Neste post, será mostrado como configurar seu Firewall pfSense para se conectar à Internet e atuar como roteador para sua rede local. Iremos utilizar uma máquina física para instalar o pfSense, embora funcione muito bem em uma máquina virtual.
Iremos configurar o firewall para negar todo o tráfego de entrada e utilizaremos Network Address Translation (NAT) para o nosso tráfego de saída.
Faremos também algumas configurações avançadas de NAT para acessar o modem ADSL que estará configurado como Bridge.
======================================================================
Primeiro passo é instalar o pfSense. Esta é uma tarefa simples e não é o foco deste tutorial, segue este vídeo que ensina passo-a-passo as etapas de instalação.
[youtube]http://youtu.be/BBE-Fr7P_8I?list=PL7B9387DE30B577E5[/youtube]
======================================================================
Depois de instalar o pfSense, é hora de configurar a máquina, uma das primeiras coisas a fazer é definir as interfaces de rede.
Uma das interfaces precisa ser definida como a conexão WAN, que terá uma ligação direta com seu modem ADSL. E a outra é a conexão LAN, esta é para sua rede interna, se tivesse mais uma placa de rede poderia ter uma interface exclusiva para WLAN que estaria ligada a um Access Point.
Como você pode observar, a máquina pfSense está no centro da rede. Todas as solicitações de usuários precisam passar primeiro por ele.
Para o seu próprio bem-estar, pode ser uma boa idéia usar cabos UTP coloridos. Eu pessoalmente uso o vermelho para minha conexão WAN e azul para minha conexão LAN. Lembre-se o cabo vermelho vem diretamente do modem. Todas as funcionalidades que você, como administrador da rede quiser implementar, deverá ser diretamente no PfSense.
======================================================================
Com o pfSense instalado, você pode conectar-se ao mesmo utilizando o IP configurado inicialmente enquanto estava instalando. Entre com o usuário: admin e senha: pfsense
Você pode utilizar o assistente de configuração, basta seguir os passos relevantes solicitados, e você acabará na tela principal do pfSense – “Status Dashboard“.
O painel é grande e você pode configurá-lo adicionando widgets para mostrar um resumo do status de várias interfaces de rede, taxas de transferência e serviços ativos. Basta clicar no botão + no topo da página para adicionar widgets adicionais. Vá em frente e divirta-se.
O que nos interessa no momento é a configuração da interface WAN, para que possamos se conectar à Internet.
Clique no menu interface e escolha WAN no menu suspenso, para ser direcionado a página de configuração da interface WAN.
Aqui você precisa selecionar o tipo como “PPPoE“, pois o pfSense irá usar essa interface para controlar o modem e realizará a autenticação real com o provedor.
Na próxima seção, logo mais abaixo, você terá que digitar o usuário e senha utilizados para conectar ao seu provedor de Internet.
E, finalmente, deixar marcado a opção “Block private networks” e “Block bogon networks“, já que não queremos aceitar pacotes vindos pela interface WAN com um endereço de origem pertencente a uma rede privada/bogon. O provedor não deve encaminhá-los para você de qualquer maneira, é o que representa esses checkboxs.
Clique em “Save” e “Apply Changes” para torná-las ativas.
Com a interface WAN pronta, precisamos configurar o seu modem para funcionar em modo bridge para que possamos ter tudo ligado e acessar a Internet.
A primeira coisa que você deve fazer é usar um navegador Web para se conectar ao seu velho modem e configurar a interface WAN para o ‘Modo Bridge‘.
Depois de ter logado, você terá que encontrar o tipo de WAN. Dependendo do seu modem, pode ser em “WAN” ou “Internet” ou algo assim. Se não conseguir encontrá-lo você vai precisar consultar o manual do proprietário, caso não tenha, é fácil localizá-lo pesquisando pelo número do modelo do modem com a frase “guia do usuário”. Haverá um manual do usuário PDF na internet em algum lugar.
Aqui segue um exemplo de configuração para Modo Bridge para um modem modelo Dlink, muito comum no Brasil.
A segunda coisa é a criação de um novo endereço IP da LAN. Atualmente, o seu modem terá um endereço IP a partir de sua sub-rede LAN, possivelmente o mesmo endereço que o seu novo roteador pfSense. Você precisa configurá-lo para algo completamente diferente, que nos permitirá criar a rota entre o modem e o pfSense quando tudo estiver conectado.
Eu configurei o meu com um endereço 172.16.15.1 com uma máscara de sub-rede 255.255.255.252. Sim, com 252 no final. A razão é que uma sub-rede 252 (CIDR /30) contém apenas dois IPs utilizáveis, um será usado pelo modem e o outro pelo pfSense.
