-= Блогът на GenMed =-

Блог за тези, които се интересуват от ИТ и не само

pfSense: повдигаме PPPoE сървъра и правим резервация на канал.

PfSense първоначално е създаден като разклонение на m0n0wall и е забележителен и с факта, че използва пакетния филтър OpenBSD pf. Няма смисъл да описвате всички характеристики на този дистрибутивен комплект, отидете на място и го прочетете сами. Единственото нещо, което все още не е там, е фактурирането на NetAMS, въпреки че знаещите хора изглежда са успели да го прецакат там.:-) Има и проект за разпределителния комплект за защитна стена за гладка стена, но все още не съм го използвал, така че не мога да кажа нищо.

И така, ще предположа, че дистрибуцията вече е инсталирана на твърдия диск и е готова за работа. Ако процесът на инсталиране ви плаши, отидете на място и гледайте интерактивен скрийнст за това как да инсталирате pfSense на вашия твърд диск.
Преди да настроите дистрата, трябва да закърпите пакета dnsmasq за него, в противен случай, ако в LAN вече има повдигнат dns сървър, fryakh ще изпрати dns заявки до LAN и потребителите на компютри под Windows ще имат грешки като „в мрежата бяха намерени съвпадащи имена“.
Как да се закърпи pfSense е добре написано тук и тук. Не би трябвало да има проблеми с това.

И така, инсталирахме pfSense на твърдия диск, свързахме компютъра към LAN и отидохме в администраторския панел чрез уеб интерфейса на адрес http://192.168.100.242 (във вашия случай най-вероятно http://192.168.0.1 или http: //192.168. 1.1), като въведете вход по подразбиране и пропуск (admin/pfsense)


Интернет идва към WAN от Полярната звезда вече в нормалната си форма, т.е. ip, маска, шлюз.

Сега настройваме друга интересна услуга. Балансиращ товар (намира се в раздела Услуги)
Няма да навлизам в технологията на функциониране на тази услуга, ако се интересувате, прочетете форума или документацията. Ще ви кажа само как да се уверите, че когато един интернет канал падне, друг се покачва незабавно (имайте предвид, че резервният канал се покачва за около 1 секунда). Трябва да се отбележи, че броят на интернет каналите е ограничен само от вашите финансови възможности, тоест в резерва може да има поне 10 интернет канала.:-)

Така че настройките:
Име = loadbalans (като цяло това, което искаме тук е това, което пишем)
Тип = Шлюз
Поведение = Failover (тоест, един канал падна - вторият се покачи)
След това правим подобна операция 2 пъти:
  1. IP на монитора = Шлюз на WAN
  2. Име на Intarface = WAN
  3. кликнете върху бутона Добавяне към пула
  1. Монитор IP = шлюз на OPT1
  2. Име на Intarface = OPT1
  3. кликнете върху бутона Добавяне към пула
Щракнете върху Запазване.


В резултат на това ще получим зелено оцветени интерфейси на шлюза в раздела Status - Load Balanser. Ако някой шлюз има жълт или червен цвят, тогава вероятно няма връзка през този интерфейс или кабелът не е свързан към съответния интерфейс, или настройките на интерфейса са зададени неправилно или нещо подобно. Накратко, когато и двата шлюза на норми са пинг, те са оцветени в зелено.

Сега трябва да се конфигурира само вградената защитна стена.
На първо място, изтриваме правилото по подразбиране в раздела LAN, тъй като се договорихме, че само PPPoE клиенти ще получат Интернет.:-) Или можете да оставите това правило по подразбиране, но заменете Distanation from * (any) с LAN Subnet.
В резултат на това ще имаме едно правило (максимум две - ако не изтриете стандартното) и то ще бъде в секцията PPPoE VPN.
Правилото ще бъде:

Предайте PPPoE потребители * * * loadbalans


Тоест, ние разрешаваме само изходящ трафик от PPPoE клиенти.
Ако имате нужда от някой друг, който да забрани или разреши нещо, ние го правим. Тук обаче няма да описвам конфигурацията на защитната стена pfSense. Прочетете документацията, извън форума.

Сега остава само да конфигурирате PPPoE връзки от страна на клиента. Препоръчвам да използвате най-новата стабилна версия на драйверите RASPPPOE от Robert Schlabbach, тъй като те са по-функционални от вградените драйвери за Windows.