Tutorial pfSense

  • 30 May 2016
  • 48 respostas
  • 14808 visualizações

Reputação 1
Crachá +1
  • Dinamizador Júnior
  • 10 respostas
Boas





Recentemente pedi ajuda aqui no forum de como configurar uma máquina pfSense de modo a ter internet e IPTV (pacote meo fibra) e substituir definitivamente o router da meo. No meu caso um Technicolor TG784n v3 com firmware 10.2.1.L.





Após horas e horas de pesquisa não encontrei um único tutorial explicativo de como configurar o pfSense de modo a ter internet e TV na Box da meo.





Mas existem outros tutoriais na net de como obter estes serviços com um router adicional, ou substituir o router da meo por outro com opensource firmware. Apesar de nenhum destes tutoriais ser possível de aplicar diretamente ao pfSense, a verdade é que reuni muita informação e após horas de tentativas e erro, consegui finalmente configurar uma máquina pfSense de modo a eliminar o router da meo mantendo o serviço de internet e IPTV.





Para quem não sabe o que é o pfSense, é uma distribuição de software (Sistema Operativo) opensource Firewall/Router para computador baseado no FREEBSD que é instalado fisicamente num computador ou numa máquina virtual criando assim uma Firewall/Router de topo. Este SO oferece configurações e características de tal modo avançadas que algumas delas apenas podem ser encontradas em dispendiosas máquinas empresarias, mas com a particularidade de ser gratuito 😃 . Para além disso, é possível instalar pacotes adicionais, tais como anti vírus, FTP Client Proxy, web proxy cache e muitos, muitos outros. Além disso podem tornar-se membros GOLD (mediante o pagamento de uma subscrição) e ter acesso a benefícios apenas acessíveis a membros Premium (No meu caso não vejo necessidade).





Este sistema operativo é relativamente “leve” pelo que o hardware necessário não necessita de ser nada de extraordinário. O que permite utilizar um PC ou portátil que já não utilizem (mas que ainda funcione) por se encontrar obsoleto. Aqui está uma maneira de dar vida a alguns componentes que tenham enterrados no vosso cemitério de hardware.





Dependendo muito do que pretendem fazer com a máquina (as limitações são poucas), qualquer computador com duas placas de rede, um processador (pode ser single core) com mais de 1Ghz, 1 Giga de RAM e um disco de 30GB é mais que suficiente. No que diz respeito às placas de rede, são necessárias pelo menos duas, pois uma vai ser configurada para WAN e a outra para LAN. Recomendo que sejam Gigabit, mas se a vossa internet não for superior a 100Mbps, uma placa 10/100 serve perfeitamente para WAN. Também podem usar uma placa de rede sem fios se pretenderem utilizar o pfSense como Hot Spot (não vou ensinar a configurar o pfSense como Hot Spot neste tutorial, mas se quiserem posso dizer como se faz).





 





Vou agora explicar como configurei o pfSense utilizando para efeitos deste tutorial uma instalação clean do software.





Começamos por fazer o download do pfSense no site https://www.pfsense.org/download/





Escolhemos a versão de instalação mais recente (atualmente 2.3.1) e escolhemos a arquitetura pretendida (32 ou 64bits). Depois escolhemos a plataforma de instalação (no meu caso memstick, pois não sei o que são CD’s 😛 ) e por fim utilizamos a consola VGA uma vez que vamos utilizar um monitor apenas para a instalação do software. Depois pode ser descartado.











 





Para a criação do Memory stick de instalação vamos utilizar a ferramenta de criação de Bootable USB drives RUFUS. Fazemos o download em https://rufus.akeo.ie/





Corremos o utilitário, selecionamos o dispositivo onde pretendemos criar a pen de instalação do pfSense, selecionamos o tipo de imagem que queremos utilizar em “Create a bootable disk using” no nosso caso DD image e apontamos para o local onde salvamos anteriormente o ficheiro pfSense. Clicamos em Start e aguardamos a criação da pen drive.











  





Depois da pen criada, introduzimos a mesma na máquina onde queremos instalar a nossa Firewall/Router, entramos nas configurações da bios e selecionamos a nossa pen USB como first boot drive.





 





A instalação é muito simples e existem vários vídeos na net explicativos pelo que não vou entrar em detalhes, apenas efetuamos a instalação com as configurações por defeito e reiniciamos a máquina (com a pen removida).





É nesta altura que começamos a configuração da nossa máquina.





