Вопросы новичка по pfsense
-
Привет всем Добрые люди может есть у кого инструкция по филтрации страниц http / https.все что нашел гугле пока не помоглю.Не работает
-
Добрый день!
Включил функцию Enable static ARP entries и теперь хочу поставить wi-fi роутер без пароля, но он стоит посл Pfsense те кто подключится могут просканировать Лан сеть найти IP рабочих станций и MAC и подменить их на свои тогда они смогут свободно заходить в интернет.
Интернет идет в WAN pfsense и через LAN порт к хабу(две сетевые карты) от хаба к вай-фай роутеру который только раздает вай-фай и через хаб подключены рабочие станции.
Можно ли обезопасить сеть от Wi-fi или только подключать роутер с интернетом до Pfsense в WAN ? -
Доброго.
2 alextob
https://forum.pfsense.org/index.php?topic=138759.msg771075#msg771075 -
Подскажите, понимаю что нельзя с x86 обновиться до х64 pf 2.4.2 . Если установить pf2.4.2 и подсунуть config версии pf2.3.4 - подхватит настройки ?
-
Подскажите, понимаю что нельзя с x86 обновиться до х64 pf 2.4.2 . Если установить pf2.4.2 и подсунуть config версии pf2.3.4 - подхватит настройки ?
Успешно проделывал такое с 2.3 х64 с конфигом от 2.2.6 х86
- about a year later
-
Спасибо большое за инфу!
- about a year later
-
доброго времени суток. Прошу помощи в подключениии и раздаче в PFsense.
- 11 days later
-
Подскажите пожалуйста по алгоритму переноса
Сервера Pfsense и сертификатов OpenVpn пользователей.
А так необходимо перенести с физической машины на виртуальную полностью сервер. -
Добрый
@kppВот тут описан алгоритм миграции любой ОС в вирт. среду с пом. clonezilla, netcat, dd etc https://forum.netgate.com/topic/120102/proxmox-ceph-zfs-pfsense-и-все-все-все/
Вкратце:
- Создаете бэкап конфига пф.
- Создаете ВМ с hdd не менее ,чем на реальном железе.
- Качаете Clonezilla https://clonezilla.org/downloads.php .На ВМ загружаетесь для приема, на реальной - для отдачи. И мигрируете.
После миграции внимательно выполняете на ВМ пункты из https://docs.netgate.com/pfsense/en/latest/virtualization/index.html
Зы. В кач-ве гипер-а рекомендую KVM в обертке Proxmox VE - надежно (debian based), удобно. По ссылке выше описано почему. Рекомендую не менее двух hdd и software ZFS raid (Proxmox умеет его из коробки).
-
Спасибо за наводку. Миграция запланирована к сожалению на Hyper-V.
Буду смотреть и ковырять. -
@kpp
Задайте вопрос по поводу проброса USB в ВМ тому, кто выбрал гипер-в.
ZFS (к-ая исп-ся на Proxmox) еще и данные прозрачно (и оч. быстро - сотни МБ\с) сжимает и экономия места на дисках может быть в разы.
Про бэкап автоматический с ротацией ВМ встроенными средствами гипер-в умолчу.Зы. Посмотрите еще на Proxmox Backup Server. Его можно установить прямо на Proxmox VE. У гипер-в такого нет и не будет. Одумайтесь ))
Зы2. У них еще и Proxmox Mail Gateway есть (активно пользую). И все эти продукты - даром. Ставим и пользуем. - 5 months later
-
Может ли pfsense работать с вифи картой? быть подключённым к сети через нее 2м каналом и брать с нее интернет авторизуюсь по EAP тоесть логин и пароль. Сечас все подключено но через вин комп который подключен к этой сети а потом уже через лан по кабелю отдает пфсенсу интернет этот. Хотелось бы сделать на прямую
-
Добрый.
@farworkЛучше использовать дешевую ви-фи мыльницу, настроенную в режиме простой ТД. Для гибкости перешить ее в openwrt.
Или подождать версию 2.5 на бсд 12 -
@werter я не могу использовать другую точку доступа мне дал ее провайдер а так же эти логин пароль. Или вы о том что openwrt может подцепиться к этой точке в качестве клиента с логином и паролем? У меня есть зашитая точка с ней и я не нашел где это можно настроить там только авторизация по паролю без логинов
-
@farwork В случаях когда целевое устройство по каким-то причинам не получается напрямую подключить к сети Wi-Fi его можно подсоединить к выходу RJ45 роутера, который надо использовать в качестве клиента (моста). Роутер будет настроен на подключение и принимать интернет через WiFi раздавая его по проводу, целевое устройство не будет ни про какой WiFi знать. Вполне себе вариант.
