• pfSense đã được cấu hình mạng Internet. (Xem hướng dẫn)
• 1 VPS đã được thiết lập WireGuard Server. Bạn có thể tham khảo hướng dẫn dưới đây để tạo VPN Server miễn phí

Hướng dẫn thiết lập VPN Server miễn phí với Oracle Cloud VPS

II. Cài đặt WireGuard package

Mặc định pfSense chưa có sẵn dịch vụ WIreGuard VPN. Bạn cần phải cài thêm WireGuard từ trang quản lý Package Manager.

Truy cập vào Web UI của pfSense, bấm vào Mneu System , chọn Package Manager. Sau đó bạn chọn qua tab Available Packages

Kéo xuống dưới, tìm WireGuard và bấm Install để cài đặt.

Chờ vài phút để pfSense tải và cài đặt WireGuard. Sau khi cài thành công, bạn sẽ thấy thông báo Success.

III. Cấu hình WireGuard VPN

1. Chuẩn bị file Wireguard Client

Trước tiên, bạn cần phải truy cập WireGuard VPN Server để tạo 1 Client mới dành cho Mikrotik và tải file conf về. Nội dung file sẽ tương tự như dưới đây.

[Interface]
PrivateKey = UDbFxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxaN9Oms=
Address = 10.7.0.3/24
DNS = 10.2.0.100

[Peer]
PublicKey = e/VZhqIyyyyyyyyyyyyyyyyyyyyyyyyy/4wS37B5x8QMxg=
PresharedKey = 5XvmWvYUm2xxxxxxxxxxxxxxxxxxxxxxxxxxxlgYPoFzj8Q618=
AllowedIPs = 0.0.0.0/0, ::/0
Endpoint = 146.ooo.iii.eee:51820
PersistentKeepalive = 0

Chúng ta sẽ dùng thông tin trong file conf này để cấu hình WireGuard VPN trên pfSense.

3. Tạo Tunnel

Bấm vào Menu VPN, chọn WireGuard để truy cập vào trang quản lý WireGuard. Bấm Add Tunnel.

Chúng ta sẽ dùng thông tin trong mục [Interface] của file cấu hình ở trên để thiết lập Tunnel

Nhập thông số:

• Enable Tunner: bấm chọn
• Description: tuỳ bạn chọn, mình ghi WireGuard-SF
• Interface Keys: nhập vào Private key nằm trong phần [Interface] của file cấu hình .conf. Sau đó mục Public Key kế bên sẽ tự động được tạo ra.
• Interface Address: nhập vào Address trong phần [Interface] của file cấu hình .conf

Bấm Save tunnel để lưu lại.

3. Tạo Peer

Bấm qua tab Tunnel, bấm vào Add Peer.

Chúng ta sẽ dùng thông tin trong mục [Peer] của file cấu hình ở trên để thiết lập Peer.

Nhập thông số:

• Enbale Peer: Bấm chọn
• Tunnel: chọn Tunnel mới vùa tạo ở bước 2
• Endpoint / Port / Public Key / Preshared Key / Keep Alive / Allowed IP: nhập theo thông tin trong file cấu hình

Bấm Save Peer để lưu lại.

4. Kích hoạt WireGuard

Bấm qua tab Settings, bấm chọn vào mục Enable WireGuard để kích hoạt WireGuard và bấm Save.

Sau đó, chuyển qua tab Status, bấm vào nút Show Peers, bạn sẽ thấy thông báo kết nối thành công đến WireGuard VPN Server.

IV. Cấu hình WireGuard Interface

Truy cập vào mục Interface Assignment từ menu Interfaces. Bấm vào nút Add ở dòng Available network ports.

Sau đó bấm vào Interface vừa tạo để thiết lập thông số

• Enable: bấm chọn Enable Interface
• Description: WG (hoặc tên gì tuỳ ý bạn)
• IPv4 Configuration Type: Static IPv4
• IPv6 Configuration Type: Static IPv6
• IPv4 Address: nhập vào Address trong phần [Interface] của file cấu hình .conf
• IPv6 Address: nhập vào Address trong phần [Interface] của file cấu hình .conf

Bấm vào nút Add a new gateway cạnh mục IPv4 và IPv6 để tạo Gateway mới. Nhập vào thông tin và bấm Add.

Bấm Save để lưu lại.

V. Thiết lập Gateway mặc định

Bấm vào Menu System, chọn Routing để truy cập trang thiết lập Gateways.

Bạn cần thiết lập Gateway mặc định cho mạng sử dụng Gateway của WAN

• Default gateway IPv4: chọn WAN_DHCP
• Default gateway IPv6: WAN_DHCP6

Bấm Save để lưu lại

VI. Cấu hình Firewall Rule for WireGuard

Để truy cập Internet thông qua WireGuard, bạn cần thiết lập Firewall Rule cho LAN.

Bấm vào menu Firewall, chọn Rules, sau đó bấm tiếp qua tab LAN. Bấm vào nút Add để tạo rule mới

Thông số:

• Action: Pass
• Interface: LAN
• Address Family: IPv4 hoặc IPv4+v6
• Protocol: Any
• Destination: WAN net

Bấm vào nút Advance Setting, mục Gateway: chọn Gateway WireGuard: WG_GW

Sau đó bấm Save. Bấm tiếp Apply để kích hoạt Firewall Rule mới.

Với Firewall Rule mới thiết lập, mọi kết nối từ trong LAN sẽ được chuyển hướng đi qua WireGuard Gateway. Bạn có thể kiểm tra bằng cách truy cập https://ip.me/ sẽ thấy hiện ra IP của VPN Server đang kết nối.

VII. Định tuyến tự động mạng quốc tế chạy qua VPN

Với cách thiết lập ở bước trên, mọi kết nối từ trong mạng LAN đều sẽ được gửi đến WireGuard VPN Server. Mình sẽ làm thêm 1 bước nữa để phân luồng mạng:

• Truy cập ra quốc tế sẽ chạy qua VPN.
• Truy cập trong nước sẽ đi trực tiếp, không qua VPN.

Nguyên lý hoạt động như sau

• Tạo 1 danh sách tất cả IP của Việt Nam sử dụng tính năng Alias của pfSense
• Tạo thêm Firewall Rule: chỉ các truy cập nào không phải đến IP Việt Nam mới chạy qua VPN.

1. Tạo IP Aliases

Từ Menu Firwall, bấm chọn Aliases. Bấm vào nút Import để nhập vào danh sách IP.

Sử dụng danh sách chứa tàon bộ dải IP của Việt Nam ở link dưới đây để nhập vào ô Aliases to Import

https://gist.githubusercontent.com/10h30/4347744f239f837dc0997ccbb1a0fd93/raw/abaeda6863304c0edf1b9b10439fcb7398ee14f6/pfsense-vietnam-ip-list

Aliase Name: Vietnam_IP_List

Bấm Save để lưu lại

2. Chỉnh sửa Firewall Rule

Quay lại trang quản lý Firewall Rule của LAN, chỉnh sửa lại Wirewall rule đã tạo ở bước trước đó, chỉnh lại thông số ở mục Destination:

• Destination: bấm chọn Invert Match, chọn Single host or Alias, sau đó gõ Vietnam_IP_List ở mục địa chỉ kế bên, bạn sẽ thấy tên hiện ra. Bấm chọn nó.

Bấm Save để lưu lại.

Danh sách Firewall Rule cho LAN sẽ hiện ra như sau:

Với thiết lập này, tất cả các truy cập đến IP quốc tế (nằm ngoài dải IP Việt Nam) sẽ chạy qua WireGuard VPN. Còn các truy cập trong nước sẽ chạy qua kết nối mạng thông thường.

