2Ersetzen des BT Infinity-SmartHub mit pfsense

Als ich vor einem Jahr in ein neues Zuhause konnte ich endlich die beitreten 21st Jahrhundert und bestellen BT Unendlichkeit, die mit einem SmartHub geliefert. Die SmartHub ist eigentlich recht anständig Kit bedenkt, dass es kostenlos kommt, aber wie bei den meisten ISP gelieferten Geräte es in gewisser Weise ist gesperrt, zum Beispiel verwenden, können Sie nicht Ihre eigene DNS Server, die ich am liebsten tun. In den frühen Tagen des ADSL (zirka 2001) Ich lief ein glattwandigen Box anstelle eines Routers, und für eine Reihe von Gründen, (einschließlich Internet-Filterung von mir kontrollierten, eher als eine ISP) Ich beschloss, auf einen Linux-basierten Firewall-Router zurück.

Der kleine Celeron J1900 Box Ich habe die Hardware-Seite der Dinge zu tun, nicht glattwandigen installieren wollte, so habe ich installiert pfsense statt. Ich hatte auch einen VDSL bekommen (Ballaststoff) Modem den Router an die Telefonbuchse zu verbinden. Ich bekam ein NETGEAR DM200, die tatsächlich ein vollständiger Router ist, der in „Modem nur“ -Modus umgeschaltet werden kann. Gibt es die ganze Anordnung arbeiten dauerte eine ganze Fummelei, so dachte ich, dass ich zusammen alle Ressourcen an einem Ort ziehen würde

1. Installieren pfsense

Ich brauchte pfsense zu installieren über USB, so effektiv durch Flash-Laufwerk. Möglich wurde dies durch die Verwendung eines leeren USB-Sticks, Software rufus genannt, und der ‚memstick‘ Download von pfsense.

2. Konfigurieren des NETGEAR DM200

Etwas zu tun mit dem DM200 müssen Sie verbinden beide ein LAN-Kabel an, und die Telefonbuchse, um es. Ihr PC sollte eine Adresse aus dem netgear durch DHCP bekommen, aber wenn es Sie nicht manuell benötigen wird Sie IP Adresse an 192.168.5.x (x ist alles aus 2 - - 254). Anschließend können Sie über Web-Interface melden Sie sich an bei 192.168.5.1. Der Standard-Login-Benutzername ist Administrator und das Passwort Kennwort. Wählen Sie die Registerkarte „Erweitert“, und dann das Menü „Erweitert“ Option unten links von dieser Seite. Darunter wählen Sie die Option „Gerätemodus“. Ändern Sie den Gerätemodus „Modem (Modem nur)“Und klicken Sie auf Anwenden. Sie können weitere Informationen und Screenshots auf der sehen netgear Hilfeseiten

3. Einloggen und das Standardkennwort ändern

Schließen Sie Ihre pfsense Box an den lan und eine Verbindung zu ihr Web-Oberfläche über das Lan IP Anschrift (was es wird angezeigt, auf dem Standard-Boot ist Bildschirm, wenn Sie eine Anzeige mit ihm verbinden). Sie müssen möglicherweise Ihre lokale ändern IP Adresse dieses Ziel zu erreichen. Login zum pfsense mit dem Benutzernamen Administrator und das Passwort pfsense. Gehen Sie durch die Setup-Assistenten, und wenn die Möglichkeit gegeben, das Standard-webui Passwort ändern. Nähere Informationen zu den Schritten 1-3 Ich empfehle ein Führung auf tecmint

4. Konfigurieren des pfsense Box eine grundlegende Verbindung zu erhalten

Ich benutze BT Unendlichkeit und die richtigen Einstellungen immer erwies sich als schwieriger, als ich gehofft hatte,. Ich musste zuerst die Konfiguration WAN Einstellungen korrekt und danach, setzt das richtige Profil für die WAN Schnittstelle. Erste, gehe zu Schnittstellen: WAN und stellen die folgenden.

