設備/硬體
pfSense 介面是新版的以外,系統規格:
- pfSense-CE-2.3.4-RELEASE-i386.iso
- i3-530
- 4G-DDR3
- 網路卡(螃蟹卡) 兩張 - 支持 10/100/1000
如果說流量超過 100Mbps 或走光纖之類的,建議還是考慮 Cisco 產品。
其他設備參考:
Xeon E3 3.5 GHz, Ethernet 10Gbps SSD, Quad Core with pfSense software preinstalled
系統設定
透過任何方法安裝 pfSense 後,以下設定走學校的 TA NET ,所以設定以 Static IP 為主。
- 沒有特別想設定什麼的話,可以先走 System -> Setup Wizard ,設定精靈。
- 接著到 Interfaces 設定區,把每個設定確認:
請記得對照好網路卡的 MAC Address 以及網路線接的方向,這邊印象中會要你建立 VLAN 之類的,如果不需要就不要建立 (可以跳過)。 這個網路介面我是用 VGA Console 設置的,詳情我不太清楚。
使 LAN 連上 WAN 網路
承上看見的 Interfaces 圖片,上面的 Interface 只是個名稱實際上只是命名連接埠,不代表命名 WAN 系統就會自動判別這個是 WAN 連入的網路,你必須自行設定哪個 Gateway 要連入哪個 Gateway,所以 WAN / LAN 建立兩個網路或以上是可能的。
首先,要先到 System-> Advanced -> Firewall & NAT 這個地方,找到下面有個控制項:
這裡我設定為 Pure NAT 為 NET 轉發模式,然後選擇 TFTP Proxy 為剛剛設定的網路介面名稱 : WAN ,然後拉到下面儲存。
接著,還需要設定 Firewall 設定,來做 Floating (通用), WAN, LAN 設置:
先到 Firewall -> Rules -> Floating:
然後按下 Add 按鈕,依照下列設定:
- Action: Pass
- Disabled: False
- Quick: False
- Interface: 按著 Ctrl,連續選擇 WAN 和 LAN 的命名
- Direction: any
- Address Family: IPv4
- Protocol: any
- Source: any
- Destination: any
- Description: 自訂名稱
接著,到 Rules -> WAN 選擇 Add 按鈕,新增一次設定:
- Action: Pass
- Disabled: False
- Interface: WAN
- Address Family: IPv4
- Protocol : TCP
- Source: any
- Destination: any
- Description: 自訂名稱
最後一次,再到 Rules -> LAN 選擇 Add 按鈕,新增最後一次設定 (出口網路):
- Action: Pass
- Disabled: False
- Interface: LAN
- Address Family: IPv4+IPv6
- Protocol : any
- Source: any
- Destination: any
- Description: 自訂名稱
接著,我們還要設定 DHCP Server ,配發連線路由、電腦、Router 轉進來的電腦一個 DHCP 位置。
先到 Services -> DHCP Server -> LAN 。
- Enable: True
- Deny unknown clients: False
- Ignore denied clients: False
- Range: 192.168.1.10 -> 192.168.1.245
設定後,電腦應該可以正常連線了。
這裡註記一下 Subnet mask,計算那些 192.168.x.x/24 的意思和子網路遮罩算法:
/倒斜線後面是 ip 數量,數字代表從尾巴數來,十進位轉二進位的樣子,如:
11111111 11111111 11111111 11000000,子網路遮罩是: 255.255.255.192 ,也就是 /64 , 64 換二進位就是 11000000 ,也代表這個網段可以有 64 個 ip 可以分發。
11111111 11111111 11111111 11100000 - 255.255.255.224 (32個)
11111111 11111111 11111111 11110000 - 255.255.255.240 (16個)
11111111 11111111 11111111 11111000 - 255.255.255.248 (8個)
11111111 11111111 11111111 11111100 - 255.255.255.252 (4個)
1. 先將 / 倒斜線數量轉成 2 進制: 11000000
2. 將 ip 的二進制寫出來: 11111111 11111111 11111111 11000000
3. 轉為 10 進制: 255.255.255.198
往上推,倒斜線數字越大,就往前面的 Class B, Class A 推導!
/倒斜線後面是 ip 數量,數字代表從尾巴數來,十進位轉二進位的樣子,如:
11111111 11111111 11111111 11000000,子網路遮罩是: 255.255.255.192 ,也就是 /64 , 64 換二進位就是 11000000 ,也代表這個網段可以有 64 個 ip 可以分發。
11111111 11111111 11111111 11100000 - 255.255.255.224 (32個)
11111111 11111111 11111111 11110000 - 255.255.255.240 (16個)
11111111 11111111 11111111 11111000 - 255.255.255.248 (8個)
11111111 11111111 11111111 11111100 - 255.255.255.252 (4個)
1. 先將 / 倒斜線數量轉成 2 進制: 11000000
2. 將 ip 的二進制寫出來: 11111111 11111111 11111111 11000000
3. 轉為 10 進制: 255.255.255.198
往上推,倒斜線數字越大,就往前面的 Class B, Class A 推導!
常見對照表請參考:
已知問題
如果電腦常常斷線,在學校測試網路時發現電腦常會向 DCHP 請求 IPv6 的 DHCP,而網路卻沒有 IPv6 ,所以如果只有用 IPv4 ,建議不要使用 IPv6 設定,也關掉 DHCP IPv6 避免電腦發出 IPv6 請求。
沒有留言:
張貼留言