Configurazione base pfsense



  • Salve a tutti sono nuovo nel forun e alle prime armi con pfsense. Volevo sapere come configurare pfsense con una infrastruttura di 3 pc, di cui uno collegato verso l'esteno per lo scambio di file p2p. Eventualmente vorrei inserire una wi-fi integrata alla macchina pfsense cosi da connettere alla rete e internet portatili. Spero di essere seguito passo passo.
    Un grazie anticipato.

    Morfeus8088.



  • Sei rimasto un pò tanto sul generico, la tua installazione Pfsense verrà usata solo come firewall o anche come captive portal / DHCP server / VPN server ecc ecc…. Hai uno o più IP statici a disposizione? Intendi mettere un proxy per la navigazione web per i rimanenti 2 PC? Il Pc che userai in p2p andrà in DMZ oppure bisognerà nattarlo? Ci sarebbero un'altra dozzina di domande da fare ancor prima di arrivare alla arte dedicata al wireless. Ti consiglio di postare esattamente quello che vuoi fare così si riesce ad aiutarti con più precisione  :)



  • Hai ragione Zanotti. Allora Pfsense verrà usato solo come firewall. Puo' fungere anche da antivirus? Cosa mi consigli per la macchina p2p metterla in DMZ? Essa deve avere per forza ip statico cosi da poter accedere da remoto (tramite VNC). Ovviamente mi serviranno 3 sk di rete e una sk wireless. Credimi ho bisogno di essere veramente seguito passo passo, se vuoi ci possiamo sentire su messenger o anche meglio su skype sempre se tu puoi. Ovviamente questa macchina che andro' a realizzare mi servira' per la mia infrastruttura di casa, nesuno scopo di lucro. Sono solo un autodidatta che vuole cimentarsi in questo campo.



  • Pfsense tra i suoi molti pacchetti ha un piccolo plugin di Clamav che analizza il traffico del proxy ma a dire il vero non l'ho mai usato e dubito per quanto buono che sia che possa sostituire in tutto e per tutto un antivirus con una protezione completa, spero di essere smentito da appavito o da Ma.S.Caos.

    Per quanto riguarda il tuo PC da usare in p2p puoi operare sostanzialmente 2 scelte:

    1. Lasciare il PC in LAN, aprire le (poche) porte che servono con il port forward e fare un paio di regole in WAN se necessario.
    2. Spostare il PC in DMZ separandolo di fatto dal segmento LAN. Con questa scelta configuri il PC con IP differenti da quelli in LAN, puoi comunque usare port forward come nella prima scelta oppure puoi fare il NAT 1:1 invece di aprire decine di porte. Puoi benissimo anche dare un IP statico a quel PC se ne hai uno a disposizione oppure fare in modo che condivida quello del firewall.

    La seconda scelta è un pò più complessa ma non è niente di impossibile.

    Puoi anche impostare Pfsense in modo che faccia da DHCP server sia per PC in DMZ oppure in LAN oppure ancora in altri segmenti gestiti con access point wireless.
    Tieni a mente che Pfsense richiede come minimo 2 schede di rete di buona(ottima) fattura, con le Intel io non ho mai avuto problemi. Ricorda anche che fare una DMZ richiede 3 schede di rete, 4 se vuoi una wireless aggiuntiva.

    Per seguirti non è un problema, posta pure i tuoi dubbi e quello che non riesci a configurare che una mano te la dò volentieri.



  • Grazie Zanotti per l'aiuto che mi stai dando..
    Credo che il pc P2P dovrebbe rimanere in lan in quanto dovrei condividere una cartella con gli altri pc (la cartella incoming). Ovviamente dimmi se sbaglio.

    La macchina che sto usando per il firewall è un vecchio pentium2 350Mhz con 384mb di ram. Hdd 4Gb. Credi che vada bene con una ADSL di 7MB. Potrebbe adare bene anche con ADSL 20MB, sai pechè ho paura che diventi subito obsoleto.

