Tutorial pfSense

  • 30 May 2016
  • 48 respostas
  • 16315 visualizações

Reputação 1
Crachá +1
  • Dinamizador Júnior
  • 10 respostas
Boas


Recentemente pedi ajuda aqui no forum de como configurar uma máquina pfSense de modo a ter internet e IPTV (pacote meo fibra) e substituir definitivamente o router da meo. No meu caso um Technicolor TG784n v3 com firmware 10.2.1.L.


Após horas e horas de pesquisa não encontrei um único tutorial explicativo de como configurar o pfSense de modo a ter internet e TV na Box da meo.


Mas existem outros tutoriais na net de como obter estes serviços com um router adicional, ou substituir o router da meo por outro com opensource firmware. Apesar de nenhum destes tutoriais ser possível de aplicar diretamente ao pfSense, a verdade é que reuni muita informação e após horas de tentativas e erro, consegui finalmente configurar uma máquina pfSense de modo a eliminar o router da meo mantendo o serviço de internet e IPTV.


Para quem não sabe o que é o pfSense, é uma distribuição de software (Sistema Operativo) opensource Firewall/Router para computador baseado no FREEBSD que é instalado fisicamente num computador ou numa máquina virtual criando assim uma Firewall/Router de topo. Este SO oferece configurações e características de tal modo avançadas que algumas delas apenas podem ser encontradas em dispendiosas máquinas empresarias, mas com a particularidade de ser gratuito 😃 . Para além disso, é possível instalar pacotes adicionais, tais como anti vírus, FTP Client Proxy, web proxy cache e muitos, muitos outros. Além disso podem tornar-se membros GOLD (mediante o pagamento de uma subscrição) e ter acesso a benefícios apenas acessíveis a membros Premium (No meu caso não vejo necessidade).


Este sistema operativo é relativamente “leve” pelo que o hardware necessário não necessita de ser nada de extraordinário. O que permite utilizar um PC ou portátil que já não utilizem (mas que ainda funcione) por se encontrar obsoleto. Aqui está uma maneira de dar vida a alguns componentes que tenham enterrados no vosso cemitério de hardware.


Dependendo muito do que pretendem fazer com a máquina (as limitações são poucas), qualquer computador com duas placas de rede, um processador (pode ser single core) com mais de 1Ghz, 1 Giga de RAM e um disco de 30GB é mais que suficiente. No que diz respeito às placas de rede, são necessárias pelo menos duas, pois uma vai ser configurada para WAN e a outra para LAN. Recomendo que sejam Gigabit, mas se a vossa internet não for superior a 100Mbps, uma placa 10/100 serve perfeitamente para WAN. Também podem usar uma placa de rede sem fios se pretenderem utilizar o pfSense como Hot Spot (não vou ensinar a configurar o pfSense como Hot Spot neste tutorial, mas se quiserem posso dizer como se faz).


 


Vou agora explicar como configurei o pfSense utilizando para efeitos deste tutorial uma instalação clean do software.


Começamos por fazer o download do pfSense no site https://www.pfsense.org/download/


Escolhemos a versão de instalação mais recente (atualmente 2.3.1) e escolhemos a arquitetura pretendida (32 ou 64bits). Depois escolhemos a plataforma de instalação (no meu caso memstick, pois não sei o que são CD’s 😛 ) e por fim utilizamos a consola VGA uma vez que vamos utilizar um monitor apenas para a instalação do software. Depois pode ser descartado.





 


Para a criação do Memory stick de instalação vamos utilizar a ferramenta de criação de Bootable USB drives RUFUS. Fazemos o download em https://rufus.akeo.ie/


Corremos o utilitário, selecionamos o dispositivo onde pretendemos criar a pen de instalação do pfSense, selecionamos o tipo de imagem que queremos utilizar em “Create a bootable disk using” no nosso caso DD image e apontamos para o local onde salvamos anteriormente o ficheiro pfSense. Clicamos em Start e aguardamos a criação da pen drive.





  


Depois da pen criada, introduzimos a mesma na máquina onde queremos instalar a nossa Firewall/Router, entramos nas configurações da bios e selecionamos a nossa pen USB como first boot drive.


 


A instalação é muito simples e existem vários vídeos na net explicativos pelo que não vou entrar em detalhes, apenas efetuamos a instalação com as configurações por defeito e reiniciamos a máquina (com a pen removida).


É nesta altura que começamos a configuração da nossa máquina.


