Инструкция по установке программного маршрутизатора PfSense на Synology NAS и особенности связанные с этим.
Оглавление
Введение
Я расскажу как установить и сделать первоначальную настройку PfSense на Synology, а доводка до финального состояния будет возможно позже. Это связано с тем, что настроек очень много и в одной статье это все не рассказать.
Программный маршрутизатор PfSense – это решение для обеспечения безопасности и управления сетью, основанное на ядре FreeBSD и наборе инструментов для фильтрации пакетов. Он позволяет контролировать доступ к сети, фильтровать трафик, настраивать правила NAT и многое другое. PfSense может быть установлен на различные аппаратные платформы и используется для защиты сетей от различных угроз, таких как DDoS-атаки, вирусы и другие вредоносные программы.
Хочу отметить, что FreeBSD наиболее хорошо подходит для сетевых решений, намного лучше, чем ядро Linux.
Программный маршрутизатор PfSense имеет множество возможностей для обеспечения безопасности и управления сетью. Вот некоторые из них:
- Контроль доступа: PfSense позволяет контролировать доступ к сети, блокируя определенные IP-адреса или сети.
- Фильтрация трафика: PfSense может фильтровать трафик на основе различных параметров, таких как IP-адрес, порт, протокол и т.д.
- Настройка правил NAT: PfSense позволяет настроить правила Network Address Translation (NAT), которые позволяют перенаправлять трафик из одной сети в другую.
- Мониторинг трафика: PfSense предоставляет возможность мониторинга трафика, что помогает определить, какие приложения и сервисы используют больше всего ресурсов.
- Защита от DDoS-атак: PfSense включает в себя инструменты для защиты от DDoS-атак, такие как защита от SYN-флуда и других видов атак.
- Поддержка VLAN: PfSense поддерживает создание и управление виртуальными локальными сетями (VLAN).
- Гибкость настройки: PfSense имеет открытый исходный код и может быть настроен в соответствии с потребностями пользователя.
- Множество VPN: поддерживает все основные протоколы для организации VPN подключений
- Балансировка WAN
Системные требования PfSense для установки на Synology
- Synology Virtual Machines Manager (VMM)
- Минимум два сетевых интерфейса
- 1 гигабайт ОЗУ
- 8 гигабайт HDD
Два сетевых интерфейса нужны, для того, что бы в один из них был подключен интернет провайдер напрямую, а второй подключен к вашей локальной сети через коммутатор или точку доступа WIFI
Где скачать
Скачать PfSense лучше всего с официального сайта в специальном разделе. Нужно выбрать архитектуру AMD64 (x64) и образ инсталлятора ISO как показано на картинке ниже. Этот образ нужно загрузить на Synology NAS в любую папку.
Подготовка
Настройка интерфейсов DSM
Перед тем как вы подключите провайдера к Synology нужно подготовиться и обезопасить себя. Для этого откройте панель управления, сеть, сетевые интерфейсы и отредактируйте сетевой интерфейс для подключения провайдера как показано на картинке ниже.
Установите статический IP адрес с 169.Х.Х.Х и маской 255.255.0.0. Эти данные скопируйте с полученных по DHCP отключенного интерфейса.
IPv6 лучше всего вообще отключить.
Настройка фаервола
Что бы злоумышленники из-за некорректной настройки оборудования провайдера не смогли навредить вам, нужно заблокировать на фаерволе порт, который будет подключен к провайдеру. В моем случаи это порт 1 (но на картинке отображен порт 2)
Настройка интерфейсов VMM
Теперь нужно настроить интерфейсы VMM. Для этого откроем его, перейдем на вкладку Сеть и создадим два коммутатора LAN1 и LAN2. Каждый коммутатор будет привязан только к одному соответствующему интерфейсу, а тип внешний (на картинке ниже не отображается, доступен только при создании интерфейса)
Создание виртуальной машины PfSense
Открываем VMM, виртуальные машины и нажимаем кнопку создать. В открывшемся окне выбираем Linux и жмем дальше
Выбираем хранилище где будет лежать виртуальная машина, в моем случаи выбор не велик.
Придумываем название, выделяем 1 или более ядра для нашего маршрутизатора PfSense, оперативную память минимум 1 гигабайт и жмем шестеренку (4)
В открывшемся окне убираем опцию Hyper-V как показано на картинке ниже
Виртуальный диск достаточно 10 гигабайт или более. Много не нужно.
При настройке сети я рекомендую на первое место ставить интерфейс, к которому подключен провайдер, а второй интерфейс для нашей локальной сети.
В этом окне выбираем образ PfSense ISO скаченный ранее и жмем далее
Выбираем вашего пользователя
И на завершающем этапе все проверяем и жмем выполнить. Сейчас еще не нужно запускать виртуальный маршрутизатор PfSense.
Установка PfSense
Когда все готово, виртуальная машина для PfSense создана, подключайте провайдера в нужный порт и включайте виртуальную машину. Когда она включится, жмите кнопку подключиться (3). Пока виртуальная машина выключена данная кнопка серая и не активная.
Когда вы подключитесь к экрану виртуальной машины и загрузчик загрузится, первым делом нужно принять лицензионные соглашения. Да тут и выбора нету.
Выбираем пункт установки
На этом этапе я рекомендую выбрать Auto (ZFS)
Затем жмите установить
Так как у нас виртуальная машина, которая работает на отказоустойчивом Raid, то тут достаточно выбрать stripee и не переживать за живучесть. Это еще повысит производительность в данном конкретном случаи.
Выбираем один единственный диск пробелом и жмем интер
Соглашаемся на то, что все данные с выбранного диска будут удалены
И начинается процесс установки программного маршрутизатора PfSense на Synology
Процесс установки очень быстрый, в конце нужно перезагрузить виртуальную машину, что бы первый раз загрузиться в PfSense
Первоначальная настройка PfSense
Самая первая первоначальная настройка происходит все в том же виртуальном окне. На первый вопрос про Vlan можно ответить нет, но я нажал случайно интер.
Вторым вопросом он спросит какой интерфейс будет WAN, т.е. подключен к провайдеру интернета. Я указал первый vtnet0 и нажал интер
Следующим вопросом нужно указать интерфейс LAN, т.е. тот который подключен к локальной сети. Я указал vtnet1 и нажал интер
Теперь нужно проверить и если все сделано правильно подтвердить выбор
На этом первоначальная настройка закончена и на экране можно увидеть IP адрес для подключения и дальнейшей настроки програмного маршрутизатора PfSense установленного на Synology NAS.
В этом же окне можно изменить IP адреса выбрав пункт 2
Открываем в браузере IP адрес PfSense на LAN порту. Если выходит сообщение об ненадежном сертификате SSL, то это нормально, просто нажмите дополнительно и все равно перейти на сайт
В открывшемся окне вводим логин и пароль PfSense. По умолчанию логин admin, а пароль pfsense
Вот теперь нас встречает мастер первоначальной настройки. Но я рекомендую сначала установить язык и часовой пояс.
Для этого нажмите System > General Setup и установите ваш язык и часовой пояс
Готово, теперь PfSense на привычном языке и можно начинать его обновлять, настраивать и устанавливать дополнительные пакеты
На этом все, PfSense на Synology установлен и клиенты в локальной сети уже могут получать автоматом IP адреса и выходить в интернет через PfSense, при условии, что WAN подключение к провайдеру правильно настроено. Но если его нужно перенастроить на PPPoE или L2TP, то это легко настраивается в WEB интерфейсе PfSense.
Дерзайте!!! У вас все получится!!! Желаю удачи!!!
