Tutorial pfSense

  • 30 May 2016
  • 48 respostas
  • 14132 visualizações

Reputação 1
Crachá +1
  • Dinamizador Júnior
  • 10 respostas
Boas


Recentemente pedi ajuda aqui no forum de como configurar uma máquina pfSense de modo a ter internet e IPTV (pacote meo fibra) e substituir definitivamente o router da meo. No meu caso um Technicolor TG784n v3 com firmware 10.2.1.L.


Após horas e horas de pesquisa não encontrei um único tutorial explicativo de como configurar o pfSense de modo a ter internet e TV na Box da meo.


Mas existem outros tutoriais na net de como obter estes serviços com um router adicional, ou substituir o router da meo por outro com opensource firmware. Apesar de nenhum destes tutoriais ser possível de aplicar diretamente ao pfSense, a verdade é que reuni muita informação e após horas de tentativas e erro, consegui finalmente configurar uma máquina pfSense de modo a eliminar o router da meo mantendo o serviço de internet e IPTV.


Para quem não sabe o que é o pfSense, é uma distribuição de software (Sistema Operativo) opensource Firewall/Router para computador baseado no FREEBSD que é instalado fisicamente num computador ou numa máquina virtual criando assim uma Firewall/Router de topo. Este SO oferece configurações e características de tal modo avançadas que algumas delas apenas podem ser encontradas em dispendiosas máquinas empresarias, mas com a particularidade de ser gratuito 😃 . Para além disso, é possível instalar pacotes adicionais, tais como anti vírus, FTP Client Proxy, web proxy cache e muitos, muitos outros. Além disso podem tornar-se membros GOLD (mediante o pagamento de uma subscrição) e ter acesso a benefícios apenas acessíveis a membros Premium (No meu caso não vejo necessidade).


Este sistema operativo é relativamente “leve” pelo que o hardware necessário não necessita de ser nada de extraordinário. O que permite utilizar um PC ou portátil que já não utilizem (mas que ainda funcione) por se encontrar obsoleto. Aqui está uma maneira de dar vida a alguns componentes que tenham enterrados no vosso cemitério de hardware.


Dependendo muito do que pretendem fazer com a máquina (as limitações são poucas), qualquer computador com duas placas de rede, um processador (pode ser single core) com mais de 1Ghz, 1 Giga de RAM e um disco de 30GB é mais que suficiente. No que diz respeito às placas de rede, são necessárias pelo menos duas, pois uma vai ser configurada para WAN e a outra para LAN. Recomendo que sejam Gigabit, mas se a vossa internet não for superior a 100Mbps, uma placa 10/100 serve perfeitamente para WAN. Também podem usar uma placa de rede sem fios se pretenderem utilizar o pfSense como Hot Spot (não vou ensinar a configurar o pfSense como Hot Spot neste tutorial, mas se quiserem posso dizer como se faz).


 


Vou agora explicar como configurei o pfSense utilizando para efeitos deste tutorial uma instalação clean do software.


Começamos por fazer o download do pfSense no site https://www.pfsense.org/download/


Escolhemos a versão de instalação mais recente (atualmente 2.3.1) e escolhemos a arquitetura pretendida (32 ou 64bits). Depois escolhemos a plataforma de instalação (no meu caso memstick, pois não sei o que são CD’s 😛 ) e por fim utilizamos a consola VGA uma vez que vamos utilizar um monitor apenas para a instalação do software. Depois pode ser descartado.





 


Para a criação do Memory stick de instalação vamos utilizar a ferramenta de criação de Bootable USB drives RUFUS. Fazemos o download em https://rufus.akeo.ie/


Corremos o utilitário, selecionamos o dispositivo onde pretendemos criar a pen de instalação do pfSense, selecionamos o tipo de imagem que queremos utilizar em “Create a bootable disk using” no nosso caso DD image e apontamos para o local onde salvamos anteriormente o ficheiro pfSense. Clicamos em Start e aguardamos a criação da pen drive.





