Помогите настроить Билайн IPoE на pfSense 2.4.0



  • Ребята, спасайте.  Купил на Алиэкспрессе китайский мини PC с четырьмя LAN-портами.  Поставил pfSense 2.4.0-RC, всё запустилось, вроде всё прекрасно.  Подключаюсь к Билайну по DHCP, получил внешний IP, но интернета нет.

    Долго искал по интернету, много описаний, как настраивать L2TP, но не нашел ничего про IPoE.  Я, честно говоря, впервые имею дело с pfSense, пожалуйста, помогите.



  • IPoE=DHCP=идеальный вариант доступа\авторизации.

    Полученный адрес - белый?
    Не
    https://ru.wikipedia.org/wiki/Частный_IP-адрес
    И не
    100.64.х.х?
    https://tools.ietf.org/html/rfc6598

    Если не белый - снимите галки Block private networks and loopback addresses и Block bogon networks на WAN.

    Если воткнуть кабель напрямую в ПК - интернет есть?



  • Спасибо, что откликнулись, pigbrother.

    С внешним адресом, на мой взгляд, некая странность, маска подсети меня смущает:

    
     WAN (wan)       -> igb0       -> v4/DHCP4: 100.112.15.179/17
     LAN (lan)       -> igb1       -> v4: 192.168.1.1/24
     OPT1 (opt1)     -> igb2       ->
     OPT2 (opt2)     -> igb3       ->
    
    

    Да, и из командной строки FreeBSD под рутом интернет не пингуется (к примеру, 8.8.8.8 ).

    Сейчас у меня интернет работает через ASUS RT-N66U.  Если провод воткнуть напрямую в клиентский компьютер – ну, честно говоря, сейчас не смотрел, неудобно подключаться, но некоторое время назад работал и напрямую, уверен, что и сейчас будет.  Да, и через ASUS у меня внешний IP другой -- 95.28.10.xxx.  Смотрю в Асусе на настройки подключения -- настроек нет никаких вообще, просто подключен по Automatic IP и всё.  И всё работает.  Да и напрямую в компьютер так же было -- просто подключал, и работало.

    Может быть, в файрволе pfSense надо какое-нибудь правило прописать? Я этого не делал, но сейчас попробовал -- все равно не работает (возможно, неправильно прописал).

    Edit:

    Аа, ну, кстати, посмотрел сейчас этот айпи:

    
    NetRange:       100.64.0.0 - 100.127.255.255
    CIDR:           100.64.0.0/10
    NetName:        SHARED-ADDRESS-SPACE-RFCTBD-IANA-RESERVED
    NetHandle:      NET-100-64-0-0-1
    Parent:         NET100 (NET-100-0-0-0-0)
    NetType:        IANA Special Use
    
    

    Что-то тут не так, явно.  У меня с настройками что-то не так.



  • Выданный вам 100.112.15.179 - "серый", используется провайдерами при организации carrier grade nat.
    https://en.wikipedia.org/wiki/Carrier-grade_NAT
    Маска /17 пусть не смущает, провайдер так сегментирует свою сеть.

    Смотрю в Асусе на настройки подключения – настроек нет никаких вообще
    Да, их и не должно быть. Не привязывается ли Билайн к МАСу сетевой карты?
    Теоретически можно подменить на pfSense MAC на подсмотренный у RT-N66U

    Может быть, в файрволе pfSense надо какое-нибудь правило прописать?

    Должно создастся автоматом правило на LAN:

    IPv4 * LAN net * * * * none   Default allow LAN to any rule

    Этого правила в 99,99% достаточно.

    Еще раз:
    Block private networks and loopback addresses и Block bogon networks на WAN сняты?



  • IPoE в билайне настаивается просто.
    Нужно на pf получить адрес по dhcp, он будет 100…
    На pf не нужно делать никаких настроек, должен работать только nat на lan.
    Теперь берем комп, подключаем к lan pf и идем на любой сайт.
    Вместо сайта Вас перекинет на страничку авторизации билайна.
    Вводите данные своего акаунта и ждете не менее 10 минут (время аренды адресов dhcp)
    В этот момент происходит привязка Васшего мака на порту провайдера, а ранее работавшее устройство отвязвыается.
    По истечении времени, если dhcp не словил новый адрес физически переподключаемся к сети, получаем новый ip адрес и все должно заработать.



