Помогите настроить Билайн IPoE на pfSense 2.4.0
-
Спасибо, что откликнулись, pigbrother.
С внешним адресом, на мой взгляд, некая странность, маска подсети меня смущает:
WAN (wan) -> igb0 -> v4/DHCP4: 100.112.15.179/17 LAN (lan) -> igb1 -> v4: 192.168.1.1/24 OPT1 (opt1) -> igb2 -> OPT2 (opt2) -> igb3 ->Да, и из командной строки FreeBSD под рутом интернет не пингуется (к примеру, 8.8.8.8 ).
Сейчас у меня интернет работает через ASUS RT-N66U. Если провод воткнуть напрямую в клиентский компьютер – ну, честно говоря, сейчас не смотрел, неудобно подключаться, но некоторое время назад работал и напрямую, уверен, что и сейчас будет. Да, и через ASUS у меня внешний IP другой -- 95.28.10.xxx. Смотрю в Асусе на настройки подключения -- настроек нет никаких вообще, просто подключен по Automatic IP и всё. И всё работает. Да и напрямую в компьютер так же было -- просто подключал, и работало.
Может быть, в файрволе pfSense надо какое-нибудь правило прописать? Я этого не делал, но сейчас попробовал -- все равно не работает (возможно, неправильно прописал).
Edit:
Аа, ну, кстати, посмотрел сейчас этот айпи:
NetRange: 100.64.0.0 - 100.127.255.255 CIDR: 100.64.0.0/10 NetName: SHARED-ADDRESS-SPACE-RFCTBD-IANA-RESERVED NetHandle: NET-100-64-0-0-1 Parent: NET100 (NET-100-0-0-0-0) NetType: IANA Special UseЧто-то тут не так, явно. У меня с настройками что-то не так.
-
Выданный вам 100.112.15.179 - "серый", используется провайдерами при организации carrier grade nat.
https://en.wikipedia.org/wiki/Carrier-grade_NAT
Маска /17 пусть не смущает, провайдер так сегментирует свою сеть.Смотрю в Асусе на настройки подключения – настроек нет никаких вообще
Да, их и не должно быть. Не привязывается ли Билайн к МАСу сетевой карты?
Теоретически можно подменить на pfSense MAC на подсмотренный у RT-N66UМожет быть, в файрволе pfSense надо какое-нибудь правило прописать?
Должно создастся автоматом правило на LAN:
IPv4 * LAN net * * * * none Default allow LAN to any rule
Этого правила в 99,99% достаточно.
Еще раз:
Block private networks and loopback addresses и Block bogon networks на WAN сняты? -
IPoE в билайне настаивается просто.
Нужно на pf получить адрес по dhcp, он будет 100…
На pf не нужно делать никаких настроек, должен работать только nat на lan.
Теперь берем комп, подключаем к lan pf и идем на любой сайт.
Вместо сайта Вас перекинет на страничку авторизации билайна.
Вводите данные своего акаунта и ждете не менее 10 минут (время аренды адресов dhcp)
В этот момент происходит привязка Васшего мака на порту провайдера, а ранее работавшее устройство отвязвыается.
По истечении времени, если dhcp не словил новый адрес физически переподключаемся к сети, получаем новый ip адрес и все должно заработать. -
Так, появился интернет.
Я уж тут всё на свете перепробовал. Менял местами интерфейсы (мало ли, компьютер новый, китайский, вдруг что-то не работает :), хотя, в общем-то, было понятно, что работает). Заново переназначал интерфейсы, теперь не вручную, а через автоматическое определение (при этом не стал конфигурировать два пустых порта). Вчера еще пробовал снимать галки с Block private networks and loopback addresses и Block bogon networks, не помогало.
В общем, зашел сейчас на свой ASUS по SSH, посмотрел MAC-адрес, подставил его в pfSense, снял галки с Block private networks and loopback addresses и Block bogon networks – заработало. Сразу же получил от провайдера свой старый IP, тот же, что на Асусе, и интернет заработал. Ураа!!! Спасибо огромное, брат pigbrother! :) Кстати, вроде бы раньше у Билайна привязки к MAC-адресу не было. Просто при подключении нового устройства он заново запрашивал логин-пароль подключения к сети, и всё. Не знаю уж, что в этот раз ему не нравилось.
Подскажи еще, пожалуйста, такую вещь (можно на "ты"? ничего?). Я, когда этот четырехпортовый компьютер выбирал, думал, что включу в его порты как бы три подсегмента своей домашней сети -- два свитча и свой Асус для раздачи Wi-Fi. Но где-то здесь на форуме увидел краем глаза, что так делать не следует, не надо возлагать на компьютер роль коммутатора, поскольку вся коммутация пойдет через процессор. Поэтому, как я понимаю, мне нужно включить в LAN-порт один свитч, а в него уже второй свитч, а также мой Асус. Правильно?
Второй вопрос. У меня сейчас (до этого момента) на Асусе работал OpenVPN-клиент, точнее, два клиента -- TCP и UDP (на Асусе стоит прошивка Asuswrt-Merlin). В общем, всё это хозяйство сильно подтормаживало, и, хотя вроде бы всё и работало, но через web-интерфейс до каких-то настроек Асуса было не достучаться. Поэтому, собственно, и задумался о новом маршрутизаторе.
Так вот. Асус мне подключал к OpenVPN только определенные клиентские хосты, которые я указал в настройках. Остальные же работали напрямую, без VPN. Подскажи, пожалуйста, в pfSense я могу реализовать подобный же функционал -- OpenVPN с выборочным подключением локальных хостов?
-
Buch, большое спасибо за подсказку. Вроде справился уже.
Кстати, у меня в файрволе pfSense вообще нет никаких правил сейчас. Это нормально?
