• pfSense đã được cấu hình mạng Internet. (Xem hướng dẫn)
• 1 VPS đã được thiết lập WireGuard Server. Bạn có thể tham khảo hướng dẫn dưới đây để tạo VPN Server miễn phí

Hướng dẫn thiết lập VPN Server miễn phí với Oracle Cloud VPS

II. Cài đặt WireGuard package

Mặc định pfSense chưa có sẵn dịch vụ WIreGuard VPN. Bạn cần phải cài thêm WireGuard từ trang quản lý Package Manager.

Truy cập vào Web UI của pfSense, bấm vào Mneu System , chọn Package Manager. Sau đó bạn chọn qua tab Available Packages

Kéo xuống dưới, tìm WireGuard và bấm Install để cài đặt.

Chờ vài phút để pfSense tải và cài đặt WireGuard. Sau khi cài thành công, bạn sẽ thấy thông báo Success.

III. Cấu hình WireGuard VPN

1. Chuẩn bị file Wireguard Client

Trước tiên, bạn cần phải truy cập WireGuard VPN Server để tạo 1 Client mới dành cho Mikrotik và tải file conf về. Nội dung file sẽ tương tự như dưới đây.

[Interface]
PrivateKey = UDbFxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxaN9Oms=
Address = 10.7.0.3/24
DNS = 10.2.0.100

[Peer]
PublicKey = e/VZhqIyyyyyyyyyyyyyyyyyyyyyyyyy/4wS37B5x8QMxg=
PresharedKey = 5XvmWvYUm2xxxxxxxxxxxxxxxxxxxxxxxxxxxlgYPoFzj8Q618=
AllowedIPs = 0.0.0.0/0, ::/0
Endpoint = 146.ooo.iii.eee:51820
PersistentKeepalive = 0

Chúng ta sẽ dùng thông tin trong file conf này để cấu hình WireGuard VPN trên pfSense.

3. Tạo Tunnel

Bấm vào Menu VPN, chọn WireGuard để truy cập vào trang quản lý WireGuard. Bấm Add Tunnel.

Chúng ta sẽ dùng thông tin trong mục [Interface] của file cấu hình ở trên để thiết lập Tunnel

Nhập thông số:

• Enable Tunner: bấm chọn
• Description: tuỳ bạn chọn, mình ghi WireGuard-SF
• Interface Keys: nhập vào Private key nằm trong phần [Interface] của file cấu hình .conf. Sau đó mục Public Key kế bên sẽ tự động được tạo ra.
• Interface Address: nhập vào Address trong phần [Interface] của file cấu hình .conf

Bấm Save tunnel để lưu lại.

3. Tạo Peer

Bấm qua tab Tunnel, bấm vào Add Peer.

Chúng ta sẽ dùng thông tin trong mục [Peer] của file cấu hình ở trên để thiết lập Peer.

Nhập thông số:

• Enbale Peer: Bấm chọn
• Tunnel: chọn Tunnel mới vùa tạo ở bước 2
• Endpoint / Port / Public Key / Preshared Key / Keep Alive / Allowed IP: nhập theo thông tin trong file cấu hình

Bấm Save Peer để lưu lại.

4. Kích hoạt WireGuard

Bấm qua tab Settings, bấm chọn vào mục Enable WireGuard để kích hoạt WireGuard và bấm Save.

Sau đó, chuyển qua tab Status, bấm vào nút Show Peers, bạn sẽ thấy thông báo kết nối thành công đến WireGuard VPN Server.

IV. Cấu hình WireGuard Interface

Truy cập vào mục Interface Assignment từ menu Interfaces. Bấm vào nút Add ở dòng Available network ports.

Sau đó bấm vào Interface vừa tạo để thiết lập thông số

• Enable: bấm chọn Enable Interface
• Description: WG (hoặc tên gì tuỳ ý bạn)
• IPv4 Configuration Type: Static IPv4
• IPv6 Configuration Type: Static IPv6
• IPv4 Address: nhập vào Address trong phần [Interface] của file cấu hình .conf
• IPv6 Address: nhập vào Address trong phần [Interface] của file cấu hình .conf

Bấm vào nút Add a new gateway cạnh mục IPv4 và IPv6 để tạo Gateway mới. Nhập vào thông tin và bấm Add.

Bấm Save để lưu lại.

V. Thiết lập Gateway mặc định

Bấm vào Menu System, chọn Routing để truy cập trang thiết lập Gateways.

Bạn cần thiết lập Gateway mặc định cho mạng sử dụng Gateway của WAN

• Default gateway IPv4: chọn WAN_DHCP
• Default gateway IPv6: WAN_DHCP6

Bấm Save để lưu lại

VI. Cấu hình Firewall Rule for WireGuard

Để truy cập Internet thông qua WireGuard, bạn cần thiết lập Firewall Rule cho LAN.

Bấm vào menu Firewall, chọn Rules, sau đó bấm tiếp qua tab LAN. Bấm vào nút Add để tạo rule mới

Thông số:

• Action: Pass
• Interface: LAN
• Address Family: IPv4 hoặc IPv4+v6
• Protocol: Any
• Destination: WAN net

Bấm vào nút Advance Setting, mục Gateway: chọn Gateway WireGuard: WG_GW

Sau đó bấm Save. Bấm tiếp Apply để kích hoạt Firewall Rule mới.

Với Firewall Rule mới thiết lập, mọi kết nối từ trong LAN sẽ được chuyển hướng đi qua WireGuard Gateway. Bạn có thể kiểm tra bằng cách truy cập https://ip.me/ sẽ thấy hiện ra IP của VPN Server đang kết nối.

VII. Định tuyến tự động mạng quốc tế chạy qua VPN

Với cách thiết lập ở bước trên, mọi kết nối từ trong mạng LAN đều sẽ được gửi đến WireGuard VPN Server. Mình sẽ làm thêm 1 bước nữa để phân luồng mạng:

• Truy cập ra quốc tế sẽ chạy qua VPN.
• Truy cập trong nước sẽ đi trực tiếp, không qua VPN.