IPv4-KonfigurationstypPPPoE
IPv6-Konfiguration TypDkp6
Use IPv4 con­nectiv­ity as par­ent interfacetickte
Anfrage nur ein IPv6-Präfixtickte
DHCPv6 Prefix Delegation Größe56
Benutzernamebthomehub@btbroadband.com
Kennwortjeder Wert arbeiten

Speichern Sie die Änderungen, und dann gehen Sie zu Schnittstellen: Zuordnung. Stellen Sie die WAN Schnittstelle zu „PPPOE ...“, die nach dem mit der physikalischen Schnittstelle in Klammern zeigen Speicher soll - in meinem Fall heißt es „PPPOE (em0)“. Save the changes again and hope­fully you will get a connection.

4b. WAN MTU-Wert

Im WAN Interface-Einstellungen Sie möchten Ihre MTU-Einstellung anpassen optimal mit BT Unendlichkeit arbeiten fragmentierte Pakete und mögliche Paketverluste zu vermeiden. Ich habe geschrieben ein [int­link id=“4002” type=“post”]dedizierter Artikel[/intlink] zu diesem Thema.

5. IPv6-Testing

Die Einstellungen sollten über ausreichend sein, IPv6 auf Ihrem LAN-Clients zum Laufen zu bringen - Sie auch eine IPv6-Adresse für die LAN-Schnittstelle pfsense sehen sollte (d.h.. eine, die nicht fe80 startet). Versuchen Sie google.com von einem Terminalfenster Pingen auf einem LAN-Client - wenn Sie eine Antwort von der IPv6-Adresse bekommen dann ist alles gut. Sie können auch, dass der Check i korrekt verwendet test-ipv6.com. Dank Danneh für die Einstellungen. Für weitere Informationen empfehle ich diese reddit Gewinde.

Es ist eine weitere zwicken erforderlich um sicherzustellen, dass IPv6 arbeitet voll, Sie müssen ICMPv6-Pakete über die Firewall ermöglichen,. Gehen Sie zu Firewall, und dann auf Regeln. Fügen Sie eine neue Regel, die Adresse der Familie zu IPv6, ändern Sie das Protokoll ICMP, leave „any“, wie die Subtypen ausgewählt (es sei denn, Sie wollen viel mehr lesen über bestimmte Subtypen zu tun). Klicken Sie auf Speichern, und klicken Sie dann auf „Änderungen übernehmen“.

6. Aktivieren des Intel verbesserte Geschwindigkeit für Schritt

Ich will nicht meine unteren angetriebenen Router bei Full Tilt laufen die ganze Zeit - aber leider pfsense doens't richtig scheinen Intel verbesserte Geschwindigkeit Schritt standardmäßig im Moment zu unterstützen. Um mein Arbeits (und eine geringere CPU-Temperatur mit ihm zu gehen!) Ich hatte zuerst PowerD zu ermöglichen, System -> Erweitert -> Sonstiges -> Aktivieren PowerD. Wenn Sie die niedrigsten Frequenzen zu ermöglichen, (altho diese nicht speichern viel Energie) Sie werden auch die folgenden Änderungen tun müssen: gehe zu Diagnose, Datei bearbeiten. Geben Sie dann den Dateipfad /boot / device.hints. Ändern Sie den Boden 2 Einträge aus 1 zu 0 (namens hint.acpi_throttle.0.behindert und hint.p4tcc.0.behindert). Dank SecondEdge und dreamslacker für diese Tipps. Um dies zu überprüfen arbeitet müssen Sie den Router einloggen in über SSH, wähle eine Option 8 (Schale) und Renn sysctl dev.cpu. | grep Freq. Dies nahm meine CPU-Kerntemperatur von 66C bis 57C - nicht schlecht für ein kleines lüfterlos System neben einem anderen PC verpackt, das Modem, und eine 8-Port-Switch.

7. Port-Weiterleitung

Gehe zu Firewall: NAT und klicken Sie dann auf die Schaltfläche Hinzufügen. Geben Sie die IP Adresse und Port für das Ziel und (höchstwahrscheinlich) der gleich Port für den extern Port. Für detailliertere Informationen empfehle ich ein Beitrag von splurben auf den pfsense Foren.

