Konfiguracja routera i zapory sieciowej PfSense (Internet, VLAN, DHCP i inne)

Pierwszą rzeczą, którą musimy zrobić, to zaimportować pfSense z domyślną bramą. Domyślnie mamy dwa interfejsy o następującej konfiguracji:

• WAN: Skonfigurowany jako klient DHCP bez VLAN lub dodatkowej konfiguracji. Dostęp do zarządzania jest domyślnie niedozwolony.
• LAN: Skonfigurowany z 192.168.1.1/24 i włączonym DHCP. Dostęp do zarządzania jest domyślnie dozwolony.

Dlatego, aby uzyskać dostęp do zapory i zarządzania routerem, musimy umieścić https://192.168.1.1 w pasku adresu, nazwę użytkownika to „admin”, a hasło to „pfsense”, więc będziemy mieć bezpośredni dostęp do internetowych menu konfiguracyjnych, gdzie możemy zobaczyć:

Skonfiguruj połączenie internetowe

PfSense jest przeznaczony do bezpośredniego łączenia się z Internetem i zapewniania publicznego adresu IP od operatora, bardzo ważne jest, abyś miał publiczny adres IP i nie pozostawał w tyle za CGNAT, w przeciwnym razie nie będziemy mogli przekazać dalej ani uzyskać dostępu do samego pfSense zdalnie W Hiszpanii operatorzy FTTH często używają różnych identyfikatorów VLAN do zabezpieczania połączenia internetowego. W niektórych przypadkach, takich jak Movistar/O2, możemy ustawić router w trybie pojedynczego użytkownika i skonfigurować tylko PPPoE, ale w innych przypadkach, takich jak Grupo Masmovil, musimy skonfigurować identyfikator VLAN w internetowej sieci WAN, aby działał, w przeciwnym razie nie będziemy mieć połączenie z Internetem.

Jeśli Twój operator musi korzystać z VLAN ID, w pfSense musimy wykonać te szczegółowe kroki, jeśli nie potrzebujesz VLAN, możesz pominąć ten krok:

1. Zamierzam ” Interfejsy / przypisania interfejsów W zakładce „VLAN” tutaj musimy je utworzyć.
2. Interfejs rodzicielski : Upewnij się, że wybrałeś port przypisany do sieci WAN, a nie do sieci LAN.
3. Znacznik VLAN : Utwórz VLAN ID, który odpowiada Twojemu połączeniu internetowemu, w Movistar / O2 jest to 6, w Indirect Masmovil Group to VLAN ID 20, zależy to od każdego operatora.
4. Priorytet VLAN : możemy zostawić to puste.
5. Opis : umieszczamy opisową nazwę, na przykład „Internet”.

Po utworzeniu sieci VLAN musimy ją zaimplementować w internetowej sieci WAN. Wracamy do menu Interfejsy / przypisania interfejsów a w sekcji WAN wybierz „VLAN 20 on em0”, czyli właśnie utworzoną sieć VLAN. Po zakończeniu kliknij „Zapisz”, aby zapisać zmiany.

Teraz musimy wejść ” Interfejsy / WAN ”I wykonaj konfigurację dostarczoną przez operatora, na przykład Grupo Masmovil używa DHCP, ale Movistar / O2 używa PPPoE. W zależności od operatora będziemy mieli jeden lub drugi typ połączenia, nazwę użytkownika / hasło lub inny, ale wszystkie opcje dla WAN znajdują się w tej sekcji. Zdecydowanie zaleca się zaznaczenie dwóch pól na dole, zarówno „Blokowanie sieci prywatnych i adresów sprzężenia zwrotnego”, jak i „Blokowanie sieci prywatnych” i „Blokowanie sieci Bogon”, aby ustawić reguły zapory, która blokuje te sieci w internetowej sieci WAN.

W tym momencie powinniśmy mieć bezproblemowe połączenie z Internetem poprzez uzyskanie publicznego adresu IP operatora oraz serwerów DNS dostarczonych nam na poziomie sieci.

