Home / Operating System / Cài đặt và cấu hình Pfsense toàn tập

Cài đặt và cấu hình Pfsense toàn tập

Cài đặt và cấu hình Pfsense

Thứ ba – 18/06/2013 15:16

Cài đặt và cấu hình PfsenseCài đặt và cấu hình Pfsense

Hướng dẫn cài đặt và cấu hình PFSENSE

Pfsense Phần 1: Mô hình Lab

Sau đây là mô hình thực tập làm lab trên máy ảo Vmwear:

1

+ Client: Lấy một máy chạy Winxp làm client, cấu hình Card vmnet 1, chỉnh lại IP cập nhật động. Để lát nữa sẽ xin IP từ Pfsense Firewall.

+Pfsense Firewall: Tạo một máy ảo, chỉ tới file Download(hướng dẫn phần sau) rồi cài đặt vào. Nhưng khi tạo nhớ Edit có 3 card mạng:

* Card vmnet 1: Nhằm kết nối với mạng Lan bên trong.

* Card vmnet 0: Chỉnh sữa là card Bridged, đi được Internet. Đặt nó là Wan 1.

* Card vmnet 8: Chỉnh sửa là card Nat

(mặc định nó là card Nat rồi). Đặt nó là Wan 2.

Trong bài này, mình sẽ cài đặt như sau:

Thứ nhất card Lan Pfsense: 10.10.10.10 /24 –> Cấp dhcp có renge chạy từ:10.10.10.20 – 10.10.10.200

Thứ hai card vmnet 0: tự động có IP là 192.168.1.1 và gateway cũng là 192.168.1.1

Thứ ba card vmnet 8 :Tự động có Ip là 192.168.94.140, gateway là:192.168.94.2 Thực ra thì mình chỉnh lại cái này cũng được. Trong vmwear chọn Edit–>Virtual Network rồi chọn card muốn chỉnh dhcp sẽ thấy , lúc đầu chương trình tự gán, nhưng mình gán bằng tay cũng được.

Pfsense Phần 3:Cấu hình cơ bản cho Pfsense

Tiếp theo Phần 2:

1

Phần này hỏi mình có muốn tạo Vlans không. Chọn “N”.

1

Chọn Card mạng WAN thứ nhất(primary). Ở đây mình chọn card “le1″.

1

Chọn card cho mạng LAN bên trong ” le0″

1

Chọn Card mạng cho WAN 2 “le2″

1

Ở đây mình chỉ có 2 card WAN. Nếu có tiếp thì các bạn có thể dùng tiếp. Ở đây hết rồi, nên bỏ trắng Enter.

1

Sau khi gán xong, apply cho nó chọn “Y”.

1

Tiếp theo, cài đặt cho các Interface (card mạng). Lựa chọn  ”2″.

1

Cài đặt IP cho mạng LAN trước. Chọn “2″

1

Mình chọn địa chỉ “10.10.10.10″

1

Đây là subnetmask, chọn “24″

1

Sau đó, nó xuất hiện một câu bảo mình có nên kích hoạt chức năng DHCP không?

1

Chọn yes “y”. Đồng ý Pfsense là DHCP Server.

1

Gán range IP cần cấp cho mạng LAN. Bắt đầu :”10.10.10.20″

1

Kết thúc dãy IP cần cấp là “10.10.10.200″

1

Có cấu hình Pfsense làm webserver không. Chọn “n” , không đồng ý. Nếu chọn thì chức năng sẽ tái hiện trong

cách cài đặt Virtual Server.

1

 

Pfsense Phần 5: Client quản lý Pfsense bằng giao diện web

Vào thanh địa chỉ của trình duyệt . Khuyến cáo các bạn nên dùng Goolge Chrome, không nên dùng IE nhé. Truy cập địa chỉ http://10.10.10.10/

1

Username: admin. Password: pfsense.

1

Click vào WAN–> Mục đích thay đổi tên thành “WAN 1″ cho dễ nhình ấy mà. Ở đây, hiện địa chỉ là 192.168.94.139. Các bạn chỉnh là là 192.168.91.140, vì phần trước mình lỡ ghi yêu cầu là 192.168.94.140 rồi. Không ảnh hưởng gì đâu, chỉ là IP thôi.

1

Đổi tên thành “WAN 1″

1

Apply để thực thi sự thay đổi.

1

Interfaces–>OPT1–> Thay đổi tên là “WAN 2″.

1

Enable kích hoạt Wan 2 lên,chỉnh lại như hình vẽ bên dưới.

1

Kéo thanh trượt, chỉnh như bên dưới.

1

Tíck chọn 2 ô như trên.

1

Apply sự thay đổi.

1

Quan sát thấy tóm tắt được địa chỉ IP.

