Вопросы новичка по pfsense
-
доброго времени суток. Прошу помощи в подключениии и раздаче в PFsense.
- 11 days later
-
Подскажите пожалуйста по алгоритму переноса
Сервера Pfsense и сертификатов OpenVpn пользователей.
А так необходимо перенести с физической машины на виртуальную полностью сервер. -
Добрый
@kppВот тут описан алгоритм миграции любой ОС в вирт. среду с пом. clonezilla, netcat, dd etc https://forum.netgate.com/topic/120102/proxmox-ceph-zfs-pfsense-и-все-все-все/
Вкратце:
- Создаете бэкап конфига пф.
- Создаете ВМ с hdd не менее ,чем на реальном железе.
- Качаете Clonezilla https://clonezilla.org/downloads.php .На ВМ загружаетесь для приема, на реальной - для отдачи. И мигрируете.
После миграции внимательно выполняете на ВМ пункты из https://docs.netgate.com/pfsense/en/latest/virtualization/index.html
Зы. В кач-ве гипер-а рекомендую KVM в обертке Proxmox VE - надежно (debian based), удобно. По ссылке выше описано почему. Рекомендую не менее двух hdd и software ZFS raid (Proxmox умеет его из коробки).
-
Спасибо за наводку. Миграция запланирована к сожалению на Hyper-V.
Буду смотреть и ковырять. -
@kpp
Задайте вопрос по поводу проброса USB в ВМ тому, кто выбрал гипер-в.
ZFS (к-ая исп-ся на Proxmox) еще и данные прозрачно (и оч. быстро - сотни МБ\с) сжимает и экономия места на дисках может быть в разы.
Про бэкап автоматический с ротацией ВМ встроенными средствами гипер-в умолчу.Зы. Посмотрите еще на Proxmox Backup Server. Его можно установить прямо на Proxmox VE. У гипер-в такого нет и не будет. Одумайтесь ))
Зы2. У них еще и Proxmox Mail Gateway есть (активно пользую). И все эти продукты - даром. Ставим и пользуем. - 5 months later
-
Может ли pfsense работать с вифи картой? быть подключённым к сети через нее 2м каналом и брать с нее интернет авторизуюсь по EAP тоесть логин и пароль. Сечас все подключено но через вин комп который подключен к этой сети а потом уже через лан по кабелю отдает пфсенсу интернет этот. Хотелось бы сделать на прямую
-
Добрый.
@farworkЛучше использовать дешевую ви-фи мыльницу, настроенную в режиме простой ТД. Для гибкости перешить ее в openwrt.
Или подождать версию 2.5 на бсд 12 -
@werter я не могу использовать другую точку доступа мне дал ее провайдер а так же эти логин пароль. Или вы о том что openwrt может подцепиться к этой точке в качестве клиента с логином и паролем? У меня есть зашитая точка с ней и я не нашел где это можно настроить там только авторизация по паролю без логинов
-
@farwork В случаях когда целевое устройство по каким-то причинам не получается напрямую подключить к сети Wi-Fi его можно подсоединить к выходу RJ45 роутера, который надо использовать в качестве клиента (моста). Роутер будет настроен на подключение и принимать интернет через WiFi раздавая его по проводу, целевое устройство не будет ни про какой WiFi знать. Вполне себе вариант.
-
@luha said in Вопросы новичка по pfsense:
@farwork В случаях когда целевое устройство по каким-то причинам не получается напрямую подключить к сети Wi-Fi его можно подсоединить к выходу RJ45 роутера, который надо использовать в качестве клиента (моста). Роутер будет настроен на подключение и принимать интернет через WiFi раздавая его по проводу, целевое устройство не будет ни про какой WiFi знать. Вполне себе вариант.
Именно так сейчас у меня по сути и сделано только вместо роутера целый ПК с виндой.. от него вы хотелось избавится. Вот и пытаюсь понять если какая то возможность или подключить вифи карту на пфсенс или через тот же отдельный опен врт точку прописать эти настройки
-
@farwork По идее можно карту воткнуть прямо в pf и настроить. Вроде на форуме мелькало что нормально люди пользуются, за исключением частных случаев, где карточка глючит. Но в самом крайнем случае, если не получается побороть по какой-то причине можно тупо купить роутер (или взять из коробки на складе) и настроить его в качестве внешней карточки. Несомненный плюс решения в том что все настройки по стороне роутера. Нюанс в том что роутер должен так уметь, но сейчас это большинство роутеров.
