Reutilizando un Firewall Checkpoint 15600 como Hipervisor: Instalación de VMware ESXi

-

Durante un proceso de renovación de firewalls, nos tocó reemplazar varios equipos Checkpoint 15600 por nuevos dispositivos. Al hacerlo, surgió una pregunta entre colegas:

¿Podríamos reutilizar estos equipos como servidores para no desaprovechar sus recursos de hardware?

La idea nos pareció interesante, así que nos pusimos manos a la obra. Cabe destacar que estos firewalls no poseen salida de video, únicamente conexión por cable de consola, lo cual complica un poco el acceso, pero logramos descubrir lo siguiente:

¿Qué se puede hacer con un firewall Checkpoint 15600?
  • Es posible instalar cualquier distro de Linux para arquitectura amd64 en el firewall. Solo debes configurar tu USB booteable para utilizar la interfaz gráfica por consola.
  • Se puede utilizar chroot con el sistema operativo original del firewall.
  • ¡Incluso se puede jugar Doom!
  • Es posible instalar VMware ESXi en el equipo utilizando un procedimiento conocido como Kickstart, mediante una instalación automatizada desde USB.
De esto trata este documento.

Instalación de VMware ESXi paso a paso

1. Obtener la ISO de VMware ESXi

Nosotros utilizamos una ISO de ESXi 6. Si bien es una versión algo antigua, es perfectamente funcional para pruebas o entornos de laboratorio (PoC). Además, contábamos con una licencia gratuita válida para esa versión.

2. Crear un USB booteable con Rufus

Abre Rufus y conecta la unidad flash USB. Configura los parámetros principales según lo siguiente (la interfaz puede variar según la versión de Rufus, pero lo importante son los parámetros correctos).

3. Habilitar la instalación desatendida con Kickstart

Una vez creado el USB booteable, edita el archivo boot.cfg que se encuentra en el dispositivo.

Modifica la línea que contiene kernelopt para que quede así:
kernelopt=ks=usb:/KS.CFG

4. Crear el archivo KS.CFG

Dentro del USB booteable, crea un archivo de texto llamado KS.CFG y copia el siguiente contenido:

vmaccepteula
install --firstdisk=local --overwritevmfs --novmfsondisk
reboot network --bootproto=static --ip=192.168.1.10 --netmask=255.255.255.0 --gateway=192.168.1.1 --hostname=NombreEquipo --nameserver=8.8.8.8 --addvmportgroup=1
rootpw VMware1!
%firstboot --interpreter=busybox 
# enable & start SSH 
vim-cmd hostsvc/enable_ssh vim-cmd hostsvc/start_ssh
# enable & start ESXi Shell 
vim-cmd hostsvc/enable_esx_shell 
vim-cmd hostsvc/start_esx_shell 
# Suppress ESXi Shell warning 
esxcli system settings advanced set -o /UserVars/SuppressShellWarning -i 1

5. Instalar ESXi desde el USB

Conecta el USB en el puerto USB del equipo Checkpoint y enciéndelo sin conectarlo a la red. La instalación puede tardar entre 20 y 30 minutos, dependiendo de la velocidad del pendrive y las características del sistema.
Cuando el proceso haya terminado, el equipo se reiniciará automáticamente. Sabrás que la instalación concluyó cuando notes el cambio en la velocidad de los ventiladores. En ese momento, puedes retirar el pendrive. 

¡Instalación completada!

6. Acceeder al hipervisor a través de tu navegador

Una vez finalizado el proceso, ya puedes acceder al hipervisor a través de tu navegador web usando HTTPS, apuntando a la dirección IP configurada durante la instalación.

¿Qué sigue?

Ahora que tienes VMware ESXi corriendo en tu equipo Checkpoint, puedes continuar con la configuración del entorno:

  • Crear y configurar los datastores
  • Subir tus ISOs de instalación
  • Configurar un vSwitch
  • Crear tus máquinas virtuales

Comentarios

Publicar un comentario

Entradas más populares de este blog

Uso de banners en Cisco IOS

-
El siguiente documento ha sido elaborado para clarificar la forma correcta de configurar banners en routers y switches Cisco. La información proporcionada se basa en los libros de ICND1 e ICDN2 de Cisco Press. Los banners disponibles para Cisco IOS son los siguientes: Banner motd. Banner exec. Banner Login. A continuación, definimos su uso: Banner MOTD (Message of the Day): Se muestra después del login y se utiliza para mensajes temporales que cambian periódicamente, por ejemplo, "SW1 estará en mantenimiento esta noche entre las 21 y las 23 horas". Banner Exec: Se muestra después del login y se utiliza para proporcionar información que solo debe conocerse por los usuarios autorizados. Por ejemplo, "El personal del NOC no estará presente hoy, por favor, evite realizar configuraciones de alto impacto". Banner Login: Se muestra antes del login y también después del banner MOTD. Se utiliza para mensajes permanentes como "acceso solo a personal autorizado". ...
Leer más

BGP - Conditional Advertisement

-
Imagen
La función de anuncio condicional en BGP nos brinda un método para anunciar prefijos según la existencia de otros en la tabla BGP. Resulta especialmente útil cuando gestionamos múltiples proveedores de servicios de Internet (ISP) en nuestra red. En ocasiones, la publicación de nuestros prefijos a todos los ISP genera problemas y se hace necesario dirigir nuestras redes a un solo ISP. Sin embargo, ante eventualidades como la falla del ISP principal, se requiere la capacidad de redirigir nuestros anuncios hacia el ISP de respaldo. Por ejemplo, si no recibimos la red 8.8.8.8/32 desde ISP1, deseamos anunciar nuestras redes a ISP2. Antes de proceder con la configuración, es crucial comprender dos comandos clave: 'non-exist-map' y 'advertise-map'. advertise-map : Un route-map que contiene los prefijos que deseamos anunciar a nuestros ISP. non-exist-map: Un route-map que define el prefijo cuya ausencia en la tabla BGP genera la condición para anunciar los prefijos asoc...
Leer más