Bạn có thể kiểm tra bằng cách truy cập vào https://ip.me và https://kiemtraip.com/ sẽ thấy hiện ra 2 IP khác nhau:

• IP.me hiện ra IP của VPN Server
• KiemtraIP: hiện ra IP của WAN.

Để bảo đảm kết nối thông suốt, bạn nên thiết lập Failover để tránh tính trạng VPN Server gặp vấn đề sẽ ảnh hưởng đến kết nối quốc tế.

Chúc bạn thực hiện thành công!

Nguồn: thuanbui

1. Load Balancing

Trong hệ thống mạng, Load Balancing (cân bằng tải) là tính năng giúp gộp băng thông 2 hay nhiều đường truyền WAN để nâng cao tốc độ và sự ổn định cho mạng LAN.

Ví dụ: WAN 1 có tốc độ 3Mbps và WAN 2 có tốc độ 7Mbps. Khi thiết lập Load Balancing, băng thông sẽ được gộp lại thành 10Mbps.

Khi một trong hai đường truyền WAN mất kết nối, hệ thống sẽ tự động chuyển qua sử dùng đường truyền còn lại.

2. Failover là gì?

Failover (chế độ dự phòng) là tính năng thiết lập mạng WAN dự phòng cho mạng WAN chính. Khi mạng WAN chính gặp trục trặc, router sẽ tự động chuyển qua sử dụng mạng dự phòng để giúp kết nối không bị gián đoạn.

Ví dụ: WAN 1 có tốc độ 7Mbps và WAN 2 có tốc độ 3Mbps. Với thiết lập Failover: WAN 1 là mạng chính và WAN 2 làm mạng dự phòng, hệ thống chỉ sử dụng đường truyền của WAN 1 – 7Mbps. Khi WAN 1 mất kết nối, WAN 2 sẽ được kích hoạt thay thế.

Failover thường được sử dụng trong trường hợp bạn chỉ muốn sử dụng mạng WAN dự phòng trong trường hợp bất khả kháng. Ví dụ: chỉ dùng mạng WAN 4G khi mạng FTTH ở nhà gặp trục trặc.

II. Thiết lập hệ thống mạng

Để thực hiện Load Balancing và Failover trên pfSense, yêu cầu pfSense phải có ít nhất 3 card mạng: 2 WAN và 1 LAN. Mình thiết lập hệ thống mạng ảo như dưới đây để thực hiện nghiên cứu

Quy trình thiết lập như sau:

1. Tạo 3 máy ảo pfSense sử dụng phương pháp clone (tạo bản sao) máy ảo trên Hyper-V.
   • 2 máy ảo pfSense đóng vai trò làm ISP ảo cung cấp kết nối WAN 1 và WAN 2
   • 1 máy ảo pfSense đóng vai trò làm Router chính sẽ được thiết lập Load Balancing và Failover.
2. Giới hạn băng thông: 70Mbps cho WAN 1 10.0.0.0/24 và 30Mbps cho WAN 2 172.27.0.0/24 (Xem hướng dẫn: Cấu hình giới hạn băng thông mạng LAN)
3. Tạo 3 Private Switch để kết nối các máy ảo lại với nhau.

Thao tác cấu hình Load Balancing và Failover sẽ được thực hiện trên pfSense trung tâm nằm ngay giữa sơ đồ.

III. Cấu hình Load Balancing

Trước khi cấu hình Load Balancing, bạn cần phải hoàn thành việc thiết lập các cổng mạng WAN Interface và LAN Interface trên pfSense.

Xem hướng dẫn : Cấu hình căn bản cho pfSense

1. Tạo Gateway Groups

Truy cập vào mục Gateway Groups: Bấm vào mục Routing trong Menu System, sau đó chọn qua tab Gateway Groups.

Bấm vào nút Add để tạo mới Gateway Group

• Group Name: Load_Balancer
• Gateway Priority: Chọn Tier 1 cho cả hai WAN.
• Trigger Level: Member Down
• Description: Dual Wan Load Balancer.

Mục Gateway Priority sẽ quyết định Gateway Group của bạn hoạt động dưới chế độ Load Balancing hay Failover:

• Hai WAN được set cùng Tier 1: chế độ Load Balancing, hai đường truyền sẽ được sử dụng đồng thời.
• Nếu hai WAN được set Tier khác nhau: ví dụ WAN 1 – Tier 1 & WAN 2 – Tier 2, chỉ WAN 1 sẽ được sử dụng cho đường truyền chính. Khi WAN 1 mất kết nối, WAN 2 sẽ được sử dụng.

Sau khi nhập thông số, bấm Save. Sau đó bấm thêm Apply Changes để xác nhận.

2. Thiết lập Monitor IP

Để pfSense nhận biết được WAN có mất kết nối Internet không, cần phải thiết lập Monitor IP cho từng Gateway. Mình sẽ sử dụng 2 Public IP sau đây để theo dõi hai cổng WAN

• WAN 1: 8.8.8.8 (DNS của Google)
• WAN 2: 208.67.222.222 (DNS của OpenDNS)

Quay lại tab Gateways, bấm vào biểu tượng bút chì để chỉnh sửa thông số

Kéo xuống phần Monitor IP: nhập vào 8.8.8.8 và bấm Save

Lập lại thao tác tương tự cho WAN 2.

3. Điều chỉnh Firewall Rule

Để sử dụng Gateway Group cho mạng LAN, chúng ta cần phải điều chỉnh lại Firewall Rule của pfSense.

Truy cập vào mục Rules từ Menu Firewall, chọn qua tab LAN. Bấm vào biểu tượng bút chì để thay đổi thông số cho Rule mặc định “Default allow LAN to any rule”

Kéo xuống dưới cùng, bấm vào nút Display Advanced để hiện ra các thông số nâng cao.

Mục Gateway: chọn Load_BLancer – Dual WAN Load Balancer. Sau đó bấm Save

Bấm tiếp Apply Changes để kích hoạt thay đổi.

4. Thực nghiệm Load Balancing

Mình sử dụng dịch vụ Speedtest.vn để kiểm tra băng thông mạng trên máy ảo WIndows 10 nằm trong mạng LAN của pfSense.

a. Trước khi kích hoạt Load Balancing

Trước khi kích hoạt Load Balanching, pfSense chỉ sử dụng đường truyền từ WAN 1 (30Mbps). Kiểm tra Speedtest ra kết quả tương ứng.

b. Sau khi kích hoạt Load Balancing

Sau khi kích hoạt, băng thông của WAN 1 (30Mbps) và WAN 2 (70Mbps) được gộp lại. Speedtest ra được 100Mbps. Ngon lành!

c. WAN 1 mất kết nối

Như đã chia sẻ ở đầu bài, chế độ Load Balancing mặc định sẽ hoạt động như một giải pháp Failover khi 1 trong 2 cổng WAN mất kết nối.

Mình kiểm tra thử bằng cách vào mục Interfaces trong Menu Status, sau đó bấm Release WAN1 để ngắt kết nối WAN 1.

Lúc này pfSense chỉ còn sử dụng đường truyền WAN 2 (70Mbps). Kiểm tra Speedtest cho ra tốc độ đúng như thông số.

IV. Cấu hình Failover

Thao tác cấu hình Failover gần như y hệt cấu hình Load Balancing. Khác biệt duy nhất là ở mục thiết lập thông số Gateway Priority khi tạo Gateway Group.

