Продолжим настраивать pfSense. На данном этапе стОит немного времени уделить настройкам сетевых интерфейсов. Если вы руководствовались нашим предыдущим обзором по установке pfSense, то в вашей системе уже должно быть как минимум два сетевых адаптера — LAN и WAN.
Заходим на web-морду и направляемся в меню Interfaces
Чем больше ваша сеть, тем больше вероятность того, что двух стандартных сетевых интерфейсов будет не достаточно. В некоторых ситуациях имеет смысл вывести все сервера в отдельный сегмент, создать гостевую сеть и/или DMZ. Как видите, вариантов может быть достаточно много. Помимо этого подключение к интернету может осуществляться через двух провайдеров. Эта схема подключения называется Multi-WAN, мы обязательно рассмотрим настройку Multi-WAN в pfSense в следующих обзорах.
Настройка LAN
Идем в меню InterfacesLAN, где наблюдаем окно следующего содержания:
- Галка Enable Interface включает и выключает интерфейс в глобальном смысле этого понятия.
- Description — описание. Здесь я обычно пишу что-нибудь короткое и подходящее по смыслу, например, в какую подсеть смотрит сетевуха.
- Type — тип интерфейса и способ получения IP-адреса. static — адрес прописываете сами, DHCP — выдается автоматически. Варианты PPTP, PPPoE — для подключения к интернет-провайдерам. Эти варианты мы рассмотрим чуть позже при настройке WAN-интерфейса.
- В соответсвующем поле при необходимости можно выставить нужный MAC-адрес. Чаще всего это бывает нужно у некоторых провайдеров. Тоже самое относится к MTU и MSS.
- Настройка Speed and duplex скорей всего заинтересует только маньяков, ибо в нормальных условиях там никто ничего не меняет.
- Для интерфейса LAN выбран тип static, поэтому в графе IP address вы вписываете нужный адрес самостоятельно.
- Gateway — добавлять шлюзы нужно только на интерфейсах «смотрящих» в интернет.
- Последние две галки отвечают за безопасность, если можно так выразиться. Они блокируют прохождения трафика с частных IP-адресов. По хорошему эти галки нужно ставить только на интернет-подключения.
Скорее всего в интерфейсе LAN уже все будет настроено так как надо еще с момента установки pfSense, когда мы вводили параметры в консоль. Но если вы вдруг чего-либо измените, то после выставления всех настроек не забывайте нажать кнопку Save внизу. Сразу за этим в верхней части экрана появится предупреждение:
Настройка WAN
Идем в меню InterfacesWAN, где наблюдаем уже знакомое окно.
Дома и в небольших конторах подключение к интернету осуществляется через PPPoE или PPTP соединение в сети провайдера. Например, если мы укажем тип PPPoE, то у нас появятся следующие поля:
- Username, Password, Service name — это вам должен дать провайдер.
- Галка Dial on demand означает, что подключение будет происходить только тогда, когда это нужно. Если галку не ставить, то соединение будет функционировать постоянно.
- Idle timeout — время ожидания перед разъединением. Работает только при установленной галке Dial on demand.
- Опция Periodic reset — это для тех, кто слышал прикол «не было ни единого разрыва с ноября прошлого года…». Можно задать интервалы времени когда подключение будет пересоздаваться принудительно, чтобы не расстраивать вас разрывами в самый неподходящий момент.
- Как уже говорилось выше, по необходимости выставляется MTU и MSS. Если рекомендаций провайдера никаких нет, то поля оставляем пустыми. если ваш провайдер делает привязку по MAC-адресу своих абонентов, то нужный MAC введите в поле MAC-address.
Если подключение к интернету осуществляется без создания каких-либо подключений, то Type выбираете static, настраиваете IP-адрес и добавляете Gateway. Если у вас провайдер один, то не забудте поставить галку Default gateway (шлюз по умолчанию), тот который выдал вам провайдер.
Все шлюзы, которые вы добавите будут доступны в специальном разделе, куда можно попасть через меню SystemRouting.
