CyberLab — wirtualne cyber laboratorium. Część 4

Tytułem wstępu

Jeśli ktoś przeprowadził instalację z wersji starszej niż 2.4.2 to ekran logowania różni się od tego przedstawionego na screenach w poprzedniej części CyberLAB. Ciekawe jakie są Wasze opinie na temat zmian, który ekran logowania bardziej Wam się podoba?

Etap pierwszy - przygotowania

Po zalogowaniu do WebGUI naszym oczom ukazuje się pulpit z przeglądem podstawowych informacji o naszym PfSense. Po lewej stronie mamy podstawowe informacje o systemie, po lewej z wersji 2.3.x po prawej 2.4.x.

Jak widzicie, w jednym miejscu mamy przedstawione wszystkie podstawowe informacje na temat platformy, na której uruchomiony jest nasz PfSense. Prezentowane są również informacje o aktualnym wykorzystaniu zasobów czy obciążeniu systemu w danej chwili. Jest to bardzo przydatne, gdy zaczynamy obserwować anomalie w wydajności, bardzo szybko pozwala zidentyfikować jakich zasobów zaczyna brakować do sprawnego działania. W tej sekcji prezentowane są również informacje o dostępnych aktualizacjach dla naszego PfSense i od tego właśnie zaczniemy.

W oknie informacji systemowych widnieje informacja o dostępnej aktualizacji:

Wystarczy kliknąć na ikonkę umieszczoną tuż za komunikatem o dostępności nowszej wersji aby uruchomić proces aktualizacji.

Mamy dostępne dwie zakładki "System Updates" oraz "Update Settings"

1. System Update - czyli po prostu aktualizacja systemu. Po kliknięciu przycisku Confirm uruchomiony zostanie proces aktualizacji.
2. Update Settings - zakładka z ustawieniami aktualizacji. Możemy tutaj wybrać wersję produkcyjną lub rozwojową z której chcemy korzystać i z której mają być pobierane aktualizacje. Możemy również w tym miejscu wyłączyć automatyczne sprawdzanie i informowanie o aktualizacjach na stronie głównej, czyli na "dashboardzie". W jakichkolwiek zastosowaniach nie będących eksperymentami, korzystamy z wersji stabilnej, jeśli chcecie aktywnie wspomóc rozwój PfSense i testować nowości wprowadzone do systemu możecie przełączyć się na gałąź rozwojową.

Aktualizacja

Niezależnie od ustawień, aktualizację każdorazowo przeprowadzamy manualnie. Nie ma tutaj systemu automatycznych aktualizacji. Nie oznacza to jednak konieczności ręczneg0 pobierania, instalowania, kompilowania czy konfigurowania. Cały proces sprowadza się do zaakceptowania nowej wersji systemu i tym samym uruchomienia procesu aktualizacji. Całość przebiega w pełni automatycznie. Zostaną pobrane wszystkie niezbędne komponenty, pluginy itd oraz zostanie przeprowadzona aktualizacja. Muszę powiedzieć Wam, że proces aktualizacji w PfSesne jest dopracowany i działa bardzo dobrze, moim zdaniem nie jeden wiodący dostawca mógłby brać przykład jak powinno to wyglądać. Od czasu kiedy korzystam z PfSense, a jest to około 6‑7 lat nie zdarzyło mi się żeby aktualizacja uszkodziła działająca instalację :). Cały przebieg aktualizacji jest logowany w oknie konsoli, dzięki temu możemy prześledzić jego przebieg krok po kroku. W przypadku wystąpienia błędów uniemożliwiających wykonanie aktualizacji, nastąpi wycofanie zmian aby uniknąć uszkodzenia systemu.

Etap aktualizacji przebiega dwuetapowo. W pierwszej części następuje weryfikacja dostępnych aktualizacji, pobranie aktualizacji oraz weryfikacja pobranych aktualizacji oraz możliwości prawidłowego wykonania aktualizacji. Po pozytywnym zweryfikowaniu następuje właściwa aktualizacja systemu.