Nguyên lý hoạt động như sau

• Tạo 1 danh sách tất cả IP của Việt Nam sử dụng tính năng Alias của pfSense
• Tạo thêm Firewall Rule: chỉ các truy cập nào không phải đến IP Việt Nam mới chạy qua VPN.

1. Tạo IP Aliases

Từ Menu Firwall, bấm chọn Aliases. Bấm vào nút Import để nhập vào danh sách IP.

Sử dụng danh sách chứa tàon bộ dải IP của Việt Nam ở link dưới đây để nhập vào ô Aliases to Import

https://gist.githubusercontent.com/10h30/4347744f239f837dc0997ccbb1a0fd93/raw/abaeda6863304c0edf1b9b10439fcb7398ee14f6/pfsense-vietnam-ip-list

Aliase Name: Vietnam_IP_List

Bấm Save để lưu lại

2. Chỉnh sửa Firewall Rule

Quay lại trang quản lý Firewall Rule của LAN, chỉnh sửa lại Wirewall rule đã tạo ở bước trước đó, chỉnh lại thông số ở mục Destination:

• Destination: bấm chọn Invert Match, chọn Single host or Alias, sau đó gõ Vietnam_IP_List ở mục địa chỉ kế bên, bạn sẽ thấy tên hiện ra. Bấm chọn nó.

Bấm Save để lưu lại.

Danh sách Firewall Rule cho LAN sẽ hiện ra như sau:

Với thiết lập này, tất cả các truy cập đến IP quốc tế (nằm ngoài dải IP Việt Nam) sẽ chạy qua WireGuard VPN. Còn các truy cập trong nước sẽ chạy qua kết nối mạng thông thường.

Bạn có thể kiểm tra bằng cách truy cập vào https://ip.me và https://kiemtraip.com/ sẽ thấy hiện ra 2 IP khác nhau:

• IP.me hiện ra IP của VPN Server
• KiemtraIP: hiện ra IP của WAN.

Để bảo đảm kết nối thông suốt, bạn nên thiết lập Failover để tránh tính trạng VPN Server gặp vấn đề sẽ ảnh hưởng đến kết nối quốc tế.

Chúc bạn thực hiện thành công!

Nguồn: thuanbui

1. Load Balancing

Trong hệ thống mạng, Load Balancing (cân bằng tải) là tính năng giúp gộp băng thông 2 hay nhiều đường truyền WAN để nâng cao tốc độ và sự ổn định cho mạng LAN.

Ví dụ: WAN 1 có tốc độ 3Mbps và WAN 2 có tốc độ 7Mbps. Khi thiết lập Load Balancing, băng thông sẽ được gộp lại thành 10Mbps.

Khi một trong hai đường truyền WAN mất kết nối, hệ thống sẽ tự động chuyển qua sử dùng đường truyền còn lại.

2. Failover là gì?

Failover (chế độ dự phòng) là tính năng thiết lập mạng WAN dự phòng cho mạng WAN chính. Khi mạng WAN chính gặp trục trặc, router sẽ tự động chuyển qua sử dụng mạng dự phòng để giúp kết nối không bị gián đoạn.

Ví dụ: WAN 1 có tốc độ 7Mbps và WAN 2 có tốc độ 3Mbps. Với thiết lập Failover: WAN 1 là mạng chính và WAN 2 làm mạng dự phòng, hệ thống chỉ sử dụng đường truyền của WAN 1 – 7Mbps. Khi WAN 1 mất kết nối, WAN 2 sẽ được kích hoạt thay thế.

Failover thường được sử dụng trong trường hợp bạn chỉ muốn sử dụng mạng WAN dự phòng trong trường hợp bất khả kháng. Ví dụ: chỉ dùng mạng WAN 4G khi mạng FTTH ở nhà gặp trục trặc.

II. Thiết lập hệ thống mạng

Để thực hiện Load Balancing và Failover trên pfSense, yêu cầu pfSense phải có ít nhất 3 card mạng: 2 WAN và 1 LAN. Mình thiết lập hệ thống mạng ảo như dưới đây để thực hiện nghiên cứu

Quy trình thiết lập như sau:

1. Tạo 3 máy ảo pfSense sử dụng phương pháp clone (tạo bản sao) máy ảo trên Hyper-V.
   • 2 máy ảo pfSense đóng vai trò làm ISP ảo cung cấp kết nối WAN 1 và WAN 2
   • 1 máy ảo pfSense đóng vai trò làm Router chính sẽ được thiết lập Load Balancing và Failover.
2. Giới hạn băng thông: 70Mbps cho WAN 1 10.0.0.0/24 và 30Mbps cho WAN 2 172.27.0.0/24 (Xem hướng dẫn: Cấu hình giới hạn băng thông mạng LAN)
3. Tạo 3 Private Switch để kết nối các máy ảo lại với nhau.

Thao tác cấu hình Load Balancing và Failover sẽ được thực hiện trên pfSense trung tâm nằm ngay giữa sơ đồ.

III. Cấu hình Load Balancing

Trước khi cấu hình Load Balancing, bạn cần phải hoàn thành việc thiết lập các cổng mạng WAN Interface và LAN Interface trên pfSense.

Xem hướng dẫn : Cấu hình căn bản cho pfSense

1. Tạo Gateway Groups

Truy cập vào mục Gateway Groups: Bấm vào mục Routing trong Menu System, sau đó chọn qua tab Gateway Groups.

Bấm vào nút Add để tạo mới Gateway Group

• Group Name: Load_Balancer
• Gateway Priority: Chọn Tier 1 cho cả hai WAN.
• Trigger Level: Member Down
• Description: Dual Wan Load Balancer.

Mục Gateway Priority sẽ quyết định Gateway Group của bạn hoạt động dưới chế độ Load Balancing hay Failover:

• Hai WAN được set cùng Tier 1: chế độ Load Balancing, hai đường truyền sẽ được sử dụng đồng thời.
• Nếu hai WAN được set Tier khác nhau: ví dụ WAN 1 – Tier 1 & WAN 2 – Tier 2, chỉ WAN 1 sẽ được sử dụng cho đường truyền chính. Khi WAN 1 mất kết nối, WAN 2 sẽ được sử dụng.

Sau khi nhập thông số, bấm Save. Sau đó bấm thêm Apply Changes để xác nhận.