Quando surgir no ecrã se pretendemos configurar as VLANS dizemos que não. Depois é só selecionar qual o interface que pretendemos usar para a WAN e o que pretendemos usar para a LAN. Se não soubermos podemos utilizar a opção autodetect, bastando para tal premir a tecla “a” e ligar um cabo de rede do ONT à porta do interface que pretendemos utilizar como WAN que o pfSense identifica automaticamente. Fazemos o mesmo para a LAN. Confirmamos a nossa seleção e deixamos o ONT ligado à porta WAN e o nosso computador, ou Switch ligado à porta LAN. A partir daqui, podemos desligar o monitor e o teclado da máquina, pois não vão ser mais necessários nos próximos passos.





 





Agora a parte divertida :D





O pfSense atribui por defeito à porta LAN o endereço IP 192.168.1.1/24. Para quem não sabe o que o 24 quer dizer, é a nossa Subnet Mask em bits. Ou seja: 255.255.255.0 = 11111111.11111111.11111111.00000000 Se somarem a quantidade de “uns” dá 24.





Para configurar o pfSense abrimos o brawser no computador ligado à porta LAN e digitamos o seguinte endereço:





https://192.168.1.1





De seguida somos brindados com um erro de certificado, o qual ignoramos e seguimos para o nosso website.











Por defeito o pfSense vem com os seguintes user/password:





Username: admin





Password: pfsense





Efetuamos o login e iniciamos a configuração Wizard.











 





 





Vamos avançando e na “General Information” atribuímos um Hostname (eu deixei por defeito) e um Domain (no meu caso teste.localdomain). Podem introduzir o que quiserem. Deixamos o resto como está e clicamos Next.











 





Em “Time Server” deixamos o servidor por defeito e mudamos apenas o Timezone para Europe/Lisbon.Next.











 





Chegámos à configuração da WAN. Para já deixamos tudo como está e clicamos em Next. Já vamos perceber porquê.





 







 





Na configuração LAN eu alterei o IP Adress para ficar igual ao do Router da Meo (192.168.1.254/24). Não é necessário, mas como já tinha a minha rede configurada e atalhos no desktop para abrir o Web Gui do TG784n v3, preferi alterar para ficar igual. Podem alterar ou manter o IP de defeito. Se alterarem lembrem-se que quando salvarem as configurações, vão perder a conexão com com o pfSense, pelo que têm que aguardar uns segundos, fechar o browser e reabrir novamente, colocando como endereço o IP atribuído anteriormente.











 





Agora vamos atribuir uma password mais robusta ao utilizador admin, clicamos Next e a seguir Reload. Se alteraram o IP, é agora que vão perder a conexão. Abrir novo browser com o novo IP. Entrar com admin e a nova password.











 





Somos encaminhados diretamente para o Dashboard. Por enquanto ainda não temos internet pelo que o endereço WAN é 0.0.0.0.











 





 





Vamos então configurar o pfSense para termos internet.





Vamos a Interface – (assign) – VLANs





 







 





Clicamos em Add e em Parent Interface selecionamos o interface WAN. Em VLAN Tag introduzimos 12. Em VLAN Priority deixamos estar 0 e introduzimos o nome que quisermos na Description. Salvamos e ficamos com algo deste género:











 





 





Voltamos a Interface assignments, e no Network Port da WAN, selecionamos a VLAN 12 que acabámos de criar.











 





Salvamos e a partir de agora já temos um endereço de IP público na nossa interface WAN. Podemos confirmar clicando no logotipo do pfSense no canto superior esquerdo e somos direcionados para o Dashboard.





Nesta altura já devemos ter Internet. Se não tivermos, fazemos um reboot à máquina em Diagnostics – Reboot.











Et Voila!! Acabámos de configurar a internet na nossa máquina pfSense.





 





 





 





Vamos agora configurar o pfSense para funcionar com a nossa BOX Meo.





Para tal vamos adicionar o serviço IGMP Proxy.





Vamos a Services – IGMP Proxy e clicamos em Add.











 





 





Na Interface WAN vamos configurar os upstreams conforme a imagem:











Salvamos e aplicamos as alterações.





 





 





E na Interface LAN o Downstream conforme a Imagem:











Salvamos e aplicamos as alterações.





 





 





Ficamos com os serviços de IGMP Proxy desta forma:





 







 





Vamos agora definir algumas regras de Firewall para a WAN e para a LAN.





