ver los distintos objetos que nos podemos ir creando, Host(s), Network(s), Port(s), etc… :

• Estos son los que nos hemos creado en un principio, esta lista irá en aumento a medida que vayamos necesitando objetos en nuestras reglas de filtrado:

• Sobre Firewall > Rules > WAN nos hemos creado esta regla de entrada (IN) para acceder al portal de configuración de OPNSense a través de otro puerto distinto al 443:

• Para habilitarlo, debemos ir a System > Settings > Administration y sobre TCP port configurar el puerto:

• Como vemos, ya podemos acceder a la configuración de OPNSense a través del puerto que hemos configurado:

• La regla que había configurada por defecto al puerto 443, la podemos deshabilitar:

• A continuación, vamos a configurar esta regla que permita todo el tráfico entre las máquinas de la misma subred dónde vamos a ubicar las máquinas virtuales de Azure, para ello accedemos a Firewall > Rules > LAN:

• Ahora vamos a habilitar la salida a Internet para las máquinas que nos montemos en Azure, para ello, accedemos a Firewall > NAT > Outbound seleccionamos Hybrid outbound NAT rule generation y nos creamos esta regla para en NATEO:

• Sobre Firewall > Rules > LAN nos debemos de crear esta regla de entrada (IN), esta regla va a permitir el tráfico saliente a Internet desde nuestra subred para máquinas virtuales en Azure, sólo permite el tráfico a Internet y no a otras IPs privadas, de ahí que marquemos el invert:

Saludos y espero que os resulte de ayuda

En este post vamos a ver cómo desplegar y configurar una tabla de rutas UDR (User Definition Routes) en Azure.

La topología que vamos a utilizar será esta:

• Accedemos al Marketplace, buscamos Route table y damos a crear:

• Sobre Básico le indicamos el grupo de recursos, la región, le damos un nombre y le indicamos que propague las rutas de puerta de enlace:

• Sobre Etiquetas podemos configurar las que nos interesen:

• Sobre Revisar y crear nos muestra un resumen sobre todo lo que le hemos configurado a la tabla de rutas:

• Aquí vemos que se ha implementado correctamente:

• Accedemos al recurso y sobre subredes vamos a asociar la subred LAN que configuramos anteriormente, esta subred es dónde vamos a ubicar las máquinas virtuales de nuestra infraestructura en Azure:

• Como podemos ver, ya la tenemos asociada:

• Ahora vamos a configurar las rutas, para ello, accedemos a Rutas > Agregar:

• La primera ruta que vamos a agregar, será la ruta por defecto:

• La siguiente ruta será para el acceso a la subred dónde vamos a ubicar nuestras máquinas virtuales:

• Aquí vemos las rutas agregadas:

• Una vez configurada la tabla de rutas, accedemos a nuestro OPNSense en Azure, y nos vamos a crear estas dos rutas estáticas, la primera es la ruta por defecto, para que todo lo que no se encuentre en la tabla de enrutamiento del OPNSense lo envíe por la interface WAN al gateway de la subred Untrusted, y la segunda ruta son para servicios internos de Azure, para que lo envíe por la interface LAN al gateway de la subred Trusted:

Saludos y espero que os sea de ayuda

En este post vamos a ver cómo desplegar un firewall OPNSense en Azure con dos interfaces de red.

La topología que vamos a utilizar será esta:

• Lo primero que vamos a realizar es acceder a este link de dmauser, aquí vamos a encontrar un desarrollo para desplegar un firewall OPNSense sobre FreeBSD con dos NICs:

• Se nos abrirá esta plantilla para el despliegue de OPNSense, sobre Deployment Scenarios le indicamos la suscripción, el grupo de recursos, la región y muy importante OPNSense Scenario que le indicamos TwoNics:

• Sobre Virtual Machine Settings le indicamos el nombre y tamaño de máquina, la URL para la descarga del script, la versión de OPNSense y la versión del agente de Azure:

• Para el despliegue y la configuración de la red virtual en Azure, vamos a seleccionar un espacio de direcciones en la red virtual, y le configuraremos las distintas subredes que va a utilizar el firewall y la que utilizaremos como la red local de Azure dónde se conectarán nuestras máquinas virtuales (ésta última la configuraremos a posteriori de la plantilla de despliegue):
• Red virtual: opnsense-vnet 192.168.128.0/18
• Subred Externa: Untrusted-Subnet 192.168.191.0/27
• Subred Interna: Trusted-Subnet 192.168.191.32/27
• LAN Azure: SubnetLAN-192_168_128_0-24

• Sobre Virtual Network Settings estas serían las configuraciones para nuestra infraestructura:

• Sobre Revisar y crear, nos muestra un resumen de todas las configuraciones realizadas, comenzamos a Crear todos los recursos de la plantilla OPNSense deployment:

• Como podemos ver, comienza el despliegue:

• Aquí vemos que ya ha terminado y se ha implementado correctamente, podemos ver, los distintos recursos que ha creado el despliegue de esta plantilla:

• Ahora accedemos al grupo de recursos y clicamos sobre la máquina virtual:

• En la máquina virtual accedemos a Redes y cómo podemos ver tenemos dos interfaces de red, una es la interface WAN de OPNSense que tiene una IP privada y otra pública, y la otra es la interface LAN que solo tiene una IP privada:

• Debemos de configurar las IPs privadas como estáticas, tanto la WAN cono la LAN:

• Para acceder al firewall accedemos a través de su IP pública, https://PublicIP, las credenciales por defecto son root/opnsense, en un post posterior veremos cómo se cambia:

• Este sería el Dashboard principal de OPNsense, en los próximos post realizaremos las configuraciones básicas y avanzadas:

• Como comentamos anteriormente, vamos a configurar la red local de Azure dónde se conectarán nuestras máquinas virtuales, LAN Azure: SubnetLAN-192_168_128_0-24:

Saludos y espero que os resulte de ayuda

En estos posts vamos a ver cómo desplegar y configurar un firewall OPNSense en Azure.

La topología que vamos a utilizar será esta:

Este post lo vamos a dividir en:

• Despliegue Firewall OPNSense en Azure
• Desplegar y configurar tabla de rutas UDR en Azure
• Configuración inicial y avanzada OPNSense
• Configurar Categorías y Alias
• VPN site to site IPSEC entre Fortigate on-premise y OPNSense Azure
• Configurar servidor LDAP en OPNSense
• Acceso administración Web y SSH OPNSense

Saludos.