2استبدال BT إنفينيتي SmartHub مع pfsense

عندما انتقلت الى منزل جديد قبل سنة كنت في النهاية قادرا على الانضمام إلى 21ش أمر قرن وBT إنفينيتي الذي تم توفيره مع SmartHub. وSmartHub وعدة في الواقع لائق بشكل معقول معتبرا انه يأتي مجانا, ولكن كما هو الحال مع معظم ISP الأجهزة الموردة مقفل عليه في بعض الطرق, على سبيل المثال لا يمكنك استخدام بنفسك DNS الخوادم التي كنت تفضل أن تفعل. في الأيام الأولى من ADSL (حوالي 2001) ركضت مربع smoothwall بدلا من جهاز التوجيه, ولمجموعة من الأسباب (بما في ذلك تصفية الإنترنت التي تسيطر عليها لي, بدلا من ISP) قررت أن أعود إلى جدار حماية جهاز التوجيه القائم على لينكس.

لم قليلا مربع سيليرون J1900 أنا حصلت على القيام الجانب الأجهزة من الأمور لا تريد تثبيت smoothwall, لذا فإنني تثبيت pfsense بدلا. كما أتيحت لي للحصول على VDSL (الأساسية) مودم للاتصال الموجه إلى مقبس الهاتف. حصلت على DM200 نتغير الذي هو في الواقع جهاز التوجيه الكامل الذي يمكن أن تنتقل إلى وضع "مودم فقط". الحصول على ترتيب كله استغرق العمل بعض تافه, حتى ظننت أنني كنت سحب جميع الموارد معا في مكان واحد

1. تثبيت pfsense

كنت بحاجة إلى تثبيت pfsense عبر USB, بذلك على نحو فعال عن طريق محرك أقراص فلاش. وقد أصبح هذا ممكنا من خلال استخدام محرك الأقراص من ركلة جزاء فارغة, برنامج يسمى روفوس, و "memstick" تحميل pfsense.

2. تكوين DM200 نتغير

لفعل أي شيء مع DM200 سيكون لديك لربط كل من كابل LAN إليها, ومقبس الهاتف إليها. جهاز الكمبيوتر الخاص بك يجب ان تحصل على عنوان من NETGEAR بواسطة DHCP ولكن إذا كان لا، ستحتاج إلى تعيين يدويا IP معالجة ل192.168.5.x (س يكون أي شيء من 2 - 254). ثم يمكنك تسجيل الدخول عن طريق واجهة الويب في 192.168.5.1. اسم المستخدم تسجيل الدخول الافتراضي مشرف وكلمة السر هي كلمة المرور. حدد علامة التبويب "متقدم", وبعد ذلك "المتقدمة" خيار القائمة في الجزء السفلي الأيسر من هذه الصفحة. وبموجب هذا حدد الخيار "وضع الجهاز". تغيير وضع الجهاز إلى "مودم (مودم فقط)"ثم انقر فوق تطبيق. يمكنك معرفة المزيد من التفاصيل والصور على صفحات المساعدة NETGEAR

3. تسجيل الدخول وتغيير كلمة المرور الافتراضية

ربط مربع pfsense الخاص بك إلى الشبكة المحلية والاتصال به باستخدام واجهة الويب عبر الشبكة المحلية انها IP عنوان (الذي سيعرض على انها التمهيد الافتراضي يصل الشاشة إذا قمت بالاتصال عرض لها). قد تضطر إلى تغيير المحلية الخاصة بك IP معالجة لتحقيق ذلك. تسجيل الدخول إلى pfsense مع اسم المستخدم مشرف وكلمة المرور pfsense. تذهب من خلال معالج الإعداد وعندما تتاح لها الفرصة تغيير كلمة المرور في WebUI الافتراضي. للحصول على معلومات أكثر تفصيلا عن الخطوات 1-3 أوصي دليل على tecmint

4. تكوين مربع pfsense للحصول على اتصال الأساسي

يمكنني استخدام BT ما لا نهاية والحصول على الإعدادات الصحيحة ثبت اصعب مما تمنيت. اضطررت الى تكوين لأول مرة WAN الإعدادات بشكل صحيح وبعد ذلك, ضبط الوضع الصحيح لل WAN السطح البيني. الأول, اذهب إلى واجهات: WAN وتعيين التالية.

