Инструкция по развертыванию pfSense на серверах организаций образования

Инструкция по развертыванию pfSense на серверах
организаций образования
Инструкция по развертыванию pfSense на серверах организаций образования
1. Принятые сокращения
ОО – организация образования.
СА – станция администратора.
2. Область применения
Настоящая инструкция ОБЯЗАТЕЛЬНА к применению во всех ОО, при разворачивании и
сопровождении образа pfSense.for.School.v7.
3. Общая информация
pfSense — дистрибутив для создания межсетевого экрана/маршрутизатора, основанный на
FreeBSD. pfSense предназначен для установки на сервер, известен своей надежностью и предлагает
функции, которые часто можно найти только в дорогих коммерческих межсетевых экранах.
Настройки можно проводить через web-интерфейс что позволяет использовать его без
знаний базовой системы FreeBSD.
pfSense обычно применяется в качестве периметрового брандмауэра, маршрутизатора, и в
качестве VPN-клиента.
Рисунок 1. Схема подключения серверов ОО.
Для повышения уровня защищенности ОО необходимо установить маршрутизатор с
поддержкой межсетевого экрана (фаервола, брандмауэра), IDS (Система обнаружения атак) и IPS
(Система предотвращения атак).
Все виртуальные серверы и вся локальная сеть должны находиться ЗА фаерволом, как
показано на рисунке .
Для того чтобы посмотреть как настроены виртуальные свичи (коммутаторы) и какой из
них имеет доступ в Интернет, обратитесь к последней версии «Инструкции по развертыванию
ESXi на серверах организаций образования».
Страница 2 из 33
Инструкция по развертыванию pfSense на серверах организаций образования
ВНИМАНИЕ.
НЕОБХОДИМО В ТОЧНОСТИ ВЫПОЛНЯТЬ ТРЕБОВАНИЯ НАСТОЯЩЕЙ
ИНСТРУКЦИИ.
Если какие-то проверки работы pfSense не прошли, обратитесь за помощью по контактам:
Руслан Сагалов, 8 7172 702000 (3382), 8 701 770 76 08, sagalov_r@nitec.kz.
Мадьяров Жанат, 8 7172 702000 (3381), 8 701 500 7007, 8 707 858 18 20.
Страница 3 из 33
Инструкция по развертыванию pfSense на серверах организаций образования
4. Образ pfSense и файлы конфигурации
Для
установки
pfSense
необходимо
скачать
весь
каталог
..//ftp.e.edu.kz/Servers/Firewall/pfSense.for.School.vX (где X версия образа), содержимое каталога
..//ftp.e.edu.kz/Servers/Firewall/Config, содержимое каталога ..//ftp.e.edu.kz/Servers/Firewall/[-Полное название домена региона --], а также файл с IP-адресами ОО соответствующий вашему
региону из каталога ..//ftp.e.edu.kz/school/Servers/Списки IP ОО.
Таблица 1. Названия регионов.
Регион
г. Астана
г. Алматы
Акмолинская область
Актюбинская область
Алматинская область
Атырауская область
Восточно-Казахстанская область
Жамбылская область
Западно-Казахстанская область
Карагандинская область
Костанайская область
Кызылординская область
Мангистауская область
Павлодарская область
Северо-Казахстанская область
Южно-Казахстанская область
Полное название домена региона
astana.edu.local
almaty.edu.local
akmola-obl.edu.local
aktobe-obl.edu.local
almaty-obl.edu.local
atyrau-obl.edu.local
vko.edu.local
jambyl-obl.edu.local
zko.edu.local
karagandy-obl.edu.local
kostanay-obl.edu.local
kyzylorda-obl.edu.local
mangystau-obl.edu.local
pavlodar-obl.edu.local
sko.edu.local
uko.edu.local
Содержимое ..//ftp.e.edu.kz/Servers/Firewall/pfSense.for.School.vX:
pfSense.for.School.vX.ovf – файл конфигурации виртуальной машины;
pfSense.for.School.vX-disk1.vmdk – файл виртуального жесткого диска виртуальной
машины.
В каталоге ..//ftp.e.edu.kz/Servers/Firewall/[-- Полное название домена региона --]
находятся файлы конфигурации индивидуальные для каждого региона.