  


Depois da pen criada, introduzimos a mesma na máquina onde queremos instalar a nossa Firewall/Router, entramos nas configurações da bios e selecionamos a nossa pen USB como first boot drive.


 


A instalação é muito simples e existem vários vídeos na net explicativos pelo que não vou entrar em detalhes, apenas efetuamos a instalação com as configurações por defeito e reiniciamos a máquina (com a pen removida).


É nesta altura que começamos a configuração da nossa máquina.


Quando surgir no ecrã se pretendemos configurar as VLANS dizemos que não. Depois é só selecionar qual o interface que pretendemos usar para a WAN e o que pretendemos usar para a LAN. Se não soubermos podemos utilizar a opção autodetect, bastando para tal premir a tecla “a” e ligar um cabo de rede do ONT à porta do interface que pretendemos utilizar como WAN que o pfSense identifica automaticamente. Fazemos o mesmo para a LAN. Confirmamos a nossa seleção e deixamos o ONT ligado à porta WAN e o nosso computador, ou Switch ligado à porta LAN. A partir daqui, podemos desligar o monitor e o teclado da máquina, pois não vão ser mais necessários nos próximos passos.


 


Agora a parte divertida :D


O pfSense atribui por defeito à porta LAN o endereço IP 192.168.1.1/24. Para quem não sabe o que o 24 quer dizer, é a nossa Subnet Mask em bits. Ou seja: 255.255.255.0 = 11111111.11111111.11111111.00000000 Se somarem a quantidade de “uns” dá 24.


Para configurar o pfSense abrimos o brawser no computador ligado à porta LAN e digitamos o seguinte endereço:


https://192.168.1.1


De seguida somos brindados com um erro de certificado, o qual ignoramos e seguimos para o nosso website.





Por defeito o pfSense vem com os seguintes user/password:


Username: admin


Password: pfsense


Efetuamos o login e iniciamos a configuração Wizard.





 


 


Vamos avançando e na “General Information” atribuímos um Hostname (eu deixei por defeito) e um Domain (no meu caso teste.localdomain). Podem introduzir o que quiserem. Deixamos o resto como está e clicamos Next.





 


Em “Time Server” deixamos o servidor por defeito e mudamos apenas o Timezone para Europe/Lisbon.Next.





 


Chegámos à configuração da WAN. Para já deixamos tudo como está e clicamos em Next. Já vamos perceber porquê.


 




 


Na configuração LAN eu alterei o IP Adress para ficar igual ao do Router da Meo (192.168.1.254/24). Não é necessário, mas como já tinha a minha rede configurada e atalhos no desktop para abrir o Web Gui do TG784n v3, preferi alterar para ficar igual. Podem alterar ou manter o IP de defeito. Se alterarem lembrem-se que quando salvarem as configurações, vão perder a conexão com com o pfSense, pelo que têm que aguardar uns segundos, fechar o browser e reabrir novamente, colocando como endereço o IP atribuído anteriormente.





 


Agora vamos atribuir uma password mais robusta ao utilizador admin, clicamos Next e a seguir Reload. Se alteraram o IP, é agora que vão perder a conexão. Abrir novo browser com o novo IP. Entrar com admin e a nova password.





 


Somos encaminhados diretamente para o Dashboard. Por enquanto ainda não temos internet pelo que o endereço WAN é 0.0.0.0.





 


 


Vamos então configurar o pfSense para termos internet.


Vamos a Interface – (assign) – VLANs


 




 


Clicamos em Add e em Parent Interface selecionamos o interface WAN. Em VLAN Tag introduzimos 12. Em VLAN Priority deixamos estar 0 e introduzimos o nome que quisermos na Description. Salvamos e ficamos com algo deste género:





 


 


Voltamos a Interface assignments, e no Network Port da WAN, selecionamos a VLAN 12 que acabámos de criar.





