0Замена BT Бесконечность SmartHub с pfsense

Когда я переехал в новый дом год назад я, наконец, смог присоединиться к 21улица века и заказал BT Бесконечность, которая поставляется с SmartHub. SmartHub на самом деле довольно приличный набор считая приходит бесплатно, но, как и большинство ISP Прилагаемые устройства он заблокированные в некотором смысле, Например, вы не можете использовать свои собственные DNS серверы, которые я предпочитаю делать. В первые дни ADSL (около 2001) Я побежал коробку Smoothwall вместо маршрутизатора, и для целого ряда причин (включая фильтрацию интернет контролируется мной, а не ISP) Я решил вернуться к маршрутизатору брандмауэра Linux на основе.


Маленький Celeron J1900 коробки я должен сделать аппаратную сторону вещей не хотел установить Smoothwall, поэтому я установил pfsense вместо. Я также должен был получить VDSL (волокно) модем для подключения маршрутизатора к телефонной розетке. Я получил Netgear DM200, который на самом деле полный маршрутизатор, который может быть включен в режим «только модем». Получение весь механизм работает взял некоторое пустячный, так я думал, что тянуть все ресурсы в одном месте

1. Установка pfsense

Мне нужно установить pfsense через USB, так эффективно с помощью флэш-накопителя. Это стало возможным за счет использования пустой флэш-накопитель, Программное обеспечение под названием Руфус, и «memstick» загрузка pfsense.

2. Настройка Netgear DM200

Для того, чтобы сделать что-нибудь с DM200 вам придется подключить оба кабеля локальной сети к нему, и телефон разъем для него. Ваш компьютер должен получить адрес от NETGEAR по DHCP, но если это не нужно будет вручную установить вас IP обратиться к 192.168.5.x (х быть что угодно, от 2 - 254). Вы можете войти через веб-интерфейс на 192.168.5.1. Имя пользователя Логин по умолчанию админ и пароль пароль. Выберите вкладку «Дополнительно», а затем «продвинутый» вариант меню в левом нижнем углу этой страницы. При том, что выбрать опцию «режим устройства». Измените режим устройства на «Модем (только модем)»И нажмите кнопку применить. Вы можете увидеть больше деталей и создания скриншотов Страницы помощи NETGEAR

3. Логин и изменить пароль по умолчанию

Подключите pfsense коробку к локальной сети и подключиться к нему с помощью веб-интерфейса через его LAN IP адрес (который будет отображаться на его загрузки по умолчанию на экране при подключении дисплея к нему). Вы, возможно, придется изменить свой локальный IP решения для достижения этой цели. Вход в pfsense с именем админ и пароль pfsense. Пройдите через мастер установки и когда предоставляется возможность изменить пароль по умолчанию WebUI. Для получения более подробной информации о шагах 1-3, я рекомендую руководство по tecmint

4. Настройка окна pfsense, чтобы получить базовое соединение

Я использую BT бесконечность и получить правильные настройки оказалось сложнее, чем я надеялся. Я должен был сначала настроить WAN настройки правильно и после этого, установить правильный профиль для WAN интерфейс. Первый, идти к Интерфейсы: WAN и установить следующие.

IPv4 Тип конфигурацииPPPoE
IPv6 Тип конфигурацииDkp6
Использование соединения IPv4 в качестве родительского интерфейсатикали
Запрос только префикс IPv6тикали
Размер DHCPv6 Приставка Делегирование56
имя пользователяbthomehub@btbroadband.com
парольлюбое значение будет работать

Сохраните изменения, а затем перейти к Интерфейсы: присваивание. Установите WAN интерфейс «PPPOE ...», который после сохранения должны показать с физическим интерфейсом в скобках - в моем случае это говорит «PPPOE (em0)». Сохраните изменения снова и, надеюсь, вы получите соединение.

4б. WAN Значение MTU

В WAN Настройки интерфейса вы можете захотеть, чтобы настроить параметры MTU для оптимальной работы с BT Бесконечность, чтобы избежать фрагментированных пакетов и возможные потери пакетов. Я написал посвященная статья по этому вопросу.

5. IPv6 Тестирование

Настройки выше должно быть достаточно, чтобы получить IPv6 работать на ваших клиентов локальной сети - вы должны увидеть адрес IPv6 для интерфейса LAN pfsense (i.e. один, который не начинается FE80). Попробуйте пинг google.com из окна терминала на клиенте локальной сети - если вы получаете ответ от адреса IPv6, то все хорошо. Вы также можете проверить, что все исправляем с помощью test-ipv6.com. Благодаря Danneh для настройки. Для получения более подробной информации рекомендую это Reddit нить.

