PfSense

Fra GNUskole
Hopp til: navigasjon, søk

pfSense

Vi bruker for tiden pfSense som brannmur på skolen vår.

Installasjon

Du kan laste ned pfSense på http://www.pfsense.org

Last ned LiveCD-utgaven og installert systemet via den.

Tips og triks

spamd

spamd er en pakke som installerer en tar-pit og en greylist for innkommende e-post. Dette stopper effektivt mye av spam-eposten du måtte få inn til epost-tjeneren din.

Dessverre er pakken ikke så oppdatert som den burde være og den virker rett og slett ikke med pfSense v1.2.3. Fortvil ikke, vi befinner oss i fri programvare-verden og det er ikke vanskelig å rette dette problemet.

Du må inn i konsollet på brannmuren og der må du skrive setningen:

pw user mod _spamd -u 0

Dette er ingen god løsning, fordi det gir brukeren "_spamd" root-rettigheter. Det løser derimot problemet med at _spamd-brukeren ikke har lov til å aksessere greylist-databasen, som den må ga tilgang til for at ting skal virke.

pfSense 2.x som OpenVPN-klient

Denne oppskriften er laget for PIA-tjenesten.

  • Du må først lage to(!) sertifikatrt - et internt og et fra PIA.
    • Last ned nødvendige filer fra PIAs nettsted. Du trenger ca.crt-filen i zip-filen.
    • Gå til "System -> Cert manager".
    • Vær i CA-fanen og klikk på (+) (add or import CA) og kall den "pfSense" (eller noe slikt).
    • Velg Method - Create an internal Certificate Authority.
    • Fyll ut med den informasjonen du vil - trenger ikke være "ekte".
    • Klikk "Save".
    • Gå til fanen "Certificates" og klikk (+).
    • Gi den et forståelig navn, f.eks. pfSense-cert, og velg Certificate authoriry pfSense (skal komme opp automatisk).
    • Fyll ut Common name med noe du synes passer.
    • Klikk "Save".
    • Gå tilbake til CA-fanen og klikk på (+) og kall den "PIA" (eller noe slikt).
    • Åpne filen ca.crt og kopier innholdet der over i datafeltet til det sertifikatet du nettopp har laget.
    • Lagre.
  • Opprette en OpenVPN-klient til PIA
    • Gå til menyen "VPN -> OpenVPN" og fanen "Client" og klikk (+).
    • Vær sikker på at "Disable this client" ikke er valgt!
    • Sett "Server mdode" til "Peer to Peer (SSL/TLS)".
    • Sett "Protocol" til "UDP".
    • Sett "Device mode" til "tun".
    • Sett "Interface" til "WAN".
    • La "Local port" være blank.
    • Sett "Server host or address" til det domenenavnet eller IP-verdien til f.eks. uk-london.privateinternetaccess.com
    • Sett "Server port" til "1194".
    • La alle "Proxy"-felt være blanke.
    • Sett "Server host name resolution" til "Infinitely resolve server".
    • Sett "Description" til "PIA UK" (du kan lage flere med ulike land!).
    • Fjern krysset på "Enable authentication of TLS packets."!
    • Sett "Peer Certificate Authority" til "PIA".
    • Sett "Client Certificate" til "pfSense".
    • Sett "Encryption algorithm" til BF-CBC (128-bit)!
    • Sett "Hardware Crypto" til "No Hardware Crypto Acceleration".
    • La alt under "Tunnel setting" stå blankt - bortsett fra at du krysser av for "Compression".
    • Skriv inn følgende i "Advanced":
auth-user-pass /etc/openvpn-password.txt
    • Lagre.
    • Så må du inn i shell på pfSense.
    • Lag en fil kalt /etc/openvpn-password.txt med følgende innhold (vi pleier å virke i pfSense :-):
brukernavnetdittpåPIA
passordetdittpåPIA
  • Sette opp routing til OpenVPN
    • Gå inn på "Interfaces -> Assign".
    • Velg "Network port" til "Interface" "PIAUK" (som regel er det ovpnc som er den nye porten).
    • Klikk "Save".
    • Gå inn på "Interfaces -> PIAUK".
    • Aktiver kortet.
    • Sett "Type" til "None".
    • Klikk "Save".
    • Gå til "System -> Routing" og klikk (+).
    • Sett "Interface" til "PIAUK".
    • Gi det et forståelig navn - la resten stå tomt.
    • Klikk "Save".
  • Skru av automatisk NAT.
    • Gå inn i "Firewall -> NAT".
    • Velg fanen "Outbount".
    • Sett NAT til "Manual Outbound NAT rule generation" og klikk "Save".
    • Lag en NAT-regel for "Interface" WAN med "Source" 10.0.1.0/24 (eller ditt lokale nettverk) der alt er lov.
    • Lag en NAT-regel for "Interface" PIAUK med "Source" 10.0.1.0/24 (eller ditt lokale nettverk) der alt er lov.
    • Aktiver reglene.
    • PS! Du må lage en slik NAT-regel hvor hvert "Interface" du lager!
  • Legge inn regler for å route trafikk via OpenVPN-kanalen.
    • Gå inn i "Firewall -> Rules" og velg fanen "LAN".
    • Klikk på (+) for å legge til en regel. Du får selv bestemme hvor i hierarkiet den skal være :-) (hvis ikke bør du ikke ta i pfSense overhode! :-)
    • Dette må du endre:
      • "Protocol" til "any".
      • "Source" til "Single host or alias" hvis du vil få en maskin, f.eks. en PS3 med en bestemt IP, til å gå via OpenVPN-ruten. Skriv inn IP til maskin.
      • "Description" til noe du kjenner igjen.
      • Klikk på "Advanced" til høyre for "Gateway" under "Advanced features".
      • Velg "PIAUK" som gateway.
    • Siste regel i "LAN" må også endres.
      • Klikk på "Advanced" og velg "WAN"-gatewayen for denne regelen.
    • Klikk "Save".
    • Oppdater regler.

Viola!