Configuración del balanceador de carga de comunidad pfSense para ECE

Introducción

Este documento describe los pasos para configurar pfSense Community Edition como un equilibrador de carga para Enterprise Chat and Email (ECE).

Prerequisites

Requirements

Cisco recomienda que tenga conocimiento sobre estos temas:

• ECE 12.x
• pfSense Community Edition

Componentes Utilizados

La información que contiene este documento se basa en estas versiones de software:

• CEPE 12.6(1)
• pfSense Community Edition 2.7.2

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

Instalar pfSense

Descripción general de soluciones

pfSense Community Edition es un producto multifunción que proporciona un firewall, un equilibrador de carga, un analizador de seguridad y muchos otros servicios en un único servidor. pfSense está basado en BSD libre y tiene unos requisitos de hardware mínimos. El equilibrador de carga es una implementación de HAProxy y se proporciona una GUI fácil de usar para configurar el producto. 

Puede utilizar este equilibrador de carga tanto con ECE como con el portal de gestión del centro de contacto (CCMP). Este documento proporciona los pasos para configurar pfSense para ECE. 

Preparación

Paso 1. Descargar el software pfSense

Utilice el sitio web de pfSense para descargar la imagen del instalador iso.

Paso 2. Configurar VM

Configure una VM con los requisitos mínimos:

· CPU compatible con amd64 (x86-64) de 64 bits

· 1 GB o más de RAM

· Unidad de disco de 8 GB o más (SSD, HDD, etc.)

· Una o más tarjetas de interfaz de red compatibles

· Unidad USB de arranque o unidad óptica de alta capacidad (DVD o BD) para la instalación inicial

Para una instalación en laboratorio, solo se necesita una interfaz de red (NIC). Hay varias formas de ejecutar el dispositivo, pero la más sencilla es con una única NIC, también denominada modo de brazo único. En el modo de brazo único, existe una única interfaz que se comunica con la red. Aunque esta es una manera fácil y adecuada para un laboratorio, no es la manera más segura.

Una forma más segura de configurar el dispositivo es tener al menos dos NIC. Una NIC es la interfaz WAN y se comunica directamente con la red pública de Internet. La segunda NIC es la interfaz LAN y se comunica con la red corporativa interna. También puede agregar interfaces adicionales para comunicarse con diversas partes de la red que tienen diferentes reglas de seguridad y firewall. Por ejemplo, puede tener una conexión NIC a la red pública de Internet, una conexión a la red DMZ donde se encuentran todos los servidores web accesibles externamente y una tercera conexión NIC a la red corporativa. Esto permite que los usuarios internos y externos accedan de forma segura al mismo conjunto de servidores web que se mantienen en una DMZ. Asegúrese de comprender las implicaciones de seguridad de cualquier diseño antes de la implementación. Póngase en contacto con un ingeniero de seguridad para asegurarse de que se siguen las prácticas recomendadas para su implementación específica.

Instalación

Paso 1. Montar el ISO en la máquina virtual

Paso 2. Encienda la máquina virtual y siga las indicaciones para instalar.

Consulte este documento para obtener instrucciones paso a paso.

Configuración de la red

Debe asignar direcciones IP al dispositivo para continuar con la configuración. 

Nota: Este documento muestra un dispositivo configurado en modo de brazo único.

Paso 1. Configuración de VLAN

Si necesita compatibilidad con VLAN, responda y a la primera pregunta. De lo contrario, conteste n.

Paso 2. Asignar interfaz WAN

La interfaz WAN es el lado no seguro del dispositivo en modo de dos brazos y la única interfaz en modo de un brazo. Introduzca el nombre de la interfaz cuando se le solicite.

Paso 3. Asignar la interfaz LAN

La interfaz LAN es el lado seguro del dispositivo en modo de dos brazos. Si es necesario, introduzca el nombre de la interfaz cuando se le solicite.

Paso 4. Asignar cualquier otra interfaz

Configure cualquier otra interfaz que necesite para su instalación específica. Estos son opcionales y no son comunes.

Paso 5. Asignar dirección IP a la interfaz de gestión

Si la red admite DHCP, la dirección IP asignada se muestra en la pantalla de la consola.

Consola pfSense

Si no hay ninguna dirección asignada, o si desea asignar una dirección específica, siga estos pasos.

