Вопросы новичка по pfsense

luha

@farwork Тут уж всё зависит от нужности и важности работы вашего pf сервера и задач, возложенных на него. Подойдёт даже самый дешёвый за 10-15 долларов роутер из ближайшего супермаркета. Я в последний раз когда ездил на отдых и в номере плохо добивало просто купил первый попавшийся самый дешёвый (и оставил для следующих когда съезжал). На коробке пишут что он умеет. Основные функции встречающиеся в роутерах - как точка доступа, как репитер, как сетевая карта, как роутер, как мост... кстати ещё можно VPN на роутерах настраивать и удобно через них соединять сети по-быренькому, чтоб дёшево и сердито. Но понятно что в большой конторе на важных точках такое недопустимо.

P.S. Если ты внутрь адаптер захочешь ставить он ни дешевле не получится ни надёжнее. Это к размышлению о целесообразности и инвестициях. Адаптер воткнёшь должен определиться в системе как карточка сетевая, но пароли и другие настройки надо делать в OS компьютера, в крайнем случае (если вебморда не достаточно продвинута) придётся в конфигах руками. Мне кажется проще или внешний роутер или провод дотянуть.

farwork

@luha said in Вопросы новичка по pfsense:

@farwork Тут уж всё зависит от нужности и важности работы вашего pf сервера и задач, возложенных на него. Подойдёт даже самый дешёвый за 10-15 долларов роутер из ближайшего супермаркета. Я в последний раз когда ездил на отдых и в номере плохо добивало просто купил первый попавшийся самый дешёвый (и оставил для следующих когда съезжал). На коробке пишут что он умеет. Основные функции встречающиеся в роутерах - как точка доступа, как репитер, как сетевая карта, как роутер, как мост... кстати ещё можно VPN на роутерах настраивать и удобно через них соединять сети по-быренькому, чтоб дёшево и сердито. Но понятно что в большой конторе на важных точках такое недопустимо.

P.S. Если ты внутрь адаптер захочешь ставить он ни дешевле не получится ни надёжнее. Это к размышлению о целесообразности и инвестициях. Адаптер воткнёшь должен определиться в системе как карточка сетевая, но пароли и другие настройки надо делать в OS компьютера, в крайнем случае (если вебморда не достаточно продвинута) придётся в конфигах руками. Мне кажется проще или внешний роутер или провод дотянуть.

Уже пробую 4й не один из них не умеет быть клиентом с eap авторизацией тоесть по логину и паролю.. Только сервером в этом то вся проблема. Какой у вас что он точно работает? может попробую заказать

luha

@farwork Может ты не разобрался в настройках, проверь внимательно. Если на руках у тебя несколько роутеров более-менее современных то точно какой-то или даже все будут работать как внешняя карта.

Сейчас особо нет работы и специально не поленился сходить на склад. Взял первый попавшийся роутер, явно из ашана куплен был для каких-то мимолётных целей и валяется, даже коробку прос... потеряли. Модель "mercusys mw305r". Скинул настройки, подключил проводом с гнёзд на локалку роутера (не к гнезду WAN) к компьютеру и попробовал настроить. Ну что сказать - тупейший интерфейс на первый взгляд. В basic режиме нет никаких настроек нужных. Переключил в advance и... тоже ничего сразу не увидел. Но потом потыкал две минуты и в закладке wireless вижу - "WDS Bridging"! Вуаля - это то что нам и нужно. И тут даже конкретно подсказывают "With WDS enabled, the router can bridge with another router (the root router) to extend its wireless network.".

Ты ничего такого не увидел в настройках? И в расширенном режиме посмотрел? И внимательно искал? ;)

luha

@farwork Если купить AP (Access Point) вместо роутера то вероятность наличия нужных настроек гораздо выше. Эти устройства по сути для этого и сделаны, часто даже не умеют роутером быть.

werter

@farwork
Давайте сначала.

Откуда взялась ЕАР-авторизация? Это какой-то провайдер, к-ый дает доступ по ви-фи?

pigbrother

@werter said in Вопросы новичка по pfsense:

Это какой-то провайдер, к-ый дает доступ по ви-фи?

Возможно ТС хочет раздавать Wi-Fi у себя в офисе используя EAP?

werter

@pigbrother

Возможно ТС хочет раздавать Wi-Fi у себя в офисе используя EAP?

быть подключённым к сети через нее 2м каналом и брать с нее интернет авторизуюсь по EAP тоесть логин и пароль. Сечас все подключено но через вин комп который подключен к этой сети а потом уже через лан по кабелю отдает пфсенсу интернет этот

pigbrother

@werter said in Вопросы новичка по pfsense:

Сечас все подключено но через вин комп который подключен к этой сети а потом уже через лан по кабелю отдает пфсенсу интернет этот

да, был невнимателен.

pigbrother

@farwork said in Вопросы новичка по pfsense:

тоесть логин и пароль

Все же уточню. Логин и пароль вводятся в точке доступа или в некой форме авторизации при попытке зайти на сайт?

werter

@pigbrother
Логин и пасс вводятся при подключении к ТД провайдера.
EAP + Radius auth, скорее всего.

@farwork
В опенврт возможность подключения по логину и паролю появляется после установки полноценного пакета wpad вместо урезанного wpad-а, к-ый исп-ся по умолчанию.
Можно попробовать wpad-basic - https://openwrt.org/packages/pkgdata/wpad-basic

Для работы в режиме моста установить пакет relayd.

pigbrother

@werter said in Вопросы новичка по pfsense:

Логин и пасс вводятся при подключении к ТД провайдера.

