Москва: (495)797-35-80
Санкт-Петербург: (812)385-75-80
Время работы: с 10:00 до 20:00
- Статьи
- Переход с nanobsd-версии pfSense 2.3.x на 2.4.x full.
- Чем записать img gz образ на flash под Windows
- Установка NanoBSD pfSense на платформу ALIX
- Установка FreeBSD + Gateway + DHCP. Шлюз FreeBSD.
- Установка и настройка лог-анализатора Lightsquid
- Доработка и ипользование 3G USB-модема в *nix-системах
- NativePC. Полное руководство по pfSense 2.0.1 RELEASE
- Информация о материнских платах ALIX
- Решения на безе плат ALIX
- pfSense 2 Cookbook: Оглавление.
- NativePC. Установка Debian Squeeze на платформу ALIX с Compact-Flash карты.
- Безопасное решение для банковских и коммерческих организаций.
Часть 18. Беспроводные сети
<<< Предыдущая Глава | Следующая Глава >>>
pfSense включает встроенные беспроводные возможности, которые позволяют превратить её в беспроводную точку доступа и использовать беспроводную связь формата 802.11 для подключения к WAN или локальным сетям. В этой главе рассматриваются способы развёртывания безопасной беспроводной точки доступа. Всестороннее освещение технологии 802.11 выходит за рамки данной книги. Для тех, кто ищет соответствующую информацию, я рекомендую книгу 802.11 Wireless Networks: The Definitive Guide [http://www.amazon.com/gp/product/0596100523? ie=UTF8&tag=pfsense-20&linkCode=as2&camp=1789&creative=9325&creative ASIN=0596100523].
18.1. Рекомендации по выбору беспроводного оборудования
Существует ряд беспроводных карт, поддерживаемых в FreeBSD 7.2 и, соответственно, включённых в поддержку pfSense. Некоторые из этих карт поддерживаются лучше чем другие. Большинство разработчиков pfSense работают с оборудованием Atheros, и следовательно, это наиболее рекомендуемое оборудование. Многие добились успеха с использованием других карт, и вторым популярным производителем является оборудование Ralink. Другие карты могут поддерживаться частично, с потерей некоторой функциональности. В частности некоторые карты Intel могут использоваться в режиме инфраструктуры, но не могут работать в режиме точки доступа из-за аппаратных ограничений.
18.1.1. Беспроводные карты известных производителей
Linksys, D-Link, Netgear и другие крупные производители, часто используют различные чипсеты в беспроводных картах, не изменяя при этом номер модели. Достаточно сложно определить совместимость конкретных моделей, поскольку незначительная ревизия может сильно изменить возможности карты. В то же время, когда одна ревизия той или иной модели может хорошо работать, другая карта, той же модели может оказаться совершенно не совместимой. По этой причине, мы рекомендуем избегать карт от крупных производителей. Если, все- таки, у вас имеется подобная карта, есть смысл проверить её, но имейте в виду, что покупка "ту же модели, которая у кого-то работала" может закончится плачевно.
18.1.2. Драйверы беспроводных устройств включённые в pfSense 1.2.3.
В этом разделе перечислены беспроводные драйверы включённые в pfSense 1.2.3, и чипсеты которые поддерживаются данными драйверами (со страниц руководства драйверов FreeBSD). В FreeBSD, руководство по драйверам относится к (4) разделу справки, как ath(4). (4) указывает на интерфейсы ядра, в данном случае сетевые драйверы. Драйверы перечислены в порядке частоты их использования в pfSense, основанном на информации списков рассылки и сообщений форумов.
Для получения более подробной информации о поддерживаемых картах и актуализации информации обратитесь к страницам pfSense wiki [http://doc.pfsense.org/index.php/Supported_Wireless_Cards]. (Соответственно, pfSense 2.0.1 использует оборудование доступное в FreeBSD 8.2. Кроме того, не следует забывать, что в ветке 8.x изменились принципы использования беспроводных интерфейсов путём введения виртуального интерфейса wlan0 - п.п.)
18.1.2.1. ath(4)
Поддерживает карты основанные на чипсетах Atheros AR5210, AR5211 и AR5212.
18.1.2.2. ral(4)
Драйвер беспроводных устройств Ralink Technology IEEE 802.11 - поддерживает карты основанные на чипсетах Ralink Technology RT2500, RT2501 и RT2600. 18.1.2.3. wi(4)
Драйвер Lucent Hermes, Intersil PRISM and Spectrum24 IEEE 802.11 - поддерживает карты основанные на чипсетах Lucent Hermes, Intersil PRISM-II, Intersil PRISM-2.5, Intersil Prism-3, и Symbol Spectrum24. Эти карты поддерживают только 802.11b.