Тоесть! Роутер не будет раздавать сеть WiFi - он будет её только принимать от того вашего главного роутера.
-
@luha said in Вопросы новичка по pfsense:
@farwork По идее можно карту воткнуть прямо в pf и настроить. Вроде на форуме мелькало что нормально люди пользуются, за исключением частных случаев, где карточка глючит. Но в самом крайнем случае, если не получается побороть по какой-то причине можно тупо купить роутер (или взять из коробки на складе) и настроить его в качестве внешней карточки. Несомненный плюс решения в том что все настройки по стороне роутера. Нюанс в том что роутер должен так уметь, но сейчас это большинство роутеров.
Тоесть! Роутер не будет раздавать сеть WiFi - он будет её только принимать от того вашего главного роутера.
Да именно так и хочу осталось понять какой роутер вообще умеет это. хотя врятли мне его суда купят только ради этого..
Самый новый у меня DIR-615 и он так неумеет -
@farwork Тут уж всё зависит от нужности и важности работы вашего pf сервера и задач, возложенных на него. Подойдёт даже самый дешёвый за 10-15 долларов роутер из ближайшего супермаркета. Я в последний раз когда ездил на отдых и в номере плохо добивало просто купил первый попавшийся самый дешёвый (и оставил для следующих когда съезжал). На коробке пишут что он умеет. Основные функции встречающиеся в роутерах - как точка доступа, как репитер, как сетевая карта, как роутер, как мост... кстати ещё можно VPN на роутерах настраивать и удобно через них соединять сети по-быренькому, чтоб дёшево и сердито. Но понятно что в большой конторе на важных точках такое недопустимо.
P.S. Если ты внутрь адаптер захочешь ставить он ни дешевле не получится ни надёжнее. Это к размышлению о целесообразности и инвестициях. Адаптер воткнёшь должен определиться в системе как карточка сетевая, но пароли и другие настройки надо делать в OS компьютера, в крайнем случае (если вебморда не достаточно продвинута) придётся в конфигах руками. Мне кажется проще или внешний роутер или провод дотянуть.
-
@luha said in Вопросы новичка по pfsense:
@farwork Тут уж всё зависит от нужности и важности работы вашего pf сервера и задач, возложенных на него. Подойдёт даже самый дешёвый за 10-15 долларов роутер из ближайшего супермаркета. Я в последний раз когда ездил на отдых и в номере плохо добивало просто купил первый попавшийся самый дешёвый (и оставил для следующих когда съезжал). На коробке пишут что он умеет. Основные функции встречающиеся в роутерах - как точка доступа, как репитер, как сетевая карта, как роутер, как мост... кстати ещё можно VPN на роутерах настраивать и удобно через них соединять сети по-быренькому, чтоб дёшево и сердито. Но понятно что в большой конторе на важных точках такое недопустимо.
P.S. Если ты внутрь адаптер захочешь ставить он ни дешевле не получится ни надёжнее. Это к размышлению о целесообразности и инвестициях. Адаптер воткнёшь должен определиться в системе как карточка сетевая, но пароли и другие настройки надо делать в OS компьютера, в крайнем случае (если вебморда не достаточно продвинута) придётся в конфигах руками. Мне кажется проще или внешний роутер или провод дотянуть.
Уже пробую 4й не один из них не умеет быть клиентом с eap авторизацией тоесть по логину и паролю.. Только сервером в этом то вся проблема. Какой у вас что он точно работает? может попробую заказать
-
@farwork Может ты не разобрался в настройках, проверь внимательно. Если на руках у тебя несколько роутеров более-менее современных то точно какой-то или даже все будут работать как внешняя карта.