Utwórz sieć VLAN, aby segmentować ruch

VLAN (Virtual LAN) pozwala nam oddzielić ruch z różnych sieci w celu zwiększenia bezpieczeństwa sieci, możemy tworzyć wiele VLANów dla oddzielnych sieci i mieć różne poziomy uprawnień i dostępu do każdej utworzonej sieci lokalnej. Typowa architektura sieciowa polega na utworzeniu wszystkich sieci VLAN w pfSense i podłączeniu kabla z fizycznego portu LAN do portu przełącznika zarządzania portami, w ten sposób przekierujemy do nich wszystkie utworzone sieci VLAN (otagowane) do przełącznika pfSense w celu routingu między sieciami VLAN i móc konfigurować różne reguły.

Pierwszą rzeczą, którą musimy zrobić, aby utworzyć sieć VLAN w sieci LAN, jest przejście do „ Interfejsy / przypisania interfejsów ”.

Po kliknięciu sekcji VLAN, aby je poprawnie utworzyć, domyślnie nie utworzyliśmy żadnych sieci VLAN, jak widać poniżej:

Aby utworzyć nową sieć VLAN, kliknij Dodaj, a następnie wykonaj następujące kroki:

1. Interfejs rodzicielski : Upewnij się, że wybrałeś port przypisany do sieci LAN (nie WAN).
2. Znacznik VLAN : Utwórz identyfikator VLAN zgodny z identyfikatorem przełącznika.
3. Priorytet VLAN : możemy zostawić to puste.
4. Opis : umieszczamy opisową nazwę, na przykład „Zarządzanie”.

Możemy stworzyć dowolny VLAN, zawsze „zawieszony” w fizycznym interfejsie LAN. Na przykład stworzyliśmy dwie dodatkowe sieci VLAN, jedną VLAN dla grup i jedną dla odwiedzających. Proces jest dokładnie taki sam:

Po utworzeniu wrócimy do „ Interfejsy / przypisania interfejsów Tutaj widzimy przegląd fizycznych interfejsów i portu sieciowego. Domyślnie będziemy mieć Internet WAN (z lub bez VLAN) oraz LAN. Aby dodać te nowe interfejsy do swojej sieci LAN, wystarczy wybrać interfejs „VLAN 2 to em1 …” i kliknąć „Dodaj” i tak samo jak inne, jak widać na poniższych zrzutach ekranu:

Po utworzeniu wszystkie pojawią się na liście rozwijanej „Interfejsy”, domyślna nazwa to „OPT1”, „OPT2” i tak dalej. Domyślnie mamy włączony interfejs LAN, z odpowiednim prywatnym adresem IPv4, w zależności od tej konfiguracji możemy zrobić resztę:

Konfiguracja pozostałych interfejsów jest dokładnie taka sama, będziemy musieli ją aktywować, umieścić opisową nazwę, umieścić odpowiednią konfigurację IPv4 i/lub IPv6, zapisać modyfikacje i zastosować je.

Po ustawieniu widzimy, że teraz nazwa się zmieniła, musimy zrobić to samo z innymi. Kiedy skończymy, w sekcji „Przypisania interfejsów” będziemy mogli zobaczyć nazwy, które nadaliśmy każdemu z nich.

Teraz, gdy podłączymy różne urządzenia do przełącznika w określonej sieci dostępowej VLAN, możemy uzyskać dostęp do tej lokalnej podsieci, ale musimy pamiętać, że serwer DHCP nie jest jeszcze włączony w tych nowo utworzonych sieciach VLAN, jest to dokładnie następna rzecz do zrobienia. Idę po korektę.

Interfejsy LAN. DHCP serwer

Zazwyczaj każda sieć VLAN ma skonfigurowany serwer DHCP. Aby to zrobić, przejdź do sekcji „Usługi / Serwer DHCP”. Tuż poniżej będziemy mieć karty LAN, Zarządzanie, Zespoły i Gość, te same sieci, które stworzyliśmy wcześniej. Tutaj widzimy, do której podsieci należy każdy interfejs i w jakim zakresie DHCP możemy zapewnić jak najwięcej.

Aby skonfigurować serwer DHCP, wystarczy skonfigurować go w sieci LAN, zmieniając tylko podsieć. W ten sposób upewnimy się, że wszystko działa poprawnie. Możemy również dodać kilka „grup” do tych menu, a nawet ustawić serwery WINS i DNS, będziemy też mieli zaawansowane opcje konfiguracji na dole.

Opcje konfiguracji dla innych sieci, które właśnie stworzyliśmy, są dokładnie takie same, jak w przypadku sieci LAN, którą potrzebujemy