Как изменить язык pfsense

This topic has been deleted. Only users with topic management privileges can see it.

• Кто хочет поучаствовать в русификации интерфейса? Надо перевести на русский 2866 строк текста. Сам буду очень долго переводить.

• Доброе.
  Не стОит оно того. Английский в веб-гуи вполне уместен и достаточен. Свыше 90% литературы по IT на языке Уильяма «нашего» Шекспира.

• Есть одно но, не все отлично знают англцкий. А некоторые тонкости важны для понимания.

• Есть одно но, не все отлично знают англцкий. А некоторые тонкости важны для понимания.
  И эти тонкости запросто могут исчезнуть.исказится при переводе.
  Чтобы  этого не произошло, нужно не только хорошо знать оба языка, но и быть неплохим техническим писателем.
  Но не это главное, любой поиск по решению проблем с pfSense будет приводить на страницы, где решение будет ссылаться на английские названия пунктов менюопций и т.д.
  Глубоко уважаю авторов pfSense еще и за то, что практически каждый элемент настроек кратко, но но существу прокомментирован, вплоть до приведения образцов настроек.

• @atyltin:

  Есть одно но, не все отлично знают англцкий. А некоторые тонкости важны для понимания.

  Доброе
  Вы только на собеседованиях такое никогда не говорите.

• @werter:

  @atyltin:

  Есть одно но, не все отлично знают англцкий. А некоторые тонкости важны для понимания.

  Доброе
  Вы только на собеседованиях такое никогда не говорите.

  Уважаемый, как-нибудь, без вашей помощи.
  Кстати тот, кто так скажет на собеседовании будет взят с большей вероятностью.

• @atyltin:

  Уважаемый, как-нибудь, без вашей помощи.
  Кстати тот, кто так скажет на собеседовании будет взят с большей вероятностью.

  Oxford Bookworms в строке поиска на всем известном трекере. После — в смартфон и слушать.

• Я готов.
  Имхо
  1. Обсуждая здесь на форуме можно вывести идеальные формулировки, учитывающие все тонкости.
  2. Для быстрого запуска простой конфигурации и без глубоких раскопок Русский необходим.

  Так что лучше начать делать, а те кому будет надо скажут спасибо.

• @werter:

  @atyltin:

  Уважаемый, как-нибудь, без вашей помощи.
  Кстати тот, кто так скажет на собеседовании будет взят с большей вероятностью.

  Oxford Bookworms в строке поиска на всем известном трекере. После — в смартфон и слушать.

  Прочитайте еще раз выше написанное сообщение. Может поймете его смысл.

• @atyltin:

  Я готов. Имхо
  1. Обсуждая здесь на форуме можно вывести идеальные формулировки, учитывающие все тонкости.

  Лучше бы добавили в каждое описание ссылки на соответствующие страницы мультиязычного вики сервера. А вот именно там уже и писали во всех тонкостях.  Сама эта идея взята из Windows 3.1.

  @atyltin:

  2. Для быстрого запуска простой конфигурации и без глубоких раскопок Русский необходим.

  Для этой хотелки нужно чтоб при первым вопросом установщика был «Do you speak russian?»

• @Scodezan:

  @atyltin:

  Я готов. Имхо
  1. Обсуждая здесь на форуме можно вывести идеальные формулировки, учитывающие все тонкости.

  Лучше бы добавили в каждое описание ссылки на соответствующие страницы мультиязычного вики сервера. А вот именно там уже и писали во всех тонкостях.  Сама эта идея взята из Windows 1.

  Не удобно.

  @atyltin:

  2. Для быстрого запуска простой конфигурации и без глубоких раскопок Русский необходим.

  Для этой хотелки нужно чтоб при первым вопросом установщика был «Do you speak russian?»

  Вовсе нет. Что-такое vlan и самые базовые конфигурации и так понятны. Вопросы начинаются когда мы ставим ldap авторизацию в system->user. Зачем в каждой приблуде своя авторизация?
  Можно оставить комменты что куда и зачем.
  И судя по рекомендациям на форуме дается скрип он там что-то делает а что он делает не особо кого волнует.

Опубликовано: 04.03.2021

Используемые термины: FreeBSD, Маршрутизатор, Firewall.

pfSense является программным маршрутизатором/фаерволом на основе операционной системы FreeBSD. Рассмотрим его установку и начальную настройку на виртуальную машину.