Para tal vamos a Firewall – Rules – Selecionamos WAN e clicamos em Add











 





Deixamos tudo por defeito e alteramos o Protocol para UDP. No Source escolhemos Network e definimos os IP’s que adicionamos anteriormente no IGMP Proxy para a porta WAN e para a porta LAN. Criamos uma regra para cada IP (logo serão 4 regras). Damos o nome que quisermos à Descrição e em Extra Options clicamos em Display Advanced e marcamos a caixa Allow IP options. Esta passo é necessário para ativar o multicast obrigatório para a nossa BOX não congelar a imagem ao fim de 5 ou 10 segundos.





 













 





 





Só nos falta criar mais uma regra para a porta WAN e alterar outra na porta LAN.





Ainda no separador WAN clicamos novamente em Add e deixamos tudo por defeito alterando apenas o Protocol para IGMP e em Extra Options clicamos em Display Advanced e marcamos novamente Allow IP options.











 





Ficamos com algo deste género:





 







Aplicamos as alterações.





 





 





Vamos agora ao separador LAN e vamos editar a regra com a descrição: Default allow LAN to any rule.





E a unica coisa que precisamos de alterar é no Extra Options, clicar em Display Advanced e marcar a opção Allow IP option











 





Salvamos e aplicamos as alterações. Se repararem ficamos com uma roda dentada em cada regra que marcámos com Allow Ip option. É isso que pretendemos.











 





Para finalizar, falta-nos apenas um ultimo passo que é o seguinte:





Vamos a Interfaces – (assign), clicamos no interface WAN











 





Descemos a janela até ao fim e desmarcamos a caixa Block private networks and loopback addresses











Salvamos e aplicamos as alterações.





 





Agora é só fazermos um Reboot à máquina e desligar a BOX da corrente enquanto o pfSense reinicia.





Depois é só ligar novamente a BOX e está feito! Internet e IPTV a funcionar sem o router da Meo.





;)





 





Nota: Não utilizo o serviço VOIP pelo que não inclui neste tutorial. Contudo, podem continuar a utilizar o router da meo apenas para o VOIP, para tal basta colocar um switch entre o ONT e os routers (o da Meo e o pfSense) e no router da meo ligar apenas o telefone.

Tópico fechado, já não permite mais respostas.

48 respostas

Reputação 7
Crachá +23

Julgo que a meo bloqueia o acesso se não for pelo router deles. Estou certo?

 

Pode ligar qualquer router direto ao ONT. Eu tenho um Asus rt ac51u ligado direto ao ont. Já tive outros sem qualquer problema (o único é que nesse cenário não tenho telefone voip da fibra nem meo box). Só uso net/wifi e Apple TV.

Que “ thompson foleiro “ é esse? Ou está com alguma configuração, ou poderá não estar bom.

Crachá

Alguém actualmente com a Box Meo a funcionar com pfSense, sem que a imagem pare?


Sim, depois de alguma luta, deixo a minha configuração do IGMP Proxy:

 

 

E da firewall:

 

 

São printscreens de OPNSense, mas são em tudo semelhantes a pfSense.

Reputação 1
Crachá +1
Novo upstream



10.159.224.0/24

Olá boa tarde.

Desculpem a minha ignorância! 

Colocar um switch, penso de layer 2,  entre o ONT e 2 máquinas: um router e um pc a correr pfsense! Funciona nas redes da Meo? 

Agradecia esclarecimento.

 

Obrigado,

Carlos Silva


Há-de funcionar, mas terá que ser um switch gerido, para se configurarem as VLAN necessárias (de TV e WAN) em cada porta usada do switch, nessa configuração.

 

Um TL-SG105E ou semelhante é plausível que dê.

 

Não é necessário que seja um switch gerido. Um TL-SG105 ou SG-108 normal funciona para os efeitos pretendidos. Tenho esse setup com um SG-108 normal (não gerido).

A configuração de WAN/LAN é feita no router ou no PC que estiver(em) ligado(s) ao SWITCH.


Conectar o ONT a um switch via RJ45, de forma simplista e na prática acaba por ser como estarmos a ligar um switch (ONT) a outro switch. A partir desse momento, cabe a cada host ligado ao SWITCH atribuir-se a configuração de rede (via DHCP no caso).

Um switch de layer 2 é o suficiente.

Boa tarde



 



Antes de mais obrigado pelo post e ajuda. Sou um iniciado nas questões do Pfsense e ajudou a resolver algumas questões.