1. Seleccione la opción 2 en el menú de la consola.
2. Responda n para desactivar DHCP.
3. Introduzca la dirección IPv4 de la interfaz WAN.
4. Introduzca la máscara de red en recuentos de bits. (24 = 255.255.255.0, 16 = 255.255.0.0, 8 = 255.0.0.0)
5. Introduzca la dirección del gateway para la interfaz WAN.
6. Si desea que esta puerta de enlace sea la puerta de enlace predeterminada para el dispositivo, responda y a la solicitud de la puerta de enlace; de lo contrario, responda n.
7. Configure la NIC para IPv6 si lo desea. 
8. Desactive el servidor DHCP en la interfaz.
9. Responda y para activar HTTP en el protocolo webConfigurator. Esto se utiliza en los siguientes pasos.

A continuación, recibirá la confirmación de que los parámetros se han actualizado.

Confirmación de pfSense

Completar configuración inicial

Paso 1. Abra un navegador web y navegue hasta: http://<ip_address_of_appliance>

Nota: inicialmente debe utilizar HTTP y no HTTPS.

pfSense Admin Login

Paso 2. Inicie sesión con el nombre de usuario predeterminado admin / pfSense

Paso 3. Completar la configuración inicial

Haga clic en Siguiente en las dos primeras pantallas.

Asistente de configuración de pfSense: 1

Proporcione el nombre de host, el nombre de dominio y la información del servidor DNS.

Asistente de configuración de pfSense: 2

Valide la información de la dirección IP. Si inicialmente eligió DHCP, puede cambiarlo ahora. 

Proporcione el nombre de host del servidor de hora NTP y seleccione la zona horaria correcta en el menú desplegable.

Asistente de configuración de pfSense: 3

Continúe con el asistente de configuración hasta el final. La GUI de la interfaz se reinicia y se le redirige a la nueva URL una vez completada.

Configuración de los parámetros básicos de administración

Paso 1. Inicie sesión en la interfaz de administración

Paso 2. Seleccione Avanzadas en el menú desplegable Sistema

GUI de pfSense: menú desplegable Admin

Paso 3. Actualizar configuración de webConfigurator

pfSense GUI - Configuración de administración

1. Seleccione el protocolo HTTPS (SSL/TLS).
2. Deje el certificado SSL/TLS en el certificado autofirmado en este momento.
3. Cambie el puerto TCP a un puerto distinto de 443 para proteger mejor la interfaz y evitar problemas de superposición de puertos.
4. Seleccione la opción de redirección WebGUI para desactivar la interfaz de administración en el puerto 80.
5. Seleccione la opción de aplicación Navegador HTTP_REFERER.
6. Active Secure Shell seleccionando la opción Enable Secure Shell (Activar Secure Shell).

Nota: Asegúrese de que selecciona el botón Guardar antes de continuar. A continuación, se le redirige al nuevo enlace https.

Paso 4. Configurar el servidor proxy si es necesario

Si es necesario, configure la información de proxy en la ficha Miscelánea. Para completar la instalación y la configuración, el dispositivo debe tener acceso a Internet.

GUI de pfSense: configuración de proxy

Nota: Asegúrese de que selecciona el botón Guardar después de realizar los cambios.

Agregar paquetes requeridos

Paso 1. Seleccione Sistema > Administrador de paquetes

Paso 2. Seleccionar paquetes disponibles

Nota: Puede tardar unos minutos en cargar todos los paquetes que están disponibles. Si se agota el tiempo de espera, compruebe que los servidores DNS están configurados correctamente. A menudo, un reinicio del dispositivo repara la conectividad a Internet.

pfSense GUI - Lista de paquetes

Paso 3. Buscar e instalar los paquetes necesarios

1. haproxy 
2. Open-VM-Tools

Nota: No seleccione el paquete haproxy-devel.

Configurar certificados

pfSense puede crear un certificado autofirmado o puede integrarse con una CA pública, una CA interna o puede actuar como CA y emitir certificados firmados por CA. Esta guía muestra los pasos para la integración con una CA interna.

Antes de empezar esta sección, asegúrese de que dispone de estos elementos.

1. Certificado raíz para CA guardado como formato PEM o codificado en Base-64.
2. Todos los certificados intermedios (a veces denominados emisores) para CA se guardan como formato PEM o codificado en Base-64.

Paso 1. Seleccione Certificados en el menú desplegable Sistema

GUI de pfSense: menú desplegable Certificados

Paso 2. Importar el certificado raíz de la CA

GUI de pfSense: lista de certificados de CA

Seleccione el botón Agregar.

