Multi wan pfsense squid: MultiWAN в pfSense — подключение к двум провайдерам
MultiWAN в pfSense — подключение к двум провайдерам
Технология MultiWAN (подключение к нескольким провайдерам) существует в двух вариантах: распределение нагрузки (Load Balancing), режим основного и резервного канала (Failover).
В этом обзоре мы покажем как в pfSense настроить оба варианта MultiWAN, но для начала несколько ссылок на предыдущие обзоры по теме:
- Введение в pfSense
- Установка pfSense
- Настройка pfSense: сетевые интерфейсы
- Прокси-сервер в pfSense
- Прокси-сервер в pfSense, Часть2: антивирус и фильтры доступа
- [этот обзор] MultiWAN в pfSense
- pfSense — настройка удаленного доступа (IPSec VPN) для iPhone, iPad
Добавление WAN2
Итак, для реализации MultiWAN в нашем программном роутере должно быть как минимум 3 сетевых карты. Две для WAN и одна для нашей локальной сети. Если вы настраивали pfSense по нашим предыдущим обзорам, то у вас уже должно быть установлено две карточки. Выключаете pfSense, вставляете третью сетевуху, подключаете кабель, включаете комп.
Идем на WEB-интерфейс роутера. Там нам надо проследовать в Interfaces(assign) и добавить третью сетевую карту. Для этого нужно просто-напросто кликнуть мышью по кнопке Add, как показано на скриншоте.
После этого у вас появится еще одна сетевуха с названием OPT1. Главное, не забываем нажать кнопочку Save внизу!
Теперь идем в меню InterfacesOPT1. Ставим галку Enable Interface, затем переименовываем в более понятное название. Я написал WAN2. Далее выбираем тип подключения к интернету в поле Type. Описание всех остальных параметров приводить не будем, т.к. у вас уже должен быть опыт настройки WAN интерфейса из предыдущих обзоров.
По завершению настройки нажимаем Save внизу и Apply Changes вверху.
Проверка настроек
После настройки второго WAN интерфейса идем в меню StatusDashboard и убеждаемся, что все наши интерфейсы подключены и им присвоены IP-адреса.
В зависимости от типа каждого интернет-подключения, шлюзы там могут быть назначены автоматически (в случае ppp, pptp, pppoe, l2tp, dhcp) и вручную (в случае static). Нам важно проверить, что у каждого интерфейса WAN есть свой шлюз (Gateway). Для этого идем в меню SystemRouting. Смотрим на столбец (выделено желтым на скриншоте).
Помимо Gateway есть еще один интересный параметр — Monitor IP. По умолчанию он принимает тоже самое значение что и Gateway. В поле Monitor IP указан адрес, который pfSense постоянно мониторит на предмет доступности через соответствующий WAN интерфейс. Если этот адрес доступен, то pfSense считает, что это подключение к интернету работоспособно. Если недоступен, значит через этот интерфейс нет подключения к интернету. Если у вас какой-либо gateway не заполнен и/или вы хотите поменять значение Monitor IP, нужно нажать на кнопку редактирования напротив нужного WAN подключения.
Статус работоспособности можно посмотреть в меню StatusGateways
Настройка MultiWAN
Настройка MultiWAN выполняется в меню SystemRouting, в закладке Groups. Нажимаем кнопку добавить и в новом окне вписываем следующие параметры:
Group Name — произвольное имя группы MultiWAN.
Gateway Priority — приоритет между WAN интерфейсами. Если для обоих каналов выбрать одно и тоже значение, то MultiWAN будет работать по принципу Load Balancing. Если выбрать разные, то будет работать схема Failover. Основной канал будет с наименьшей цифрой.
Trigger Level — условие перехода с одного канала на другой. Возможные варианты: Member Down (отключение канала), Packet Loss (потери пакетов), High Latency (большие задержки), последний вариант — комбинация предыдущих двух.
Description — описание (необязательное поле)
Я у себя настроил вот так:
Нажимаем Save и затем Apply Changes.
Чтобы локальный службы pfSense, такие как прокси-сервер, антивирус и пр. корректно работали при разрыве одного из интернет-соединений, необходимо в меню SystemAdvance в закладке Miscellaneous установить галку Allow default gateway switching и сохранить это дело, нажатием кнопки Save внизу старницы.
Последнее что необходимо сделать — изменить правила в Firewall, а именно в правилах в качестве шлюза выставить общий шлюз (в своей конфигурации я его назвал MyMultiWAN). Идем в меню FirewallRules, переходим на закладку LAN, нажимаем кнопку редактирования нашего правила
Здесь выставляем Gateway, нажимаем Save и Apply Changes.
Проверка MultiWAN
Проверку проще всего делать с какого-нибудь компа локальной сети. Изначально пусть оба интернет-подключения у нас функционируют нормально. Откройте командную строку (cmd) и наберите там tracert macrodmin.blogspot.com
В результате выполнения команды вы увидите последовательность, по которой проходит трафик от вас до выбранного узла в интернете.