В каталоге ..//ftp.e.edu.kz/Servers/Firewall/Config находятся файлы конфигурации общие
для всех регионов.
ВНИМАНИЕ!
Если версии файлов в каталогах FTP БОЛЬШЕ, чем версия образа pfSense.for.School.vX,
то эти файлы ОБЯЗАТЕЛЬНО надо импортировать в развернутый образ в КАЖДОЙ ОО.
Файлы из каталога с общими настройками для всех регионов должны импортироваться,
если их версии БОЛЬШЕ, чем версия образа pfSense.for.School.vX.
Файлы из каталога с индивидуальными настройками для каждого региона должны
импортироваться ПРИ РАЗВЕРТЫВАНИИ ОБРАЗА, и если их версии БОЛЬШЕ, чем версия
образа pfSense.for.School.vX.
Страница 4 из 33
Инструкция по развертыванию pfSense на серверах организаций образования
ВНИМАНИЕ!
Так как, скачиваемые с FTP-сервера дистрибутивы программ, дистрибутивы операционных
систем, инструкции по развертыванию и списки ОО время от времени обновляются,
РЕКОМЕНДУЕТСЯ ПРОВЕРЯТЬ ИХ ВЕРСИИ ПЕРЕД КАЖДЫМ ВЫЕЗДОМ в ОО.
Страница 5 из 33
Инструкция по развертыванию pfSense на серверах организаций образования
5. Разворачивание образа pfSense
Руководствуясь инструкцией «Инструкция для ОЦИТ ESXi» разверните образ pfSense.
6. Изменение конфигурации виртуальной машины pfSense
После того как виртуальная машина развернулась необходимо настроить сетевые
интерфейсы.
Для этого откройте окно настройки виртуальной машины (Edit Settings из контекстного
меню машины).
Щелкните по Network Adapter 1 и в разделе Network Connection выберите виртуальную
сеть с доступом в Интернет (как показано на рисунке , сеть Internet с доступом в Интернет).
Рисунок 2. Выбор виртуальных сетей.
Аналогично для Network Adapter 2 выберите локальную сеть.
Нажмите кнопку Ок для сохранения изменений.
Страница 6 из 33
Инструкция по развертыванию pfSense на серверах организаций образования
7. Снятие снимка с виртуальной машины
Для сохранения настроек и возможности возврата к эталонному образцу в случае
неправильной конфигурации необходимо сделать снимок машины.
Для этого, как показано на рисунке кликните значок на панели инструментов.
Рисунок 3. Снятие снимка виртуальной машины.
В открывшемся окне укажите имя снимка и текущую дату как показано на рисунке .
Рисунок 4. Название снимка виртуальной машины.
Нажмите Ок чтобы снять снимок. После окончания процесса появится возможность
запустить машину.
Страница 7 из 33
Инструкция по развертыванию pfSense на серверах организаций образования
8. Настройка pfSense
Для запуска виртуальной машины нажмите кнопку на панели инструментов, как показано
на рисунке .
ВНИМАНИЕ.
Из-за того, что при первом запуске pfSense пытается синхронизовать системное время с
сервером в Интернете, при этом не имея доступа к Интернет, запуск pfSense может длиться более
15 мин.
Рисунок 5. Запуск виртуальной машины.
Страница 8 из 33
Инструкция по развертыванию pfSense на серверах организаций образования
9. Ассоциация назначений сетевых интерфейсов
Перейдите на вкладку Console главного окна, дождитесь полной загрузки pfSense и
приглашения ввести логин (рис. ).
Логин: ocit
Пароль: Cfvsq#ckj;ysq#gfhjkm («Самый сложный пароль» только на английском и вместо
пробелов #)
Рисунок 6. Доступ к консоли pfSense.
Система отобразит главное меню и приглашение выбрать пункт.
Пункты выбираются по их порядковым номерам.
Выберите пункт главного меню под номером 1 Assign Interfaces (ассоциация интерфейсов)
как показано на рисунке и нажмите Enter.
Рисунок 7. Главное меню консоли pfSense.
Страница 9 из 33
Инструкция по развертыванию pfSense на серверах организаций образования
На рисунке сетевой интерфейс, обозначенный желтой рамкой, должен быть подключен к
Интернет, и соответствовать Network Adapter 1 в свойствах виртуальной машины.
