Помогите настроить Билайн IPoE на pfSense 2.4.0

quicktrick

Ребята, спасайте.  Купил на Алиэкспрессе китайский мини PC с четырьмя LAN-портами.  Поставил pfSense 2.4.0-RC, всё запустилось, вроде всё прекрасно.  Подключаюсь к Билайну по DHCP, получил внешний IP, но интернета нет.

Долго искал по интернету, много описаний, как настраивать L2TP, но не нашел ничего про IPoE.  Я, честно говоря, впервые имею дело с pfSense, пожалуйста, помогите.

pigbrother

IPoE=DHCP=идеальный вариант доступа\авторизации.

Полученный адрес - белый?
Не
https://ru.wikipedia.org/wiki/%D0%A7%D0%B0%D1%81%D1%82%D0%BD%D1%8B%D0%B9_IP-%D0%B0%D0%B4%D1%80%D0%B5%D1%81
И не
100.64.х.х?
https://tools.ietf.org/html/rfc6598

Если не белый - снимите галки Block private networks and loopback addresses и Block bogon networks на WAN.

Если воткнуть кабель напрямую в ПК - интернет есть?

quicktrick

Спасибо, что откликнулись, pigbrother.

С внешним адресом, на мой взгляд, некая странность, маска подсети меня смущает:

 WAN (wan)       -> igb0       -> v4/DHCP4: 100.112.15.179/17
 LAN (lan)       -> igb1       -> v4: 192.168.1.1/24
 OPT1 (opt1)     -> igb2       ->
 OPT2 (opt2)     -> igb3       ->

Да, и из командной строки FreeBSD под рутом интернет не пингуется (к примеру, 8.8.8.8 ).

Сейчас у меня интернет работает через ASUS RT-N66U.  Если провод воткнуть напрямую в клиентский компьютер – ну, честно говоря, сейчас не смотрел, неудобно подключаться, но некоторое время назад работал и напрямую, уверен, что и сейчас будет.  Да, и через ASUS у меня внешний IP другой -- 95.28.10.xxx.  Смотрю в Асусе на настройки подключения -- настроек нет никаких вообще, просто подключен по Automatic IP и всё.  И всё работает.  Да и напрямую в компьютер так же было -- просто подключал, и работало.

Может быть, в файрволе pfSense надо какое-нибудь правило прописать? Я этого не делал, но сейчас попробовал -- все равно не работает (возможно, неправильно прописал).

Edit:

Аа, ну, кстати, посмотрел сейчас этот айпи:

NetRange:       100.64.0.0 - 100.127.255.255
CIDR:           100.64.0.0/10
NetName:        SHARED-ADDRESS-SPACE-RFCTBD-IANA-RESERVED
NetHandle:      NET-100-64-0-0-1
Parent:         NET100 (NET-100-0-0-0-0)
NetType:        IANA Special Use

Что-то тут не так, явно.  У меня с настройками что-то не так.

pigbrother

Выданный вам 100.112.15.179 - "серый", используется провайдерами при организации carrier grade nat.
https://en.wikipedia.org/wiki/Carrier-grade_NAT
Маска /17 пусть не смущает, провайдер так сегментирует свою сеть.

Смотрю в Асусе на настройки подключения – настроек нет никаких вообще
Да, их и не должно быть. Не привязывается ли Билайн к МАСу сетевой карты?
Теоретически можно подменить на pfSense MAC на подсмотренный у RT-N66U

Может быть, в файрволе pfSense надо какое-нибудь правило прописать?

Должно создастся автоматом правило на LAN:

IPv4 * LAN net * * * * none   Default allow LAN to any rule

Этого правила в 99,99% достаточно.

Еще раз:
Block private networks and loopback addresses и Block bogon networks на WAN сняты?

Buch

IPoE в билайне настаивается просто.
Нужно на pf получить адрес по dhcp, он будет 100…
На pf не нужно делать никаких настроек, должен работать только nat на lan.
Теперь берем комп, подключаем к lan pf и идем на любой сайт.
Вместо сайта Вас перекинет на страничку авторизации билайна.
Вводите данные своего акаунта и ждете не менее 10 минут (время аренды адресов dhcp)
В этот момент происходит привязка Васшего мака на порту провайдера, а ранее работавшее устройство отвязвыается.
По истечении времени, если dhcp не словил новый адрес физически переподключаемся к сети, получаем новый ip адрес и все должно заработать.

quicktrick

Так, появился интернет.

