Итак ставить буду pfSense ver.: 2.2.6 на старенький комп с одноядерным процессором 1,8 Ггц, оперативкой DDR2 — 512 Мб, жестким диском SATA — 80 Гб, двумя сетевыми картами по 100 Мбит/сек (встроенная + PCI).

 

Подготовительная часть

Для начала качаем дистрибутив с официального сайта.

1. Жмем Download

2. Жмём кнопку INSTALL (возможно сейчас уже более свежая версия)

3. Теперь отвечаем на вопросы:

• Computer Architecture: i386 (32-bit) (тут должно соответствовать вашей архитектуре компьютера)
• Platform: Live CD with Installer (on USB Memstick) (образ буду писать на USB)
• Console: VGA (для установки на компьютер с монитором)

Кстати, у зеркал разная скорость, поэтому если медленно грузит — выбирай другой

4. Окей, скачали файл 4pfSense-memstick-2.2.6-RELEASE-i386.img.gz (ну или более актуальную версию).

• Открываем архив в 7zip или любом другом архиваторе, извлекаем файл с расширением .img
• Теперь берём программу RosaImageWriter и записываем образ на флешку

5. Втыкиваем флешку в компьютер и загружаемся с неё

 

Первая часть установки

1. При появлении первого экрана вам даётся 10 секунд на раздумие для выбора какого-то особого пункта меню. Ничего делать не надо. Ну или просто нажмите Enter

2.  А вот теперь нужно быть особо внимательным и не пропустить этот экран:

Здесь Вам даётся 10 секунд на то, чтобы нажать клавишу i

3. Ничего менять не надо, выбираем Accept these Settings и жмем Enter

4. Тоже ничего мудрить не надо, жмем Enter на пункте Quick/Easy Install

5. Тут суть такая:

Easy Install автоматом установит Вам систему не задавая лишних вопросов.
ВНИМАНИЕ: Сейчас вся информация имеющаяся на жестком диске будет удалена! Вы уверены что хотите продолжить?
Если Вы хотите больше контроля над процессом установки, то выбирать нужно Custom Installation в предыдущем диалоге

Жмём ОК

6. При выборе параметров ядра указываем Standard Kernel

7. Вроде как конец. Система говорит что пора перезагружаться. Ещё она говорит что когда компьютер выключится Вы можете вытаскивать свой CD-диск (в нашем случае флешка). Раньше вытаскивать не надо!

Жмём Enter

 

Первая часть установки закончена.

Логин и пароль администратора: admin и pfsense соответственно.

Вторая часть установки

1. После перезагрузки установка продолжается и первым делом система спросит: Хотите ли Вы настроить VLANs? Жмём n и Enter (нам ведь не нужны вэланы так ведь?…)

2. Система определила обе сетевых карты и теперь желает узнать какая из них будет смотреть в интернет (WAN), а какая в локальную сеть (LAN)

Сейчас система просит указать идентификатор сетевой карты WAN, т.е. смотрящей в интернет.

На выбор нам можно ввести sge0 или ste0 — это идентификаторы наших сетевых карт (вообще говоря привычное их наименование eth0 и eth1, но наша система основана на FreeBSD, а там принцип обозначения иной), либо нажать клавишу a для автоматического распознавания.

Если Вы знаете какой идентификатор соответствует нужной сетевой карте, то вводите его, а если не знаете (наверное 99% людей не знают), то делаем так:

a. выдергиваем сетевые кабеля из обеих сетевых карт, жмём клавишу a и Enter

 б. система просит нас присоединить кабель к сетевой карте смотрящей в интернет (WAN) и убедиться что на ней загорелась лампочка. В моём случае при подключении кабеля выскочило сообщение ste0: link state changed to UP, из этого сразу ясно что идентификатор у WAN — ste0. Жмём Enter.

в. Система сказала что обнаружила линк на интерфейсе ste0.

