pfSense — Решение проблем
Второй раз встречаюсь с ситуацией, решил написать здесь. Симптомы: Не прикрепляются файлы к письмам на Яндекс почте На некоторых компьютерах очень тугой интернет, не открываются некоторые файлы. Причём на других компьютерах может быть нормально. Перед этим: Аварийное отключение питания компьютера с pfSense Web-интерфейс pfSense: Disk usage: / (ufs): 100% of 70G Решение: Заходим в Web-интерфейс pfSense -> Status -> Services Останавливаем Squid Подключаемся к pfSense при помощи Putty Очищаем файлы кэша: rm -fr /var/squid/cache/* Создаём новый кэш: squid -z Запускаем Squid
Поднятие криптошлюза на базе Континент-АП 3.6 и PfSense
Как-то нашей больнице понадобилось создать защищённое соединение с МИАЦ, да не просто подключить один компьютер на пару часов, а так чтобы были подключены все компьютеры сети всегда. Для решения этой задачи соседние больницы уже давно используют аппаратный криптошлюз версии 3.6 и вообще не парятся, но сейчас он снят с производства и его нигде не достать, а новая версия не совместима с версией 3.6. Предлагают единственный выход покупать на каждого пользователя отдельно КРИПТО-ПРО + Континент АП 3.6 и получать целую кучу сертификатов. Это совсем не дело и я решил попробовать расшарить соединение Континента-АП, установленного на одном компьютере, т.е. создать как-бы криптошлюз на базе Континент-АП 3.6. Вопреки некоторым сообщениям что это невозможно, не поддерживается и прочее, у меня всё-таки получилось. Делюсь: Имеем системный блок с установленной Windows XP. Устанавливаем КРИПТО-ПРО_3.6_R4, вводим заранее приобретенный лицензионный ключ. Устанавливаем Континент АП 3.6.19.47080 с межсетевым экраном. Установка защищённого канала связи с КГБУЗ «МИАЦ» МЗ ХК посредствам…
проблема Squid Proxy Reports в pfSense 2.3
По многочисленным просьбам я тоже обновил свой pfSense до версии 2.3 чтобы побороться со Squid Proxy Reports. Напишу всю последовательность, чтобы ничего не упустить. Вот что из этого вышло: Ну, как оказалось, IPCAD после обновления никуда не делся и остался на своём месте. Почему он исчез из репозиториев — не знаю, но нам это не важно. Через WinSCP открыл /var/squid/logs и очистил содержание access.log Обнаружил что Squid туда в принципе ничего не пишет Залез в System -> Package Manager -> Installed Packages переустановил Lightsquid, не помогло Заметил что в Services -> Proxy server снята галочка Check to enable the Squid proxy, — поставил, но сохранить не получилось, говорит надо настроить Local Cache Захожу во вкладку Local Cache и, ничего не меняя, нажимаю Save. Затем снова во вкладку General, ставлю галку Check to enable the Squid proxy, сохраняю, всё нормально. Перезагружаюсь. После этого в файле access.log начинают появляться записи. Спустя пару…
8. pfSense ограничение скорости пользователей
Внимание! Эта статья разделена на две части: В первой части я изучаю ограничение скорости на тестовой сети из одного pfSense v.: 2.1.5 и двух клиентских компьютеров. pfSense в этом случае чистый, т.е. все действия выполняются на только что установленном pfSense v.: 2.1.5. Отмечу, что хоть данная часть и написана для pfSense версии 2.1.5, в версии 2.2.6 — всё делается точно так же. Можете не повторять то что в ней написано, это лишь для понимания процесса. Во второй части я применяю полученные знания на моём pfSense, копорый я описываю начиная с первой статьи. Часть I. Изучение Судя по бурному обсуждению на интернет-форумах темы ограничения скорости пользователей, данная задача не такая уж и простая. Основная проблема — ограничение скорости torrent клиентов, которые забивают всю сеть. При этом в интернете отсутствует доступная инструкция об ограничении трафика пользователей, включающей в себя pfSense шейпинг для HTTP, HTTPS, torrent и всего остального. Похоже я сейчас стану…
7. pfSense авторизация по MAC
Теперь задача такая: Доступ к интернету должен быть не у всех, а только у указанных компьютеров. Указанные компьютеры должны идентифицироваться по MAC + IP pfSense авторизация по MAC На самом деле авторизация по MAC в pfSense не предусмотрена, но зато он может присваивать определённые IP-адреса конкретным MACам и проверять строгое соответствие MAC + IP (если соответствие нарушено, то pfSense такие компьютеры не обслуживает). Для решения поставленной задачи нам нужно переходить на статические IP клиентских машин (по крайней мере для тех машин, что будут иметь доступ в интернет). Поэтому рисуем на бумаге карту сети организации и присваиваем каждому компьютеру свой неповторимый IP-адрес. У меня карта получилась такая: Служебные: 0-9 ЛТМ: Левое крыло: 2 эт: 10-29 1 эт: 30-49 Правое крыло: 1 эт: 50-69 2 эт: 70-99 Гл.корпус: Подвал: 100-109 1 эт: 110-149 Отделения: 1: 150-159 2: 160-169 3: 170-179 4: 180-189 5: 190-199 Свободные: 200-244 Служебные: 245-255 Все компьютеры находятся в…
6. Интеграция pfSense в рабочую сеть