Теперь выдернете провод первого WAN, подождите минутку и попробуйте заново сделать tracert macrodmin.blogspot.com
Последовательность должна быть уже другой, т.к. трафик пойдет через WAN2.Вот и всё. Удачи в освоении! 🙂
Похожие посты
Tutorial Pfsense — Multiple Wan link Load-balancing [ Step by Step ]
Skip to content
- Home
- Tutorials
- Books
- Youtube Channels
- About
- English
- Português
- Español
- Deutsch
- Français
- Nederlands
- Русский
- 日本語
- 简体中文
- हिन्दी
- العربية
- Italiano
- 한국어
Search for:
Настройка pfSense: сетевые интерфейсы — Сисадминство
Продолжим настраивать pfSense. На данном этапе стОит немного времени уделить настройкам сетевых интерфейсов. Если вы руководствовались нашим предыдущим обзором по установке pfSense, то в вашей системе уже должно быть как минимум два сетевых адаптера — LAN и WAN.
Заходим на web-морду и направляемся в меню InterfacesПри наведении курсора на меню появится список, в котором первый пункт будет называться (assign), а другие пункты будут называться по именам сетевых интерфейсов. Раздел assign предназначен для добавления, редактирования и удаления всевозможных сетевых интерфейсов (подробнее об этом в конце статьи). Если у вас простая локальная сеть, для которой нужно сделать выход в интернет, то двух интерфейсов LAN и WAN вам должно хватить за глаза.
Чем больше ваша сеть, тем больше вероятность того, что двух стандартных сетевых интерфейсов будет не достаточно. В некоторых ситуациях имеет смысл вывести все сервера в отдельный сегмент, создать гостевую сеть и/или DMZ. Как видите, вариантов может быть достаточно много. Помимо этого подключение к интернету может осуществляться через двух провайдеров. Эта схема подключения называется Multi-WAN, мы обязательно рассмотрим настройку Multi-WAN в pfSense в следующих обзорах.
Настройка LAN
Идем в меню InterfacesLAN, где наблюдаем окно следующего содержания:
- Галка Enable Interface включает и выключает интерфейс в глобальном смысле этого понятия.
- Description — описание. Здесь я обычно пишу что-нибудь короткое и подходящее по смыслу, например, в какую подсеть смотрит сетевуха.
- Type — тип интерфейса и способ получения IP-адреса. static — адрес прописываете сами, DHCP — выдается автоматически. Варианты PPTP, PPPoE — для подключения к интернет-провайдерам. Эти варианты мы рассмотрим чуть позже при настройке WAN-интерфейса.
- В соответсвующем поле при необходимости можно выставить нужный MAC-адрес. Чаще всего это бывает нужно у некоторых провайдеров. Тоже самое относится к MTU и MSS.
- Настройка Speed and duplex скорей всего заинтересует только маньяков, ибо в нормальных условиях там никто ничего не меняет.
- Для интерфейса LAN выбран тип static, поэтому в графе IP address вы вписываете нужный адрес самостоятельно.
- Gateway — добавлять шлюзы нужно только на интерфейсах «смотрящих» в интернет.
- Последние две галки отвечают за безопасность, если можно так выразиться. Они блокируют прохождения трафика с частных IP-адресов. По хорошему эти галки нужно ставить только на интернет-подключения.
Скорее всего в интерфейсе LAN уже все будет настроено так как надо еще с момента установки pfSense, когда мы вводили параметры в консоль. Но если вы вдруг чего-либо измените, то после выставления всех настроек не забывайте нажать кнопку Save внизу. Сразу за этим в верхней части экрана появится предупреждение:
Здесь говорится о том, что настройки были изменены и для того чтобы они вступили в силу нажмите кнопку Apply Changes. Что нужно сделать, думаю понятно 🙂
Настройка WAN
Идем в меню InterfacesWAN, где наблюдаем уже знакомое окно.
Дома и в небольших конторах подключение к интернету осуществляется через PPPoE или PPTP соединение в сети провайдера. Например, если мы укажем тип PPPoE, то у нас появятся следующие поля:
- Username, Password, Service name — это вам должен дать провайдер.
- Галка Dial on demand означает, что подключение будет происходить только тогда, когда это нужно. Если галку не ставить, то соединение будет функционировать постоянно.
- Idle timeout — время ожидания перед разъединением. Работает только при установленной галке Dial on demand.
- Опция Periodic reset — это для тех, кто слышал прикол «не было ни единого разрыва с ноября прошлого года…». Можно задать интервалы времени когда подключение будет пересоздаваться принудительно, чтобы не расстраивать вас разрывами в самый неподходящий момент.
- Как уже говорилось выше, по необходимости выставляется MTU и MSS. Если рекомендаций провайдера никаких нет, то поля оставляем пустыми. если ваш провайдер делает привязку по MAC-адресу своих абонентов, то нужный MAC введите в поле MAC-address.
Если подключение к интернету осуществляется без создания каких-либо подключений, то Type выбираете static, настраиваете IP-адрес и добавляете Gateway. Если у вас провайдер один, то не забудте поставить галку Default gateway (шлюз по умолчанию), тот который выдал вам провайдер.
Все шлюзы, которые вы добавите будут доступны в специальном разделе, куда можно попасть через меню SystemRouting.
Что касается двух последних галок, то на WAN интерфейсе pfSense сам обе галки.
Не забываем нажать кнопку Save внизу и Apply Changes вверху страницы.
Что еще необходимо?