عناوين IPv4 نوع التكوينPPPOE
الإصدار IPv6 نوع التكوينDkp6
استخدم اتصال IPv4 كواجهة رئيسيةتكتك
طلب فقط بادئة ب IPv6تكتك
حجم DHCPv6 البادئة الوفد56
اسم المستخدمbthomehub@btbroadband.com
كلمة المرورستعمل أي قيمة

حفظ التغييرات, ثم انتقل إلى واجهات: مهمة. تعيين WAN واجهة ل"PPPOE ..." التي بعد حفظ يجب أن يظهر مع واجهة فعلية بين قوسين - في حالتي تقول "PPPOE (em0)". احفظ التغييرات مرة أخرى ونأمل أن تحصل على اتصال.

4ب. WAN قيمة MTU

في WAN إعدادات واجهة قد ترغب في ضبط إعداد MTU الخاص للعمل على النحو الأمثل مع BT إنفينيتي لتجنب الحزم مجزأة واحتمال فقدان الحزمة. كنت قد كتبت [int­link id=“4002” type=“post”]مادة مخصصة[/intlink] بشأن هذه المسألة.

5. الإصدار IPv6 اختبار

الإعدادات يجب أن يكون فوق كافية للحصول على الإصدار IPv6 تعمل على عملاء LAN الخاصة بك - يجب عليك أيضا معرفة عنوان IPv6 لواجهة LAN pfsense (أي. واحد لا يبدأ FE80). محاولة الأزيز google.com من نافذة الصالة على عميل LAN - إذا كنت تحصل على رد من عنوان IPv6 ثم كل شيء على ما يرام. يمكنك أيضا التحقق من أن كل ما الصحيح باستخدام test-ipv6.com. بفضل Danneh للحصول على الضبط. لمزيد من المعلومات أوصي هذا موضوع رديت.

هناك واحد قرص الإضافية اللازمة للتأكد من الإصدار IPv6 يعمل بشكل كامل, تحتاج للسماح حزم ICMPv6 من خلال جدار الحماية. الذهاب إلى جدار حماية, وفوق قواعد. إضافة قاعدة جديدة, تعيين عائلة عنوان إلى IPv6, تغيير بروتوكول ICMP, إجازة "أي" اختيار والأنواع الفرعية (إلا إذا كنت تريد أن تفعل الكثير مزيد من القراءة حول أنواع فرعية محددة). انقر فوق حفظ, ثم انقر فوق "تطبيق التغييرات".

6. تمكين إنتل تعزيز السرعة خطوة

أنا لا أريد جهاز التوجيه الخاص بي أقل بالطاقة تعمل بكامل طاقتها في كل وقت - ولكن للأسف pfsense doens't يبدو أن دعم إنتل تعزيز سرعة خطوة افتراضيا في الوقت الراهن بشكل صحيح. للحصول على عمل الألغام (وانخفاض درجة الحرارة وحدة المعالجة المركزية للذهاب معها!) كان لي أول لتمكين. برمجة في النظام -> المتقدمة -> متفرقات -> تمكين. برمجة. إذا كنت ترغب في تمكين أدنى الترددات (ثابتة وهذه لا توفر الكثير من الطاقة) سوف تحتاج أيضا للقيام بهذه التغييرات التالية: اذهب إلى التشخيص, تعديل ملف. ثم أدخل مسار الملف /التمهيد / device.hints. تغيير أسفل 2 مقالات من 1 إلى 0 (دعا hint.acpi_throttle.0.معاق و hint.p4tcc.0.معاق). بفضل SecondEdge و dreamslacker لهذه النصائح. للتحقق هذا العمل سوف تحتاج لتسجيل الدخول إلى جهاز التوجيه عبر SSH, حدد الخيار 8 (قذيفة) و اهرب dev.cpu sysctl. | البقرى التكرار. أخذ هذا بلدي وحدة المعالجة المركزية درجة الحرارة الأساسية من 66C إلى 57C - ليس سيئا للنظام بدون مروحة صغيرة معبأة في القادم إلى كمبيوتر آخر, المودم, والتبديل 8 الميناء.

7. ميناء الشحن

اذهب إلى جدار الحماية: NAT ثم انقر فوق الزر إضافة. دخول IP العنوان والمنفذ لجهة و (على الأرجح) نفس المنفذ للمنفذ خارجي. للحصول على معلومات أكثر تفصيلا أوصي وظيفة من قبل splurben على المنتديات pfsense.