• WAN 1: Tier 1
• WAN 2: Tier 2

WAN 1 sẽ được sử dụng làm đường truyền chính, WAN 2 để dự phòng và chỉ được sử dụng khi WAN 1 mất kết nối.

Thac tác 2-3-4 thao tác y hệt như mục Cấu hình Load Balancing ở trên nên mình sẽ không nhắ lại.

V. Tổng kết

Thông thường với hệ thống mạng Dual-WAN, bạn nên thiết lập 3 Gateway Groups:

• Load Balance: Gateways của WAN1 và WAN2 cùng Tier 1
• PreferWAN1: Gateway của WAN1: Tier 1 và WAN2: Tier 2
• PreferWAN2: Gateway for WAN1: Tier và WAN2: Tier 1

Tuỳ theo nhu cầu sử dụng mà bạn chọn Gateway Group tương ứng. Ví dụ:

• LAN: dùng Load Balancing
• VLAN 10: Dùng Failover WAN1
• VLAN 20: Dùng Failover WAN2

Bài viết kết thúc ở đây

Nguồn: thuanbui

Sơ đồ Lab sử dụng cho bài viết này như hình ở đầu bài:

• pfSense đóng vai trò Router chính, cung cấp Internet cho hai máy tính trong mạng LAN: Windows 10 và Arch Linux 2.
• Mình sẽ cấu hình giới hạn băng thông trên cổng mạng LAN của pfSense:
  • Download: 10Mbps
  • Upload: 50Mbps

Sau khi cấu hình giới hạn băng thông, các máy tính trong mạng LAN sẽ không thể vượt quá hạn mức đã thiết lập trên pfSense.

Tính năng giới hạn băng thông của pfSense được quản lý bởi dịch vụ Limiter thuộc phần Traffic Shaper. Chúng ta cần tạo 2 quy tắc giới hạn băng thông: 1 dành cho Download và 1 dành cho Upload.

1. Tạo Upload Limiter

Từ Menu Firewall, chọn Traffic Shaper, chọn tiếp tab Limiters.

Bấm vào New Limiter để thiết lập quy tắc giới hạn mới

Thiết lập thông số:

• Bấm chọn Enable limiter and its childer mở chế độ giới hạn băng thông.
• Name: Upload
• Bandwidth: 50 Mbit/s
• Mask: Source addresses
• Description: Limit Upload Bandwidth

Phần còn lại để trống. Bấm Save

2. Tạo Download Limiter

Lập lại thao tác tương tự để tạo Download Limiter

• Bandwidth: 10Mbit/s
• Mask: Destination addresses

Bấm Save. Sau đó bấm tiếp Apply Changes để kích hoạt Limiter.

3. Cập nhật Firewall Rule

Tiếp theo, mình vào Firewall Rule của LAN và chỉnh sửa lại thông số.

Bấm vào biểu tượng bút chì của Firewall Rule hiện tại của mạng LAN để chỉnh sửa

Kéo xuống dưới, bấm vào nút Display Advanced để hiện ra các thông số cấu hình nâng cao.

Mục In / Out pipe: Chọn Upload ở mục bên trái và Download ở mục bên phải. Bấm Save để lưu lại.

Bấm Apply changes để kích hoạt sửa đổi.

4. Kiểm tra

Mình sử dụng dịch vụ Speedtest.vn để kiểm tra băng thông mạng trên máy tính chạy Windows 10 nằm trong mạng LAN của pfSense.

Dưới đây là kết quả đo tốc độ mạng trước khi thiết lập giới hạn băng thông: Download và Upload đều đạt tối đa ~ 150Mbps

Sau khi thiết lập giới hạn băng thông, truy cập Speedtest.vn để kiểm tra lại. Kết quả hiện ra đúng như thông số đã thiết lập: Download ~ 10Mbps và Upload ~ 50Mbps

Trên đây chỉ là ví dụ đơn giản cách thiết lập giới han băng thông trên pfSense. Trong điều kiện thực tế, bạn có thể kết hợp sử dụng thêm tính năng Schedule và VLAN của pfSense để cấu hình giới hạn băng thông chi tiết và hiệu quả hơn cho mạng nội bộ.

Nguồn: thuanbui

Hyper-V không có sẵn tính năng Clone máy ảo như trên VMWare, Proxmox hay VirtualBox. Do đó để tạo bản sao của máy ảo đang có trên Hyper-V, bạn phải thực hiện hai thao tác: xuất máy ảo (export virtual machine) và nhập máy ảo (import virtual machine).

Bạn có thể thực hiện xuất và và nhập máy ảo trực tiếp trên giao diện của Hyper-V Manager, hoặc sử dụng dòng lệnh trong PowerShell. Trong bài này mình thao tác trên Hyper-V cho trực quan và dễ hiểu.

1. Xuất máy ảo

Bạn có thể xuất máy ảo khi nó đang tắt hoặc trong khi nó đang hoạt động đều được.

Chọn vào máy ảo muốn xuất, bấm chuột phải và chọn Export…

Chọn thư mục để lưu và bấm nút Export.

Thời gian xuất dài ngắn tuỳ thuộc vào cấu hình (kích thước ổ cứng) của máy ảo gốc. Nếu bạn sử dụng SSD, thường chỉ mất vài phút để hoàn thành công đoạn này.

2. Nhập máy ảo

Để tạo bản sao của máy ảo vừa mới được xuất, bấm vào Import Virtual Machines… trong mục Actions của Hyper-V Manager

Bấm Next để bắt đầu chỉnh thông số

Tìm và mở thư mục bạn lưu máy ảo đã xuất. Sau đó bấm Next

Bước Select Virtual Machine sẽ hiện ra tên của máy ảo gốc bạn đã chọn để xuất ở bước trước đó. Chọn và bấm Next

Hyper-V yêu cầu mỗi máy ảo phải có ID khác nhau. Do đó ở bước này cần phải chọn mục Copy the virtual machine (create a new unique ID). Hai mục còn lại chỉ dùng khi bạn nhập máy ảo trên một máy tính vật lý khác.

Chọn thư mục để lưu máy ảo mới. Bạn nên gom tất cả vào chung 1 thư mục để dễ quản lý.

Chọn thư mục lưu ổ cứng ảo. Nên chọn chung thư mục lưu máy ảo

Bấm Finish để Hyper-v tạo máy ảo mới từ mẫu có sẵn.

Máy ảo mới tạo sau khi nhập thành công sẽ có tên y hệt như máy ảo gốc. Do đó bạn nên đổi tên để dễ phân biệt.

Lập lại bước 2 nếu bạn cần thêm nhiều bản sao cho hệ thống mạng ảo.

3. Cập nhật thông số

Nếu máy ảo gốc được thiết lập Static IP, máy ảo mới cũng sẽ sử dụng cùng IP, gây ra lỗi két nối mạng. Do đó, bạn cần phải truy cập vào máy ảo mới để thay đổi cấu hình IP Address.

Ví dụ với máy ảo pfSense Firewall 2, mình phải truy cập vào giao diện Shell và thiết lập lại IP của cổng WAN để không bị lỗi kết nối đến Switch.

Nếu cần thay đổi các thông số cổng mạng, RAM, CPU, truy cập vào mục Settings của máy ảo để thay đổi.

Chúc bạn thực hiện thành công!

Để học cách cấu hình PPPoE Client trên pfSense, mình cần phải tạo thêm PPPoE Server trong mạng ảo. pfSense có thể được cấu hình làm PPPoE Client lẫn PPPoE Server nên mình sẽ tạo thêm 1 máy ảo pfSense và thiết lập lại mạng ảo cho pfSense Lab – [Phần 8] như dưới đây:

Việc tạo thêm 1 bản sao máy ảo pfSense chỉ mất khoảng 5’ sử dụng tính năng tạo bản sao máy ảo của Hyper-V.