Por quê? porque precisamos exatamente de apenas dois IPs, e não haverá mais dispositivos nesta sub-rede. Eu já vi pessoas utilizando /24 (254 IPs utilizáveis) apenas para dois dispositivos! Coisa de preguiçoso!
Depois de realizar essas alterações é só salvar e aplicar. Provavelmente você não será mais capaz de acessar seu modem, a menos que altere o endereço IP do computador que está utilizando para configurá-lo. Você pode fazer isso se realmente quiser checar se todas as configurações foram aplicadas e se esta tudo ok.
Lembre-se, usando o meu exemplo acima, o IP do seu computador será 172.16.15.2 com uma máscara de sub-rede 255.255.255.252 e você irá definir seu gateway para 172.16.15.1 sem nenhum servidor de DNS. Abra seu navegador e aponte para o novo IP do modem e será carregada a página de login.
Agora que seu modem está configurado, conecte-o à porta WAN do computador onde encontra-se instalado o pfSense e ligue a máquina. Uma vez que o modem esteja ligado, vá até o menu Status > Interfaces no pfSense.
Você verá uma lista de interfaces, uma das quais será a WAN que irá ter um botão de conectar/desconectar em PPoE. Se a interfaces WAN não conectou-se automaticamente, clique no botão “Conectar” para iniciar uma conexão.
Uma vez que esteja conectado, é possível visualizar as informações recebidas da operadora (campos acinzentado), como IP, Gateway e DNS’s.
Se as informações de conexão não aparecer, não adianta ficar clicando várias vezes no botão “Conectar”, reinicie seu modem e, em seguida, reiniciar o seu router pfSense.
Você pode reiniciar o pfSense indo até o menu ‘Diagnostics‘ e selecionando ‘Reboot‘. Se ao retornar e você ainda não tiver uma conexão PPPoE / WAN, então você terá que verificar as configurações do seu modem/router novamente para garantir que elas estão corretas. A configuração mais importante é configurá-lo para operar em ‘modo Bridge‘.
Se o seu roteador pfSense mostrar que a interface WAN esta conectada e você tiver um endereço IP público atribuido pela sua operadora, você já deve ser capaz de acessar a Internet. No entanto, há algumas coisas a verificar antes prosseguir:
- Dynamic Host Control Protocol (DHCP)
- Network Time Protocol daemon (OpenNTPD)
- Regra de firewall LAN
Para verificar as configurações de DHCP, vá até o menu “Services” > “DHCP Server“, depois clique na guia LAN. Primeiro, certifique-se de que o checkbox “Enable DHCP server on LAN interface” encontra-se marcada “e, em seguida, certifique-se que há um bom range de IPs para alocar os dispositivos que irão se conectar à LAN”.
Meu range DHCP 100-199 (default), que é bastante suficiente para a LAN e deixa IPs no início e no final da sub-rede a ser atribuído estaticamente, se necessário.
Precisamos também definir o endereço IP da LAN do roteador pfSense no campo ‘NTP Servers‘, que você pode encontrar nesta mesma tela, um pouco mais abaixo, e clique no botão Advanced.
Clique no botão “Save” para salvar as alterações e, em seguida, vá até ‘Services‘ e ‘OpenNTPD‘. Tudo o que nós iremos fazer aqui é associarmos à interface LAN. Como abaixo.
O servidor NTP permitirá que os hosts da LAN possam sincronizar o relógio com o do roteador pfSense garantindo que todos tenham o horário ajustados no momento de inicializar. Clique no botão “Save” para salvar as alterações e, em seguida, navegue até ‘Firewall‘ e ‘Rules‘.
Por padrão pfSense tem como regra “Negar tudo para todas as interfaces, exceto a LAN”. Clique na guia “LAN” (WAN é exibida por padrão) e apenas certifique-se de que o acesso da LAN esteja liberado para todo domínio (replicando a função do modem/router).
Isto irá permitir que todos os hosts da LAN possam acessar a Internet e qualquer outra coisa que o roteador encaminhar.
Seu roteador pfSense já deve ter isso, no entanto, se isso não acontecer, você pode adicioná-lo clicando no botão + do lado direito e selecionando as seguintes opções.
Marque ‘Default allow LAN to any rule‘, clique em “Save” e depois “Apply Changes“.
Agora você deve ser capaz de acessar a Internet a partir de um dispositivo conectado na LAN.
A última coisa a fazer é configurar o pfSense para ser capaz de acessar o modem caso seja necessário alguma ação administrativa, sem a necessidade de ter que desligá-lo e conectá-lo a um computador toda vez.
Para fazer isso, precisamos adicionar uma outra interface. Navegue até “Interfaces” e “(assign)”, em seguida, clique no botão + no canto inferior direito que seja adicionado uma outra linha à lista de interfaces.
