0Remplacement de la BT Infinity SmartHub avec pfsense

Quand je suis arrivé il y a dans une nouvelle maison un an, j'ai enfin pu se joindre à la 21st siècle et commandé Infinity BT qui est fourni avec un SmartHub. Le SmartHub est en fait le kit raisonnablement décent étant donné qu'il est gratuit, mais comme avec la plupart ISP dispositifs fournis, il est verrouillé à certains égards, par exemple, vous ne pouvez pas utiliser votre propre DNS les serveurs que je préfère faire. Dans les premiers jours de l'ADSL (environ 2001) J'ai couru une boîte de smoothwall en place d'un routeur, et pour diverses raisons (y compris le filtrage Internet contrôlé par moi, au lieu d'un ISP) J'ai décidé de revenir à un routeur pare-feu basé sur Linux.


La petite boîte Celeron J1900 je suis arrivé à faire du côté matériel des choses ne voulait pas installer smoothwall, donc j'ai installé à la place pfsense. Je devais aussi obtenir un VDSL (fibre) modem pour connecter le routeur à la prise téléphonique. Je suis un DM200 netgear qui est en fait un routeur complet qui peut être commuté en mode « modem seulement ». Obtenir l'ensemble du dispositif de travail a pris un certain tripotage, donc je pensais que je tire toutes les ressources en un seul endroit

1. Installation pfsense

Je avais besoin d'installer pfsense via USB, de manière efficace par lecteur flash. Cela a été rendu possible par l'utilisation d'un stylo lecteur vierge, logiciel appelé rufus, et le téléchargement « memstick » de pfsense.

2. Configuration du DM200 netgear

Pour ce faire quoi que ce soit avec le DM200 vous devrez raccorder un câble LAN pour, et la prise téléphonique à ce. Votre PC devrait obtenir une adresse du netgear par DHCP, mais si elle ne vous aura pas besoin de régler manuellement IP adresser à 192.168.5.x (x étant quelque chose de 2 - 254). Vous pouvez ensuite connecter via une interface Web à l'adresse 192.168.5.1. Le nom d'utilisateur de connexion par défaut est administrateur et le mot de passe est mot de passe. Sélectionnez l'onglet « Avancé », puis l'option de menu « Avancé » en bas à gauche de cette page. En vertu de cette sélectionnez l'option « Mode appareil ». Changer le mode de périphérique « Modem (modem uniquement)» Et cliquez sur Appliquer. Vous pouvez voir plus de détails et des captures d'écran sur le pages d'aide netgear

3. Connectez-vous et changer le mot de passe par défaut

Connectez votre boîte pfsense au réseau local et de s'y connecter en utilisant l'interface web via son réseau IP adresse (qui il affichera sur son démarrage par défaut jusqu'à l'écran si vous connectez un écran à ce). Vous devrez peut-être changer votre région IP adresse pour y parvenir. Connectez-vous au pfsense avec le nom d'utilisateur administrateur et mot de passe pfsense. Passez par l'assistant de configuration et quand la possibilité de changer le mot de passe par défaut webui. Pour des informations plus détaillées sur les étapes 1-3 Je recommande un guide sur la tecmint

4. Configuration de la boîte pfsense pour obtenir une connexion de base

J'utilise l'infini BT et obtenir les bons réglages prouvé plus compliqué que je l'avais espéré. Je devais d'abord configurer le WAN les paramètres correctement et après que, définir le profil correct pour le WAN interface. Première, aller à interfaces: WAN et définir les paramètres suivants.

IPv4 type de configurationPPPoE
IPv6 type de configurationDkp6
Utilisez la connectivité IPv4 comme interface parenttic tac
Demande seulement un préfixe IPv6tic tac
Taille DHCPv6 délégation Prefix56
nom d'utilisateurbthomehub@btbroadband.com
mot de passetoute valeur fonctionnera

Enregistrez les modifications, puis aller à interfaces: affectation. Réglez le WAN interface « PPPOE ... » qui, après l'enregistrement doit montrer l'interface physique entre parenthèses - dans mon cas, il dit « PPPOE (em0)». Enregistrez les modifications à nouveau et nous espérons que vous obtiendrez une connexion.

4b. WAN MTU Valeur

Dans l' WAN les paramètres de l'interface que vous pouvez régler vos paramètres MTU pour un fonctionnement optimal avec BT Infinity pour éviter les paquets fragmentés et la perte de paquets possible. J'ai écrit une article dédié sur cette question.

5. IPv6 Test

Les paramètres ci-dessus devraient être suffisant pour obtenir IPv6 travailler sur vos clients LAN - vous devriez également voir une adresse IPv6 pour l'interface LAN pfsense (i.e. celui qui ne démarre pas fe80). Essayez pinger google.com à partir d'une fenêtre de terminal sur un client LAN - si vous obtenez une réponse de l'adresse IPv6 tout va bien. Vous pouvez également vérifier que tout ce que je correcte à l'aide test-ipv6.com. Merci à Danneh pour les réglages. Pour plus d'informations, je recommande ce fil reddit.