Сейчас особо нет работы и специально не поленился сходить на склад. Взял первый попавшийся роутер, явно из ашана куплен был для каких-то мимолётных целей и валяется, даже коробку прос... потеряли. Модель "mercusys mw305r". Скинул настройки, подключил проводом с гнёзд на локалку роутера (не к гнезду WAN) к компьютеру и попробовал настроить. Ну что сказать - тупейший интерфейс на первый взгляд. В basic режиме нет никаких настроек нужных. Переключил в advance и... тоже ничего сразу не увидел. Но потом потыкал две минуты и в закладке wireless вижу - "WDS Bridging"! Вуаля - это то что нам и нужно. И тут даже конкретно подсказывают "With WDS enabled, the router can bridge with another router (the root router) to extend its wireless network.".
Ты ничего такого не увидел в настройках? И в расширенном режиме посмотрел? И внимательно искал? ;)
-
@farwork Если купить AP (Access Point) вместо роутера то вероятность наличия нужных настроек гораздо выше. Эти устройства по сути для этого и сделаны, часто даже не умеют роутером быть.
-
@farwork
Давайте сначала.Откуда взялась ЕАР-авторизация? Это какой-то провайдер, к-ый дает доступ по ви-фи?
-
@werter said in Вопросы новичка по pfsense:
Это какой-то провайдер, к-ый дает доступ по ви-фи?
Возможно ТС хочет раздавать Wi-Fi у себя в офисе используя EAP?
-
Возможно ТС хочет раздавать Wi-Fi у себя в офисе используя EAP?
быть подключённым к сети через нее 2м каналом и брать с нее интернет авторизуюсь по EAP тоесть логин и пароль. Сечас все подключено но через вин комп который подключен к этой сети а потом уже через лан по кабелю отдает пфсенсу интернет этот
-
@werter said in Вопросы новичка по pfsense:
Сечас все подключено но через вин комп который подключен к этой сети а потом уже через лан по кабелю отдает пфсенсу интернет этот
да, был невнимателен.
-
@farwork said in Вопросы новичка по pfsense:
тоесть логин и пароль
Все же уточню. Логин и пароль вводятся в точке доступа или в некой форме авторизации при попытке зайти на сайт?
-
@pigbrother
Логин и пасс вводятся при подключении к ТД провайдера.
EAP + Radius auth, скорее всего.@farwork
В опенврт возможность подключения по логину и паролю появляется после установки полноценного пакета wpad вместо урезанного wpad-а, к-ый исп-ся по умолчанию.
Можно попробовать wpad-basic - https://openwrt.org/packages/pkgdata/wpad-basicДля работы в режиме моста установить пакет relayd.
-
@werter said in Вопросы новичка по pfsense:
Логин и пасс вводятся при подключении к ТД провайдера.
Я в курсе.
Хотел уточнить это у ТС. Тк не ясной кажется конструкция
@farwork said in Вопросы новичка по pfsense:
Сечас все подключено но через вин комп который подключен к этой сети а потом уже через лан по кабелю отдает пфсенсу интернет этот
-
@werter said in Вопросы новичка по pfsense:
@pigbrother
Логин и пасс вводятся при подключении к ТД провайдера.
EAP + Radius auth, скорее всего.@farwork
В опенврт возможность подключения по логину и паролю появляется после установки полноценного пакета wpad вместо урезанного wpad-а, к-ый исп-ся по умолчанию.
Можно попробовать wpad-basic - https://openwrt.org/packages/pkgdata/wpad-basicДля работы в режиме моста установить пакет relayd.
Тут все верно отписали. Провайдер задает EAP + Radius auth и уйти я не могу от этого.. Сейчас пробую доустановить пакеты wpad. а точно нужен он? Да у меня была версия мини. Но большой зараза не входит в память точки.. А гугл пишет что это Web Proxy Auto-Discovery Protocol вроде как для прокси штука. поищу точку с памятью побольше конечно попробую
-
@luha said in Вопросы новичка по pfsense:
Ты ничего такого не увидел в настройках? И в расширенном режиме посмотрел? И внимательно искал? ;)
Дело в авторизации.. я не могу обойти еап в этом вся проблемма
-
Надо удалить wpad и установить wpad-basic. Это касается оврт версии 19.х В 18-й прийдется пользовать полноценный пакет wpad.