1

 

Pfsense Phần 6: Loadbalancing – Failover Pfsense

Gồm 3 bước thực hiện chính:

-Kiểm tra,chỉnh sửa Gateway

-Thêm Gateway Group (System=>Routing, chọn tab Group)

-Sử dụng GatewayGroup trong rules firewall của interface LAN

Kiểm tra, chỉnh sửa gateway:

Phải chắc chắn rằng các gateway và MonitorIP của mỗi interface đã được khai báo ở

trong System=>Routing, tab Gateway.Thật ra, trong phiên bản pfSense2, các thông số này được tự động tạo ra khi chúng ta khai báo IP và gateway trong Interface =>$Tên interface.Chúng ta có thể để mặc định hoặc sửa MonitorIP của từng gateway cho phù hợp.

– Monitor IP1

1PfSense mặc định sẽ lấy gateway của interface làm monitorIP của interface đó. Vì vậy pfSense sẽ ping gateway của mỗi interface (các interface WAN)để xác định chất lượng mạng.Trong một số trường hợp, việc xác định chất lượng mạng bằng cách trên không chính xác.

Ví dụ: Nếu gateway của interface WAN thuộc phía người dùng đầu cuối,không phải thuộc bên kia mạng của ISP. Khi kết nối nà ybị down ở phía nhà cung cấp dịch vụ (ISP), lúc này pfSense sẽ ping gateway thành công.Vì vậy,pfSense sẽ không phát hiện kết nối wan này bị down.

Chúng ta có thể tùy chỉnh MonitorIP để việc xác định chất lượng mạng WAN được tốt hơn. Có thể sử dụng IP một web server công cộng, DNS của google hoặc IP bất kỳ nào trên mạng Internet để pfSense ping (chú ý rằng IP này không bao giờ được down,nếu Monitor IP bị down, trong khi đó liên kết WAN vẫn hoạt động bình thường thì pfSense sẽ cho rằng liên kế WAN này bị down..)

– Weight

Bởi mặc định,tất cả các WAN trên cùng một tier (cụ thể tier là gì sẽ được trình bày ở mục tiếp theo) được coi là có độ ưu tiên bằng nhau khi thực hiện load balancing. Nếu các liên kết  WAN có tốc độ khác nhau,khai báo tham số weight cho mỗi liên kết sẽ cho phép pfSense xácđịnh các liên kết có tốc độ lớn hơn để tính toán ưu tiên cho các liên kết này khi load balancing.

Ví dụ: Nếu chúng ta có một kết nối WAN 50Mbit và một kết nối 10Mbit, nếu không khai báo weight thì liên kết 50Mbit sẽ không bao giờ sử dụng hết và liên kết 10Mbit sẽ đi đến quá tải. Trong trường hợp này chúng ta có thể khai báo weight cho liên kết 50Mbit là 5 và liên kết 10Mbit là1

– Loss/LatencyThresholds

Với các liên kết WAN khác nhau,có thể độ mất mát gói tin (loss) hoặc độ trể (latency) khác nhau.

Vì vậy chúng ta cũng có thể quy định các thông số này để pfSense thực hiện Load balancing được tốt hơn.

b.Thêm GatewayGroup

GatewayGroup (vàoSystem=>Routing,tab Group) chỉ việc nhóm các gateway lại để hoạt động một cách phối hợp.Có thể sử dụng để Load balancing (cân bằng tải) hoặc Failover (dự phòng).

Cụ thể ở bài viết này, cần thiết lập GatewayGroup cho hai WAN (interface WANvàOPT1) cho một cấu hình multi-wanbao gồm một GatewayGroup cho Load balancing, và hai gatewaygroup cho Failover. Chúng ta phải cấu hình nhiều Gateway Group hơn khi số lượng liên kết WAN nhiều hơn.

– Tier

Trong một GatewayGroup,chúng ta cần gán mỗi gateway cho mỗi tier. Các gateway có tier thấp hơn sẽ được ưu tiên hơn. Nếu có hai gateway được gán cùng một tier trong cùng một Gateway Group, pfSense sẽ thự cLoad Balancing trên hai gateway này. Nếu hai gateway được gán tier khác nhau, pfSense sẽ thực hiện Failover cho gateway có tier thấp hơn. Nếu tier được thiết lập là Never, gateway được gán sẽ coi như không thuộc Gateway Group đó.

– Trigger Level

o MemberDown:Kích hoạt chỉ khi các liên kế của interface thành viên bị down

o Packet Loss:Kích hoạt chỉ khi các gói tin đến gateway bị mất cao hơn ngưỡng xác định

o Packet LossorHighLatency:Kết hợp cả hai trường hợp trên, tùy chọn này được hay dùng nhất.

– Thực hiện Load Balancing

Khi hai gateway có cùng một tier, chúng sẽ được load balancing. Có nghĩa là trên một kết nối, các lưu lượng ra ngoài mạng sẽ được định tuyến qua các WAN theo kiểu round-robin. Nếu một gateway trong số các gateway giống tier (trong cùng một gatewaygroup) bị down, nó sẽ không được sử dụng và các gateway khác cùng tier sẽ vẫn hoạt động bình thường.

Tiến hành tạo 1 Gateway Group với tên Loadbalace, thiết lập cùng tier1 cho hai gateway để load balancing

– Thực hiên Failover

1

Khi hai gateway khác tier,gateway có tier thấp hơn sẽ được ưu tiên.Nếu gateway có tier thấp này bị down, gateway có tier lớn hơn sẽ được sử dụng.