18.1.2.4. awi(4)
Беспроводные драйверы AMD PCnetMobile IEEE 802.11 PCMCIA - поддерживают карты основанные на контроллерах AMD 79c930 с радио-чипсетом Intersil (ранее Harris) PRISM.
18.1.2.5. an(4)
Беспроводные драйверы Aironet Communications 4500/4800 - поддерживают адаптеры Aironet Communications 4500 и 4800, и их варианты.
18.2. Беспроводной WAN
Вы можете назначить свою беспроводную карту в качестве WAN интерфейса или OPT WAN в multi-WAN развертывании. В этом разделе описывается назначение и настройка беспроводного интерфейса WAN.
18.2.1. Назначение интерфейса
Если вы ещё не назначили беспроводной интерфейс, перейдите на страницу Interfaces -> Assign. Нажмите Add для добавления интерфейса OPT беспроводному адаптеру, или выберите WAN, если это необходимо. Рисунок 18.1, "Назначение интерфейса - беспроводной WAN", показывает назначение карты Atheros в качестве WAN.
Рисунок 18.1, "Назначение интерфейса - беспроводной WAN"
18.2.2. Конфигурирование беспроводной сети
Перейдите в меню Interfaces вашего беспроводного WAN интерфейса. Этот пример использует WAN, поэтому я буду работать на странице Interfaces -> WAN. Выберите тип конфигурации (DHCP, static IP и т.п.), и прокрутите экран до настройки беспроводной сети. Выберите режим инфраструктуры (BSS), заполните SSID и настройки шифрования, такие как WEP (Wired Equivalent Privacy) или WPA (Wi-Fi Protected Access), если планируете их использовать. Большинству беспроводных сетей не требуются никакие иные настройки, однако, если у вас есть особые требования, убедитесь что они выполнены в соответствующих настройках точки доступа. Затем нажмите кнопку Save.
18.2.3. Проверка статуса беспроводной сети
Прейдите на страницу States -> Interfaces для просмотра статуса сконфигурированного беспроводного интерфейса. Посмотрев на состояние интерфейса, вы сможете определить, что интерфейс успешно ассоциировался с выбранной точкой доступа. Статус Associated означает, что интерфейс успешно подключен, что и показано на рисунке 18.2, "Ассоциация беспроводного WAN". Если указан статус No carrier (нет несущей), ассоциация не произведена. Рисунок 18.3, "Отсутствие несущей на беспроводном WAN", показывает пример, когда я настроил SSID ASDF для несуществующей беспроводной сети.
Рисунок 18.3, "Отсутствие несущей на беспроводном WAN"
18.2.4. Отображение доступных беспроводных сетей и мощности сигнала
На странице Status -> Wireless, вы можете наблюдать беспроводные сети, которые видит ваш брандмауэр, что и показано на рисунке 18.4., "Статус беспроводных сетей". К этому моменту, ваш беспроводной интерфейс уже должен быть настроен.
Рисунок 18.4., "Статус беспроводных сетей"
18.3. Мосты и беспроводные сети
В конфигурации моста будет работать только беспроводной интерфейс в режиме точки доступа (hostap). Вы можете создать мост беспроводного интерфейса в hostap к любому другому интерфейсу для объединения двух интерфейсов в один широковещательный домен. Это может быть необходимо, если у вас имеются устройства или приложения которые должны находиться в одном и том же широковещательном домене для нормального функционирования. Более подробно, данный вопрос обсуждается в разделе 18.4.3.1, "Выбор моста или маршрутизации".
18.3.1. Беспроводная сеть BSS и IBSS и мосты
Из-за способа работы в режимах BSS (Basic Service Set) и IBSS (Independent Basic Service Set), и способа работы моста, вы не сможете объединить в мост беспроводной интерфейс в BSS или IBSS режиме. Каждому устройству, соединённому с беспроводным адаптером в режиме BSS или IBSS должен быть предоставлен один и тот же MAC адрес. При использовании моста, MAC адрес должен соответствовать актуальному MAC адресу присоединённого устройства. Это нормально - так работает мост. При использовании беспроводного устройства, единственный способ работы - когда все устройства за беспроводной картой имеют тот же самый MAC адрес в беспроводной сети. Более подробно, данная ситуация разъясняется экспертом по беспроводным сетям, Джимом Томпсоном (Jim Thompson) в списках рассылки [http://lists.freebsd.org/pipermail/freebsd- current/2005- October/056977.html], (http://lists.freebsd.org/pipermail/freebsd- current/2005-October/0 56977.html ). В качестве одного из примеров, когда VMware Player, рабочая станция или сервер настроены на конфигурацию моста с беспроводным интерфейсом, он автоматически транслирует его MAC адрес на беспроводную карту. Поскольку, в FreeBSD нет никакого способа просто транслировать MAC адрес, и из-за способа работы моста в FreeBSD, трудно найти любые обходные пути, похожие на те которые предоставляет VMware.
