Программный межсетевой экрана (маршрутизатор) pfSense — установка и настройка

Мы предоставляем услуги удаленного администрирования серверов

Программный межсетевой экрана (маршрутизатор) pfSense — установка и настройка

Опубликовано:

Используемые термины: FreeBSD, Маршрутизатор, Firewall.

pfSense является программным маршрутизатором/фаерволом на основе операционной системы FreeBSD. Рассмотрим его установку и начальную настройку на виртуальную машину.

Установка

Система распространяется как образ операционной системы, готовой к работе в качестве фаервола/маршрутизатора. Переходим на страницу загрузки pfSense и заполняем форму для получения установщика и нажимаем на DOWNLOAD:

* в данном примере мы выбрали архитектуру AMD64 (для всех современных компьютеров архитектуры x86), образ ISO и Нью-Йорк в качестве зеркала загрузки.

Дожидаемся загрузки файла. Если мы выполняем установку на виртуальную машину, то просто монтируем образ ISO. Если же мы будем устанавливать с помощью сменного носителя, то готовим его с помощью специализированных программ, например, WinSetupFromUsb или Rufus для флешки или InfraRecorder для DVD. Монтируем образ или подключаем установочный носитель, настраиваем БИОС для загрузки с диска или флешки и запускаем установщик — мы должны увидеть сообщение о необходимости принять лицензионное соглашение. Нажимаем Accept:

После выбираем, что будем делать. В нашем случае, выполнять установку:

На следующем шаге установщик предложит выбрать раскладку клавиатуры — выбираем вариант по умолчанию:

Выбираем вариант разбивки диска на разделы. В моем случае, это выполняется автоматически:

* при необходимости использовать сервер не только в качестве pfSense (что не рекомендуется) можно самостоятельно разбить диск на разделы.

Начнется процесс установки системы:

Дожидаемся его окончания. Процесс займет немного времени.

Установщик предложит перейти в командную строку для выполнения ручных настроек — отказываемся:

Перезапускаем компьютер:

Не забываем извлечь установочный носитель.

Установка завершена.

Настройка подключения к веб-интерфейсу

После загрузки pfSense мы увидим меню настройки. Первое, что нам нужно сделать — настроить сеть и веб-интерфейс. Дальнейшую настройку можно делать в последнем.

Выбираем опцию Set interface(s) IP address — номер 2:

Выбираем интерфейс для настройки. Сначала внутренний (LAN):

Задаем IP-адрес в соответствии с нашей инфраструктурой:

* в нашем примере мы хотим задать адрес 192.168.0.23.

Указываем маску подсети:

* в локальных сетях, как правило, используются маски 24, 23, 22.

Если нужно, прописываем адрес шлюза, в противном случае, просто нажимаем Enter:

* обратите внимание, что адрес шлюза на LAN интерфейсе нам нужен только для статических маршрутов.

Система нам предложит активировать сервер DHCP для локальной сети. Если наш pfSense должен выполнять такую задачу, ставим y. Мы же этого делать не будем:

Также отказываемся к возврату протокола HTTP как веб-конфигуратора:

Открываем браузер и переходим по адресу нашего сервера https://192.168.0.23 — появится предупреждение о нарушении безопасности. Просто игнорируем и продолжаем загрузку. 

Система потребует ввода логина и пароля — вводим логин/пароль admin/pfsense.

Готово. Теперь приступим к базовой настройке.

Базовая настройка pfSense

После входа в веб-интерфейс, система может попросить принять условия — просто нажимаем Accept:

Для удобства поменяем языковые настройки. Переходим в раздел SystemGeneral Setup:

В подразделе «Localization» выбираем наш часовой пояс и язык, с которым нам будет удобнее работать:

* в нашем примере выставлено московское время и русский язык интерфейса. Однако, нужно отметить, что для pfSense нет полного перевода и некоторые элементы будут на английском.

Для применения настроен кликаем по Save:

Теперь сменим пароль по умолчанию для учетной записи admin. В верхней части интерфейса мы увидим предупреждение — кликаем по Change the password in the User Manager:

Вводим дважды новый пароль:

Сохраняем настройки:

Сообщение с предупреждением в верхней части экрана должно исчезнуть.

