Моя настройка интернет центра на базе pfSense 2.4.4

Posted by

Мне стало интересно, а что если я хочу в роли обычного роутера/»Интернет центра» использовать не аппаратную железку, а собрать свой собственный на своем железе роутер. Т.е. обычный ПК на него установлен дистрибутив PfSense 2.4.4 базирующийся на операционной системе FreeBSD 11.2-RELEASE-p4. К тому же разобрав все свои задумки я лучше пойму настройку + в последствии развернут pfSense, как VM на тестовом полигоне Debian 10 + Proxmox 6 дабы получить из одной системы несколько:

Host: Debian 10 + Proxmox 6

  • VM: Gateway on pfSense
  • VM: AD
  • VM: File Server
  • VM: Print Server
  • VM: Terminal Server
  • и т.д.

Текущая конфигурация на которой поднимаю собственный интернет центр:

  • Motherboard: ASRock G41M-VS3S00 @ 3.00GHz (2991.78-MHz K8-class CPU00
  • RAM: 4Gb
  • HDD: WD 500G SATA
  • Блок питания: R8-S500HQ7-0
  • Встроенная сетевая карта: это WAN
  • В слот PCI-E воткнута внешняя сетевая карта: Model TG-3468: Это LAN

Шаг №1: Подключаю ethernet кабель во встроенную сетевую карту (WAN) в свою сеть. LAN-карту пока не подключаю

Шаг №2: На болванку DVD-R записываю образ pfSense-CE-2.4.4-RELEASE-p1-amd64.iso, вставляю ее во внешний привет Model: eSAU208

Шаг №3: Подключаюсь к компьютеру монитор и клавиатуру

Шаг №4: Включаю компьютер и нажимаю клавишу F11 дабы выбрать с чего начать грузиться, а это у меня мой внешний привод, т.к. мне нужно на HDD установить pfSense.

Please select boot device:

  • SATA: PW-WDC WD5003ABYX-01WERA0
  • USB: Slimtype eSAU208
  • Network: Atheros Boot Agent

выбираю USB и нажимаю клавишу <Enter>

Шаг №5: После загрузки образа вижу приветствие «Welcome to pfSense» нажимаю 1.

Boot Multi User [Enter], нажимаю 1

Шаг №6: Произвожу установку системы pfSense

Copyright and distribution notice: Accept

Welcome to pfSense: Install (Install pfSense): OK

Keymap Selection: Continue with default keymap: Select

How would you like to partition you disk? Auto (UFS): OK

идет распаковка файлов, проверка сумм и последующая инсталляция. Ожидаю.

The installation is now finished. Before exiting the installer, would you like to open a shell in the new system to make any final manual modifications? No

Installation of pfSense complete! Would you like to reboot into the installed system now? Reboot

Шаг №7: Отключаю внешний привод, т.к. в «Шаге №6» базовая установка завершена.

Шаг №8: Когда система загрузится произвожу настройку
моя система видит два интерфейса

alc0 - 00:25:22:b0:62:c7 - Atheros AR8152 v2.0 PCIe Fast Ethernet

re0 - f4:f2:6d:02:66:56 - Realtek 8168/8111 B/C/CP/D/DP/E/F/G PCIe Gigabyte

Should VLANs be set up now [y|n]? нажимаю клавишу [n], т.е. я пока не буду использовать VLAN(ы)

Enter the WAN interface name or 'a' for auto-detection (re0 alc0 or a): набираю alc0 и нажимаю клавишу [ENTER]

Enter the LAN interface name or 'a' for auto-detection
NOTE: this enables full Firewalling/NAT mode.
(re0 a or nothing if finished): набираю re0 и нажимаю клавишу [ENTER]

The interfaces will be assigned as follows:

WAN -> alc0

LAN -> re0

Do you want to proceed [y|n]? набираю 'y' и нажимаю клавишу [ENTER]

происходит применение настроек, ожидаю.

По итогу

Bootup complete

FreeBSD/amd64 (pfSense.localdomain) (ttyv0)

pfSense - Netgate Device ID: 962ce7af124f7d7811e2

WAN (wan) -> alc0 -> v4/DHCP4: 172.33.33.14/24

LAN (lan) -> re0 -> v4: 192.168.1.1/24

Enter an option:

изменяю сеть которая будет являться LAN на 172.50.50.254/24

На заметку: Я делаю чтобы адрес в LAN сеть являлся IP адрес 172.50.50.254 — это для моего удобства

Enter an option: 2

Enter the number of the interface you wish to configure: 2 (LAN (re0 - static))

Enter the new LAN IPv4 address. Press [ENTER] for none: 172.50.50.254

Enter the new LAN IPv4 subnet bit count (1 to 31): 24

For a WAN, enter the new LAN IPv4 upstream gateway address.
For a LAN, press <ENTER> for none: нажимаю клавишу [ENTER]

Enter the new LAN IPv6 address. Press <ENTER> for none: нажимаю клавишу [ENTER]

Do you want to enable the DHCP server on LAN? [y/n] нажимаю клавишу 'y' и нажимаю [ENTER]

Enter the start address of the IPv4 client address range: 172.50.50.10

Enter the end address of the IPv4 client address range: 172.50.50.50
Disabling IPv6 DHCPD...