2. Thiết lập Monitor IP

Để pfSense nhận biết được WAN có mất kết nối Internet không, cần phải thiết lập Monitor IP cho từng Gateway. Mình sẽ sử dụng 2 Public IP sau đây để theo dõi hai cổng WAN

• WAN 1: 8.8.8.8 (DNS của Google)
• WAN 2: 208.67.222.222 (DNS của OpenDNS)

Quay lại tab Gateways, bấm vào biểu tượng bút chì để chỉnh sửa thông số

Kéo xuống phần Monitor IP: nhập vào 8.8.8.8 và bấm Save

Lập lại thao tác tương tự cho WAN 2.

3. Điều chỉnh Firewall Rule

Để sử dụng Gateway Group cho mạng LAN, chúng ta cần phải điều chỉnh lại Firewall Rule của pfSense.

Truy cập vào mục Rules từ Menu Firewall, chọn qua tab LAN. Bấm vào biểu tượng bút chì để thay đổi thông số cho Rule mặc định “Default allow LAN to any rule”

Kéo xuống dưới cùng, bấm vào nút Display Advanced để hiện ra các thông số nâng cao.

Mục Gateway: chọn Load_BLancer – Dual WAN Load Balancer. Sau đó bấm Save

Bấm tiếp Apply Changes để kích hoạt thay đổi.

4. Thực nghiệm Load Balancing

Mình sử dụng dịch vụ Speedtest.vn để kiểm tra băng thông mạng trên máy ảo WIndows 10 nằm trong mạng LAN của pfSense.

a. Trước khi kích hoạt Load Balancing

Trước khi kích hoạt Load Balanching, pfSense chỉ sử dụng đường truyền từ WAN 1 (30Mbps). Kiểm tra Speedtest ra kết quả tương ứng.

b. Sau khi kích hoạt Load Balancing

Sau khi kích hoạt, băng thông của WAN 1 (30Mbps) và WAN 2 (70Mbps) được gộp lại. Speedtest ra được 100Mbps. Ngon lành!

c. WAN 1 mất kết nối

Như đã chia sẻ ở đầu bài, chế độ Load Balancing mặc định sẽ hoạt động như một giải pháp Failover khi 1 trong 2 cổng WAN mất kết nối.

Mình kiểm tra thử bằng cách vào mục Interfaces trong Menu Status, sau đó bấm Release WAN1 để ngắt kết nối WAN 1.

Lúc này pfSense chỉ còn sử dụng đường truyền WAN 2 (70Mbps). Kiểm tra Speedtest cho ra tốc độ đúng như thông số.

IV. Cấu hình Failover

Thao tác cấu hình Failover gần như y hệt cấu hình Load Balancing. Khác biệt duy nhất là ở mục thiết lập thông số Gateway Priority khi tạo Gateway Group.

• WAN 1: Tier 1
• WAN 2: Tier 2

WAN 1 sẽ được sử dụng làm đường truyền chính, WAN 2 để dự phòng và chỉ được sử dụng khi WAN 1 mất kết nối.

Thac tác 2-3-4 thao tác y hệt như mục Cấu hình Load Balancing ở trên nên mình sẽ không nhắ lại.

V. Tổng kết

Thông thường với hệ thống mạng Dual-WAN, bạn nên thiết lập 3 Gateway Groups:

• Load Balance: Gateways của WAN1 và WAN2 cùng Tier 1
• PreferWAN1: Gateway của WAN1: Tier 1 và WAN2: Tier 2
• PreferWAN2: Gateway for WAN1: Tier và WAN2: Tier 1

Tuỳ theo nhu cầu sử dụng mà bạn chọn Gateway Group tương ứng. Ví dụ:

• LAN: dùng Load Balancing
• VLAN 10: Dùng Failover WAN1
• VLAN 20: Dùng Failover WAN2

Bài viết kết thúc ở đây

Nguồn: thuanbui

Sơ đồ Lab sử dụng cho bài viết này như hình ở đầu bài:

• pfSense đóng vai trò Router chính, cung cấp Internet cho hai máy tính trong mạng LAN: Windows 10 và Arch Linux 2.
• Mình sẽ cấu hình giới hạn băng thông trên cổng mạng LAN của pfSense:
  • Download: 10Mbps
  • Upload: 50Mbps

Sau khi cấu hình giới hạn băng thông, các máy tính trong mạng LAN sẽ không thể vượt quá hạn mức đã thiết lập trên pfSense.

Tính năng giới hạn băng thông của pfSense được quản lý bởi dịch vụ Limiter thuộc phần Traffic Shaper. Chúng ta cần tạo 2 quy tắc giới hạn băng thông: 1 dành cho Download và 1 dành cho Upload.

1. Tạo Upload Limiter

Từ Menu Firewall, chọn Traffic Shaper, chọn tiếp tab Limiters.

Bấm vào New Limiter để thiết lập quy tắc giới hạn mới

Thiết lập thông số:

• Bấm chọn Enable limiter and its childer mở chế độ giới hạn băng thông.
• Name: Upload
• Bandwidth: 50 Mbit/s
• Mask: Source addresses
• Description: Limit Upload Bandwidth

Phần còn lại để trống. Bấm Save

2. Tạo Download Limiter

Lập lại thao tác tương tự để tạo Download Limiter

• Bandwidth: 10Mbit/s
• Mask: Destination addresses

Bấm Save. Sau đó bấm tiếp Apply Changes để kích hoạt Limiter.

3. Cập nhật Firewall Rule

Tiếp theo, mình vào Firewall Rule của LAN và chỉnh sửa lại thông số.

Bấm vào biểu tượng bút chì của Firewall Rule hiện tại của mạng LAN để chỉnh sửa

Kéo xuống dưới, bấm vào nút Display Advanced để hiện ra các thông số cấu hình nâng cao.

Mục In / Out pipe: Chọn Upload ở mục bên trái và Download ở mục bên phải. Bấm Save để lưu lại.

Bấm Apply changes để kích hoạt sửa đổi.

4. Kiểm tra

Mình sử dụng dịch vụ Speedtest.vn để kiểm tra băng thông mạng trên máy tính chạy Windows 10 nằm trong mạng LAN của pfSense.