 Теперь то же самое для LAN-интерфейса, думаю обьяснять ничего не надо (я просто ввёл оставшийся sge0 и нажал Enter)

3. Следующим шагом система попросит ввести опциональный интерфейс. Нам он не нужен, просто жмём Enter

4. Далее система собирает введенную информацию в кучу и просит подтвердить её. Нажимаем y и Enter

5. По завершению установки получаем следующий вид:

Тут нам сообщают что:

WAN (смотрит в инет) -> имеет идентификатор ste0 -> адрес IPv4 (назначен DHCP): 192.168.0.50 имеет маску 24, т.е (255.255.255.0)

LAN (смотрит в локалку) -> имеет идентификатор sge0 -> адрес IPv4 (статический): 192.168.1.1 имеет маску 24, т.е (255.255.255.0)

А знаете почему WAN-интерфейс у меня имеет адрес 192.168.0.50? А потому что у меня на работе целая толпа народу постоянно использует интернет, а обрубать его и втыкать в подопытный компьютер для экспериментов я никак не могу. Поэтому в WAN-порт я воткнул кабель из своей локальной сети, где свободно гуляет интернет раздаваемый роутером DIR-300 с поднятым DHCP сервером.

Имеется также 16 пунктов для управления системой, объяснять не буду — и так всё понятно.

 

Завершение установки

Единственное что бы я сейчас сделал, это изменил адрес 192.168.1.1 на какой-нибудь другой, например 192.168.0.253, так как мой новый pfSense готовится для замены моего DIR-300, что располагается по адресу 192.168.0.254.

Но если и WAN и LAN будут находиться в одной сети, то обязательно возникнут какие-то проблемы и вы будете долго и мучительно с ними разбираться, поэтому я настоятельно рекомендую чтобы эти два интерфейса были в разных подсетях.

Более того, я также рекомендую чтобы адрес WAN-порта не был частным IP (т.е. 192.168.0.0/24 или 172.16.0.0/16 или 10.0.0.0/8), иначе при стандартных настройках будут возникать проблемы (об одной из них и о её решении я расскажу далее)

Поэтому 192.168.1.1 меняю на 192.168.2.253 (почему 2 спросите вы — а просто так). Адрес WAN-порта оставляю прежним (192.168.0.50) чтобы показать возникающую при этом проблему и способ её решения.

1. Итак, возвращаемся к нашему экрану и жмём 2 и Enter (Set interface(s) IP address). Система спросит какой интерфейс будим настраивать.

2. Выбираем LAN. Жмём 2 и Enter

3. Вводим новый IP-адрес: 192.168.2.253, жмём Enter

4. Вводим маску сети: 24, Enter

5. Теперь нас просят настроить шлюз по-умолчанию для WAN, а для LAN нужно просто нажать Enter:

6. IPv6 мне не нужен, пропускаю его нажав Enter

7. Теперь нас спрашивают следует ли включить DHCP для интерфейса. Да, жмём y, затем Enter

8. Вводим начальный диапазон адресов: 192.168.2.1 жмём Enter

9. Вводим конечный диапазон адресов: 192.168.2.254 жмём Enter

10. Система спрашивает не хотите ли вы открывать WEB-конфигуратор по HTTP (кстати по-умолчанию он открывается по HTTPS) нет, жмём n затем Enter

Всё, система сообщает что теперь Вы можете открыть WEB-конфигуратор по адресу https://192.168.2.253/

Жмём Enter

Делаем контрольную перезагрузку:

• 5 затем Enter
• y затем Enter

Можно отключать монитор и подключать сетевые кабеля

 

Траблшутинг (по-русски: решение проблем)

Если в консоли pfsense постоянно вылетает сообщение command never completed!, то, скорее всего, у Вас хреново работает сетевая карта — замените её на другую.

 

Содержание

• 1. Введение pfSense
• 2. Установка pfSense
• 3. Настройка pfSense (разрешить ICMP)
• 4. Настройка L2TP в pfSense
• 5. Настройка прокси в pfSense
• 6. Интеграция pfSense в рабочую сеть
• 7. pfSense авторизация по MAC
• 8. pfSense ограничение скорости пользователей