После настройки сетевых интерфейсов вам понадобится еще две вещи — это DNS форвардинг и DHCP-сервер. Первый преобразует имена в IP-адреса, второй — раздает адреса компьютерам вашей локальной сети.
DNS форвардинг по умолчанию включен, и все что нужно сделать — добавить адреса DNS серверов (которые вам должен был выдать провайдер) и вписать их в соответствующий раздел в меню SystemGeneral Setup.
Если у вас несколько подключений к интернету, то для каждого DNS-сервера необходимо будет указать, через какой шлюз к нему обращаться (ниспадающий список Use gateway).
DHCP-сервер настраивается в меню ServicesDHCP-server:
Здесь в виде закладок будут перечислены все сетевые интерфейсы со статическими адресами. У нас только одна закладка — LAN. Первая галка отвечает за включение/выключение DHCP-сервера на данном интерфейсе.
Самое интересное для нас — это поля Range. Тут указывается диапазон адресов, которые будут раздаваться компьютерам сети. Есть и другие важные параметры, например, DNS servers, WINS servers и Gateway. В pfSense сделано так, что если поля этих параметров не заполнять, то роутер автоматически подставит туда свой IP-адрес интерфейса.
Если нужно некоторым компьютерам постоянно выдавать одни и те-же адреса, то внизу страницы есть табличка соответствия, здесь можно сделать привязку IP-адреса по МАС-адресу. Над табличкой есть кнопка Save. При внесении изменений на странице DHCP-сервера не забывайте нажимать на нее.
В принципе, при таких настройках, компьютеры сети должны беспрепятственно выходить в интернет. Этому способствуют еще два фактора: NAT (меню FirewallNAT, закладка Outbound), который после установки работает в автоматическом режиме
и базовое правило на встроенном firewall (меню FirewallRules, закладка LAN), которое разрешает прохождение трафика из локальной сети в интернет.
Вместо заключения…… можно почитать немного нудной теории… 🙂Сетевые интерфейсы могут быть как физическими в виде отдельных сетевых карт, так и логическими, например, когда на одну сетевую карту подается сразу несколько подсетей, каждая в отдельном VLAN’е. Другой пример логический сетевых интерфейсов — PPPoE, PPTP, например, для объединения нескольких офисов. Вариант применения VLAN’ов хорош тем, что на роутере физически может быть всего одна сетевая карта и на неё будет привязано несколько логический интерфейсов. Недостатка два: скорости сетевухи может не хватить на передачу данных по всем сетям одновременно, для реализации этой затеи ваши коммутаторы должны поддерживать стандарт 802.1q, что чаще всего недоступно для дешевого сетевого оборудования.
Рассмотрим раздел assign в меню Interfaces:
- На первой закладке Interface Assignements представлен список всех сетевых интерфейсов. Слева идут названия, в ниспадающих списках по центру можно выбрать к какой физической сетевухе или VLAN’у будет привязан тот или иной интерфейс. Правее кнопки удаления уже созданных интерфейсов и самая нижняя кнопка — добавление интерфейса.
- Вторая закладка Interface Groups — здесь можно объединить несколько физических сетевых карточек в одну логическую. Делается для увеличения полосы пропускания трафика или для резервирования. Например, если объединить две физических сетевухи в один логический канал, но каждую из них подключить к разным коммутаторам одной сети, то в случае поломки одного из коммутаторов связь у нас не оборвется.
- Третья закладка Wireless. В комп можно вонткнуть беспроводную сетевую карту и сделать из нее точку доступа. Это магическое превращение как раз настраивается здесь.
- Четвертая закладка VLANs. Здесь указываются номера VLAN’ов, которые нам необходимо «подтянуть» на определенную физическую сетевуху.
- Закладка PPPs. Здесь мы создаем туннели, например, если нам нужно связать несколько офисов одной сетью.
- И еще одна интересная закладка — Bridges, тут можно объединить несколько сетевых интерфейсов для сквозного прохождения трафика между ними.
Фух! На этом пока всё, начинаем писать продолжение…
Да, кстати, все остальные обзоры про pfSense вы можете почитать по ссылкам:
- Введение в pfSense
- Установка pfSense
- [этот обзор] Сетевые интерфейсы в pfSense
- Прокси-сервер в pfSense
- Прокси-сервер в pfSense — Часть 2: антивирус и фильтры доступа
- MultiWAN в pfSense — подключение к двум провайдерам
- pfSense — настройка удаленного доступа (IPSec VPN) для iPhone, iPad
Похожие посты
3. Настройка pfSense (разрешить ICMP) — Записная книжка компьютерщика
Итак, теперь мы имеем работающий pfSense на отдельном компьютере. Как это выглядит:
- WAN (смотрит в инет) — на первое время подключен в локальную сеть предприятия, где свободно гуляет интернет раздаваемый роутером DIR-300 на адресе 192.168.0.254. IP-адрес WAN-интерфейса = 192.168.0.50 (назначился автоматом при помощи DHCP роутера)
- LAN (смотрит во вновь созданную локальную сеть 192.168.2.0/24). IP-адрес pfSense в локальной сети = 192.168.2.253 (назначен статически)
Знакомство с pfSense
Отныне будем работать на Клиенте с IP-адресом 192.168.2.3.