Установка

Система распространяется как образ операционной системы, готовой к работе в качестве фаервола/маршрутизатора. Переходим на страницу загрузки pfSense и заполняем форму для получения установщика и нажимаем на DOWNLOAD:

* в данном примере мы выбрали архитектуру AMD64 (для всех современных компьютеров архитектуры x86), образ ISO и Нью-Йорк в качестве зеркала загрузки.

Дожидаемся загрузки файла. Если мы выполняем установку на виртуальную машину, то просто монтируем образ ISO. Если же мы будем устанавливать с помощью сменного носителя, то готовим его с помощью специализированных программ, например, WinSetupFromUsb или Rufus для флешки или InfraRecorder для DVD. Монтируем образ или подключаем установочный носитель, настраиваем БИОС для загрузки с диска или флешки и запускаем установщик — мы должны увидеть сообщение о необходимости принять лицензионное соглашение. Нажимаем Accept:

После выбираем, что будем делать. В нашем случае, выполнять установку:

На следующем шаге установщик предложит выбрать раскладку клавиатуры — выбираем вариант по умолчанию:

Выбираем вариант разбивки диска на разделы. В моем случае, это выполняется автоматически:

* при необходимости использовать сервер не только в качестве pfSense (что не рекомендуется) можно самостоятельно разбить диск на разделы.

Начнется процесс установки системы:

Дожидаемся его окончания. Процесс займет немного времени.

Установщик предложит перейти в командную строку для выполнения ручных настроек — отказываемся:

Перезапускаем компьютер:

Не забываем извлечь установочный носитель.

Установка завершена.

Настройка подключения к веб-интерфейсу

После загрузки pfSense мы увидим меню настройки. Первое, что нам нужно сделать — настроить сеть и веб-интерфейс. Дальнейшую настройку можно делать в последнем.

Выбираем опцию Set interface(s) IP address — номер 2:

Выбираем интерфейс для настройки. Сначала внутренний (LAN):

Задаем IP-адрес в соответствии с нашей инфраструктурой:

* в нашем примере мы хотим задать адрес 192.168.0.23.

Указываем маску подсети:

* в локальных сетях, как правило, используются маски 24, 23, 22.

Если нужно, прописываем адрес шлюза, в противном случае, просто нажимаем Enter:

* обратите внимание, что адрес шлюза на LAN интерфейсе нам нужен только для статических маршрутов.

Система нам предложит активировать сервер DHCP для локальной сети. Если наш pfSense должен выполнять такую задачу, ставим y. Мы же этого делать не будем:

Также отказываемся к возврату протокола HTTP как веб-конфигуратора:

Открываем браузер и переходим по адресу нашего сервера https://192.168.0.23 — появится предупреждение о нарушении безопасности. Просто игнорируем и продолжаем загрузку. 

Система потребует ввода логина и пароля — вводим логин/пароль admin/pfsense.

Готово. Теперь приступим к базовой настройке.

Базовая настройка pfSense

После входа в веб-интерфейс, система может попросить принять условия — просто нажимаем Accept:

Для удобства поменяем языковые настройки. Переходим в раздел System — General Setup:

В подразделе «Localization» выбираем наш часовой пояс и язык, с которым нам будет удобнее работать:

* в нашем примере выставлено московское время и русский язык интерфейса. Однако, нужно отметить, что для pfSense нет полного перевода и некоторые элементы будут на английском.

Для применения настроен кликаем по Save:

Теперь сменим пароль по умолчанию для учетной записи admin. В верхней части интерфейса мы увидим предупреждение — кликаем по Change the password in the User Manager:

Вводим дважды новый пароль:

Сохраняем настройки:

Сообщение с предупреждением в верхней части экрана должно исчезнуть.

Переходим к настройке Интернет соединения. Кликаем по Интерфейсы — WAN:

В подразделе «Общие настройки» выбираем вариант получения сетевых настроек:

* в нашем примере мы зададим вручную IP-адрес. Если не используется IPv6 — отключаем его (как в данном случае).