Dưới đây là kết quả đo tốc độ mạng trước khi thiết lập giới hạn băng thông: Download và Upload đều đạt tối đa ~ 150Mbps

Sau khi thiết lập giới hạn băng thông, truy cập Speedtest.vn để kiểm tra lại. Kết quả hiện ra đúng như thông số đã thiết lập: Download ~ 10Mbps và Upload ~ 50Mbps

Trên đây chỉ là ví dụ đơn giản cách thiết lập giới han băng thông trên pfSense. Trong điều kiện thực tế, bạn có thể kết hợp sử dụng thêm tính năng Schedule và VLAN của pfSense để cấu hình giới hạn băng thông chi tiết và hiệu quả hơn cho mạng nội bộ.

Nguồn: thuanbui

Để học cách cấu hình PPPoE Client trên pfSense, mình cần phải tạo thêm PPPoE Server trong mạng ảo. pfSense có thể được cấu hình làm PPPoE Client lẫn PPPoE Server nên mình sẽ tạo thêm 1 máy ảo pfSense và thiết lập lại mạng ảo cho pfSense Lab – [Phần 8] như dưới đây:

Việc tạo thêm 1 bản sao máy ảo pfSense chỉ mất khoảng 5’ sử dụng tính năng tạo bản sao máy ảo của Hyper-V.

Các bạn có thể tham khảo bài hướng dẫn : Hướng dẫn clone (tạo bản sao) máy ảo trên Hyper-V

• PPPoE Server:
  • WAN —> Mikrotik Router
  • LAN —> Private Switch
• PPPoE Client:
  • WAN —> Private Switch (nối với PPPoE Server)
  • LAN —> Private Switch (nối với máy ảo Arch Linux)

1. Cấu hình PPPoE Server

Để cấu hình PPPoE server cho pfSense, truy cập vào dịch vụ PPPoE Server trong menu Services

Bấm vào nút Add để tạo PPPoE Server

Bấm vào Enable PPPoE Server để kích hoạt.

Phần cấu hình PPPoE Server, bạn cần nhập vào các thông số như sau:

• Interface: chọn LAN, hoặc bạn có thể chọn VLAN nếu muốn dùng VLAN cho PPPoE Client
• Total User Count: số lượng PPPoE Client có thể kết nối đồng thời
• User Max Logins: cho phép 1 tài khoản PPPoE Client có thể đăng nhập trên nhiều thiết bị cùng lúc. Chọn 1 : chỉ cho phép 1 tài khoản sử dụng ở 1 thời điểm.
• Server address: Chọn địa chỉ IP bất kỳ, miễn sao không trùng lập với các dải IP đã thiết lập trên pfSense
• Remote Address Range: Địa chỉ IP dùng cho PPPoE Client, cần phải khác Subnet với Server address.
• Subnet Mask: xác định Subnet. Mình chọn 24
• Description: PPPoE Server

Bạ có thể để trống phần RADIUS nếu không dùng RADIUS Server. Kéo tiếp xuống phần User table để tạo tài khoản cho PPPoE Client

• Username: tên tài khoản
• Password: mật khẩu
• IP Address: địa chỉ IP sẽ được cấp cho tài khoản này khi đăng nhập thành công.

Bấm Save để lưu lại

Bấm Apply Changes để kích hoạt các thông số vừa tạo trên PPPoE Server.

PPPoE đã được kích hoạt thành công và đang hoạt động.

Để kiểm tra xem có PPPoE Client nào đang kết nối vào PPPoE Server không, bạn truy cập vào mục Systems Logs trong Menu Status. Sau đó chọn tab PPPoE/L2TP Server.

Các thông tin đăng nhập sẽ hiện ra trong mục PPPoE Logins

2. Cấu hình PPPoE Client

Phần này sẽ được cấu hình trên máy ảo pfSense thiết lập làm PPPoE Client.

Truy cập vào mục WAN trong Menu Interfaces và cấu hình thông số

• IPv4 Configuration Type: PPPoE
• Username: điền vào tên tài khoản đã thiết lập trong PPPoE Server
• Password: điền vào mật khẩu tương ứng.

Nếu bạn sử dụng pfSense làm router chính trong nhà thì Username và Password nhập vào tên tài khoản và mật khẩu mà nhà mạng cung cấp.

Bấm Save.

Bấm tiếp Apply Changes.

Chờ vài giây cho PPPoE Client kết nối đến PPPoE Server. Bạn có thể kiểm tra kết nối thành công chưa bằng cách truy cập vào mục Interfaces trong menu Status.

WAN Interface đã được kết nối thành công và được cấp IP Address 192.168.200.222 đúng như đã thiết lập trên PPPoE Server.

Tuy nhiên, hiện tại các máy ảo nằm trong mạng LAN của PPPoE Client không thể truy cập ra khỏi mạng nội bộ, không thể truy cập Internet. Lý do: chưa thiết lập Firewall Rule trên PPPoE Server cho phép kết nối từ PPPoE Client ra ngoài.

3. Tạo Firewall Rule trên PPPoE Server

Để cho phép các máy tính trọng mạng LAN của PPPoE Client truy cập Internet, mình cần tạo thêm Firewall Rule trên PPPoE Server như hình dưới đây

Thử lại trên máy ảo Arch Linux: kết nối Internet thành công.

[Phần 8] của series pfSense Lab đã xong. Hẹn gặp lại ở các bài viết sau, nếu có.

Nguồn: thuanbui

Captive Portal là một tính năng của pfSense yêu cầu người dùng phải xác thực tài khoản trước khi truy cập vào hệ thống mạng. Người dùng sẽ được chuyển hướng về 1 trang web trung gian và phải đăng nhập bằng tài khoản/mật khẩu, bằng mã voucher, hoặc chỉ cần bấm vào nút Đăng nhập, sau đó mới có thể truy cập vào hệ thống mạng (thường là truy cập Internet).

Tính năng này thường được sử dụng phổ biến trong ngành du lịch – nhà hàng – khách sạn, nhằm mục đích Marketing quảng cáo, hoặc trong văn phòng, cửa hàng bán lẻ nhằm hạn chế truy cập trái phép.