Открываем в браузере адрес 192.168.2.253. Принимаем риск и добавляем в исключения.
Вводим: admin pfsense
Загружается Wizard (мастер настройки), игнорируем его нажатием на логотип pfSense и выходим в WEB-интерфейс настройки
Заходим Status -> Interfaces и смотрим настройки сетевых интерфейсов:
Теперь попробуем на клиенте пропинговать следующие адреса:
- 192.168.2.253 (адрес нашего шлюза pfSense)
- 192.168.0.50 (внешний адрес нашего шлюза pfSense)
- 192.168.0.254 (внутренний адрес DIR-300)
- IP-адрес любого компьютера в рабочей сети
- Адрес любого сайта в интернете
Все пинги должны проходить успешно, интернет на клиенте должен работать.
Теперь переходим на любой рабочий компьютер в сети предприятия и пробуем пропинговать pfSense по адресу 192.168.0.50. И тут-то возникает проблема.
По идее он должен пинговаться, так как никаких запрещающих правил мы не устанавливали. Да и в случае необходимости доступа из-вне pfSense нас не запустит. Я долго искал причину этой проблемы в интернете, но натыкался лишь на статьи по добавлению разрешающих правил в фаервол для ICMP-пакетов, что, конечно же, не помогало.
pfSense не пингуется WAN
Причина этой проблемы была описана в предыдущей статье, а именно:
Более того, я также рекомендую чтобы адрес WAN-порта не был частным IP (т.е. 192.168.0.0/24 или 172.16.0.0/16 или 10.0.0.0/8), иначе при стандартных настройках будут возникать проблемы (об одной из них и о её решении я расскажу далее)
Перед тем как решать проблему запустите на любом рабочем компьютере сети предприятия бесконечный пинг адреса 192.168.0.50 с помощью команды:
ping 192.168.0.50 -t
В командной строке должны постоянно появляться сообщения «Превышен интервал ожидания для запроса.«. Оставьте окно на видном месте и переходите к клиенту.
В поиске причины данной проблемы я набрёл на интересный флажок: Disable all packet filtering. Находится он в System -> Advanced -> вкладка Firewall/NAT -> строка Disable Firewall. Поставьте галочку, нажмите Save внизу страницы. Должно появиться сообщение об успешном применении изменений. Взглянем на командную строку рабочего компьютера — пинг пошёл? Если пошёл, то мы на верном пути. Мы сейчас отключили фаервол и всё заработало, значит всё-таки это он не даёт проходить ICMP-пакетам через себя (хотя в Firewall -> Rules вроде нет никаких запрещающих правил). Включаем фаервол обратно убрав галочку и нажав кнопку Save внизу страницы. Пинги должны исчезнуть.
Теперь идем в Status -> System Logs -> вкладка Firewall
Видим все пакеты заблокированные нашим фаерволом, ищем ICMP-пакет, что соответствует нашим пингам
Из строки понятно что: Заблокирован пакет 28 января в 01:08:50 (кстати время не верное) на интерфейсе WAN от IP-192.168.0.191 (один из компьютеров сети предприятия) направленный в сторону IP-192.168.0.50 (внешний адрес pfSense). Понятно, но почему же он блокируется? А узнать это можно нажав на красный крестик отмеченный стрелочкой.
Ключевая фраза здесь Block private networks from WAN block 192.168/16. Вбиваем в яндекс запрос типа pfsense Block private networks from WAN block 192.168/16 и узнаём что решение проблемы находится в разделе Interfaces -> WAN -> раздел Private networks -> флажок Block private networks.
Переведя пояснение узнаём о предназначении флажка:
Когда установлена эта опция, блокируется весь трафик с IP-адресов разрешенных как частные сети по стандарту RFC 1918 (10/8, 172.16/12, 192.168/16) и loopback (127/8). Вы должны отключить эту опцию если ваш WAN-интерфейс находится в пределах частных сетей.
Снимаем флажок, нажимаем кнопку Save внизу страницы, нажимаем кнопку Apply changes вверху страницы, смотрим на пинг. Пошёл?? Нет? Как нет?!
Идём снова в Status -> System Logs -> вкладка Firewall, ищем свежий ICMP-пакет, нажимаем на красный крестик и что видим…
Сообщение изменилось, уже радует, но что теперь не так? Теперь система ссылается на Default deny rule IPv4 что это? Это Правило запрета для IPv4 установленное по-умолчанию. Теперь нам просто нужно сделать исключение для ICMP-пакетов. Делается это здесь: Firewall -> Rules -> вкладка WAN -> Значок с плючиком для добавления нового правила.
Но, что мне нравится в pfSense, так это то что он сделан для людей! 🙂 Жмём на маленький зеленый плюсик в строке с блокированным ICMP-пакетом. Называется она Easy Rule: Pass this traffic. Система спросит подтверждения — соглашаемся. И вуаля! Пинг пошёл!!! В списке правил появилось новое правило для ICMP-пакетов на адрес 192.168.0.50 с адреса 192.168.0.191. Теперь нам нужно подредактировать его для более широкого применения. Жмем на кнопку с буквой e:
Изменяем:
- ICMP type на any
- Sourse на any
- Destination на WAN address
Нажимаем Save, затем Apply changes.