A nova linha será chamada “OPT1“ou algo similar. Você precisa clicar no menu associado com a nova interface para baixo e selecione “vr0” na lista.
Este deve ser o mesmo que da interface WAN listadas acima. A interface de WAN terá um PPPOE0 (vr0), seguido por seu nome de login do provedor/operadora.
Você precisa definir à nova interface adicionado a mesma porta que está listada entre parênteses – vr0. Ou seja, com esta configuração, estamos usando a mesma interface física para duas funções diferentes.
Agora navegue até “interfaces” e “OPT1“. Clique na caixa de seleção Habilitar e renomeie o formulário interface “OPT1” para “MOD” (apreviação de Modem). Defina o tipo como “Static” e digite o segundo endereço IP a partir do intervalo / 30, configuramos o modem para usar isso antes lembra? Na sequência do exemplo acima isso seria 172.16.15.2/30.
Na seção “Gateway“, clique em ‘add a new one‘ e digite ‘ MODEM, 172.16.15.1 e Bridged ADSL Modem” para “Gateway Name, IP Gateway e Descrição ‘, respectivamente. Clique em “Salvar Gateway”. Certifique-se de que ambos os blocos de redes privadas e Bogon estejam marcados e clique em Salvar.
Para certificar-se que o tráfego destinado ao modem esta saindo pelo IP correto da LAN (172.16.15.2) é necessário configurar um NAT de saída. Navegue até “Firewall” e “NAT” e clique na aba ‘Outbound‘.
Primeiro você terá que verificar a opção “Manual Outbound NAT rule generation” e clique em”Save“. Isso irá preencher a tabela com as regras NAT de saída. Certifique-se de que não existe uma regra para a interface ‘MOD’ como na imagem seguinte.
Se não houver, clique no botão 
na extrema direita e entre as seguintes opções.
Digite “tráfego NAT/LAN para o modem /30″ ou algo semelhante para a descrição e clique em”Save“. Você será levado de volta à lista de NAT principal e você verá a nova regra na parte inferior.
Você provavelmente vai querer passar a nova regra NAT para o topo da lista, e para isso, clique na caixa de seleção associada com a nova regra e, em seguida, clique no botão < à direita da regra. Uma vez que a regra tenha sido movida, clique em “Apply Changes” e tudo estará ok.
Agora você deve ser capaz de acessar o seu modem diretamente pelo IP http://172.16.15.1 (se seguiu o meu exemplo). Se você tiver definido um nome de domínio durante a configuração inicial do pfSense (‘Sistema’ e ‘Configuração geral’) você pode adicionar uma entrada de DNS estático para o modem, navegando até “Services” e “DNS Forwarder“.
Role a página e adicione uma nova entrada na rubrica “Host overrides” com as seguintes opções.
Certifique-se de que a opção DNS Forwarder esteja habilitada e clique em ‘Save‘, depois em ‘Apply Changes‘ e você deve ser capaz de acessar o seu modem via http://modem.example.com usando o exemplo acima.
Você pode fazer isso com outros hosts estáticos que você instalar e configurar em sua rede local, que será muito mais fácil de lembrar do que um monte de endereços IP (servidores de impressão, NAS e outros hosts).
Você também pode achar útil marcar a opção “Register DHCP leases in DNS forwarder“. Isso permitirá você acessar dispositivos registrados via DHCP por seus nomes de host em vez de seus endereços IP.
Desfrute do acesso à Internet com o seu PODEROSO ROTEADOR pfSense
Leitura complementar
Confira este prático guia IPv4 de sub-redes
Campeão fiz os passos parecidos aos seus, mudei apenas a configuração da wan pois a minha WAN está pegando o DHCP do meu powerbox, mas no caso a minha LAN não tem conexão com a internet. No meu pfsense consigo pingar se utilizar a wan mas na lan isso não acontece. Tenho que fazer alguma configuração?
Boa tarde!!! fiz os passos de configurar o pppoe, porém percebi que a internet parou de funcionar, pois não utilizo proxy transparente. Quando marco para usar o proxy transparente ai funciona. Teria alguma forma de funcionar não usando proxy tranparente com pppeo. Ah não usando pppoe funciona a internet sem proxy transparente
Ola, estou instalando um pfsense na minha rede, recebo internet da net com moden net com dhcp ativo 192.168.1.1, meu pfsense pega ip .58,
A minha lan esta configurada 192.168.4.1
Nao consigo acessar internet
Excelente tutorial!
Acabo de adquirir um Vault da Protectli e fiz as configurações com o roteador da Oi utilizando o seu tutorial.
Muito obrigado. Você me ajudou bastante.