2. Kích hoạt Captive Portal

Truy cập vào mục Captive Portal trong menu Services của pfSense. Sau đó bấm vào nút Add để tạo Captive Portal Zone.

Nhập vào tên (Zone name) và chú thích (Zone description). Bấm Save & Continue

Bấm chọn vào ô Enable Captive Portal để kích hoạt.

3. Cấu hình Captive Portal

Sau khi bấm kích hoạt Captive Portal, trang cấu hình sẽ hiện ra yêu cầu bạn tuỳ chỉnh thông số. Dưới đây là giải thích các thông số quan trọng:

• Interfaces: chọn hệ thống mạng nội bộ bạn muốn áp dụng Captive Portal. Trong điều kiện thực tế, bạn nên tạo 1 VLAN riêng biệt để dùng cho Captive Portal. Mình chọn LAN cho đơn giản.
• Maximum Concurrent connections: giới hạn số lượt truy cập cùng lúc từ 1 IP, không phải giối hạn số lượng người dùng.
• Idle timeout (Minutes): tự động ngắt kết nối sau khoảng thời gian không hoạt động.
• After authentication Redirection URL: tự động chuyển hướng về địa chỉ này sau khi đăng nhập thành công. Mục này thường được thiết lập nếu bạn muốn quảng cáo website cho tất cả người dùng truy cập vào mạng.
• Concurrent User logins: quy định số lượng truy cập trên mỗi tài khoản
  • Disabled: chỉ cho phép 1 lượt đăng nhập trên mỗi tài khoản / voucher
  • Multiple: không giới hạn lượt đăng nhập trên mỗi tài khoản / voucher
  • Last login: lượt đăng nhập sau sẽ được trao quyền truy cập. Lượt truy cập trước đó sẽ bị ngắt.
  • First login: chỉ lượt đăng nhập đầu tiên có quyền truy cập. Các lượt đăng nhập sau đều không hiệu lực

• Captive Portal Login Page: bạn có thể thay đổi logo và hình nền và điều khoản sử dụng của trang Portal cho phù hợp với thương hiệu của mình. Mình để mặc định cho đơn giản.
• Authentication:
  • Authentication method: lựa chọn cách thức xác nhận tài khoản: Authentication backend (sử dụng trang đăng nhập), None (yêu cầu bấm nút xác nhận), Radius MAC Authentication (xác thực bằng MAC address)
  • Authentication Server: chọn Local Database

Mình chọn các xác thực bằng cách sử dụng trang đăng nhập: Authentication backend. Sau đó bấm Save để lưu lại.

4. Tạo Voucher đăng nhập

Khi chọn cách thức xác thực tài khoản, bạn có thể tạo tài khoản pfSense hoặc tạo mã Voucher đăng nhập. Mình chọn cách tạo mã Voucher đăng nhập vì có thể giới hạn thời gian truy cập cho mỗi người dùng.

Bấm qua tab Voucher, kích hoạt mục Enable the creation, generation and activate of rolls with vouchers và bấm Save.

Bấm vào nút Generate new keys để tạo mã bảo mật mới. Các thông số còn lại có thể giữ nguyên. Bấm Save để lưu lại.

Mục Voucher Rolls sẽ hiện ra thêm nút Add. Bấm vào nó để tạo danh sách voucher.

Điền vào các thông số như sau và bấm Save

• Roll #: điền bất kỳ số nào trong khoảng 0 – 65535
• Minutes per ticket: giới hạn thời gian truy cập cho mỗi voucher
• Count: số lượng voucher cần tạo.
• Comment: chú thích để ghi nhớ

Danh sách voucher đã được tạo thành công. Bấm vào biểu tượng Excel bên trái để tải về danh sách theo định dạng csv.

5. Điều chỉnh DHCP Server

Tiếp theo, bạn cần truy cập vào dịch vụ DHCP Server của pfSense, chọn đúng Network Interface đã kích hoạt ở bước trên: LAN.

Kéo xuống phần DNS Servers và xoá hết địa chỉ IP nếu có. Captive Portal yêu cầu phải sử dụng DNS Server mặc định của pfSense. Nếu bỏ qua bước này, người dùng sẽ không được tự động chuyển hướng về trang Captive Portal để đăng nhập sử dụng mạng.

6. Thực nghiệm Captive Portal

Do mình đang sử dụng pfSense trong nền tảng ảo hoá nên việc thực nghiệm Captive Portal sẽ được thực hiện trên máy ảo Windows 10 kết nối vào mạng LAN của pfSense.

Mở Edge, truy cập google.com, trình duyệt tự động chuyển hướng qua trang đăng nhập với logo pfSense.

Video minh hoạ dưới đây

Bạn có thể kiểm tra danh sách truy cập vào Captive Portal trên giao diện quản lý của pfSense: bấm vào Status —> Captive Portal.

Bạn có thể kiểm tra danh sách Voucher đang sử dụng, kiểm tra Voucher hay vô hiệu hoá Voucher trong trang quản lý này. Hoặc bấm vào nút Disconnect All Users để kick hết mọi tài khoản ra khỏi mạng.

Nguồn: thuanbui

pfSense có sẵn tính năng Dynamic DNS cực kỳ mạnh mẽ, hỗ trợ rất nhiều các dịch vụ DNS phổ biến: Cloudflare, DigitalOcean, GoDaddy, FreeDNS, OpenDNS, Linode,… Mình sẽ sử dụng dịch vụ DNS của Cloudflare trong bài hướng dẫn này.

1. Yêu cầu

• Đã có sẵn tên miền và đã có tài khoản Cloudflare.
• Tên miền đã được chuyển về CloudFlare quản lý
• Router pfSense

2. Tạo A Record cho tên miền

Ví dụ mình muốn sử dụng tên miền pfsense.thuanbui.me để truy cập đến homelab ở nhà. Bấm vào Add record và tạo một A record mới.