Tiến hành tạo 2 Gatewaygroup, trong các gatewaygroup này, chú ý thiết lập khác tier nhau cho mỗi gateway, cụ thể:

1

Nếu có nhiều hơn 2 WAN.Chúng ta có thể thực hiện load balancing và failover trên cùng một Gateway Group.Chẳng hạn chúng ta cho WAN1 và WAN2 cùng tier để load balancing,WAN3 có tier lớn hơn để phòng khi 2 WAN kia bị down thì WAN3 sẽ thực hiện failover… Trong bài viết này không thực hiện việc kết hợp theo kiểunày.

c. Firewall Rule

Xác định các Gateway Group chỉ làmột phần của bài viết này.Chúng ta phải chỉnh định lưu lượng truy cập đến các gateway bằng cách thiết lập các rule trong firewall bằng cách vào Firewall=>Rules,chọn tab LAN.

Mặc địnhở pfSense2 có 2 rule được tạo sẵn,1 rule có Description là Anti-Lockout Rule để quy định cho phép các port đượckết nối từ ngoài internet  vào trong LAN (cho phép 20,80,443). Và rule có Decription là Default allow LAN to any rule,rule này để cho phép các máy trong LAN truy cập ra ngoài.

Tiến hành thêm 3 Rule sử dụng tương ứng 3 GatewayGroup đã tạo khi trước.

Rulecho load balancing:

 

Tương tự thêm 2 rule còn lại.Khi thêm xong được kết quả như sau:

Các rule trên chỉ là các rule được khai báo đơn giản.Chúng ta có thể thêm các rule mới cho các lưu lượng truy cập tùy chọn khác nhau bằng cách thiết lập Protocol (giao thức) hoặc thiết lập trong Advanced features của mỗi rule.Lưu lý rằng các rule được xử lý từ trên xuống, và một khi rule được khớp (matched), nó sẽ được xử lý theo rule đó và bỏ qua các rule sau.

d.Vấn đề DNS

Nếu các máy client trong LAN sử dụng địa chỉ DNSserver là địa chỉ gateway của LAN (trườnghợp này là 192.168.10.1) thì chúng ta phải chắc chắn rằng đã khai báo DNSservercho pfSense

(ở System=>General Setup),nếu không cácmáy client sẽ không phân giải tên miền được khi truy cập internet.

1

Địa chỉ DNS google:8.8.8.8,8.8.4.4

1

Vào System->Routing sẽ thấy 2 Gateway.

1

Vào Group tạo theo như hình trên.

1

Vào Firewall thiết lập Rule cho Wan 1, Lan, Wan 2.

1

1

Vào Services -> Load Balancer tạo một pool như hình vẽ,port 80

1

Vào Status -> Load Balancer kiểm tra trạng thái pool online 2 cái Wan.

1

Test xem khả năng chịu lỗi:

Giả sử mình download 1 file từ mediafire.com thấy có 8 link down.

1

Vào máy Pfsense tắt 2 ô của card Vmnet 8 đi. Lập tức sẽ có 3 hoặc 4 đường link bị đứng:1 2 3 5 7

1

Ví chỉ là hình nên không xem được,nếu làm thực tế bạn sẽ thấy nó đứng yên khoảng 7 s, rồi sau đó sẽ chạy lại.

1

Pfsense Phần 7: Cấu hình VPN PPTP

Vào trang chính, chỉnh lại cấu hình Wan 2.

1

Kéo xuống phía dưới , bỏ 2 dấu chọn ở 2 ô Block đi.

1

Vào mục VPN chọn PPTP, không phải chọn Openvpn đâu nhé.Hình bên dưới mình nhầm.

1

Chỉnh IP như hình vẽ:Server “192.168.94.140″, rồi địa chỉ cấp cho vpn client lấy tùy ý trừ địa chỉ Wan2 ra.

1

Qua mục user thêm user với tên là “vpn”, password cho nó là “123″

1

Tạo rule all traffice cho PPTP. Qua mục PPTP VPV–>

1

Chọn add rule, chỉnh thông số như hình bên dưới nhé.

1

Gateway chọn loadbalance(coi lại phần trước cái này tạo như thế nào nhé)

1

Hoàn thành việc tạo rule cho PPTP sẽ như thế này.

1

Nhớ rõ: cũng phải tạo Rule cho tất cả traffic đc đi quan Wan 2, làm tương tự vậy thôi

Sau khi tạo rule cho phép traffic xong, việc còn lại là nat inbound vào trong.

1

Chọn Firewall –>Nat, chỉnh thông số như hình vẽ nhé.

1

1

Sau khi hoàn thành sẽ có hình như bên dưới.

1

Sưu tầm và có chỉnh sửa

Tác giả bài viết: longyello

Print Friendly

About dongpolice

Check Also

cài đặt ffmeg

Cài đặt FFmpeg + FFmpeg-PHP +Lame + Ruby + Mplayer + Mencoder + flv2tool

Cài đặt FFmpeg + FFmpeg-PHP +Lame + Ruby + Mplayer + Mencoder + flv2tool Để …