Сетевой интерфейс, обозначенный зеленой рамкой, должен быть подключен к локальной
сети ОО, и должен соответствовать Network Adapter 2 в свойствах виртуальной машины.
Откройте настройку сетевых адаптеров в свойствах виртуальной машины, и проверьте
правильность выбранного сетевого интерфейса по полю MAC Address (рис. ).
Рисунок 8. Ассоциация сетевых интерфейсов.
ВНИМАНИЕ.
WAN интерфейс это тот, который подключен к Интернет.
LAN интерфейс это тот, который подключен к локальной сети ОО.
На вопрос о необходимости VLAN надо ответить отрицательно – n (от англ. no) (рисунок
10, коричневая рамка) и нажмите Enter.
На приглашение ввести идентификатор интерфейса WAN ввести em0 (рисунок 8, синяя
рамка) и нажмите Enter.
Далее, на приглашение ввести идентификатор интерфейса LAN ввести em1 (рисунок 8,
голубая рамка) и нажмите Enter.
На приглашение указать дополнительный интерфейс (рисунок 8, красная рамка) надо
просто нажать Enter.
Страница 10 из 33
Инструкция по развертыванию pfSense на серверах организаций образования
Для сохранения настроек в последнем вопросе ввести y (от англ. yes) (рисунок 8,
оранжевая рамка) и нажмите Enter.
После применения настроек появится главное меню.
Страница 11 из 33
Инструкция по развертыванию pfSense на серверах организаций образования
10. Установка IP-адресов
Перед тем как назначить внешний IP-адрес необходимо убедиться, что нужный IP-адрес не
занят другим сервером.
Для это необходимо с сервера AD пропинговать IP-адрес согласно столбцу pfSense
(внешний) и соответствующей строке ОО из в файла с IP-адресами ОО.
Если нужный IP-адрес отвечает (пинги идут), необходимо выяснить на какой виртуальной
машине или на каком компьютере (если он подключен напрямую к модему) установлен этот
сетевой адрес и поменять его на другой свободный из пула внешних сетевых адресов ОО.
Далее для установки IP-адреса pfSense, выберите пункт главного меню под номером 2 Set
Interface(s) IP address (установка IP-адреса сетевых интерфейсов) как показано на рисунке и
нажмите Enter.
Рисунок 9. Главное меню консоли pfSense.
В появившемся приглашении введите порядковый номер сетевого интерфейса WAN (рис.
10, желтая рамка) и нажмите Enter.
Страница 12 из 33
Инструкция по развертыванию pfSense на серверах организаций образования
Рисунок 10. Установка внешнего IP-адреса.
На вопрос о получении IP-адреса по DHCP надо ответить отрицательно – n (от англ. no)
(рисунок 10, зеленая рамка) и нажмите Enter.
В следующем шаге введите IP-адрес согласно столбцу pfSense (внешний) и
соответствующей строке ОО из в файла с IP-адресами ОО (рисунок 10, голубая рамка) и нажмите
Enter.
Далее необходимо указать префикс пула внешних адресов ОО согласно столбцу Префикс
(внешний) и соответствующей строке ОО из в файла с IP-адресами ОО (рисунок 10, коричневая
рамка рамка) и нажмите Enter.
При запросе шлюза WAN нажмите Enter.
Далее, на вопрос о получении IP-адреса по DHCP6 надо ответить отрицательно – n (от
англ. no) и нажмите Enter.
На строке для ввода IPv6-адреса нажмите Enter.
На вопрос о переключении на HTTP надо ответить отрицательно – n (от англ. no) (рисунок
10, сиреневая рамка) и нажмите Enter.
После применения настроек появится главное меню pfSense.
Выберите пункт меню под номером 2 Set Interface(s) IP address (установка IP-адреса
сетевых интерфейсов) как показано на рисунке и нажмите Enter.
Страница 13 из 33
Инструкция по развертыванию pfSense на серверах организаций образования
Рисунок 11. Установка внутреннего IP-адреса.
В появившемся приглашении введите порядковый номер сетевого интерфейса LAN
(рисунок 13, желтая рамка) и нажмите Enter.