 


Salvamos e a partir de agora já temos um endereço de IP público na nossa interface WAN. Podemos confirmar clicando no logotipo do pfSense no canto superior esquerdo e somos direcionados para o Dashboard.


Nesta altura já devemos ter Internet. Se não tivermos, fazemos um reboot à máquina em Diagnostics – Reboot.





Et Voila!! Acabámos de configurar a internet na nossa máquina pfSense.


 


 


 


Vamos agora configurar o pfSense para funcionar com a nossa BOX Meo.


Para tal vamos adicionar o serviço IGMP Proxy.


Vamos a Services – IGMP Proxy e clicamos em Add.





 


 


Na Interface WAN vamos configurar os upstreams conforme a imagem:





Salvamos e aplicamos as alterações.


 


 


E na Interface LAN o Downstream conforme a Imagem:





Salvamos e aplicamos as alterações.


 


 


Ficamos com os serviços de IGMP Proxy desta forma:


 




 


Vamos agora definir algumas regras de Firewall para a WAN e para a LAN.


Para tal vamos a Firewall – Rules – Selecionamos WAN e clicamos em Add





 


Deixamos tudo por defeito e alteramos o Protocol para UDP. No Source escolhemos Network e definimos os IP’s que adicionamos anteriormente no IGMP Proxy para a porta WAN e para a porta LAN. Criamos uma regra para cada IP (logo serão 4 regras). Damos o nome que quisermos à Descrição e em Extra Options clicamos em Display Advanced e marcamos a caixa Allow IP options. Esta passo é necessário para ativar o multicast obrigatório para a nossa BOX não congelar a imagem ao fim de 5 ou 10 segundos.


 







 


 


Só nos falta criar mais uma regra para a porta WAN e alterar outra na porta LAN.


Ainda no separador WAN clicamos novamente em Add e deixamos tudo por defeito alterando apenas o Protocol para IGMP e em Extra Options clicamos em Display Advanced e marcamos novamente Allow IP options.





 


Ficamos com algo deste género:


 




Aplicamos as alterações.


 


 


Vamos agora ao separador LAN e vamos editar a regra com a descrição: Default allow LAN to any rule.


E a unica coisa que precisamos de alterar é no Extra Options, clicar em Display Advanced e marcar a opção Allow IP option





 


Salvamos e aplicamos as alterações. Se repararem ficamos com uma roda dentada em cada regra que marcámos com Allow Ip option. É isso que pretendemos.





 


Para finalizar, falta-nos apenas um ultimo passo que é o seguinte:


Vamos a Interfaces – (assign), clicamos no interface WAN





 


Descemos a janela até ao fim e desmarcamos a caixa Block private networks and loopback addresses





Salvamos e aplicamos as alterações.


 


Agora é só fazermos um Reboot à máquina e desligar a BOX da corrente enquanto o pfSense reinicia.


Depois é só ligar novamente a BOX e está feito! Internet e IPTV a funcionar sem o router da Meo.


;)


 


Nota: Não utilizo o serviço VOIP pelo que não inclui neste tutorial. Contudo, podem continuar a utilizar o router da meo apenas para o VOIP, para tal basta colocar um switch entre o ONT e os routers (o da Meo e o pfSense) e no router da meo ligar apenas o telefone.

Tópico fechado, já não permite mais respostas.

48 respostas

Acabo por fazer vários reboots tanto ao pfsense como a box...


 


Mas já estive a ver os logs da firewall e quando faço restar service igmpproxy obtenho este resultado:





Dec 7 10:32:43
igmpproxy
47113
select() failure; Errno(4): Interrupted system call



Dec 7 10:32:43
php-fpm
58349
/status_services.php: Started IGMP proxy service.




 


Em relação ao setup do igmp tenho o seguinte:





WAN
upstream
194.65.46.0/23, 10.173.0.0/16, 213.13.16.0/20, 213.13.19.0/20, 213.13.19.177/20, 224.0.0.0/4
IPTV 
 



LAN
downstream
232.0.0.0/8

IPTV 







 


Quanto as regras tenho o seguinte na WAN:





 


A ideia que fico é que o igmproxy não esta a arrancar
Crachá +3
Não estou a ver outra solução senão reinstalar o igmpproxy e respectivas regras e verificar se o serviço começa a arrancar. 