Я в курсе.

Хотел уточнить это у ТС. Тк не ясной кажется конструкция

@farwork said in Вопросы новичка по pfsense:

Сечас все подключено но через вин комп который подключен к этой сети а потом уже через лан по кабелю отдает пфсенсу интернет этот

farwork

@werter said in Вопросы новичка по pfsense:

@pigbrother
Логин и пасс вводятся при подключении к ТД провайдера.
EAP + Radius auth, скорее всего.

@farwork
В опенврт возможность подключения по логину и паролю появляется после установки полноценного пакета wpad вместо урезанного wpad-а, к-ый исп-ся по умолчанию.
Можно попробовать wpad-basic - https://openwrt.org/packages/pkgdata/wpad-basic

Для работы в режиме моста установить пакет relayd.

Тут все верно отписали. Провайдер задает EAP + Radius auth и уйти я не могу от этого.. Сейчас пробую доустановить пакеты wpad. а точно нужен он? Да у меня была версия мини. Но большой зараза не входит в память точки.. А гугл пишет что это Web Proxy Auto-Discovery Protocol вроде как для прокси штука. поищу точку с памятью побольше конечно попробую

farwork

@luha said in Вопросы новичка по pfsense:

Ты ничего такого не увидел в настройках? И в расширенном режиме посмотрел? И внимательно искал? ;)

Дело в авторизации.. я не могу обойти еап в этом вся проблемма

werter

@farwork

Надо удалить wpad и установить wpad-basic. Это касается оврт версии 19.х В 18-й прийдется пользовать полноценный пакет wpad.
Как вариант, обойтись без Luci, если осилите.

https://openwrt.org/docs/guide-user/network/wifi/encryption

Что у вас за железка? Полное название и ревизия (на попе у железки).

farwork

@werter said in Вопросы новичка по pfsense:

@farwork

Надо удалить wpad и установить wpad-basic. Это касается оврт версии 19.х В 18-й прийдется пользовать полноценный пакет wpad.
Как вариант, обойтись без Luci, если осилите.

https://openwrt.org/docs/guide-user/network/wifi/encryption

Что у вас за железка? Полное название и ревизия (на попе у железки).

Сейчас колупаю TP-Link TL-WA701N/ND v1 на ней OpenWrt 18.06.9
Мне похоже нужно вбить подобные настройки туда. Нашел куда. /etc/config/wireless.. Вопрос как вытащить сертификат из точки или с компа с виндой теперь

network = {
ssid="Company WPA2 EAP"
key_mgmt=WPA-EAP
pairwise=TKIP
group=TKIP
eap=PEAP
identity="username@domain"
password="your_passphrase"
ca_cert="/etc/cert/ca.pem"
phase1="peapver=0"
phase2="MSCHAPV2"
}

werter

@farwork
Пакет wpad установили ?

farwork

@werter said in Вопросы новичка по pfsense:

@farwork
Пакет wpad установили ?

Нет.. не влазит. Без него бесполезно? Сразу не обратил внимание но формат то не совпадает. у меня сейчас там
config wifi-device 'radio0'
option type 'mac80211'
option hwmode '11g'
option path 'pci0000:00/0000:00:00.0'
option country 'US'
option legacy_rates '1'
option txpower '18'
option htmode 'HT20'
option disabled '0'
option channel '1'

config wifi-iface 'default_radio0'
option device 'radio0'
option network 'lan'
option mode 'ap'
option encryption 'psk2'
option key 'пароль'
option disassoc_low_ack '0'
option ssid 'wifi2'

config wifi-iface
option network 'wwan'
option ssid 'metodcenter'
option encryption 'psk2'
option device 'radio0'
option mode 'sta'
option bssid 'E8:28:C1:E2:05:61'

luha

@farwork Вот оно как. Подумал у вас там обычный компьютер настроили для pf и хотите поставить в офисе после модема/роутера провайдера для организации локалки. А оказывается на OWRT железка.

Если не секрет, зачем вообще понадобился pf, с какой целью?

farwork

@luha said in Вопросы новичка по pfsense:

@farwork Вот оно как. Подумал у вас там обычный компьютер настроили для pf и хотите поставить в офисе после модема/роутера провайдера для организации локалки. А оказывается на OWRT железка.

Если не секрет, зачем вообще понадобился pf, с какой целью?

не совсем так. у меня 2 канала от провайдера. 1 простой кабель а 2й только по вифи с этой еап авторизацией. Пфсенс как раз и нужен для объединения. Хотя до появления 2го канала он уже года 2 как занимался раздачей интернета. А до него еще был ipcop. OWRT железка пытается добавится сейчас для того чтобы уйти от промежуточного виндовс компа который делатет из вифи интрнета с ЕАП обычный кабельный который уже идет в ПФсенс 2м каналом.
В обдем я так понял чтобез установки полного пакета wpad у меня не выйдет ничего так как нужен Client support WPA Enterprise а его в мини версии пакета нет. ищю девайс помощнее сейчас

luha

@farwork У нас тоже два основных канала. На самом деле даже больше, но это не важно. Ещё недавно был другой сервер-роутер, который работал много лет и морально и физически устал, поэтому заменили. Решили pf попробовать. И что же оказалось? Оказалось что нет в pf адекватной балансировки и актуально у нас считай два независимых канала, очень условно сведённых в одно устройство и сеть. Так что не знаю, может вы там ещё подумайте как лучше сделать. На старом роутере балансировалось вообще отлично, только главное было прокси не включать. С прокси понял что эта штука сама по себе требует отдельного шкафа, чтобы оно нормально работало.