В следующем шаге введите IP-адрес согласно столбцу pfSense (внут) и соответствующей
строке ОО из в файла с IP-адресами ОО (рисунок 13, голубая рамка) и нажмите Enter.
Далее необходимо указать префикс локальной сети ОО согласно столбцу Префикс
(внутренний) и соответствующей строке ОО из в файла с IP-адресами ОО (рисунок 13, коричневая
рамка рамка) и нажмите Enter.
На запрос о шлюзе LAN и на запрос об адресе IPv6 необходимо нажать Enter.
На вопрос включить DHCP сервер надо ответить отрицательно – n (от англ. no) (рисунок
13, зеленая рамка) и нажмите Enter.
На вопрос о переключении на HTTP надо ответить отрицательно – n (от англ. no) (рисунок
13, сиреневая рамка) и нажмите Enter.
После применения настроек появится главное меню pfSense.
Выберите пункт меню под номером 5 Reboot system (перезагрузить систему) и нажмите
Enter.
На вопрос о подтверждении перезагрузки ввести y (от англ. yes) и нажмите Enter.
Страница 14 из 33
Инструкция по развертыванию pfSense на серверах организаций образования
ВНИМАНИЕ.
Если ассоциация адресов была произведена не верно, то доступ к WEB-интерфейсу будет
заблокирован. В таком случае необходимо идентифицировать внешний и внутренний сетевые
интерфейсы по MAC-адресам в свойствах виртуальной машины, правильно ассоциировать
интерфейсы и назначить корректные IP-адреса в главном меню pfSense.
Страница 15 из 33
Инструкция по развертыванию pfSense на серверах организаций образования
11. Доступ к WEB-интерфейсу pfSense
Для доступа к WEB-интерфейсу pfSense, введите назначенный ему на локальном
интерфейсе IP-адрес в WEB-браузер (Internet Explorer, Mozilla Fire Fox и т. п.).
Рисунок 12. Окно авторизации pfSense.
В появившемся окне введите логин и пароль.
Страница 16 из 33
Инструкция по развертыванию pfSense на серверах организаций образования
12. Системная панель pfSense
На первой странице интерфейса pfSense отображена информация полезная при анализе
состояния системы.
Рисунок 13. Информация о системе.
Бордовая рамка – текущие дата и время, должны соответствовать часовому поясу ОО.
Красная рамка – DNS серверы, должны быть 8.8.8.8, 127.0.0.1.
Оранжевая рамка – загруженность процессора, зависит от интенсивности работы
пользователей ОО. Критичным является длительная максимальная загрузка процессора, например,
в неурочное время..
Желтая рамка – использование памяти зависит от интенсивности работы пользователей
ОО. Если длительное время память используется но 100%, то возможно, что система дала сбой
или ей действительно не хватает памяти.
Зеленая рамка – использование дискового пространства. При 100% заполнении диска
система будет давать сбои.
Страница 17 из 33
Инструкция по развертыванию pfSense на серверах организаций образования
Рисунок 14. Информация о сетевых интерфейсах.
Список сетевых интерфейсов. Если стрелочка зеленая, значит интерфейс включен.
Рисунок 15. Информация о шлюзах.
Шлюз Казахтелекома, если надпись красная, значит проблемы со связью, модемом или
внешний IP-адрес, назначенный pfSens’у, занят другим сервером.
Рисунок 16. Информация о IPSec туннелях.
Список активных VPN-туннелей. Если цифра «1» во втором столбце, значит VPN-туннель
отключен.
Рисунок 17. Информация о службах.
Страница 18 из 33
Инструкция по развертыванию pfSense на серверах организаций образования
Список служб. Значки служб должны быть зелеными. Если значок красный нажмите на
кнопку перезапуска службы (рисунок 19, красная рамка).
13. Настройка шлюза по умолчанию
В меню System выберите пункт Routing.
В открывшемся окне кликните кнопку редактирования шлюза (рисунок 20).
Рисунок 18. Шлюзы.
В поле Gateway введите шлюз из столбца Шлюз Казахтелекома соответствующей строки
ОО из файла с IP-адресами ОО и нажмите кнопку Save.
Рисунок 19. Настройка шлюза.