Il y a un tweak plus nécessaire pour vous assurer que fonctionne IPv6 entièrement, vous devez autoriser les paquets ICMPv6 à travers le pare-feu. Accédez au pare-feu, puis Règles. Ajouter une nouvelle règle, définir la famille d'adresse IPv6, modifier le protocole ICMP, La permission « any » choisi comme les sous-types (sauf si vous voulez faire beaucoup plus sur les sous-types de lecture spécifiques). Cliquez sur Enregistrer, puis cliquez sur « Appliquer les modifications ».

6. Activation Intel amélioré la vitesse étape

Je ne veux pas que mon routeur plus faible puissance fonctionnant à plein régime tout le temps - mais pfsense doens't semble malheureusement pour soutenir correctement l'étape de vitesse améliorée intel par défaut au moment. Pour obtenir le fonctionnement le mien (et une température de cpu inférieure pour aller avec elle!) Je devais d'abord pour permettre PowerD en System -> Avancée -> Divers -> activer PowerD. Si vous souhaitez activer les fréquences les plus basses (altho ceux-ci ne sauve pas beaucoup de puissance) vous devrez également faire les modifications suivantes: aller à diagnostics, Modifier le fichier. Ensuite, entrez le chemin du fichier /boot / device.hints. changer le fond 2 entrées 1 à 0 (appelé hint.acpi_throttle.0.désactivée et hint.p4tcc.0.désactivée). Merci à SecondEdge et dreamslacker pour ces conseils. Pour vérifier cela fonctionne, vous devez vous connecter au routeur via SSH, sélectionnez l'option 8 (coquille) et courir sysctl dev.cpu. | grep fréq. Cela a pris ma température de base de cpu de 66C à 57C - pas mal pour un petit système fanless emballé dans près d'un autre PC, le modem, et un commutateur 8 ports.

7. La redirection de port

Aller à pare-feu: NAT puis cliquez sur le bouton Ajouter. Entrer le IP adresse et le port pour la destination et (probablement) le même port pour le port externe. Pour des informations plus détaillées, je recommande un poste par splurben sur les forums de pfSense.

8. réflexion NAT

J'utilise mon ordinateur portable à la maison sur le réseau local et loin de la maison et dans les deux cas veulent accéder à différentes interfaces web sur le réseau local. J'utilise DDNS pour obtenir un nom de domaine et je voulais l'utiliser pour se connecter même lorsqu'il est connecté au réseau local. Cela nécessite une réflexion NAT qui peut être activé sous système: Avancée: NAT mode de réflexion pour les attaquants de port. Tu peux (probablement) doivent aussi permettre 2 d'autres options de cette page: Activer NAT Réflexion pour 1:1 NAT et Activer NAT sortant automatique de réflexion

9. logiciel antipub

Tous mes webbrowsers PC ont installé adblocked, mais on ne peut pas dire de mes appareils Android que ceux-ci doivent être ancrés à installer des bloqueurs. Donc, être en mesure de bloquer les annonces avec pfsense est l'un des principaux avantages de son utilisation. Première, aller à système: gestionnaire de paquets puis recherchez pfblockerng et l'installer. Vous pouvez ensuite configurer à l'aide Pare-feu: PFBlockerNG. J'ai ensuite utilisé le guide par FredMerc pour le configurer. Un bref résumé des paramètres que j'ai utilisé est le suivant. Aller à Pare-feu: PFBlockerNG puis cliquez sur le DNSBL languette, puis cliquez sur le onglet DNSBL EasyList. Allumez l'alimentation haut EasyList et pointer vers EasyList. Cliquez ensuite sur le bouton Ajouter, et régler la seconde alimentation en EasyList à EasyPrivacy et tourner sur ce trop. Liste des actions devrait être « non consolidé » et je régler la fréquence de mise à jour 1 journée. Cliquez ensuite sur Enregistrer. Ensuite, allez à la DNSBL onglet et activez l'option activer DNSBL. Enfin aller à la général onglet permettre pfBlockerNG.

9b. fixe Adblock

La configuration par défaut PFBlockerNG provoque des problèmes pour l'application Android amazon. Pour éviter cela, et d'autres questions, il est intéressant d'utiliser une liste blanche. Aller à Pare-feu: PFBlockerNG puis cliquez sur le DNSBL languette, faites défiler jusqu'à domaine personnalisé whitelist et entrez les informations suivantes (grâce à bchow sur les forums pfSense)

Vous pouvez également activer la liste blanche alexa des meilleurs sites.

