Instalación y configuración de pfSense en el switch QNAP Guardian QGD-1600P

El switch gestionable QNAP Guardian QGD-1600P con el sistema operativo QTS incorporado es un equipo realmente versátil. En nuestro completo análisis pudiste ver en detalle todas las opciones de configuración a nivel de switching, y también a nivel de QTS. Hoy en RedesZone os traemos un tutorial sobre cómo instalar pfSense en el propio equipo, para que funcione como un avanzado firewall. ¿Quieres saber cómo instalarlo para tener un completo firewall en su interior?

El sistema operativo QTS nos permite instalar de manera muy fácil el sistema operativo pfSense o RouterOS en el propio switch gestionable. Gracias a Virtualization Station, podremos virtualizar cualquier sistema operativo de manera muy fácil y rápida. Si optamos por una instalación de pfSense a través del Marketplace de Virtualization Station o de VM Installer, nos instalará la versión pfSense 2.4.3, pero actualmente ya vamos por la 2.4.4, por lo que si quieres tener la última versión disponible tendremos que esperar a que QNAP actualice el repositorio, o también puedes instalarlo manualmente.

Paso 1: Configurar la interfaz «host» para acceder a QTS en todo momento

Este switch QNAP dispone de un puerto Gigabit Ethernet que indica «host». Este puerto está dedicado para el acceso al sistema operativo QTS, independientemente de la configuración que realicemos en la parte de switch. Gracias a este puerto, si realizamos alguna configuración errónea en la parte de switch, siempre vamos a poder entrar nuevamente a QTS para rehacer dichos cambios sin necesidad de resetear el equipo.

Es muy recomendable que antes de ponernos a instalar pfSense, configuremos adecuadamente este puerto para tener siempre acceso al QTS por si ocurre algún problema. Lo primero que debemos hacer es irnos a la sección de «Network & Virtual Switch«, donde podremos ver los tres interfaces que podremos virtualizar con Virtual Switch. El adaptador que utiliza el puerto Gigabit Ethernet de «host» es el «adapter 1«.

Si nos vamos a la sección de «Network / Virtual switch» y pinchamos en «add» nos saldrán tres opciones. Debemos pinchar en «Advanced Mode» para configurar en detalle este adaptador.

La configuración que nosotros vamos a realizar, es configurar esta interfaz con IP fija, y posteriormente configurar el servidor DHCP para que cuando conectemos un equipo a este puerto, automáticamente nos proporcione una dirección IP para posteriormente entrar en la puerta de enlace predeterminada y gestionar adecuadamente QTS.

En el primer menú deberemos elegir «Adapter 1» únicamente, y pinchamos en «Next». En el segundo menú elegimos «Static IP» y ponemos la dirección IP y la subred que queráis, nosotros hemos puesto la IP 192.168.0.1 y la máscara 255.255.255.0. El gateway lo dejamos vacío, y pinchamos en «Next».

Ahora QNAP nos permitirá habilitar el servidor DHCP y también la NAT. Nosotros hemos habilitado únicamente el servidor DHCP, ponemos la IP de inicio y la IP de final. A continuación, indicamos que el gateway es la propia dirección IP que hemos configurado anteriormente. En cuanto a la configuración de IPv6, seleccionamos «disable» para no tener este protocolo de red en este puerto.

A continuación, podemos definir unos servidores DNS, aunque no es necesario ya que con la configuración que estamos realizando, únicamente podremos acceder a la administración del switch. Una vez que hayamos terminado, nos mostrará un resumen de todas las configuraciones que hemos realizado, y pincharemos en «Apply».

Ahora en la sección de «Virtual Switch» podremos ver el nuevo adaptador virtual, el cual físicamente utiliza el «Adapter 1». También podremos darle un nombre descriptivo a este adaptador virtual, tal y como hemos hecho nosotros.

Llegados a este punto, ahora cuando conectemos un PC al puerto Gigabit Ethernet de host, automáticamente nos proporcionará una IP privada 192.168.0.0/24 y podremos acceder al sistema operativo QTS en todo momento a través de la IP 192.168.0.1, aunque la configuración que realicemos a nivel de switch esté incorrecta y nos deje sin acceso.

Paso 2: Instalar VM Installer de App Center e instalar pfSense

Para instalar pfSense lo más sencillo es buscar en la tienda de aplicaciones App Center la aplicación «VM Installer». Al instalar esta aplicación, nos pedirá instalar también la aplicación «Virtualization Station», ya que no deja de ser imprescindible si realmente queremos virtualizar sistemas operativos. Una vez que lo hayamos hecho, ejecutamos la aplicación y pinchamos en «Start».

El asistente de instalación es realmente sencillo, simplemente deberemos elegir qué tipo de VM instalar, nos da a elegir entre varias opciones entre las que se incluye pfSense en su versión 2.4.3. A continuación, deberemos definir la localización de la VM y también qué nombre queremos darle a esta máquina virtual.

Una vez que lo hayamos hecho, pinchamos en «Next».

Ahora llega el momento de seleccionar el puerto WAN y los puertos LAN del switch. Debemos recordar que pfSense es un firewall, y es requisito imprescindible que tengamos un puerto WAN de Internet y uno o varios puertos LAN.

El asistente de configuración nos permitirá seleccionar los diferentes puertos como WAN y como LAN, tal y como podéis ver a continuación. Nosotros hemos elegido que el puerto LAN1 esté configurado como WAN de Internet, y el resto de puertos estén configurados como LAN.