-
@luha said in Вопросы новичка по pfsense:
@farwork В случаях когда целевое устройство по каким-то причинам не получается напрямую подключить к сети Wi-Fi его можно подсоединить к выходу RJ45 роутера, который надо использовать в качестве клиента (моста). Роутер будет настроен на подключение и принимать интернет через WiFi раздавая его по проводу, целевое устройство не будет ни про какой WiFi знать. Вполне себе вариант.
Именно так сейчас у меня по сути и сделано только вместо роутера целый ПК с виндой.. от него вы хотелось избавится. Вот и пытаюсь понять если какая то возможность или подключить вифи карту на пфсенс или через тот же отдельный опен врт точку прописать эти настройки
-
@farwork По идее можно карту воткнуть прямо в pf и настроить. Вроде на форуме мелькало что нормально люди пользуются, за исключением частных случаев, где карточка глючит. Но в самом крайнем случае, если не получается побороть по какой-то причине можно тупо купить роутер (или взять из коробки на складе) и настроить его в качестве внешней карточки. Несомненный плюс решения в том что все настройки по стороне роутера. Нюанс в том что роутер должен так уметь, но сейчас это большинство роутеров.
Тоесть! Роутер не будет раздавать сеть WiFi - он будет её только принимать от того вашего главного роутера.
-
@luha said in Вопросы новичка по pfsense:
@farwork По идее можно карту воткнуть прямо в pf и настроить. Вроде на форуме мелькало что нормально люди пользуются, за исключением частных случаев, где карточка глючит. Но в самом крайнем случае, если не получается побороть по какой-то причине можно тупо купить роутер (или взять из коробки на складе) и настроить его в качестве внешней карточки. Несомненный плюс решения в том что все настройки по стороне роутера. Нюанс в том что роутер должен так уметь, но сейчас это большинство роутеров.
Тоесть! Роутер не будет раздавать сеть WiFi - он будет её только принимать от того вашего главного роутера.
Да именно так и хочу осталось понять какой роутер вообще умеет это. хотя врятли мне его суда купят только ради этого..
Самый новый у меня DIR-615 и он так неумеет -
@farwork Тут уж всё зависит от нужности и важности работы вашего pf сервера и задач, возложенных на него. Подойдёт даже самый дешёвый за 10-15 долларов роутер из ближайшего супермаркета. Я в последний раз когда ездил на отдых и в номере плохо добивало просто купил первый попавшийся самый дешёвый (и оставил для следующих когда съезжал). На коробке пишут что он умеет. Основные функции встречающиеся в роутерах - как точка доступа, как репитер, как сетевая карта, как роутер, как мост... кстати ещё можно VPN на роутерах настраивать и удобно через них соединять сети по-быренькому, чтоб дёшево и сердито. Но понятно что в большой конторе на важных точках такое недопустимо.
P.S. Если ты внутрь адаптер захочешь ставить он ни дешевле не получится ни надёжнее. Это к размышлению о целесообразности и инвестициях. Адаптер воткнёшь должен определиться в системе как карточка сетевая, но пароли и другие настройки надо делать в OS компьютера, в крайнем случае (если вебморда не достаточно продвинута) придётся в конфигах руками. Мне кажется проще или внешний роутер или провод дотянуть.
-
@luha said in Вопросы новичка по pfsense:
@farwork Тут уж всё зависит от нужности и важности работы вашего pf сервера и задач, возложенных на него. Подойдёт даже самый дешёвый за 10-15 долларов роутер из ближайшего супермаркета. Я в последний раз когда ездил на отдых и в номере плохо добивало просто купил первый попавшийся самый дешёвый (и оставил для следующих когда съезжал). На коробке пишут что он умеет. Основные функции встречающиеся в роутерах - как точка доступа, как репитер, как сетевая карта, как роутер, как мост... кстати ещё можно VPN на роутерах настраивать и удобно через них соединять сети по-быренькому, чтоб дёшево и сердито. Но понятно что в большой конторе на важных точках такое недопустимо.
P.S. Если ты внутрь адаптер захочешь ставить он ни дешевле не получится ни надёжнее. Это к размышлению о целесообразности и инвестициях. Адаптер воткнёшь должен определиться в системе как карточка сетевая, но пароли и другие настройки надо делать в OS компьютера, в крайнем случае (если вебморда не достаточно продвинута) придётся в конфигах руками. Мне кажется проще или внешний роутер или провод дотянуть.