Ниже задаем IP-адрес (если мы выбрали вариант получения Статический IPv4):

Указываем маску подсети:

Справа от «IPv4 Шлюз» кликаем по Добавить новый шлюз:

В открывшемся окне добавляем адрес шлюза для доступа к сети Интернет и кликаем Добавить:

Сохраняем настройки:

Если для подключения к панели управления по локальной сети требуется статический маршрут, после применения настроек мы можем потерять управление системой. Необходимо заранее позаботиться о добавлении статических маршрутов.

Для того, чтобы изменения вступили в силу, необходимо их применить:

Настройка завершена. Можно попробовать прописать наш pfSense в качестве шлюза и проверить доступ к сети Интернет.

В моем случае Интернет не заработал по причине наличия маршрута через локальную сеть. Решение ниже.

Статические маршруты

Если у нас есть несколько подсетей, доступ к которым нужно обеспечить через внутренние маршрутизаторы, pfSense позволяет добавить статические маршруты. 

Для этого переходим в Система — Маршрутизация:

Кликаем по ссылке Статические маршруты:

Кликаем по кнопке Добавить:

В открывшемся окне вводим подсеть, для которой нам нужен маршрут и выбираем шлюз, через который будет осуществляться доступ к данной сети:

* в данном примере мы создадим статический маршрут в сеть 192.168.1.0/24 через шлюз 192.168.0.1.

Сохраняем настройки:

Чтобы изменения вступили в силу, кликаем по Применить изменения:

Готово.

Возможные ошибки

Рассмотрим проблемы, которые могут возникнуть при настройке pfSense.

Нет доступа в Интернет

После настройки WAN для компьютеров локальной сети нет доступа к сети Интернет. Я столкнулся с данной проблемой маршрутизации после того, как был настроен WAN-интерфейс. По идее, компьютеры локальной сети, которые подключены к pfSense как к шлюзу по умолчанию, должны получить выход к глобальной сети. Однако, этого не произошло. При этом, если перейти в панели управления в раздел меню Диагностика — Пинг и отправить тест на любой адрес в сети Интернет, он проходил корректно, то есть, на самом pfSense выход в Интернет был.

Причина: проблема может возникнуть, если мы сначала указывали шлюз на интерфейсе LAN, затем поменяли его на WAN. Возможно, систему клинит, и появляется ошибка маршрутизации.

Решение: удалить маршрутизацию через LAN, убедиться, что появился Интернет на компьютерах локальной сети, после снова создать маршрутизацию через LAN.

Для этого переходим к настройкам маршрутизации:

Переходим к статическим маршрутам:

Удаляем все маршруты через локальную сеть:

Переходим в раздел Шлюзы:

Удаляем шлюз через локальную сеть:

Проверяем, что у нас появился интернет на компьютерах локальной сети. 

После того, как мы убедились в исправной работе шлюза для доступа к глобальной сети, на той же вкладке по работе со шлюзами нажимаем Добавить:

Задаем имя и адрес маршрутизатора в локальной сети:

Сохраняем настройки:

… и применяем их:

Возможности pfSense

Из коробки, нам доступны следующие возможности:

• Брандмауэр.
• DNS и DHCP.
• Проброс портов.
• Маршрутизация и NAT.
• Ограничение скорости.
• VPN — IPSEC, L2TP, OpenVPN.
• Аутентификация через LDAP (например, Active Directory) или RADIUS.

Это не совсем все возможности — лишь пример, довольно, часто используемых функций.

Помимо доступных сервисов, мы можем воспользоваться менеджером пакетов (Система — Менеджер пакетов — Доступные пакеты), чтобы расширить возможности pfSense, например, мы можем установить:

1. Прокси-сервер, например, SQUID + squidGuard.
2. Блокировщики отслеживания и рекламы: pfblockerng.
3. Средства мониторинга: zabbix-agent, zabbix-proxy.

И так далее…

Читайте также

Возможно, вам будет интересны следующие инструкции:

1. Настройка OpenVPN сервера на Mikrotik.

2. Настройка Интернет-шлюза на Ubuntu

1. Установка pfSense.

2. Первичная конфигурация.

3. Конфигурация сетевых интерфейсов и маршрутов.

4. Балансировка трафика между провайдерами.

5. Конфигурация DNS.

6. Конфигурация NTP.

7. Заключение.

Установка pfSense.