Существует еще один твик требуется, чтобы убедиться, что IPv6 работает полностью, Вам необходимо разрешить ICMPv6 пакеты через брандмауэр. Перейти к брандмауэру, а затем правила. Добавить новое правило, установить семейство адресов на IPv6, изменить протокол к ICMP, оставить «любой» выбран в качестве подтипов (если вы не хотите, чтобы сделать много больше читать о конкретных подтипов). Нажмите кнопку Сохранить, а затем нажмите кнопку «Применить изменения».

6. Включение Intel Увеличенная скорость шага

Я не хочу, чтобы мой ниже приведенный маршрутизатор работает на полную мощность все время - но, к сожалению pfsense doens't, кажется, правильно поддерживает Intel усиливается шаг скорости по умолчанию в данный момент. Для того, чтобы получить работу шахты (и более низкая температура процессора, чтобы пойти с ним!) Я первый должен был включить в Powerd система -> Дополнительно -> Разное -> Включить Powerd. Если вы хотите, чтобы включить самые низкие частоты (Altho они не экономит много энергии) Вам также необходимо сделать следующие изменения: идти к диагностика, Редактирование файла. Затем введите путь к файлу /загрузки / device.hints. изменить дно 2 записей из 1 to 0 (называемый hint.acpi_throttle.0.отключен и hint.p4tcc.0.отключен). Благодаря SecondEdge и dreamslacker для этих советов. Чтобы проверить это работает, Вы должны войти в маршрутизатор через SSH, выберите опцию 8 (оболочка) и запустить Sysctl dev.cpu. | Grep частота. Это взяло мою температуру ядра процессора от 66C до 57C - не плохо для крошечной системы безвентиляторной упакованы в рядом с другим ПК, модем, и переключатель 8-портовый.

7. Перенаправление порта

К брандмауэр: NAT а затем нажмите кнопку Добавить. Введите IP адрес и порт для назначения и (скорее всего) тот же самый порт для внешнего порта. Для получения более подробной информации рекомендую пост по splurben на pfsense форумах.

8. Отражение NAT

Я использую свой ноутбук как дома, в локальной сети и вдали от дома и в обоих случаях хотят получить доступ к различным веб-интерфейсов в локальной сети. Я использую DDNS, чтобы получить доменное имя, и хотел использовать это для подключения даже при подключении к локальной сети. Это требует NAT отражения, которое может быть включено при система: передовой: Режим NAT Reflection для порта вперед. Вы можете (вероятно) необходимо также включить 2 другие варианты на этой странице: Включить NAT для отражения 1:1 NAT и Включение автоматического исходящего NAT для отражения

9. Adblocking

Все мои ПК имеют веб-браузеры adblocked установлены, но то же самое нельзя сказать о моих андроид устройствах, поскольку они должны быть искоренены установить блокираторы. Таким образом, возможность блокировать рекламу с pfsense является одним из основных преимуществ использования его. Первый, идти к система: менеджер пакетов а затем искать pfblockerng и установить его. Затем вы можете настроить его с помощью брандмауэр: PFBlockerNG. Затем я использовал руководство по FredMerc настроить его. Краткий обзор настроек, которые я использовал это следующим образом. К брандмауэр: PFBlockerNG а затем нажмите на DNSBL таб, а затем нажмите на Вкладка DNSBL EasyList. Включите верхнюю EasyList корма и направьте его на EasyList. Затем нажмите кнопку Добавить, и установить второй канал EasyList к EasyPrivacy и превратить это слишком. Действие Список должен быть «несвязанным», и я установить частоту обновления для 1 день. Затем нажмите кнопку Сохранить. Затем перейдите к DNSBL Вкладка и включить опцию Включить DNSBL. Наконец перейти к общий Закладка и включить pfBlockerNG.

9б. Adblock исправления

Конфигурация PFBlockerNG по умолчанию создает проблемы для амазонки андроид приложения. Чтобы этого избежать, и другие вопросы, стоит использовать некоторые белые списки. К брандмауэр: PFBlockerNG а затем нажмите на DNSBL таб, прокрутите вниз до заказ домена белый список и введите следующую (благодаря bchow на pfsense форумах)

Вы также можете включить Алексы белый список топ сайтов.

