LINUX.ORG.RU
ФорумAdmin

Pfsense помощь новичку

 , ,


0

1

Приветствую.

Задумал запустить и настроить на нем (pfsense) фаервол. Задача: имеется линукс хост, родом из убунты, виндовс и линукс гости на виртуалбоксе. Требуется пропустить их всех (хоста и гостей) через pfsense. Выход в интернет через wlan, т.е. встроеный wifi модуль. В перспективе переход на usb wifi свисток воткнутый в pfsense. Но пока обычный встроенный адаптер wifi.

Адаптер, в свою очередь, подключен к роутеру с адресом 192.168.1.1

Для пробы, пытаюсь подключить гостя винду к pfsense. В настройках pfsense для виртуалбокса указываю 2 адаптера бридж с реальным именем сетевой wifi карты и интернал. Обе паравиртуальные. Внутри pfsense конфигурирую (авто) wlan адаптер с соответствуюсщим мак адресом из бокса. После конфигурации роутер показывает, что pfsense к нему подключиласьс адресом 192.168.1.146. Пытаюсь попасть на него через броузер хоста и в ответ тишина.

Вопрос, что я не так делаю? Как правильно? Есть ли какая-то ссылка на толковый туториал с конфигом pfsense и wifi, нашел много tuto, но все не те. Спасибо.

Ответ на: комментарий от anonymous

все верно

Да я не знаю как по-человечески.

Можно просто, чтобы все виртуалки и сам хост выходили в сеть через виртуалку с установленным pfsense. Или хост вообще уберу из интернета.

Или вот так:

физический wifi -> virtual pfsense -> нeсколько виртуалок.

Несколько виртуалок: линух, windows, vhonix. Хост линух должен попадать в интернет только через pfsense или вовсе не иметь доступа в интернет.

Ну не знаю как по другому описать. Pfsense на физическом вайфае и весь зоопарк выходит в нет только через виртуальный pfsense. Если б знал как картинку вставить на форум, зарисовал бы схематично.

Запутался в адресах и мостах

explorer ()
Ответ на: комментарий от explorer

Попробую обрисовать задачу детальнее.

В интернет хожу 3-мя путями:

  1. из 10 (сей троян к сожалению нужен для запуска специфического софта) плюс на ней качалки всякие и портабельный антивирь для скачанного. Сайт - мусоросвалки.

  2. линукс - серьезная работа, почта, банк, покупки. Никаких левых сайтов.

  3. хуникс - посещение заблокированных сайтов и интересное почитать.

  4. линукс с i2p, просто решил полюбопытствовать, что за зверь.

Хост - в интернет с него не хожу. Те кто могут пойти в интернет - pdf, кино, картинки - соответствующий софт в песочнице. Но до того, как они туда попадут, проверяются антивирем на виртуальной винде. Отсюда, нужно, чтоб то дрявое решето, винда была защищена. На хосте довольно обьемный иптабль.

Узнал много нового о безопасности. Народ городит огород из 2-х 3-х впн + тор. Здоровая параноя никому не вредила, но для меня такое будет избыточно. Имею заломанный интел МЕ, кастомный биос, шифра диска, включая бут. Плюс перечисленные виртуалки. Все сайты открываются, все задачи выполняются.

Винда - слабое место, прочитал статью, что оно риск для хоста через нат. А через бридж она не сможет пользоваться ислугами иптабля хоста, где все телеметрически-троянские серверы забанены. Сайты по безопасности рекоменудуют пустить через pfsense. Ну а раз уж ставить пфсенс с уникальным и единоличным доступом к вайфаю, то уже и все остальное пропустить через пфсенс. Возможно неправильно и надо для каждого отдельную пфсенсе делать?

Здесь я и запутался с настройками адаптеров и адресов на pfsense.

explorer ()
Ответ на: комментарий от anonymous

Мне бы чуть детальнее. Нарисовал схемку не знаю можно ли здесь постить ссылки на хостинг рисунков, вот

https://ibb.co/yhQQgzz

h***s://ibb.co/yhQQgzz

С начала, в виртуалбоксе создаю 2 адаптера для пфсенс, 1) реальн vlan компа (вайфай), 2) интернал

В каждой виртуалкие соответственно 1 адпатер виртуалбокса (интернал). Промискуос мода? Mожно отключить. Правильно?