Quando surgir no ecrã se pretendemos configurar as VLANS dizemos que não. Depois é só selecionar qual o interface que pretendemos usar para a WAN e o que pretendemos usar para a LAN. Se não soubermos podemos utilizar a opção autodetect, bastando para tal premir a tecla “a” e ligar um cabo de rede do ONT à porta do interface que pretendemos utilizar como WAN que o pfSense identifica automaticamente. Fazemos o mesmo para a LAN. Confirmamos a nossa seleção e deixamos o ONT ligado à porta WAN e o nosso computador, ou Switch ligado à porta LAN. A partir daqui, podemos desligar o monitor e o teclado da máquina, pois não vão ser mais necessários nos próximos passos.


 


Agora a parte divertida :D


O pfSense atribui por defeito à porta LAN o endereço IP 192.168.1.1/24. Para quem não sabe o que o 24 quer dizer, é a nossa Subnet Mask em bits. Ou seja: 255.255.255.0 = 11111111.11111111.11111111.00000000 Se somarem a quantidade de “uns” dá 24.


Para configurar o pfSense abrimos o brawser no computador ligado à porta LAN e digitamos o seguinte endereço:


https://192.168.1.1


De seguida somos brindados com um erro de certificado, o qual ignoramos e seguimos para o nosso website.





Por defeito o pfSense vem com os seguintes user/password:


Username: admin


Password: pfsense


Efetuamos o login e iniciamos a configuração Wizard.





 


 


Vamos avançando e na “General Information” atribuímos um Hostname (eu deixei por defeito) e um Domain (no meu caso teste.localdomain). Podem introduzir o que quiserem. Deixamos o resto como está e clicamos Next.





 


Em “Time Server” deixamos o servidor por defeito e mudamos apenas o Timezone para Europe/Lisbon.Next.





 


Chegámos à configuração da WAN. Para já deixamos tudo como está e clicamos em Next. Já vamos perceber porquê.


 




 


Na configuração LAN eu alterei o IP Adress para ficar igual ao do Router da Meo (192.168.1.254/24). Não é necessário, mas como já tinha a minha rede configurada e atalhos no desktop para abrir o Web Gui do TG784n v3, preferi alterar para ficar igual. Podem alterar ou manter o IP de defeito. Se alterarem lembrem-se que quando salvarem as configurações, vão perder a conexão com com o pfSense, pelo que têm que aguardar uns segundos, fechar o browser e reabrir novamente, colocando como endereço o IP atribuído anteriormente.





 


Agora vamos atribuir uma password mais robusta ao utilizador admin, clicamos Next e a seguir Reload. Se alteraram o IP, é agora que vão perder a conexão. Abrir novo browser com o novo IP. Entrar com admin e a nova password.





 


Somos encaminhados diretamente para o Dashboard. Por enquanto ainda não temos internet pelo que o endereço WAN é 0.0.0.0.





 


 


Vamos então configurar o pfSense para termos internet.


Vamos a Interface – (assign) – VLANs


 




 


Clicamos em Add e em Parent Interface selecionamos o interface WAN. Em VLAN Tag introduzimos 12. Em VLAN Priority deixamos estar 0 e introduzimos o nome que quisermos na Description. Salvamos e ficamos com algo deste género:





 


 


Voltamos a Interface assignments, e no Network Port da WAN, selecionamos a VLAN 12 que acabámos de criar.





 


Salvamos e a partir de agora já temos um endereço de IP público na nossa interface WAN. Podemos confirmar clicando no logotipo do pfSense no canto superior esquerdo e somos direcionados para o Dashboard.


Nesta altura já devemos ter Internet. Se não tivermos, fazemos um reboot à máquina em Diagnostics – Reboot.





Et Voila!! Acabámos de configurar a internet na nossa máquina pfSense.


 


 


 


Vamos agora configurar o pfSense para funcionar com a nossa BOX Meo.


Para tal vamos adicionar o serviço IGMP Proxy.


Vamos a Services – IGMP Proxy e clicamos em Add.





 


 


Na Interface WAN vamos configurar os upstreams conforme a imagem:





Salvamos e aplicamos as alterações.


 


 


E na Interface LAN o Downstream conforme a Imagem:





Salvamos e aplicamos as alterações.


 


 


Ficamos com os serviços de IGMP Proxy desta forma:


 




 


Vamos agora definir algumas regras de Firewall para a WAN e para a LAN.


Para tal vamos a Firewall – Rules – Selecionamos WAN e clicamos em Add





 


Deixamos tudo por defeito e alteramos o Protocol para UDP. No Source escolhemos Network e definimos os IP’s que adicionamos anteriormente no IGMP Proxy para a porta WAN e para a porta LAN. Criamos uma regra para cada IP (logo serão 4 regras). Damos o nome que quisermos à Descrição e em Extra Options clicamos em Display Advanced e marcamos a caixa Allow IP options. Esta passo é necessário para ativar o multicast obrigatório para a nossa BOX não congelar a imagem ao fim de 5 ou 10 segundos.


