Базовая настройка операционной системы pfSense v.2.4.4-p2 в SIM-Cloud

Важно

После установки виртуальной ОС pfSense рекомендуется произвести её базовую настройку. При этом будут сконфигурированы сетевые интерфейсы, настройки безопасности и другие вещи влияющие на корректную и бесперебойную работу ОС.

  1. Предварительные действия

    Для точной идентификации внутреннего и внешнего сетевых интерфейсов созданного инстанса pfSense, определим их MAC адреса со стороны SIM-Cloud.
  2. Определение WAN (внешнего) и LAN (внутреннего) интерфейсов

После первого запуска инстанса pfSense v.2.4.4-p2 перейдём в его консоль (INSTANCE CONSOLE). Запомним соответствие интерфейсов и их MAC адресов.
После чего ответим на ряд вопросов:
  • VLAN-ы использовать не будем
Should VLANs be set up now[y|n]? n
  • По собранной раннее информации про MAC адреса убедимся какой именно интерфейс у нас является внешним (должен относиться к сети 172.16.0.0/20) и укажем его:
Enter the WAN interface name or 'a' for auto-detection
(vtnet0 vtnet1 or a): vtnet0
  • Второй, оставшийся интерфейс укажем как локальный:
Enter the LAN interface name or 'a' for auto-detection
NOTE: this enables full Firewalling/NAT mode.
(vtnet1 a or nothing if finished): vtnet1
  • Тут увидим окно с финальной информацией, если все верно - сохраним настройки:
WAN  -> vtnet0
LAN  -> vtnet1

Do you want to proceed [y|n]? y
  1. Установка IP адресов на интерфейсах
После применения настроек из предыдущего шага, появится приглашение в котором будут отображены текущие настройки интерфейсов - их IP адреса и способ получения.
Например нашем случае, это:
*** Welcome to pfSense 2.4.4-RELEASE-p2 (amd64) on pfsense ***

 WAN (wan)       -> vtnet0       -> v4/DHCP4: 172.16.0.3/20
 LAN (lan)       -> vtnet1       -> v4: 192.168.1.1/24
Тут, для WAN интерфейса настройки получены по DHCP протоколу и совпадают с IP адресом отображающимся в информации про настройки инстанса.
Для LAN интерфейса, автоматически установлен IP адрес по умолчанию и его нужно поменять.
  • Чтобы задать IP-адрес интерфейсу используем опцию №2 (Set interface(s) IP address):
Enter an option: 2

Available interfaces:

1 - WAN (vtnet0 - dhcp, dhcp6)
2 - LAN (vtnet1 - static)
  • Введём номер интерфейса LAN:
Enter the number of the interface you wish to configure: 2
  • Введём локальный адрес, указанный в панели управления и маску подсети:
Enter the new LAN IPv4 address. Press <enter> for none:
> 192.168.1.4

Subnet masks are entered as bit counts (as in CIDR notation) in pfSense.
e.g. 255.255.255.0 = 24
     255.255.0.0   = 16
     255.0.0.0     = 8

Enter the new LAN IPv4 subnet bit count (1 to 31):
> 24
  • На следующих двух шагах просто нажимаем Enter:
For a WAN, enter the new LAN IPv4 upstream gateway address.
For a LAN, press for none:
>

Enter the new LAN IPv6 address. Press for none:
>
  • На следующих двух шагах отвечаем - нет:
Do you want to enable the DHCP server on LAN? (y/n) n
Disabling IPv4 DHCPD...Disabling IPv6 DHCPD...

Do you want to revert to HTTP as the webConfigurator protocol? (y/n) n
  • После нажатия Enter, увидим, что LAN интерфейсу присвоен нужный IP адрес:
*** Welcome to pfSense 2.4.4-RELEASE-p2 (amd64) on pfsense ***

 WAN (wan)       -> vtnet0       -> v4/DHCP4: 172.16.0.3/20
 LAN (lan)       -> vtnet1       -> v4: 192.168.1.4/24
  1. Настройка доступности к веб-интерфейсу pfSense

Для того чтобы иметь возможность конфигурировать виртуальный роутер pfSense из сети интернет выполним ряд мероприятий.

  • Привяжем плавающий IP к интерфейсу с адресом из сети 172.16.0.0/20. Для этого воспользуемся статьёй в нашей документации <https://docs.sim-cloud.net/ru/develop/about/network/floating-ip.html>_.
  • По умолчанию доступ к pfSense разрешён только через LAN интерфейс. Чтобы получить доступ через WAN, через консоль (INSTANCE CONSOLE) временно отключим firewall в pfSense. Для этого используем опцию №8 (Shell) чтобы попасть в интерфейс командной строки, где выполним отключение firewall:
Enter an option: 8

[2.4.4-RELEASE][root@pfSense.localdomain]/root: pfctl -d
pf disabled

Теперь можно зайти в веб-интерфейс pfSense используя плавающий IP и набрав в браузере URL «https://плавающий-IP/», например https://156.67.54.256/.

Предупреждение

Поскольку на данном этапе роутер находится в незащищённом состоянии, действия из следующего шага нужно выполнить как можно скорей.

  1. Финальная настройка pfSense через веб-интерфейс
  • Замена пароля для пользователя «admin»

    Перейдем в меню «System > User Manager» на вкладку «Users».
    После нажатия кнопки «Edit user» (иконка с изображением карандаша) для пользователя «admin», откроется окно со свойствами пользователя.
    Тут, в поле «Password» нужно вписать новый пароль, подтвердить его и сохранить изменения нажатием на кнопку «Save» внизу страницы.
  • Пропишем доступ к веб-интерфейсу pfSense с определённого IP

    Для этого перейдем в меню «Firewall > Rules» на вкладку «WAN» и добавим («Add») правило согласно таблице:

    Action Pass  
    Interface WAN  
    Address Family IPv4  
    Protocol TCP  
    Source Single host or alias тут укажем IP адрес с которого нужно разрешить доступ к веб-интерфейсу pfSense
    Destination WAN address  
    Destination Port Range HTTPS разрешим доступ только по https

    Сохраним правило нажатием на кнопку «Save» и применим его нажатием на кнопку «Apply changes».

  1. Разрешённая пара адресов

    Теперь осталось прописать разрешённую пару адресов для LAN интерфейса со стороны облака SIM-Cloud.
    Это нужно для того, чтобы разрешить сетевой трафик из локальной сети через pfSense.
    Подробно этот процесс описан в нашей статье.