• Name: điền vào pfsense
• IPv4: điền tạm 1.1.1.1, thông số này sẽ được tự động cập nhật thành Public IP ở nhà sau khi thiết lập Dynamic DNS trên pfSense

3. Tìm Zone ID và tạo API Token

Tham khảo bài viết: Cloudflare: Hướng dẫn lấy Zone ID và tạo API Token nhanh chóng

4. Tạo Dynamic DNS Client

Truy cập vào dịch vụ Dynamic DNS từ menu Services —> Dynamic DNS. Bấm Add

Nhập thông số cho DNS Dynamic Client

• Service Type: mình chọn Cloudflare. Bạn có thể chọn dịch vụ DNS khác đang sử dụng
• Interface to monitor: WAN
• Hostname: nhập vào tên miền cần cập nhật Dynamc DNS.
• Cloudflare Proxy: Tick chọn Enable Proxy để ẩn Public IP của mạng nhà.
• Username: Tuỳ theo dịch vụ bạn chọn ở mục Service Type mà thông số Username này sẽ khác nhau. Với Cloudflare, mình cần nhập vào Zone ID của tên miền (đã ghi lại ở bước 4)
• Password: nhập vào API Token của Cloudflare (đã tạo ở bước 3)
• TTL: có thể để trống
• Description: nhập nội dung tuỳ thích để ghi nhớ

Bấm Save để lưu lại.

pfSense sẽ tự động kết nối đến Cloudflare thông qua API Token và Zone ID để cập nhật Zone DNS cho tên miền pfsense.thuanbui.me

Kiểm tra lại trên Cloudflare, tên miền đã được trỏ về Public IP ở nhà, giống với Cache IP hiển thị trong pfSense.

pfSense không cho chỉnh tần suất cập nhật Dynamic DNS nên mình không rõ bao lâu nó sẽ chạy 1 lần. Có lẽ hệ thống nó đủ thông minh để cập nhật mỗi khi IP ở nhà có sự thay đổi.

Nếu mạng nhà không sử dụng pfSense, bạn có thể cập nhật Dynamic DNS lên Cloudflare bằng cách dùng Bash Script trên Linux theo hướng dẫn dưới đây

Cập Nhật IP Động Cho Tên Miền Qua CloudFlare

Chúc bạn thực hiện thành công!

Trước khi đi chi tiết vào cách cấu hình VLAN trên pfSense, mình ôn lại kiến thức căn bản tí.

VLAN (Virtual Local Area Network) hay Virtual LAN, được gọi là mạng LAN ảo. VLAN là công nghệ cho phép tạo ra các mạng LAN logic độc lập trên cùng một hệ thống mạng LAN vật lý. VLAN giúp chia nhỏ hệ thống mạng nội bộ, mang lại các lợi ích sau:

• Tối ưu băng thông mạng: nhờ giảm số lượng miền quảng bá (broadcast domain)
• Tăng tính bảo mật: các VLAN không thể giao tiếp với nhau, trừ khi được cấu hình Routing trên Router.
• Tính linh hoạt cao: dễ dàng quản lý và thay đổi các thiết bị nằm trong VLAN.

Để có thể thiết lập VLAN trong mạng nội bộ, Router và Switch phải hỗ trợ tính năng VLAN trong Firmware. Tính năng này thường chỉ được trang bị trên các thiết bị mạng cao cấp dành cho doanh nghiệp (Enterprise), không có trong các thiết bị mạng cho gia đình và văn phòng nhỏ.

Trong môi trường doanh nghiệp, VLAN thường được dùng để phân chia mạng nội bộ giữa các phòng ban, chi nhánh. Còn trong gia đình, VLAN có thể được sử dụng để phân tách các thiết bị IOT (Internet of Things) ra khỏi mạng nội bộ chính trong nhà.

II. Sơ đồ thiết lập VLAN

Nhờ sự phát triển của công nghệ ảo hoá, mình có thể nghiên cứu và thực hành VLAN mà không cần phải đầu tư mua thêm thiết bị mạng cao cấp. pfSense có sẵn tính năng VLAN và Virtual Switch của Hyper-V cũng hỗ trợ VLAN, bắt tay nghiên cứu nào!

Dưới đây sơ đồ thiết lập VLAN trên pfSense của mình

Mình sẽ tạo thêm VLAN ID 10 và chuyển máy ảo Arch Linux 2 sử dụng VLAN 10 mới này.

Các bước cần làm trong Lab hôm nay:

• Tạo VLAN ID 10
• Cấu hình VLAN Interface
• Cấu hình DHCP Server cho VLAN 10
• Cấu hình VLAN ID cho máy ảo Arch Linux
• Cấu hình VLAN TRUNK cho cổng mạng Internal trên pfSense
• Kiểm tra thành quả

III. Tạo VLAN 10

Trong Web UI của pfSense, truy cập vào menu Interfaces, chọn Assigments

Chỉnh thông số VLAN:

• Parent Interface: chọn hn1 – lan
• VLAN tag: 10
• VLAN Priority: 0
• Description: VLAN 10

IV. Cấu hình VLAN Interface

Bấm vào tab Interface Assignments, bạn sẽ thấy có thêm 1 dòng Available network ports: VLAN 10 on hn1 – lan (VLAN 10)

pfSense sẽ tự động tạo 1 Network Interface mới với tên gọi OPT1. Bấm vào chữ OPT1 để thay đổi thông số

Chỉnh lại các thông số như sau và bấm Save

• Enable: Tick chọn Enable interface
• IPv4 Configuration Type: Static IPv4
• IPv4 Address: 10.0.10.1 / 24

V. Cấu hình DHCP Server cho VLAN

Tiếp tục, cần phải cấu hình DHCP Server cho VLAN Interface vừa mới tạo để các máy tính nằm trong VLAN được cấp IP tự động.

Truy cập vào dịch vụ DHCP Server nằm trong menu Services, chọn qua tab VLAN10 để cấu hình.

• Enable: Tick chọn Enable DHCP server on VLAN10 Interface
• Range: 10.0.10.101 – 10.0.10.199
• DNS: 1.1.1.1 và 1.0.0.1

Sau đó bấm Save để lưu lại.

VLAN 10 đã được tạo và cấu hình DHCP thành công.

VI. Cập nhật VLAN ID cho máy ảo

Để chuyển máy ảo Arch Linux 2, mình sẽ vào Setttings của máy ảo này, truy cập vào mục Network Adapter và đổi VLAN thành 10.