Всё, теперь наш pfSense из WAN-порта будет беспрепятственно пинговаться.
Общие настройки
Как Вы могли заметить, в логах у нас неправильное время (хотя может Вам повезло с часовым поясом и у Вас всё правильно)
- Заходим в System -> General Setup
- Указываем Hostname, например, proxy
- Указываем Domain, у меня домен pb.net
- Time zone меняем на свою временную зону
- Жмём Save
Теперь Вы можете обращаться к WEB-интерфейсу как к https://proxy
Зайдите Status -> Dashboard и проверяем правильно ли показывает время в строке Current date/time
Содержание
(Просмотрено 28 500 раз, 1 раз за сегодня)
с вашего сайта.
Прокси-сервер в pfSense — Часть 2: антивирус и фильтры доступа
На этот раз рассмотрим работу прокси-сервера в роутере pfSense совместно с антивирусом, а так же затронем тему ограничения доступа к сайтам различных категорий. Естественно, что для решения этих задач, у вас уже должен работать прокси-сервер, как его настраивать в pfSense мы рассказывали в прошлом обзоре.
На всякий случай приведу быстрые ссылки на все предыдущие статьи про pfSense:
- Введение в pfSense
- Установка pfSense
- Настройка pfSense: сетевые интерфейсы
- Прокси-сервер в pfSense
- [этот обзор] Прокси-сервер в pfSense — Часть 2
- MultiWAN в pfSense — подключение к двум провайдерам
- pfSense — настройка удаленного доступа (IPSec VPN) для iPhone, iPad
Итак, для решения поставленной задачи нам нужно установить два пакета: HAVP antivirus и SquidGuard. В прошлом обзоре мы подробно рассказали как устанавливать пакеты в pfSense, поэтому сейчас мы не будем на этом заострять внимание.
Как это работает
Изначально этого раздела не было в нашем обзоре, но учитывая комментарии наших постоянных читателей, мы решили внести некоторую ясность.
Итак, вот схема (кликните для увеличения):
HAVP (антивирус) по сути является самостоятельным мини-прокси, который только фильтрует вирусы. Для работы ему необходим отдельный порт (по умолчанию в pfSense используется 3125). Затем отфильтрованный трафик он отдает основному прокси-серверу Squid, который работает через порт 3128. Этот трафик по необходимости фильтруется контентным фильтром SquidGuard и после этого отдается компьютерам локальной сети. Как вы понимаете, такая многоступенчатая фильтрация требует определенных ресурсов, поэтому если pfSense установлен на слабую машину, вы можете получить ощутимые тормоза при серфинге в интернете.
Настройка Антивируса
Идем в меню Services\Antivirus, затем переходим на закладку HTTP Proxy и выставляем следующие опции:
Enable — ставим галку. Это главный тумблер антивируса.
Proxy Mode — Parent for Squid. Связываем его с нашим прокси-сервером.
Proxy Interface — LAN. Указываем сетевой интерфейс, на котором он будет работать.
Proxy port — оставляем по умолчанию, в моем примере 3125
language — Russian. Чтобы антивирус все свои сообщения для пользователей выводил на понятном языке 🙂
Все параметры продублированы на скриншоте. После настройки не забываем нажать кнопку Save внизу страницы!
Теперь переходим на закладку Settings. Эти настройки уже не так важны, как на предыдущей закладке, но тем не менее выставить их не помешает.
Первый параметр — частота обновления антивирусных баз. Я выставил 1 час, он вы можете взять любое другое удобное значение.
Второй параметр — Регион зеркала для обновления баз. Выставляйте ближайший к себе.
И последнее что я сделал — включил логирование событий — галка Log.
Нажимаем кнопку Save.
Проверка сопряжения с прокси-сервером.
Переходим в меню Services\Proxy server и в первой закладке проматываем страницу в самый низ. В поле Custom Options у нас должно появиться несколько записей про антивирус havp:
Если всё так, то нажимаем кнопку Save.
Теперь переходим в меню Status\Services:
Нам здесь нужно убедиться, что службы havp и squid работают: статус должен быть Running. Если это не так, попробуйте нажать на кнопку Start (указал стрелкой на скриншоте).
Если не поможет, перезагрузите pfSense через меню Diagnostics\Reboot. Когда я настраивал у меня по непонятным для меня причинам служба havp запустилась сама минут через 5 после перезагрузки роутера.
Проверка антивируса
Есть специальный сайт, откуда можно «скачать» вирус. Наш HAVP должен его не пропустить и сказать об этом пользователю.
Вот вам ссылочка для проверки — http://www.rexswain.com/eicar.zip
Попробуйте зайти по ней. В ответ у вас должно появиться следующее:
Настраиваем фильтры SquidGuard
Для ограничения доступа к различным сайтам мы будем использовать фильтр SquidGuard. Настройка этого компонента производится в меню Services\Proxy filter. Для начала включаем черные списки — установите галку Blacklist, а затем в поле Blacklist URL добавьте адрес для загрузки черных списков (например http://www.shallalist.de/Downloads/shallalist.tar.gz ). Нажимаем кнопку Save внизу страницы. После этих манипуляций идем в закладку Blacklist и жмем кнопку Download, чтобы скачать черные списки.