 







 


 


Só nos falta criar mais uma regra para a porta WAN e alterar outra na porta LAN.


Ainda no separador WAN clicamos novamente em Add e deixamos tudo por defeito alterando apenas o Protocol para IGMP e em Extra Options clicamos em Display Advanced e marcamos novamente Allow IP options.





 


Ficamos com algo deste género:


 




Aplicamos as alterações.


 


 


Vamos agora ao separador LAN e vamos editar a regra com a descrição: Default allow LAN to any rule.


E a unica coisa que precisamos de alterar é no Extra Options, clicar em Display Advanced e marcar a opção Allow IP option





 


Salvamos e aplicamos as alterações. Se repararem ficamos com uma roda dentada em cada regra que marcámos com Allow Ip option. É isso que pretendemos.





 


Para finalizar, falta-nos apenas um ultimo passo que é o seguinte:


Vamos a Interfaces – (assign), clicamos no interface WAN





 


Descemos a janela até ao fim e desmarcamos a caixa Block private networks and loopback addresses





Salvamos e aplicamos as alterações.


 


Agora é só fazermos um Reboot à máquina e desligar a BOX da corrente enquanto o pfSense reinicia.


Depois é só ligar novamente a BOX e está feito! Internet e IPTV a funcionar sem o router da Meo.


;)


 


Nota: Não utilizo o serviço VOIP pelo que não inclui neste tutorial. Contudo, podem continuar a utilizar o router da meo apenas para o VOIP, para tal basta colocar um switch entre o ONT e os routers (o da Meo e o pfSense) e no router da meo ligar apenas o telefone.

Tópico fechado, já não permite mais respostas.

48 respostas

Boa tarde.Antes de mais nada, quero agradecer este magnifico tutorial para configurar o MEO Fibra no PFSENSE.


Segui todos os passos descritos no tutorial e no fim acabei ficando com bloqueios de imagem na BOX.


Tenho uma MEO Box motorola a que dá para jogar jogos.


Existe algo mais que se possa fazer para acabar com os bloquios de imagem a cada 5 / 10 segundos ???? Criei as regras tal e qual como esta descrito mas fiqui com os bloquios de imagem.


 


Obrigado.
Reputação 1
Crachá +1
Boas mrc-core.


Qual o hardware usado?


Há algum NIC Marvell (msk) na máquina?


Após construir algumas máquinas pfsense para amigos, cheguei à infeliz consclusão que os interfaces Marvell não são compativeis com o multicast necessário para a box da MEO funcionar.


 
Boas.


Obrigado pelo reply.


Neste momento estou usando uma placa D-LINK de 4 portas para receber a WAN e fazer a VLAN12, e estou usando uma placa tp-link gigabyte para fazer a LAN.


 


Voltei a refazer todos os passos e não dá. O que acho mais estranho é  o seguinte:


Faço todo o procedimento tal e qual disseste. Reinicio a box após ter o pfsense operacional, a box obtém ip e dá imagem e som durante uns 10 segundos depois bloqueia. Para contornar esta situação, ligo a porta 1 do thomson a rede da casa, a box começa logo a dar imagem e som e posso agora delsigar o thomson porque deixei de ter o problema. Só volto a perder a imagem / som se reiniciar o pfsense.


 


Tenho o thomson ligado na rede com o DHCP desativado, wifi desativado mas como tenho telefone fixo, vou basicamente forçado a ter o thomson ligado.


 


Cumprimentos
Reputação 1
Crachá +1
Boas


Era o que eu desconfiava.


Quase garantidamente que a culpa está na placa D-Link que estás a usar.


A D-Link costuma usar chips Marvell e foi precisamente isso que aconteceu no computador de um amigo meu.


Tens a possibilidade de usar alguma placa Intel? A motherboard tem alguma porta interna que não seja Marvell?


 


Placas já testadas por mim que funcionam:


Nvidia


Atheros


Broadcom


Intel


 


Placas já testadas por mim que não funcionam:


Todas as placas com chips Marvell


 


Placas que ainda não testei:


Baseadas em chips Realtek
Como ão estava usando a placa de rede onboard da motherboard, aproveitei e troquei a VLAN da placa DLink para a placa onboard que é uma "Realtek RTL8102EL 100/10 LAN" procedi ao reajuste das interfaces e fiz um reboot ao pfsense. Para meu espanto o reboot demorou mais de 2 minutos quando o pfsense demora menos de 1 minuto a fazer o reboot.