14. Настройка сетевых интерфейсов через WEB-интерфейс
Так как IP-адреса всех интерфейсов были настроены из главного меню pfSense в консоле
виртуальной машины, изменять их через WEB-интерфейс нет необходимости.
Однако для интерфейсов необходимо установить правильный шлюз.
Выберите пункт WAN в меню Interfaces.
Страница 19 из 33
Инструкция по развертыванию pfSense на серверах организаций образования
В открывшемся окне нужно выбрать правильный шлюз и на (рисунок 22) и нажать кнопку
Save.
Рисунок 20. Настройка внешнего сетевого интерфейса.
Выбрав пункт LAN в меню Interfaces, надо установить шлюз None (отсутствует) на рисунке
23 и нажать кнопку Save.
Рисунок 21. Настройка внутреннего сетевого интерфейса.
Страница 20 из 33
Инструкция по развертыванию pfSense на серверах организаций образования
15. Импортирование конфигурации
Так как время от времени необходимо корректировать конфигурацию pfSense изменения в
настройках будут распространяться в виде xml-файлов, которые надо импортировать.
В каталоге ..//ftp.e.edu.kz/Servers/Firewall/[-- Полное название домена региона --]
находятся файлы конфигурации индивидуальные для каждого региона.
В каталоге ..//ftp.e.edu.kz/Servers/Firewall/Config находятся файлы конфигурации общие
для всех регионов.
ВНИМАНИЕ!
Если версии файлов в каталогах FTP БОЛЬШЕ, чем версия образа pfSense.for.School.vX,
то эти файлы ОБЯЗАТЕЛЬНО надо импортировать в развернутый образ в КАЖДОЙ ОО.
Файлы из каталога с общими настройками для всех регионов должны импортироваться,
если их версии БОЛЬШЕ, чем версия образа pfSense.for.School.vX.
Файлы из каталога с индивидуальными настройками для каждого региона должны
импортироваться ПРИ РАЗВЕРТЫВАНИИ ОБРАЗА, и если их версии БОЛЬШЕ, чем версия
образа pfSense.for.School.vX.
Рисунок 22. Версия развернутого образа pfSense.
Версию образа pfSense можно посмотреть в разделе Growl на странице Notifications, выбрав
пункт Advanced в меню System.
Если в поле Registration Name вписано PHP-Growl, то версия развернутого образа меньше
v7.1.
В качестве примера импортируем конфигурацию VPN-туннеля.
Для этого выберите пункт Backup/Restore из меню Diagnistics.
В разделе Restore configuration, в поле Restore area выберите пункт IPSEC (рис. 23).
Нажав кнопку Brows (Обзор) выберите файл ipsec-config.xml.
Нажмите кнопку Restore configuration.
Страница 21 из 33
Инструкция по развертыванию pfSense на серверах организаций образования
Рисунок 23. Импортирование конфигурации VPN-туннеля.
Аналогичным образом можно импортировать другие настройки, выбрав соответствующие
разделы:
aliases-config.vX.xml – раздел Aliases,
config-sys.vX.xml – раздел All,
filter-config.vX.xml – раздел Firewall Rules,
nat-config.vX.xml – раздел NAT,
dnsmasq-config.vX.xml – раздел DNS Forwarder,
dhcpd-config.vX.xml – раздел DHCP Server.
Страница 22 из 33
Инструкция по развертыванию pfSense на серверах организаций образования
16. Редактирование псевдонимов
В меню Firewall выберите пункт Aliases.
Все псевдонимы, с префиксом LAN_ (рисунок 24) необходимо отредактировать, изменив
подсеть «10.0.0» на подсеть, указанную в файле с IP-адресами ОО.
Рисунок 24. Редактирование псевдонимов.
Для редактирования нажмите на иконку
.
Рисунок 25. Изменение IP-адреса псевдонима.
Исправьте введенный IP-адрес на адрес из подсети ОО.
Нажмите кнопку Save.
Страница 23 из 33
Инструкция по развертыванию pfSense на серверах организаций образования
Выполните указанные действия для всех псевдонимов, с локальными IP-адресами.
Рисунок 26. Применение изменений.
После изменения нажмите на кнопку Apply changes вверху страницы (рисунок 4).