Для продолжения настройки нашего сервера нужно произвести его интеграцию в рабочую сеть предприятия. Так как на данном этапе я всё-же не могу заменить свой DIR-300, то сделаю иначе: между внутренней сетью предприятия и pfSense поставлю роутер, который будет брать интернет по адресу 192.168.0.50, а отдавать по адресу 178.214.11.254 (такой же как и шлюз моего провайдера). Заходим теперь Interfaces -> WAN и меняем настройки для подключения к установленному роутеру. Я сделал настройки LAN-порта роутера такими же как у моего провайдера. Поэтому потом можно будет выдернуть провода из моего старенького DIR-300 и вставить в pfSense и, теоретически, должно работать. IPv4 Configuration Type -> Static IPv4 MTU -> 1400 IPv4 address -> 178.214.11.10 (мой провайдер сказал что такой IP должен быть у клиента) Маска 16, что соответствует 255.255.0.0 В строке IPv4 Upstream Gateway жмём Add a new one в поле Gateway IPv4 указываем 178.214.11.254 (IP-адрес шлюза моего провайдера) Ставим галочку Block private networks…
5. Настройка прокси в pfSense
Теперь нам нужно раздавать всем пользователям интернет через прокси сервер и вести учет посещаемых сайтов. Как я определился ранее прокси сервер будет прозрачным Статистика по трафику должна собираться по всем соединениям, а не только по http Статистика должна отображаться в понятном виде — кто когда куда ходил и сколько оттуда скачал 1. Устанавливаем необходимые пакеты Идём в WEB-интерфейс, System -> Packages -> вкладка Available Packages. Устанавливаем пакеты Squid (не путать со Squid3!) и Lightsquid (для отображения статистики). После успешной установки во вкладке Installed Packages должны появиться эти два пакета. 2. Теперь настроим Squid Идём Services -> Proxy server Выбираем сетевой интерфейс на котором будет работать прокси — это LAN Ставим галочку Allow users on interface. По непроверенным данным если не поставить этот флажок, то к нашему прокси серверу можно будет подключиться через интернет. А нам это надо? Нет. Ставим галку Transparent proxy Ставим галку Enable logging. Это для…
4. Настройка L2TP в pfSense
Сейчас будем создавать L2TP сервер для нашего pfSense. Для чего это нужно? Наша организация имеет небольшой филиал где находится 3 компьютера. Задача следующая — связать в единую сеть компьютеры организации и филиала. В идеале картина должна быть такая: Но так как пока мы только настраиваем и тестируем наш новый pfSense, то имеем это (почему именно это — мы разбирали в предыдущих статьях): Итак приступим. За основу я взял инструкцию отсюда: https://doc.pfsense.org/index.php/L2TP/IPsec, но тут она написана для более ранней версии pfSense поэтому есть некоторые неточности. Нам нужно чтобы с любого рабочего компьютера сети предприятия можно было установить защищенное L2TP/IPsec соединение с внутренней сетью 192.168.2.0/24. Замечу сразу, что в нашем случае, при таком IP адресе WAN интерфейса — 192.168.0.50 (что принадлежит диапазону частных сетей), необходимо снять галку Block private networks разделе Interfaces -> WAN -> раздел Private networks (смотри предыдущие статьи) Настройка L2TP pfSense Конфигурирование L2TP-сервера Заходим в WEB-интерфейс, идём VPN…
3. Настройка pfSense (разрешить ICMP)
Итак, теперь мы имеем работающий pfSense на отдельном компьютере. Как это выглядит: WAN (смотрит в инет) — на первое время подключен в локальную сеть предприятия, где свободно гуляет интернет раздаваемый роутером DIR-300 на адресе 192.168.0.254. IP-адрес WAN-интерфейса = 192.168.0.50 (назначился автоматом при помощи DHCP роутера) LAN (смотрит во вновь созданную локальную сеть 192.168.2.0/24). IP-адрес pfSense в локальной сети = 192.168.2.253 (назначен статически) Знакомство с pfSense Отныне будем работать на Клиенте с IP-адресом 192.168.2.3. Открываем в браузере адрес 192.168.2.253. Принимаем риск и добавляем в исключения. Вводим: admin pfsense Загружается Wizard (мастер настройки), игнорируем его нажатием на логотип pfSense и выходим в WEB-интерфейс настройки Заходим Status -> Interfaces и смотрим настройки сетевых интерфейсов: Теперь попробуем на клиенте пропинговать следующие адреса: 192.168.2.253 (адрес нашего шлюза pfSense) 192.168.0.50 (внешний адрес нашего шлюза pfSense) 192.168.0.254 (внутренний адрес DIR-300) IP-адрес любого компьютера в рабочей сети Адрес любого сайта в интернете Все пинги должны проходить успешно, интернет…
2. Установка pfSense
Итак ставить буду pfSense ver.: 2.2.6 на старенький комп с одноядерным процессором 1,8 Ггц, оперативкой DDR2 — 512 Мб, жестким диском SATA — 80 Гб, двумя сетевыми картами по 100 Мбит/сек (встроенная + PCI). Подготовительная часть Для начала качаем дистрибутив с официального сайта. 1. Жмем Download 2. Жмём кнопку INSTALL (возможно сейчас уже более свежая версия) 3. Теперь отвечаем на вопросы: Computer Architecture: i386 (32-bit) (тут должно соответствовать вашей архитектуре компьютера) Platform: Live CD with Installer (on USB Memstick) (образ буду писать на USB) Console: VGA (для установки на компьютер с монитором) Кстати, у зеркал разная скорость, поэтому если медленно грузит — выбирай другой 4. Окей, скачали файл 4pfSense-memstick-2.2.6-RELEASE-i386.img.gz (ну или более актуальную версию). Открываем архив в 7zip или любом другом архиваторе, извлекаем файл с расширением .img Теперь берём программу RosaImageWriter и записываем образ на флешку 5. Втыкиваем флешку в компьютер и загружаемся с неё Первая часть установки…