Меню Рубрики

Установка по сети pfsense

Установка по сети pfsense

Итак ставить буду pfSense ver.: 2.2.6 на старенький комп с одноядерным процессором 1,8 Ггц, оперативкой DDR2 — 512 Мб, жестким диском SATA — 80 Гб, двумя сетевыми картами по 100 Мбит/сек (встроенная + PCI).

Подготовительная часть

Для начала качаем дистрибутив с официального сайта.

1. Жмем Download

2. Жмём кнопку INSTALL (возможно сейчас уже более свежая версия)

3. Теперь отвечаем на вопросы:

  • Computer Architecture: i386 (32-bit) (тут должно соответствовать вашей архитектуре компьютера)
  • Platform: Live CD with Installer (on USB Memstick) (образ буду писать на USB)
  • Console: VGA (для установки на компьютер с монитором)

Кстати, у зеркал разная скорость, поэтому если медленно грузит — выбирай другой

4. Окей, скачали файл 4pfSense-memstick-2.2.6-RELEASE-i386.img.gz (ну или более актуальную версию).

  • Открываем архив в 7zip или любом другом архиваторе, извлекаем файл с расширением .img
  • Теперь берём программу RosaImageWriter и записываем образ на флешку

5. Втыкиваем флешку в компьютер и загружаемся с неё

Первая часть установки

1. При появлении первого экрана вам даётся 10 секунд на раздумие для выбора какого-то особого пункта меню. Ничего делать не надо. Ну или просто нажмите Enter

2. А вот теперь нужно быть особо внимательным и не пропустить этот экран:

Здесь Вам даётся 10 секунд на то, чтобы нажать клавишу i

3. Ничего менять не надо, выбираем Accept these Settings и жмем Enter

4. Тоже ничего мудрить не надо, жмем Enter на пункте Quick/Easy Install

Easy Install автоматом установит Вам систему не задавая лишних вопросов.
ВНИМАНИЕ: Сейчас вся информация имеющаяся на жестком диске будет удалена! Вы уверены что хотите продолжить?
Если Вы хотите больше контроля над процессом установки, то выбирать нужно Custom Installation в предыдущем диалоге

6. При выборе параметров ядра указываем Standard Kernel

7. Вроде как конец. Система говорит что пора перезагружаться. Ещё она говорит что когда компьютер выключится Вы можете вытаскивать свой CD-диск (в нашем случае флешка). Раньше вытаскивать не надо!

Жмём Enter

Первая часть установки закончена.

Логин и пароль администратора: admin и pfsense соответственно.

Вторая часть установки

1. После перезагрузки установка продолжается и первым делом система спросит: Хотите ли Вы настроить VLANs? Жмём n и Enter (нам ведь не нужны вэланы так ведь?…)

2. Система определила обе сетевых карты и теперь желает узнать какая из них будет смотреть в интернет (WAN), а какая в локальную сеть (LAN)

Сейчас система просит указать идентификатор сетевой карты WAN, т.е. смотрящей в интернет.

На выбор нам можно ввести sge0 или ste0 — это идентификаторы наших сетевых карт (вообще говоря привычное их наименование eth0 и eth1, но наша система основана на FreeBSD, а там принцип обозначения иной), либо нажать клавишу a для автоматического распознавания.

Если Вы знаете какой идентификатор соответствует нужной сетевой карте, то вводите его, а если не знаете (наверное 99% людей не знают), то делаем так:

a. выдергиваем сетевые кабеля из обеих сетевых карт, жмём клавишу a и Enter

б. система просит нас присоединить кабель к сетевой карте смотрящей в интернет (WAN) и убедиться что на ней загорелась лампочка. В моём случае при подключении кабеля выскочило сообщение ste0: link state changed to UP, из этого сразу ясно что идентификатор у WAN — ste0. Жмём Enter.

в. Система сказала что обнаружила линк на интерфейсе ste0.