18.4. Использование внешней точки доступа
Если у вас есть беспроводная точка доступа или маршрутизатор, который вы хотите использовать в качестве точки доступа когда pfSense выступает в роли брандмауэра, существует несколько способов размещения беспроводной сети в вашей сети. В этом разделе мы рассмотрим наиболее часто используемые сценарии.
18.4.1. Переключение беспроводного маршрутизатора в точку доступа
Когда вы помещаете простой беспроводной маршрутизатор, подобный Linksys или D-Link в сеть с периметровым брандмауэром pfSense, функционирование беспроводной сети может быть сохранено путём включения беспроводного маршрутизатора как точки доступа. Следуйте шагам описанным в данном разделе. Эти шаги являются достаточно общими и должны быть выполнены для любого беспроводного устройства. Для обнаружения специфических особенностей вашего беспроводного маршрутизатора, обратитесь к его документации.
18.4.1.1. Отключите сервер DHCP
Сначала, вам необходимо отключить DHCP сервер, если он использовался ранее. Если вы используете для данной цели pfSense, то два DHCP сервера могут вызвать проблемы в сети.
18.4.1.2. Измените LAN IP
Далее, вам необходимо изменить LAN IP на неиспользуемый IP диапазон, на котором собственно будет находиться ваша точка доступа (обычно LAN). Вам потребуется назначить другой адрес для сохранения возможностей управления точкой доступа.
18.4.1.3. Подключите LAN интерфейс
Большинство беспроводных маршрутизаторов объединяют беспроводной интерфейс с внутренним LAN портом или портами. Это означает, что беспроводной интерфейс будет находиться в том же широковещательном домене и IP подсети что и проводные порты. Для маршрутизаторов со встроенными коммутаторами, любые порты коммутатора работают обычным способом. Вы же не хотите подключаться к порту WAN или Internet! Это переместит вашу беспроводную сеть в другой широковещательный домен и в результате приведёт к трансляции трафика между вашей беспроводной сетью и LAN и двойной трансляции трафика между вашей беспроводной сетью и Интернет. Такой уродливый дизайн, в ряде случаев, приведёт к проблемам, особенно если необходимо общаться между беспроводными клиентами и локальной сетью. Когда вы подключите LAN интерфейс, вы будете зависеть от дизайна вашей сети. Следующий раздел посвящается соображениям по выбору различных опций.
18.4.2. Мост беспроводной и локальной сети
Один из наиболее распространённых способов развёртывания беспроводной сети - подключение точки доступа непосредственно в тот же коммутатор на котором находятся хосты вашей локальной сети, и куда AP подключает беспроводных клиентов. Эта схема будет прекрасно работать, но предполагает ограниченный контроль над возможностями беспроводного клиента в плане связей с внутренними системами.
18.4.3. Мост беспроводной сети на интерфейсе OPT
Если вы хотите добиться максимального контроля над беспроводными клиентами, добавление интерфейса OPT в pfSense может оказаться наилучшим решением. Если вы хотите сохранить беспроводную и проводную сети в одной подсети и одном широковещательном домене, вы можете объединить интерфейс OPT с интерфейсом вашей локальной сети (LAN). Этот сценарий эквивалентен подключению точки доступа непосредственно в коммутатор, за исключением того, что поскольку pfSense находится в середине, она может фильтровать трафик беспроводной сети, обеспечивая защиту хостов локальной сети. Так же, при желании, вы можете разместить беспроводную сеть на выделенной IP-подсети, не объединяя интерфейс OPT на pfSense и назначив ему IP-подсеть вне диапазона вашей локальной подсети. Это даёт возможность осуществления маршрутизации между внутренней и беспроводной сетями, в соответствии с набором правил брандмауэра. Данная схема, обычно реализуется в крупных сетях, где к коммутатору подключено несколько точек доступа, а коммутатор, в свою очередь подключен к интерфейсу OPT pfSense. Кроме того, желательно форсировать подключение беспроводных клиентов к VPN, прежде чем позволить им подключение к внутренним сетевым ресурсам.