8. NAT Reflection

Ich benutze meinen Laptop sowohl zu Hause auf dem LAN und weg von zu Hause und in beiden Fällen will verschiedene Web-Schnittstellen auf dem LAN zugreifen. Ich benutze DDNS einen Domain-Namen zu erhalten und wollte dies auch eine Verbindung verwenden, wenn mit dem LAN verbunden. Dies erfordert NAT Reflexion, die unter aktiviert werden kann System: fortgeschritten: NAT Reflexionsmodus für Port vorwärts. Du darfst (wahrscheinlich) müssen auch ermöglichen 2 andere Optionen auf dieser Seite: Aktivieren Sie NAT Reflection for 1:1 NAT und Enable auto­mat­ic out­bound NAT for Reflection

9. Werbeblocker

Alle meine PC Webbrowsern installiert haben adblocked, aber das gleiche kann nicht von meinen Android-Geräten, da diese gesagt werden müssen, werden verwurzelte Blocker installieren. So in der Lage zu seinen Anzeigen zu blockieren mit pfsense ist einer der großen Vorteile der es mit. Erste, gehe zu System: Paket-Manager und suchen Sie nach pfblockerng und installieren Sie es. Sie können es dann so konfigurieren, indem Firewall: PFBlockerNG. Früher habe ich dann die Führung durch FredMerc zu konfigurieren. Eine kurze Zusammenfassung der Einstellungen, die ich verwendet habe, wie folgt. Gehe zu Firewall: PFBlockerNG und klicken Sie dann auf die DNSBL Tab, und klicken Sie dann auf die DNSBL Easylist tab. Schalten Sie die Top-Feed Easylist und verweisen Sie auf Easylist. Klicken Sie dann auf die Schaltfläche Hinzufügen, und Einrichten des zweiten Easy Feed EasyPrivacy und daß schaltet zu. Liste Aktion soll „ungebunden“ sein und ich die Update-Frequenz auf 1 Tag. Dann klicken Sie auf Speichern. Dann gehen Sie auf die DNSBL Tab und aktivieren Sie die Option Aktivieren DNSBL. Schließlich gehen Sie auf die General Reiter und ermöglichen pfBlockerNG.

9b. Adblock-Fixes

Die Standard-PFBlockerNG Konfiguration verursacht Probleme für die Amazon Android App. Um es zu umgehen, und andere Fragen, lohnt es sich, etwas weißen Listen mit. Gehe zu Firewall: PFBlockerNG und klicken Sie dann auf die DNSBL Tab, scrollen Sie nach unten zu benutzerdefinierte Domain Whitelist und geben Sie den folgenden (Dank an bchow auf den pfsense Foren)

.amazonaws.com
.amazon-adsystem.com
.amazon.com
.ssl.google-analytics.com
.ssl-google-analytics.l.google.com # CNAME für (ssl.google-analytics.com)
.www.google-analytics.com
.www-google-analytics.l.google.com # CNAME für (www.google-analytics.com)
.www.googleadservices.com
.plex.tv
.gravatar.com
.thetvdb.com
.themoviedb.com
.googleapis.com # 172.217.3.202 is important for amazon app to work
.1e100.net # cname? altname? for googleapis.com
.ad.doubleclick.net # erforderlich für Kampf des Clans?
.g.doubleclick.net # erforderlich für Kampf des Clans?
.q1mediahydraplatform.com # für hungryhouse Android App benötigt?

Sie können auch die alexa weißen Liste der Top-Webseiten aktivieren möchten.

10. Transparent Squid-Proxy

Ich beschloss, ein transparentes Squid-Proxy so viel von dem Surfen einrichten, die wir tun, trifft auf die gleichen Stellen wiederholt auf verschiedene Geräten, Ich erwarte nicht, es einen großen Unterschied machen, aber ich kann keine guten Gründe nicht sehen zu. Benutzen System: Paket-Manager installieren Tintenfisch. Dann geh zu Dienstleistungen: Squid-Proxy-Server zu konfigurieren. Dies gilt auch für SquidGuard benötigt, wenn Sie wollen, es zu benutzen, wie ich.