8. NAT التأمل

يمكنني استخدام جهاز الكمبيوتر المحمول على حد سواء في المنزل على LAN وبعيدا عن المنزل وفي كلتا الحالتين تريد الوصول إلى واجهات مختلفة على شبكة LAN. يمكنني استخدام DDNS للحصول على اسم نطاق ويريد استخدام هذا الاتصال حتى عندما تتصل LAN. وهذا يتطلب التفكير NAT التي يمكن تمكين تحت نظام: المتقدمة: وضع انعكاس NAT للمهاجمين ميناء. يمكنك (ربما) يجب أن تسمح أيضا 2 خيارات أخرى في هذه الصفحة: تمكين NAT انعكاس ل 1:1 NAT و تفعيل NAT الصادر التلقائي للانعكاس

9. Adblocking

وقد adblocked تثبيت كل من بلدي webbrowsers PC, ولكن الشيء نفسه لا يمكن أن يقال من أجهزتي الروبوت وهذه يجب أن تكون متجذرة لتثبيت حاصرات. حتى تكون قادرة على منع الإعلانات مع pfsense هي واحدة من أهم مزايا استخدامه. الأول, اذهب إلى نظام: مدير مجموعة ثم ابحث عن pfblockerng وتثبيته. ثم يمكنك تكوين باستخدام جدار الحماية: PFBlockerNG. وبعد ذلك استخدم الدليل من قبل FredMerc لتكوينه. ملخص موجز للإعدادات لقد استعملت هو على النحو التالي. اذهب إلى جدار الحماية: PFBlockerNG ثم انقر فوق على DNSBL علامة التبويب, ثم انقر فوق على علامة التبويب DNSBL EasyList. بدوره على أعلى تغذية EasyList وأشر إلى EasyList. ثم انقر فوق الزر إضافة, وتعيين تغذية EasyList الثانية لEasyPrivacy وتحويل ذلك على جدا. وينبغي أن يكون عمل قائمة "غير منضم" وأنا وضعت تردد التحديث ل 1 يوم. ثم انقر فوق حفظ. ثم انتقل إلى DNSBL التبويب وتمكين الخيار تمكين DNSBL. أخيرا يذهب إلى عام التبويب و تمكين pfBlockerNG.

9ب. إصلاحات ادبلوك

تكوين PFBlockerNG الافتراضية يسبب مشاكل للالتطبيق الروبوت الأمازون. لتجنب هذا, وغيرها من القضايا, يجدر استخدام بعض هيتليستينغ. اذهب إلى جدار الحماية: PFBlockerNG ثم انقر فوق على DNSBL علامة التبويب, انتقل لأسفل ل القائمة البيضاء مجال مخصص ثم أدخل ما يلي (وذلك بفضل bchow في المحافل pfsense)

.amazonaws.com
.amazon-adsystem.com
.amazon.com
.ssl.google-analytics.com
.ssl-google-analytics.l.google.com # CNAME ل (ssl.google-analytics.com)
.www.google-analytics.com
.www-google-analytics.l.google.com # CNAME ل (www.google-analytics.com)
.www.googleadservices.com
.plex.tv
.gravatar.com
.thetvdb.com
.themoviedb.com
.googleapis.com # 172.217.3.202 مهم لكي يعمل تطبيق أمازون
.1e100.net # CNAME? altname? لموقع googleapis.com
.ad.doubleclick.net # اللازمة لصراع العشائر?
.g.doubleclick.net # اللازمة لصراع العشائر?
.q1mediahydraplatform.com # اللازمة لhungryhouse التطبيق الروبوت?

قد تحتاج أيضا إلى تمكين القائمة البيضاء اليكسا من أفضل المواقع.

10. وكيل الحبار شفافة

قررت اقامة الحبار وكيل شفافة مثل كثير من التصفح ما نقوم به يضرب نفس المواقع مرارا وتكرارا على أجهزة مختلفة, أنا لا أتوقع أن تحدث فرقا كبيرا, ولكن لا أستطيع أن أرى أي أسباب وجيهة لعدم. استعمال نظام: مدير مجموعة لتثبيت الحبار. ثم اذهب الى الخدمات: ملقم وكيل الحبار لتكوينه. هذا مطلوب أيضا لSquidGuard إذا كنت ترغب في استخدامه, كما أفعل.

