GenMed s blog pfSense піднімаємо PPPoE сервер і робимо резервування каналу

Блог для тих, хто цікавиться IT і не лише

pfSense: піднімаємо PPPoE сервер та робимо резервування каналу.

Спочатку pfSense створювався як відгалуження від m0n0wall і примітний тим, що використовує фільтр пакетів OpenBSDpf. Описувати всі фічі даного дистрибутива немає сенсу, зайдіть на офсайт і почитайте самі. Єдине чого там поки немає - це білінг NetAMS, хоча знаючі люди начебто змогли його туди прикрутити. :-) Існує ще проект firewall-дистрибутиву smoothwall, але я його поки що не юзал, так що сказати щось не можу.

Отже, я виходитиму з того, що дистрибутив вже проінстальований на жорсткий диск і готовий до роботи. Якщо вас лякає процес інсталяції, то зайдіть на офсайт і подивіться інтерактивний скринкаст про те, як ставити pfSense на жорсткий диск. Перш ніж зайнятися налаштуванням дистра, необхідно пропатчити йому пакет dnsmasq, інакше при наявності в локалці вже піднятого днс-сервера фряха буде фігачить днс-запити в локалку, і у користувачів на компах під віндою будуть вилазити помилки типу "в мережі виявлені збігаються імена". Як пропатчити pfSense добре написано тут і ось тут. Проблем із цим виникнути не повинно.

Отже, ми встановили pfSense на жорсткий диск, підключили комп'ютер до локалки, і зайшли в адмінку через веб-інтерфейс на http://192.168.100.242 (у вашому випадку швидше за все http://192.168.0.1 або http://192.168). 1.1), ввівши дефолтні логін та пас (admin/pfsense)

На WAN приходить інет від Полярної Зірки вже у нормальному вигляді, тобто ip, маска, шлюз.

Тепер налаштовуємо ще один цікавий сервісLoadBalancer (перебуває у розділі Services) Вдаватися в технологію функціонування даного сервісу я не буду, якщо цікавопочитайте офф форум чи документацію. Я розповім лише як зробити так, щоб при падінні одного інет каналу, відразу піднімався інший (зазначу, що резервний канал піднімається приблизно через 1 сукнду). Варто відзначити, що кількість інтернет-каналів обмежена лише вашими фінансовими можливостями, тобто на резерві може бути хоч 10 інтернет-каналів. :-) Отже налаштування:Name= loadbalans (загалом то че хочемо тут те й пишемо)Type= GatewayBehaviour= Failover (тобто один канал упав - другий канал піднявся) Потім проробляємо 2 рази аналогічну операцію:

  1. Monitor IP = WAN's Gateway
  2. Intarface name = WAN
  3. тиснемо на кнопку Add to pool
  1. Monitor IP = OPT1 Gateway
  2. Intarface name = OPT1
  3. тиснемо на кнопку Add to pool
Тиснемо Save.

У результаті ми отримаємо на вкладці Status - Load Balanser пофарбовані в зелений колір інтерфейси шлюзів. Якщо якийсь шлюз має жовтий або червоний колір, то можливо немає зв'язку через даний інтерфейс, або не підключений кабель до відповідного інтерфейсу або налаштування інтерфейсу задані неправильно або щонити в такому ж дусі. Коротше коли обидва шлюзи норм пінгуються, то вони забарвлені в зелений колір.

Тепер залишилося налаштувати лише вбудований фаєрвол. Насамперед видаляємо дефолтне правило на вкладці LAN, адже ми домовилися, що інтернет будуть отримувати тільки PPPoE клієнти. :-) Або можна залишити це дефолтне правило, але замінити в ньому Distanation з * (any) на LAN Subnet. У результаті у нас буде одне правило (макс два - якщо не видаляти дефолтне) і перебуватиме воно у розділі PPPoE VPN. Правило буде таким:

Pass PPPoE Users * * * loadbalans

Тобто ми дозволяємо будь-який вихідний трафік тільки від PPPoEклієнтів. Якщо потрібно буде комусь ще щонити заборонити або дозволити, то робимо це. Однак тут я не описуватиму налаштування фаєрволу pfSense. Читайте документацію, оф форум.

Тепер залишилося лише настроїти PPPoE з'єднання на стороні клієнтів. Я рекомендую використовувати останню стабільну версію драйверів RASPPPOE by Robert Schlabbach, тому вони більш функціональні ніж вбудовані драйвери Windows.