18.4.3.1. Выбор между мостом и маршрутизацией
Принцип выбора между мостом (использование той же IP подсети, что и LAN) или маршрутизацией (использование выделенной IP подсети для беспроводной сети) для беспроводных клиентов будет зависеть от сервисов, требуемых клиентам. Некоторые приложения и устройства, для нормального функционирования полагаются на широковещание. Например Apple AirTunes, не будет работать через два широковещательных домена, следовательно, если в беспроводной сети используется AirTunes и вы планируете использовать его, вам придётся использовать мост проводной и беспроводной сети. Другим примером могут являться медиа-серверы, используемые такими устройствами как Xbox 360 и Playstation 3. Они используют многоадресный и широковещательный трафик, который может функционировать только при использовании моста проводной и беспроводной сети. В множестве домашних сетевых сред имеются приложения и устройства которым требуется использование моста для объединение проводной и беспроводной сети. В большинстве корпоративных сетей нет приложений требующих использования моста. в конце концов, тип соединения будет зависеть от сетевых приложений и ваших личных предпочтений. Есть и несколько компромиссных решений, одним из которых является пакет Avahi. Он может слушать на двух различных широковещательных доменах и ретранслировать сообщения от одного домена к другому для обеспечения многоадресного DNS (типа Rendezvous или Bonjour) в целях исследования сети и сервисов. Сервер WINS (Windows Internet Name Service) является ещё одним примером, так как он позволяет просматривать сети с машинами Windows/SMB, даже если вы находитесь не в сети широковещательного домена.
18.5. pfSense как точка доступа
Используя беспроводную карту, поддерживающую режим hostap (ath(4), ral(4) и wi(4)), можно сконфигурировать pfSense в качестве беспроводной точки доступа.
18.5.1. Должен ли я использовать внешнюю точку доступа или pfSense как точку доступа?
Исторически сложилось, что функция точки доступа в FreeBSD часто страдала из-за проблем несовместимости с некоторыми беспроводными клиентами. С появлением FreeBSD 7.x ситуация улучшилась, однако и здесь можно обнаружить ряд несовместимых устройств. Данные трудности не всегда ограничиваются FreeBSD, но вы можете обнаружить, что, в ряде случаев, даже дешёвый класс потребительских беспроводных маршрутизаторов обеспечивает лучшую совместимость, чем точка доступа FreeBSD. Дома, я без проблем использую pfSense с MacBook Pro, Apple AirTunes, Mac mini G4, iPod Touch, Palm Treo и различными ноутбуками, Xbox360 и клиентами FreeBSD. Всё работает весьма надёжно. Существует возможность найти несовместимых клиентов для любой точки доступа. FreeBSD не является исключением. Я не рекомендую использовать функциональность точки доступа на старых версиях FreeBSD, особенно в m0n0wall на FreeBSD 4.x. Сегодня FreeBSD хорошо работает практически со всеми устройствами и возможно подойдёт для вашей сети. В настоящее время, список несовместимых устройств можно найти по адресу http://www.pfsense.org/apcompat.
18.5.2. Конфигурирование pfSense как точки доступа
Процесс конфигурирования pfSense для работы в качестве точки доступа (AP) весьма прост. Многие из опций должны быть вам знакомы, если вы раньше настраивали другие беспроводные маршрутизаторы, а некоторые могут показаться новыми, ели вы использовали беспроводное оборудование коммерческого класса. Существуют десятки способов настройки точки доступа и в большинстве случаев они зависят от вашей среды. Здесь, мы рассматриваем установку pfSense в качестве базовой AP которая использует шифрование WPA2 с AES. В данном примере, ExampleCo обеспечивает беспроводной доступ для ноутбуков в конференц-зале.
18.5.2.1. Подготовка беспроводного интерфейса
Прежде чем что-либо сделать, следует убедиться, что в маршрутизатор установлены соответствующие беспроводные карты и антены. Как было описано ранее, беспроводная карта должна быть назначена в качестве OPT-интерфейса и включена, прежде чем будет произведено последующее конфигурирование.
18.5.2.2. Описание интерфейса (Interface Description)
Использование точки доступа с именем "WLAN" (Wireless LAN) или Wireless, позволит достаточно просто определить её в списке интерфейсов. Если у вас имеется уникальный SSID, возможно, его, будет более удобно использовать в описании. Если pfSense будет управлять несколькими точками доступа, должен существовать способ более удобного различия, например, "WLANadmin" и "WLANsales". В данный момент, мы будем использовать имя ConfRoom.