11. تصفية شبكة الإنترنت لسلامة الطفل مع SquidGuard

لدي الأطفال الصغار في المنزل وتريد منع محتوى غير مناسب. ويمكن تحقيق ذلك مع حزمة SquidGuard والقوائم السوداء شالا ل. تثبيت squidguard من نظام: مدير مجموعة. ثم اذهب الى الخدمات: تصفية وكيل squidguard. انتقل إلى القائمة السوداء علامة التبويب, أدخل عنوان HTTPS://www.shallalist.de/Downloads/shallalist.tar.gz وانقر تحميل. ثم استخدم علامة التبويب ACL المشتركة, انقر على زر زائد وحدد الفئات التي ترغب في حظر. بل هو أيضا necesary لاقامة الفئة المستهدفة وهمية بسبب وجود خطأ. لمزيد من المعلومات راجع هذا الرد منتدى pfsense. لا تنسى أن تعيين الافتراضي لكافة القوائم ل السماح في أسفل القوائم. بفضل networkinggeek على منتديات pfsense على هذه الحافة. وأخيرا - قد يكون من المفيد تحرير اثنين من الخيارات المتقدمة بحيث يتم مؤقتا الطلبات الممنوعة فقط لفترة قصيرة من الزمن - وبهذه الطريقة إذا قررت الافراج عن بعض المواقع لديك متعود على مسح ذاكرة التخزين المؤقت المتصفح للوصول إلى تلك المواقع - هناك مزيد من المعلومات عن منتدى pfsense. اضطررت إلى إدراج الفئة في القائمة البيضاء[blk_BL_sex_lingerie] حتى أن زوجتي يمكن شراء الملابس الداخلية كعامل تصفية وحجب المقاطع الملابس الداخلية على تجار التجزئة الرئيسية (e.g. دبنهامز).

12. تمكين U-PNP عن مجموعة من الخدمات (الألعاب, الرسائل, سيل, إلخ)

اذهب إلى الخدمات: بنب & NAT-PMP, وضع علامة في أعلى 2 صناديق (تمكين بنب & NAT-PMP و السماح بنب تعيين منفذ), ثم انقر فوق حفظ.

13. حركة المرور الضارة حجب مع الشخير

لمنع كشف ومنع حركة المرور المحتمل أن تكون ضارة يمكن تثبيت حزمة الشخير. أوصي تشغيله دون عرقلة في الأسابيع القليلة الأولى لأنها سوف تمنع الكثير من الأشياء التي لا تريد بسبب الأعداد الكبيرة من ايجابيات كاذبة. أوصي باستخدام قائمة القمع التالية لتجنب بعض أكثر الإيجابيات الكاذبة المزعجة

P2P تورنت P2P العميل عامل المستخدم (أوتورنت)
قمع gen_id 1, sig_id 2011706
#و P2P طلب إعلان BitTorrent DHT
قمع gen_id 1, sig_id 2008585
#(spp_ssl) مرحبًا عميل غير صالح بعد اكتشاف خادم HELLO
قمع gen_id 137, sig_id 1
#و P2P طلب اختبار اتصال BitTorrent DHT
قمع gen_id 1, sig_id 2008581
#(http_inspect) طلب بسيط
قمع gen_id 119, sig_id 32
#(http_inspect) طريقة غير معروفة
قمع gen_id 119, sig_id 31
#(http_inspect) طول المحتوى غير صالح أو الحجم المتقطع
قمع gen_id 120, sig_id 8
#(http_inspect) NO طول محتوى أو نقل-الترميز في HTTP استجابة
قمع gen_id 120, sig_id 3
#(http_inspect) هجوم مزدوج لفك التشفير
قمع gen_id 119, sig_id 2
#(http_inspect) HTTP فشل الاستجابة GZIP DECOMPRESSION
قمع gen_id 120, sig_id 6
#(http_inspect) IIS ترميز يونيكود كودبوينت
قمع gen_id 119, sig_id 7
#(http_inspect) BARE BYTE UNICODE الترميز
قمع gen_id 119, sig_id 4
#(http_inspect) مستويات جافا سكريبت التشويش يتجاوز 1
قمع gen_id 120, sig_id 9
#(http_inspect) تتجاوز المسافات البيضاء JAVASCRIPT الحد الأقصى المسموح به
قمع gen_id 120, sig_id 10
#(http_inspect) SPACE إلغاؤه في HTTP URI
قمع gen_id 119, sig_id 33
#(http_inspect) ترميز U
قمع gen_id 119, sig_id 3
#(http_inspect) هجوم مزدوج لفك التشفير
قمع gen_id 119, sig_id 2
#(http_inspect) ترميزات متعددة داخل بيانات غامضة في JAVASCRIPT
قمع gen_id 120, sig_id 11
#(http_inspect) HTTP يحتوي الرد على مجموعة UTF التي فشلت في التطبيع
قمع gen_id 120, sig_id 4
#FILE-IMAGE ديريكتشو GIF محاولة تجاوز العرض المنطقي
قمع gen_id 1, sig_id 27525

