Grundkonfiguration des Betriebssystems pfSense v.2.4.4-p2 in der SIM-Cloud

Wichtig

Nach der Installation des virtuellen pfSense-Betriebssystems empfehlen wir Ihnen, dessen Grundkonfiguration durchzuführen. Dabei werden die Netzwerkschnittstellen, Sicherheitseinstellungen und andere Faktoren konfiguriert, die zu einem korrekten und störungsfreien Betrieb des Betriebssystems beitragen.

  1. Vorbereitende Maßnahmen

    Um die internen und externen Netzwerkschnittstellen der erstellten pfSense-Instanz genau zu identifizieren, definieren Sie deren MAC-Adressen auf der SIM-Cloud-Seite.
    Verwenden Sie dazu die „Anleitungen in unserer Dokumentation <../../operations/network-operations/mac-for-eth-intf.html>“.
  2. Definieren der WAN (externen) und LAN (internen) Schnittstellen

Gehen Sie nach dem ersten Start von pfSense v.2.4.4-p2 auf seine Konsole (INSTANCE CONSOLE). Notiere die Übereinstimmung der Schnittstellen und ihrer MAC-Adressen.
Beantworten Sie als nächstes diese Reihe von Fragen:
  • VLANs werden nicht verwendet
Should VLANs be set up now[y|n]? n
  • Prüfen Sie anhand der zuvor notierten Informationen über die MAC-Adressen, welche Schnittstelle tatsächlich die externe ist (sollte dem Netz 172.16.0.0/20 entsprechen) und geben Sie diese an:
Enter the WAN interface name or 'a' for auto-detection
(vtnet0 vtnet1 or a): vtnet0
  • Die andere verbleibende Schnittstelle kann als lokal definiert werden:
Enter the LAN interface name or 'a' for auto-detection
NOTE: this enables full Firewalling/NAT mode.
(vtnet1 a or nothing if finished): vtnet1
  • In einem Fenster werden nun die letzten Details angezeigt. Wenn alles korrekt ist, speichern Sie die Einstellungen:
WAN  -> vtnet0
LAN  -> vtnet1

Do you want to proceed [y|n]? y
  1. Einrichten von IP-Adressen auf den Schnittstellen
Nachdem Sie die Einstellungen aus dem vorherigen Schritt übernommen haben, erscheint eine Willkommensnachricht, die die aktuellen Schnittstelleneinstellungen - ihre IP-Adressen und Empfangsmöglichkeiten - anzeigt.
Für das aktuelle Beispiel ist dies:
*** Welcome to pfSense 2.4.4-RELEASE-p2 (amd64) on pfsense ***

 WAN (wan)       -> vtnet0       -> v4/DHCP4: 172.16.0.3/20
 LAN (lan)       -> vtnet1       -> v4: 192.168.1.1/24
Hier werden die Einstellungen für die WAN-Schnittstelle über das DHCP-Protokoll empfangen und stimmen mit der in den Konfigurationsinformationen der Instanz angezeigten IP-Adresse überein.
Für die LAN-Schnittstelle wird automatisch eine Standard-IP-Adresse eingerichtet, die geändert werden muss.
  • Um die IP-Adresse für die Schnittstelle einzustellen, verwenden Sie die Option Nr. 2 (Set interface(s) IP address):
Enter an option: 2

Available interfaces:

1 - WAN (vtnet0 - dhcp, dhcp6)
2 - LAN (vtnet1 - static)
  • Geben Sie die Nummer der LAN-Schnittstelle ein:
Enter the number of the interface you wish to configure: 2
  • Geben Sie die auf dem Dashboard angezeigte lokale Adresse und die Subnetzmaske ein:
Enter the new LAN IPv4 address. Press <enter> for none:
> 192.168.1.4

Subnet masks are entered as bit counts (as in CIDR notation) in pfSense.
e.g. 255.255.255.0 = 24
     255.255.0.0   = 16
     255.0.0.0     = 8

Enter the new LAN IPv4 subnet bit count (1 to 31):
> 24
  • In den nächsten beiden Schritten drücken Sie einfach ‚Enter‘:
For a WAN, enter the new LAN IPv4 upstream gateway address.
For a LAN, press for none:
>

Enter the new LAN IPv6 address. Press for none:
>
  • Antworten Sie in den folgenden zwei Schritten mit “ No „:
Do you want to enable the DHCP server on LAN? (y/n) n
Disabling IPv4 DHCPD...Disabling IPv6 DHCPD...