    Attualmente i miei pc si collegano tutti con ip statico al router:
    Ip: 192.168.1.x
    Sub M.: 255.255.255.0
    Gateway: 192.168.1.1
    Dns:192.168.1.1

    P2P Porte aperte 3

    Quali sono gli indirizzi ip da dare alle sk di rete(e alla sk wi-fi) del mio firewall?
    Aiutami un po' se puoi..

    Ps le sk di rete sono tutte kraun con chip RTL8139D, wi-fi= D-Link 108G DWL-G520 con chip Ateos. tutto 100% compatibile.



  • La macchina a dir la verità non è molto potente ma se non hai molti client potrebbe anche andare bene, io gestisco un centinaio di client con un Pentium 4 del 2003 e un paio di schede gigabit e 1 Gb di Ram, ma ho anche molti servizi attivi.

    Per le tue necessità direi intanto di far diventare PFSense il nuovo gateway della rete Lan cui tutti i client punteranno. Dopodichè puoi scegliere di settare l'Ip Wan del Pfsense con un ip non routabile, come una classe A o B privata per intenderci, oppure mettere un IP statico del tuo provider se ne hai a disposizione. E' di grande utilità capire se il tuo router utilizza encapsulation RFC1483 o PPPoE. Di sicuro c'è uno dei due parametri.

    Per le schede rimanenti puoi assegnare loro IP di Classe A o B privati, quindi 10.0.0.0/8 o 172.16.0.0/12, per esempio su di una scheda di rete su DMZ puoi mettere 10.0.0.1/24 e su di un'altra che gestisce un access point puoi usare 172.16.0.1/24

    Per il port forward invece stasera preparo qualche screenshot per semplificarti le cose.



  • Il router utilizza encapsulation PPPoE. Ma dovrei cambiarlo a breve dopo l'upgrade dell'infrastruttura con un linksys perche se ne sono bruciati parecchi e me ne sono arrivati altri dalla casa madre..
    Che significa ip non routabile? Scusa l'ignoranza..
    Potrebbe andar bene la versione 1.2.2 del pfsense?
    Ma non è meglio che entri con VNC nel mio sistema e mi setti pf sense?
    Sicuro di una tua risposta, attendo.



  • Nessuno che mi aiuta? ??? ???



  • Ti chiedo scusa per essere sparito ma gli orari del mio lavoro mal si conciliano con la possibilità di intervenire quì come desidererei.

    Dunque, gli IP non routabili sono una parte di classi IP che solitamente vengono usate per le reti interne private, ad esempio 192.168.1.X è un IP privato che non è routable quindi non è nemmeno un IP pubblico. La versione 1.2.2 di Pfsense è la versione che ti consiglio perchè le altre ormai sono deprecated. Per quanto riguarda VNC invece è un discorso di gusti, VNC è un protocollo molto pesante e poco efficiente ma funziona a dovere quindi se hai una buona ADSL o una HDSL non dovresti avere problemi, basta fare il solito port forward sul firewall per la porta 5900 e sei a posto.



  • Sucuse accettate.  ;)
    In questo fine settimana non credo di far nulla. Ci aggiorniamo alla prossima.



  • Di Sto cercando un altro po 'piu' ram. Non Appena pronta la mia macchina ci risentiamo Zanotti.
    A presto.

    Morfeus8088.



  • Ok a ram penso che ci siamo (448mb). Adesso ho cosi configurato la mia macchina:

    rl0=LAN (attuale IP=192.168.1.2/24)
    rl1=WAN
    rl2=OPT1(DMZ)
    ATH0=OPT2(Wi-FI)

    Che indirizzi ip mi dici di inserire? Inoltre nel wizard iniziale mi chiede il Dominio, il dns delle interfacce e il gateway(wan). Come procedo?
    Inoltre mi chiede dell'incapsulamento: cosa centra? Mica è un router? O sbaglio?
    Mi puoi fare degli screenshoot di esempio cosi facciamo tutto passo passo?

    Grazie, Morfeus8088.