В pfsense should VLANS to be set up first? Yes

Enter the parent interface name for the new VLAN (or nothing if finished)

Там его имя vtnet0

Lan-a у меня нет, на хосте я отключил кабельный адаптер, т.к. не пользуюсь

Правильно до сюда с настройками?

А дальше у меня полный ступор, на дефолтный для pfsense 192.168.1.1 тоже попасть не могу ни с линукс ни с виндовс виртуалок, хост вообще пока не трогал.

explorer ()
Ответ на: комментарий от explorer

1-е зачем вам vlan на wifi?

==

2-е вам нужно для внешнего (WAN) pfsens в VB указать либо NAT , либо «Сетевой мост», во втором случае так же нужно указать интерфейс с которым будет соединён мостом WAN pfsens и ваша wifi-карта. В этом случае WAN будет получать адрес от dhcp вашего WI-FI-маршрутизатора или сеть нужно будет настроить в ручную , зависит от ваших конкретных настроек WI-FI-маршрутизатора и от того, что вы указали при установки pfsens.

==

3-е вам нужно создать ОДИН «виртуальный коммутатор» на VB, который называется «Виртуальная сеть» имя по умолчанию - internal. И все ваши ВМ включить в него, в том числе и ВНУТРЕННИЙ интерфейс PFSENS! В этом случае все ваши ВМ буду видеть друг друга и вы сможете подключаться к web pfsens на адрес 192.168.1.1 из ВМ.

anonymous ()
Ответ на: комментарий от explorer

все верно

Пиздос.

На хосте создаёшь 2 моста, один на wi-fi, второй на rj45. Pfsense ставишь в виртуалку, отдаёшь ей оба моста. Остальным виртуалкам отдаёшь только мост с rj45. На pfsense первый мост ставишь wan, второй – lan.

Всё, все виртуалки начнут ходить через pfsense по вайфаю.

Не забудь заблочить 53 порт на вход и выход, и поднять виртуалку которая будет отдавать dns записи.

anonymous ()
Ответ на: комментарий от anonymous

Спасибо

  1. А куда? У меня провода нет, а комп используется не только дома, даже чаще не дома.

2), 3) к пониманию этого пришел, но все равно не мог законектиться ни из какой виртуалки на 192.168.1.1, один раз потом получилось и снова пропало. В итоге сменил IP LAN в пфсенсе на корпоративный 10….. и теперь могу попадать на веб морду.

Может быть потому что я пока не у себя дома, подключен к вайфаю и 192.168.1.1 соответствует какому-то физическому роутеру от того вайфая. Потому что с хоста я как раз попадаю на страницу того роутера.

Но осталась одна беда. Не знаю как выпустить виртуалки в интернет, не используя публичный dns.

Например, ip pfsense 10.0.0.1 виртуалка 10.0.0.10 тогда в виртуалке мне приходится писать dns 8.8.8.8 А как сделать, чтоб виртуалки пользовали dns от pfsense?

Первый интерфейс pfsense ем0 (WAN) на dhcp и адрес получает автоматом

Второй интерфейс em1 с адресом 10.0.0.1

Если я снова разрешу dhcp на сети LAN (второй интерфейс), то при попытке указать range ip адресов, например 10.0.0.5-10.0.0.15 , pfsense выдает ошибку.

explorer ()
Ответ на: комментарий от explorer

Кабеля нет, только вайфай.

Не помню, можно ли создать мост без наличия физического интерфейса. У меня всё, что подключено кабелем ходит в инет через виртуалку.

но виртуалки не могут запросить dns

По dhcp адрес dns получают? Емнип, в pfsense адрес dns передаваемый по dhcp настраивается отдельно, от адреса dns который использует сам pfsense.

anonymous ()
Ответ на: комментарий от anonymous

Сейчас связь машин есть, адаптеры настроены, как писал товарищ выше, ну и пришлось другой пул IP для лана взять. Собственно в этом и была проблема.Сейчас у меня получилось, что pfsense получает dns от провайдера, как и ip он получает по dhcp. Наверное, если бы не ошибка pfsense при попытке повесить второй dhcp на lan, виртуалки получали б и ip и dns.