Do you want to revert to HTTP as the webConfigurator protocol? (y/n) n
  • Nach dem Drücken der Eingabetaste ist zu sehen, dass die LAN-Schnittstelle nun die erforderliche IP-Adresse hat:
*** Welcome to pfSense 2.4.4-RELEASE-p2 (amd64) on pfsense ***

 WAN (wan)       -> vtnet0       -> v4/DHCP4: 172.16.0.3/20
 LAN (lan)       -> vtnet1       -> v4: 192.168.1.4/24
  1. Zugriff auf die pfSense-Web-Oberfläche konfigurieren

Um den pfSense-Provider-Router aus dem Internet konfigurieren zu können, führen Sie die folgenden Aktionen durch.

  • Hängen Sie eine Floating IP an die Schnittstelle mit einer Adresse aus dem Netzwerk 172.16.0.0/20. Um dies zu tun, lesen Sie den Artikel in unserer Dokumentation <https://docs.sim-cloud.net/ru/develop/about/network/floating-ip.html>_`.
  • Standardmäßig ist der Zugriff auf pfSense nur über eine LAN-Schnittstelle erlaubt. Um den Zugriff über WAN und über die INSTANZKONSOLE zu ermöglichen, deaktivieren Sie vorübergehend die Firewall in pfSense. Verwenden Sie dazu die Option Nr. 8 (Shell), um auf eine Kommandozeilenschnittstelle zuzugreifen, von der aus die Firewall deaktiviert werden kann:
Enter an option: 8

[2.4.4-RELEASE][root@pfSense.localdomain]/root: pfctl -d
pf disabled

Nun können Sie auf das pfSense-Webinterface zugreifen, indem Sie die Floating IP verwenden und die folgende URL in den Browser eingeben: „https://floating IP/“, z.B. https://156.67.54.256/.

… Warnung:: Wenn sich der Router während dieses Schrittes in einem ungeschützten Zustand befindet, müssen die Aktionen aus dem folgenden Schritt so schnell wie möglich abgeschlossen werden.

  1. Endgültige Konfiguration der pfSense über das Webinterface
  • Änderung des Passwortes für den Benutzer ‚admin‘

    Gehen Sie im Bereich ‚System > Benutzerverwaltung‘ auf den Reiter ‚Benutzer‘.
    Klicken Sie auf die Schaltfläche ‚Benutzer bearbeiten‘ (mit Stiftsymbol) für den Benutzer ‚admin‘. Es öffnet sich ein Fenster mit den Eigenschaften für diesen Benutzer.
    Geben Sie im Feld ‚Kennwort‘ das neue Kennwort ein, bestätigen Sie es und speichern Sie die Änderungen durch Klicken auf die Schaltfläche ‚Speichern‘ am unteren Rand.
  • Zugriff auf die pfSense-Web-Oberfläche von der definierten IP aus gewähren

    Gehen Sie dazu im Menü ‚Firewall > Regeln‘ auf den Reiter ‚WAN‘ und fügen Sie die Regel gemäß der Tabelle hinzu:

    Action Pass  
    Interface WAN  
    Address Family IPv4  
    Protocol TCP  
    Source Single host or alias Here specify the IP address from which access is required to the pfSense web interface
    Destination WAN address  
    Destination Port Range HTTPS Allow access by https only

    Speichern Sie die Regel durch Klicken auf Save und übernehmen Sie sie durch Klicken auf ‚Apply changes‘.

  1. Erlaubte Adresspaare

    Es bleibt nun noch, das erlaubte Adresspaar für die LAN-Schnittstelle von Seiten der SIM-Cloud anzugeben.
    Dies ist notwendig, damit der Netzwerkverkehr aus dem lokalen Netz über die pfSense laufen kann.
    Dieser Vorgang ist in unserem Artikel <../../operations/network-operations/allowed-address-pairs.html> ausführlich beschrieben.