Страница 24 из 33
Инструкция по развертыванию pfSense на серверах организаций образования
17. Отключение правил блокирования Snort. Редактирование белого списка Snort.
Если Вы ОБСОЛЮТНО уверены в том, что Snort блокирует какой-нибудь сервер по
ошибке. То можно добавить сетевой адрес этого сервера в список подавления тревоги.
В меню Services выберите пункт Snort.
Перейдите на страницу Snort Interfaces.
В строке WAN нажмите на иконку
для редактирования настроек интерфейса.
На странице WAN Settings, в разделе Choose a suppression or filtering file if desired
(Выберите список отключения тревоги) в выпадающем списке выберите пункт SuppressSnortAlert.
Рисунок 27. Выбор списка подавления тревоги.
Нажмите на кнопку Save для сохранения.
Для добавления исключения перейдите на страницу Alerts (Тревоги).
В столбце SRC (исходящий адрес) найдите IP-адрес, который Snort блокирует ошибочно.
Нажмите на иконку плюса
(бордовая рамка), для добавление этого адреса в список
исключений.
Рисунок 28. Внесение исключений в правила Snort.
Перейдите на страницу Suppress (Отключение тревоги).
В строке с SuppressSnortAlert нажмите на иконку
для редактирования списка.
Страница 25 из 33
Инструкция по развертыванию pfSense на серверах организаций образования
Рисунок 29. Проверка внесенных изменений.
Убедитесь, что появилась строка с выбранным IP-адресом.
На страницах Alerts и Blocked нажмите кнопки Clear.
Перезагрузите pfSense.
Страница 26 из 33
Инструкция по развертыванию pfSense на серверах организаций образования
18. Проверка правильности импортирования настроек VPN
Выберите пункт IPSec из меню Status.
В открывшемся окне, если строка туннеля отмечена желтым значком, значит туннель
отключен.
Нажмите кнопку запуска туннеля (рисунок 27, красная рамка).
Рисунок 30. IPSec туннели.
Если туннель не включается, необходимо перезапустить службу racoon.
Для этого выберите пункт Services в меню Status.
В открывшемся окне нажмите кнопку перезапуска службы ( ) в строке racoon.
ВНИМАНИЕ.
Если туннель не включается, то необходимо перезагрузить pfSense, повторить импорт
настроек VPN и перейти к разделу проверки связи.
Страница 27 из 33
Инструкция по развертыванию pfSense на серверах организаций образования
19. Проверка связи
17.1.
Проверка связи с Интернет и локальной сетью
Выберите пункт Ping из меню Diagnistics (рисунок 28).
В поле Interface выберите WAN для проверки связи со шлюзом Казахтелекома.
В поле Host введите адрес шлюза Казахтелекома и нажмите кнопку Ping.
ВНИМАНИЕ.
Если шлюз Казахтелекома не пингуется, то проблемы со связью, модемом или внешний IPадрес, назначенный pfSens’у, занят другим сервером.
Если шлюз Казахтелекома пингуется, то надо проверить связи с Интернет.
В поле Interface выберите WAN для проверки связи с Интернет.
В поле Host введите адрес удаленного сервера, например, mail.ru, e.edu.kz и т. п. и нажмите
кнопку Ping.
В поле Interface выберите LAN для проверки связи по локальной сети.
В поле Host введите адрес AD и нажмите кнопку Ping.
Рисунок 31. Утилита Ping.
17.2.
Проверка связи по туннелю VPN
ВНИМАНИЕ.
Если шлюз Казахтелекома не пингуется или связь с Интернет отсутствует, то туннель VPN
не поднимется .
Выберите пункт Ping из меню Diagnistics (рисунок 28-1).
В поле Interface выберите LAN для проверки связи по локальной сети.
В поле Host введите IP-адрес 192.168.128.1 и нажмите кнопку Ping.
Страница 28 из 33
Инструкция по развертыванию pfSense на серверах организаций образования
Рисунок 32. Утилита Ping.
ВНИМАНИЕ.
Если пинги не прошли, проверти доступ pfSense к Интернет, перезапустите службу racoon.
17.3.
Проверка связи по туннелю VPN с AD
Зайдите под учетной записью с правами администратора на сервер AD.
В меню пуск выберите пункт Выполнить.
В появившемся окне введите команду cmd.
