0Ersetzen des BT Infinity-SmartHub mit pfsense

Als ich vor einem Jahr in ein neues Zuhause konnte ich endlich die beitreten 21st Jahrhundert und bestellen BT Unendlichkeit, die mit einem SmartHub geliefert. Die SmartHub ist eigentlich recht anständig Kit bedenkt, dass es kostenlos kommt, aber wie bei den meisten ISP gelieferten Geräte es in gewisser Weise ist gesperrt, for example you can­’t use your own DNS Server, die ich am liebsten tun. In den frühen Tagen des ADSL (zirka 2001) Ich lief ein glattwandigen Box anstelle eines Routers, und für eine Reihe von Gründen, (einschließlich Internet-Filterung von mir kontrollierten, eher als eine ISP) Ich beschloss, auf einen Linux-basierten Firewall-Router zurück.


The little Cel­er­on J1900 box I got to do the hard­ware side of things did­n’t want to install smooth­wall, so habe ich installiert pfsense statt. Ich hatte auch einen VDSL bekommen (Ballaststoff) Modem den Router an die Telefonbuchse zu verbinden. Ich bekam ein NETGEAR DM200, die tatsächlich ein vollständiger Router ist, der in „Modem nur“ -Modus umgeschaltet werden kann. Gibt es die ganze Anordnung arbeiten dauerte eine ganze Fummelei, so dachte ich, dass ich zusammen alle Ressourcen an einem Ort ziehen würde

1. Installieren pfsense

Ich brauchte pfsense zu installieren über USB, so effektiv durch Flash-Laufwerk. Möglich wurde dies durch die Verwendung eines leeren USB-Sticks, Software rufus genannt, und der ‚memstick‘ Download von pfsense.

2. Konfigurieren des NETGEAR DM200

Etwas zu tun mit dem DM200 müssen Sie verbinden beide ein LAN-Kabel an, und die Telefonbuchse, um es. Your PC should get an address from the net­gear by DHCP but if it does­n’t you will need to manu­ally set you IP Adresse an 192.168.5.x (x ist alles aus 2 - 254). Anschließend können Sie über Web-Interface melden Sie sich an bei 192.168.5.1. Der Standard-Login-Benutzername ist Administrator und das Passwort Kennwort. Wählen Sie die Registerkarte „Erweitert“, und dann das Menü „Erweitert“ Option unten links von dieser Seite. Darunter wählen Sie die Option „Gerätemodus“. Ändern Sie den Gerätemodus „Modem (Modem nur)“Und klicken Sie auf Anwenden. Sie können weitere Informationen und Screenshots auf der sehen netgear Hilfeseiten

3. Einloggen und das Standardkennwort ändern

Schließen Sie Ihre pfsense Box an den lan und eine Verbindung zu ihr Web-Oberfläche über das Lan IP Anschrift (was es wird angezeigt, auf dem Standard-Boot ist Bildschirm, wenn Sie eine Anzeige mit ihm verbinden). Sie müssen möglicherweise Ihre lokale ändern IP Adresse dieses Ziel zu erreichen. Login zum pfsense mit dem Benutzernamen Administrator und das Passwort pfsense. Gehen Sie durch die Setup-Assistenten, und wenn die Möglichkeit gegeben, das Standard-webui Passwort ändern. Nähere Informationen zu den Schritten 1-3 Ich empfehle ein Führung auf tecmint

4. Konfigurieren des pfsense Box eine grundlegende Verbindung zu erhalten

Ich benutze BT Unendlichkeit und die richtigen Einstellungen immer erwies sich als schwieriger, als ich gehofft hatte,. Ich musste zuerst die Konfiguration WAN Einstellungen korrekt und danach, setzt das richtige Profil für die WAN Schnittstelle. Erste, gehe zu Schnittstellen: WAN und stellen die folgenden.