 



Contudo tenho algumas questões novas levantaram-se e gostaria de pedir auxilio para tal como o mrc-core disse fazer uma Bridge ou configuração para ligar o router meo ao PfSense e o mesmo ficar a funcionar totalmente por causa do VOIP.



 



A obstinação da PT/MEO de não auxiliar os clientes vai fazê-lo ficar sem eles.



 



Os outros operadores têm um equipamento para tudo, eles não passam da cepa torta.



 



Cumprimentos
Crachá

Alguém actualmente com a Box Meo a funcionar com pfSense, sem que a imagem pare?


Sim, depois de alguma luta, deixo a minha configuração do IGMP Proxy:

 

 

E da firewall:

 

 

São printscreens de OPNSense, mas são em tudo semelhantes a pfSense.

Tentei esta configuração sem sucesso. Ainda está a dar por esses lados?

 

EDIT: um número errado. Tudo a funcionar. Obrigado!

Crachá

Desculpem desenterrar o tópico.

 

Estou à espera de um qotom para construir um router pfsense e dar inicio a um upgrade à rede doméstica.

Enquanto isso, já experimentei ligar o pc ou um router alternativo ao thompson foleiro da meo diretamente ao ont7-sfu. No entanto, não consigo aceder à internet de nenhuma forma. Julgo que a meo bloqueia o acesso se não for pelo router deles. Estou certo?

Queria mesmo evitar ter de utilizar o router deles mesmo em bridge.

Crachá

Obrigado pela resposta! Tenho um Thomson TG784n v2.

 

Neste momento tenho: ONT → Thomson em bridge → DLink DIR 882 → APs

 

O que pretendo é ONT->Router pfsense → APs.

 

Quando ligo o PC ou o D-link diretamente ao ONT nunca consigo obter endereço por DHCP.

Alguém actualmente com a Box Meo a funcionar com pfSense, sem que a imagem pare?


Sim, depois de alguma luta, deixo a minha configuração do IGMP Proxy:

 

 

E da firewall:

 

 

São printscreens de OPNSense, mas são em tudo semelhantes a pfSense.

Tentei esta configuração sem sucesso. Ainda está a dar por esses lados?

 

EDIT: um número errado. Tudo a funcionar. Obrigado!


Boas ,

Mesmo com as configurações anunciadas nao me dá (box)

Alguem utiliza este metodo ?

Podem -me dar-me um print atual de quem usa o pfsense

muito obg

Alguém actualmente com a Box Meo a funcionar com pfSense, sem que a imagem pare?

Crachá
Regras WAN

De resto, bloqueei o acesso da rede IPTV a todas as minhas outras redes.

Regras WAN

De resto, bloqueei o acesso da rede IPTV a todas as minhas outras redes.

 

Grato pelo cuidado.

Já funciona.

Obg

Crachá

  

Eu tenho ipv6 a funcionar com DHCP6. 

Estas são as opções que tenho com visto/alteradas na interface WAN.
 

  • Request only an IPv6 prefix
  • DHCPv6 Prefix Delegation size = 64 (já não me lembro se era assim que estava originalmente)
  • Do not wait for a RA

3234iE6BFD184AD8ECAFF.png


Espero ter ajudado.

 

 

Só consegui usando o prefixo 56., invés do 64.

Crachá

Já configurei muitas vezes com ipv4 mas ainda nao me meti muito no ipv6. Qual deve ser a config na parte da lan?

 

edit: e em relação a routing/gateway?

Obrigado.

 

Mete “Tracking Interface” e, mais abaixo, no interface a seguir, “WAN”.

 

Se tiveres mais do que um interface em LAN, no primeiro mete “IPv& prefix ID” igual a 0, e nos seguintes incrementa 1 unidade em cada um dos interfaces que tenhas. Por exemplo:

  • LAN = 0
  • LAN2 = 1
  • LAN3 = 2
Crachá

Olá boa tarde.

Desculpem a minha ignorância! 

Colocar um switch, penso de layer 2,  entre o ONT e 2 máquinas: um router e um pc a correr pfsense! Funciona nas redes da Meo? 

Agradecia esclarecimento.

 

Obrigado,

Carlos Silva

Crachá

Olá boa tarde.

Desculpem a minha ignorância! 

Colocar um switch, penso de layer 2,  entre o ONT e 2 máquinas: um router e um pc a correr pfsense! Funciona nas redes da Meo? 

Agradecia esclarecimento.

 

Obrigado,

Carlos Silva


Há-de funcionar, mas terá que ser um switch gerido, para se configurarem as VLAN necessárias (de TV e WAN) em cada porta usada do switch, nessa configuração.