Теперь то же самое для LAN-интерфейса, думаю обьяснять ничего не надо (я просто ввёл оставшийся sge0 и нажал Enter)

3. Следующим шагом система попросит ввести опциональный интерфейс. Нам он не нужен, просто жмём Enter

4. Далее система собирает введенную информацию в кучу и просит подтвердить её. Нажимаем y и Enter

5. По завершению установки получаем следующий вид:

WAN (смотрит в инет) -> имеет идентификатор ste0 -> адрес IPv4 (назначен DHCP): 192.168.0.50 имеет маску 24, т.е (255.255.255.0)

Читайте также:  Установка ловушек для откатных ворот

LAN (смотрит в локалку) -> имеет идентификатор sge0 -> адрес IPv4 (статический): 192.168.1.1 имеет маску 24, т.е (255.255.255.0)

А знаете почему WAN-интерфейс у меня имеет адрес 192.168.0.50? А потому что у меня на работе целая толпа народу постоянно использует интернет, а обрубать его и втыкать в подопытный компьютер для экспериментов я никак не могу. Поэтому в WAN-порт я воткнул кабель из своей локальной сети, где свободно гуляет интернет раздаваемый роутером DIR-300 с поднятым DHCP сервером.

Имеется также 16 пунктов для управления системой, объяснять не буду — и так всё понятно.

Завершение установки

Единственное что бы я сейчас сделал, это изменил адрес 192.168.1.1 на какой-нибудь другой, например 192.168.0.253, так как мой новый pfSense готовится для замены моего DIR-300, что располагается по адресу 192.168.0.254.

Но если и WAN и LAN будут находиться в одной сети, то обязательно возникнут какие-то проблемы и вы будете долго и мучительно с ними разбираться, поэтому я настоятельно рекомендую чтобы эти два интерфейса были в разных подсетях.

Более того, я также рекомендую чтобы адрес WAN-порта не был частным IP (т.е. 192.168.0.0/24 или 172.16.0.0/16 или 10.0.0.0/8), иначе при стандартных настройках будут возникать проблемы (об одной из них и о её решении я расскажу далее)

Поэтому 192.168.1.1 меняю на 192.168.2.253 (почему 2 спросите вы — а просто так). Адрес WAN-порта оставляю прежним (192.168.0.50) чтобы показать возникающую при этом проблему и способ её решения.

1. Итак, возвращаемся к нашему экрану и жмём 2 и Enter (Set interface(s) IP address). Система спросит какой интерфейс будим настраивать.

2. Выбираем LAN. Жмём 2 и Enter

3. Вводим новый IP-адрес: 192.168.2.253, жмём Enter

4. Вводим маску сети: 24, Enter

5. Теперь нас просят настроить шлюз по-умолчанию для WAN, а для LAN нужно просто нажать Enter:

6. IPv6 мне не нужен, пропускаю его нажав Enter

7. Теперь нас спрашивают следует ли включить DHCP для интерфейса. Да, жмём y, затем Enter

8. Вводим начальный диапазон адресов: 192.168.2.1 жмём Enter

9. Вводим конечный диапазон адресов: 192.168.2.254 жмём Enter

10. Система спрашивает не хотите ли вы открывать WEB-конфигуратор по HTTP (кстати по-умолчанию он открывается по HTTPS) нет, жмём n затем Enter

Всё, система сообщает что теперь Вы можете открыть WEB-конфигуратор по адресу https://192.168.2.253/

Жмём Enter

Делаем контрольную перезагрузку:

  • 5 затем Enter
  • y затем Enter

Можно отключать монитор и подключать сетевые кабеля

Траблшутинг (по-русски: решение проблем)

Если в консоли pfsense постоянно вылетает сообщение command never completed! , то, скорее всего, у Вас хреново работает сетевая карта — замените её на другую.

источник

Настройка шлюза на базе Pfsense. Часть 1

Что всегда заметит каждый пользователь? Правильно, отсутствие интернета. Но как? «Вконтакте» не грузится — значит, интернета нет. Но ведь бывает, что директор или бравые богатыри из отдела ИБ хотят что-то запретить, что-то собрать, где-то проконтролировать. И тут администратор начинает танцевать вокруг шлюза в интернет. Если в компании много денег, то танцы могут быть длительными и с галантными кавалерами (мар Checkpoint, мистер PaloAlto, господин SonicWall). А вот что делать, если денег только на железо, функционала хотят много, а делать надо быстро? Бежать. На помощь приходит Mr Proper Pfsense, активно поддерживаемый сообществом бесплатный, гибкий и несложный в настройке межсетевой экран на базе FreeBSD.

В первой части рассмотрим классику жанра — межсетевой экран с прокси (аутентификация по учетным данным Active Directory) и фильтрацией контента, а также какой-никакой антивирусной проверкой трафика налету. Отдельно рассмотрим вопрос настройки удаленного доступа пользователей к сети предприятия.