  • Gli IP da assegnare alle interfacce dovresti conoscerli già, per la DMZ e la WI-FI potresti usare due reti diverse, es. 10.0.0.1 per la DMZ e 10.0.1.1 per la WI-FI. Per l'IP della WAN invece si usa assegnare 1 IP statico del tuo provider (se ce l'hai a disposizione) oppure un IP della stessa classe della LAN del tuo router. A meno che tu non debba pubblicare in un DNS il tuo Firewall, puoi inserire un dominio fittizio nel campo relativo, come dns metti pure un dns qualunque (vedi sotto); per quanto riguarda invece il gateway della WAN di solito si inserisce l'IP del router, ma questo dipende anche dal tipo di xDSL che hai e se il tuo Pfsense dovrà funzionare in modalità bridged o router. Il resto dei settaggi lascialo come è di default.



  • Quindi posso usare per sk Lan e sk Wan stessa classe di indirizzi? Comunque l'Isp mi fornisce solo IP dinamico.

    Grazie.



  • No io sconsiglio di usare la stessa classe di IP per Lan e Wan a meno che non si debba fare un bridge oppure perchè non vi è altra soluzione. Se il tuo ISP dà solo IP dinamici ti consiglio di assegnare alla WAN del Firewall e alla LAN del router la medesima classe di IP. E' un piccolo esercizio di stile ma ti assicuro che poi non avrai problemi.



  • Pfsense:

    rl0=LAN             192.168.0.1
    rl1=WAN 192.168.1.2
    rl2=OPT1(DMZ) 10.0.0.1
    ATH0=OPT2(Wi-FI)10.0.1.1

    LAN router 192.168.1.1

    Che subnet mask deve avere DMZ e WI-FI in base a questo schema?(scusa l'ingnoranza)
    Se ho altre difficolta ti avviso.

    Ci aggiorniamo.



  • Diciamo che se non devi avere reti di grosse dimensioni una subnet /24 va più che bene sia per DMZ che per WI-FI



  • Come DNS e Gateway per WAN,LAN,DMZ e WI-FI, utilizzero' gli stessi parametri della LAN del router?



  • No, solo la WAN utilizza un campo gateway che sarà poi l'IP 192.168.1.1
    Alle interfacce OPT è possibile assegnare un GW ma non credo serva nel tuo caso, non c'è necessità di assegnare loro un GW e anzi a loro volta sono GW per i client dei rispettivi segmenti, ad es. l'IP della WI-FI 10.0.1.1 sarà GW per tutti i client che quell'interfaccia dovrà gestire.

    I client della LAN dovranno usare come DNS e GW 192.168.0.1
    Quelli del WI-FI invece useranno come DNS e GW 10.0.1.1
    Quelli della DMZ invece useranno 10.0.0.1



  • Vedi se è tutto chiaro prima di incominciare:

    Pfsense:

    rl0=LAN            IP:(attuale IP=192.168.1.2/24)=192.168.0.1
      SUB.:255.255.255.0
      Gate.:192.168.0.1
      DNS:192.168.0.1
    rl1=WAN            IP:192.168.1.2
      SUB.:255.255.255.0
      Gate.:192.168.1.1
      DNS:  ?
    rl2=OPT1(DMZ)      IP:10.0.0.1
      SUB.:255.0.0.0
      Gate.:10.0.0.1
      DNS:10.0.0.1
    ATH0=OPT2(Wi-FI)  IP:10.0.1.1
      SUB.:255.0.0.0
      Gate.:10.0.1.1
      DNS:10.0.1.1

    Router:

    Lan=  IP:    192.168.1.1
          Sub.:  255.255.255.0
          Gate.: 192.168.1.1
          DNS:  192.168.1.1

    Ps alla WAN che DNS va messo?



  • In LAN non c'è possibilità di assegnare un GW o un DNS mentre per OPT1 e OPT2 io il GW non lo metterei nemmeno. In WAN come DNS puoi mettere quelli del tuo provider oppure l'ip del router. I restanti settings mi sembrano a posto.



  • Ma scusa OPT1 e OPT2 come vanno su internet? Scusa l'ignoranza..
    A questo punto che ho sotto mano tutti i dati come procedo?

    Grazie.