-
На lan есть разрешающие правила "из коробки" для доступа к gui и выпускающее всех наружу.
Что должно быть - зависит от Ваших задач. -
Кстати, вроде бы раньше у Билайна привязки к MAC-адресу не было.
Зато когда-то было чудовищно неудобное подключение L2TP
что так делать не следует, не надо возлагать на компьютер роль коммутатора, поскольку вся коммутация пойдет через процессор
Общее правило - да.
Поэтому, как я понимаю, мне нужно включить в LAN-порт один свитч, а в него уже второй свитч, а также мой Асус. Правильно?
Зачем 2 свитча? Достаточно одного. Более того, если устройств LAN мало, пока вместо свитча можно использовать RT-N66U. Переведите его в режим точки доступа (Это - отключение его DHCP в первую очередь и файрволла), подключите LAN порт RT-N66U не WAN! к LAN pfSense и получите 3 Гигабитных порта + WiFi, все в единой сети и с доступом в интернет.
Для доступа к настройкам RT-N66U дайте ему IP из сети 192.168.1.1/24, не пересекающийся с задействованными в сети и выдаваемыми pfSense по DHCP.Так вот. Асус мне подключал к OpenVPN только определенные клиентские хосты, которые я указал в настройках. Остальные же работали напрямую, без VPN. Подскажи, пожалуйста, в pfSense я могу реализовать подобный же функционал – OpenVPN с выборочным подключением локальных хостов?
Имеется в виду, чтобы определенные хосты LAN ходили в интернет через OpenVPN? Если так - безусловно сможете.
-
Большое спасибо за ответы! Со мной можно на "ты", без церемоний, так значительно удобнее.
К сожалению, четырех LAN-портов Асуса мне не хватит для коммутации. Все равно придется к pfSense подключать свитч, в который уже включать Асус и второй свитч (второй просто стоит на удалении, и в него включено несколько устройств). Можно наоборот, в pfSense включить Асус, а в него два свитча, не знаю, как лучше.
Да, и вот такой вопрос. В Асусе в настройках клиентов OpenVPN есть опция, что в случае отсутствия подключения к OpenVPN клиентские хосты, имеющие доступ в интернет через OpenVPN, не будут иметь доступа в интернет вообще. То есть, те хосты, которые должны ходить в интернет через OpenVPN, будут ходить в интернет только так и никак иначе. Я надеюсь, в pfSense есть такая же возможность конфигурации OpenVPN-клиентов?
-
Можно наоборот, в pfSense включить Асус, а в него два свитча, не знаю, как лучше.
Каскадируйте свитчи как удобно. Но желательно, чтобы устройства, генерирующие большой трафик типа копирования HD-видео, были включены в один, желательно максимально производительный свитч.
-
Со свитчами и Асусом разобрался, всё работает, Wi-Fi тоже работает, в DHCP прописал всю привязку статических адресов локальных хостов, вроде с этим всё нормально.
Но! Теперь возникла еще одна проблема, с которой пока не разобрался.
Этот… хм... пардон... pfSense подменяет мне TLS-сертификаты от Let's Encrypt на какие-то левые собственные. У меня в локальной сети есть web-сервер, на котором работают кое-какие веб... не знаю, как назвать... службы, которые должны быть доступны извне, в частности, к примеру, Nextcloud. Я настроил Port Forwarding HTTP и HTTPS на соответствующий локальный хост. На Асусе у меня такая штука работала без проблем. Здесь же pfSense при обращении к нему .... аааа, кажется, сообразил. На Асусе веб-интерфейс самого Асуса работал через нестандартный порт. Сейчас попробую на pfSense сделать аналогично.
Edit:
Настроил веб-интерфейс pfSense через HTTPS port 8443. Лучше не стало. Всё равно при обращении к портам 80 и 443 пытается отдавать свои сертификаты. Как от этого избавиться?
Edit2:
Он теперь, оказывается, делает еще хуже. Форвардит все HTTP и HTTPS на порт 8443. Сейчас попробую правила пересоздать заново.
Edit3:
Не понимаю, Port Forwarding не работает так, как требуется. В System / Advanced / Admin Access для webConfigurator указан
Protocol HTTPS
TCP port 8443Сам веб-интерфейс pfSense работает через https://192.168.1.1:8443 , с этим всё нормально.
Но при этом он нормально настроенные правила Port Forwarding для HTTP и HTTPS пытается форвардить на тот же порт 8443. Что за ерунда? Ну, сейчас попробую просто в явном виде порты прописать вместо HTTP и HTTPS.
Edit 4:
Не работает. Не понимаю пока, в чем дело. Похоже, не форвардится ничего. Не вижу на целевом хосте никаких обращений. Как настроить такую штуку, кто-нибудь знает? Чтобы 80 и 443 порты нормально форвардились на локальный хост без вмешательства pfSense? Демилитаризованную зону прошу не предлагать, на том хосте еще и локальные сервисы работают. На Асусе с этим не было абсолютно никаких проблем. С pfSence сплошные проблемы. Как решить? Подскажите, пожалуйста.
Edit 5:
Возникает большое желание снести эту … хм... pfSense, поставить нормальную FreeBSD и попробовать сконфигурировать всё вручную, безо всяких веб-интерфейсов. В pfSense, конечно, всё красиво, но не работает так, как требуется. Во всяком случае, пока. Если в ближайшее время не удастся настроить pfSense, то, пожалуй, так и сделаю. Никогда подобных вещей вручную не конфигурировал, но я прежде много чего никогда не делал из всего того, что делаю сейчас.
Samba-сервер на том же локальном хосте, кстати, тоже недоступен в локальной сети. Сейчас хоть его попробую открыть в файрволе.