10. Прозрачный прокси кальмаров

Я решил создать прозрачный кальмар прокси столько из просмотра, что мы делаем хиты одни и те же сайты, неоднократно на разных устройствах, Я не ожидаю, что это сделать огромную разницу, но я не вижу каких-либо веских причин не. Использование система: менеджер пакетов установить кальмар. Затем перейдите к услуги: кальмаров прокси-сервер настроить его. Это также необходимо для SquidGuard, если вы хотите использовать его, как я.

11. Веб-фильтрация для безопасности детей с SquidGuard

У меня есть маленькие дети в доме, и вы хотите, чтобы блокировать неподходящее содержимое. Это может быть достигнуто с помощью пакета SquidGuard и черные списки Shalla в. Установить SquidGuard из система: менеджер пакетов. Затем перейдите к услуги: SquidGuard прокси-фильтр. Перейти к черный список таб, введите адрес HTTP://www.shallalist.de/Downloads/shallalist.tar.gz и нажмите скачать. Затем откройте вкладку Общие ACL, нажмите на кнопку плюс и выбрать категории, которые вы хотите заблокировать. Также necesary создать фиктивную целевую категорию из-за ошибки. Для получения дополнительной информации см этот пост pfsense форум. Не забудьте установить значение по умолчанию для всех списков позволять в самом низу списков. Благодаря networkinggeek на pfsense форумы для этого наконечника. И наконец - это может стоить редактирования пары дополнительных опций, так что заблокированные запросы кэшируются только в течение короткого периода времени - таким образом, если вы решили разблокировать некоторые сайты, вы не должны очистить кэш браузера, чтобы получить доступ к этим сайтам - там более подробная информация о pfsense форум. Я должен был белый список категории [blk_BL_sex_lingerie] так что моя жена могла купить нижнее белье в качестве фильтра блокировали секцию нижнего белья на основных розничных (например. Debenhams).

12. Включение U-ПНФ для ряда услуг (азартные игры, обмен сообщениями, поток, так далее)

К услуги: UPnP & NAT-PMP, отметьте верхнюю 2 ящики (Включить UPnP & NAT-PMP и Позволять UPnP Отображение порта), и нажмите кнопку Сохранить.

13. Вредоносный трафик блокирования Snort

Для того, чтобы блокировать обнаруживать и блокировать потенциально вредоносный трафик вы можете установить пакет Snort. Я рекомендую запускать его без блокировки в течение первых нескольких недель, как он будет блокировать много вещей, которые вы не хотите из-за большое количество ложных срабатываний. Я рекомендую использовать следующий список подавления, чтобы избежать некоторых из наиболее раздражающих ложных срабатываний

14. Получение веба-доступ к модему, через окно pfsense

Мой Netgear DM200 модем (в режиме сквозного) доступен только через фиксированный IP адрес (192.168.5.1). Я хотел, чтобы иметь возможность получить доступ к своему веб-интерфейс на компьютерах локальной сети. Есть некоторые инструкции в pfsense вики, но это не работает для меня на первом. Существует полезное сообщение от пользователя Чепуха на pfsense форум

14б. Отображение статистики подключения модема на pfsense приборной панели

После некоторого headscratching я придумал, как сделать статистику модема для моего NetGear модема шоу на моей приборной панели.
Это делается путем создания пользовательских виджетов с PHP кода.
Перейти к диагностике и редактирования файла. Создать новый файл в пути

с содержанием

Вам нужно будет настроить имя пользователя и пароль. Приведенный выше код работает для DM200 Netgear, и, возможно, другие NETGEAR модемы и маршрутизаторы. Для других производителей аппаратных средств вам потребуется другой адрес для статистики, и вы, возможно, придется делать дополнительные манипуляции с ответом с помощью PHP.
Обратите внимание, что я подавляться Netgear интервал обновления по умолчанию - Я выключил его, как перезарядка ломает дисплей приборной панели. Чтобы получить обновленные номера просто обновить pfsense панель с помощью кнопки веб-браузер перезагрузки
Теперь переходим к приборной панели и добавить виджет и вы все сделали.

15. Закрепление предупреждение сертификата при входе в систему

Видеть это руководство

Пожалуйста, присылайте нам свои мысли, комментируя ниже! Если вы хотите подписаться, пожалуйста, используйте ссылку подписываться на меню в верхнем правом углу. Вы также можете поделиться этим со своими друзьями с помощью социальных связей ниже. ура.

оставьте ответ