Если будет интерес, могу написать вторую часть инструкции по развертыванию, где рассмотрю вопросы балансировки между несколькими провайдерами, создания и одновременной работы двух шлюзов, а также добавления фич безопасности типа IPS/IDS, фильтр спама, более кошерной фильтрации средствами Dansguardian, сниффинга IM и HTTPS контента и много чего еще интересного.

Читайте также:  Установки для выращивания всех культур

Для уменьшения возможного холивара: «Да, это можно сделать на %yourdistrname%» и «Да, все можно настроить из командной строки». Так, все формальности соблюдены — можно начинать.

Установку сделаем с флешки. Для этого используем образ pfSense-memstick-2.2.2-RELEASE-i386.img.gz, скачанный с одного из зеркал, указанных на официальном сайте. Очень удобно, что сначала мы выбираем архитектуру, функционал, а потом уже нам предлагают список зеркал. Процесс установки детально расписывать не буду, там все элементарно, никаких дополнительных настроек не нужно. По окончанию установки вам предложат назначить VLAN и определить интерфейсы, а также их назначение. Выглядит это примерно так:

После настройки интерфейсов мы попадаем в меню с ограниченным числом пунктов, однако есть возможность выйти в шелл. На мой взгляд, самым полезным пуктом меню является возможность сброса пароля на веб-морду. Разработчики pfsense настоятельно рекомендуют проводить всю настройку только через графический интерфейс. А выглядит он достаточно симпатично, набор виджетов широк, можно кастомизировать их набор под себя.

Первым делом создаем свой внутренний CA на pfsense или используем уже имеющийся. Для этого в меню System выбираем Cert Manager и в разделе CA проводим необходимые настройки: нужно указать длину ключа, алгоритм хэширования, время жизни и полное имя CA. Настроенный CA будет нам нужен для создания OpenVPN-сервера и для работы по LDAPS.

Теперь интегрируем наш шлюз с Active Directory. В разделе Servers блока User Manager из меню System были проведены настройки на использование контроллера домена. Все до безобразия просто — указал адрес, транспорт, область поиска, контейнеры с учетками, креды для создания привязки и шаблон для заполнения Microsoft AD — можно выпускать кракена пользователей в интернет.

Перейдем к настройке правил фильтрации трафика. Во-первых, если требуется любая группировка адресов, портов, URL, тогда добро пожаловать на вкладку Aliases. Во-вторых, вы можете настроить временные промежутки, которые можно использовать для работы правил. По умолчанию создано правило «всем везде все можно», а также правило, которое не дает заблочить доступ к веб-морде. Создание правил выглядит довольно буднично:

Однако есть ряд дополнительных возможностей, например, разрешенные ОС, какие могут быть выставлены TCP-флаги, график работы правила, а также инспектор протоколов прикладного уровня.

Настройка удаленного доступа OpenVPN с аутентификацией по паролю в локальной базе и сертификату можно посмотреть тут — www.youtube.com/watch?v=VdAHVSTl1ys. Выбор протоколов удаленного доступа невелик — IPSec, L2TP, PPTP и OpenVPN. При выборе PPTP сам pfsense напишет Вам, что протокол небезопасен и лучше выбрать другой.

Аутентификация в локальной базе была выбрана с целью сохранения возможности удаленного подключения в случае каких-либо неполадок с серверами каталогов.

Для экспорта настроек OpenVPN для устройств на разных платформах нужно установить пакет OpenVPN Client Export Utility, который есть в списке доступных для установки пакетов. Теперь возвращаемся к истокам – во вкладку Cert Manager, там создаем сертификат для сервера VPN и каждого клиента. Разница только в типе сертификата.

Переходим к настройке сервера OpenVPN. Выбираем режим работы сервера – в моем случае «Remote Access (SSL/TLS + User Auth)», сервер аутентификации, протокол, порт, нужный сертификат сервера VPN и выставляем нужные параметры шифрования. То, что предлагается по умолчанию — не лучший выбор.

Дальше настраиваем VPN-сеть и выставляем настройки для клиентов. Тут мы можем определить, стоит ли выдавать клиенту DNS-сервера, весь ли трафик клиента гнать в туннель и т.д. После этого сохраняемся и отправляемся на вкладку client export. Отсюда мы экспортируем нужные для подключения настройки и сертификат пользователя.