 


Isso é um problema de PfSense
Numa das pesquizas que fiz vi que ouve quem criase uma interface só para o IPTV, colocan do uma regra para abrir a passagem da rede 224.0.0.0/4 em UDP e depois no igmp setup no dowstream mudam a interface lan para esta nova interface. Já tentei mas também não da. 


O mais estranho mesmo é que por exemplo posso reiniciar o pfsense umas 30 vezes e nao dar mas a 31 vez que reiniciar já começa a dar imagem na box sem bloqueios. Depois se fizer um reboot ou faltar a luz volto a ficar sem imagem...
Bom dia.


 


Será que alguém aqui no forum que tenha o IPTV  a funcionar bem sobre o pfsense possa dizer aqui quais os ips e as respetivas mascaras do igmp tanto para o upload como download.


As regras não é preciso.Neste momento tenho apenas a RTP1 a dar sem bloqueios, os restantes canais uns dão imagem e bloquema passado 10 segundos, outros não dão imagem alguma.Definitivamente é um algum ip que me falta ou então mascara mal configurada. O igmp ésta a arrancando com o pfsense sem problemas.


Tenho um dos meus switchs a fazer igmp snooping o que tem ajudado a "caçar" alguns ips... mas mesmo assim pareçe que falta algum ip no setup.
Crachá +3
As instrucoes presentes neste topico estao atualizadas à data de hoje. Se algo nao esta a funcionar foi porque nao completaste corretamente os passos descritos
Eu já tenho os ips presentes neste tópico inseridos no igmp do meu pfsense. Como disse alguns canais dão sem paragens tipo RTP1 agora e outros nem imagem dão.


 


Entretanto vendo o log da firewall apenas para o ip da box e pacotes igmp obtenho este resultado:


 





 Feb 7 07:12:14
re0
(1000002620)
  200.8.1.85
  239.255.255.250
IGMP



 
Feb 7 07:15:50
re0
(1000002620)
  200.8.1.85
  232.17.8.44
IGMP



 
Feb 7 07:16:01
re0
(1000002620)
  200.8.1.85
  232.17.8.15
IGMP



 
Feb 7 07:18:13
re0
(1000002620)
  200.8.1.85
  232.17.8.15
IGMP



 
Feb 7 07:21:31
re0
(1000002620)
  200.8.1.85
  232.17.8.15
IGMP



 
Feb 7 07:25:56
re0
(1000002620)
  200.8.1.85
  224.0.0.2
IGMP



 
Feb 7 07:49:24
re0
(1000002620)
  200.8.1.85
  224.0.0.2
IGMP



 
Feb 7 07:49:28
re0
(1000002620)
  200.8.1.85
  239.255.255.250
IGMP




 


Tenho aqui uns ips que não estou a ver onde os coloco tipo o 239.255.255.250 ou o 224.0.0.2 


A gama 232.17.8.18 ou 232.17.8.44 acabei colocando no upstream da seguinte maneira 232.17.0.0 /16


O 224.0.0.2 tenho no upstream como 224.0.0.0 /20


 
Boa noite.


Tenho uma questão diferente ao abordado aqui, mas relacionada com o pfsense.


Tenho MeoADSL (infelizmente ainda não dispponho de fibra na minha zona de residencia) e tenho uma ESXi VM com pfSense.


 


A minha configuração é a seguinte:


- Linha ADSL ligada ao Thomson


- 2 Boxs Meo ligadas ao Thomson portas 2 e 3


- Placa de rede WAN (192.168.1.1) do pfSense ligado à porta 1 do Thomson.


- Placa de rede LAN (10.0.0.254) do pfSense ligada a um switch sem getão para distribuição da rede Internet.