У виртуалок ip фиксированный. В документации пфсенса (курю уже 3 дня, но всякие сайты понятнее, чем офдок ) есть dns forwarding, он ,не он? По умолчанию в нем стоит порт 53, но он получается конфликтный. А почему нужно закрыть 53 вообще?

explorer ()
Ответ на: комментарий от explorer

Ковыряю ентот пфсенсе, хорошая штука, есть опен впн. То, что нужно. Как раз товарищ набирает группу народа, купить 1 впн на группу, столько человек, сколько разрешенных девайсов у провайдера. Ценник получится адекватный. Вот тогда и задействую второй адаптер усб, 1 на вход, другой точка доступа и 1 разрешенный девайс превращается в впн для всех девайсов в доме. ВПН - это хорошо. Обход блокировок, безопасность покупок на публичных сетях и не раздражает провайдера как тор.

На знаю как у кого, но у меня следующий вывод по собственному опыту на мобильном интернете:

Россия тор более менее. Беларусь тор плохо, надо настраивать как в Китае, а с телефона орбот даже не подключается. Украина полная свобода интернета, за исключением блока нескольких российских сервисов, разблокируется элементарно. Европа, тор работает, но нужен впн для загрузки торрентов. Некоторые мобильные операторы блокируют торрент или может быть штраф за него.

Осталась 1 задача, получать днс с сенса в виртуалки, ну и хост еще в пфсенс забросить потом, когда все будет работать.

explorer ()
Ответ на: комментарий от explorer

при попытке повесить второй dhcp на lan

А первый там откуда взялся? Такое ощущение, что вы повесили все виртуалки на мост с wi-fi, и они ходят в инет напрямую, через роутер стоящий за точкой доступа.

pfsense получает dns от провайдера, как и ip он получает по dhcp.

Ещё раз: dns котрый получает pfsense, и dns котрый pfsense отдаёт по dhcp, прописаны в разных местах. Проверьте, что он выдаёт по dhcp, он может вообще не выдавать dns, если он не прописан в настройках dhcp.

У виртуалок ip фиксированный.

Надеюсь, выдаётся по dhcp?

По умолчанию в нем стоит порт 53, но он получается конфликтный. А почему нужно закрыть 53 вообще?

Нет никаких конфликтов, просто пров слушает весь трафик по 53 порту, и может подсовывать вам неправильные dns ответы, независимо от того, какой dns у вас прописан.

dns forwarding, он ,не он?

Нет, имеется ввиду виртуалка, которая будет выступать в роли dns сервера, находясь при этом в локальной сети. Естейственно ей надо будет откуда-то брать dns записи, Но способов получения dns записей достаточно много, я думаю вы сами сможете нагуглить «dns over https» и им подобные способы.

Вообще это опционально, и если вам нечего скрывать, и вас не беспокоит сбор статистики о посещённых вами ресурсах, то можно оставить dns в покое.

anonymous ()
Ответ на: комментарий от anonymous

Ага, спасибо про 53 и пояснения.

Как оно у меня.

Интернет. Дома 4g aнлим в вайфай свистке , раздается. Сейчас (не дома) вайфай с роутера (не моего ес-но) у роутера 192.168.1.1, наверное поэтому 3 дня долбался с пфсенсе и 192.168.1.1. На форуме давно, но спрашиваю редко, когда уже ну совсем никак, уперлось и никуда.

Pfsense сейчас адаптер 1 - bridge на wifi адаптер 2 бридж на internal network Пфсенс интерфейс 1 - WAN - em0 получает IP от провайдера, на нем dhcp и соответственно IP от точки доступа интерфейс 2 - LAN - em1, IP фиксированный (из группы 10.0.01-10.255.255.255) Это и есть решение проблемы.

У виртуалки IP фиксированный, dns пока гугла в виртуалке 8.8.8.8.. ДНС через https у меня в фаерфоксе включен ( виртуалке), но он только в нем, а виртуалки надо обновлять, и куча софта с выходом в интернет.