GUI de pfSense: importación de CA

Como se muestra en la imagen:

1. Proporcione un nombre único y descriptivo

2. Seleccione Importar una autoridad de certificación existente en el menú desplegable Método.

3. Asegúrese de que las casillas de verificación Almacén de confianza y Aleatorizar serie estén activadas.

4. Pegue el certificado completo en el cuadro de texto Datos del certificado. Asegúrese de incluir desde las líneas -----BEGIN CERTIFICATE----- y -----END CERTIFICATE-----.

5. Seleccione Guardar. 

6. Compruebe que el certificado se ha importado como se muestra en la imagen.

GUI de pfSense: lista de CA

Paso 3. Importar el certificado intermedio de la CA

GUI de pfSense: importación intermedia de CA

Repita los pasos para importar el certificado de CA raíz e importar el certificado de CA intermedio.

GUI de pfSense: enlaces de CA

Revise las autoridades de certificados para asegurarse de que el intermedio está correctamente encadenado al certificado raíz como se muestra en la imagen.

Paso 4. Crear y exportar un CSR para el sitio web con equilibrio de carga

Describe los pasos para crear una CSR, exportar la CSR e importar el certificado firmado. Si ya tiene un certificado existente en formato PFX, puede importar este certificado. Consulte la documentación de pfSense para obtener información sobre estos pasos.

1. Seleccione el menú Certificados y, a continuación, el botón Agregar/Firmar.

GUI de pfSense: lista de certificados

2. Complete el formulario de solicitud de firma de certificado.

GUI de pfSense: creación de CSR

• Método: seleccione Crear una solicitud de firma de certificado en el menú desplegable
• Nombre descriptivo: proporcione un nombre para el certificado
• Tipo de clave y algoritmo de resumen: revise para asegurarse de que coinciden con sus requisitos
• Nombre común: Proporcione el sitio web del nombre de dominio completo
• Proporcione la información de certificado restante según sea necesario para su entorno

GUI de pfSense: CSR Advanced

• Tipo de certificado: seleccione Certificado de servidor en el menú desplegable.
• Nombres alternativos: proporcione cualquier nombre alternativo de asunto (SAN) necesario para su implementación. 

Nota: el nombre común se agrega automáticamente al campo SAN. Sólo tiene que agregar los nombres adicionales necesarios.

Seleccione Guardar cuando todos los campos sean correctos.

3. Exporte el CSR a un archivo.

pfSense GUI - CSR Export

Seleccione el botón Exportar para guardar el CSR y firme esto con la CA. Una vez que tenga el certificado firmado, guárdelo como un archivo PEM o Base-64 para completar el proceso.

4. Importe el certificado firmado.

GUI de pfSense: importación de certificados

Seleccione el icono Lápiz para importar el certificado firmado.

5. Pegue los datos del certificado en el formulario.

GUI de pfSense: importación de certificados

Seleccione Update para guardar el certificado.

6. Revise los datos del certificado para asegurarse de que son correctos.

GUI de pfSense: lista de certificados

7. Repita este proceso si desea alojar varios sitios en este pfSense.

Agregar IP virtuales

Se necesita al menos una IP para alojar sitios web en pfSense. En pfSense esto se hace con las IP virtuales (VIP).

Paso 1. Seleccione IP virtuales en el menú desplegable Firewall.

GUI de pfSense: menú desplegable VIP

Paso 2. Seleccione el botón Agregar

GUI de pfSense: página de inicio de VIP

Paso 3. Proporcionar información de dirección

GUI de pfSense: configuración de VIP

Utilice la información para agregar un VIP.

• Tipo: Seleccionar alias IP
• Interfaz: seleccione la interfaz para esta dirección IP que se va a difundir
• Direcciones: introduzca la dirección IP
• Máscara de dirección: para las direcciones IP utilizadas para el balanceo de carga, la máscara debe ser un /32
• Descripción: proporcione un texto breve para facilitar la comprensión de la configuración más adelante

Seleccione Guardar para aplicar el cambio.

Repita este procedimiento para cada dirección IP necesaria para la configuración.

Paso 4. Aplicar configuración

GUI de pfSense: lista VIP

Seleccione el botón Aplicar cambios después de agregar todos los VIP.

Configurar firewall

pfSense tiene un firewall incorporado. El conjunto de reglas predeterminado es muy limitado. Antes de poner el dispositivo en funcionamiento, asegúrese de crear una política de firewall completa. 