Các bạn có thể tham khảo bài hướng dẫn : Hướng dẫn clone (tạo bản sao) máy ảo trên Hyper-V

• PPPoE Server:
  • WAN —> Mikrotik Router
  • LAN —> Private Switch
• PPPoE Client:
  • WAN —> Private Switch (nối với PPPoE Server)
  • LAN —> Private Switch (nối với máy ảo Arch Linux)

1. Cấu hình PPPoE Server

Để cấu hình PPPoE server cho pfSense, truy cập vào dịch vụ PPPoE Server trong menu Services

Bấm vào nút Add để tạo PPPoE Server

Bấm vào Enable PPPoE Server để kích hoạt.

Phần cấu hình PPPoE Server, bạn cần nhập vào các thông số như sau:

• Interface: chọn LAN, hoặc bạn có thể chọn VLAN nếu muốn dùng VLAN cho PPPoE Client
• Total User Count: số lượng PPPoE Client có thể kết nối đồng thời
• User Max Logins: cho phép 1 tài khoản PPPoE Client có thể đăng nhập trên nhiều thiết bị cùng lúc. Chọn 1 : chỉ cho phép 1 tài khoản sử dụng ở 1 thời điểm.
• Server address: Chọn địa chỉ IP bất kỳ, miễn sao không trùng lập với các dải IP đã thiết lập trên pfSense
• Remote Address Range: Địa chỉ IP dùng cho PPPoE Client, cần phải khác Subnet với Server address.
• Subnet Mask: xác định Subnet. Mình chọn 24
• Description: PPPoE Server

Bạ có thể để trống phần RADIUS nếu không dùng RADIUS Server. Kéo tiếp xuống phần User table để tạo tài khoản cho PPPoE Client

• Username: tên tài khoản
• Password: mật khẩu
• IP Address: địa chỉ IP sẽ được cấp cho tài khoản này khi đăng nhập thành công.

Bấm Save để lưu lại

Bấm Apply Changes để kích hoạt các thông số vừa tạo trên PPPoE Server.

PPPoE đã được kích hoạt thành công và đang hoạt động.

Để kiểm tra xem có PPPoE Client nào đang kết nối vào PPPoE Server không, bạn truy cập vào mục Systems Logs trong Menu Status. Sau đó chọn tab PPPoE/L2TP Server.

Các thông tin đăng nhập sẽ hiện ra trong mục PPPoE Logins

2. Cấu hình PPPoE Client

Phần này sẽ được cấu hình trên máy ảo pfSense thiết lập làm PPPoE Client.

Truy cập vào mục WAN trong Menu Interfaces và cấu hình thông số

• IPv4 Configuration Type: PPPoE
• Username: điền vào tên tài khoản đã thiết lập trong PPPoE Server
• Password: điền vào mật khẩu tương ứng.

Nếu bạn sử dụng pfSense làm router chính trong nhà thì Username và Password nhập vào tên tài khoản và mật khẩu mà nhà mạng cung cấp.

Bấm Save.

Bấm tiếp Apply Changes.

Chờ vài giây cho PPPoE Client kết nối đến PPPoE Server. Bạn có thể kiểm tra kết nối thành công chưa bằng cách truy cập vào mục Interfaces trong menu Status.

WAN Interface đã được kết nối thành công và được cấp IP Address 192.168.200.222 đúng như đã thiết lập trên PPPoE Server.

Tuy nhiên, hiện tại các máy ảo nằm trong mạng LAN của PPPoE Client không thể truy cập ra khỏi mạng nội bộ, không thể truy cập Internet. Lý do: chưa thiết lập Firewall Rule trên PPPoE Server cho phép kết nối từ PPPoE Client ra ngoài.

3. Tạo Firewall Rule trên PPPoE Server

Để cho phép các máy tính trọng mạng LAN của PPPoE Client truy cập Internet, mình cần tạo thêm Firewall Rule trên PPPoE Server như hình dưới đây

Thử lại trên máy ảo Arch Linux: kết nối Internet thành công.

[Phần 8] của series pfSense Lab đã xong. Hẹn gặp lại ở các bài viết sau, nếu có.

Nguồn: thuanbui

Captive Portal là một tính năng của pfSense yêu cầu người dùng phải xác thực tài khoản trước khi truy cập vào hệ thống mạng. Người dùng sẽ được chuyển hướng về 1 trang web trung gian và phải đăng nhập bằng tài khoản/mật khẩu, bằng mã voucher, hoặc chỉ cần bấm vào nút Đăng nhập, sau đó mới có thể truy cập vào hệ thống mạng (thường là truy cập Internet).

Tính năng này thường được sử dụng phổ biến trong ngành du lịch – nhà hàng – khách sạn, nhằm mục đích Marketing quảng cáo, hoặc trong văn phòng, cửa hàng bán lẻ nhằm hạn chế truy cập trái phép.

2. Kích hoạt Captive Portal

Truy cập vào mục Captive Portal trong menu Services của pfSense. Sau đó bấm vào nút Add để tạo Captive Portal Zone.

Nhập vào tên (Zone name) và chú thích (Zone description). Bấm Save & Continue

Bấm chọn vào ô Enable Captive Portal để kích hoạt.

3. Cấu hình Captive Portal

Sau khi bấm kích hoạt Captive Portal, trang cấu hình sẽ hiện ra yêu cầu bạn tuỳ chỉnh thông số. Dưới đây là giải thích các thông số quan trọng:

• Interfaces: chọn hệ thống mạng nội bộ bạn muốn áp dụng Captive Portal. Trong điều kiện thực tế, bạn nên tạo 1 VLAN riêng biệt để dùng cho Captive Portal. Mình chọn LAN cho đơn giản.
• Maximum Concurrent connections: giới hạn số lượt truy cập cùng lúc từ 1 IP, không phải giối hạn số lượng người dùng.
• Idle timeout (Minutes): tự động ngắt kết nối sau khoảng thời gian không hoạt động.
• After authentication Redirection URL: tự động chuyển hướng về địa chỉ này sau khi đăng nhập thành công. Mục này thường được thiết lập nếu bạn muốn quảng cáo website cho tất cả người dùng truy cập vào mạng.
• Concurrent User logins: quy định số lượng truy cập trên mỗi tài khoản
  • Disabled: chỉ cho phép 1 lượt đăng nhập trên mỗi tài khoản / voucher
  • Multiple: không giới hạn lượt đăng nhập trên mỗi tài khoản / voucher
  • Last login: lượt đăng nhập sau sẽ được trao quyền truy cập. Lượt truy cập trước đó sẽ bị ngắt.
  • First login: chỉ lượt đăng nhập đầu tiên có quyền truy cập. Các lượt đăng nhập sau đều không hiệu lực

• Captive Portal Login Page: bạn có thể thay đổi logo và hình nền và điều khoản sử dụng của trang Portal cho phù hợp với thương hiệu của mình. Mình để mặc định cho đơn giản.
• Authentication:
  • Authentication method: lựa chọn cách thức xác nhận tài khoản: Authentication backend (sử dụng trang đăng nhập), None (yêu cầu bấm nút xác nhận), Radius MAC Authentication (xác thực bằng MAC address)
  • Authentication Server: chọn Local Database

Mình chọn các xác thực bằng cách sử dụng trang đăng nhập: Authentication backend. Sau đó bấm Save để lưu lại.

