Recentemente pedi ajuda aqui no forum de como configurar uma máquina pfSense de modo a ter internet e IPTV (pacote meo fibra) e substituir definitivamente o router da meo. No meu caso um Technicolor TG784n v3 com firmware 10.2.1.L.
Após horas e horas de pesquisa não encontrei um único tutorial explicativo de como configurar o pfSense de modo a ter internet e TV na Box da meo.
Mas existem outros tutoriais na net de como obter estes serviços com um router adicional, ou substituir o router da meo por outro com opensource firmware. Apesar de nenhum destes tutoriais ser possível de aplicar diretamente ao pfSense, a verdade é que reuni muita informação e após horas de tentativas e erro, consegui finalmente configurar uma máquina pfSense de modo a eliminar o router da meo mantendo o serviço de internet e IPTV.
Para quem não sabe o que é o pfSense, é uma distribuição de software (Sistema Operativo) opensource Firewall/Router para computador baseado no FREEBSD que é instalado fisicamente num computador ou numa máquina virtual criando assim uma Firewall/Router de topo. Este SO oferece configurações e características de tal modo avançadas que algumas delas apenas podem ser encontradas em dispendiosas máquinas empresarias, mas com a particularidade de ser gratuito 😃 . Para além disso, é possível instalar pacotes adicionais, tais como anti vírus, FTP Client Proxy, web proxy cache e muitos, muitos outros. Além disso podem tornar-se membros GOLD (mediante o pagamento de uma subscrição) e ter acesso a benefícios apenas acessíveis a membros Premium (No meu caso não vejo necessidade).
Este sistema operativo é relativamente “leve” pelo que o hardware necessário não necessita de ser nada de extraordinário. O que permite utilizar um PC ou portátil que já não utilizem (mas que ainda funcione) por se encontrar obsoleto. Aqui está uma maneira de dar vida a alguns componentes que tenham enterrados no vosso cemitério de hardware.
Dependendo muito do que pretendem fazer com a máquina (as limitações são poucas), qualquer computador com duas placas de rede, um processador (pode ser single core) com mais de 1Ghz, 1 Giga de RAM e um disco de 30GB é mais que suficiente. No que diz respeito às placas de rede, são necessárias pelo menos duas, pois uma vai ser configurada para WAN e a outra para LAN. Recomendo que sejam Gigabit, mas se a vossa internet não for superior a 100Mbps, uma placa 10/100 serve perfeitamente para WAN. Também podem usar uma placa de rede sem fios se pretenderem utilizar o pfSense como Hot Spot (não vou ensinar a configurar o pfSense como Hot Spot neste tutorial, mas se quiserem posso dizer como se faz).
Vou agora explicar como configurei o pfSense utilizando para efeitos deste tutorial uma instalação clean do software.
Começamos por fazer o download do pfSense no site https://www.pfsense.org/download/
Escolhemos a versão de instalação mais recente (atualmente 2.3.1) e escolhemos a arquitetura pretendida (32 ou 64bits). Depois escolhemos a plataforma de instalação (no meu caso memstick, pois não sei o que são CD’s 😛 ) e por fim utilizamos a consola VGA uma vez que vamos utilizar um monitor apenas para a instalação do software. Depois pode ser descartado.
Para a criação do Memory stick de instalação vamos utilizar a ferramenta de criação de Bootable USB drives RUFUS. Fazemos o download em https://rufus.akeo.ie/
Corremos o utilitário, selecionamos o dispositivo onde pretendemos criar a pen de instalação do pfSense, selecionamos o tipo de imagem que queremos utilizar em “Create a bootable disk using” no nosso caso DD image e apontamos para o local onde salvamos anteriormente o ficheiro pfSense. Clicamos em Start e aguardamos a criação da pen drive.
Depois da pen criada, introduzimos a mesma na máquina onde queremos instalar a nossa Firewall/Router, entramos nas configurações da bios e selecionamos a nossa pen USB como first boot drive.
A instalação é muito simples e existem vários vídeos na net explicativos pelo que não vou entrar em detalhes, apenas efetuamos a instalação com as configurações por defeito e reiniciamos a máquina (com a pen removida).
É nesta altura que começamos a configuração da nossa máquina.
Quando surgir no ecrã se pretendemos configurar as VLANS dizemos que não. Depois é só selecionar qual o interface que pretendemos usar para a WAN e o que pretendemos usar para a LAN. Se não soubermos podemos utilizar a opção autodetect, bastando para tal premir a tecla “a” e ligar um cabo de rede do ONT à porta do interface que pretendemos utilizar como WAN que o pfSense identifica automaticamente. Fazemos o mesmo para a LAN. Confirmamos a nossa seleção e deixamos o ONT ligado à porta WAN e o nosso computador, ou Switch ligado à porta LAN. A partir daqui, podemos desligar o monitor e o teclado da máquina, pois não vão ser mais necessários nos próximos passos.
Agora a parte divertida :D
O pfSense atribui por defeito à porta LAN o endereço IP 192.168.1.1/24. Para quem não sabe o que o 24 quer dizer, é a nossa Subnet Mask em bits. Ou seja: 255.255.255.0 = 11111111.11111111.11111111.00000000 Se somarem a quantidade de “uns” dá 24.