Przejdźmy zatem proces aktualizacji do najnowszej wersji systemu. Tak przebiega proces instalacji:

W chwili obecnej dostępne są dwie wersje PfSense 2.3.x oraz 2.4.x. PfSense bazuje na FreeBSD dlatego zasadnicza różnica pomiędzy wersją 2.3 a 2.4 to wersja systemu bazowego. Dla 2.3 jest to FreeBSD 10.3-RELEASE, a dla wersji 2.4 jest to FreeBSD 11.1-RELEASE-p1. W wersji 2.4 porzucono całkowicie architekturę 32bit, którą uznano za przestarzałą i ograniczająca wydajność oraz możliwości. Dlatego jeśli planujecie instalację na 32 bit sprzęcie pamiętajcie o pobraniu właściwej wersji.

Oczywiście różnic pomiędzy wersjami jest dużo więcej, wspomniane wcześniej w moim przekonaniu są najistotniejsze. Obie wersje funkcjonalnie niemal się nie różnią, ale w nowszej gałęzi przez użycie nowszej bazy systemowej niektóre mechanizmy są wydajniejsze, bezpieczniejsze, pozbawione niektórych problemów itd... ;)

O wszystkich zmianach można przeczytać w obszernych dziennikach zmian towarzyszących każdej wydanej wersji dostępnych na stronie dokumentacji PfSense: Wersje PfSense.

Proces aktualizacji weryfikuje obecną wersję systemu, ustala najnowszą wersję możliwą do aktualizacji i dokonuje aktualizacji. Po restarcie systemu możecie zauważyć, że wersja systemu uległa zmianie, oraz że dostępna jest kolejna aktualizacja.

Powtarzamy więc proces aktualizacji, tym razem zauważcie że będzie to zmiana wersji systemu!

A tak to wygląda z poziomu konsoli systemowej:

Po ponownym restarcie, podczas którego aktualizowane są pluginy i komponenty systemowe system uruchamia się w najnowszej wersji :).

PfSense - podstawy

Teraz gdy nasz system jest aktualny możemy wykonać kolejną migawkę, tak na wszelki wypadek gdyby przyszło nam wrócić do wersji wyjściowej i zacząć konfigurację "od zera". Nie jest to oczywiście wymagane ale może okazać się niezwykle przydatną opcją ;).

Bezpośrednio po zalogowaniu się do PfSense na pulpicie, mamy wspomniane wcześniej standardowo zdefiniowane panele informacyjne. Widok pulpitu możemy dostosować indywidualnie do własnych potrzeb tak aby znalazły się na nim tylko te informacje jakie są nam potrzebne.

Wszystkie dostępne opcje ukryte są w górnym menu. Menu zostało podzielone na poszczególne sekcje:

1. SYSTEM - zawiera wszystkie ustawienia dotyczące całego systemu PfSense mają one oddziaływanie globalne. W tej sekcji znajdują się następujące opcje: Advanced - Ustawienia zaawansowane Cert. Manager - zarządzanie certyfikatami General Setup - ostawienia ogólne, podstawowa konfiguracja High Avail. Sync - konfiguracja wysokiej dostępności - HA Logout (admin) - wyloguj Package Manager - zarządzanie dodatkowymi pluginami Routing - konfiguracja routingu Setup Wizard - kreator początkowej konfiguracji Update - aktualizacja systemu User Manager - zarządzanie użytkownikami
2. INTERFACES - tutaj znajdują się wszystkie ustawienia związane z zarządzaniem interfejsami sieciowymi, a są one następujące: Assignments - umożliwia skonfigurowanie interfejsu WAN - umożliwia konfiguracje przypisanego interfejsu WAN LAN - umożliwia konfiguracje przypisanego interfejsu LAN Jeśli dodamy kolejne interfejsy będą one widoczne w tym menu.
3. FIREWALL - w tym miejscu znajdują się ustawienia związane z firewallem a co za tym idzie z bezpieczeństwem, znajdują się tutaj: NAT - tutaj znajdują się wszystkie ustawienia związane z NAT Rules -zarządzanie regułami firewalla Schedules - harmonogramy Traffic Shaper - umożliwia limitowanie tzw. "przycinanie" transferów Virtual IPs - umożliwia przypisywanie i zarządzanie wirtualnymi adresami IP
4. SERVICES - w tym menu znajdują się ustawienia wszystkich usług, które udostępnia nasz router. W tej sekcji znajdują się następujące pozycje: Captive Portal - portal autoryzacji dostępu do sieci DHCP Relay - pośrednik dla serwerów DHCP IPv4 DHCP Server - serwer DHCP IPv4 DHCPv6 Relay - pośrednik dla serwerów DHCP IPv6 DHCPv6 Server & RA - serwer DHCP IPv6 DNS Forwarder - pośrednik dla zapytań DNS DNS Resolver - usługa rozwiązywania nazw DNS Dynamic DNS - usługa dynamicznego DNS, niezbędna przy zmiennym IP IGMP Proxy - proxy dla IGMP Load Balancer - prosty load balancer NTP - usługi serwera czasu PPPoE Server - Serwer PPPoE SNMP - demon usługi SNMP UPnP & NAT-PMP - obsługa UPnP & NAT-PMP Wake-on-LAN - usługa zdalnego uruchamiania urządzeń podłączonych do sieci LAN.
5. VPN - w tej sekcji znajdziemy wszystkie ustawienia związane z usługami VPN. Dostępne w tej sekcji ustawienia to: IPsec - ustawienia VPN IPSEC L2TP - ustawienia VPN L2TP OpenVPN - ustawienia OpenVPN
6. STATUS - w tej sekcji mamy możliwość sprawdzenia statusu działania poszczególnych usług w systemie, dlatego nie będę ich rozpisywał ;)
7. DIAGNOSTICS - ta sekcja menu odpowiada za szeroko rozumianą diagnostykę, ale także mamy tu opcje dotyczące backupu/przywracania ustawień, przywrócenia ustawień domyślnych (reset ustawień) a także restart lub wyłączenia.
8. HELP - dostęp do dokumentacji i innych opcji pomocy

Ufff... objaśnienie (bardzo, ale to bardzo ogólne) dostępnych opcji mamy za sobą więc możemy przejść do następnego etapu, którym będzie konfiguracja interfejsów sieciowych.

Etap drugi - konfiguracja interfejsów sieciowych

Konfiguracją interfejsów sieciowych dostępna jest z poziomu menu INTERFACES. Na tym etapie mamy skonfigurowane dwa interfejsy WAN i LAN. Interfejs WAN służy jako interfejs komunikacyjny do strefy INTERNET, natomiast interfejs LAN jest naszą siecią HOST-ONLY. Żeby uniknąć pomyłek oraz żeby nasza konfiguracja była bardziej czytelna zmienimy nazwy interfejsów. Dla sieci, w której będą działały nasze serwery nazwa sieci będzie LAN_SRV, dla sieci w której będą stacje robocze LAN_PC oraz sieć HOST-ONLY czyli obecny interfejs LAN przemianujemy na MGMT. W celu przypisania sieci interfejsów sieciowych oraz konfiguracji sieci udajemy się do menu interfaces a następnie klikamy Assignments.

Klikamy przycisk "Add" w celu dodania interfejsu sieciowego, operację powtarzamy dla wszystkich dostępnych interfejsów. Jeśli przypisaliśmy już wszystkie niewykorzystane interfejsy, zapisujemy zmiany konfiguracji klikając przycisk "Save".

Po przypisaniu interfejsów nasza konfiguracja wygląda jak poniżej.