Как вариант, обойтись без Luci, если осилите.https://openwrt.org/docs/guide-user/network/wifi/encryption
Что у вас за железка? Полное название и ревизия (на попе у железки).
-
@werter said in Вопросы новичка по pfsense:
Надо удалить wpad и установить wpad-basic. Это касается оврт версии 19.х В 18-й прийдется пользовать полноценный пакет wpad.
Как вариант, обойтись без Luci, если осилите.https://openwrt.org/docs/guide-user/network/wifi/encryption
Что у вас за железка? Полное название и ревизия (на попе у железки).
Сейчас колупаю TP-Link TL-WA701N/ND v1 на ней OpenWrt 18.06.9
Мне похоже нужно вбить подобные настройки туда. Нашел куда. /etc/config/wireless.. Вопрос как вытащить сертификат из точки или с компа с виндой теперьnetwork = {
ssid="Company WPA2 EAP"
key_mgmt=WPA-EAP
pairwise=TKIP
group=TKIP
eap=PEAP
identity="username@domain"
password="your_passphrase"
ca_cert="/etc/cert/ca.pem"
phase1="peapver=0"
phase2="MSCHAPV2"
} -
@farwork
Пакет wpad установили ? -
@werter said in Вопросы новичка по pfsense:
@farwork
Пакет wpad установили ?Нет.. не влазит. Без него бесполезно? Сразу не обратил внимание но формат то не совпадает. у меня сейчас там
config wifi-device 'radio0'
option type 'mac80211'
option hwmode '11g'
option path 'pci0000:00/0000:00:00.0'
option country 'US'
option legacy_rates '1'
option txpower '18'
option htmode 'HT20'
option disabled '0'
option channel '1'config wifi-iface 'default_radio0'
option device 'radio0'
option network 'lan'
option mode 'ap'
option encryption 'psk2'
option key 'пароль'
option disassoc_low_ack '0'
option ssid 'wifi2'config wifi-iface
option network 'wwan'
option ssid 'metodcenter'
option encryption 'psk2'
option device 'radio0'
option mode 'sta'
option bssid 'E8:28:C1:E2:05:61' -
@farwork Вот оно как. Подумал у вас там обычный компьютер настроили для pf и хотите поставить в офисе после модема/роутера провайдера для организации локалки. А оказывается на OWRT железка.
Если не секрет, зачем вообще понадобился pf, с какой целью?
-
@luha said in Вопросы новичка по pfsense:
@farwork Вот оно как. Подумал у вас там обычный компьютер настроили для pf и хотите поставить в офисе после модема/роутера провайдера для организации локалки. А оказывается на OWRT железка.
Если не секрет, зачем вообще понадобился pf, с какой целью?
не совсем так. у меня 2 канала от провайдера. 1 простой кабель а 2й только по вифи с этой еап авторизацией. Пфсенс как раз и нужен для объединения. Хотя до появления 2го канала он уже года 2 как занимался раздачей интернета. А до него еще был ipcop. OWRT железка пытается добавится сейчас для того чтобы уйти от промежуточного виндовс компа который делатет из вифи интрнета с ЕАП обычный кабельный который уже идет в ПФсенс 2м каналом.
В обдем я так понял чтобез установки полного пакета wpad у меня не выйдет ничего так как нужен Client support WPA Enterprise а его в мини версии пакета нет. ищю девайс помощнее сейчас -
@farwork У нас тоже два основных канала. На самом деле даже больше, но это не важно. Ещё недавно был другой сервер-роутер, который работал много лет и морально и физически устал, поэтому заменили. Решили pf попробовать. И что же оказалось? Оказалось что нет в pf адекватной балансировки и актуально у нас считай два независимых канала, очень условно сведённых в одно устройство и сеть. Так что не знаю, может вы там ещё подумайте как лучше сделать. На старом роутере балансировалось вообще отлично, только главное было прокси не включать. С прокси понял что эта штука сама по себе требует отдельного шкафа, чтобы оно нормально работало.