  • Так, появился интернет.

    Я уж тут всё на свете перепробовал. Менял местами интерфейсы (мало ли, компьютер новый, китайский, вдруг что-то не работает :), хотя, в общем-то, было понятно, что работает). Заново переназначал интерфейсы, теперь не вручную, а через автоматическое определение (при этом не стал конфигурировать два пустых порта). Вчера еще пробовал снимать галки с Block private networks and loopback addresses и Block bogon networks, не помогало.

    В общем, зашел сейчас на свой ASUS по SSH, посмотрел MAC-адрес, подставил его в pfSense, снял галки с Block private networks and loopback addresses и Block bogon networks – заработало.  Сразу же получил от провайдера свой старый IP, тот же, что на Асусе, и интернет заработал.  Ураа!!!  Спасибо огромное, брат pigbrother!  :)  Кстати, вроде бы раньше у Билайна привязки к MAC-адресу не было.  Просто при подключении нового устройства он заново запрашивал логин-пароль подключения к сети, и всё.  Не знаю уж, что в этот раз ему не нравилось.

    Подскажи еще, пожалуйста, такую вещь (можно на "ты"? ничего?).  Я, когда этот четырехпортовый компьютер выбирал, думал, что включу в его порты как бы три подсегмента своей домашней сети -- два свитча и свой Асус для раздачи Wi-Fi.  Но где-то здесь на форуме увидел краем глаза, что так делать не следует, не надо возлагать на компьютер роль коммутатора, поскольку вся коммутация пойдет через процессор.  Поэтому, как я понимаю, мне нужно включить в LAN-порт один свитч, а в него уже второй свитч, а также мой Асус.  Правильно?

    Второй вопрос.  У меня сейчас (до этого момента) на Асусе работал OpenVPN-клиент, точнее, два клиента -- TCP и UDP (на Асусе стоит прошивка Asuswrt-Merlin). В общем, всё это хозяйство сильно подтормаживало, и, хотя вроде бы всё и работало, но через web-интерфейс до каких-то настроек Асуса было не достучаться.  Поэтому, собственно, и задумался о новом маршрутизаторе.

    Так вот. Асус мне подключал к OpenVPN только определенные клиентские хосты, которые я указал в настройках.  Остальные же работали напрямую, без VPN.  Подскажи, пожалуйста, в pfSense я могу реализовать подобный же функционал -- OpenVPN с выборочным подключением локальных хостов?



  • Buch, большое спасибо за подсказку.  Вроде справился уже.

    Кстати, у меня в файрволе pfSense вообще нет никаких правил сейчас.  Это нормально?



  • На lan есть разрешающие правила "из коробки" для доступа к gui и выпускающее всех наружу.
    Что должно быть - зависит от Ваших задач.



  • Кстати, вроде бы раньше у Билайна привязки к MAC-адресу не было.

    Зато когда-то было чудовищно неудобное подключение L2TP

    что так делать не следует, не надо возлагать на компьютер роль коммутатора, поскольку вся коммутация пойдет через процессор

    Общее правило - да.

    Поэтому, как я понимаю, мне нужно включить в LAN-порт один свитч, а в него уже второй свитч, а также мой Асус.  Правильно?

    Зачем 2 свитча? Достаточно одного. Более того, если устройств LAN мало, пока вместо свитча можно использовать RT-N66U. Переведите его в режим точки доступа (Это - отключение его DHCP в первую очередь и файрволла), подключите LAN порт RT-N66U  не WAN! к LAN pfSense и получите 3 Гигабитных порта + WiFi, все в единой сети и с доступом в интернет.
    Для доступа к настройкам RT-N66U дайте ему IP из сети 192.168.1.1/24, не пересекающийся с задействованными в сети и выдаваемыми pfSense по DHCP.

    Так вот. Асус мне подключал к OpenVPN только определенные клиентские хосты, которые я указал в настройках.  Остальные же работали напрямую, без VPN.  Подскажи, пожалуйста, в pfSense я могу реализовать подобный же функционал – OpenVPN с выборочным подключением локальных хостов?

    Имеется в виду, чтобы определенные хосты LAN ходили в интернет через OpenVPN? Если так - безусловно сможете.