Paso 1. Seleccione Reglas en el menú desplegable Firewall

GUI de pfSense: menú desplegable Reglas del firewall

Paso 2. Seleccione uno de los botones Agregar

GUI de pfSense: lista de reglas del firewall

Tenga en cuenta que un botón agrega la nueva regla sobre la línea seleccionada mientras que el otro agrega la regla debajo de la regla seleccionada. Se puede utilizar cualquiera de los botones para la primera regla.

Paso 3. Cree una regla de firewall para permitir el tráfico al puerto 443 para la dirección IP

GUI de pfSense: configuración de reglas de paso de firewall

Utilice la información para crear la regla.

• Acción: Seleccione Pasar
• Interfaz: Seleccione la interfaz a la que se aplica la regla
• Familia de direcciones y protocolo: seleccione lo que corresponda
• Origen: dejar seleccionado como Cualquiera
• Destino: seleccione Dirección o Alias en el menú desplegable Destino e introduzca la dirección IP a la que se aplica la regla
• Intervalo de puertos de destino: seleccione HTTPS (443) en el menú desplegable De y A
• Registro: seleccione la casilla de verificación para registrar cualquier paquete que coincida con esta regla para la contabilización
• Descripción: proporcione texto para hacer referencia a la regla más adelante

Seleccione Guardar.

Paso 4. Cree una regla de firewall para descartar el resto del tráfico a pfSense

Seleccione el botón Agregar para insertar la regla debajo de la regla recién creada.

GUI de pfSense: configuración de reglas de eliminación del firewall

• Acción: Seleccionar bloque
• Interfaz: Seleccione la interfaz a la que se aplica la regla
• Familia de direcciones y protocolo: seleccione lo que corresponda
• Origen: dejar seleccionado como Cualquiera
• Destino: deje seleccionado como Cualquiera
• Registro: seleccione la casilla de verificación para registrar cualquier paquete que coincida con esta regla para la contabilización
• Descripción: proporcione texto para hacer referencia a la regla más adelante

Seleccione Guardar.

Paso 5. Revise las reglas y asegúrese de que la regla de bloqueo se encuentra en la parte inferior

GUI de pfSense: lista de reglas del firewall

Si es necesario, arrastre las reglas para ordenarlas.

Seleccione Aplicar cambios una vez que las reglas del firewall estén en el orden requerido para su entorno.

Configurar HAProxy

Conceptos de HAProxy

Conceptos de HAProxy

HAProxy se implementa con un modelo de interfaz/servidor. 

Frontend define el lado del proxy con el que se comunican los clientes. 

El Frontend consiste en una combinación de IP y puerto, vinculación de certificados y puede implementar alguna manipulación de encabezado.

El motor define el lado del proxy que se comunica con los servidores web físicos.

El motor define los servidores y puertos reales, el método de equilibrio de carga para la asignación inicial, las comprobaciones de estado y la persistencia.

Un Frontend sabe con qué backend comunicarse mediante un backend dedicado o mediante el uso de ACL.

Las ACL pueden crear diferentes reglas de modo que un determinado front-end pueda comunicarse con diferentes backends dependiendo de varias cosas.

Configuración inicial de HAProxy

Paso 1. Seleccione HAProxy en el menú desplegable Servicios

GUI de pfSense: menú desplegable de HAProxy

Paso 2. Configurar los parámetros básicos

GUI de pfSense: configuración principal de HAProxy

Active la casilla de verificación Habilitar HAProxy.

Introduzca un valor para Número máximo de conexiones. Consulte el gráfico de esta sección para obtener más información sobre la memoria necesaria. 

Introduzca un valor para el puerto de estado interno. Este puerto se utiliza para mostrar estadísticas de HAProxy en el dispositivo, pero no se expone fuera del dispositivo.

Introduzca un valor para la frecuencia de actualización de estadísticas internas.

Revise la configuración restante y actualícela según sea necesario para su entorno.

Seleccione Guardar.

GUI de pfSense: cambios en la aplicación de HAProxy

Nota: Los cambios de configuración no se activan hasta que se selecciona el botón Aplicar cambios. Puede realizar varios cambios de configuración y aplicarlos todos a la vez. No es necesario aplicar la configuración para utilizarla en otra sección. 

Configuración del servidor HAProxy

Comience con el motor. Esto se debe a que el front-end debe hacer referencia a un back-end. Asegúrese de que ha seleccionado el menú Motor.

GUI de pfSense: HAProxy Add Backend

Seleccione el botón Add.

GUI de pfSense: inicio de servidor proxy de HAP

Proporcione un nombre para el servidor.