-
@farwork
Мил человек, я ж ссылку дал. Вы хоть почитать по ней потрудитесь (
Без wpad-а не получитсяВарианты:
- собрать оверт самому с нужными пакетами (на 4пда есть КАК)
купить железку с 8МБ ПЗУ и водрузить туда оврт 19 с wpad-basic
оплатить работу по сборке оврт под вас
Вариант * сложнее, но получите ОПЫТ, к-ый бесценен.
- собрать оверт самому с нужными пакетами (на 4пда есть КАК)
-
@farwork
Пф умеет usb tether ,т.е. можно пользовать смартфон как резервный канал. -
@luha
Настрою балансировку. За деньги.Зы. У самого было 2 канала - адсл и оптика. Все прекрасно переключалось-балансировалось.
-
@luha said in Вопросы новичка по pfsense:
Оказалось что нет в pf адекватной балансировки
Если можно - в чем неадекватность балансировки pf?
-
@werter said in Вопросы новичка по pfsense:
@farwork
Мил человек, я ж ссылку дал. Вы хоть почитать по ней потрудитесь (
Без wpad-а не получитсяВарианты:
- собрать оверт самому с нужными пакетами (на 4пда есть КАК)
купить железку с 8МБ ПЗУ и водрузить туда оврт 19 с wpad-basic
оплатить работу по сборке оврт под вас
Вариант * сложнее, но получите ОПЫТ, к-ый бесценен.
Да спасибо я потом уже понял. Название смутило просто. уже смотрел про сборку. Если не найду другую железку то так и сделаю. Просто обидно будет если соберу а окажется что зря. На моей совсем мало места как то
Filesystem Size Used Available Use% Mounted on
/dev/root 2.3M 2.3M 0 100% /rom
tmpfs 13.6M 1.6M 12.0M 12% /tmp
/dev/mtdblock3 320.0K 240.0K 80.0K 75% /overlay
overlayfs:/overlay 320.0K 240.0K 80.0K 75% /
tmpfs 512.0K 0 512.0K 0% /dev - собрать оверт самому с нужными пакетами (на 4пда есть КАК)
-
@pigbrother Не буду скрывать, с pf знаком от недавно. Возможно что просто не разобрался, тем более что благодаря форумчанам удалось несколько вопросов закрыть.
К балансировке (без проксей) претензии следующие:
- Когда пользователи из локалки выходят в интернет то только через один определённый канал. А хотелось бы их автоматом распределять то туда то сюда в зависимости от нагрузки.
- Когда один канал падает то нет адекватной реакции от роутера. Пояснение - имеем почтовик, ему нужен PTR и SPF и прочее такое, поэтому через роутер для него жёстко прописаны правила куда идти и как... канал падает... админ руками переключает... а должно само.
... такие вот дела.
-
@luha said in Вопросы новичка по pfsense:
то только через один определённый канал
Настроено через Gateway Groups с равными Tiers?
Странно. Это как раз работает нормально. Приоритет использования каналов настраивал через Gateway Weight, при равных Weight балансировка вполне адекватна.
Другое дело, что если включить sticky connections, клиент будет висеть на выбранном ресурсе через конкретный канал, пока не истечет время states или states не сбросить.@luha said in Вопросы новичка по pfsense:
имеем почтовик
Тут сложнее, но, по идее, для входящих писем достаточно настроенных mx-записей ,а для исходящих, как вариант, добавление записи вида
ip4:a.a.a.a ip4:b.b.b.b
в spf.Так же настраивал failover для OVPN-клиента для site-to-site на pf. Но это уже другая история (С)
-
@pigbrother Так в том и дело! В том и проблема. Есть пользователи разных групп и категорий - одних в один канал надо, других в другой, третьих нужно баллансировать. И ещё есть сервера, тоже разные - они могут работать только на определённых настройках правильно т.к. к ним из-вне идут подключения, нельзя их балансировать. А из инструментария имеем только дубовые методы вроде приколачивания выходного канала в свойствах для конкретного IP на адаптере локальной сети! Это ни в какие ворота не пролазит даже боком.