  • E' sufficiente impostare una regola del firewall sia per OPT1 che per OPT2. E' possibiile anche usare un DHCP server per facilitarti le cose. L'importante è che i client di OPT1 e OPT2 siano configurati correttamente, loro sì che hanno bisogno del GW assegnato.

    Una mia curiosità, OPT1 e OPT2 sono reti fisicamente separate da LAN o cosa?



  • OPT1(DMZ), OPT2(WI-FI) e LAN devono avere la possibilita di "vedersi", di condividere file e di andare su internet.Come posso iniziare? bisogna fare qualche regola? Come mi comporto? Spigami passo passo i procedimenti da fare.

    Grazie.



  • Devi ricordarti prima di tutto 2 cose: la prima è che PFSense droppa tutto il traffico che non è esplicitato tramite una regola e seconda cosa quando hai più schede di rete c'è il forward automatico tra le interfacce. Questo vuol dire che gli IP di OPT1, OPT2 e LAN tra di loro si possono pingare ma per abilitare il resto del traffico va inserita una regola apposita.

    Per esempio: voglio che il traffico dalla OPT2(WI-FI) passi verso la LAN? La regola da inserire è questà:

    Proto  	Source  	Port  	Destination  	Port  	Gateway  	Schedule  	Description
      *  	   OPT2 net 	 *  	 LAN net  	     *  	   *  	    	       ABILITA TRAFFICO VERSO LAN  
    


  • Dove vanno inserite queste regole (qual' è il percorso?)? Mi faigli gli altri esempi per il mio caso?
    Ma dopo tutto cio' dovrei aver concluso la mia configurazione? A parte ovviamente l'apertura delle porte per eMule..

    Grazie.

    Morfeus8088.



  • Le regole vanno inserite in "Firewall" -> "Rules" una per ogni interfaccia che la regola abilita al traffico. Ti allego un paio di shots così capisci:

    Negli shots come puoi vedere uso OPT2 come rete di partenza e LAN come destinazione. Se hai bisogno che altre interfacce dialoghino tra loro dovrai fare una regola sulla base di quella che ho postato cambiando rete di partenza e rete di destinazione.

    Fatto ciò ti manca solo il NAT delle porte.



  • ho fatto le seguenti regole (seguendo i tuoi consigli):

    wi-fi(opt2) –> lan
    lan --> wi-fi

    lan --> dmz(opt1)
    dmz --> lan

    wi-fi --> dmz
    dmz --> wi-fi

    Va bene? Puo' bastare?
    Passiamo al NAT?
    Ps Scusa l'ignoranza adesso, dopo aver salvato, se spengo la macchina non perdo le configurazioni fatte giusto?



  • Si dovrebbero bastare, se hai salvato le regole non si perdono quando fai il reboot del firewall.



  • A questo punto passiamo al NAT (che poi non so a cosa serve, scusa l'ignoranza in materia)?
    PS E le porte da aprire in DMZ quando le facciamo?



  • Ok ma tu mi devi dire cosa vuoi fare davvero, con un bello schema, con indicazione delle porte che usi o che dovrai usare e cosa dovranno gestire, inteso come traffico, le varie dmz o wi-fi del caso. Poi possiamo cominciare a parlare del NAT.

    Scusa la franchezza e il fatto di essere di mio abbastanza diretto ma Pfsense NON è il programma giusto per chi è a digiuno dei fondamenti di networking in generale e NON è la soluzione migliore nel tuo caso perchè è un ambiente molto complesso e particolarmente ostico se un domani dovrai mettere mano alle regole o al NAT.



  • Zanotti, hai ragione, anche io sono franco con te: io sono solo un autodidatta che ha deciso di intraprendere la configurazione di un firewall con pfsense. Quindi io ti chiedo semplicemente un sostegno per fronteggiare tutto cio'. Ma se tu non vuoi piu' aiutarmi io capiro'.

    Sicuro di una risposta.

    Morfeus8088.



  • L'aiuto si da sempre ci mancherebbe ma siamo già alla terza pagina di thread e abbiamo fatto ben poco tranne un continuo botta e risposta che si poteva fare via pm.
    Postami quello che ti ho chiesto intanto.