Уже пробую 4й не один из них не умеет быть клиентом с eap авторизацией тоесть по логину и паролю.. Только сервером в этом то вся проблема. Какой у вас что он точно работает? может попробую заказать
-
@farwork Может ты не разобрался в настройках, проверь внимательно. Если на руках у тебя несколько роутеров более-менее современных то точно какой-то или даже все будут работать как внешняя карта.
Сейчас особо нет работы и специально не поленился сходить на склад. Взял первый попавшийся роутер, явно из ашана куплен был для каких-то мимолётных целей и валяется, даже коробку прос... потеряли. Модель "mercusys mw305r". Скинул настройки, подключил проводом с гнёзд на локалку роутера (не к гнезду WAN) к компьютеру и попробовал настроить. Ну что сказать - тупейший интерфейс на первый взгляд. В basic режиме нет никаких настроек нужных. Переключил в advance и... тоже ничего сразу не увидел. Но потом потыкал две минуты и в закладке wireless вижу - "WDS Bridging"! Вуаля - это то что нам и нужно. И тут даже конкретно подсказывают "With WDS enabled, the router can bridge with another router (the root router) to extend its wireless network.".
Ты ничего такого не увидел в настройках? И в расширенном режиме посмотрел? И внимательно искал? ;)
-
@farwork Если купить AP (Access Point) вместо роутера то вероятность наличия нужных настроек гораздо выше. Эти устройства по сути для этого и сделаны, часто даже не умеют роутером быть.
-
@farwork
Давайте сначала.Откуда взялась ЕАР-авторизация? Это какой-то провайдер, к-ый дает доступ по ви-фи?
-
@werter said in Вопросы новичка по pfsense:
Это какой-то провайдер, к-ый дает доступ по ви-фи?
Возможно ТС хочет раздавать Wi-Fi у себя в офисе используя EAP?
-
Возможно ТС хочет раздавать Wi-Fi у себя в офисе используя EAP?
быть подключённым к сети через нее 2м каналом и брать с нее интернет авторизуюсь по EAP тоесть логин и пароль. Сечас все подключено но через вин комп который подключен к этой сети а потом уже через лан по кабелю отдает пфсенсу интернет этот
-
@werter said in Вопросы новичка по pfsense:
Сечас все подключено но через вин комп который подключен к этой сети а потом уже через лан по кабелю отдает пфсенсу интернет этот
да, был невнимателен.
-
@farwork said in Вопросы новичка по pfsense:
тоесть логин и пароль
Все же уточню. Логин и пароль вводятся в точке доступа или в некой форме авторизации при попытке зайти на сайт?
-
@pigbrother
Логин и пасс вводятся при подключении к ТД провайдера.
EAP + Radius auth, скорее всего.@farwork
В опенврт возможность подключения по логину и паролю появляется после установки полноценного пакета wpad вместо урезанного wpad-а, к-ый исп-ся по умолчанию.
Можно попробовать wpad-basic - https://openwrt.org/packages/pkgdata/wpad-basicДля работы в режиме моста установить пакет relayd.
-
@werter said in Вопросы новичка по pfsense:
Логин и пасс вводятся при подключении к ТД провайдера.
Я в курсе.
Хотел уточнить это у ТС. Тк не ясной кажется конструкция
@farwork said in Вопросы новичка по pfsense:
Сечас все подключено но через вин комп который подключен к этой сети а потом уже через лан по кабелю отдает пфсенсу интернет этот
-
@werter said in Вопросы новичка по pfsense:
@pigbrother
Логин и пасс вводятся при подключении к ТД провайдера.
EAP + Radius auth, скорее всего.@farwork
В опенврт возможность подключения по логину и паролю появляется после установки полноценного пакета wpad вместо урезанного wpad-а, к-ый исп-ся по умолчанию.
Можно попробовать wpad-basic - https://openwrt.org/packages/pkgdata/wpad-basicДля работы в режиме моста установить пакет relayd.
Тут все верно отписали. Провайдер задает EAP + Radius auth и уйти я не могу от этого.. Сейчас пробую доустановить пакеты wpad. а точно нужен он? Да у меня была версия мини. Но большой зараза не входит в память точки.. А гугл пишет что это Web Proxy Auto-Discovery Protocol вроде как для прокси штука. поищу точку с памятью побольше конечно попробую
-
@luha said in Вопросы новичка по pfsense:
Ты ничего такого не увидел в настройках? И в расширенном режиме посмотрел? И внимательно искал? ;)
Дело в авторизации.. я не могу обойти еап в этом вся проблемма
-
Надо удалить wpad и установить wpad-basic. Это касается оврт версии 19.х В 18-й прийдется пользовать полноценный пакет wpad.