 

Um TL-SG105E ou semelhante é plausível que dê.

Eu tenho ipv6 a funcionar com DHCP6. 

Estas são as opções que tenho com visto/alteradas na interface WAN.

 

  • Request only an IPv6 prefix
  • DHCPv6 Prefix Delegation size = 64 (já não me lembro se era assim que estava originalmente)
  • Do not wait for a RA

3234iE6BFD184AD8ECAFF.pngEspero ter ajudado.

 

 

Não sei se este post ainda é visitado por alguem que me consiga ajudar, mas vamos lá tentar!

 

Atualmente tenho a esta configuração, conforme o que foi mostrado. Tenho IPTV a funcionar e agora gostava de meter o IPv6 a funcionar tambem.

Já configurei muitas vezes com ipv4 mas ainda nao me meti muito no ipv6. Qual deve ser a config na parte da lan?

 

edit: e em relação a routing/gateway?

Obrigado.

Boa noite.





Tenho uma questão diferente ao abordado aqui, mas relacionada com o pfsense.





Tenho MeoADSL (infelizmente ainda não dispponho de fibra na minha zona de residencia) e tenho uma ESXi VM com pfSense.





 





A minha configuração é a seguinte:





- Linha ADSL ligada ao Thomson





- 2 Boxs Meo ligadas ao Thomson portas 2 e 3





- Placa de rede WAN (192.168.1.1) do pfSense ligado à porta 1 do Thomson.





- Placa de rede LAN (10.0.0.254) do pfSense ligada a um switch sem getão para distribuição da rede Internet.





 





Tenho um sistema de gestão inteligente da casa (HomeAssistant) instalado numa maquina (10.0.0.250)





Nessa sistema de gestão existe um componente mediaroom que consegue comunicar com as boxs e ligar/desligar, mudar de canal e alterar o volume.





No entanto se conseguisse comunicar com as boxes usando multicast/IGMP, era possivel que ele conseguisse obter o estado da box (on/off) e em que canal estavam.





Ora, ai está o meu problema, o meu conhecimento de multicast/IGMP é zero e não consigo configurar o pfSense para permitir esta comunicação entre o HomeAssistant e as boxes.





Consigo fazer pings e telnets às boxes.





O MeoRemote (não encontra box nenhuma) tambem não funciona.





Alguem com conhecimentos para dar uma ajuda?





Muito obrigado desde já.
Reputação 1
Crachá +1
Boas mrc-core.





Qual o hardware usado?





Há algum NIC Marvell (msk) na máquina?





Após construir algumas máquinas pfsense para amigos, cheguei à infeliz consclusão que os interfaces Marvell não são compativeis com o multicast necessário para a box da MEO funcionar.





 
Reputação 1
Crachá +1
Boas





Era o que eu desconfiava.





Quase garantidamente que a culpa está na placa D-Link que estás a usar.





A D-Link costuma usar chips Marvell e foi precisamente isso que aconteceu no computador de um amigo meu.





Tens a possibilidade de usar alguma placa Intel? A motherboard tem alguma porta interna que não seja Marvell?





 





Placas já testadas por mim que funcionam:





Nvidia





Atheros





Broadcom





Intel





 





Placas já testadas por mim que não funcionam:





Todas as placas com chips Marvell





 





Placas que ainda não testei:





Baseadas em chips Realtek
Reputação 1
Crachá +1
Sim, é possível. Tens que fazer um bridging entre duas portas LAN.





No entanto não aconselho esta configuração, pois vais perder velocidade, uma vez que a firewall tem que processar os pacotes que passam entre as portas.





Acho que a melhor opção é adquirires um segundo switch para este efeito.





Eu comprei recentemente no ebay um switch gigabit de 5 portas por 12 euros. Quando chegar, vou testar e deixo o meu feedback.
Obrigado pelo post tambem. Tenho tudo a funcionar incluindo IPTV no  ADSL.
novo upstream 213.13.19.0/20





outro 232.17.12.47/20 





 





mudou para 213.13.19.177/20
Eu uso um VLAN só para o recetor da meo para poder facilmente datetar as mudanças no igmp...
Tenho uma VLAN aqui configurada pra conveniencia apenas, para separar as aguas no mesmo cabo. Nao tenho falhas nenhumas desde que tenha o igmp proxy ben configurado vejo tudo normal. Mal mudam o upstream faço packet sniffing na vlan da box e adiciono no igmp proxy.