 


Tenho um sistema de gestão inteligente da casa (HomeAssistant) instalado numa maquina (10.0.0.250)


Nessa sistema de gestão existe um componente mediaroom que consegue comunicar com as boxs e ligar/desligar, mudar de canal e alterar o volume.


No entanto se conseguisse comunicar com as boxes usando multicast/IGMP, era possivel que ele conseguisse obter o estado da box (on/off) e em que canal estavam.


Ora, ai está o meu problema, o meu conhecimento de multicast/IGMP é zero e não consigo configurar o pfSense para permitir esta comunicação entre o HomeAssistant e as boxes.


Consigo fazer pings e telnets às boxes.


O MeoRemote (não encontra box nenhuma) tambem não funciona.


Alguem com conhecimentos para dar uma ajuda?


Muito obrigado desde já.
Reputação 1
Crachá +1
Novo upstream

10.159.224.0/24

Eu tenho ipv6 a funcionar com DHCP6. 

Estas são as opções que tenho com visto/alteradas na interface WAN.

 

  • Request only an IPv6 prefix
  • DHCPv6 Prefix Delegation size = 64 (já não me lembro se era assim que estava originalmente)
  • Do not wait for a RA

3234iE6BFD184AD8ECAFF.pngEspero ter ajudado.

 

 

Não sei se este post ainda é visitado por alguem que me consiga ajudar, mas vamos lá tentar!

 

Atualmente tenho a esta configuração, conforme o que foi mostrado. Tenho IPTV a funcionar e agora gostava de meter o IPv6 a funcionar tambem.

Já configurei muitas vezes com ipv4 mas ainda nao me meti muito no ipv6. Qual deve ser a config na parte da lan?

 

edit: e em relação a routing/gateway?

Obrigado.

Alguém actualmente com a Box Meo a funcionar com pfSense, sem que a imagem pare?

Crachá

Alguém actualmente com a Box Meo a funcionar com pfSense, sem que a imagem pare?


Sim, depois de alguma luta, deixo a minha configuração do IGMP Proxy:

 

 

E da firewall:

 

 

São printscreens de OPNSense, mas são em tudo semelhantes a pfSense.

Crachá

  

Eu tenho ipv6 a funcionar com DHCP6. 

Estas são as opções que tenho com visto/alteradas na interface WAN.
 

  • Request only an IPv6 prefix
  • DHCPv6 Prefix Delegation size = 64 (já não me lembro se era assim que estava originalmente)
  • Do not wait for a RA

3234iE6BFD184AD8ECAFF.png


Espero ter ajudado.

 

 

Só consegui usando o prefixo 56., invés do 64.

Crachá

Já configurei muitas vezes com ipv4 mas ainda nao me meti muito no ipv6. Qual deve ser a config na parte da lan?

 

edit: e em relação a routing/gateway?

Obrigado.

 

Mete “Tracking Interface” e, mais abaixo, no interface a seguir, “WAN”.

 

Se tiveres mais do que um interface em LAN, no primeiro mete “IPv& prefix ID” igual a 0, e nos seguintes incrementa 1 unidade em cada um dos interfaces que tenhas. Por exemplo:

  • LAN = 0
  • LAN2 = 1
  • LAN3 = 2
Crachá

Olá boa tarde.

Desculpem a minha ignorância! 

Colocar um switch, penso de layer 2,  entre o ONT e 2 máquinas: um router e um pc a correr pfsense! Funciona nas redes da Meo? 

Agradecia esclarecimento.

 

Obrigado,

Carlos Silva

Crachá

Olá boa tarde.

Desculpem a minha ignorância! 

Colocar um switch, penso de layer 2,  entre o ONT e 2 máquinas: um router e um pc a correr pfsense! Funciona nas redes da Meo? 

Agradecia esclarecimento.

 

Obrigado,

Carlos Silva


Há-de funcionar, mas terá que ser um switch gerido, para se configurarem as VLAN necessárias (de TV e WAN) em cada porta usada do switch, nessa configuração.