Una vez terminada la configuración, nos mostrará un resumen de la WAN y la LAN seleccionada, y qué VLAN ID internamente ha configurado el instalador, así como los puertos físicos del switch seleccionados. Simplemente deberemos pinchar en «Apply» y ya lo tendríamos listo.

Nos saldrá un aviso, deberemos pinchar en «Continue» para arrancar la máquina virtual y empezar a trabajar con pfSense.

Cuando el equipo se reinicie, y hayamos conectado los cables correctamente, en la sección de Virtualization Station nos aparecerá la interfaz gráfica de pfSense, tal y como podéis ver aquí:

Vamos a poder realizar las configuraciones a nivel de puertos virtuales y direcciones IP que nosotros deseemos, pero por defecto ya está configurado todo perfectamente y no tendremos que tocar absolutamente nada en este paso.

Si conectamos un cable de red de nuestro PC a cualquier puerto LAN, obtendremos IP del rango 192.168.1.0/24, y podremos acceder a la interfaz gráfica de configuración de pfSense a través de la dirección IP 192.168.1.1. El usuario por defecto es «admin» y la contraseña por defecto es «pfsense».

Este asistente de configuración nos permitirá configurar la WAN de Internet, la LAN, y otros parámetros básicos del sistema operativo pfSense. A partir de este momento, ya estaremos a los mandos de este completo firewall.

Muy importante: si no tienes un buen rendimiento de cara a Internet, o tienes problemas de pérdida de paquetes, es necesario que deshabilites la función «Hardware checksum offloading» de pfSense. Para ello, debes irte a «System / Advanced / Networking«:

Y en el medio de este menú aproximadamente, encontrarás la función a desactivar. Para deshabilitarla debemos tener marcada (check) la casilla:

En cualquier configuración de pfSense que hagas en el QNAP Guardian QGD-1600P, es necesario que desactives esta función, de lo contrario el rendimiento que obtendrás será mínimo. Una vez hecho, pinchas en «Save» y ya debería funcionar correctamente, en caso de que sigas con problemas, reinicia la máquina virtual de pfSense y ya debería funcionarte perfectamente.

Tal y como habéis visto, la instalación de pfSense haciendo uso de VM Installer es realmente fácil, sin necesidad de realizar avanzadas configuraciones.

Otra forma de instalar pfSense

Haciendo uso de VM Installer es una forma muy rápida de instalar pfSense desde cero, pero si quieres realizar configuraciones algo más avanzadas, o instalar la última versión disponible de manera oficial, deberás hacerlo de manera manual. Lo primero que deberemos hacer es asignar las correspondientes interfaces de la WAN y de la LAN a los diferentes puertos físicos y a los adaptadores internos del propio switch.

A continuación, podéis ver el proceso de configuración de la WAN, utilizando el puerto LAN1 como WAN de Internet, y seleccionando el «Adapter 2» para ello.

A continuación, podéis ver el proceso de configuración de la LAN, utilizando todos los puertos LAN menos el LAN1 (WAN), y seleccionando el «adapter 3», tal y como podéis ver a continuación:

Una vez configurado todo a nivel de red, tendremos que descargar la imagen ISO de pfSense, instalarlo de manera manual en Virtualization Station 3, tal y como os enseñamos anteriormente a hacer en RedesZone.

Cuando hayamos instalado pfSense y le hayamos asignado unos recursos en concreto, tendremos el siguiente menú, el cual estará listo para iniciar la máquina virtual, pero antes de iniciarla, debemos asegurarnos de cómo están configuradas las interfaces de red.

Este sería el esquema de interfaces de red del QTS para que funcione correctamente pfSense. Hemos creado una WAN pfSense con el Adapter 2, y la LAN corresponde con el Adapter 3. Que a nivel físico no tengan dirección IP asignada es completamente normal.

En el Virtualization Station debemos asegurarnos de que las interfaces WAN y LAN están asignadas correctamente, tal y como podéis ver a continuación:

Una vez que estén asignadas correctamente, iniciaremos la máquina virtual y automáticamente podremos acceder a pfSense a través del propio Virtualization Station para configurar las interfaces de red, el servidor DHCP de la LAN y otras funcionalidades. Una vez que lo básico esté configurado, recuerda que puedes acceder a pfSense vía web con la IP 192.168.1.1, tal y como os hemos mostrado antes.

Otra configuración que puedes realizar, es crear VLANs en el mismo «Adapter 2» o «Adapter 3», tal y como podéis ver en el siguiente esquema de red:

Y para configurar la VLAN ID en modo «Tagged», simplemente nos vamos a la aplicación QuNetSwitch y editamos la VLAN correspondiente para que ponga una «T». De esta forma, en el pfSense no tendrás que configurar ningún VLAN ID, simplemente configurándolo como DHCP o PPPoE obtendrá dirección IP pública:

El fabricante QNAP ha publicado en su canal de YouTube dos vídeos muy didácticos donde nos enseña cómo instalar y configurar una tarjeta de red Wi-Fi, para usar este switch gestionable como si fuera un router Wi-Fi doméstico:

También nos enseña a utilizar este switch QNAP Guardian QGD-1600P con el sistema operativo pfSense, y usarlo con el operador Movistar FTTH, poniendo su router en modo bridge.

Os recomendamos visitar nuestro completo análisis del QNAP Guardian QGD-1600P, donde podréis encontrar todas las características técnicas en detalle de este switch gestionable L2 multifunción. También podéis acceder a nuestra página dedicada de QNAP donde encontraréis todos los análisis, tutoriales, videoreviews etc.