Seleccione la flecha hacia abajo para agregar el primer servidor a la lista Servidor

Motor - Lista de servidores

Proporcione un nombre para hacer referencia al servidor. No es necesario que coincida con el nombre real del servidor. Este es el nombre que se muestra en la página de estadísticas.

Proporcione la dirección del servidor. Puede configurarse como una dirección IP para FQDN.

Proporcione el puerto al que conectarse. Debe ser el puerto 443 para ECE.

Active la casilla Cifrar (SSL).

Proporcione un valor en el campo Cookie. Este es el contenido de la cookie de permanencia de sesión y debe ser único dentro del backend.

Una vez configurado el primer servidor, seleccione la flecha hacia abajo para configurar cualquier otro servidor web del entorno.

Motor HAProxy - Equilibrio de carga

Configure las opciones de equilibrio de carga. 

Para los servidores ECE, se debe establecer en el valor de Menores conexiones.

Motor HAProxy: comprobación de estado

Las listas de control de acceso no se utilizan en esta configuración.

Los valores de tiempo de espera/reintento se pueden dejar en la configuración predeterminada.

Configure la sección Comprobación de estado.

1. Método de comprobación de estado: HTTP
2. Comprobar frecuencia: deje este campo en blanco si desea utilizar el valor predeterminado cada 1 segundo.
3. Comprobaciones de registro: seleccione esta opción para escribir los cambios de estado en los registros.
4. Método de comprobación HTTP: seleccione GET en la lista.
5. Url utilizada por solicitudes de comprobación http.: Para un servidor ECE, introduzca /system/web/view/platform/common/login/root.jsp?partitionId=1
6. Versión de comprobación de HTTP: introduzca, HTTP/1.1\r\n\Host:\ {fqdn_of_server}

Asegúrese de incluir un espacio después de la barra diagonal inversa final pero antes del FQDN del servidor. 

HAProxy Backend - Persistencia de cookies

Deje las comprobaciones de agente sin seleccionar.

Configurar persistencia de cookies:

1. Cookie Enabled (Cookie habilitada): seleccione esta opción para habilitar la persistencia basada en cookies.
2. Nombre de cookie: introduzca un nombre para la cookie.
3. Modo de cookies: seleccione Insertar en el cuadro desplegable.
4. Deje las opciones restantes sin definir.

Motor HAProxy - HSTS

El resto de las secciones del formulario de configuración backend se pueden dejar en sus valores predeterminados.

Si desea configurar HSTS, configure un valor de tiempo de espera en esta sección. ECE también inserta una cookie HSTS para que esta configuración sea redundante.

Seleccione, Guardar.

Configuración de HAProxy Frontend

Cambie al menú Frontend.

GUI de pfSense - HAProxy Add Frontend

Seleccione el botón Agregar.

HAProxy - Encabezado de Frontend

Proporcione un nombre para el front end.

Proporcione una descripción para ayudar a identificar el front-end más adelante.

En la tabla Dirección externa:

1. Dirección de recepción: seleccione el VIP que ha creado para este sitio web.
2. Puerto: Introduzca 443.
3. SSL Offloading (Descarga de SSL): seleccione esta opción para que se pueda insertar una cookie de sesión.

Deje vacío el número máximo de conexiones.

Asegúrese de que el Tipo está seleccionado como http / https(offloading).

HAProxy backend: selección predeterminada de backend

La configuración más sencilla consiste en elegir un motor predeterminado del menú desplegable. Esto se puede seleccionar cuando el VIP aloja un solo sitio web. 

Motor HAProxy: ACL avanzada

Como se muestra en la imagen, las ACL se pueden utilizar para redirigir un único frontend a varios backends en función de las condiciones. 

Puede ver que la ACL verifica si el host en la solicitud comienza con un nombre y un número de puerto. o simplemente el nombre. En función de esto, se utiliza un motor específico. 

Esto no es común con la ECE.

HAProxy Frontend - Enlace de certificado

En la sección Descarga de SSL, seleccione el certificado creado para su uso con este sitio. Este certificado debe ser un certificado de servidor.

Seleccione la opción Add ACL for certificate Subject Alternative Names.

Puede dejar las opciones restantes en sus valores predeterminados.

Seleccione Guardar al final de este formulario.

HAProxy - Aplicar configuración

Seleccione, Aplicar cambios para aplicar los cambios de Frontend y Backend a la configuración en ejecución.

Enhorabuena, ha completado la instalación y la configuración de pfSense.