18.5.2.3. Тип интерфейса/IP-адрес (Interface Type/IP Address)
Поскольку наша точка доступа будет находиться в отдельной IP-подсети, то необходимо установить значение Type в Static и указать IP-адрес и маску подсети. Поскольку, эта подсеть отлична от других интерфейсов, это может быть подсеть 192.168.201.0/24, не используемая в сети ExampleCo.
18.5.2.4. Стандарт беспроводной сети (Wireless Standard)
В зависимости от поддерживаемого оборудования, есть несколько возможностей выбора используемого стандарта беспроводной сети, в том числе 802.11b, 802.11g, 802.11g turbo, 802.11a и 802.11a turbo, а так же ряда других. В данном примере мы выберем 802.11g.
18.5.2.5. Режим работы беспроводной сети (Wireless Mode)
Установите значение поля Mode в Access Point, и pfSense будет использовать hostapd для работы в качестве точки доступа.
18.5.2.6. Service Set Identifier (SSID)
Собственно, данный параметр представляет собой имя точки доступа с точки зрения клиентов. Вы должны выбрать уникальный, но достаточно легко идентифицируемый SSID. Соответственно, мы используем в данном примере имя ConfRoom.
18.5.2.7. Ограничение доступа к 802.11g Only (Limiting Access to 802.11g Only)
Установка 802.11g only позволяет работать с точкой доступа, только клиентам поддерживающим стандарт не старее 802.11b. С учётом наличия, в некоторых средах, старых клиентов, этот параметр может быть востребованным. Некоторые устройства, такие как Nintendo DS и Palm Tungsten C совместимы только с устройствами 802.11b и для своей работы требуют смешанной сети. Оборотной стороной этого, является то, что точка доступа должна будет работать на скорости самого медленного устройства 802.11b. Например, в нашем конференц- зале клиенты будут использовать только новые ноутбуки, поддерживающие стандарт 802.11g, поэтому мы отметим данную опцию.
18.5.2.8. Intra-BSS Communication
Если вы отметили флаг Allow intra-BSS communication, беспроводные клиенты смогут непосредственно видеть друг друга, а не маршрутизировать весь трафик через точку доступа. Если клиентам необходим только доступ в Интернет, безопаснее снять данный флаг. В нашем случае, клиентам в конференц-зале, необходимо обмениваться файлами непосредственно, поэтому отметим данный флаг.
18.5.2.9. Скрытие SSID (отключение широковещания SSID - Disable SSID Broadcasting)
Как правило, точка доступа транслирует свой SSID, что позволяет клиентам обнаружить её и легко подключиться. По мнению некоторых людей, это может предоставлять угрозу безопасности, но в большинстве случаев удобство перевешивает риск безопасности. Некоторые преимущества скрытия SSID явно преувеличены, поскольку существует множество инструментов легко обнаруживающих скрытые сети. Для точки доступа нашего конференц-зала, мы оставим этот флаг не отмеченным, что позволит облегчить клиентам поиск точки доступа и использование её сервисов.
18.5.2.10. Выбор канала беспроводной сети
При выборе канала (Cannel), вам необходимо знать о наличии близлежащих точек доступа работающих на аналогичной частоте. Кроме беспроводных точек доступа, существуют беспроводные телефоны, устройства Bluetooth, видеоняни, видео передатчики, микроволновое печи и множество иных устройств, работающих на частоте 2.4ГГц, которые могут вызывать помехи. Часто, в можете использовать любой канал, пока клиент находится в непосредственной близости от точки доступа. Наиболее безопасно использовать 1, 6 и 11 каналы, поскольку их частотные полосы не пересекаются. Так же, вы можете указать Auto, чтобы адаптер самостоятельно выбрал наиболее подходящий канал, однако эта функция не работает с некоторыми беспроводными адаптерами. Если вы выбрали Auto, и что-то не работает, следует выбрать определённый канал. Для нашей сети, мы выберем канал 1.
18.5.2.11. Шифрование беспроводной сети (Wireless Encryption)
Сети 802.11 поддерживают три типа шифрования: WEP, WPA и WPA2. WPA2 с AES является самым безопасным выбором. Даже если вы не обеспокоены шифрованием эфирного трафика (которое должно присутствовать), данный тип шифрования обеспечивает дополнительные средства контроля доступа. Парольная фраза WPA/WPA2 работает аналогично WEP ключу на большинстве устройств; она действует подобно паролю в виде длинной строки шестнадцатеричных символов. Как и в случае выбора между 802.11b и 802.11g, некоторые старые устройства поддерживают только WEP и WPA, однако большинство современных адаптеров поддерживают WPA2. В нашем конференц-зале будет использоваться WAP2, поэтому необходимо отключить WEP. Для этого снимите флаг Enable WEP, и отметьте Enable WPA. Для использования только WPA2, установите WPA Mode в значение WPA2. Для WPA Pre-Shared Key, будем использовать excoconf213, и установим WPA Key Mode Management в значение Pre-Shared Key. При необходимости использования WPA2+AES, установите WPA Pairwise в значение AES. Примечание Для использования WPA2 на беспроводных клиентах Windows XP, необходимо наличие драйвера поддерживающего WPA2. Если вы используете интерфейс настройки беспроводных клиентов , предоставляемый Windows XP, для работы с точкой доступа WPA2, необходима установка Windows XP SP3 или наличие установленного патча Microsoft Knowledge Base article 917021 [http://support.microsoft.com/kb/917021].