IPv4-KonfigurationstypPPPoE
IPv6-Konfiguration TypDkp6
Verwenden IPv4-Konnektivität als Mutter Schnittstelletickte
Anfrage nur ein IPv6-Präfixtickte
DHCPv6 Prefix Delegation Größe56
Benutzernamebthomehub@btbroadband.com
Kennwortjeder Wert arbeiten

Speichern Sie die Änderungen, und dann gehen Sie zu Schnittstellen: Zuordnung. Stellen Sie die WAN Schnittstelle zu „PPPOE ...“, die nach dem mit der physikalischen Schnittstelle in Klammern zeigen Speicher soll - in meinem Fall heißt es „PPPOE (em0)“. Speichern Sie die Änderungen wieder und hoffentlich werden Sie eine Verbindung bekommen.

4b. WAN MTU-Wert

Im WAN Interface-Einstellungen Sie möchten Ihre MTU-Einstellung anpassen optimal mit BT Unendlichkeit arbeiten fragmentierte Pakete und mögliche Paketverluste zu vermeiden. Ich habe geschrieben ein dedizierter Artikel zu diesem Thema.

5. IPv6-Testing

Die Einstellungen sollten über ausreichend sein, IPv6 auf Ihrem LAN-Clients zum Laufen zu bringen - Sie auch eine IPv6-Adresse für die LAN-Schnittstelle pfsense sehen sollte (d. h.. one that does­n’t start fe80). Versuchen Sie google.com von einem Terminalfenster Pingen auf einem LAN-Client - wenn Sie eine Antwort von der IPv6-Adresse bekommen dann ist alles gut. Sie können auch, dass der Check i korrekt verwendet test-ipv6.com. Dank Danneh für die Einstellungen. Für weitere Informationen empfehle ich diese reddit Gewinde.

Es ist eine weitere zwicken erforderlich um sicherzustellen, dass IPv6 arbeitet voll, Sie müssen ICMPv6-Pakete über die Firewall ermöglichen,. Gehen Sie zu Firewall, und dann auf Regeln. Fügen Sie eine neue Regel, die Adresse der Familie zu IPv6, ändern Sie das Protokoll ICMP, leave „any“, wie die Subtypen ausgewählt (es sei denn, Sie wollen viel mehr lesen über bestimmte Subtypen zu tun). Klicken Sie auf Speichern, und klicken Sie dann auf „Änderungen übernehmen“.

6. Aktivieren des Intel verbesserte Geschwindigkeit für Schritt

Ich will nicht meine unteren angetriebenen Router bei Full Tilt laufen die ganze Zeit - aber leider pfsense doens't richtig scheinen Intel verbesserte Geschwindigkeit Schritt standardmäßig im Moment zu unterstützen. Um mein Arbeits (und eine geringere CPU-Temperatur mit ihm zu gehen!) Ich hatte zuerst PowerD zu ermöglichen, System -> Erweitert -> Sonstiges -> Aktivieren PowerD. Wenn Sie die niedrigsten Frequenzen zu ermöglichen, (altho diese nicht speichern viel Energie) Sie werden auch die folgenden Änderungen tun müssen: gehe zu Diagnose, Datei bearbeiten. Geben Sie dann den Dateipfad /boot / device.hints. Ändern Sie den Boden 2 Einträge aus 1 nach 0 (namens hint.acpi_throttle.0.behindert und hint.p4tcc.0.behindert). Dank SecondEdge und dreamslacker für diese Tipps. Um dies zu überprüfen arbeitet müssen Sie den Router einloggen in über SSH, wähle eine Option 8 (Schale) und Renn sysctl dev.cpu. | grep Freq. Dies nahm meine CPU-Kerntemperatur von 66C bis 57C - nicht schlecht für ein kleines lüfterlos System neben einem anderen PC verpackt, das Modem, and an 8‑port switch.

7. Port-Weiterleitung

Gehe zu Firewall: NAT und klicken Sie dann auf die Schaltfläche Hinzufügen. Geben Sie die IP Adresse und Port für das Ziel und (höchstwahrscheinlich) der gleich Port für den extern Port. Für detailliertere Informationen empfehle ich ein Beitrag von splurben auf den pfsense Foren.