  • Allora DMZ, WI-FI e LAN devono inanzitutto andare su internet e condividere files.
    DMZ deve avere le seguenti porte aperte:
    eMule=1469 TCP
    eMule=1469 UDP
    VNC=1475 TCP
    Al seguente indirizzo IP: 10.0.0.2 (quindi DMZ non deve avere il DHCP abilitato).
    LAN e WI-FI, invece devono avere DHCP abilitato.
    Credo sia tutto.

    PS Comunque rifacendomi al discorso di prima io in teoria so cos'è il NAT(traduzione degli indirizzi di rete), è la pratica che mi manca..



  • @morfeus8088:

    Allora DMZ, WI-FI e LAN devono inanzitutto andare su internet e condividere files.

    Per la condivisione dei files tra DMZ. WI-FI e LAN è sufficiente la regola negli screenshot che ho postato qualche giorno fa.
    Per Internet invece devi aggiungerne un'altra, sempre una per ogni ethernet:

    Nell'esempio io ho abilitato il traffico HTTP, HTTPS e ICMP dalla LAN. Le stesse regole le devi replicare per DMZ e WI-FI se devono fare altrettanto.

    @morfeus8088:

    DMZ deve avere le seguenti porte aperte:
    eMule=1469 TCP
    eMule=1469 UDP
    VNC=1475 TCP
    Al seguente indirizzo IP: 10.0.0.2 (quindi DMZ non deve avere il DHCP abilitato).

    Questi screenshot ti mostrano come fare il NAT dall'esterno verso un IP interno, un IP della DMZ in questo caso:

    @morfeus8088:

    LAN e WI-FI, invece devono avere DHCP abilitato.

    Per abilitare il DHCP Server prima devi modificare la subnet mask della DMZ e della WI-FI da /8 a /24 altrimenti il DHCP farà un casino. Dopo che hai modificato vai in
    "Services" -> "DHCP Server" e segui lo screenshot:

    Ho settato un range di IP che il DHCP fornirà e credo siano sufficienti per il tuo uso. Per abilitare il DHCP sulla LAN dovrai seguire le stesse indicazioni.



  • Grazie Zanotti! Abbiamo quasi concluso il lavoro!
    Adesso volevo sapere come andare a configurare le interfaccie ("interfaces"): soprattutto la Wan, Wi-fi e Dmz (puoi farmi gentilmente altri screenshoot?). infatti se vado a status –> interface, alla Wan, alla Dmz e alla wi-fi (alla voce status) mi dice: no carrier. Perche'? Lan invece mi dice "UP".

    Sul mio router che ha delle regole sulle porte di emule e vnc devo cambiarli indirizzo da 192.168.1.2 a 10.0.0.2?

    Grazie ancora.



  • Se vedi il no carrier può essere che quelle ethernet non siano collegate o che il link salti di continuo oppure che non sono state abilitate. Fammi uno screenshot così capisco meglio.

    Sul router invece dovrai fare in modo che tutto il traffico in entrata vada verso un IP poi è l'IP della WAN. A seconda del tipo di router questo si puo' fare tramite impostazione della DMZ oppure direttamente con le regole del firewall del router stesso.



  • OK é WAN scollegato (in type ho messo static, ho fatto bene?);
    Dmz non so se è abilitato;
    Wi-FI, non la vedo. Puoi farmi di tutte e tre le interfacce degli screenshot?

    Quindi devo aprire le porte al router all'indirizzo: 192.168.1.2?

    Grazie!

    PS Vorrei abilitare anche VNC(porta 1475 TCP) per LAN e WI-FI, come si fa'?
        Inoltre, dimenticavo, per messenger e gli aggiornamenti antivirus di AVAST! bisogna abilitarli anch'essi?



  • Zanotti attendo tuo aiuto..



  • Appavito puoi aiutarmi tu dato che non ho piu notizie da Zanotti?

    Un grazie anticipato.

    Morfeus8088.


Log in to reply