4. Tạo Voucher đăng nhập

Khi chọn cách thức xác thực tài khoản, bạn có thể tạo tài khoản pfSense hoặc tạo mã Voucher đăng nhập. Mình chọn cách tạo mã Voucher đăng nhập vì có thể giới hạn thời gian truy cập cho mỗi người dùng.

Bấm qua tab Voucher, kích hoạt mục Enable the creation, generation and activate of rolls with vouchers và bấm Save.

Bấm vào nút Generate new keys để tạo mã bảo mật mới. Các thông số còn lại có thể giữ nguyên. Bấm Save để lưu lại.

Mục Voucher Rolls sẽ hiện ra thêm nút Add. Bấm vào nó để tạo danh sách voucher.

Điền vào các thông số như sau và bấm Save

• Roll #: điền bất kỳ số nào trong khoảng 0 – 65535
• Minutes per ticket: giới hạn thời gian truy cập cho mỗi voucher
• Count: số lượng voucher cần tạo.
• Comment: chú thích để ghi nhớ

Danh sách voucher đã được tạo thành công. Bấm vào biểu tượng Excel bên trái để tải về danh sách theo định dạng csv.

5. Điều chỉnh DHCP Server

Tiếp theo, bạn cần truy cập vào dịch vụ DHCP Server của pfSense, chọn đúng Network Interface đã kích hoạt ở bước trên: LAN.

Kéo xuống phần DNS Servers và xoá hết địa chỉ IP nếu có. Captive Portal yêu cầu phải sử dụng DNS Server mặc định của pfSense. Nếu bỏ qua bước này, người dùng sẽ không được tự động chuyển hướng về trang Captive Portal để đăng nhập sử dụng mạng.

6. Thực nghiệm Captive Portal

Do mình đang sử dụng pfSense trong nền tảng ảo hoá nên việc thực nghiệm Captive Portal sẽ được thực hiện trên máy ảo Windows 10 kết nối vào mạng LAN của pfSense.

Mở Edge, truy cập google.com, trình duyệt tự động chuyển hướng qua trang đăng nhập với logo pfSense.

Video minh hoạ dưới đây

Bạn có thể kiểm tra danh sách truy cập vào Captive Portal trên giao diện quản lý của pfSense: bấm vào Status —> Captive Portal.

Bạn có thể kiểm tra danh sách Voucher đang sử dụng, kiểm tra Voucher hay vô hiệu hoá Voucher trong trang quản lý này. Hoặc bấm vào nút Disconnect All Users để kick hết mọi tài khoản ra khỏi mạng.

Nguồn: thuanbui

1. Zone ID là gì?

Zone ID là mã số định danh duy nhất cho từng tên miền (zone) mà bạn quản lý trên Cloudflare. Zone ID được sử dụng trong nhiều lệnh API của Cloudflare để xác định chính xác tên miền mà bạn muốn thao tác.

Ví dụ: Khi bạn muốn cập nhật DNS thông qua API, bạn sẽ cần cung cấp Zone ID để Cloudflare biết tên miền nào cần chỉnh sửa.

2. Cách lấy Zone ID trên Cloudflare

Truy cập vào trang chủ của Cloudflare tại https://www.cloudflare.com và đăng nhập vào tài khoản của bạn.

Sau khi đăng nhập, bạn sẽ thấy danh sách các tên miền đã thêm vào Cloudflare. Bấm chọn vào tên miền bạn muốn tìm Zone ID

Sau khi vào trang quản lý của tên miền, kéo xuống dưới cùng của trang Overview, phía cột bên phải bạn sẽ thấy mục Zone ID nằm trong phần API.

Ví dụ:

Zone ID: 43423423423432430abcdef

Hãy sao chép Zone ID này lại để sử dụng khi cần.

3. API Token là gì và tại sao cần tạo API Token?

API Token là mã thông báo bảo mật cho phép truy cập và thực hiện các thao tác trên Cloudflare thông qua API. Bạn có thể tạo các API Token với quyền hạn cụ thể tùy vào từng mục đich sử dụng, giúp tăng cường bảo mật.

Ví dụ: bạn có thể tạo một API Token chỉ để cập nhật DNS, hoặc một API Token khác để quản lý Firewall Rules.

4. Cách tạo API Token trên Cloudflare#

Truy cập vào https://dash.cloudflare.com/profile/api-tokens để vào trang quản lý API Tokens. Hoặc từ trang chủ Cloudflare, bấm vào biểu tượng Tài khoản rồi chọn My Profile

Tiếp theo, bấn chọn vào mục API Token ở Menu bên trái

Để tạo Token mới, bấm vào nút Create Token

Cloudflare đã tạo sẵn nhiều mẫu (template) để chúng ta có thể cấu hình nhanh thông số cho Token. Nếu chỉ cần API Token liên quan đến DNS, bấm chọn vào nút Use template của mục Edit Zone DNS

Tiếp theo, cấu hình quyền cho Token. Sau đó bấm Continue to Summary

• Chọn quyền Zone**:Edit** để có thể đọc và chỉnh sửa thông tin của tên miền.
• Chọn cụ thể tên miền (hoặc tất cả tên miền) mà API Token này sẽ được phép truy cập.

Bấm Create Token để xác nhận

Cloudflare sẽ hiển thị mã API Token của bạn một lần duy nhất. Hãy sao chép và lưu lại mã này để sử dụng.

Lưu ý: Không chia sẻ API Token của bạn với người khác và tránh lưu trữ ở những nơi không an toàn.

Bạn có thể xác nhận lại token có hoạt động hay không bằng cách gõ dòng lệnh curl ... vào terminal. Nếu thấy kết quả trả về có dòng "status": "active" nghĩa là token đang hoạt động.

{"result":{"id":"2a8376b6ab629d04aba6957570fd1d56","status":"active"},"success":true,"errors":[],"messages":[{"code":10000,"message":"This API Token is valid and active","type":null}]}%

5. Lưu ý bảo mật

• Bạn nên sử dụng API Token thay vì Global API Key để tăng cường bảo mật.
• Chỉ cấp các quyền cần thiết cho API Token.
• Mỗi ứng dụng nên sử dụng một API Token riêng.
• Xóa các API Token không còn sử dụng.
• Sử dụng các công cụ quản lý mật khẩu như Bitwarden hoặc 1Password để lưu trữ API Token an toàn.

• Truy cập trực tiếp bằng Public IP của modem
• Truy cập qua tên miền được cấu hình trỏ đến Public IP.

Đa số mọi người sẽ chọn cách thứ hai vì nó đơn giản, dễ nhớ hơn so với chuỗi dãy số IP xxx.xxx.xxx.xxx. Tuy nhiên nếu mạng ở nhà sử dụng IP động (đa số trường hợp), tên miền cần phải được tự động cập nhật mỗi khi Public IP thay đổi để tránh kết nối bị lỗi.

Hiện tại mình đang dùng 1 bash script trên Raspberry Pi để tự động cập nhật IP động cho tên miền qua dịch vụ CloudFlare. Nhờ vậy tên miền luôn được trỏ đến IP mới nhất được cấp cho modem mạng ở nhà.

Dưới đây là hướng dẫn chi tiết cách thiết lập

1. Yêu cầu

• Đã có sẵn tên miền và đã có tài khoản Cloudflare.
• Tên miền đã được chuyển về CloudFlare quản lý
• Máy tính / máy ảo chạy Linux (Ubuntu / Arch / CentOS / …) hoặc Raspberry Pi (đời nào cũng được)

Lưu ý: Tên miền sử dụng phải là loại trả phí (.com, .net, .org, .me, …), không thể sử dụng các loại tên miền miễn phí (.tk, .ga, .ml, .cf, .gq, …) vì Cloudflare không hỗ trợ.