Я уж тут всё на свете перепробовал. Менял местами интерфейсы (мало ли, компьютер новый, китайский, вдруг что-то не работает :), хотя, в общем-то, было понятно, что работает). Заново переназначал интерфейсы, теперь не вручную, а через автоматическое определение (при этом не стал конфигурировать два пустых порта). Вчера еще пробовал снимать галки с Block private networks and loopback addresses и Block bogon networks, не помогало.

В общем, зашел сейчас на свой ASUS по SSH, посмотрел MAC-адрес, подставил его в pfSense, снял галки с Block private networks and loopback addresses и Block bogon networks – заработало.  Сразу же получил от провайдера свой старый IP, тот же, что на Асусе, и интернет заработал.  Ураа!!!  Спасибо огромное, брат pigbrother!  :)  Кстати, вроде бы раньше у Билайна привязки к MAC-адресу не было.  Просто при подключении нового устройства он заново запрашивал логин-пароль подключения к сети, и всё.  Не знаю уж, что в этот раз ему не нравилось.

Подскажи еще, пожалуйста, такую вещь (можно на "ты"? ничего?).  Я, когда этот четырехпортовый компьютер выбирал, думал, что включу в его порты как бы три подсегмента своей домашней сети -- два свитча и свой Асус для раздачи Wi-Fi.  Но где-то здесь на форуме увидел краем глаза, что так делать не следует, не надо возлагать на компьютер роль коммутатора, поскольку вся коммутация пойдет через процессор.  Поэтому, как я понимаю, мне нужно включить в LAN-порт один свитч, а в него уже второй свитч, а также мой Асус.  Правильно?

Второй вопрос.  У меня сейчас (до этого момента) на Асусе работал OpenVPN-клиент, точнее, два клиента -- TCP и UDP (на Асусе стоит прошивка Asuswrt-Merlin). В общем, всё это хозяйство сильно подтормаживало, и, хотя вроде бы всё и работало, но через web-интерфейс до каких-то настроек Асуса было не достучаться.  Поэтому, собственно, и задумался о новом маршрутизаторе.

Так вот. Асус мне подключал к OpenVPN только определенные клиентские хосты, которые я указал в настройках.  Остальные же работали напрямую, без VPN.  Подскажи, пожалуйста, в pfSense я могу реализовать подобный же функционал -- OpenVPN с выборочным подключением локальных хостов?

quicktrick

Buch, большое спасибо за подсказку.  Вроде справился уже.

Кстати, у меня в файрволе pfSense вообще нет никаких правил сейчас.  Это нормально?

Buch

На lan есть разрешающие правила "из коробки" для доступа к gui и выпускающее всех наружу.
Что должно быть - зависит от Ваших задач.

pigbrother

Кстати, вроде бы раньше у Билайна привязки к MAC-адресу не было.

Зато когда-то было чудовищно неудобное подключение L2TP

что так делать не следует, не надо возлагать на компьютер роль коммутатора, поскольку вся коммутация пойдет через процессор

Общее правило - да.

Поэтому, как я понимаю, мне нужно включить в LAN-порт один свитч, а в него уже второй свитч, а также мой Асус.  Правильно?

Зачем 2 свитча? Достаточно одного. Более того, если устройств LAN мало, пока вместо свитча можно использовать RT-N66U. Переведите его в режим точки доступа (Это - отключение его DHCP в первую очередь и файрволла), подключите LAN порт RT-N66U  не WAN! к LAN pfSense и получите 3 Гигабитных порта + WiFi, все в единой сети и с доступом в интернет.
Для доступа к настройкам RT-N66U дайте ему IP из сети 192.168.1.1/24, не пересекающийся с задействованными в сети и выдаваемыми pfSense по DHCP.

Так вот. Асус мне подключал к OpenVPN только определенные клиентские хосты, которые я указал в настройках.  Остальные же работали напрямую, без VPN.  Подскажи, пожалуйста, в pfSense я могу реализовать подобный же функционал – OpenVPN с выборочным подключением локальных хостов?