 


Após uma verificação no sistema reparei que a placa realtek não estava a dar um MAC address correcto.


 


?


 


Voltei a colocar como estava a ligação da ONT na porta 1 do DLink e vou comprar uma nova placa já agora gigabyte para receber o sinal da ONT e criar a VLAN. Penso que consigo encontrar uma Intel ou então atheros. A ver se hoje a noite consigo te dizer algo sobre este assunto.


Até lá deixo as ligações como estão e deixo o thomson ligado na rede para a Box dar imagem.


 


Uma vez mais obrigado pela ajuda.
Uma questão.


É possível fazer no pfsense o que se faz com os routers Asus, neste caso em concreto ter a ONT a se ligar na WAN do PFSense e ter uma porta do PFSense a fazer uma VLAN para o router Thomson??? É que já tentei e não consegui.


Se fosse possível fazer isto eu já não teria que usar um switch entre a ONT e o PFSense para ligar o router Thomson e usava esse switch noutro sitio que me esta fazendo muita falta. 
Reputação 1
Crachá +1
Sim, é possível. Tens que fazer um bridging entre duas portas LAN.


No entanto não aconselho esta configuração, pois vais perder velocidade, uma vez que a firewall tem que processar os pacotes que passam entre as portas.


Acho que a melhor opção é adquirires um segundo switch para este efeito.


Eu comprei recentemente no ebay um switch gigabit de 5 portas por 12 euros. Quando chegar, vou testar e deixo o meu feedback.
Boas.


Acho que vou tentar a tal situação da bridge para ver como fica as ligações. Tenho um switch giga entre a ONT e o PFSense e perco perto de 10Mbs dos 100Mbs que apanho se tiver a ONT ligada diretamente ao PFSense.


Será que me podias orientar nos passos a dar para conseguir fazer a bridge para poder ter o router thomson a dar ligado a uma porta do pfsense??


Entretanto já tenho 3 placas giga no pfsense ambas da tp-link com o chip realtek mas ainda nao consigo ter a box a dar sem ser aos soluços.


 


Cumprimentos


 
Boa tarde

 

Antes de mais obrigado pelo post e ajuda. Sou um iniciado nas questões do Pfsense e ajudou a resolver algumas questões.

 

Contudo tenho algumas questões novas levantaram-se e gostaria de pedir auxilio para tal como o mrc-core disse fazer uma Bridge ou configuração para ligar o router meo ao PfSense e o mesmo ficar a funcionar totalmente por causa do VOIP.

 

A obstinação da PT/MEO de não auxiliar os clientes vai fazê-lo ficar sem eles.

 

Os outros operadores têm um equipamento para tudo, eles não passam da cepa torta.

 

Cumprimentos
Obrigado pelo post tambem. Tenho tudo a funcionar incluindo IPTV no  ADSL.
novo upstream 213.13.19.0/20


outro 232.17.12.47/20 


 


mudou para 213.13.19.177/20
Eu acabei "desistindo" de ter a meo box a passar pelo PFSense... muitos bloqueios enfim. Consegui ter durante mais de 3 dias ou mais de 1 semana a dar sem bloqueios mas bastava reiniciar a box ou reiniciar o PFSense que voltava a ter os bloqueios da TV. Acabei por deixar o router thomson ligado a servir de backup caso a rede / acesso internet no PFSense falha-se devido a alguma má configuração da minha parte. 


Acabo tendo PFSense para gerir a internet e todos os meus equipamentos incluindo wifi. E tenho o thomson a gerir a meo box e o telefone e a rede guest cá de casa.
Alguém tem o pfSense a funcionar como no tutorial "Tutorial firmware 10.2.1.L mais segundo router a gerir o serviço de internet" ?


 


A minha ideia era tirar o ASUS que tenho agora e subsituir pela maquina pfSense, e mais tarde usar o ASUS como Wireless-AP. Tudo isto mantendo o segundo router da MEO, para assegurar o serviço de voz através do mesmo.


 


Tentei algumas opções no pfsense, incluindo criar uma bridge mas fiquei sempre com a sensação de que algo me estava a escapar... E efetivamente não funcionava...


 


Será que há forma de configurar no pfSense uma especie de interface vlan, e as duas portas wan + meo passthrough a passar as vlans necessárias?