  • Большое спасибо за ответы!  Со мной можно на "ты", без церемоний, так значительно удобнее.

    К сожалению, четырех LAN-портов Асуса мне не хватит для коммутации. Все равно придется к pfSense подключать свитч, в который уже включать Асус и второй свитч (второй просто стоит на удалении, и в него включено несколько устройств).  Можно наоборот, в pfSense включить Асус, а в него два свитча, не знаю, как лучше.

    Да, и вот такой вопрос.  В Асусе в настройках клиентов OpenVPN есть опция, что в случае отсутствия подключения к OpenVPN клиентские хосты, имеющие доступ в интернет через OpenVPN, не будут иметь доступа в интернет вообще.  То есть, те хосты, которые должны ходить в интернет через OpenVPN, будут ходить в интернет только так и никак иначе.  Я надеюсь, в pfSense есть такая же возможность конфигурации OpenVPN-клиентов?



  • Можно наоборот, в pfSense включить Асус, а в него два свитча, не знаю, как лучше.

    Каскадируйте свитчи как удобно. Но желательно, чтобы устройства, генерирующие большой трафик типа копирования HD-видео, были включены в один, желательно максимально производительный свитч.



  • Со свитчами и Асусом разобрался, всё работает, Wi-Fi тоже работает, в DHCP прописал всю привязку статических адресов локальных хостов, вроде с этим всё нормально.

    Но!  Теперь возникла еще одна проблема, с которой пока не разобрался.

    Этот… хм... пардон... pfSense подменяет мне TLS-сертификаты от Let's Encrypt на какие-то левые собственные.  У меня в локальной сети есть web-сервер, на котором работают кое-какие веб... не знаю, как назвать... службы, которые должны быть доступны извне, в частности, к примеру, Nextcloud.  Я настроил Port Forwarding HTTP и HTTPS на соответствующий локальный хост.  На Асусе у меня такая штука работала без проблем.  Здесь же pfSense при обращении к нему ....  аааа, кажется, сообразил.  На Асусе веб-интерфейс самого Асуса работал через нестандартный порт.  Сейчас попробую на pfSense сделать аналогично.

    Edit:

    Настроил веб-интерфейс pfSense через HTTPS port 8443.  Лучше не стало.  Всё равно при обращении к портам 80 и 443 пытается отдавать свои сертификаты.  Как от этого избавиться?

    Edit2:

    Он теперь, оказывается, делает еще хуже.  Форвардит все HTTP и HTTPS на порт 8443. Сейчас попробую правила пересоздать заново.

    Edit3:

    Не понимаю, Port Forwarding не работает так, как требуется.  В System / Advanced / Admin Access для webConfigurator указан

    Protocol HTTPS
    TCP port 8443

    Сам веб-интерфейс pfSense работает через https://192.168.1.1:8443 , с этим всё нормально.

    Но при этом он нормально настроенные правила Port Forwarding для HTTP и HTTPS пытается форвардить на тот же порт 8443.  Что за ерунда?  Ну, сейчас попробую просто в явном виде порты прописать вместо HTTP и HTTPS.

    Edit 4:

    Не работает. Не понимаю пока, в чем дело.  Похоже, не форвардится ничего.  Не вижу на целевом хосте никаких обращений.  Как настроить такую штуку, кто-нибудь знает?  Чтобы 80 и 443 порты нормально форвардились на локальный хост без вмешательства pfSense?  Демилитаризованную зону прошу не предлагать, на том хосте еще и локальные сервисы работают.  На Асусе с этим не было абсолютно никаких проблем.  С pfSence сплошные проблемы.  Как решить?  Подскажите, пожалуйста.

    Edit 5:

    Возникает большое желание снести эту … хм... pfSense, поставить нормальную FreeBSD и попробовать сконфигурировать всё вручную, безо всяких веб-интерфейсов.  В pfSense, конечно, всё красиво, но не работает так, как требуется.  Во всяком случае, пока.  Если в ближайшее время не удастся настроить pfSense, то, пожалуй, так и сделаю.  Никогда подобных вещей вручную не конфигурировал, но я прежде много чего никогда не делал из всего того, что делаю сейчас.

    Samba-сервер на том же локальном хосте, кстати, тоже недоступен в локальной сети. Сейчас хоть его попробую открыть в файрволе.


Log in to reply