Что касается двух последних галок, то на WAN интерфейсе pfSense сам обе галки.
Не забываем нажать кнопку Save внизу и Apply Changes вверху страницы.
Что еще необходимо?
После настройки сетевых интерфейсов вам понадобится еще две вещи — это DNS форвардинг и DHCP-сервер. Первый преобразует имена в IP-адреса, второй — раздает адреса компьютерам вашей локальной сети.
DNS форвардинг по умолчанию включен, и все что нужно сделать — добавить адреса DNS серверов (которые вам должен был выдать провайдер) и вписать их в соответствующий раздел в меню SystemGeneral Setup.
DHCP-сервер настраивается в меню ServicesDHCP-server:
Самое интересное для нас — это поля Range. Тут указывается диапазон адресов, которые будут раздаваться компьютерам сети. Есть и другие важные параметры, например, DNS servers, WINS servers и Gateway. В pfSense сделано так, что если поля этих параметров не заполнять, то роутер автоматически подставит туда свой IP-адрес интерфейса.
Если нужно некоторым компьютерам постоянно выдавать одни и те-же адреса, то внизу страницы есть табличка соответствия, здесь можно сделать привязку IP-адреса по МАС-адресу. Над табличкой есть кнопка Save. При внесении изменений на странице DHCP-сервера не забывайте нажимать на нее.
В принципе, при таких настройках, компьютеры сети должны беспрепятственно выходить в интернет. Этому способствуют еще два фактора: NAT (меню FirewallNAT, закладка Outbound), который после установки работает в автоматическом режиме
и базовое правило на встроенном firewall (меню FirewallRules, закладка LAN), которое разрешает прохождение трафика из локальной сети в интернет.
Вместо заключения…… можно почитать немного нудной теории… 🙂Сетевые интерфейсы могут быть как физическими в виде отдельных сетевых карт, так и логическими, например, когда на одну сетевую карту подается сразу несколько подсетей, каждая в отдельном VLAN’е. Другой пример логический сетевых интерфейсов — PPPoE, PPTP, например, для объединения нескольких офисов. Вариант применения VLAN’ов хорош тем, что на роутере физически может быть всего одна сетевая карта и на неё будет привязано несколько логический интерфейсов. Недостатка два: скорости сетевухи может не хватить на передачу данных по всем сетям одновременно, для реализации этой затеи ваши коммутаторы должны поддерживать стандарт 802.1q, что чаще всего недоступно для дешевого сетевого оборудования.
Рассмотрим раздел assign в меню Interfaces: 
- На первой закладке Interface Assignements представлен список всех сетевых интерфейсов. Слева идут названия, в ниспадающих списках по центру можно выбрать к какой физической сетевухе или VLAN’у будет привязан тот или иной интерфейс. Правее кнопки удаления уже созданных интерфейсов и самая нижняя кнопка — добавление интерфейса.
- Вторая закладка Interface Groups — здесь можно объединить несколько физических сетевых карточек в одну логическую. Делается для увеличения полосы пропускания трафика или для резервирования. Например, если объединить две физических сетевухи в один логический канал, но каждую из них подключить к разным коммутаторам одной сети, то в случае поломки одного из коммутаторов связь у нас не оборвется.
- Третья закладка Wireless. В комп можно вонткнуть беспроводную сетевую карту и сделать из нее точку доступа. Это магическое превращение как раз настраивается здесь.
- Четвертая закладка VLANs. Здесь указываются номера VLAN’ов, которые нам необходимо «подтянуть» на определенную физическую сетевуху.
- Закладка PPPs. Здесь мы создаем туннели, например, если нам нужно связать несколько офисов одной сетью.
- И еще одна интересная закладка — Bridges, тут можно объединить несколько сетевых интерфейсов для сквозного прохождения трафика между ними.
Фух! На этом пока всё, начинаем писать продолжение…
Да, кстати, все остальные обзоры про pfSense вы можете почитать по ссылкам:
