Поскольку я учился на своей ошибке, почему я не смог подключить мое WAN соединение к провайдеру TM Unifi из-за 1 галочки в настройках. Здесь я хочу поделиться тем, как по умолчанию настроить pfSense с TM Unifi.
Предварительное условие
-
PfSense установлен на любом оборудовании. Если он еще не установлен, вы можете ознакомиться с этой документацией от Netgate.
-
Пройдите через мастер начальной настройки pfSense.
Настройка WAN с помощью PPPoE
Поскольку в основном потребители используют TM Unifi, им будут предоставлены учетные данные PPPoE для подключения к Интернету. Это настраивается в основном их техническим персоналом, когда мы впервые устанавливаем домашнее оптоволокно у себя дома.
Теперь это текущая архитектура домашней сети.
Как вы видите на схеме выше, мы хотим использовать pfSense в качестве основного маршрутизатора и брандмауэра, а другой маршрутизатор TM Unifi мы можем использовать в качестве точки доступа.
Шаг 1:
Итак, первое, что вам нужно сделать, перейти в pfSense WebGUI и войти в систему.
Шаг 2:
Перейдите на вкладку Interfaces -> Assignments -> VLANs.
Добавьте новый тег VLAN 500,
Примечание: TM Unifi использует VLAN 500 для подключения к Интернету, а для HyppTV — VLAN 600.
Parent Interface: <your_WAN_interface>
VLAN tag: 500
VLAN Priority: Blank
Description: TM UNIFI
и нажмите кнопку Сохранить.
Шаг 3:
Перейдите на вкладку Назначения интерфейсов, на интерфейсе ‘WAN’ отредактируйте сетевой порт.
VLAN 500 on <parent interface> (TM UNIFI)
# <parent_interface> that you configure on VLAN section.
и нажмите кнопку Сохранить.
Шаг 4:
Нажмите на интерфейс ‘WAN
# General Configuration
Enable: Yes # Enable interface
Description: WAN_TMUNIFI
IPv4 Configuration Type: PPPoE
IPv6 Configuration Type: None
MTU: 1480
MSS: Blank
# PPPoE Configuration
## contact TM Support Center for these details
Username: # Your PPPoE username
Password: # Your PPPoE Password
Service name: Blank
Host-Uniq; Blank
Dial on demand: Yes # Enable Dial-On-Demand mode
Idle timeout: 0
Periodic reset: Disabled
## Yeah the settings I miss is Dial on demand. We need to enable that for PPPoE connection to work.
# Reserved Networks
Block private networks and loopback addresses: Yes
Block bogon networks: Yes
и нажмите Сохранить и применить изменения.
Шаг 5:
Проверьте соединения PPPoE. Перейдите в раздел Состояние -> Интерфейсы
Примечание: Если вы видите, что ваш статический или динамический публичный IP-адрес правильный, а статус и PPPoE работает, то все в порядке. Если это не так, убедитесь, что VLAN и учетные данные PPPoE настроены правильно.
Теперь ваш PfSense подключен к Интернету. Ура.
Настройка локальной сети с помощью VLAN
Поскольку в качестве точек доступа мы используем маршрутизатор TM Unifi Router по умолчанию, давайте создадим VLAN для нашей домашней сети. В данном примере мы используем VLAN 30.
Шаг 1:
Перейдите в раздел Интерфейсы -> Назначения -> вкладка VLANs.
Добавьте новый тег VLAN 30,
Parent Interface: <your_LAN_interface>
VLAN tag: 30
VLAN Priority: Blank
Description: Home Network.
и нажмите Сохранить.
Шаг 2:
Вернитесь на вкладку Interface Assignments, нажмите + Add new Network Port in Interface Assignments.
Выберите нашу VLAN 30, которую мы создали ранее. Затем нажмите Сохранить.