18.5.2.11.1 Слабости шифрования беспроводных сетей
WEP, на протяжении многих лет, имеет известные и достаточно серьёзные проблемы безопасности, и не должен использоваться, если не является единственным доступным вариантом для используемых устройств. В большинстве случаев, WEP может быть взломан в течение нескольких минут и его не следует считать безопасным. TKIP (Temporal Key Integrity Protocol), являющийся частью AES, стал заменой WEP после его взлома. Он использует тот же базовый механизм, что и WEP, и следовательно так же уязвим для некоторых видов аналогичных атак. За последнее время подобные атаки становятся всё более и более успешными. На момент написания данной главы, TKIP было не так просто взломать как WEP, но вам, по возможности не следует его использовать, если у вас имеются устройства поддерживающие WPA и WPA2 с AES. WPA и WPA2 в сочетании с AES исключают недостатки присущие TKIP.
18.5.2.12. Завершение настройки AP
Предшествующих настроек должно быть достаточно чтобы запустить в работу точку доступа 802.11g с поддержкой шифрования WAP2+AES. Существует ряд иных параметров, которые могут использоваться для тонкой настройки поведения точки доступа, однако, в большинстве сред, они не являются необходимыми для её нормального функционирования. Когда вы закончите настройку, нажмите кнопку Save, а затем Apply Changes.
18.5.2.13. Настройка DHCP
Сейчас, когда мы создали отдельную сеть, нам потребуется включить DHCP, чтобы беспроводные клиенты могли автоматически получать IP-адреса. Перейдите на страницу Services -> DHCP Server, нажмите на закладке вашего беспроводного интерфейса (для нашего примера ConfRoom). Установите флаг Enable и необходимый диапазон адресов, а так же любые дополнительные опции. затем нажмите Save и Apply Changes. Для получения более подробной информации о конфигурировании DHCP смотрите раздел 21.1, "Сервер DHCP".
18.5.2.14. Добавление правил брандмауэра
Поскольку наш беспроводный интерфейс OPT, он не будет иметь правил брандмауэра по умолчанию. В крайнем случае, необходимо иметь правило для трафика из данной подсети к подсети назначения. Нашим пользователям понадобится доступ в Интернет и доступ к ресурсам другой сети. Разрешающее правило по умолчанию в данном контексте будет вполне уместно. Чтобы создать правило, перейдите на страницу Firewall -> Rules, а затем на вкладку беспроводного интерфейса (ConfRoom). Добавьте правило для прохождения трафика любого протокола, с адресом источника подсети ConfRoom, и любым назначением. Для получения детальной информации о создании правил брандмауэра, обратитесь к главе 6, "Брандмауэр".
18.5.2.15. Привязка клиентов
Вновь настроенная точка доступа должна появиться в списке доступных точек доступа вашего беспроводного устройства, в случае, если вы не отключили широковещание SSID. У вас должна появиться возможность связывать с ней клиентов, так же как с любой другой точкой доступа. Точный порядок связывания будет изменяться в зависимости от операционной системы, устройства и используемого драйвера, но в большинстве случаев процесс достаточно прост.
18.5.2.16. Просмотр статуса беспроводных клиентов
Если у вас есть беспроводной интерфейс настроенный в режиме точки доступа, связанные с ним клиенты будут перечислены на странице Status -> Wireless.
18.6. Дополнительная защита вашей беспроводной сети
В дополнение к надёжному шифрованию WPA или WPA2 с AES, некоторые пользователи могут использовать дополнительный уровень шифрования и аутентификации, прежде чем разрешить доступ к сетевым ресурсам. Два наиболее часто используемых решения - каптивный портал и VPN. Эти методы могут работать независимо от того, используете ли вы внешнюю точку доступа на OPT интерфейсе или внутренний беспроводной адаптер.
