Configurazione di un server PPPoE su PfSense 1.2.3


PfSense è una distribuzione FreeBSD orientata al firewalling molto apprezzata.
Tra le tante funzioni di base e le altre “implementabili” molto interessante (anche se poco documentata) è la possibilità di creare una autenticazione di tipo PPPoE.
Il PPPoE è, in pratica, il tipo di autenticazione dell’utente utilizzato dai provider.
Ma come si realizza un servizio del genere con PfSense ?
Partendo dalla release 1.2.3 di PfSense scegliamo dalla dashboard ed avendo come riferimento i seguenti parametri:

WAN: 192.168.1.234
LAN: 192.168.2.1

“Services” –> “PPPoE Server”

Abilitiamo il servizio cliccando su

Enable PPPoE server

e continuiamo settando:

Creiamo pure i profili degli utenti che dovranno accedere al servizio.
In questa sede possiamo pure decidere di attribuire all’utente un IP assegnato staticamente

A questo punto della configurazione l’utente può accede al servizio ma non andrà da nessuna parte in quanto ancora non sono state definite le tabelle di routing.
Selezioniamo …

“Firewall” –> “NAT” –> “Outbound” –> “Manual Outbound NAT rule generation (AON – Advanced Outbound NAT)”

e creiamo la seguente regola per quanto riguarda il NAT …

Per quanto riguarda le regole del firewall andiamo su …

“Firewall” –> “Rules” –> “PPPoE Server”

… e creiamo la seguente regola:

A questo punto possiamo configurare il router oppure creare una connessione PPPoE tramite il wizard di Microsoft Windows.

Annunci

Come creare una regola per PfSense


Esempio di regola per il firewall PFsense
Tratto da Wikipedia

pfSense e’ un firewall software Open Source basato su FreeBSD; ha lo scopo di fornire un potente, sicuro e completamente configurabile firewall utilizzando l’hardware di un comune PC. Al cuore del sistema c’è FreeBSD e il firewall PF (Packet Filter) in prestito da OpenBSD da cui ne deriva appunto la sigla.
Dispone attualmente di diverse feature che fino a poco tempo fa appannaggio solo di firewall commerciali, tra cui :
– Stateful Firewall (livello 3 della pila ISO/OSI) – DHCP Server – NAT (Network address translation) – HA High Availability grazie a CARP che permette di configurare due firewall su due macchine identiche per replicarsi e autosostituirsi nel caso di guasto di una delle due (il software pfsync si occupa di replicare lo stato firewall, la tabella della connessioni e le regole del firewall permettendo di switchare al secondo firewall senza che le connessioni di rete attive cadano) – Load Balancing (Bilanciamento del carico) per distribuire il carico di lavoro tra 2 o più server. Utilizzato normalmente per web server, mail server, ecc. – VPN (Virtual Private Network) di tipo IPsec, OpenVPN e PPTP. – Grafici RRD ed informazioni in tempo reale. – DNS dinamici

Nella immagine potete trovare un esempio di regola. Nel caso specifico la regola blocca tutti le connessioni provenienti dall’interno della rete (identificata come “LAN”) verso l’esterno (“WAN”) sulla porta 3389 (“Microsoft remote desktop”).

Avviare in automatico Firestarter


Per fare avviare in automatico il programma Firestarter procedere come segue:

* Dal menu “Sistema” scegliere “Preferenze” e poi “Sessioni”
* Seleziona “Programmi d’avvio”
* Inserire il comando sudo firestarter -start-hidden
* Modificare il file /etc/sudoers usando il comando visudo e inserendo alla fine del file la riga:

username ALL=(root) NOPASSWD: /usr/sbin/firestarter

username è il nome utente con il quale ci si logga

In caso di problemi (non si riesce più ad eseguire sudo, sempre con visudo modificare etc/sudoers cambiando la riga:

Defaults !lecture,tty_tickets,!fqdn

con questa che segue:

Defaults !lecture,tty_tickets,!fqdn,env_reset,env_keep+=”DISPLAY HOME XAUTHORIZATION”

Effettuare un test preliminare con il comando visudo -c e in caso di
successo, riavviare il sistema per rendere permanenti le modifiche.