Do you want to revert to HTTP as the webConfigurator protocol? (y/n): n

The IPv4 LAN address has been set to 172.50.50.254/24

You can now access the webConfigurator by opening the following URL in your wet browser: https://172.50.50.254/

Press [ENTER] to continue. нажимаю клавишу [ENTER]

Enter an option:

Шаг №9: Подключаю кабель ethernet где у меня LAN интерфейс на pfSense в ноутбук (Lenovo E555 OS: Ubuntu 18.04 Desktop amd64) для дальнейшей настройки.

Шаг №10: Проверяю в своей системе Ubuntu 18.04 Desktop amd64 что сетевой адрес получен:

Отлично, запускаю браузер (Google Chrome) и обращаюсь к своему pfSense по URL адресу: https://172.50.50.254 - Дополнительные - Перейти на сайт 172.50.50.254 (небезопасно) и меня встречает приветствие авторизации. Авторизуюсь

  • Username: admin
  • Password: pfsense

и нажимаю «Sign in«, первым делом согласно мастеру меняю дефолтный пароль на свой собственный путем перехода на «Change the password in the User Manager«

Перехожу в мастер изменения пароль на Login: admin в PfSense 2.4.4

А затем указываю новый пароль на учетную запись Username: admin

  • Password: 712mbddr@
  • Confirm password: 712mbbdr@

На заметку: В продуктиве советую использовать пароли от 20 символов и пусть они будут сгенерированы, а хранятся в TeamPass

Установка и настройка Teampass в Ubuntu 18.04

Доступ в TeamPass через https

либо же сложные производные на основе известных вам которые Вы можете запомнить и применять к различным сервисам, железкам, как это делаю я.

Указываю новый пароль

Опускаюсь в самый низ страницы и нажимаю Save.

Если обратить внимание на монитор который подключен к моему ПК с установленным pfSense, то на консоль подается сообщения об успешном входе через https:

pfSense php-fpm[345]: /index.php: Successful login for user 'admin' from: 172.50.50.10 (Local Database)

И вот я внутри Web-интерфейса по управлению своим интернет центром на базе обычного ПК.

Так выглядит Web-интерфейс Вашего интернет центра

Шаг №11: Дабы я мог производить настройку из рабочей сети мне нужно разрешить возможность обращаться к нему (https) из WAN сети (172.33.33.0/24). Для этого нужно добавить правила.

Firewall - Rules - WAN - Add

  • Action: Pass
  • Interface: WAN
  • Address Family: IPv4
  • Protocol: TCP
  • Source: WAN net
  • Destination: WAN address
  • Destination Port Range: 443
  • Log: отмечаю галочкой (Log packets that are handled by this rule)
  • Description: _RULE_WAN_443

и нажимаю Save и применяю настройки нажатием на Apply Changes

Также для проверки из вне, что мой pfSense доступен создаю еще одну правило разрешающее прохождение ICMP-пакетов:

Firewall - Rules - WAN - Add

  • Action: Pass
  • Interface: WAN
  • Address Family: IPv4
  • Protocol: ICMP
  • ICMP Subtypes: any
  • Source: WAN net
  • Destination: WAN address
  • Log: отмечаю галочкой (Log packets that are handled by this rule)
  • Description: _RULE_WAN_ICMP

и нажимаю Save и применяю настройки нажатием на Apply Changes

Итог настроенных правил для WAN интерфейса:

Итог настроенных правил для WAN интерфейса:

Шаг №12: + еще некоторая донастройка

https://172.50.50.254 - user&pass -System - Advanced - Networking

  • Disable hardware checksum offload: отмечаю галочкой

и нажимаю Save

https://172.50.50.254 - user&pass-System - General Setup

  • Hostname: srv-gw
  • Timezone: Europe/Moscow
  • Language: Russian

и нажимаю Save

На заметку: Заметка будет дополняться по мере надобности.

Позже когда данный интернет центр будет обслуживать сеть, доступ из вне через https я уберу. Во вне должно смотреть минимум, а для удаленного взаимодействия всегда нужно использовать VPN.

Итого, я получил базовые шаги по настройке интернет центра на базе обычного ПК где в роли ОС выступает pfSense 2.4.4. Уже сейчас это замена роутеру может выступать как доступ для Вас и вашей сети за ним к интернету, разница что теперь Вы сами можете по своему вкусу все настраивать. К примеру можно собрать маленькую систему из старого ПК и поднять на ней различные сервисы и учиться настраивать если Вам это интересно. Мне интересно. На этом я пока прощаюсь, с уважением автор блога Олло Александр aka ekzorchik.