В появившемся окне введите команду
route -p add 192.168.128.0 mask 255.255.128.0 [-внутренний IP-адрес pfSense-]
где [-внутренний IP-адрес pfSense-] надо заменить на внутренний IP-адрес pfSense
Результатом команды будет надпись ОК.
Если результат отличается от указанного проверьте правильность введенной команды.
Далее введите команду route print.
Проверьте наличие строк, отмеченных красным цветом на рисунке 28-2.
Страница 29 из 33
Инструкция по развертыванию pfSense на серверах организаций образования
Рисунок 33. Таблица маршрутизации Windows.
Пропингуйте 192.168.128.1 с сервера AD.
Страница 30 из 33
Инструкция по развертыванию pfSense на серверах организаций образования
20. Установка имени pfSense
Выберите пункт General Setup в меню System (рисунок 29).
В поле Hostname введите набор символов до первой точки из имени pfSense в столбце
pfSense (имя) соответствующей строки ОО из файла с IP-адресами ОО.
ПРИМЕР.
Для «almt-oo1vpn.almt-oo1.almaty.edu.local» это будет «almt-oo1vpn».
Для «pvldr-oo1vpn.pvldr-oo1.pavlodar-obl.edu.local» это будет «pvldr-oo1vpn».
Рисунок 34. Установка имени pfSense.
В поле Domain введите все символы после первой точки из имени pfSense в столбце pfSense
(имя) соответствующей строки ОО из файла с IP-адресами ОО.
ПРИМЕР.
Для «almt-oo1vpn.almt-oo1.almaty.edu.local» это будет «almt-oo1.almaty.edu.local».
Для «pvldr-oo1vpn.pvldr-oo1.pavlodar-obl.edu.local» это будет «pvldr-oo1.pavlodarobl.edu.local».
Нажмите кнопку Save чтобы сохранить изменения.
21. Установка часового пояса
Выберите пункт General Setup в меню System (рисунок 29).
В поле Time Zone выберите правильный часовой пояс, в котором находится ОО (рисунок
29).
ПРИМЕР.
Asia/Aqtau – Мангыстауская область.
Asia/Aqtobe – Актюбинская область.
Asia/Oral – Западно-казахстанская область, Атырауская область.
Asia/Almaty – все остальные.
Страница 31 из 33
Инструкция по развертыванию pfSense на серверах организаций образования
Нажмите кнопку Save чтобы сохранить изменения.
22. Настройка агента Zabbix
Выберите пункт Zabbix Agent в меню Services (рисунок 30).
В поле Hostname введите имя pfSense из столбца pfSense (имя) соответствующей строки ОО
из файла с IP-адресами ОО.
Рисунок 35. Настройка Zabbix-агента.
Нажмите кнопку Save чтобы сохранить изменения.
После сохранения настроек необходимо проверить состояние службы Zabbix агента.
Для этого выберите пункт Services в меню Status.
В открывшемся окне нажмите кнопку запуска службы (рисунок 31, красная рамка).
Или нажмите кнопку перезапуска службы ( ) в строке Zabbix агента.
Рисунок 36. Запуск службы.
Красный значок, которым отмечена строка службы Zabbix агента, должен смениться на
зеленый.
Страница 32 из 33
Инструкция по развертыванию pfSense на серверах организаций образования
23. Снятие снимка с виртуальной машины
Для сохранения настроек и возможности возврата к эталонному образцу в случае
неправильной конфигурации необходимо сделать второй снимок машины.
Для этого выключите pfSense - выберите пункт Halt System в меню Diagnostics, и нажмите
кнопку Yes. Дождитесь окончательного выключения виртуальной машины.
Далее, как показано на рисунке 5 кликните значок на панели инструментов.
В открывшемся окне укажите имя “00” снимка и текущую дату как показано на рисунке 6.
Нажмите Ок чтобы снять снимок. После окончания процесса появится возможность
запустить машину.
ВНИМАНИЕ.
По всем вопросам обращаться:
Руслан Сагалов, 8 7172 702000 (3382), 8 701 770 76 08, sagalov_r@nitec.kz.
Мадьяров Жанат, 8 7172 702000 (3381), 8 701 500 7007, 8 707 858 18 20.
Страница 33 из 33