Шаг 3:
Перейдите к ‘OPT1’ или любому OPT(ID), который имеет VLAN 30, настройте интерфейс
# General Configuration
Enable: Yes # Enable interface
Description: VLAN30
IPv4 Configuration Type: Static IPv4
IPv6 Configuration Type: None
MAC Address: Default
MTU: Blank
MSS: Blank
Speed and Duplex: Default
# Static IPv4 Configuration
IPv4 Address: 192.168.30.1/24
IPv4 Upstream gateway: None
# Note: None - since its on LAN it will use what's on WAN interface gateway.
# Reserved Networks:
Block private networks and loopback addresses: No
Block bogon networks: No
и нажмите Сохранить и применить изменения.
Отлично, теперь вы настроили VLAN 30 для вашей домашней сети и давайте создадим DHCP сервер для VLAN 30 для точек доступа, чтобы автоматически раздавать IP адреса.
Настройка DHCP-сервера для VLAN 30
Автоматическое распределение и назначение IP-адресов, шлюзов по умолчанию и других сетевых характеристик клиентским устройствам осуществляется сервером DHCP, который является одним из типов сетевых серверов.
Шаг 1:
Перейдите в раздел Службы -> DHCP-сервер. Затем перейдите к серверу DHCP VLAN30.
Шаг 2:
В разделе Параметры сервера DHCP VLAN30 настройте следующие параметры
# General Options
Enable: Yes # Enable DHCP server on VLAN30 interface
BOOTP: No
Deny unknow clients: Allow all clients
Ignored denied clients: No
Ignore client identifiers: No
Subnet: 192.168.30.0
Subnet mask: 255.255.255.0
Available Range: 192.168.30.1 - 192.168.30.254
Range: 192.168.30.11 - 192.168.30.254
# Note: Reserved first 10 IP address in the subnet for backup purposes. This IP addresses can be used for static IP for our Access Points or Management Devices.
# Additional Pools
# - Leave it is as default
# Servers
WINS servers: Default
DNS servers:
8.8.8.8
1.1.1.1
# OMAPI
# - Leave it is as default
# Other Options
Gateway: 192.168.30.1 # IP VLAN 30 on LAN interface
Domain name: Blank
Domain search list: Blank
Domain lease time: Blank
Maximum lease time: Blank
Failover peer IP: Blank
Static ARP: No
Time format change: No
Statistics graphs: No
Ping check: No
# - Leave it is as default for:
Dynamic DNS
MAC address control
NTP
TFTP
LDAP
Network Booting
Additional BOOTP/DHCP Options
Нажмите Сохранить.
Шаг 3:
Установите правило брандмауэра для VLAN 30, чтобы иметь возможность подключаться к Интернету.
Перейдите в раздел Брандмауэр -> Правила и выберите VLAN 30. Нажмите «Добавить стрелкой вверх» и отредактируйте правило брандмауэра.
Action: Pass
Disabled: No
Interface VLAN30
Address Family: IPv4
Protocol: Any
Source: Any
Destination: Any
Description: Allow INTERNET access
Примечание: Правила основаны на построчной конфигурации. По умолчанию, в конце строки будет «Запретить все правила». Это, по сути, блокирует все.
Шаг 4:
Настройте наши точки доступа с полным SSID и паролем. Это зависит от того, какую модель маршрутизатора вы используете. Как настроить или переключить маршрутизатор в режим точки доступа, смотрите в документации к модели.
Примечание: Убедитесь, что точка доступа имеет статический IP-адрес. Рекомендуется использовать безопасность WPA/WPA2-Personal.
Шаг 5:
Протестируйте подключение к Интернету. Подключитесь к Wi-Fi и убедитесь, что вы можете выполнить ping.
ping 192.168.30.1 # Your PfSense Router
ping 1.1.1.1
ping 8.8.8.8
ping google.com
ping cloudflare.com
Заключение
Поздравляю, теперь вы настроили базовую домашнюю сеть с помощью PfSense. Я бы хотел порекомендовать вам посмотреть этот Youtube Guy Lawrence Systems для более детальной настройки и конфигурации PfSense.