Tutorial pfSense

Tutorial pfSense

Visitante Sénior MigMeo
Visitante Sénior

Tutorial pfSense

Boas

Recentemente pedi ajuda aqui no forum de como configurar uma máquina pfSense de modo a ter internet e IPTV (pacote meo fibra) e substituir definitivamente o router da meo. No meu caso um Technicolor TG784n v3 com firmware 10.2.1.L.

Após horas e horas de pesquisa não encontrei um único tutorial explicativo de como configurar o pfSense de modo a ter internet e TV na Box da meo.

Mas existem outros tutoriais na net de como obter estes serviços com um router adicional, ou substituir o router da meo por outro com opensource firmware. Apesar de nenhum destes tutoriais ser possível de aplicar diretamente ao pfSense, a verdade é que reuni muita informação e após horas de tentativas e erro, consegui finalmente configurar uma máquina pfSense de modo a eliminar o router da meo mantendo o serviço de internet e IPTV.

Para quem não sabe o que é o pfSense, é uma distribuição de software (Sistema Operativo) opensource Firewall/Router para computador baseado no FREEBSD que é instalado fisicamente num computador ou numa máquina virtual criando assim uma Firewall/Router de topo. Este SO oferece configurações e características de tal modo avançadas que algumas delas apenas podem ser encontradas em dispendiosas máquinas empresarias, mas com a particularidade de ser gratuito Smiley LOL . Para além disso, é possível instalar pacotes adicionais, tais como anti vírus, FTP Client Proxy, web proxy cache e muitos, muitos outros. Além disso podem tornar-se membros GOLD (mediante o pagamento de uma subscrição) e ter acesso a benefícios apenas acessíveis a membros Premium (No meu caso não vejo necessidade).

Este sistema operativo é relativamente “leve” pelo que o hardware necessário não necessita de ser nada de extraordinário. O que permite utilizar um PC ou portátil que já não utilizem (mas que ainda funcione) por se encontrar obsoleto. Aqui está uma maneira de dar vida a alguns componentes que tenham enterrados no vosso cemitério de hardware.

Dependendo muito do que pretendem fazer com a máquina (as limitações são poucas), qualquer computador com duas placas de rede, um processador (pode ser single core) com mais de 1Ghz, 1 Giga de RAM e um disco de 30GB é mais que suficiente. No que diz respeito às placas de rede, são necessárias pelo menos duas, pois uma vai ser configurada para WAN e a outra para LAN. Recomendo que sejam Gigabit, mas se a vossa internet não for superior a 100Mbps, uma placa 10/100 serve perfeitamente para WAN. Também podem usar uma placa de rede sem fios se pretenderem utilizar o pfSense como Hot Spot (não vou ensinar a configurar o pfSense como Hot Spot neste tutorial, mas se quiserem posso dizer como se faz).

 

Vou agora explicar como configurei o pfSense utilizando para efeitos deste tutorial uma instalação clean do software.

Começamos por fazer o download do pfSense no site https://www.pfsense.org/download/

Escolhemos a versão de instalação mais recente (atualmente 2.3.1) e escolhemos a arquitetura pretendida (32 ou 64bits). Depois escolhemos a plataforma de instalação (no meu caso memstick, pois não sei o que são CD’s Smiley de língua ) e por fim utilizamos a consola VGA uma vez que vamos utilizar um monitor apenas para a instalação do software. Depois pode ser descartado.

1.png

 

Para a criação do Memory stick de instalação vamos utilizar a ferramenta de criação de Bootable USB drives RUFUS. Fazemos o download em https://rufus.akeo.ie/

Corremos o utilitário, selecionamos o dispositivo onde pretendemos criar a pen de instalação do pfSense, selecionamos o tipo de imagem que queremos utilizar em “Create a bootable disk using” no nosso caso DD image e apontamos para o local onde salvamos anteriormente o ficheiro pfSense. Clicamos em Start e aguardamos a criação da pen drive.

2.png

  

Depois da pen criada, introduzimos a mesma na máquina onde queremos instalar a nossa Firewall/Router, entramos nas configurações da bios e selecionamos a nossa pen USB como first boot drive.

 

A instalação é muito simples e existem vários vídeos na net explicativos pelo que não vou entrar em detalhes, apenas efetuamos a instalação com as configurações por defeito e reiniciamos a máquina (com a pen removida).

É nesta altura que começamos a configuração da nossa máquina.