Кстати, при настройке сервера можно было воспользоваться Wizardом, который провел бы Вас через все “печали и невзгоды” настройки OpenVPN. Некий аналог кнопки “Сделать хорошо”.

Конечно, если у вас многим пользователям нужен удаленный доступ, то работа по выдаче и отзову сертификатов, экспорту настроек, заведению пользователей в локальную базу превратиться в очень скучное, но ответственное задание. Считаю, что при подобных требованиях к масштабированию необходимо наличие отдельного CA с CRL и единой базы аутентификации, типа Active Directory. Но если пользователей мало, то предложенный выше вариант вполне работоспособен.

Читайте также:  Установка tpms audi a3 8p

Нам осталось настроить прокси, фильтрацию контента и антивирусную проверку. Устанавливаем HAVP-пакет – это прокси с ClamAV сканером. Для настройки указываем режим работы ClamAV и прокси, порт, интерфейс, настройки проверки проходящего трафика. Поскольку планируется использование squid, то наш режим работы — «Parent for Squid». Отдельно настраиваем параметры обновления антивирусной базы и ее зеркала.

Переходим к настройке Squid. После установки пакета выбираем режим работы прокси и порт, затем на вкладке «Auth Settings» указываем используемый метод аутентификации. Поскольку у нас стоит задача использования Active Directory в качестве базы пользователей, то используем протокол LDAP. Настройки для интеграции с контроллером домена представлены ниже.

При необходимости настраиваем параметры вышестоящего прокси, управления кэшем и трафиком, а также ACL. Я, например, в whitelist вносил *microsoft.com/* для нормальной работы обновлений и активации ОС, и то не сканало. Но об этом чуть ниже.

Теперь фильтрация – настраиваем squidGuardian. По подходам к фильтрации в принципе есть хорошая статья – «To-do: Фильтруем вся и всё». После установки squidGuardian через пункт «Proxy filter» меню «Services» переходим к его настройке. На вкладке «Blacklist» указываем откуда качать сами блэклисты в формате tar или tar.gz, а также на вкладке «General settings» ставим галочку для включения использования блэклистов. Я использовал бесплатные блэклисты отсюда. В случае необходимости работы контентного фильтра по времени, промежутки можно задать на вкладке Times. Дальше уже настраиваете общие или групповые ACL, главное не забыть поставить галочку напротив запрета использования IP-адресов в URL. Для настройки правил фильтрации нужно нажать «Target Rules List» и выбрать действия для нужных категорий, а также действие по умолчанию.

Если у вас есть необходимость в создании собственных категорий, то можно воспользоваться страничкой «Target Categories». После сохранения ваша категория появится в общем перечне правил. Я создавал свою категорию для разрешения доступа к ресурсам по IP-адресам, у которых нет DNS-имени.

А теперь ложка дегтя. Вполне допускаю, что проблемы вызваны собственной кривизной рук, но все же. Если кто-то из сообщества сможет подсказать какие-то решения, то я буду крайне признателен.

1. Разработчики давно обещают, но пока так и не сделали поддержку L2TP over IPSec.
2. Проблемы при попытке срастить pfsense для использования сертификатов AD CS. Я читал обсуждение отсюда, но так и не смог победить мелкомягкого дракона.
3. Проблемы работы клиент-банков в случае, если у вас есть балансировка между провайдерами.
4. Если у вас указана аутентификация пользователей через AD, а контроллер домена недоступен, то ваш встроенный(. ) админ pfsense также откажется работать. Есть обсуждение на форуме, люди пишут скрипты на php для решения вопроса, но это не является рекомендуемым решением.
5. Видимо тут мои личные проблемы с кириллицей. Во-первых, не работает аутентификация в случае использования пароля в кириллической раскладке. Во-вторых, проблемы в отображении имен контейнеров AD на кириллице.
6. Несмотря на все усилия, время от времени возникают проблемы с сервисами от Microsoft. Чаще всего не работает активация ОС. Думаю, тут все же необходимо будет поправить конфиг squid вручную.

В заключении хотел бы отметить, что данный дистрибутив импонирует мне широким функционалом и гибкостью, очень легко клонировать настройки на несколько шлюзов, есть возможность сделать embedded решения. Конечно, полная настройка через веб ИМХО не есть хорошо, но может именно таким образом разработчики огораживают начинающих админов от болезненных ударов граблей разной высоты.

источник

Добавить комментарий

Adblock
detector