11. Web-Filter für die Sicherheit von Kindern mit SquidGuard

Ich habe kleine Kinder im Hause und will ungeeignete Inhalte blockieren. Dies kann mit dem SquidGuard Paket und Shalla des Black- erreicht werden. Installieren Sie squidguard aus System: Paket-Manager. Dann geh zu Dienstleistungen: squidguard Proxy Filter. Gehen Sie zum schwarze Liste Tab, geben Sie die Adresse https://www.shallalist.de/Downloads/shallalist.tar.gz und klicken Sie auf Download. Dann nutzen Sie die gemeinsame ACL Registerkarte, klicken Sie auf die Plus-Schaltfläche und wählen Sie die Kategorien blockieren möchten. Es ist auch necesary eine Dummy-Zielkategorie aufgrund eines Fehlers einzurichten. Für weitere Informationen siehe diesen Beitrag auf pfsense Forum. Vergessen Sie nicht die Standardeinstellung für alle Listen zu setzen, um ermöglichen am unteren Ende der Listen. Dank an die networkinggeek pfsense Foren für diesen Tipp. Schließlich - kann es sich lohnen, ein paar erweiterte Optionen Bearbeitung sein, damit blockiert Anfragen nur für eine kurze Zeit zwischengespeichert werden - auf diese Weise, wenn Sie einige Websites zu entsperren entscheiden, Sie werden nicht den Browser-Cache löschen müssen, um auf diese Websites zugreifen - es ist weitere Informationen über die pfsense Forum. I had to whitel­ist the category[blk_BL_sex_lingerie] so dass meine Frau Unterwäsche als Filter blockiert wurde die Unterwäsche Abschnitte auf Mainstream-Einzelhändler kaufen könnte (e.g. Debenhams).

12. Aktivieren U-PNP für eine Reihe von Dienstleistungen (Spiel, Messaging, Schwall, usw)

Gehe zu Dienstleistungen: UPnP & NAT-PMP, kreuzen Sie das oben 2 Boxen (Ermöglichen UPnP & NAT-PMP und ermöglichen UPnP Port Mapping), und klicken Sie auf Speichern.

13. Böswilliger Datenverkehr mit SNORT blockiert

So blockiert erkennen und blockieren potenziell schädlichen Datenverkehr können Sie das SNORT-Paket installieren. Ich empfehle, läuft es für die ersten paar Wochen, ohne zu blockieren, wie es viele Dinge, blockieren Sie nicht wollen, aufgrund einer großen Anzahl von Fehlalarmen. I recom­mend using the fol­low­ing sup­pres­sion list to avoid some of the most annoy­ing false positives

#UND P2P Bittorrent P2P Client-User-Agent (uTorrent)
unterdrücken GEN_ID 1, sig_id 2011706
#UND P2P BitTorrent DHT announce_peers request
suppress gen_id 1, sig_id 2008585
#(spp_ssl) Invalid Client HELLO after Server HELLO Detected
suppress gen_id 137, sig_id 1
#UND P2P BitTorrent DHT ping request
suppress gen_id 1, sig_id 2008581
#(http_inspect) SIMPLE REQUEST
suppress gen_id 119, sig_id 32
#(http_inspect) UNKNOWN METHOD
suppress gen_id 119, sig_id 31
#(http_inspect) INVALID CONTENT-LENGTH OR CHUNK SIZE
suppress gen_id 120, sig_id 8
#(http_inspect) NO CONTENT-Länge oder TRANSFER-Codierung HTTP RESPONSE
suppress gen_id 120, sig_id 3
#(http_inspect) DOUBLE DECODING ATTACK
suppress gen_id 119, sig_id 2
#(http_inspect) HTTP RESPONSE GZIP DECOMPRESSION FAILED
suppress gen_id 120, sig_id 6
#(http_inspect) IIS UNICODE CODEPOINT ENCODING
suppress gen_id 119, sig_id 7
#(http_inspect) BARE BYTE UNICODE ENCODING
suppress gen_id 119, sig_id 4
#(http_inspect) JAVASCRIPT VERWIRRUNG erträgliches Level überschreitet 1
unterdrücken GEN_ID 120, sig_id 9
#(http_inspect) JAVASCRIPT WHITESPACES EXCEEDS MAX ALLOWED
suppress gen_id 120, sig_id 10
#(http_inspect) Unescaped SPACE IN HTTP URI
unterdrücken GEN_ID 119, sig_id 33
#(http_inspect) U ENCODING
suppress gen_id 119, sig_id 3
#(http_inspect) DOUBLE DECODING ATTACK
suppress gen_id 119, sig_id 2
#(http_inspect) MULTIPLE ENCODINGS WITHIN JAVASCRIPT OBFUSCATED DATA
suppress gen_id 120, sig_id 11
#(http_inspect) HTTP RESPONSE HAS UTF CHARSET WHICH FAILED TO NORMALIZE
suppress gen_id 120, sig_id 4
#FILE-IMAGE Directshow GIF logical width overflow attempt
suppress gen_id 1, sig_id 27525