Quando surgir no ecrã se pretendemos configurar as VLANS dizemos que não. Depois é só selecionar qual o interface que pretendemos usar para a WAN e o que pretendemos usar para a LAN. Se não soubermos podemos utilizar a opção autodetect, bastando para tal premir a tecla “a” e ligar um cabo de rede do ONT à porta do interface que pretendemos utilizar como WAN que o pfSense identifica automaticamente. Fazemos o mesmo para a LAN. Confirmamos a nossa seleção e deixamos o ONT ligado à porta WAN e o nosso computador, ou Switch ligado à porta LAN. A partir daqui, podemos desligar o monitor e o teclado da máquina, pois não vão ser mais necessários nos próximos passos.

 

Agora a parte divertida Smiley muito feliz

O pfSense atribui por defeito à porta LAN o endereço IP 192.168.1.1/24. Para quem não sabe o que o 24 quer dizer, é a nossa Subnet Mask em bits. Ou seja: 255.255.255.0 = 11111111.11111111.11111111.00000000 Se somarem a quantidade de “uns” dá 24.

Para configurar o pfSense abrimos o brawser no computador ligado à porta LAN e digitamos o seguinte endereço:

https://192.168.1.1

De seguida somos brindados com um erro de certificado, o qual ignoramos e seguimos para o nosso website.

3.png

Por defeito o pfSense vem com os seguintes user/password:

Username: admin

Password: pfsense

Efetuamos o login e iniciamos a configuração Wizard.

4.png

 

 

Vamos avançando e na “General Information” atribuímos um Hostname (eu deixei por defeito) e um Domain (no meu caso teste.localdomain). Podem introduzir o que quiserem. Deixamos o resto como está e clicamos Next.

5.png

 

Em “Time Server” deixamos o servidor por defeito e mudamos apenas o Timezone para Europe/Lisbon.Next.

6.png

 

Chegámos à configuração da WAN. Para já deixamos tudo como está e clicamos em Next. Já vamos perceber porquê.

 7.png

 

Na configuração LAN eu alterei o IP Adress para ficar igual ao do Router da Meo (192.168.1.254/24). Não é necessário, mas como já tinha a minha rede configurada e atalhos no desktop para abrir o Web Gui do TG784n v3, preferi alterar para ficar igual. Podem alterar ou manter o IP de defeito. Se alterarem lembrem-se que quando salvarem as configurações, vão perder a conexão com com o pfSense, pelo que têm que aguardar uns segundos, fechar o browser e reabrir novamente, colocando como endereço o IP atribuído anteriormente.

8.png

 

Agora vamos atribuir uma password mais robusta ao utilizador admin, clicamos Next e a seguir Reload. Se alteraram o IP, é agora que vão perder a conexão. Abrir novo browser com o novo IP. Entrar com admin e a nova password.

9.png

 

Somos encaminhados diretamente para o Dashboard. Por enquanto ainda não temos internet pelo que o endereço WAN é 0.0.0.0.

10.png

 

 

Vamos então configurar o pfSense para termos internet.

Vamos a Interface – (assign) – VLANs

 11.png

 

Clicamos em Add e em Parent Interface selecionamos o interface WAN. Em VLAN Tag introduzimos 12. Em VLAN Priority deixamos estar 0 e introduzimos o nome que quisermos na Description. Salvamos e ficamos com algo deste género:

12.png

 

 

Voltamos a Interface assignments, e no Network Port da WAN, selecionamos a VLAN 12 que acabámos de criar.

13.png

 

Salvamos e a partir de agora já temos um endereço de IP público na nossa interface WAN. Podemos confirmar clicando no logotipo do pfSense no canto superior esquerdo e somos direcionados para o Dashboard.

Nesta altura já devemos ter Internet. Se não tivermos, fazemos um reboot à máquina em Diagnostics – Reboot.

14.png

Et Voila!! Acabámos de configurar a internet na nossa máquina pfSense.

 

 

 

Vamos agora configurar o pfSense para funcionar com a nossa BOX Meo.

Para tal vamos adicionar o serviço IGMP Proxy.

Vamos a Services – IGMP Proxy e clicamos em Add.

15.png

 

 

Na Interface WAN vamos configurar os upstreams conforme a imagem:

16.png

Salvamos e aplicamos as alterações.

 

 

E na Interface LAN o Downstream conforme a Imagem:

17.png

Salvamos e aplicamos as alterações.