 


Cumps


 


 
Eu uso um VLAN só para o recetor da meo para poder facilmente datetar as mudanças no igmp...
Fiquei na dúvida. Estas usando uma vlan apenas para registar todas as mudanças de igmp da meo? Tens a box da meo ligada a vlan que estas a registar?


Se sim como tens o teu setup para que a box funcione no pfsense sem bloqueios?


 


Neste momento tenho duas vlans no pfsense a primeira vlan é a minha WAN e a segunda vlan é uma WAN secundária para downloads e outras ligações, até tenho uma WAN com um ip da NOS a fazer load balance com a minha WAN principal o que acabou por dar um boost no upload e no download. Mas neste momento o que me falta mesmo é só conseguir colocar a box a dar a 100% no pfsense sem falhas. Podes dar uma ajuda.


 


Cumprimentos
Tenho uma VLAN aqui configurada pra conveniencia apenas, para separar as aguas no mesmo cabo. Nao tenho falhas nenhumas desde que tenha o igmp proxy ben configurado vejo tudo normal. Mal mudam o upstream faço packet sniffing na vlan da box e adiciono no igmp proxy.
Crachá +3
Obrigado a todos pela info sobre implementação de pfSense em Single Edge da Meo Fibra.


 


Atualmente, verifico que o DHCP6 não se encontra a funcionar via pfSense. A configuração é bastante standard e noutros routers (OpenWRT ou ASUSWRT) funciona corretamente, mas no pfSense continua a não apanhar o IPv6 público.


Quem tem ja pfSense está a conseguir apanhar IPv6?


 


Obrigado pelo tutorial. Bastante bom e resolveu-me o problema do IPTV
Eu tenho ipv6 a funcionar com DHCP6. 


 


Estas são as opções que tenho com visto/alteradas na interface WAN.


  • Request only an IPv6 prefix
  • DHCPv6 Prefix Delegation size = 64 (já não me lembro se era assim que estava originalmente)
  • Do not wait for a RA




 


Espero ter ajudado.
Crachá +3
Obrigado @@lysin. Percebi depois que, por alguma razão, ao configurar o interface WAN com as settings do DHCP6 que ele não assumia as alterações. Após reboot já ficou a funcionar corretamente.


 


No prefix delegation tenho /56, e está a funcionar corretamente.


 


Obrigado
Bom dia segui os passos e tenho internet e televisão a funcionar mas falta colocar o voip pois esse necessita do router da meo para isso alguma sugestão?
Crachá +3
Para isso terás sempre que utilizar o Thomson. E podes fazê-lo de duas formas: ou colocas uma porta do pfsense, se a tiveres, em bridge para ligar ao Thomson e ele apanhar IP público ou colocas um switch entre o ONT e o pfsense e Thomson.


 


Desta forma tens IP público quer no Thomson quer no pfsense e ficas com VoIP.
Isso funciona, após testes verifiquei que o melhor layout será colocar tanto o router como a PFSence, com IP Público por detrás de um switch e colocar o DHCP Server a dar à televisão como gateway o router da Meo visto que mesmo com IGMP proxy tinha queixas de paragem de televisão, ou seja ter 2 gateways LAN um da Meo outro da PFSence e o DHCP com um range que apanhe o router da Meo e a Lan e dar ip Lease à TV. de resto é peanuts.
Crachá +3
A configuração por mim sugerida permitia que o router meo e o pfsense funcionassem de forma autónoma sem qualquer conflito. Se tens paragens no iptv com a box ligada no pfsense então ou não tens hardware suficiente para gerir ou tens alguma configuração errada.


 


Relembro que, por LAN, o router da meo e o pfsense não devem estar interligados e devem trabalhar de forma independente. Se interligas tudo, há dois gateways de saida e dois IGMPproxy na rede o que vai criar colisões na rede interna que pode causar os problemas que descreves
Bom dia.


 


No PFSense em relação ao IPTV consigo colocar a dar a imagem sem bloqueios após algumas tentativas.


O problema é que quando reinicio o PFSense o IPTV deixa de dar. Começa logo com os bloqueios após 10 segundos. Posso reiniciar a MEO box mas o problema continua.


 


Alguém tem este problema? Sabe como dar a volta a este problema?


Já fiz vários reboots a box e ao PFSense e mesmo assim não consigo ficar com a imagem a dar sem bloqueios.
Crachá +3
E quais são as tentativas que fazes até repores o IPTV?


 


se tens freeze na imagem é porque o serviço do igmpproxy não está a arrancar ou as regras configuradas não estão corretas.


 


verifica se, quando fazes reboot se o serviço do igmpproxy arranca corretamente. Verifica e interpreta o log da firewall para verificar que erros tens.