VII. Thiết lập VLAN Trunk cho pfSense

Để pfSense có thể truyền tải VLAN trong mạng nội bộ, cần phải cấu hình đổi chế độ hoạt động của Network Adapter (card mạng) kết nối vào Private Switch thành Trunk Mode.

Việc thiết lập VLAN Trunk bắt buộc phải sử dụng dòng lệnh trong PowerShell. Không thể điều chỉnh trên Hyper-V Manager được.

Bạn cần mở PowerShell (Run as Administrator) và làm theo các bước sau

1. Kiểm tra thông số VLAN

Kiểm tra thông số VLAN của các máy ảo trong mạng bằng lệnh sauTerminal window

Get-VMNetworkAdapterVlan -VMName "(Tên của máy ảo)"

Kết quả nhận được khi kiểm tra 3 máy ảo pfSense, Arch Linux và Arch Linux 2 như sau:

• Arch Linux: Mode Untagged (không sử dụng VLAN)
• Arch Linux: Mode Access – Vlanlist 10 (sử dụng VLAN 10)
• pfSense: Mode Untagged

2. Đổi tên Network Adapter của pfSense

Hiện tại cả hai Network Adapter của pfSense đều sử dụng tên giống nhau: “Network Adapter”. Mình cần phải đổi thành hai tên khác nhau thì mới cấu hình VLAN chính xác.

Kiểm tra tên của Network Adapter của máy ảo pfSenseTerminal window

Get-VMNetworkAdapterVlan -VMName "pfSense Firewall (test)"

Thay đổi tên của Network Adapter thành Internal và External dựa theo Mac AddressTerminal window

Get-VMNetworkAdapter -VMName "pfSense Firewall (test)" | Where-Object MacAddress -EQ "00155D006426"| Rename-VMNetworkAdapter -NewName "Internal"Get-VMNetworkAdapter -VMName "pfSense Firewall (test)" | Where-Object MacAddress -EQ "00155D006425"| Rename-VMNetworkAdapter -NewName "External"

Kiểm tra lại xem tên Adapter đã thay đổi đúng chưa?Terminal window

Get-VMNetworkAdapterVlan -VMName "pfSense Firewall (test)"

3. Thiết lập VLAN Trunk Mode

Giờ mình đã có thể thay đổi VLAN Mode của Network Adapter “Internal” thành Trunk Mode với lệnh sauTerminal window

Set-VMNetworkAdapterVlan -VMName "pfSense Firewall (test)" -VMNetworkAdapterName "Internal" -Trunk -NativeVlanId 0 -AllowedVlanIdList 1-4094

Kiểm tra lại thông số VLANTerminal window

Get-VMNetworkAdapterVlan -VMName "pfSense Firewall (test)"

pfSense đã sẵn sàng phân chia VLAN cho mạng nội bộ.

VIII. Kiểm tra VLAN

1. Trước khi thiết lập VLAN

Dưới đây là thông số DHCP Leases của pfSense trước khi thiết lập VLAN 10.

Cả hai máy ảo thuanbui-arch và arch2 đều nằm chung mạng LAN nội bộ 10.0.0.0/24 với IP lần lượt là 10.0.0.101 và 10.0.0.102

2. Sau khi thiết lập VLAN10

Mình mở lại hai máy ảo nằm trong mạng nội bộ cua pfSense. Sau đó kiểm tra lại DHCP Lease

• Máy ảo thuanbui-arch có IP như cũ 10.0.0.101
• Máy ảo arch2 đã đổi qua IP mới 10.0.10.101 do mình đã đổi nó qua VLAN10 mới thiết lập.

Ở bước sau mình sẽ thiết lập Firewall để VLAN10 có thể truy cập Internet và chặn kết nối giữa LAN và VLAN.

Hai máy ảo tuy cùng cắm vào chung 1 Switch nhưng thuộc 2 mạng LAN khác nhau: 10.0.0.0/24 và 10.0.10.0/24.

Kiểm tra kết nối mạng bằng lệnh ping

• Máy ảo Arch Linux 2 trong VLAN 10 không thể Ping qua máy ảo Arch Linux nhưng ở chiều ngược lại máy ảo Arch Linux có thể ping được qua máy ảo trong VLAN10
• Máy ảo Arch Linux 2 chưa có kết nối mạng Internet trong khi máy ảo Arch Linux kết nối Internet bình thường.

IX. Thiết lập Firewall Rule cho VLAN

1. Mở truy cập Internet cho VLAN10

Để máy ảo trong VLAN10 có thể truy cập Internet, mình cần tạo 1 Firewall Rule mới như sau

• Action: Pass
• Interface: VLAN10
• Protocol: Any
• Source: VLAN10 net
• Destination: Any

Rule này sẽ cho phép VLAN10 truy cập qua LAN. Do đó mình cần tạo thêm 1 Rule để chặn kết nối VLAN10 đến LAN và kéo nó lên đầu danh sách Rule để ưu tiên

• Action: Block
• Interface: VLAN10
• Protocol: Any
• Source: VLAN10 net
• Destination: LAN net

2. Chặn kết nối từ LAN đến VLAN10

Tạo Firewall Rule tương tự như bước ở trên để chặn kết nối giữa 2 mạng nội bộ

• Action: Block
• Interface: LAN
• Protocol: Any
• Source: LAN net
• Destination: VLAN10 net

X. Tổng kết

Trong bài viết này mình đã hướng dẫn cách thiết lập 1 hệ thống VLAN đơn giản sử dụng pfSense trên nền tảng ảo hoá Hyper-V. Trong điều kiện thực tế, tuỳ theo nhu cầu sử dụng, bạn có thể thiết lập thêm nhiều VLAN (tối đa 4096 VLANs) và cấu hình Firewall Rule tương ứng.

Nguồn: thuanbui

• User Manager: quản lý tài khoản quản trị pfSense
• SSH Server: cấu hình đăng nhập SSH
• DHCP Server: cấu hình DHCP Server cho thiết bị trong mạng nội bộ

I. Tạo tài khoản quản lý pfSense

Để tránh phải dùng tài khoản Admin mặc định, mình sẽ tạo thêm tài khoản mới để quản lý pfSense.