 

 

Ficamos com os serviços de IGMP Proxy desta forma:

 18.png

 

Vamos agora definir algumas regras de Firewall para a WAN e para a LAN.

Para tal vamos a Firewall – Rules – Selecionamos WAN e clicamos em Add

19.png

 

Deixamos tudo por defeito e alteramos o Protocol para UDP. No Source escolhemos Network e definimos os IP’s que adicionamos anteriormente no IGMP Proxy para a porta WAN e para a porta LAN. Criamos uma regra para cada IP (logo serão 4 regras). Damos o nome que quisermos à Descrição e em Extra Options clicamos em Display Advanced e marcamos a caixa Allow IP options. Esta passo é necessário para ativar o multicast obrigatório para a nossa BOX não congelar a imagem ao fim de 5 ou 10 segundos.

 20.png

21.png

 

 

Só nos falta criar mais uma regra para a porta WAN e alterar outra na porta LAN.

Ainda no separador WAN clicamos novamente em Add e deixamos tudo por defeito alterando apenas o Protocol para IGMP e em Extra Options clicamos em Display Advanced e marcamos novamente Allow IP options.

22.png

 

Ficamos com algo deste género:

 23.png

Aplicamos as alterações.

 

 

Vamos agora ao separador LAN e vamos editar a regra com a descrição: Default allow LAN to any rule.

E a unica coisa que precisamos de alterar é no Extra Options, clicar em Display Advanced e marcar a opção Allow IP option

24.png

 

Salvamos e aplicamos as alterações. Se repararem ficamos com uma roda dentada em cada regra que marcámos com Allow Ip option. É isso que pretendemos.

25.png

 

Para finalizar, falta-nos apenas um ultimo passo que é o seguinte:

Vamos a Interfaces – (assign), clicamos no interface WAN

26.png

 

Descemos a janela até ao fim e desmarcamos a caixa Block private networks and loopback addresses

27.png

Salvamos e aplicamos as alterações.

 

Agora é só fazermos um Reboot à máquina e desligar a BOX da corrente enquanto o pfSense reinicia.

Depois é só ligar novamente a BOX e está feito! Internet e IPTV a funcionar sem o router da Meo.

Piscadela do Smiley

 

Nota: Não utilizo o serviço VOIP pelo que não inclui neste tutorial. Contudo, podem continuar a utilizar o router da meo apenas para o VOIP, para tal basta colocar um switch entre o ONT e os routers (o da Meo e o pfSense) e no router da meo ligar apenas o telefone.

32 RESPOSTAS
Visitante Sénior mrc-core
Visitante Sénior

Re: Tutorial pfSense

Boa tarde.Antes de mais nada, quero agradecer este magnifico tutorial para configurar o MEO Fibra no PFSENSE.

Segui todos os passos descritos no tutorial e no fim acabei ficando com bloqueios de imagem na BOX.

Tenho uma MEO Box motorola a que dá para jogar jogos.

Existe algo mais que se possa fazer para acabar com os bloquios de imagem a cada 5 / 10 segundos ???? Criei as regras tal e qual como esta descrito mas fiqui com os bloquios de imagem.

 

Obrigado.

Visitante Sénior MigMeo
Visitante Sénior

Re: Tutorial pfSense

Boas mrc-core.

Qual o hardware usado?

Há algum NIC Marvell (msk) na máquina?

Após construir algumas máquinas pfsense para amigos, cheguei à infeliz consclusão que os interfaces Marvell não são compativeis com o multicast necessário para a box da MEO funcionar.

 

Visitante Sénior mrc-core
Visitante Sénior

Re: Tutorial pfSense

Boas.

Obrigado pelo reply.

Neste momento estou usando uma placa D-LINK de 4 portas para receber a WAN e fazer a VLAN12, e estou usando uma placa tp-link gigabyte para fazer a LAN.

 

Voltei a refazer todos os passos e não dá. O que acho mais estranho é  o seguinte:

Faço todo o procedimento tal e qual disseste. Reinicio a box após ter o pfsense operacional, a box obtém ip e dá imagem e som durante uns 10 segundos depois bloqueia. Para contornar esta situação, ligo a porta 1 do thomson a rede da casa, a box começa logo a dar imagem e som e posso agora delsigar o thomson porque deixei de ter o problema. Só volto a perder a imagem / som se reiniciar o pfsense.