Не буду расписывать подробно процесс установки pfSense. Он тривиален. Подробную инструкцию вы можете найти здесь. Правда она немного устарела, и не полностью соответствует для последней версии. Отмечу лишь ключевые моменты.

• Не используйте динамический диск на Hyper-V! — pfSense его не держит.
• Все настройки вносимые во время установки можно изменить в дальнейшем.
• Рекомендую во время установки выбрать «Standard Kernel» т.к. консоль в дальнейшем поможет вам избежать большинство плясок с бубном.
• Для виртуализации pfSense на MS Hyper-V следует выбирать первое поколение виртуальных машин (ВМ). При создании сетевых адаптеров, очередность сетевых интерфейсов в pfSense (hn0,hn1,hn2) соответствует порядку сетевых адаптеров в свойствах виртуальной машины.
• Для для создания отказоустойчивого кластера pfSense необходимо использование протокола CARP, который подменяет MAC адрес адаптера на резервном хосте, в случае отказа основного. Поэтому в настройках сетевых адаптеров на Hyper-V необходимо включить «Enable MAC address spoofing». Я отказался от использования CARP, т.к. во время восстановления работы основного хоста, CARP перебрасывал обратно MAC адрес еще до того как pfSense полностью загрузиться. Кластер Hyper-V оказался быстрее и надежнее.
• Если в вашей сети используются VLAN, во время установки вы можете создать несколько сетевых интерфейсов для одного сетевого адаптера, указав разные VLAN. Лично я предпочел указывать VLAN в свойствах сетевого адаптера для ВМ, для более четкого разграничения административных границ.

После установки pfSense, во время первой загрузки, вас попросят определить сетевые интерфейсы WAN, LAN, OPT. Как правило на ВМ под Hyper-V первый сетевой адаптер получает имя hn0, второй hn1 и т.д.

В завершении установки, вам необходимо указать IP адрес и маску для интерфейса, через который вы будете подключаться к веб-консоли. Зачастую pfSense управляют через LAN интерфейс, но, если у вас есть сеть управления, вы можете сконфигурировать дополнительный интерфейс OPT. Так же вам необходимо выбрать протокол подключения к веб-консоли. При отрицательном ответе на вопрос «Do you want to revert to HTTP as webConfigurator protocol?» отрицательно, Web GUI будет доступен только по HTTPs?» подключение к веб-консоли будет через HTTPs.

К оглавлению.

Конфигурация сетевых интерфейсов и маршрутов.

На просторах Интернет, есть множество клонов статьи где рекомендуют начинать настройку с создания сертификатов. На мой взгляд разумнее начинать с установки правильных значений региональных настроек. Дело в том, что, если вы восстанавливаете конфигурацию, в которой ваш контроллер домена берет время с сервера pfSense, неправильные региональные настройки могут сбить время в домене, что может привести к отказу большинства сервисов. Поэтому первым делом заходим в меню «System/General Setup­» и задаем имя хоста и если необходимо имя домена.

Далее в секции «Localization» выбираем свой часовой пояс и через пробел задаем список NTP серверов (рис. 1). Например вот такой:

ntp4.stratum1.ru ntp5.stratum1.ru 0.ru.pool.ntp.org 1.ru.pool.ntp.org 2.ru.pool.ntp.org 3.ru.pool.ntp.org 0.pool.ntp.org 1.pool.ntp.org 2.pool.ntp.org 3.pool.ntp.org

Более подробную конфигурацию NTP сервиса можно будет задать позже.

Так же в секции «Localization» вы можете выбрать язык интерфейса. К сожалению, Русский язык не поддерживается, но вы можете самостоятельно отредактировать редактором poedit файл турецкого языка pfSense.po, расположенного /usr/local/share/locale/tr/LC_MESSAGES.

Попутно вы можете указать DNS адреса провайдера в секции «DNS Server Settings», но, после конфигурации шлюзов по умолчанию для сетевых интерфейсов, сюда придется вернуться и выбрать для каждого DNS провайдера соответствующий шлюза по умолчанию. Но об этом чуть позже.

Здесь же в секции «webConfigurator» вы можете настроить основные параметры веб-консоли и Dashboard на заглавной странице веб-консоли pfSense.

К оглавлению.

Конфигурация сетевых интерфейсов.