2. Cài đặt Cloudflare.sh script

Bạn cần truy cập SSH vào máy tính để thiết lập script.

Tạo file cloudflare.sh trong thư mục $HOME

cd ~
mkdir cloudflare
cd cloudflare
nano cloudflare.sh

Nhập vào nội dung sau

#!/bin/bash

# Forked from benkulbertis/cloudflare-update-record.sh
# CHANGE THESE

# API Token (Recommended)                                                                      #####
auth_token="xxxx-xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx"

# Domain and DNS record for synchronization
zone_identifier="f1nd7h3fuck1n6z0n31d3n71f13r4l50" # Can be found in the "Overview" tab of your domain
record_name="ipv4.example.org"                     # Which record you want to be synced

# DO NOT CHANGE LINES BELOW

# SCRIPT START
echo -e "Check Initiated"

# Check for current external network IP
ip=$(curl -s4 https://icanhazip.com/)
if [[ ! -z "${ip}" ]]; then
  echo -e "  > Fetched current external network IP: ${ip}"
else
  >&2 echo -e "Network error, cannot fetch external network IP."
fi

# The execution of update
if [[ ! -z "${auth_token}" ]]; then
  header_auth_paramheader=( -H '"Authorization: Bearer '${auth_token}'"' )
else
  header_auth_paramheader=( -H '"X-Auth-Email: '${auth_email}'"' -H '"X-Auth-Key: '${auth_key}'"' )
fi

# Seek for the record
seek_current_dns_value_cmd=( curl -s -X GET '"https://api.cloudflare.com/client/v4/zones/'${zone_identifier}'/dns_records?name='${record_name}'&type=A"' "${header_auth_paramheader[@]}" -H '"Content-Type: application/json"' )
record=`eval ${seek_current_dns_value_cmd[@]}`

# Can't do anything without the record
if [[ -z "${record}" ]]; then
  >&2 echo -e "Network error, cannot fetch DNS record."
  exit 1
elif [[ "${record}" == *'"count":0'* ]]; then
  >&2 echo -e "Record does not exist, perhaps create one first?"
  exit 1
fi

# Set the record identifier from result
record_identifier=`echo "${record}" | sed 's/.*"id":"//;s/".*//'`

# Set existing IP address from the fetched record
old_ip=`echo "${record}" | sed 's/.*"content":"//;s/".*//'`
echo -e "  > Fetched current DNS record value   : ${old_ip}"

# Compare if they're the same
if [ "${ip}" == "${old_ip}" ]; then
  echo -e "Update for A record '${record_name} (${record_identifier})' cancelled.\\n  Reason: IP has not changed."
  exit 0
else
  echo -e "  > Different IP addresses detected, synchronizing..."
fi

# The secret sause for executing the update
json_data_v4="'"'{"id":"'${zone_identifier}'","type":"A","proxied":true,"name":"'${record_name}'","content":"'${ip}'","ttl":120}'"'"
update_cmd=( curl -s -X PUT '"https://api.cloudflare.com/client/v4/zones/'${zone_identifier}'/dns_records/'${record_identifier}'"' "${header_auth_paramheader[@]}" -H '"Content-Type: application/json"' )

# Execution result
update=`eval ${update_cmd[@]} --data $json_data_v4`

# The moment of truth
case "$update" in
*'"success":true'*)
  echo -e "Update for A record '${record_name} (${record_identifier})' succeeded.\\n  - Old value: ${old_ip}\\n  + New value: ${ip}";;
*)
  >&2 echo -e "Update for A record '${record_name} (${record_identifier})' failed.\\nDUMPING RESULTS:\\n${update}"
  exit 1;;
esac

Bạn cần phải điền thông tin vào các dòng sau:

• auth_token: Cloudflare API Token
• zone_identifier: Zone ID
• record_name: Tên miền

3. Tìm Zone ID và tạo API Token

Tham khảo bài viết này : Cloudflare: Hướng dẫn lấy Zone ID và tạo API Token nhanh chóng

4. Tạo A Record cho tên miền

Ví dụ mình muốn sử dụng tên miền alibaba.thuanbui.me để truy cập đến homelab ở nhà. Bấm vào Add record và tạo một A record mới.

• Name: điền vào alibaba
• IPv4: điền tạm 1.1.1.1, thông số này sẽ được tự động cập nhật về IP của modem sau khi chạy script.

5. Cập nhật script

Thông tin cần thiết đã có đầy đủ, mình cập nhật lại vào file cloudflare.sh và lưu lại

#!/bin/bash

# Forked from benkulbertis/cloudflare-update-record.sh
# CHANGE THESE

# API Token (Recommended)                                                                  #####
auth_token="LrAB--xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx"

# Domain and DNS record for synchronization
zone_identifier="48bxxxxxxxxxxxxxxxxxxxx60" # Can be found in the "Overview" tab of your domain
record_name="alibaba.thuanbui.me"                     # Which record you want to be synced

# DO NOT CHANGE LINES BELOW

# SCRIPT START
echo -e "Check Initiated"

# Check for current external network IP
ip=$(curl -s4 https://icanhazip.com/)
if [[ ! -z "${ip}" ]]; then
  echo -e "  > Fetched current external network IP: ${ip}"
else
  >&2 echo -e "Network error, cannot fetch external network IP."
fi

# The execution of update
if [[ ! -z "${auth_token}" ]]; then
  header_auth_paramheader=( -H '"Authorization: Bearer '${auth_token}'"' )
else
  header_auth_paramheader=( -H '"X-Auth-Email: '${auth_email}'"' -H '"X-Auth-Key: '${auth_key}'"' )
fi

# Seek for the record
seek_current_dns_value_cmd=( curl -s -X GET '"https://api.cloudflare.com/client/v4/zones/'${zone_identifier}'/dns_records?name='${record_name}'&type=A"' "${header_auth_paramheader[@]}" -H '"Content-Type: application/json"' )
record=`eval ${seek_current_dns_value_cmd[@]}`

# Can't do anything without the record
if [[ -z "${record}" ]]; then
  >&2 echo -e "Network error, cannot fetch DNS record."
  exit 1
elif [[ "${record}" == *'"count":0'* ]]; then
  >&2 echo -e "Record does not exist, perhaps create one first?"
  exit 1
fi

# Set the record identifier from result
record_identifier=`echo "${record}" | sed 's/.*"id":"//;s/".*//'`

# Set existing IP address from the fetched record
old_ip=`echo "${record}" | sed 's/.*"content":"//;s/".*//'`
echo -e "  > Fetched current DNS record value   : ${old_ip}"

# Compare if they're the same
if [ "${ip}" == "${old_ip}" ]; then
  echo -e "Update for A record '${record_name} (${record_identifier})' cancelled.\\n  Reason: IP has not changed."
  exit 0
else
  echo -e "  > Different IP addresses detected, synchronizing..."
fi

# The secret sause for executing the update
json_data_v4="'"'{"id":"'${zone_identifier}'","type":"A","proxied":true,"name":"'${record_name}'","content":"'${ip}'","ttl":120}'"'"
update_cmd=( curl -s -X PUT '"https://api.cloudflare.com/client/v4/zones/'${zone_identifier}'/dns_records/'${record_identifier}'"' "${header_auth_paramheader[@]}" -H '"Content-Type: application/json"' )