Переходим к настройке Интернет соединения. Кликаем по ИнтерфейсыWAN:

В подразделе «Общие настройки» выбираем вариант получения сетевых настроек:

* в нашем примере мы зададим вручную IP-адрес. Если не используется IPv6 — отключаем его (как в данном случае).

Ниже задаем IP-адрес (если мы выбрали вариант получения Статический IPv4):

Указываем маску подсети:

Справа от «IPv4 Шлюз» кликаем по Добавить новый шлюз:

В открывшемся окне добавляем адрес шлюза для доступа к сети Интернет и кликаем Добавить:

Сохраняем настройки:

Если для подключения к панели управления по локальной сети требуется статический маршрут, после применения настроек мы можем потерять управление системой. Необходимо заранее позаботиться о добавлении статических маршрутов.

Для того, чтобы изменения вступили в силу, необходимо их применить:

Настройка завершена. Можно попробовать прописать наш pfSense в качестве шлюза и проверить доступ к сети Интернет.

В моем случае Интернет не заработал по причине наличия маршрута через локальную сеть. Решение ниже.

Статические маршруты

Если у нас есть несколько подсетей, доступ к которым нужно обеспечить через внутренние маршрутизаторы, pfSense позволяет добавить статические маршруты. 

Для этого переходим в СистемаМаршрутизация:

Кликаем по ссылке Статические маршруты:

Кликаем по кнопке Добавить:

В открывшемся окне вводим подсеть, для которой нам нужен маршрут и выбираем шлюз, через который будет осуществляться доступ к данной сети:

* в данном примере мы создадим статический маршрут в сеть 192.168.1.0/24 через шлюз 192.168.0.1.

Сохраняем настройки:

Чтобы изменения вступили в силу, кликаем по Применить изменения:

Готово.

Возможные ошибки

Рассмотрим проблемы, которые могут возникнуть при настройке pfSense.

Нет доступа в Интернет

После настройки WAN для компьютеров локальной сети нет доступа к сети Интернет. Я столкнулся с данной проблемой маршрутизации после того, как был настроен WAN-интерфейс. По идее, компьютеры локальной сети, которые подключены к pfSense как к шлюзу по умолчанию, должны получить выход к глобальной сети. Однако, этого не произошло. При этом, если перейти в панели управления в раздел меню ДиагностикаПинг и отправить тест на любой адрес в сети Интернет, он проходил корректно, то есть, на самом pfSense выход в Интернет был.

Причина: проблема может возникнуть, если мы сначала указывали шлюз на интерфейсе LAN, затем поменяли его на WAN. Возможно, систему клинит, и появляется ошибка маршрутизации.

Решение: удалить маршрутизацию через LAN, убедиться, что появился Интернет на компьютерах локальной сети, после снова создать маршрутизацию через LAN.

Для этого переходим к настройкам маршрутизации:

Переходим к статическим маршрутам:

Удаляем все маршруты через локальную сеть:

Переходим в раздел Шлюзы:

Удаляем шлюз через локальную сеть:

Проверяем, что у нас появился интернет на компьютерах локальной сети. 

После того, как мы убедились в исправной работе шлюза для доступа к глобальной сети, на той же вкладке по работе со шлюзами нажимаем Добавить:

Задаем имя и адрес маршрутизатора в локальной сети:

Сохраняем настройки:

… и применяем их:

Возможности pfSense

Из коробки, нам доступны следующие возможности:

  • Брандмауэр.
  • DNS и DHCP.
  • Проброс портов.
  • Маршрутизация и NAT.
  • Ограничение скорости.
  • VPN — IPSEC, L2TP, OpenVPN.
  • Аутентификация через LDAP (например, Active Directory) или RADIUS.

Это не совсем все возможности — лишь пример, довольно, часто используемых функций.

Помимо доступных сервисов, мы можем воспользоваться менеджером пакетов (СистемаМенеджер пакетовДоступные пакеты), чтобы расширить возможности pfSense, например, мы можем установить:

  1. Прокси-сервер, например, SQUID + squidGuard.
  2. Блокировщики отслеживания и рекламы: pfblockerng.
  3. Средства мониторинга: zabbix-agent, zabbix-proxy.

И так далее…

Читайте также

Возможно, вам будет интересны следующие инструкции:

1. Настройка OpenVPN сервера на Mikrotik.

2. Настройка Интернет-шлюза на Ubuntu


   Мы принимаем