 

Tenho o thomson ligado na rede com o DHCP desativado, wifi desativado mas como tenho telefone fixo, vou basicamente forçado a ter o thomson ligado.

 

Cumprimentos

Visitante Sénior MigMeo
Visitante Sénior

Re: Tutorial pfSense

Boas

Era o que eu desconfiava.

Quase garantidamente que a culpa está na placa D-Link que estás a usar.

A D-Link costuma usar chips Marvell e foi precisamente isso que aconteceu no computador de um amigo meu.

Tens a possibilidade de usar alguma placa Intel? A motherboard tem alguma porta interna que não seja Marvell?

 

Placas já testadas por mim que funcionam:

Nvidia

Atheros

Broadcom

Intel

 

Placas já testadas por mim que não funcionam:

Todas as placas com chips Marvell

 

Placas que ainda não testei:

Baseadas em chips Realtek

Visitante Sénior mrc-core
Visitante Sénior

Re: Tutorial pfSense

Como ão estava usando a placa de rede onboard da motherboard, aproveitei e troquei a VLAN da placa DLink para a placa onboard que é uma "Realtek RTL8102EL 100/10 LAN" procedi ao reajuste das interfaces e fiz um reboot ao pfsense. Para meu espanto o reboot demorou mais de 2 minutos quando o pfsense demora menos de 1 minuto a fazer o reboot.

 

Após uma verificação no sistema reparei que a placa realtek não estava a dar um MAC address correcto.

 

2016-07-16.png

 

Voltei a colocar como estava a ligação da ONT na porta 1 do DLink e vou comprar uma nova placa já agora gigabyte para receber o sinal da ONT e criar a VLAN. Penso que consigo encontrar uma Intel ou então atheros. A ver se hoje a noite consigo te dizer algo sobre este assunto.

Até lá deixo as ligações como estão e deixo o thomson ligado na rede para a Box dar imagem.

 

Uma vez mais obrigado pela ajuda.

Visitante Sénior mrc-core
Visitante Sénior

Re: Tutorial pfSense

Uma questão.

É possível fazer no pfsense o que se faz com os routers Asus, neste caso em concreto ter a ONT a se ligar na WAN do PFSense e ter uma porta do PFSense a fazer uma VLAN para o router Thomson??? É que já tentei e não consegui.

Se fosse possível fazer isto eu já não teria que usar um switch entre a ONT e o PFSense para ligar o router Thomson e usava esse switch noutro sitio que me esta fazendo muita falta. 

Visitante Sénior MigMeo
Visitante Sénior

Re: Tutorial pfSense

Sim, é possível. Tens que fazer um bridging entre duas portas LAN.

No entanto não aconselho esta configuração, pois vais perder velocidade, uma vez que a firewall tem que processar os pacotes que passam entre as portas.

Acho que a melhor opção é adquirires um segundo switch para este efeito.

Eu comprei recentemente no ebay um switch gigabit de 5 portas por 12 euros. Quando chegar, vou testar e deixo o meu feedback.

Visitante Sénior mrc-core
Visitante Sénior

Re: Tutorial pfSense

Boas.

Acho que vou tentar a tal situação da bridge para ver como fica as ligações. Tenho um switch giga entre a ONT e o PFSense e perco perto de 10Mbs dos 100Mbs que apanho se tiver a ONT ligada diretamente ao PFSense.

Será que me podias orientar nos passos a dar para conseguir fazer a bridge para poder ter o router thomson a dar ligado a uma porta do pfsense??

Entretanto já tenho 3 placas giga no pfsense ambas da tp-link com o chip realtek mas ainda nao consigo ter a box a dar sem ser aos soluços.

 

Cumprimentos

 

Principiante ASD2000
Principiante

Re: Tutorial pfSense

Boa tarde

 

Antes de mais obrigado pelo post e ajuda. Sou um iniciado nas questões do Pfsense e ajudou a resolver algumas questões.

 

Contudo tenho algumas questões novas levantaram-se e gostaria de pedir auxilio para tal como o mrc-core disse fazer uma Bridge ou configuração para ligar o router meo ao PfSense e o mesmo ficar a funcionar totalmente por causa do VOIP.

 

A obstinação da PT/MEO de não auxiliar os clientes vai fazê-lo ficar sem eles.

 

Os outros operadores têm um equipamento para tudo, eles não passam da cepa torta.

 

Cumprimentos