Real time web analytics, Heat map tracking

Watchguard XTM 5 (XTM 505/515/520/525/545) - pfSense 64-Bit

 A. Die Hardware

  • Celeron 440, 2 GHz, Sockel 775 CPU
  • 1GB DDR2-RAM
  • ICH7 82801GB southbridge
  • 1X Intel 10/100 NIC
  • 6X Intel 82574L Gigabit NICs
  • 2X front USB
  • RJ-45 serielle Konsole
  • 2x SATA 300 Anschlüsse

Standardmäßig ist bei der XTM 5 der BIOS-Console-Redirect mit 115200 Bps aktiviert! Die Verbindung z.B. mit einem Konsolenkabel von Cisco.

B. Die Installation von pfSense auf einer Festplatte

Die XTM 5 hat sowohl zwei SATA 300 Anschlüsse, wie auch einen SATA Stromanschluss vom Netzteil. Der Einbau einer Festplatte ist daher möglich. Alleine bei der Befestigung der Festplatte im Chassis muss improvisierst werden.

Da die CPU 64-Bit kompatibel ist, habe ich pfSense 64 installiert.

  • Bauen Sie die Festplatte in einen Rechner mit VGA und Tastatur ein und installieren Sie auf diesem pfSense. Am Ende der Installation wählen Sie "Embedded Kernel".
  • Bauen Sie die Festplatte wieder in die Firebox ein.
  • Booten Sie die Box mit einem Terminalprogramm, wie z.B. Putty mit den Einstellungen Serial, dem Com-Port Ihres Rechners und der Geschwindigkeit 9600.
  • Anschließend starten Sie die Box. Der gesamte Startvorgang (mit Ausnahme des BIOS Posts) wird im Terminalprogramm angezeigt.
  • Sollte die Partition beim Booten nicht gemountet werden können, dies passiert, wenn die Platte bei der Installation auf Ihrem anderen Rechner (Punkt 1) an einem anderen IDE-Port hing, geben Sie ? ein. Nun werden Ihnen die vorhandenen Partition dargestellt.
  • Mittels ufs:/dev/ und der direkt hieran anschließenden Eingabe der zuvor erkannten Parition kann diese gemountet werden und die Box starten nun.

  • Konfigurieren Sie die Interfaces. Wenn Sie ein Interface mit einem Switch verbinden wird Ihnen die Portbezeichnung des jeweiligen Ports angegeben.
  • Loggen Sie sich mittels dem Standard-Usernamen (admin) und dem Default-Passwort (pfsense) mittels http://192.168.1.1 auf Ihrem neuen pfSense an.
  • Klicken Sie auf Diagnostics - Edit File und als Datei geben Sie /etc/fstab ein. Nachdem Sie die Datei geladen haben, geben Sie nun als erste Partition ad2s1a und als zweite ad2s1b (oder wenn unter Punkt 5 etwas anderes angegeben wurde dies) ein. Diese Einstellungen sind dann dauerhaft gespeichert.

C. Flashen des BIOS

Bei dem Standard-BIOS der XTM 5 kann der Modus der BIOS-Konsole-Emulation nicht geändert werden. Dies hat zur Folge, dass obwohl bei gleicher Geschwindigkeit des BIOS Redirects, wie auch der pfSense Konsole nicht beide Outputs (nacheinander) angezeigt werden können.

Daher ist es erforderlich das BIOS der XTM 5 mit einem modifizierten BIOS zu flashen, in dem alle Optionen freigeschalten sind.

Wer sich beim Flashen unsicher sein sollte kann diesen Schritt überspringen. Dies hat "lediglich" zur Folge, dass der Konsole Output im Falle des Reboot nicht funktioniert. Das Flashen ist für den Betrieb von pfSense auf der XTM 5 nicht zwingend erforderlich!

Weiterhin sind im modifizierten BIOS alle Optionen freigeschalten. Daher funktioniert z.B. auch SpeedStep im Falle der Verwendung von SpeedStep tauglichen Prozessoren. Wie dies funktioniert habe ich hier unter H. Speedstep aktivieren beschrieben. Dieses Vorgehen funktioniert auch bei XTM 5.

1. Überprüfen der BIOS Version

zunächst ist es notwendig die BIOS Version zu überprüfen. Ein fehlerhafter Flash ist das Aus für die XTM 5.

  • Loggen Sie sich auf der Konsole ein
  • Geben Sie dmidecode | less ein

Wenn Release Date: 02/03/2010 angezeigt wird können Sie Ihre XTM 5 flashen.

Sollte etwas anderes angezeigt werden flashen Sie ihre Box auf keinen Fall!

2. Das Flashen selbst

Flashen Sie das BIOS nur, wenn Sie wirklich wissen, was Sie tun. Das Flashen erfolgt auf Ihr Risiko.