В меню «InterfacesInterface/Assignments» вы можете отредактировать привязки сетевых интерфейсов, заданные во время установки или добавить новые сетевые интерфейсы. (Рис. 2).

В «InterfacesInterface/Interface Groups» вы можете можете объединить сетевые интерфейсы в группы, что позволит в последующем задавать одно правило Firewall сразу для нескольких сетевых интерфейсов. (Рис. 3).

Двойной клик по имени интерфейса позволит перейти на страницу конфигурации интерфейса.

Здесь вы можете переименовать имя интерфейса в поле «Description», задать IP адрес и длину маски. Значения «MTU» и «MSS» лучше оставить по умолчанию. Их стоит менять только в случае нестабильного подключения или если это явно указанно провайдером. Для интерфейсов подключенных к Интернет, необходимо отметить пункты «Block private networks and loopback addresses» и «Block bogon networks» в секции «Reserved Networks». Это заблокирует трафик приватных сетей.

Кнопка «Add a New gateway» позволит создать и указать шлюз по умолчанию для данного сетевого интерфейса. Для локального сетевого интерфейса не нужно указывать шлюз по умолчанию. В том случае если ваша сеть разбита на подсети, необходимо прописать статический маршрут в «SystemRoutingStatic Routes» например как указанно на рис. 6, но для его создания сперва необходимо создать шлюз указывающий на ваш локальный маршрутизатор (Рис. 5). Прописывать данный шлюз в настройках локального сетевого интерфейса не нужно, он нужен только для создания статического маршрута. По сути, это лишь указатель на маршрутизатор.

В данном меню вы можете указать IP адрес мониторинга «Monitor IP», по которому система будет определять работоспособность канала. По умолчанию этим адресом является сам шлюз, но вы можете выбрать, например, DNS сервер компании Google. В том случае, если у вас подключено несколько провайдеров, вам необходимо выбрать шлюз по умолчанию отметив пункт «Default Gateway».

К оглавлению.

Балансировка трафика между провайдерами.

Для конфигурации отказоустойчивости и/или балансировки трафика между провайдерами вам нужно зайти в «System/Routing/Gateway Groups» и создать группу шлюзов, например как на рис. 7.

Указание одинакового уровня «Tier» для шлюзов позволит включить балансировку трафика для тех правил Firewall, где вы в дополнительных настройках укажите в качестве шлюза по умолчанию укажите эту группу шлюзов. Указании различных уровней для шлюзов, позволит сконфигурировать отказоустойчивость. В этом случае весь траффик, указанный в правиле Firewall будет проходить через шлюз имеющий меньшее значение уровня, до тех пор, пока система будет определять его как «рабочий маршрут». В случае, когда система решит, что шлюз не работает, она направит трафик на шлюз имеющий следующее значение уровня.

Параметр «Trigger Level» позволяет задать условие, по которому шлюз считается не рабочим и трафик будет перенаправлен на другой шлюз. Он может иметь следующие значения:
Member down — нет пинга до IP адреса мониторинга,
Packet Loss — потеря пакетов,
High Latency — длительные задержки,
Packet Loss or High Latency — потеря пакетов или длительные задержки.

Одни и те же шлюзы можно добавлять в разные группы шлюзов. Мой опыт внедрения показал мне, что удобнее создать сразу несколько групп шлюзов с балансировкой и отказоустойчивостью для последующей тонкой балансировки трафика в Firewall.

К оглавлению.

Конфигурация DNS.

Во время изучения вопросов интеграции Squid c Active Directory, во многих «How to» рекомендовали указывать в настройках DNS адреса локальных DNS серверов, а для разрешения адресов внешних ресурсов разрешать в Firewall исходящий траффик по 53 порту. На мой взгляд это не совсем разумное решение. Дело в том, что стандартный DNS сервер, встроенный в Windows, отправляет повторный запрос на другой DNS сервер только в случае таймаута для первого запроса. Т.е. если у вас отключился провайдер DNS сервер которого первым стоит в настройках, имена внешних ресурсов будут разрешены лишь после отправки второго запроса. При этом задержка может составить несколько секунд. В отличии от Windows, DNS сервер, интегрированный в pfSense, отправляет запросы сразу на все доступные DNS сервера, и использует первый пришедший ответ, что несколько повышает скорость разрешения имен внешних ресурсов. Кроме того, такое решение разумнее при подключении к нескольким провайдерам.