14. الحصول على الوصول إلى شبكة الإنترنت المودم, من خلال مربع pfsense

بلدي نتغير DM200 مودم (في وضع تمريري) يمكن الوصول إليها إلا عن طريق ثابتة IP عنوان (192.168.5.1). أردت أن أكون قادرا على الوصول إلى واجهة الويب على أجهزة الكمبيوتر LAN. هناك بعض الإرشادات في pfsense يكي, ولكن هذه لم تنجح بالنسبة لي في البداية. هناك وظيفة مفيدة من هراء المستخدم على منتدى pfsense

14ب. عرض الإحصاءات اتصال مودم على لوحة القيادة pfsense

بعد بعض حك الرأس ، اكتشفت طريقة لإظهار إحصائيات المودم الخاصة بمودم netgear على لوحة أجهزة القياس الخاصة بي.
ويتم ذلك عن طريق إنشاء أداة مخصصة مع رمز PHP.
الذهاب إلى التشخيص وتحرير ملف. إنشاء ملف جديد في مسار

/البيرة / المحلية / على شبكة الاتصالات العالمية / الحاجيات / الحاجيات / modemstatus.widget.php

مع محتويات

< ?فب حالة $ = file_get_contents("HTTPS://اسم المستخدم:password@192.168.5.1/RST_statistic.htm"); $الحالة = str_replace("كان timereset = "5\";","كان timereset = "0\";",$الحالة); وضع $ صدى ?>

سوف تحتاج إلى تخصيص اسم المستخدم وكلمة المرور. رمز أعلاه يعمل لصالح DM200 نتغير, وأجهزة المودم والموجهات نتغير ربما غيرها. لأخرى يجعل من الأجهزة سوف تحتاج إلى عنوان مختلف لإحصاءات والتي قد تحتاج إلى القيام التلاعب إضافية للاستجابة باستخدام PHP.
لاحظ أن لدي أكثر من التي تعاني من نتغير الفاصل الزمني للتحديث الافتراضي - لقد إيقاف تشغيله كما إعادة تحميل يكسر عرض لوحة القيادة. للحصول على أرقام محدثة فقط قم بتحديث لوحة معلومات pfsense باستخدام زر إعادة تحميل متصفح الويب الخاص بك
الآن انتقل إلى لوحة القيادة وإضافة القطعة وكنت فعلت كل.

15. تحديد التحذير شهادة عند تسجيل الدخول

نرى هذا الدليل

16. نسأل فايرفوكس لاستخدام المحلي DNS خلال HTTPS, بدلا من تجاوز مرشحات لدينا (أضيف في أبريل 2020)

في الخدمات -> DNS حل
أضف السطر التالي إلى حقل "الخيارات المخصصة" ...

الخادم:منطقة المحلية: "use-application-dns.net." always_nxdomain

17. استخدام اسم النطاق من مربع pfsense للموارد منعت بدلا من IP (أضيف في أبريل 2020)

الخدمات -> مرشح وكيل SquidGuard -> ACL مشترك
غيّر "وضع إعادة التوجيه" إلى "نقل عنوان URL الإضافي (دخول URL)"
في حقل "معلومات إعادة التوجيه" ، قم بتعيين "https://الموجه-اسمك / sgerror.php?url = 403٪ 20&و=٪ ل&ن =٪ ن&ط = ط٪&الصورة =٪ ق&ر =٪ ر&ش =٪ u "

اترك رد

2 تعليقات

Jجون

دليل رائع أين أضع هذا في القواعد العائمة?
هناك واحد قرص الإضافية اللازمة للتأكد من الإصدار IPv6 يعمل بشكل كامل, تحتاج للسماح حزم ICMPv6 من خلال جدار الحماية. الذهاب إلى جدار حماية, وفوق قواعد. إضافة قاعدة جديدة, تعيين عائلة عنوان إلى IPv6, تغيير بروتوكول ICMP, إجازة "أي" اختيار والأنواع الفرعية (إلا إذا كنت تريد أن تفعل الكثير مزيد من القراءة حول أنواع فرعية محددة). انقر فوق حفظ, ثم انقر فوق "تطبيق التغييرات".

الرجاء إبقاء المرشدين قادمون!!

الرد
JSجون سكيف

شكرا للمعلومات إضافية. لقد قمت بالفعل بتمكين حزم ICMPv6 ولكن لا بد أنني نسيت ما فعلته عندما كتبت هذا. سوف أقوم بتحديثه. لست متأكدًا من جزء الدليل الذي يشير إليه سؤالك الأول?

الرد