II. Cấu hình SSH Server

Để việc quản trị dễ dàng hơn, mình sẽ mở cấu hình Secure Shell để có thể SSH vào pfSense bằng các công cụ như Terminal, SSH.

Truy cập đường dẫn System / Advanced và kéo xuống tới khi gặp dòng Secure Shell.

Tiếp theo, cần phải tạo thêm 1 Firewall để mở cổng 22 cho truy cập từ WAN vào pfSense. Hiện tại pfSense chỉ mới cho phép truy cập theo cổng 443 (HTTPS) đã thiết lập trong [Phần 3].

Bấm vào Firewall, chọn Rules, sau đó bấm Add để tạo Rule mới như sau:

• Action: Pass
• Interface: WAN
• Protocol: TCP
• Source: Any (hoặc có thể điền IP, Subnet của mạng)
• Destination: WAN Address
• Destination port range: SSH
• Description: SSH to Web UI

Giờ mình đã có thể đăng nhập SSH vào pfSense sử dụng tài khoản thuanbui đã tạo ở bước trước

III. Cấu hình DHCP Server

Tiếp theo, mình sẽ chỉnh cấu hình DHCP Server – dịch vụ cung cấp IP động cho máy tính nằm trong mạng LAN nội bộ.

Kích hoạt DHCP Server

Bấm vào Services trên Menu, chọn DHCP Server. Mặc định khi đã hoàn thành các bước thiết lập ban đầu, pfSense đã tự động kích hoạt DHCP Server và cấu hình NAT để các máy trong mạng LAN có thể truy cập ra mạng WAN.

Mình sẽ điều chỉnh lại thông số cho phù hợp với nhu cầu:

• Nhớ bấm Tick vào mục Enable DHCP Server on LAN interface để kích hoạt DHCP Server
• Range: Mình chỉnh lại From 10.0.0.101 – To 10.0.0.199, nghĩa là DHCP Server sẽ sử dụng IP Range từ 10.0.0.101 đến 10.0.0.199 cho các máy tính trong mạng LAN
• DNS Servers: 1.1.1.1 và 1.0.0.1

Sau đó bấm Save để lưu lại.

Thử kết nối từ máy ảo Arch

Mình mở máy ảo nằm trong mạng LAN của pfSense để kiểm tra DHCP Server của pfSense có hoạt động chưa.

Sau khi khởi động máy ảo, kiểm tra IP Address bằng lệnhTerminal window

ip addr show

Kiểm tra xem máy ảo có kết nối Internet khôngTerminal window

ping yahoo.com

Theo dõi DHCP Server

Mình có thể kiểm tra các tình trạng hoạt động của DHCP Server bằng cách truy cập vào mục DHCP Leases trong Menu Status.

Phần 4] của series pfSense Lab đã hết

Nguồn: thuanbui

Ở lần truy cập vào giao diện Web UI, pfSense sẽ tự động hiển thị trang Setup Wizard để thiết lập các thông số chính cho hệ thống.

Thông tin chung

• Hostname: giữ nguyên pfSense, bạn có thể thay đổi sau
• Domain: giữ nguyên mặc đinh home.arpa, bạn có thể thay đổi sau
• Primary & Secondary DNS Server: Điền Cloudflare DNS (1.1.1.1 và 1.0.0.1) hoặc Google DNS (8.8.8.8 và 8.8.4.4), hoặc để trống cũng không sao.
• Override DNS: Chọn mục này nếu bạn muốn sử dụng DNS cung cấp từ DHCP Server gửi đến cổng WAN.

Cấu hình Time Server

Cấu hình WAN Interface

Mình sẽ cấu hình WAN Interface và LAN Interface đúng theo sơ đồ mạng ảo đã thiết kế trong Phần 1.

Thiết lập WAN Interface Type là Static cùng thông số IP như sau:

• IP Address: 192.168.0.200
• Subnet Mask: 24
• Upstream Gateway: 192.168.0.1 (IP của Router Mikrotik)

Trong điều kiện thực tế, nếu bạn sử dụng pfSense để kết nối với modem quang của nhà mạng, cần phải chỉnh WAN Interface Type thành PPPoE và nhập Username / Password được cung cấp để xác thực kết nối.

Block RFC1918 Private Networks: mục này có nghĩa là pfSense sẽ chặn tất cả các truy cập vào cổng WAN từ các dãy IP nội bộ (10/8, 172.16/12, 192.168/16)

Do mình pfSense trong mạng ảo của Hyper-V, các kết nối vào cổng WAN đều là IP nội bộ (192.168.0.0/24), do đó cần phải bỏ chọn Block RFC1918 Private Networks để cho phép Host có thể truy cập vào trang quản trị của pfSense.

Cấu hình LAN Interface

Thay đổi mật khẩu Admin

Lưu lại thông số

II. Truy cập Web UI theo IP mới

Bạn cần phải quay lại Shell của pfSense để tắt packet-filter. Lý do vì sau khi thiết lập, pfSense khởi động lại dịch vụ và sẽ quay về chế độ mặc định chặn truy cập Web UI vào cổng WAN.

Truy cập vào trang quản trị Web UI theo WAN IP mới đã thay đổi trong bước thiết lập ban đầu: 192.168.0.200.

• Tài khoản: admin
• Mật khẩu: mật khẩu mới bạn đã thay đổi ở bước trên

III. Cho phép truy cập Web UI từ WAN

Để tiện việc cấu hình pfSense khi truy cập từ máy tính trong mạng nhà (nằm trên WAN của pfSense), mình sẽ tạo 1 Firewall Rule mới cho phép truy cập vào Web UI từ WAN. Nhờ vậy, không phải truy cập Shell gõ lệnh pfctl -d nữa.

Thiết lập thông số như sau:

• Action: Pass
• Interface: WAN
• Protocol: TCP
• Source: Any (hoặc có thể điền IP, Subnet của mạng)
• Destination: WAN Address
• Destination port range: HTTPS
• Description: Cho phép truy cập Web UI từ WAN

Vậy là xong. Bạn có thể truy cập vào pfSense theo địa chỉ 192.168.0.200 từ bất cứ máy tính nào trong nhà.

https://192.168.0.200

Bài viết đến đây tạm kết thúc

Nguồn: thuanbui