Внутри pfSense имеется два сервиса DNS: «DNS Forwarder» и «DNS Resolver», которые не могут работать одновременно. Так как для решения своих задач я не увидел существенной разницы, я предпочел использовать сервис с большим функционалом, нежели просто пересылка DNS запросов. Настроить «DNS Resolver» можно в «Services/DNS Resolver». Но перед тем как приступить к настройке, нам нужно вернуться в «System/General Setup» и указать IP адреса DNS серверов и шлюзы, через которые будет осуществляться доступ к DNS серверу (рис. 8). Важно, чтобы доступ к DNS серверу провайдера осуществлялся через подключение этого провайдера, т.к. это уберет петлю и сократит время доступа.

Желательно отключить «DNS Server Override» эта опция позволяет заменять IP адреса указанных DNS серверов на адреса полученные по DHCP, в случае если вы настроили в интерфейсах, получение адреса по DHCP.

Сама настройка сервиса «DNS Resolver» тривиальна (рис. 9). Необходимо включить сервис отметив галочкой пункт «Enable» и указать сетевые интерфейсы «Network Interfaces» по которым будет отвечать DNS сервер. В нашем случае это LAN и Localhost. Последний нужно указать для того чтобы сам pfSense смог обращаться к внутреннему DNS серверу.

Также необходимо указать внешние интерфейсы («Outgoing Network Interfaces»), через которые будут отправляться запросы на внешние DNS сервера. В нашем случае это WAN и LAN, через который будут отправляться запросы на локальный DNS сервер. Кроме того, для разрешения имен внутренних сетевых ресурсов необходимо прописать в секции «Domain Overrides» имя локального домена и IP адрес DNS сервера который владеет данной зоной. Если в вашей сети есть два DNS сервера вы можете создать две строки с одним именем домена, но с разными DNS серверами.

Для того чтобы локальные DNS сервера смогли разрешать внешние имена, необходимо включить пересылку DNS запросов отметив галочкой пункт «DNS Query Forwarding», но включить ее можно только после того как «System/General Setup» мы уберем галочку с «Disable DNS Forwarder» (рис. 7). Данная опция позволяет использование локального DNS сервера для pfSense. Если ее отключить до настройки «DNS Resolver» pfSense не сможет разрешить локальные адреса и связь с консолью разорвется. Поэтому сохраняем настройки и только после этого открываем дополнительное окно «System/General Setup» где отключаем «Disable DNS Forwarder». Только после этого возвращаемся в «DNS Resolver» и включаем «DNS Query Forwarding».

В завершении настройки необходимо указать с каких адресов разрешен доступ к локальному DNS серверу pfSense. Для этого переходим на «Services/DNS Resolver/Access Lists» и создаем список с адресами сетей и хостов, которым разрешен доступ к DNS серверу pfSense. Пример такого списка приведен на рис. 10.

На практике, данная схема оказалась очень удобной. В секции «Domain Overrides» можно указать DNS сервера удаленных площадок, подключенных через OpenVPN, а в секции «Host Overrides» можно подменять IP адреса для удаленных ресурсов. По сути использование «Host Overrides» аналогично правке файла host на всех компьютерах в локальной сети.

Проверить работоспособность сервиса DNS можно в «Diagnostics/DNS Lookup». В качестве ответа на запрос вы должны получить IP адрес и время ответов от серверов. (рис. 11)

К оглавлению.

Конфигурация NTP.

Я не буду рассматривать здесь вопрос конфигурации службы времени в Active Directory т.к. это тема отдельной статьи. Поэтому рассмотрим здесь лишь конфигурацию встроенного NTP сервиса в pfSense.

Конфигурацию сервиса NTP можно осуществить в «Services/NTP»(Рис. 12). Основную настройку сервиса NTP мы осуществили в самом начале, так что нам остается лишь уточнить конфигурацию и создать список доступа к сервису NTP. На всякий случай приведу еще раз список серверов NTP которые я выбрал для себя.

ntp4.stratum1.ru ntp5.stratum1.ru 0.ru.pool.ntp.org 1.ru.pool.ntp.org 2.ru.pool.ntp.org 3.ru.pool.ntp.org 0.pool.ntp.org 1.pool.ntp.org 2.pool.ntp.org 3.pool.ntp.org

Для начала выберем интерфейс на котором будет отвечать NTP сервис, и отметим галочкой «Prefer» приоритетные ntp сервера. Опция «NTP Graphs» включает исчерпывающий отчет который можно посмотреть в «Status/NTP» (рис. 13). И при необходимости включаем журналирование сервиса в опции «Logging».