# Execution result
update=`eval ${update_cmd[@]} --data $json_data_v4`

# The moment of truth
case "$update" in
*'"success":true'*)
  echo -e "Update for A record '${record_name} (${record_identifier})' succeeded.\\n  - Old value: ${old_ip}\\n  + New value: ${ip}";;
*)
  >&2 echo -e "Update for A record '${record_name} (${record_identifier})' failed.\\nDUMPING RESULTS:\\n${update}"
  exit 1;;
esac

Mặc định, script này sẽ kích hoạt chế độ proxy trên Cloudflare nhằm mục đích ẩn IP của modem, giảm nguy cơ bị tấn công vào mạng nhà. Nếu vì lý do nào đó không muốn ẩn IP của mình thì có thể thay đổi thông số "proxied":true thành "proxied":false

6. Chạy thử nghiệm

Thiết lập quyền thực thi cho file cloudflare.sh

chmod +X cloudflare.sh

Chạy thử xem nào

./cloudflare.sh

Terminal window

thuanbui@raspberrypi:~/cloudflare $ ./cloudflare.sh
bash: warning: setlocale: LC_ALL: cannot change locale (en_US.UTF-8)
Check Initiated
  > Fetched current external network IP: 27.xx.xx.xx
  > Fetched current DNS record value   : 1.1.1.1
  > Different IP addresses detected, synchronizing...
Update for A record 'alibaba.thuanbui.me (48bxxxxxxxxxxxxxxxxxxxx60)' succeeded.
  - Old value: 1.1.1.1
  + New value: 27.xx.xx.xx

Quay lại Cloudflare, tên miền alibaba.thuanbui.me, mình thấy đã được tự động cập nhật với IP mới. Ngon lành!

7. Thiết lập cron tự động

Việc cuối cùng cần làm là thiết lập cron để script tự động chạy 24/7. Sau đó, không cần bận tâm đến nó nữa

crontab -e

Mình chỉnh cho script tự động chạy sau mỗi 10 phút bằng cách thêm dòng này vào dưới cùng

*/10 * * * * /bin/bash /home/thuanbui/cloudflare/cloudflare.sh

Chú ý nhớ thay /home/thuanbui/cloudflare/cloudflare.sh thành đường dẫn đến nơi lưu file cloudflare.sh của bạn.

Chúc bạn thực hiện thành công!

pfSense có sẵn tính năng Dynamic DNS cực kỳ mạnh mẽ, hỗ trợ rất nhiều các dịch vụ DNS phổ biến: Cloudflare, DigitalOcean, GoDaddy, FreeDNS, OpenDNS, Linode,… Mình sẽ sử dụng dịch vụ DNS của Cloudflare trong bài hướng dẫn này.

1. Yêu cầu

• Đã có sẵn tên miền và đã có tài khoản Cloudflare.
• Tên miền đã được chuyển về CloudFlare quản lý
• Router pfSense

2. Tạo A Record cho tên miền

Ví dụ mình muốn sử dụng tên miền pfsense.thuanbui.me để truy cập đến homelab ở nhà. Bấm vào Add record và tạo một A record mới.

• Name: điền vào pfsense
• IPv4: điền tạm 1.1.1.1, thông số này sẽ được tự động cập nhật thành Public IP ở nhà sau khi thiết lập Dynamic DNS trên pfSense

3. Tìm Zone ID và tạo API Token

Tham khảo bài viết: Cloudflare: Hướng dẫn lấy Zone ID và tạo API Token nhanh chóng

4. Tạo Dynamic DNS Client

Truy cập vào dịch vụ Dynamic DNS từ menu Services —> Dynamic DNS. Bấm Add

Nhập thông số cho DNS Dynamic Client

• Service Type: mình chọn Cloudflare. Bạn có thể chọn dịch vụ DNS khác đang sử dụng
• Interface to monitor: WAN
• Hostname: nhập vào tên miền cần cập nhật Dynamc DNS.
• Cloudflare Proxy: Tick chọn Enable Proxy để ẩn Public IP của mạng nhà.
• Username: Tuỳ theo dịch vụ bạn chọn ở mục Service Type mà thông số Username này sẽ khác nhau. Với Cloudflare, mình cần nhập vào Zone ID của tên miền (đã ghi lại ở bước 4)
• Password: nhập vào API Token của Cloudflare (đã tạo ở bước 3)
• TTL: có thể để trống
• Description: nhập nội dung tuỳ thích để ghi nhớ

Bấm Save để lưu lại.

pfSense sẽ tự động kết nối đến Cloudflare thông qua API Token và Zone ID để cập nhật Zone DNS cho tên miền pfsense.thuanbui.me

Kiểm tra lại trên Cloudflare, tên miền đã được trỏ về Public IP ở nhà, giống với Cache IP hiển thị trong pfSense.

pfSense không cho chỉnh tần suất cập nhật Dynamic DNS nên mình không rõ bao lâu nó sẽ chạy 1 lần. Có lẽ hệ thống nó đủ thông minh để cập nhật mỗi khi IP ở nhà có sự thay đổi.

Nếu mạng nhà không sử dụng pfSense, bạn có thể cập nhật Dynamic DNS lên Cloudflare bằng cách dùng Bash Script trên Linux theo hướng dẫn dưới đây

Cập Nhật IP Động Cho Tên Miền Qua CloudFlare

Chúc bạn thực hiện thành công!

Trước khi đi chi tiết vào cách cấu hình VLAN trên pfSense, mình ôn lại kiến thức căn bản tí.

VLAN (Virtual Local Area Network) hay Virtual LAN, được gọi là mạng LAN ảo. VLAN là công nghệ cho phép tạo ra các mạng LAN logic độc lập trên cùng một hệ thống mạng LAN vật lý. VLAN giúp chia nhỏ hệ thống mạng nội bộ, mang lại các lợi ích sau:

• Tối ưu băng thông mạng: nhờ giảm số lượng miền quảng bá (broadcast domain)
• Tăng tính bảo mật: các VLAN không thể giao tiếp với nhau, trừ khi được cấu hình Routing trên Router.
• Tính linh hoạt cao: dễ dàng quản lý và thay đổi các thiết bị nằm trong VLAN.

Để có thể thiết lập VLAN trong mạng nội bộ, Router và Switch phải hỗ trợ tính năng VLAN trong Firmware. Tính năng này thường chỉ được trang bị trên các thiết bị mạng cao cấp dành cho doanh nghiệp (Enterprise), không có trong các thiết bị mạng cho gia đình và văn phòng nhỏ.

Trong môi trường doanh nghiệp, VLAN thường được dùng để phân chia mạng nội bộ giữa các phòng ban, chi nhánh. Còn trong gia đình, VLAN có thể được sử dụng để phân tách các thiết bị IOT (Internet of Things) ra khỏi mạng nội bộ chính trong nhà.

II. Sơ đồ thiết lập VLAN

Nhờ sự phát triển của công nghệ ảo hoá, mình có thể nghiên cứu và thực hành VLAN mà không cần phải đầu tư mua thêm thiết bị mạng cao cấp. pfSense có sẵn tính năng VLAN và Virtual Switch của Hyper-V cũng hỗ trợ VLAN, bắt tay nghiên cứu nào!

Dưới đây sơ đồ thiết lập VLAN trên pfSense của mình

Mình sẽ tạo thêm VLAN ID 10 và chuyển máy ảo Arch Linux 2 sử dụng VLAN 10 mới này.

