Доброго
времени суток всем читающим!
Мои жизненные
устои немного сменились, решил потихоньку
упрощать себе жизнь и перенестись в мир
вебморд. Одним из таких экспериментов
стал постепеннй переход с шлюзов на
базе Debian в сторону pfSense, основанный на
FreeBSD. В самой фряхе я не бум-бум, поэтому
и выбор пал именно на вебмордовый вариант
оной. Кому интересно - прошу под кат (осторожно, трафик!)
Началось все
с того, что никак не получалось сделать
балансировку или отказоустойчивость
интернет канала на дебиане, всё время
вылезали какие то косяки. В общем, начнем
наши изыскания. Заранее извиняюсь за шакалов, так и не понял как сделать увеличение по клику
Так как я
большой любитель гипервизора ProxMox, то
и поднимать будем на нем. Основные
отличия от поднятия других виртуалок
только в том, что тип процессора надо
выбирать именно qemu64. В остальном — дело
вкуса
о
 |
|
Создали
виртуалку, запускам, видим выбор режима
загрузки, можно подождать, можно ткнуть
желаемую циферку
|
 |
|
Далее нам
нужно (но это необязательно) настроить
некоторые параметры, я оставляю всё как
есть, просто нажимаю Accept these Settings
|
 |
|
На следующем
скрине мы видим запрос на изменение
параметров того, как будет устанавливаться
pfSense. На самом деле, там ничего интерсного,
нажимаем Quick/Easy Install
|
 |
|
Получаем
логичное предупреждение о том, что
выбрана автоматическая установка и
диск будет очищен, нажимаем OK, ведь мы
уверены в том, что на диске ничего нет
|
 |
|
Спрашивает
нас о том, какое нужно ядро и что с ним
делать. Выбираем Standard Kernel
|
 |
|
Установка
успешна, перезагружаемся
|
После
перезагрузки нам нужно настроить наш
pfSense, о чем он нам тут же и сообщает. Так
как это тестовый вариант, то настройки
будут не совсем правильными, но, думаю,
у вас проблем не возникнет, так что делаю
как удобнее в данный момент. VLAN мне тут
не нужен, адрес получу по DHCP. На этом
консольная настройка будет завершена,
дальше — в веб-морду
Переходим
по адресу, полученному по DHCP и видим
окно логина. Стандартные логин-пароль
admin/pfsense, которые нужно будет поменять
При первом
запуске у нас откроется Wizard для более
простой донастройки. Вводим те параметры,
которые вам необходимы
На этом
настройка завершена, но для полноценной
работы нам необходимы еще несколько
опций.
У pfSense есть
некоторые проблемы, когда он является
виртуальной машиной, поэтому нам нужно
перейти по пути
https://pftest/system_advanced_network.php
и выставить галочки, которые отмечены
на скриншоте. В принципе, всё подписано,
поэтому думаю, объянения будут лишними,
скажу только, что галки со словами
Hardware нужны именно в том, случае, когда
pfSense — виртуален, на живом железе они
не пригодятся
Далее переходим
во вкладку Firewall & NAT и ставим галочку
Static route filtering. Она необходима в том случае,
если у вас будет несколько статичных
маршрутов. В этом случае оно будет
прогоняться через фаерволл, что повысит
отзывчивость и работу в целом. Особенно
галочка полезна, когда у вас есть VPN сети
Далее переходим
во вкладку Miscellaneous и в опции Load Balancing
ставим галочку Use sticky connections. Она также
необходима для балансировки нагрузки
Вот мы и
подняли наш pfSense. На самом деле, ничего
сложного в нем нет, правила фаерволла
настраиваются легко и непринужденно,
затруднений не возникнет ни у кого.
Напоследок
скажу некоторые фичи.
1. Если вы
делаете проброс TCP/UDP порта в правилах
NAT, но оно у вас не отрабатывает, проверьте,
есть ли соответствующее правило в
разделе Rules
2. Если хотите
задавать имена хостам в DNS Forwarder, то
пишите не Host, а Domain
3. С некоторых
сетей не получается получить досутп к
проброшенным портам или самому pfSense.
Для этого просто не нужно ставить галки
Block private networks and loopback addresses и Block bogon
networks. На фаерволл это не повлияет, а
работать будет точно.
4. Не знаю почему, но при создании/подключении нового сетевого интерфейса, будь то железная сетевка, бридж с проксмокса или РРРоЕ интерфейс, нужно делать этакий алиас во вкладке Interface/assign, после чего настраивать этот "алиас"
4. Не знаю почему, но при создании/подключении нового сетевого интерфейса, будь то железная сетевка, бридж с проксмокса или РРРоЕ интерфейс, нужно делать этакий алиас во вкладке Interface/assign, после чего настраивать этот "алиас"
Ну вот и всё,
сейчас у меня запущены 5 шлюзов с pfSense и
они работают на порядок прочнее дебиана.
В следующий раз напишу как приделать
нашу VPN к pfSense и подробнее разберу
некоторые аспекты балансировки канала
How to make money - Make Money, make money - Work
ОтветитьУдалитьHow to make money. Make money from gambling. This is the easiest way to make money on the internet. หาเงินออนไลน์ You can play casino games by yourself,