• Status — статус сервера. Может иметь значение:
• Active Peer — сервер с которым осуществляется синхронизация,
• Candidate — сервер с которым может быть осуществлена синхронизация,
• Outlier — не подходящий сервер на текущий момент времени,
• Remote — удалённые сервера, с которыми синхронизируется время,
• Ref ID — вышестоящий stratum для данного сервера,
• Stratum — уровень сервера.
• Type — тип соединения:
• u — unicast или manycast,
• b — broadcast или multicast,
• l — local reference clock,
• s — симметричный узел,
• A — manycast сервер,
• B — broadcast server,
• M — multicast сервер,
• When — время, когда последний раз сервер ответил нам,
• Poll — частота опроса в секундах,
• Reach — статус общения с удалённым сервером времени. Значение 377 — успешно,
• Delay — показывает время между отправкой и получения ответа в миллисекундах,
• Оffset — смещение в миллисекундах между вами и серверами времени. Может быть положительным и отрицательным числом,
• Jitter — абсолютное значение в миллисекундах с указанием среднеквадратичного отклонения вашего смещения.

Настройку листа доступа можно осуществить в «Services/NTP/ACLs» (Рис. 14).

Страница конфигурации списка доступа разбита на две части. В первой («Default Access Restrictions») настраивается параметры для всех NTP серверов запрашивающих точное время у сервиса NTP, на второй («Custom Access Restrictions») уточняющая разрешения для каждого конкретного сервера NTP. Ниже приведу пояснение этих параметров.

• Kiss-o’-death — разрешить доставку сообщений, которые выполняют роль данных о состоянии системы и управления доступом.
• Modifications — игнорировать пакеты NTP 6 и 7 режима (модификация состояния).
• Queries — отключить запросы ntpq и ntpdc.
• Service — отключить все кроме запросов ntpq и ntpdc.
• Peer Association — обслуживать хост, но не синхронизироваться с ним.
• Trap Service — не принимать конфигурационные пакеты.

К оглавлению.

Заключение.

Мы закончили конфигурацию основных сервисов pfSense. По мере поступления отзывов я буду вносить изменения в этот текст.

В следующих публикациях я рассмотрю:

1. Сервис сертификатов, SSH, Интеграция с Active Directory.

2. Установка и конфигурация Squid, интеграция Squid c Active Directory, определение скорости доступа по группе в AD

3. Установка и конфигурация SquidGuard. Интеграция Squid c Active Directory. Настройка листов доступа по группам в AD

4. Публикация сайтов и OWA Exchange

5. OpenVPN

Всем спасибо за внимание. Присылайте ваши заметки и критику. 🙂
К оглавлению.

Please donate this project.

Поддержите проект.

Все авторское программное обеспечение, опубликованное на данном сайте, распространяется на условиях Donationware, при условии сохранения ссылки на данный сайт внутри кода. Полное или частичное копирование публикаций разрешается только при наличии явной ссылки на копируемую публикацию.

Добрый день всем, кто оказался на данном сайте. Продолжаем разбирать pfSense. В прошлый раз я писал о том, как установить pfSense на сервер. Теперь пришло время разобрать, как его настроить. В данной статье разберем лишь начальную настройку после установки, так как все возможности pfSense описать будет довольно таки сложно и все зависит от ваших личных предпочтений. То есть, для чего именно вам нужен pfSense. Так как, некоторые его устанавливают только в качестве роутера, а некоторые строят на его основе высоконагруженный маршрутизатор. Я и сам пользовался им когда у себя дома держал сервер с сайтом. Сейчас использую Mikrotik, и могу сказать, что pfSense не чем не хуже, а некоторыми моментами даже удобней. Хотя, это дело вкуса.