Các bước cần làm trong Lab hôm nay:

• Tạo VLAN ID 10
• Cấu hình VLAN Interface
• Cấu hình DHCP Server cho VLAN 10
• Cấu hình VLAN ID cho máy ảo Arch Linux
• Cấu hình VLAN TRUNK cho cổng mạng Internal trên pfSense
• Kiểm tra thành quả

III. Tạo VLAN 10

Trong Web UI của pfSense, truy cập vào menu Interfaces, chọn Assigments

Chỉnh thông số VLAN:

• Parent Interface: chọn hn1 – lan
• VLAN tag: 10
• VLAN Priority: 0
• Description: VLAN 10

IV. Cấu hình VLAN Interface

Bấm vào tab Interface Assignments, bạn sẽ thấy có thêm 1 dòng Available network ports: VLAN 10 on hn1 – lan (VLAN 10)

pfSense sẽ tự động tạo 1 Network Interface mới với tên gọi OPT1. Bấm vào chữ OPT1 để thay đổi thông số

Chỉnh lại các thông số như sau và bấm Save

• Enable: Tick chọn Enable interface
• IPv4 Configuration Type: Static IPv4
• IPv4 Address: 10.0.10.1 / 24

V. Cấu hình DHCP Server cho VLAN

Tiếp tục, cần phải cấu hình DHCP Server cho VLAN Interface vừa mới tạo để các máy tính nằm trong VLAN được cấp IP tự động.

Truy cập vào dịch vụ DHCP Server nằm trong menu Services, chọn qua tab VLAN10 để cấu hình.

• Enable: Tick chọn Enable DHCP server on VLAN10 Interface
• Range: 10.0.10.101 – 10.0.10.199
• DNS: 1.1.1.1 và 1.0.0.1

Sau đó bấm Save để lưu lại.

VLAN 10 đã được tạo và cấu hình DHCP thành công.

VI. Cập nhật VLAN ID cho máy ảo

Để chuyển máy ảo Arch Linux 2, mình sẽ vào Setttings của máy ảo này, truy cập vào mục Network Adapter và đổi VLAN thành 10.

VII. Thiết lập VLAN Trunk cho pfSense

Để pfSense có thể truyền tải VLAN trong mạng nội bộ, cần phải cấu hình đổi chế độ hoạt động của Network Adapter (card mạng) kết nối vào Private Switch thành Trunk Mode.

Việc thiết lập VLAN Trunk bắt buộc phải sử dụng dòng lệnh trong PowerShell. Không thể điều chỉnh trên Hyper-V Manager được.

Bạn cần mở PowerShell (Run as Administrator) và làm theo các bước sau

1. Kiểm tra thông số VLAN

Kiểm tra thông số VLAN của các máy ảo trong mạng bằng lệnh sauTerminal window

Get-VMNetworkAdapterVlan -VMName "(Tên của máy ảo)"

Kết quả nhận được khi kiểm tra 3 máy ảo pfSense, Arch Linux và Arch Linux 2 như sau:

• Arch Linux: Mode Untagged (không sử dụng VLAN)
• Arch Linux: Mode Access – Vlanlist 10 (sử dụng VLAN 10)
• pfSense: Mode Untagged

2. Đổi tên Network Adapter của pfSense

Hiện tại cả hai Network Adapter của pfSense đều sử dụng tên giống nhau: “Network Adapter”. Mình cần phải đổi thành hai tên khác nhau thì mới cấu hình VLAN chính xác.

Kiểm tra tên của Network Adapter của máy ảo pfSenseTerminal window

Get-VMNetworkAdapterVlan -VMName "pfSense Firewall (test)"

Thay đổi tên của Network Adapter thành Internal và External dựa theo Mac AddressTerminal window

Get-VMNetworkAdapter -VMName "pfSense Firewall (test)" | Where-Object MacAddress -EQ "00155D006426"| Rename-VMNetworkAdapter -NewName "Internal"Get-VMNetworkAdapter -VMName "pfSense Firewall (test)" | Where-Object MacAddress -EQ "00155D006425"| Rename-VMNetworkAdapter -NewName "External"

Kiểm tra lại xem tên Adapter đã thay đổi đúng chưa?Terminal window

Get-VMNetworkAdapterVlan -VMName "pfSense Firewall (test)"

3. Thiết lập VLAN Trunk Mode

Giờ mình đã có thể thay đổi VLAN Mode của Network Adapter “Internal” thành Trunk Mode với lệnh sauTerminal window

Set-VMNetworkAdapterVlan -VMName "pfSense Firewall (test)" -VMNetworkAdapterName "Internal" -Trunk -NativeVlanId 0 -AllowedVlanIdList 1-4094

Kiểm tra lại thông số VLANTerminal window

Get-VMNetworkAdapterVlan -VMName "pfSense Firewall (test)"

pfSense đã sẵn sàng phân chia VLAN cho mạng nội bộ.

VIII. Kiểm tra VLAN

1. Trước khi thiết lập VLAN

Dưới đây là thông số DHCP Leases của pfSense trước khi thiết lập VLAN 10.

Cả hai máy ảo thuanbui-arch và arch2 đều nằm chung mạng LAN nội bộ 10.0.0.0/24 với IP lần lượt là 10.0.0.101 và 10.0.0.102

2. Sau khi thiết lập VLAN10

Mình mở lại hai máy ảo nằm trong mạng nội bộ cua pfSense. Sau đó kiểm tra lại DHCP Lease

• Máy ảo thuanbui-arch có IP như cũ 10.0.0.101
• Máy ảo arch2 đã đổi qua IP mới 10.0.10.101 do mình đã đổi nó qua VLAN10 mới thiết lập.

Ở bước sau mình sẽ thiết lập Firewall để VLAN10 có thể truy cập Internet và chặn kết nối giữa LAN và VLAN.

Hai máy ảo tuy cùng cắm vào chung 1 Switch nhưng thuộc 2 mạng LAN khác nhau: 10.0.0.0/24 và 10.0.10.0/24.

Kiểm tra kết nối mạng bằng lệnh ping

• Máy ảo Arch Linux 2 trong VLAN 10 không thể Ping qua máy ảo Arch Linux nhưng ở chiều ngược lại máy ảo Arch Linux có thể ping được qua máy ảo trong VLAN10
• Máy ảo Arch Linux 2 chưa có kết nối mạng Internet trong khi máy ảo Arch Linux kết nối Internet bình thường.

IX. Thiết lập Firewall Rule cho VLAN

1. Mở truy cập Internet cho VLAN10

Để máy ảo trong VLAN10 có thể truy cập Internet, mình cần tạo 1 Firewall Rule mới như sau

• Action: Pass
• Interface: VLAN10
• Protocol: Any
• Source: VLAN10 net
• Destination: Any

Rule này sẽ cho phép VLAN10 truy cập qua LAN. Do đó mình cần tạo thêm 1 Rule để chặn kết nối VLAN10 đến LAN và kéo nó lên đầu danh sách Rule để ưu tiên

• Action: Block
• Interface: VLAN10
• Protocol: Any
• Source: VLAN10 net
• Destination: LAN net

2. Chặn kết nối từ LAN đến VLAN10

Tạo Firewall Rule tương tự như bước ở trên để chặn kết nối giữa 2 mạng nội bộ

• Action: Block
• Interface: LAN
• Protocol: Any
• Source: LAN net
• Destination: VLAN10 net

X. Tổng kết

Trong bài viết này mình đã hướng dẫn cách thiết lập 1 hệ thống VLAN đơn giản sử dụng pfSense trên nền tảng ảo hoá Hyper-V. Trong điều kiện thực tế, tuỳ theo nhu cầu sử dụng, bạn có thể thiết lập thêm nhiều VLAN (tối đa 4096 VLANs) và cấu hình Firewall Rule tương ứng.

Nguồn: thuanbui