Как вариант, обойтись без Luci, если осилите.https://openwrt.org/docs/guide-user/network/wifi/encryption
Что у вас за железка? Полное название и ревизия (на попе у железки).
-
@werter said in Вопросы новичка по pfsense:
Надо удалить wpad и установить wpad-basic. Это касается оврт версии 19.х В 18-й прийдется пользовать полноценный пакет wpad.
Как вариант, обойтись без Luci, если осилите.https://openwrt.org/docs/guide-user/network/wifi/encryption
Что у вас за железка? Полное название и ревизия (на попе у железки).
Сейчас колупаю TP-Link TL-WA701N/ND v1 на ней OpenWrt 18.06.9
Мне похоже нужно вбить подобные настройки туда. Нашел куда. /etc/config/wireless.. Вопрос как вытащить сертификат из точки или с компа с виндой теперьnetwork = {
ssid="Company WPA2 EAP"
key_mgmt=WPA-EAP
pairwise=TKIP
group=TKIP
eap=PEAP
identity="username@domain"
password="your_passphrase"
ca_cert="/etc/cert/ca.pem"
phase1="peapver=0"
phase2="MSCHAPV2"
} -
@farwork
Пакет wpad установили ? -
@werter said in Вопросы новичка по pfsense:
@farwork
Пакет wpad установили ?Нет.. не влазит. Без него бесполезно? Сразу не обратил внимание но формат то не совпадает. у меня сейчас там
config wifi-device 'radio0'
option type 'mac80211'
option hwmode '11g'
option path 'pci0000:00/0000:00:00.0'
option country 'US'
option legacy_rates '1'
option txpower '18'
option htmode 'HT20'
option disabled '0'
option channel '1'config wifi-iface 'default_radio0'
option device 'radio0'
option network 'lan'
option mode 'ap'
option encryption 'psk2'
option key 'пароль'
option disassoc_low_ack '0'
option ssid 'wifi2'config wifi-iface
option network 'wwan'
option ssid 'metodcenter'
option encryption 'psk2'
option device 'radio0'
option mode 'sta'
option bssid 'E8:28:C1:E2:05:61' -
@farwork Вот оно как. Подумал у вас там обычный компьютер настроили для pf и хотите поставить в офисе после модема/роутера провайдера для организации локалки. А оказывается на OWRT железка.
Если не секрет, зачем вообще понадобился pf, с какой целью?
-
@luha said in Вопросы новичка по pfsense:
@farwork Вот оно как. Подумал у вас там обычный компьютер настроили для pf и хотите поставить в офисе после модема/роутера провайдера для организации локалки. А оказывается на OWRT железка.
Если не секрет, зачем вообще понадобился pf, с какой целью?
не совсем так. у меня 2 канала от провайдера. 1 простой кабель а 2й только по вифи с этой еап авторизацией. Пфсенс как раз и нужен для объединения. Хотя до появления 2го канала он уже года 2 как занимался раздачей интернета. А до него еще был ipcop. OWRT железка пытается добавится сейчас для того чтобы уйти от промежуточного виндовс компа который делатет из вифи интрнета с ЕАП обычный кабельный который уже идет в ПФсенс 2м каналом.
В обдем я так понял чтобез установки полного пакета wpad у меня не выйдет ничего так как нужен Client support WPA Enterprise а его в мини версии пакета нет. ищю девайс помощнее сейчас -
@farwork У нас тоже два основных канала. На самом деле даже больше, но это не важно. Ещё недавно был другой сервер-роутер, который работал много лет и морально и физически устал, поэтому заменили. Решили pf попробовать. И что же оказалось? Оказалось что нет в pf адекватной балансировки и актуально у нас считай два независимых канала, очень условно сведённых в одно устройство и сеть. Так что не знаю, может вы там ещё подумайте как лучше сделать. На старом роутере балансировалось вообще отлично, только главное было прокси не включать. С прокси понял что эта штука сама по себе требует отдельного шкафа, чтобы оно нормально работало.
-
@farwork
Мил человек, я ж ссылку дал. Вы хоть почитать по ней потрудитесь (
Без wpad-а не получитсяВарианты:
- собрать оверт самому с нужными пакетами (на 4пда есть КАК)
купить железку с 8МБ ПЗУ и водрузить туда оврт 19 с wpad-basic
оплатить работу по сборке оврт под вас
Вариант * сложнее, но получите ОПЫТ, к-ый бесценен.
- собрать оверт самому с нужными пакетами (на 4пда есть КАК)
-
@farwork
Пф умеет usb tether ,т.е. можно пользовать смартфон как резервный канал.