Имеется в виду, чтобы определенные хосты LAN ходили в интернет через OpenVPN? Если так - безусловно сможете.

quicktrick

Большое спасибо за ответы!  Со мной можно на "ты", без церемоний, так значительно удобнее.

К сожалению, четырех LAN-портов Асуса мне не хватит для коммутации. Все равно придется к pfSense подключать свитч, в который уже включать Асус и второй свитч (второй просто стоит на удалении, и в него включено несколько устройств).  Можно наоборот, в pfSense включить Асус, а в него два свитча, не знаю, как лучше.

Да, и вот такой вопрос.  В Асусе в настройках клиентов OpenVPN есть опция, что в случае отсутствия подключения к OpenVPN клиентские хосты, имеющие доступ в интернет через OpenVPN, не будут иметь доступа в интернет вообще.  То есть, те хосты, которые должны ходить в интернет через OpenVPN, будут ходить в интернет только так и никак иначе.  Я надеюсь, в pfSense есть такая же возможность конфигурации OpenVPN-клиентов?

pigbrother

Можно наоборот, в pfSense включить Асус, а в него два свитча, не знаю, как лучше.

Каскадируйте свитчи как удобно. Но желательно, чтобы устройства, генерирующие большой трафик типа копирования HD-видео, были включены в один, желательно максимально производительный свитч.

quicktrick

Со свитчами и Асусом разобрался, всё работает, Wi-Fi тоже работает, в DHCP прописал всю привязку статических адресов локальных хостов, вроде с этим всё нормально.

Но!  Теперь возникла еще одна проблема, с которой пока не разобрался.

Этот… хм... пардон... pfSense подменяет мне TLS-сертификаты от Let's Encrypt на какие-то левые собственные.  У меня в локальной сети есть web-сервер, на котором работают кое-какие веб... не знаю, как назвать... службы, которые должны быть доступны извне, в частности, к примеру, Nextcloud.  Я настроил Port Forwarding HTTP и HTTPS на соответствующий локальный хост.  На Асусе у меня такая штука работала без проблем.  Здесь же pfSense при обращении к нему ....  аааа, кажется, сообразил.  На Асусе веб-интерфейс самого Асуса работал через нестандартный порт.  Сейчас попробую на pfSense сделать аналогично.

Edit:

Настроил веб-интерфейс pfSense через HTTPS port 8443.  Лучше не стало.  Всё равно при обращении к портам 80 и 443 пытается отдавать свои сертификаты.  Как от этого избавиться?

Edit2:

Он теперь, оказывается, делает еще хуже.  Форвардит все HTTP и HTTPS на порт 8443. Сейчас попробую правила пересоздать заново.

Edit3:

Не понимаю, Port Forwarding не работает так, как требуется.  В System / Advanced / Admin Access для webConfigurator указан

Protocol HTTPS
TCP port 8443

Сам веб-интерфейс pfSense работает через https://192.168.1.1:8443 , с этим всё нормально.

Но при этом он нормально настроенные правила Port Forwarding для HTTP и HTTPS пытается форвардить на тот же порт 8443.  Что за ерунда?  Ну, сейчас попробую просто в явном виде порты прописать вместо HTTP и HTTPS.

Edit 4:

Не работает. Не понимаю пока, в чем дело.  Похоже, не форвардится ничего.  Не вижу на целевом хосте никаких обращений.  Как настроить такую штуку, кто-нибудь знает?  Чтобы 80 и 443 порты нормально форвардились на локальный хост без вмешательства pfSense?  Демилитаризованную зону прошу не предлагать, на том хосте еще и локальные сервисы работают.  На Асусе с этим не было абсолютно никаких проблем.  С pfSence сплошные проблемы.  Как решить?  Подскажите, пожалуйста.

Edit 5:

Возникает большое желание снести эту … хм... pfSense, поставить нормальную FreeBSD и попробовать сконфигурировать всё вручную, безо всяких веб-интерфейсов.  В pfSense, конечно, всё красиво, но не работает так, как требуется.  Во всяком случае, пока.  Если в ближайшее время не удастся настроить pfSense, то, пожалуй, так и сделаю.  Никогда подобных вещей вручную не конфигурировал, но я прежде много чего никогда не делал из всего того, что делаю сейчас.

Samba-сервер на том же локальном хосте, кстати, тоже недоступен в локальной сети. Сейчас хоть его попробую открыть в файрволе.