И так, вернемся к настройке. После установки pfSense вы попадаете в веб-интерфейс введя ip адрес в браузере. Далее, перед вами появится меню веб-интерфейса pfSense. Можно сразу перейти к настройке локализации и перевести интерфейс на Русский язык. Как это сделать, читайте в предыдущей статье про установку. А в этой статье для наглядности будем использовать Английский интерфейс. И так, первым делом нажимаем кнопку “Next” в приветственном окне:

После чего еще раз нажимаем эту кнопку в окне про поддержку pfSense, которая кстати говоря является платной:

Настройка DNS

Далее нужно заполнить поля “Hostname, Domain и DNS”. Тут собственно все просто. В поле “Hostname” вписываем любое название системы, которое вы только захотите. Я же оставлю по умолчанию, то есть pfSense. После чего нужно вписать в поле “Domain” имя, я же оставлю как есть. То есть “localdomain”. Далее вписываем DNS, тут можно использовать как свои DNS, так и публичные. Что это значит? Если у вас имеется сервер с VPN, вы на него можете установить например DNSCRYPT и указать в настройке именно его. Так же можно использовать например OpenDNS ( 208.67.222.222 и 208.67.220.220) или Google DNS (8.8.8.8 и 8.8.4.4). Можно использовать так же DNS.Watch (84.200.69.80 и 84.200.70.40), Яндекс.DNS (77.88.8.8 и 77.88.8.1) или Comodo Secure DNS (8.26.56.26 и 8.20.247.20). Я же в свою очередь возьму DNS.Watch, после чего нажимаем кнопку “Next”:

Обратите внимания на пункт “Overide DNS”, ставить там галочку или нет, решать вам. Этот пункт отвечает за перезапись DNS провайдера. Лично я всегда отмечал этот пункт.

Выбор временной зоны

Следующим этапом будет настройка временной зоны. Тут все просто, в пункте “Timezone” из выпадающего списка достаточно выбрать ваш часовой пояс. Пункт “Time server hostname” можно оставить без изменений. А вот если вы настраиваете pfSense в каком нибудь филиале, то рекомендую выбрать в пункте “Timezone” часовой пояс “Etc/UTC”. Далее нажимаем “Next” и переходим к настройке сети:

Настройка сети

С настройкой сети не все так просто. Все зависит от того, какой у вас провайдер и какой ip он выдает. В данном примере я разберу настройку динамического (PPPoE) и статического ip адреса. Думаю, это то что вам в любом случае будет интересно. Хотя бы даже просто для собственного развития. И так, для настройки статического ip адреса нужно в пункте “SelectedType” из выпадающего списка выбрать “Static”:

Статический ip

Далее переходим к пункту “Static IP Configuration” и заполняем соответствующие поля. Вписываем в эти поля данные, которые были выданы вашим провайдером (IP Адрес), а так же не забудьте указать маску сети и шлюз. Далее спускаемся вниз страницы и нажимаем кнопку “Next”.

Динамический ip

Для настройки динамического ip адреса (PPPoE), в пункте “SelectedType” выбираем из выпадающего списка PPPoE. После чего переходим к пункту “PPPoE Configuration” и заполняем поля. Вписываем ваш логин и пароль после чего так же спускаемся вниз страницы и нажимаем кнопку “Next”:

Что касается остальных настроек, то их можно оставить по умолчанию. Для настройки DHCP достаточно просто спустится вниз страницы и нажать кнопку “Next”. Что собственно я и сделал.

Следующим этапом настройки будет внутренняя сеть. По большому счету, можно оставить все по умолчанию, главное, обратите внимания на маску сети:

Пароль админа

Далее нужно задать новый пароль для админа. Это тот пароль, по которому вы входите в веб-интерфейс. Пароль все же настоятельно рекомендую изменить для вашей же безопасности и задать его не просто “123”, а придумать какой нибудь посложней. Главное, потом сами не забудьте его:

Заключение

Ну и последний пункт перезагрузка системы для применения настроек. Для этого нужно нажать кнопку “Reload”, после чего система перезапуститься:

После удачной перезагрузки pfSense можно пробежаться по настройкам firewall или VPN. А можно и proxy настроить. Но об этом как нибудь в одной из следующих статей. По возможности постараюсь написать в первую очередь про настройку firewall на pfSense. Так как это пожалуй один из важнейших пунктов.

А на этом сегодня все. Надеюсь данная статья будет вам полезна.
С уважением Cyber-X