8. NAT Reflection

Ich benutze meinen Laptop sowohl zu Hause auf dem LAN und weg von zu Hause und in beiden Fällen will verschiedene Web-Schnittstellen auf dem LAN zugreifen. Ich benutze DDNS einen Domain-Namen zu erhalten und wollte dies auch eine Verbindung verwenden, wenn mit dem LAN verbunden. Dies erfordert NAT Reflexion, die unter aktiviert werden kann System: fortgeschritten: NAT Reflexionsmodus für Port vorwärts. Du darfst (wahrscheinlich) müssen auch ermöglichen 2 andere Optionen auf dieser Seite: Aktivieren Sie NAT Reflection for 1:1 NAT und Aktivieren Sie die automatische Outbound-NAT für Reflection

9. Werbeblocker

Alle meine PC Webbrowsern installiert haben adblocked, but the same can­’t be said of my android devices as these have to be rooted to install block­ers. So in der Lage zu seinen Anzeigen zu blockieren mit pfsense ist einer der großen Vorteile der es mit. Erste, gehe zu System: Paket-Manager und suchen Sie nach pfblockerng und installieren Sie es. Sie können es dann so konfigurieren, indem Firewall: PFBlockerNG. Früher habe ich dann die Führung durch FredMerc zu konfigurieren. Eine kurze Zusammenfassung der Einstellungen, die ich verwendet habe, wie folgt. Gehe zu Firewall: PFBlockerNG und klicken Sie dann auf die DNSBL Tab, und klicken Sie dann auf die DNSBL Easylist tab. Schalten Sie die Top-Feed Easylist und verweisen Sie auf Easylist. Klicken Sie dann auf die Schaltfläche Hinzufügen, und Einrichten des zweiten Easy Feed EasyPrivacy und daß schaltet zu. Liste Aktion soll „ungebunden“ sein und ich die Update-Frequenz auf 1 Tag. Dann klicken Sie auf Speichern. Dann gehen Sie auf die DNSBL Tab und aktivieren Sie die Option Aktivieren DNSBL. Schließlich gehen Sie auf die General Reiter und ermöglichen pfBlockerNG.

9b. Adblock-Fixes

Die Standard-PFBlockerNG Konfiguration verursacht Probleme für die Amazon Android App. Um es zu umgehen, und andere Fragen, lohnt es sich, etwas weißen Listen mit. Gehe zu Firewall: PFBlockerNG und klicken Sie dann auf die DNSBL Tab, scrollen Sie nach unten zu benutzerdefinierte Domain Whitelist und geben Sie den folgenden (Dank an bchow auf den pfsense Foren)

Sie können auch die alexa weißen Liste der Top-Webseiten aktivieren möchten.

10. Transparent Squid-Proxy

Ich beschloss, ein transparentes Squid-Proxy so viel von dem Surfen einrichten, die wir tun, trifft auf die gleichen Stellen wiederholt auf verschiedene Geräten, Ich erwarte nicht, es einen großen Unterschied machen, but I can­’t see any good reas­ons not to. Use System: Paket-Manager installieren Tintenfisch. Dann geh zu Dienstleistungen: Squid-Proxy-Server zu konfigurieren. Dies gilt auch für SquidGuard benötigt, wenn Sie wollen, es zu benutzen, wie ich.