  • Loggen Sie sich auf der Console ein
  • Installieren Sie mittels pkg pkg, das zum Installieren von Packages erforderlich ist
  • mittels pkg install flashrom installieren Sie Flashrom, das Programm zum BIOS updaten

  • aktualisieren Sie die installierten Pakete durch Eingabe von rehash
  • wechseln Sie mittels cd /tmp in das temporäre Verzeichnis
  • geben Sie fetch https://sites.google.com/site/pfsensefirebox/home/xtm5_83.rom ein um das modifizierte BIOS auf Ihre XTM 5 zu laden
  • das BIOS Update starten Sie durch flashrom -p internal -w xtm5_83.rom
  • durch die Eingabe von Exit verlassen Sie die Konsole
  • geben Sie 6 (für Halt system ein) um die XTM auszuschalten
  • trennen Sie die XTM vollständig vom Strom (Ausschalten alleine genügt nicht!) und entfernen Sie die BIOS Batterie für ca. 2 Minuten. Dies ist erforderlich, damit das BIOS zurückgesetzt wird. Alternativ kann auch der Reset CMOS Jumper gesetzt werden
  • Stecken Sie die BIOS Batterie wieder ein und verbinden Sie die XTM mit dem Stromkabel

D. Ändern des BIOS-Console-Modus

Wenn der BIOS Console Modus auf dem standardmäßig einstellten ANSI läuft, zeigt die XTM nach einem Reboot den Bootvorgang nicht mehr korrekt auf der Console an. Dies lässt sich leicht beheben.

  • Starten Sie auf Ihrem PC ein Terminalprogramm, wie z.B. Putty oder Hyperterminal und starten Sie eine Verbindung mit der Geschwindigkeit 115200 bps. Die XTM müssen Sie mit einem RJ45 Konsolenkabel mit Ihrem PC verbinden
  • Schalten Sie die XTM 5 ein. Der BIOS Output sollte auf Ihrem PC angezeigt werden.
  • Drücken Sie (ggf. mehrfach) die Taste Tab. So gelangen Sie in das BIOS (bei der Weiterleitung des BIOS auf die Console entspricht dies der Taste Entf.)
  • Unter Advanced - Remote Access Configuration ändern Sie den Emulations-Modus auf von ANSI auf VT100. Stellen Sie die Gechwindigkeit entsprechend Ihrer pfSense Einstellung ein.

  • Wenn Sie das AHCI aktivieren möchten verlassen Sie das BIOS noch nicht

E. AHCI aktivieren

  • UM das AHCI zu aktivieren gehen Sie im BIOS auf Advanced - IDE Configuration und wählen Sie dort Configure SATA as AHCI und bei Configure SATA Channels Before PATA

  • Anschließen speichern Sie und verlassen das BIOS
  • Nach dem Boot der XTM wechseln Sie im pfSense Dashboard auf Diagnostics - Edit File und geben Sie als Dateinamen /boot/loader.conf ein
  • die vorhandenen Einträge ergänzen Sie um die Zeile ahci_load="YES"

E. LCD aktivieren

Um LCDProc-dev (wichtig ist die dev Version! Nicht die "normale" Version verwenden!) installieren zu können müssen Sie unter System - Advanced - Miscellaneous Do NOT check package signature aktiviert werden. Anschließend kann LCDProc-dev installiert und konfiguriert werden. Als Einstellungen wählen Sie Com port - Parallel Port 1, Display Size - 2x20, Driver - Watchguard Firebox with SDEC und speichern Sie ab.

Da LCDProc-dev leider (noch) nicht fehlerfrei unter pfSense 2.2 funktioniert verweise ich zur Problembehebung auf meinen diesbezüglichen Artikel.

F. Arm-/Disarm-LED

Um die Arm-/Disarm LED grün statt rot leuchten zu lassen muss, wenn Sie pfSense 64-Bit installiert haben, die 64-Bit Version von WGXpec, d.h. WGXepc64 installiert werden.

  • aktivieren Sie in pfSense unter System - Advanced - admin access den Secure Shell Server
  • verbinden Sie sich mit einem SCP Programm, wie z.B. WinSCP oder Filezilla, mit Ihrer XTM 5
  • erstellen Sie unter /usr einen neuen Ordner names xtm5
  • kopieren Sie diese Datei in den neuen Ordner, d.h. in /usr/xtm5
  • ändern Sie die Attribute der Datei auf 755, damit sie ausgeführt werden kann
  • in Pfsense unter System - Packages installieren Sie das Package shellcmd
  • Unter Service - Shellcmd erstellen Sie einen neuen Eintrag mit dem Inhalt /usr/xtm5/WGXepc64 -l green  und dem Starttyp shellcmd

Nach dem nächsten Neustart Ihrer XTM 5 leuchtet die Arm-/Disarm LED nun grün wie bei der Originalsoftware.

G. Aufrüsten der Hardware

Da es sich um ein Sockel 775 Mainboard handelt können entsprechende CPUs nachgerüstet werden. Daher ist ein Upgrade auf Dual bzw. Quad Core Xeons möglich. Ich betreibe meine XTM 5 mit einem Xeon 3370 Quad Core mit 4x 3 GHz.

Auch der RAM kann aufgerüstet werden. Obwohl der Chipsatz bis zu 8 GB unterstützt können jedoch bei der XTM 5 maximal 4 GB DDR2-RAM installierten werden. Dies dürfte jedoch für die überwiegende Anzahl der Einsatzzwecke (mehr als) ausreichend sein.