10. proxy squid transparent

J'ai décidé de mettre en place un proxy squid transparent autant de navigation que nous frappe les mêmes sites à plusieurs reprises sur différents appareils, Je ne m'y attendais pas à faire une énorme différence, mais je ne vois aucune raison valable de ne pas. Utilisation système: gestionnaire de paquets installer calmars. Ensuite aller à services: serveur proxy squid pour le configurer. Ceci est également nécessaire pour SquidGuard si vous voulez l'utiliser, comme je fais.

11. filtrage Web pour la sécurité des enfants avec SquidGuard

J'ai de jeunes enfants dans la maison et que vous souhaitez bloquer les contenus inappropriés. Ceci peut être réalisé avec le paquet SquidGuard et listes noires de Shalla. Installer squidguard de système: gestionnaire de paquets. Ensuite aller à services: filtre proxy squidguard. Allez à la liste noire languette, saisissez l'adresse http://www.shallalist.de/Downloads/shallalist.tar.gz et cliquez sur bas-charge. Ensuite, utilisez l'onglet ACL commune, cliquez sur le bouton plus et sélectionner les catégories que vous souhaitez bloquer. Il est également necesary de mettre en place une catégorie cible factice en raison d'un bug. Pour plus d'informations, voir ce post sur Forum pfsense. Ne pas oublier de mettre la valeur par défaut pour toutes les listes permettre au bas des listes. Merci à networkinggeek sur la forums pfSense pour cette astuce. Enfin - il peut être intéressant éditer quelques options avancées afin que les demandes bloquées ne sont mises en cache pour une courte période de temps - de cette façon si vous décidez de débloquer certains sites que vous avez l'habitude de vider le cache du navigateur pour accéder à ces sites - il y a plus d'informations sur la Forum pfsense. Je devais whitelist la catégorie [blk_BL_sex_lingerie] de sorte que ma femme pourrait acheter des sous-vêtements que le filtre bloquait les sections de sous-vêtements sur les détaillants traditionnels (par exemple. Debenhams).

12. Activer U-PNP pour une gamme de services (jeu, Messagerie, torrent, etc)

Aller à services: UPnP & NAT-PMP, cochez la partie supérieure 2 boîtes (Permettre UPnP & NAT-PMP et Permettre UPnP Port Mapping), et cliquez sur Enregistrer.

13. Le trafic malveillant bloquant avec SNORT

Pour bloquer détecter et bloquer le trafic potentiellement malveillant, vous pouvez installer le package SNORT. Je le recommande sans bloquer en cours d'exécution pour les premières semaines car il bloque beaucoup de choses que vous ne voulez pas en raison de grand nombre de faux positifs. Je recommande d'utiliser la liste de suppression ci-dessous pour éviter certains des faux positifs les plus ennuyeux

14. Obtenir l'accès Web au modem, à travers la zone de pfsense

Mon modem Netgear DM200 (en mode pass-through) est uniquement accessible par l'intermédiaire d'un fixe IP adresse (192.168.5.1). Je voulais être en mesure d'accéder à son interface Web sur les ordinateurs LAN. Il y a quelques instructions du wiki pfsense, mais ceux-ci ne fonctionnent pas pour moi au début. Il y a un poste utile par l'utilisateur Non-sens sur la Forum pfsense

14b. Afficher les statistiques de connexion modem sur le tableau de bord pfsense

Après quelques headscratching je me suis un moyen de rendre les statistiques du modem pour mon show modem netgear sur mon tableau de bord.
Cela se fait en créant un widget personnalisé avec le code php.
Accédez au diagnostic et éditer le fichier. Créez un nouveau fichier sur le chemin

avec le contenu

Vous aurez besoin de personnaliser le nom d'utilisateur et mot de passe. Le code ci-dessus fonctionne pour le DM200 Netgear, et probablement d'autres modems et routeurs netgear. Pour les autres marques de matériel que vous aurez besoin d'une adresse différente pour les statistiques et vous devrez peut-être faire une manipulation supplémentaire de la réponse en utilisant php.
Notez que je supplantée l'intervalle d'actualisation par défaut netgear - Je l'ai tourné le tout comme reload brise l'affichage du tableau de bord. Pour obtenir des chiffres mis à jour rafraîchir le tableau de bord pfsense via votre navigateur web bouton reload
Maintenant, allez dans le tableau de bord et d'ajouter le widget et vous êtes tous fait.

15. Fixation de la mise en garde du certificat lors de la connexion

Voir ce guide

Qu'est-ce que tu penses? Envoyez-nous un commentaire ci-dessous! Si vous souhaitez vous abonner s'il vous plaît utiliser le lien d'abonnement dans le menu en haut à droite. Vous pouvez également partager avec vos amis en utilisant les liens sociaux ci-dessous. À votre santé.

Laisser un commentaire