 

Um TL-SG105E ou semelhante é plausível que dê.

Olá boa tarde.

Desculpem a minha ignorância! 

Colocar um switch, penso de layer 2,  entre o ONT e 2 máquinas: um router e um pc a correr pfsense! Funciona nas redes da Meo? 

Agradecia esclarecimento.

 

Obrigado,

Carlos Silva


Há-de funcionar, mas terá que ser um switch gerido, para se configurarem as VLAN necessárias (de TV e WAN) em cada porta usada do switch, nessa configuração.

 

Um TL-SG105E ou semelhante é plausível que dê.

 

Não é necessário que seja um switch gerido. Um TL-SG105 ou SG-108 normal funciona para os efeitos pretendidos. Tenho esse setup com um SG-108 normal (não gerido).

A configuração de WAN/LAN é feita no router ou no PC que estiver(em) ligado(s) ao SWITCH.


Conectar o ONT a um switch via RJ45, de forma simplista e na prática acaba por ser como estarmos a ligar um switch (ONT) a outro switch. A partir desse momento, cabe a cada host ligado ao SWITCH atribuir-se a configuração de rede (via DHCP no caso).

Um switch de layer 2 é o suficiente.

Crachá

Desculpem desenterrar o tópico.

 

Estou à espera de um qotom para construir um router pfsense e dar inicio a um upgrade à rede doméstica.

Enquanto isso, já experimentei ligar o pc ou um router alternativo ao thompson foleiro da meo diretamente ao ont7-sfu. No entanto, não consigo aceder à internet de nenhuma forma. Julgo que a meo bloqueia o acesso se não for pelo router deles. Estou certo?

Queria mesmo evitar ter de utilizar o router deles mesmo em bridge.

Reputação 7
Crachá +23

Julgo que a meo bloqueia o acesso se não for pelo router deles. Estou certo?

 

Pode ligar qualquer router direto ao ONT. Eu tenho um Asus rt ac51u ligado direto ao ont. Já tive outros sem qualquer problema (o único é que nesse cenário não tenho telefone voip da fibra nem meo box). Só uso net/wifi e Apple TV.

Que “ thompson foleiro “ é esse? Ou está com alguma configuração, ou poderá não estar bom.

Crachá

Obrigado pela resposta! Tenho um Thomson TG784n v2.

 

Neste momento tenho: ONT → Thomson em bridge → DLink DIR 882 → APs

 

O que pretendo é ONT->Router pfsense → APs.

 

Quando ligo o PC ou o D-link diretamente ao ONT nunca consigo obter endereço por DHCP.

Crachá

Alguém actualmente com a Box Meo a funcionar com pfSense, sem que a imagem pare?


Sim, depois de alguma luta, deixo a minha configuração do IGMP Proxy:

 

 

E da firewall:

 

 

São printscreens de OPNSense, mas são em tudo semelhantes a pfSense.

Tentei esta configuração sem sucesso. Ainda está a dar por esses lados?

 

EDIT: um número errado. Tudo a funcionar. Obrigado!

Alguém actualmente com a Box Meo a funcionar com pfSense, sem que a imagem pare?


Sim, depois de alguma luta, deixo a minha configuração do IGMP Proxy:

 

 

E da firewall:

 

 

São printscreens de OPNSense, mas são em tudo semelhantes a pfSense.

Tentei esta configuração sem sucesso. Ainda está a dar por esses lados?

 

EDIT: um número errado. Tudo a funcionar. Obrigado!


Boas ,

Mesmo com as configurações anunciadas nao me dá (box)

Alguem utiliza este metodo ?

Podem -me dar-me um print atual de quem usa o pfsense

muito obg

Crachá
Regras WAN

De resto, bloqueei o acesso da rede IPTV a todas as minhas outras redes.

Regras WAN

De resto, bloqueei o acesso da rede IPTV a todas as minhas outras redes.

 

Grato pelo cuidado.

Já funciona.

Obg