После скачивания SquidGuard перестроит базу известных ему сайтов, что может занять некоторое время. На моей относительно не слабой машине это заняло порядка 5-7 минут, а на сайте разработчика вообще написано, что этот процесс может занять до получаса. По завершению этого чудного процесса вы должны получить надпись «Blacklist update complete».
Теперь возвращаемся в закладку General Settings, выставляем галку Enable, можно активировать все галки логирования событий. Затем жмем Save внизу. В итоге должно получиться вот так:
После включения фильтра весь трафик будет блокироваться. Чтобы это исправить — идем в настройки по умолчанию, за которые отвечает закладка Common ACL. Там есть надпись Target Rules List, выделенная красным. Если по ней нажать, то раскроется список категорий сайтов, которые входят в blacklist. Напротив каждой категории можно выставить следующие значения:
- —— — не обрабатывать фильтром
- whitelist — не блокировать никогда, даже если перекрывается другими правилами
- deny — запрещать
- allow — разрешать
В самом конце списка будет категория Default access (доступ по умолчанию). Мы рекомендуем поставить там allow, а на «нужных» категориях ставить deny. Тем самым по умолчанию мы разрешим доступ куда угодно за исключением запрещенных категорий. Каждый раз когда вы будете менять доступ до категорий не забывайте нажимать Save внизу и кнопку Apply в закладке General settings.
Важное замечание: после нажатия кнопки Apply фильтр перенастраивается несколько минут, поэтому не торопитесь сразу проверять изменения.
Типовые задачи для фильтра SquidGuard
1. Ограничить доступ по времени
Для этого сначала нужно определить временные интервалы. Это делается в закладке Times. При добавлении временного интервала его название не должно содержать пробелы. В нашем примере мы сделали сложный интервал. По будням доступ разрешен с 8 до 18, а в выходные с 9 до 15.
Вы можете создать сколько угодно временных интервалов, затем их применять в пользовательских списках доступа.
2. Индивидуальные настройки категорий для компа
Это делается в закладке Groups ACL. Сделаем одно правило для админского компа. Назовеем правило adminPC, укажем его IP-адрес, в ниспадающем списке Time при желании можно указать временной интервал из предварительно созданных на шаге 1.
Категории сайтов при разворачивании у нас будут представлены двумя столбцами. Левый столбец определяет фильтрацию категорий в установленном нами временном интервале, а правый столбец наоборот — в остальное время.
Нажимаем Save. Созданные правила можно редактировать, выключать, удалять. Чтобы выключить какое-либо правило надо зайти в него,
установить саму первую галку — Disabled и сохранить правило.
3. Как добавить какой-либо сайт в белый список
В закладке Target Categories создаем новую категорию, куда добавляем нужные нам домены и/или нужные ссылки. Если у нас несколько адресов или доменов, то их можно вписать через пробел.
После создания категории, оно появится в общем списке категорий. Установите для нее режим доступа whitelist.
4. Как запретить загрузку файлов определенных типов
Создаем еще одну категорию, где в поле Extension вводим специальное регулярное выражение вида:
(.*\/.*\.(asf|wm|wma|wmv|zip|rar|mp3|avi|mpg|mpeg|mpv|mp3|vpu))
Список запрещаемых расширений файлов можете отредактировать сами. В итоге у вас должно получиться вот так:
Далее настраиваете режим доступа для созданной категории и дело в шляпе.
Самое главное на забывайте нажать кнопку Apply в закладке General Settings после всех манипуляций.
На этом пока всё. Удачи в освоении, ждем ваших коментариев!
Множественные подключения к глобальной сети | Документация по pfSense
Возможности pfSense® по множеству WAN (multi-WAN) позволяют межсетевому экрану использовать
несколько подключений к Интернету для обеспечения более надежного подключения и большего
пропускная способность. Прежде чем продолжить настройку нескольких WAN,
брандмауэр должен иметь конфигурацию с двумя функциональными интерфейсами (LAN и WAN).
pfSense может обрабатывать множество интерфейсов WAN с несколькими развертываниями
использование 10-12 глобальных сетей в производстве. Он будет масштабироваться даже выше, хотя мы
не знают об установках, использующих более 12 глобальных сетей.
Все интерфейсы типа WAN идентично обрабатываются в графическом интерфейсе пользователя. Все, что может быть
Сделать это с основной глобальной сетью можно также с помощью дополнительного интерфейса OPT WAN.
Существенных отличий между основной WAN и дополнительной нет.
WAN.
Эта глава начинается с рассмотрения вопросов, которые необходимо учитывать при внедрении любой
решение multi-WAN, затем охватывает конфигурацию multi-WAN с помощью программного обеспечения pfSense.
Выбор подключения к Интернету
Идеальный выбор подключения к Интернету будет во многом зависеть от вариантов.
доступны в данном месте, но необходимо учитывать некоторые дополнительные факторы
во внимание.
Кабельные трассы
Исходя из опыта тех, кто воочию видел эффекты
многократные кабельные поисковые экскаваторы, а также гнусные воры меди, это очень
Важно убедиться, что при выборе подключения для развертывания с несколькими глобальными сетями используется
разрозненные кабельные трассы. Во многих местах DSL-соединения, а также любые
другие, использующие медные пары, переносятся по одному кабелю с учетом того же
отрезок кабеля, и другие от той же телекоммуникационной компании, такие как оптоволоконные цепи, могут проходить вдоль
те же опоры или трубопроводы.