Para configurar o pfSense abrimos o brawser no computador ligado à porta LAN e digitamos o seguinte endereço:
https://192.168.1.1
De seguida somos brindados com um erro de certificado, o qual ignoramos e seguimos para o nosso website.
Por defeito o pfSense vem com os seguintes user/password:
Username: admin
Password: pfsense
Efetuamos o login e iniciamos a configuração Wizard.
Vamos avançando e na “General Information” atribuímos um Hostname (eu deixei por defeito) e um Domain (no meu caso teste.localdomain). Podem introduzir o que quiserem. Deixamos o resto como está e clicamos Next.
Em “Time Server” deixamos o servidor por defeito e mudamos apenas o Timezone para Europe/Lisbon.Next.
Chegámos à configuração da WAN. Para já deixamos tudo como está e clicamos em Next. Já vamos perceber porquê.
Na configuração LAN eu alterei o IP Adress para ficar igual ao do Router da Meo (192.168.1.254/24). Não é necessário, mas como já tinha a minha rede configurada e atalhos no desktop para abrir o Web Gui do TG784n v3, preferi alterar para ficar igual. Podem alterar ou manter o IP de defeito. Se alterarem lembrem-se que quando salvarem as configurações, vão perder a conexão com com o pfSense, pelo que têm que aguardar uns segundos, fechar o browser e reabrir novamente, colocando como endereço o IP atribuído anteriormente.
Agora vamos atribuir uma password mais robusta ao utilizador admin, clicamos Next e a seguir Reload. Se alteraram o IP, é agora que vão perder a conexão. Abrir novo browser com o novo IP. Entrar com admin e a nova password.
Somos encaminhados diretamente para o Dashboard. Por enquanto ainda não temos internet pelo que o endereço WAN é 0.0.0.0.
Vamos então configurar o pfSense para termos internet.
Vamos a Interface – (assign) – VLANs
Clicamos em Add e em Parent Interface selecionamos o interface WAN. Em VLAN Tag introduzimos 12. Em VLAN Priority deixamos estar 0 e introduzimos o nome que quisermos na Description. Salvamos e ficamos com algo deste género:
Voltamos a Interface assignments, e no Network Port da WAN, selecionamos a VLAN 12 que acabámos de criar.
Salvamos e a partir de agora já temos um endereço de IP público na nossa interface WAN. Podemos confirmar clicando no logotipo do pfSense no canto superior esquerdo e somos direcionados para o Dashboard.
Nesta altura já devemos ter Internet. Se não tivermos, fazemos um reboot à máquina em Diagnostics – Reboot.
Et Voila!! Acabámos de configurar a internet na nossa máquina pfSense.
Vamos agora configurar o pfSense para funcionar com a nossa BOX Meo.
Para tal vamos adicionar o serviço IGMP Proxy.
Vamos a Services – IGMP Proxy e clicamos em Add.
Na Interface WAN vamos configurar os upstreams conforme a imagem:
Salvamos e aplicamos as alterações.
E na Interface LAN o Downstream conforme a Imagem:
Salvamos e aplicamos as alterações.
Ficamos com os serviços de IGMP Proxy desta forma:
Vamos agora definir algumas regras de Firewall para a WAN e para a LAN.
Para tal vamos a Firewall – Rules – Selecionamos WAN e clicamos em Add
Deixamos tudo por defeito e alteramos o Protocol para UDP. No Source escolhemos Network e definimos os IP’s que adicionamos anteriormente no IGMP Proxy para a porta WAN e para a porta LAN. Criamos uma regra para cada IP (logo serão 4 regras). Damos o nome que quisermos à Descrição e em Extra Options clicamos em Display Advanced e marcamos a caixa Allow IP options. Esta passo é necessário para ativar o multicast obrigatório para a nossa BOX não congelar a imagem ao fim de 5 ou 10 segundos.
Só nos falta criar mais uma regra para a porta WAN e alterar outra na porta LAN.
Ainda no separador WAN clicamos novamente em Add e deixamos tudo por defeito alterando apenas o Protocol para IGMP e em Extra Options clicamos em Display Advanced e marcamos novamente Allow IP options.
Ficamos com algo deste género:
Aplicamos as alterações.
Vamos agora ao separador LAN e vamos editar a regra com a descrição: Default allow LAN to any rule.
E a unica coisa que precisamos de alterar é no Extra Options, clicar em Display Advanced e marcar a opção Allow IP option
Salvamos e aplicamos as alterações. Se repararem ficamos com uma roda dentada em cada regra que marcámos com Allow Ip option. É isso que pretendemos.
Para finalizar, falta-nos apenas um ultimo passo que é o seguinte:
Vamos a Interfaces – (assign), clicamos no interface WAN
Descemos a janela até ao fim e desmarcamos a caixa Block private networks and loopback addresses
Salvamos e aplicamos as alterações.
Agora é só fazermos um Reboot à máquina e desligar a BOX da corrente enquanto o pfSense reinicia.
Depois é só ligar novamente a BOX e está feito! Internet e IPTV a funcionar sem o router da Meo.
;)
Nota: Não utilizo o serviço VOIP pelo que não inclui neste tutorial. Contudo, podem continuar a utilizar o router da meo apenas para o VOIP, para tal basta colocar um switch entre o ONT e os routers (o da Meo e o pfSense) e no router da meo ligar apenas o telefone.