11. Web-Filter für die Sicherheit von Kindern mit SquidGuard

Ich habe kleine Kinder im Hause und will ungeeignete Inhalte blockieren. This can be achieved with the Squid­Guard pack­age and Shal­la’s Black­lists. Installieren Sie squidguard aus System: Paket-Manager. Dann geh zu Dienstleistungen: squidguard Proxy Filter. Gehen Sie zum schwarze Liste Tab, geben Sie die Adresse http://www.shallalist.de/Downloads/shallalist.tar.gz und klicken Sie auf Download. Dann nutzen Sie die gemeinsame ACL Registerkarte, klicken Sie auf die Plus-Schaltfläche und wählen Sie die Kategorien blockieren möchten. Es ist auch necesary eine Dummy-Zielkategorie aufgrund eines Fehlers einzurichten. Für weitere Informationen siehe diesen Beitrag auf pfsense Forum. Vergessen Sie nicht die Standardeinstellung für alle Listen zu setzen, um ermöglichen am unteren Ende der Listen. Dank an die networkinggeek pfsense Foren für diesen Tipp. Schließlich - kann es sich lohnen, ein paar erweiterte Optionen Bearbeitung sein, damit blockiert Anfragen nur für eine kurze Zeit zwischengespeichert werden - auf diese Weise, wenn Sie einige Websites zu entsperren entscheiden, Sie werden nicht den Browser-Cache löschen müssen, um auf diese Websites zugreifen - es ist weitere Informationen über die pfsense Forum. Ich hatte die Kategorie Whitelist [blk_BL_sex_lingerie] so dass meine Frau Unterwäsche als Filter blockiert wurde die Unterwäsche Abschnitte auf Mainstream-Einzelhändler kaufen könnte (z.B.. Debenhams).

12. Enable U‑PNP for a range of services (Spiel, Messaging, Schwall, usw)

Gehe zu Dienstleistungen: UPnP & NAT-PMP, kreuzen Sie das oben 2 Boxen (Ermöglichen UPnP & NAT-PMP und ermöglichen UPnP Port Mapping), und klicken Sie auf Speichern.

13. Böswilliger Datenverkehr mit SNORT blockiert

So blockiert erkennen und blockieren potenziell schädlichen Datenverkehr können Sie das SNORT-Paket installieren. Ich empfehle, läuft es für die ersten paar Wochen, ohne zu blockieren, wie es viele Dinge, blockieren Sie nicht wollen, aufgrund einer großen Anzahl von Fehlalarmen. Ich empfehle, mit der folgenden Unterdrückung Liste einige der nervigsten Fehlalarme zu vermeiden

14. Erste Web-Zugriff auf das Modem, durch die pfsense Box

Mein Netgear DM200 Modem (in Pass-Through-Modus) ist nur über einen festen IP Anschrift (192.168.5.1). Ich wollte in der Lage sein, seine Web-Interface auf LAN-Computer zugreifen. Es gibt einige Hinweise in der pfsense Wiki, but these did­n’t work for me at first. Es ist ein hilfreicher Beitrag von Benutzern Nonsense auf dem pfsense Forum

14b. Anzeigen der Modemverbindung Statistiken über die pfsense Armaturenbrett

Nach einigem headscratching dachte ich, einen Ausweg aus den Modem-Statistiken für meine Netgear Modem Show auf meinem Armaturenbrett zu machen.
Dies wird durch das Erstellen eines benutzerdefinierten Widget mit PHP-Code getan.
Zum Diagnose und Bearbeiten von Datei. Erstellen Sie eine neue Datei auf dem Weg

mit dem Inhalt

Sie müssen den Benutzernamen und das Passwort anpassen. Der obige Code funktioniert für den Netgear DM200, und wahrscheinlich auch anderes netgear Modem und Router. Bei anderen Marken-Hardware benötigen Sie eine andere Adresse für die Statistik und Sie können zusätzliche Manipulation der Reaktion mit PHP tun müssen.
Beachten Sie, dass ich über geschüttelten das Standard netgear Aktualisierungsintervall - ich es gedreht habe aus wie das Neuladen den Armaturenbrett-Display bricht. Um aktualisierte Zahlen nur die pfsense Dashboard aktualisieren Sie Ihren Web-Browser Reload-Taste
Gehen Sie nun auf dem Armaturenbrett und fügen Sie das Widget und Sie sind alles getan.

15. Zur Festsetzung der Zertifikatswarnung bei der Anmeldung

Sehen dieser Leitfaden

Ich fand dieses nützlich? Bitte lassen Sie uns wissen, indem Sie einen Kommentar unten fallen. Wenn Sie bitte abonnieren möchten den Link oben rechts auf dem Menü abonnieren verwenden. Sie können auch unten unter Verwendung der sozialen Bindungen diese mit Ihren Freunden teilen. Prost.

Hinterlasse eine Antwort