Если одно соединение идет по медной паре (DSL), выберите вторичное соединение.
с использованием другого типа и пути прокладки кабелей. Кабельные соединения обычно
наиболее широко доступный вариант, не подверженный таким же отключениям, как медь
Сервисы. Другие варианты включают оптоволоконную или фиксированную беспроводную связь, входящую в
другой путь от медных услуг.
Два соединения одного и того же типа не могут обеспечить избыточность в
большинство случаев. Отключение интернет-провайдера или обрыв кабеля обычно приводит к отключению всех подключений
того же типа.Некоторые пользователи pfSense используют несколько линий DSL или несколько кабелей.
модемы, хотя единственное, что обычно предлагает избыточность, — это изоляция сайта
из-за отказа модема или другого CPE (оборудования в помещении заказчика). Рассмотрим несколько
подключения от того же провайдера, что и решение только для дополнительной пропускной способности,
поскольку избыточность, которую предлагает такое развертывание, минимальна.
Пути в Интернет
Еще одним соображением при выборе подключения к Интернету для сайта является
путь от самого подключения к Интернету.В целях резервирования
несколько подключений к Интернету от одного и того же провайдера, особенно одного и того же
type, не следует полагаться на них, поскольку все они могут выйти из строя одновременно.
У более крупных провайдеров два разных типа подключения, например, оптоволоконная линия.
и DSL обычно проходит через существенно разные сети, пока не достигнет
основные части сети. Эти основные сетевые компоненты обычно проектируются
с высокой избыточностью, и любые проблемы решаются быстро, так как они
распространенные эффекты.Следовательно, такое подключение изолировано от большинства проблем с интернет-провайдерами,
но поскольку они обычно используют один и тот же кабельный тракт, он все равно покидает площадку
уязвимы к длительным отключениям из-за порезов кабеля.
Лучшее резервирование, большая пропускная способность, меньше денег
В прошлом высококачественные телекоммуникационные услуги, такие как каналы DS1 или DS3, были
выбор для сред с высокими требованиями к доступности. Обычно
Соглашения об уровне обслуживания (SLA), предлагаемые для соединений DS1 и DS3, были лучше
чем другие типы связи, и эти схемы обычно рассматривались как более
надежный.Однако конечные пользователи в значительной степени оставили такие схемы позади, потому что
они слишком медленные или слишком дорогие по сегодняшним меркам. С мульти-WAN
возможности pfSense, сайт может иметь большую пропускную способность и лучшую избыточность
во многих случаях за меньшие деньги. Оптоволоконные услуги быстро становятся все больше
широко распространены, встряхивая эту концепцию, предоставляя чрезвычайно большое количество
пропускная способность по относительно низкой цене, хотя такие услуги могут все еще иметь
менее чем желательное SLA для реагирования на отключение.
Большинство организаций, которым требуется подключение к Интернету с высокой доступностью, не хотят
полагаться на DSL, кабельное или другое широкополосное Интернет-соединение «меньшего класса».Хотя обычно они значительно быстрее и дешевле, меньшего SLA достаточно.
чтобы многие компании придерживались подключения к DS1 или DS3. В областях, где
доступны несколько более дешевых вариантов широкополосного доступа, таких как DSL и кабель,
сочетание pfSense и двух недорогих подключений к Интернету дает больше
пропускная способность и лучшее резервирование по более низкой цене. Шанс двух разных
одновременное отключение широкополосных соединений значительно меньше, чем
вероятность какого-либо сбоя в обслуживании.Добавление резервного кабеля или линии DSL к
добавление гораздо более быстрой оптоволоконной линии гарантирует, что подключение будет продолжаться, когда
на оптоволоконной линии происходит отключение, даже если это случается редко.
.Рецепты конфигурации
pfSense — пример конфигурации высокой доступности с несколькими WAN
HA также можно развернуть для резервирования межсетевого экрана в конфигурации с несколькими глобальными сетями.
В этом разделе подробно описана конфигурация VIP и NAT, необходимая для двойного WAN HA.
развертывание. В этом разделе рассматриваются только темы, относящиеся к HA и multi-WAN.
Определение назначения IP-адресов
В этом примере четыре IP-адреса будут использоваться в каждой глобальной сети. Каждый брандмауэр
требуется IP-адрес, плюс один CARP VIP для исходящего NAT, плюс дополнительный CARP
VIP для записи NAT 1: 1, которая будет использоваться для внутреннего почтового сервера в DMZ
сегмент.
WAN и WAN2 IP-адреса
Таблица IP-адресации WAN показывает IP-адресацию для обеих сетей WAN. В большинстве
среды это будут общедоступные IP-адреса.