14. Erste Web-Zugriff auf das Modem, durch die pfsense Box

Mein Netgear DM200 Modem (in Pass-Through-Modus) ist nur über einen festen IP Anschrift (192.168.5.1). Ich wollte in der Lage sein, seine Web-Interface auf LAN-Computer zugreifen. Es gibt einige Hinweise in der pfsense Wiki, aber diese zunächst nicht für mich arbeiten. Es ist ein hilfreicher Beitrag von Benutzern Nonsense auf dem pfsense Forum

14b. Anzeigen der Modemverbindung Statistiken über die pfsense Armaturenbrett

After some head­scratch­ing I figured out a way to make the modem stat­ist­ics for my net­gear modem show on my dashboard.
Dies wird durch das Erstellen eines benutzerdefinierten Widget mit PHP-Code getan.
Zum Diagnose und Bearbeiten von Datei. Erstellen Sie eine neue Datei auf dem Weg

/usr / local / www / Widgets / widgets / modemstatus.widget.php

mit dem Inhalt

< ?php $ status = file_get_contents("https://Benutzernamen:password@192.168.5.1/RST_statistic.htm"); $status = str_replace("war Timereset = "5\";","war Timereset = "0\";",$Status); echo $ Status ?>

Sie müssen den Benutzernamen und das Passwort anpassen. Der obige Code funktioniert für den Netgear DM200, und wahrscheinlich auch anderes netgear Modem und Router. Bei anderen Marken-Hardware benötigen Sie eine andere Adresse für die Statistik und Sie können zusätzliche Manipulation der Reaktion mit PHP tun müssen.
Beachten Sie, dass ich über geschüttelten das Standard netgear Aktualisierungsintervall - ich es gedreht habe aus wie das Neuladen den Armaturenbrett-Display bricht. To get updated num­bers just refresh the pfsense dash­board using your web browser reload button
Gehen Sie nun auf dem Armaturenbrett und fügen Sie das Widget und Sie sind alles getan.

15. Zur Festsetzung der Zertifikatswarnung bei der Anmeldung

Sehen dieser Leitfaden

16. Stellen Sie firefox lokal verwenden DNS über HTTPS, statt unter Umgehung unserer Filter (added April 2020)

In Ser­vices -> DNS lösen
Add fol­low­ing line to “cus­tom options” field…

Server:local-Zone: "use-application-dns.net." always_nxdomain

17. Verwenden Sie Domainnamen pfsense Box für blockierten Ressourcen statt IP (added April 2020)

Ser­vices -> Squid­Guard Proxy Fil­ter -> Com­mon ACL
Change “ReDir­ect Mode” to “ext url move (eingeben URL)“
In the “Redir­ect info” field set “https://Ihr-Router-name / sgerror.php?url=403%20&a =% a&n = n%&i =% i&s =% s&t = t%&u=%u”

Hinterlasse eine Antwort

2 Comments

JJon

Fant­ast­ic guide where do i place this in float­ing rules?
Es ist eine weitere zwicken erforderlich um sicherzustellen, dass IPv6 arbeitet voll, Sie müssen ICMPv6-Pakete über die Firewall ermöglichen,. Gehen Sie zu Firewall, und dann auf Regeln. Fügen Sie eine neue Regel, die Adresse der Familie zu IPv6, ändern Sie das Protokoll ICMP, leave „any“, wie die Subtypen ausgewählt (es sei denn, Sie wollen viel mehr lesen über bestimmte Subtypen zu tun). Klicken Sie auf Speichern, und klicken Sie dann auf „Änderungen übernehmen“.

Pls keep the guides coming!!

Antworten
JSJon Scaife

Danke für die zusätzlichen Infos. I had indeed enabled ICMPv6 pack­ets but must have for­got­ten that I had when I wrote this. I’ll update it. I’m not sure which part of the guide your first ques­tion refers to?

Antworten