Controlando sua rede LAN e WIFI em uma mesma instalação do pfSense

Configuração de rede sem fio no pfSense quase sempre gera confusão, provavelmente pela flexibilidade que o pfSense oferece.

Neste tutorial será detalhado duas configurações diferentes para que você possa decidir qual melhor para seu ambiente de rede.

De maneira simples, as configurações de rede sem fio no pfSense pode ser autônoma, ou em bridge.

Configurações autônomas usam um intervalo de IP’s únicos, que é diferente da rede local (LAN).

Já nas configurações em bridge a interface wireless é ligada com outra interface (geralmente a LAN), que estende a faixa de endereços de rede em ambas as interfaces.

A maioria dos roteadores e firewall (inclusive os modem/wifi) são configurados com LAN e Wi-Fi em bridge e é assim que a maioria das pessoas geralmente tentam replicar usando pfSense.

Parece bastante simples? É realmente… no entanto onde fica complicado é decidir a forma de gerir o tráfego entre essas interfaces e onde aplicar as suas regras de firewall.

Geralmente, se configura as interfaces LAN e WiFi em modo bridge com as regras de firewall para ambas as interfaces. Isso permite uma configuração mais granular com um conjunto potencialmente diferente de regras de firewall para usuários de LAN e WiFi, ampliando a rede/domínio em ambas as interfaces.

Independentemente de sua configuração, a primeira coisa que você precisa fazer é definir a sua interface wireless.

Navegue até Interfaces / OPT1, em seguida, marque a caixa de seleção Ativar na página de configuração de interface.

Caso não tenha OPT1, navegue até Interface > (assign), e clique no botão + para adicionar uma interface, associando a interface física na lista.

Eu recomendo as seguintes configurações para a interface wireless.

  • Set Name: WIFI
  • Set Standard: 802.11g
  • Set Channel: Auto
  • Configure: Regulatory Settings; relevant for your country
  • Set Mode: Access Point
  • Set SSID: SSID of the wireless network
  • Check: 802.11g only
  • Check: Enable WPA
  • Set The PSK: Your pre-shared key for clients to access the network
  • Set WPA mode: WPA2
  • Set WPA Key Management Mode: Pre Shared Key
  • Set Authentication: Open System Authentication
  • Set WPA Pairwise: AES

Se você estiver configurando sua rede WiFi como autônoma, em seguida você precisará definir o tipo como “static” e digitar um endereço IP exclusivo para a interface Wi-Fi do roteador pfSense. Para a configuração de bridge deixá-lo como ‘none’.

Clique em Salvar e, em seguida, em Aplicar alterações.

Configuração Standalone (autônomo) 

A configuração da interface Wireless esta quase pronta. Agora basta ir até o menu Services e no drop down escolher Servidor DHCP.  Você vai precisar selecionar a guia Wi-Fi e, em seguida, preencher as opções de DHCP para sua rede sem fio.

Com o modo autônomo, você provavelmente vai querer permitir que os seus clientes Wi-Fi apenas acessem a Internet e nada mais. Você pode fazer isso com as seguintes regras.

1

Apenas uma observação, a regra de destino é marcada como: ‘!RFC1918’, que é um alias. O ponto de exclamação no início (!) Significa ‘não’, invertendo a lógica. Portanto, a regra é lida assim: qualquer tráfego TCP/UDP não destinado a um endereço RFC1918 (rede privada) sera enviado direito para a interface WAN.

Se você quiser criar um alias RFC1918, vá até Firewall e no drop down selecione Aliases e crie um alias com as seguintes opções:

2

Caso você queira permitir a conectividade entre suas redes LAN e Wi-Fi você irá precisar adicionar as regras de firewall apropriadas para ambas as interfaces.

Configuração Bridge

Essa configuração assume que você já tem uma rede LAN funcionando com DHCP ativado, distribuindo endereços IP’s aos clientes que se conectam. Confira o tutorial – configuração inicial pfSense com Modem ADSL para obter instruções.

Navegue até Interfaces / (assign) e clique na aba Bridge. Crie uma nova bridge com o seguinte (dica você pode selecionar mais de uma interface, mantendo pressionada a tecla CTRL).

3

Depois de salvar a configuração, volte até Interfaces / (assign) e na aba Interface Assignment, atribuir a interface bridge recém criada à LAN.

Clique em salvar e aplicar as alterações, em seguida, navegue até Firewall/Rules e certifique-se de que você marcou como Default permitir que todas as regras LAN sejam repassadas à interface de WIFI.

Você pode adicionar regras de rejeição ou configurar regras de firewall de saída adequadas para qualquer interface. Por exemplo, você pode querer rejeitar conexões SMTP para os hosts no segmento WIFI.

 

4

Se você tiver problemas com a configuração wireless, o primeiro local à verificar é o log do firewall. Navegue até Status/System Logs e clique na guia Firewall para verificar os pacotes que estão sendo bloqueados. Dessa forma você vai verificar que o esta sendo bloqueado é devido a um regra de rejeição ou a não existência de regra de permissão válida para  interface.

 

This entry was posted in Artigos, HowTo - Como fazer. Bookmark the permalink.

Leave a Reply

Your email address will not be published. Required fields are marked *