Samo przypisanie interfejsów jest niewystarczające żeby były one wykorzystywane. Aby móc z nich korzystać należy je włączyć i jeśli to konieczne odpowiednio skonfigurować. Można to zrobić bezpośrednio z listy przypisanych interfejsów klikając na nazwę danego interfejsu. Zostaniemy przekierowani na stronę konfiguracji wybranego interfejsu. Zacznijmy zatem od zmiany nazwy interfejsu LAN na MGMT. Klikamy na nazwę LAN i w polu Description zmieniamy nazwę interfejsu. Następnie zapisujemy zmiany. Od tej chwili interfejs dostępny jest pod nazwą MGMT i są one widoczne w całej konfiguracji PfSense.

Analogicznie postępujemy z interfejsami OPT1 oraz OPT2 zmieniając ich nazwy na: OPT1 = LAN_SRV - ustawiamy adres IP 10.1.100.1 oraz uruchamiamy interfejs OPT2 = LAN_PC - ustawiamy adres IP 10.2.200.1 oraz uruchamiamy interfejs

W tej chwili mamy router który obsługuje nam cztery interfejsy sieciowe. Jeden interfejs jest wykorzystywany do komunikacji ze światem (internet), jeden do zarządzania (MGMT), jeden do obsługi sieci dla serwerów (LAN_SRV) oraz jeden dla stacji roboczych (LAN_PC).

Konfigurację interfejsów mamy za sobą, możemy przejść do następnego etapu, konfiguracji podstawowych usług dla naszych sieci LAN_SRV oraz LAN_PC.

Etap trzeci - konfiguracja usług sieciowych

O ile w sieci LAN_SRV adresacja konfigurowana ręcznie może być nawet konfiguracja pożądaną, o tyle w sieci LAN_PC raczej będzie mało wygodną opcją. Dlatego dla sieci LAN_PC skonfigurujemy serwer DHCP, aby nasze stacje robocze automatycznie uzyskiwały adresację IP umożliwiając im tym samym komunikację w sieci LAN. Żeby skonfigurować serwer DHCP udajemy się do menu SERVICES ->DHCP Server. Jak widzicie na poniższym screenie dla każdego z interfejsów sieciowych (poza WAN) możliwe jest skonfigurowanie odrębnego serwera DHCP. Konfigurujemy serwer DHCP dla LAN_PC jak poniżej.

Na tym etapie konfiguracji, uruchamiamy serwer DHCP w podstawowej minimalnej konfiguracji umożliwiającej pobranie adresacji stacjom roboczym w tej sieci. Jeśli wszystko wykonaliśmy poprawnie to na maszynie wirtualnej podłączonej do sieci LAN_PC powinniśmy otrzymać adresację z naszego świeżo skonfigurowanego serwera DHCP.

Status przydzielonych adresów IP możemy w każdej chwili zweryfikować przechodząc do sekcji DHCP Leases, która prezentuje się następująco:

W tej części to już wszystko. Dotarliśmy do etapu, w którym mamy wstępnie skonfigurowany router umożliwiający nam dostęp do internetu* oraz serwer DHCP, dzięki któremu komputery w sieci LAN_PC automatycznie otrzymają adresację IP. Dzięki temu będą miały możliwość skorzystania z dostępu do sieci bez konieczności ręcznej konfiguracji adresacji IP.

W następnej części będzie nam potrzebna VM w sieci LAN_PC, dlatego proszę przygotujcie maszynę wirtualną z dowolnym systemem, może to być windows, linux czy też inny system przez Was wybrany. Będzie nam potrzebny do sprawdzenia czy konfiguracja jaka wykonaliśmy jest prawidłowa, czy serwer DHCP działa prawidłowo i czy przyznaje właściwą adresację, oraz czy jest możliwy dostęp do internetu z sieci LAN_PC :) Dla osób, które mają ograniczona ilość pamięci RAM polecam użycie jednej z mini dystrybucji linuxa np:

1. http://www.puppylinux.org
2. https://sparkylinux.org/
3. lub np ubuntu lub mint ale w wersji z lekkim managerem pulpitu np. cinnamon w linux mint, który wymaga 512M RAM.

* - Na koniec jako praca domowa pytanie: czy konfiguracja jaka wykonaliśmy umożliwia dostęp do internetu w sieci LAN_PC?