IP-адрес | Использование |
---|---|
198.51.100.200 | Общий CARP VIP для исходящего NAT |
198,51.100.201 | Основной межсетевой экран WAN |
198.51.100.202 | Дополнительный межсетевой экран WAN |
198.51.100.203 | Общий CARP VIP для NAT 1: 1 |
IP-адрес | Использование |
---|---|
203.0,113,10 | Общий CARP VIP для исходящего NAT |
203.0.113.11 | Первичный межсетевой экран WAN2 |
203.0.113.12 | Дополнительный межсетевой экран WAN2 |
203.0.113.13 | Общий CARP VIP для NAT 1: 1 |
Адресация в локальной сети
Подсеть LAN — 192.168.1.0/24. В этом примере IP-адреса LAN будут
назначается следующим образом.
IP-адрес | Использование |
---|---|
192.168.1.1 | CARP общая LAN VIP |
192.168.1.2 | Первичный межсетевой экран LAN |
192.168.1.3 | Дополнительный межсетевой экран LAN |
DMZ Адресация
Подсеть DMZ — 192.168.2.0 / 24. В этом примере IP-адреса DMZ будут
назначены следующим образом в Таблице Назначения IP-адресов DMZ.
IP-адрес | Использование |
---|---|
192.168.2.1 | CARP общий DMZ VIP |
192.168.2.2 | Первичный межсетевой экран DMZ |
192.168.2.3 | Дополнительный межсетевой экран DMZ |
pfsync Адресация
На этом интерфейсе не будет общего CARP VIP, потому что нет необходимости
один. Эти IP-адреса используются только для связи между межсетевыми экранами.
В этом примере 172.16.1.0/24 будет использоваться в качестве подсети синхронизации. Только два IP
адреса будут использоваться, но / 24 используется для согласования с другими
внутренние интерфейсы. Для последнего октета IP-адресов тот же последний октет
поскольку LAN IP этого межсетевого экрана выбран для согласованности.
IP-адрес | Использование |
---|---|
172.16.1.2 | Первичная синхронизация межсетевого экрана |
172.16.1.3 | Синхронизация вторичного межсетевого экрана |
Конфигурация межсетевого экрана
В Multi-WAN должно быть установлено правило брандмауэра для передачи трафика на локальный компьютер.
сети, использующие шлюз по умолчанию.В противном случае, когда трафик попытается достичь
адрес CARP или из LAN в DMZ вместо этого будет выходить соединение WAN.
Правило должно быть добавлено вверху правил брандмауэра для всех внутренних
интерфейсы, которые будут направлять трафик для всех локальных сетей по умолчанию
шлюз. Важной частью этого правила должен быть шлюз по умолчанию
и ни одна из групп шлюзов переключения при отказе или балансировки нагрузки. Пункт назначения для
это правило будет локальной сетью LAN или псевдонимом, содержащим любые локальные
доступные сети.
.
Несколько подключений WAN — Использование OpenVPN с несколькими WAN
Серверы
OpenVPN могут использоваться с любой глобальной сетью или с несколькими глобальными сетями.
Клиенты OpenVPN. Этот документ касается только OpenVPN с удаленным доступом.
сервер, но аналогичный процесс может быть применен для VPN между сайтами.
Есть много разных способов настроить несколько WAN с OpenVPN на
Программное обеспечение pfSense® для удаленного доступа или виртуальных частных сетей. Многие из этих
были освещены в сентябре 2014 года во время видеовстречи pfSense на Youtube.
Конфигурация OpenVPN
Во-первых, заставьте OpenVPN работать должным образом на основном интерфейсе WAN. однажды
он исправен, сделайте резервную копию на всякий случай.
Привязать к локальному хосту и настроить переадресацию порта
Конфигурация OpenVPN должна быть изменена так, чтобы к ней можно было получить доступ из
либо WAN. Самый простой способ сделать это — изменить Интерфейс
в VPN-соединении должен быть Localhost , а затем добавить переадресацию порта
в каждой глобальной сети для перенаправления порта OpenVPN на Localhost (127.0.0.1).
Например: если есть две WAN и сервер OpenVPN работает на
порт 1194 , установите Interface на Localhost , затем добавьте два порта
нападающие:
WAN1 — UDP , источник *, назначение Адрес WAN1 порт 1194 ,
цель перенаправления 127.0.0.1 порт 1194WAN2 — UDP , источник *, назначение Адрес WAN2 порт 1194 ,
перенаправить цель 127.0.0.1 порт 1194
Настроить клиентов
Клиенты могут быть настроены на использование второй глобальной сети, добавив вторую
remote заявление к их конфигурации, например:
Где x.x.x.x — второй IP-адрес WAN или имя хоста.
Этот процесс можно автоматизировать с помощью экспорта клиента OpenVPN.
пакет. При экспорте клиента в Host Name Resolution выберите один
из:
Automagic Multi-WAN IP (цели переадресации портов): добавляет удаленный
оператор для каждого найденного переадресации порта, предназначенный для привязки интерфейса
и порт, используемый этой VPN, использует IP-адрес каждой WAN как есть.Имена хостов Automagic Multi-WAN DDNS (цели переадресации портов): как
выше, но использует первое обнаруженное имя хоста динамического DNS для данного
WAN. Если WAN является частным IP-адресом, это может быть лучшим выбором.
Более двух соединений WAN
Те же шаги можно повторить, чтобы добавить больше WAN-соединений. Добавить порт
вперед к любой дополнительной глобальной сети. Клиентам понадобится обновленный
файл конфигурации, если позже будет добавлена еще одна глобальная сеть.
.