18.6.1. Дополнительная защита беспроводной сети с помощью каптивного портала
При включении каптивного портала на границе беспроводной сети, появляется возможность запроса аутентификации прежде, чем пользователь получит доступ к сетевым ресурсам. В корпоративных сетях обычно, развёртываемых с RADIUS аутентификацией Microsoft Active Directory, пользователи могут использовать полномочия AD для аутентификации в беспроводной сети. Конфигурирование каптивного портала рассматривается в главе 19, "Каптивный портал".
18.6.2 Дополнительная защита с VPN
Добавление каптивного портала обеспечивает дополнительный уровень аутентификации, но не предоставляет дополнительных средств защиты беспроводного трафика от прослушивания. VPN добавляет ещё один уровень аутентификации, прежде чем разрешить доступ к внутренней сети и Интернет, и предлагает дополнительный уровень шифрования беспроводного трафика. Конфигурирование выбранного типа VPN не будет отличаться от конфигурирования удалённого доступа, однако потребуется настроить правила брандмауэра на интерфейсе pfSense для разрешения VPN трафика от ваших беспроводных клиентов.
18.6.2.1. Настройка правил брандмауэра для IPsec
Рисунок 18.5, "Правила позволяющие только IPsec из беспроводной сети", показывает минимальные требования для позволения доступа только по IPsec на WAN IP. Разрешение использования ping на интерфейсе WLAN окажет помощь в устранение неполадок.
Рисунок 18.5, "Правила позволяющие только IPsec из беспроводной сети"
18.6.2.2. Настройка правил брандмауэра для OpenVPN
Рисунок 18.6, "Правила разрешающие только OpenVPN из беспроводной сети", показывает минимальные требования, необходимые для разрешения доступа только по OpenVPN на IP WLAN. Разрешение использования ping на интерфейсе WLAN окажет помощь в устранение неполадок. Здесь мы предполагаем, что используется порт UDP 1194 (по умолчанию). Если вы выберете иной протокол или порт, следует соответственно изменить правила.
Рисунок 18.6, "Правила разрешающие только OpenVPN из беспроводной сети"
18.6.2.3. Конфигурирование правил брандмауэра для PPTP
Рисунок 18.7, "Правила позволяющие только PPTP из беспроводной сети", показывает минимальные требования для позволения доступа только по PPTP на WAN IP. Разрешение использования ping на интерфейсе WLAN окажет помощь в устранение неполадок.
Рисунок 18.7, "Правила позволяющие только PPTP из беспроводной сети"
18.7. Настройка безопасной точки доступа
Возможно, ваша компания пожелает предоставлять доступ в Интернет для клиентов или гостей, используя для этого существующее подключение Интернет. Это может быть благом для вашего бизнеса и клиентов, но может так же подвергать опасности вашу сеть, в том случае, если настройки произведены не корректно. В этом разделе мы рассмотрим средства предоставления доступа для гостей и клиентов, обеспечивающие защиту вашей внутренней сети.
18.7.1. Несколько брандмауэров
Для обеспечения лучшей защиты между частной и публичной сетью, следует получить у провайдера по крайней мере два публичных IP адреса и использовать для частной сети второй брандмауэр. Это позволит использовать преимущество входа в публичную сеть с различных публичных IP адресов, и вы сможете легко локализовать возникшую проблему. Брандмауэр защищающий вашу частную сеть будет виден вашей публичной сети так же как иные хосты Интернет.
18.7.2. Единственный брандмауэр
В случае, когда использование нескольких брандмауэров экономически не выгодно или не желательно, вы можете защитить внутреннюю сеть путём подключения вашей сети к OPT интерфейсу pfSense. Вы должны назначить OPT интерфейс выделенной частной IP-подсети и настроить правила брандмауэра, позволяющие доступ к Интернет, но не к вашей внутренней сети.
18.7.3. Соображения по контролю доступа и выходной фильтрации
Кроме запрета трафика из публично доступной сети к частной сети, есть некоторые дополнительные моменты, которые необходимо рассмотреть при конфигурировании точки доступа.
18.7.3.1. Ограничение доступа к сети
Хотя многие точки доступа используют открытые беспроводные сети без аутентификации, следует рассмотреть дополнительные меры защиты, предотвращающие злоупотребление сетью. На вашей беспроводной сети следует рассматривать возможность использования WPA или WPA2 и предоставление пароля для ваших гостей и клиентов. Это может быть парольная фраза на плакате в зоне ожидания, сообщение в гостевой комнате или предоставление пароля по запросу. Кроме того, следует рассмотреть вопрос о предоставление каптивного портала на pfSense (глава 19, "Каптивный портал"). Это поможет предотвратить использование беспроводной сети вне здания.