Все пингуется, все работает, но хочется убрать dns из настроек виртуалок и получать от пфсенсе, а не от дополнительной машины.

В пф сенсе есть опция включить второй dhcp и для сети LAN тоже. Но она не работает . При прописывании range IP виртуалок пфсенсе выдает ошибку.

В принципе я всегда и везде выходил в сеть только из виртуалок, никогда с хоста, хост ходит в нет только за обновлениями системы. Поэтому хост тоже заброшу в пфсенс за компанию.

Задача, чтобы вся эта виртуальная конструкция подключалась к любому вайфай, хоть раздача 4ж, хоть чужой роутер, хоть как. Подключение, далее пфсенсе, за ним виртуалки, каждая под свою задачу, ну и хост тоже в пфсенс для порядка. Сеть пошла, а днс пока нет.

А первый там откуда взялся? Такое ощущение, что вы повесили все виртуалки на мост с wi-fi, и они ходят в инет напрямую, через роутер стоящий за точкой доступа.

Нет все виртуалки сейчас пошли в нет через pfsense, только что теперь им нужен фиксированный IP и DNS. Первый dhcp от wifi в WAN pfsense.

explorer ()
Ответ на: комментарий от explorer

хочется убрать dns из настроек виртуалок и получать от пфсенсе

Сколько раз можно повторить про dhcp? Держи картинку, если текст не понимаешь. https://www.ccboot.com/upload/pfSense-4.jpg Тут прописывается dns, который выдаётся по dhcp, это в настройках dhcp сервера.

ДНС через https у меня в фаерфоксе включен ( виртуалке), но он только в нем

Описанное решение, как раз и нужно, чтобы вся сеть получала записи dns через защищённое соединение, без необходимости какой-либо настройки отдельных виртуалок или хостов стоящих после pfsense.

пфсенсе выдает ошибку

Я должен угадать, какую?

anonymous ()
Ответ на: комментарий от anonymous

Эту я включил, не помогло почему-то. А ошибка выскакивает когда настраиваю не через web, а на самой pfsense:

PHP errors • PHP ERROR: Type: 1, File: /etc/rc.initial.setlanip, Line: 417, Message: Uncaught Error: Cannot use string offset as an array in /etc/rc.initial.setlanip:417 Stack trace: #0 /etc/rc.initial.setlanip(430): console_configure_dhcpd(4) #1 {main}

Хотя на самой наверное не нужно у меня же в LANе никого нет, кто был бы резолвером, кроме pfsense

explorer ()
Ответ на: комментарий от anonymous

Извини, ступил, в виртуалке когда затер 8888 для теста, зaбыл прописать адрес пфсенс.

СПАСИБО тебе. Я б еще четвертый раз бы док по днс перечитывал бы.

Все, тема закрыта, все супер.

explorer ()
Ответ на: комментарий от explorer

в виртуалке когда затер 8888 для теста, зaбыл прописать адрес пфсенс

Так тоже не делайте, должна быть опция «получать настройки по dhcp», и она включена по умолчанию в большинстве дистрибутивов.

anonymous ()

И снова проблема с pfsense. На сей раз в qemu/kvm. В боксе все работает как надо. В общем, все по аналогии, с той лишь разницей, что не работает.

Со стороны LAN проблем нет. Виртуалки коннектятся к pfsense, все ок.

Со стороны WAN проблема. Пфсенсе не получает ip по dhcp от роутера. Со стороны роутера она отсутствует в списке подключенных.

В virtmanager в настройках виртуалки WAN соответствует virtual network interface, где source - host wifi, source mode = bridge, device model пробовал разные и virtio и e1000, ни одна не помогла.

Вот сейчас обратил внимание на фразу в virtmanager:

in most configurations, macvtap does not work for host to guest network communication

И правда он обе сетевухи, включая wlan (wifi) определяет как macvtap

target dev=«macvtap0»/>

Как заставить ее видеть тырнет? С аналогичными настройками виртуалбокс даже не жужжит, а KVM что? Тысяча настроек и совершенно неясен оптимальный их набор для конкретного случая.

И в чем вообще принципиальная разница бриджа виртуалбокса и бриджа qemu/KVM к физическому адаптеру?

explorer ()