18.7.3.2. Отключение внутренних связей (Intra-BSS коммуникаций)
Если точка доступа позволяет, вам не следует использовать intra-BSS коммуникаций. Это предотвратит общения беспроводных клиентов между собой, что защитит пользователей от преднамеренных нападений других пользователей беспроводной сети и непреднамеренных нападений вирусов.
18.7.3.3. Фильтрация исходящего трафика
Рассмотрим принципы конфигурования исходящей фильтрации. Основная задача, позволить доступ к Интернет и не позволять доступ к внутренней сети - достаточно разобрана, но необходимо рассмотреть дополнительные ограничения. Чтобы избежать попадания вашего публичного IP-адреса в чёрные списки инфицированных систем или спам-ботов, следует рассмотреть вопрос о блокировании SMTP. Альтернатива, позволяющая клиентам использовать свой SMTP, но ограничивающая влияние спам-ботов - создание правила разрешающего SMTP с указанием максимального числа записей состояний на хост (Maximum state entries per host) в расширенных опциях (Advanced Options) брандмауэра на странице Firewall -> Rules -> Edit. Убедитесь, что это правило находится выше любых иных правил проверяющих SMTP трафик, и укажите нижний предел. Поскольку почтовый клиент или сервер не всегда корректно закрывают соединение, не следует устанавливать предел слишком низко, чтобы не блокировать законных пользователей, и значение не более пяти соединений должно быть вполне разумным. вы можете указать значение Maximum state entries per host для всех правил брандмауэра, однако имейте ввиду, что некоторые протоколы требуют для работы десятки и сотни подключений. HTTP и HTTPS могут потребовать многочисленных соединений для загрузки одной страницы, в зависимости от её содержания и поведения браузера, т.ч. не следует выставлять слишком сильные ограничения. Вам необходимо сбалансировать желания пользователей защититься от рисков, связанных с предоставлением доступа к Интернет и определить политику соответствующую вашей среде.
18.8. Устранение проблем беспроводных подключений
Когда речь идёт о беспроводной связи, возникает множество ситуаций когда что-то может пойти не так. Проблемой может стать неисправное оборудование, наличие радиопомех, несовместимость драйверов и ПО. В данном разделе будут рассмотрены некоторые из наиболее распространённых проблем, с которыми приходится сталкиваться пользователям и разработчикам pfSense.
18.8.1. Проверка антенны
Прежде чем начинать разбираться с проблемами, дважды-трижды проверьте подключение антенн. Если она привинчивающаяся - убедитесь, что все соединения затянуты. Для карт mini-PCI, проверьте правильность установки в разъёмах. Антенные хвосты (pigtails) весьма хрупкие и могут легко ломаться. После нескольких подключений/отключений может потребоваться их замена.
18.8.2. Попробуйте несколько клиентов или беспроводных карт
Чтобы исключить возможную несовместимость между беспроводными функциями pfSense и клиентами, попробуйте работу нескольких устройств. Если проблема повторяется для различных устройств и моделей, вероятно, присутствуют проблемы с конфигурацией или оборудованием сервера.
18.8.3. Низкий уровень сигнала
Если сигнал слабый, даже в непосредственной близости от точки доступа, снова проверьте антенны. Для mini-PCI с двумя внутренними разъёмами - попробуйте переключиться на второй разъём. Так же, вы можете попробовать изменить канал или настройки мощности передачи в конфигурации беспроводного интерфейса. Для mini-PCI карт следует проверить коннекторы антенных хвостовиков на предмет их целостности.
- 18.03.2019г. Доступна версия pfSense 2.5.0-Development
- 07.01.2019г. Вышла новая версия pfSense 2.4.4-RELEASE-p2
- 03.12.2018г. Вышла новая версия pfSense 2.4.4-RELEASE-p1
- 24.09.2018г. Вышла новая версия pfSense 2.4.4-RELEASE
- 14.05.2018г. Вышли новые версии pfSense 2.4.3-RELEASE-p1 и 2.3.5-RELEASE-p2
- 29.03.2018г. Вышла новая версия pfSense 2.4.3-RELEASE
- 14.12.2017г. Вышли новые версии pfSense 2.4.2-RELEASE-p1 и 2.3.5-RELEASE-p1
- 12.10.2017г. Вышла новая версия pfSense 2.4.0-RELEASE. Описание и ссылки.
- 20.07.2017г. Вышла новая версия pfSense 2.3.4-p1 RELEASE. Ссылки на скачивание.
- 20.05.2016г. В продаже появились новые платформы APU.2C