• pfSense đã được cấu hình mạng Internet. (Xem hướng dẫn)
• 1 VPS đã được thiết lập WireGuard Server. Bạn có thể tham khảo hướng dẫn dưới đây để tạo VPN Server miễn phí

Hướng dẫn thiết lập VPN Server miễn phí với Oracle Cloud VPS

II. Cài đặt WireGuard package

Mặc định pfSense chưa có sẵn dịch vụ WIreGuard VPN. Bạn cần phải cài thêm WireGuard từ trang quản lý Package Manager.

Truy cập vào Web UI của pfSense, bấm vào Mneu System , chọn Package Manager. Sau đó bạn chọn qua tab Available Packages

Kéo xuống dưới, tìm WireGuard và bấm Install để cài đặt.

Chờ vài phút để pfSense tải và cài đặt WireGuard. Sau khi cài thành công, bạn sẽ thấy thông báo Success.

III. Cấu hình WireGuard VPN

1. Chuẩn bị file Wireguard Client

Trước tiên, bạn cần phải truy cập WireGuard VPN Server để tạo 1 Client mới dành cho Mikrotik và tải file conf về. Nội dung file sẽ tương tự như dưới đây.

[Interface]
PrivateKey = UDbFxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxaN9Oms=
Address = 10.7.0.3/24
DNS = 10.2.0.100

[Peer]
PublicKey = e/VZhqIyyyyyyyyyyyyyyyyyyyyyyyyy/4wS37B5x8QMxg=
PresharedKey = 5XvmWvYUm2xxxxxxxxxxxxxxxxxxxxxxxxxxxlgYPoFzj8Q618=
AllowedIPs = 0.0.0.0/0, ::/0
Endpoint = 146.ooo.iii.eee:51820
PersistentKeepalive = 0

Chúng ta sẽ dùng thông tin trong file conf này để cấu hình WireGuard VPN trên pfSense.

3. Tạo Tunnel

Bấm vào Menu VPN, chọn WireGuard để truy cập vào trang quản lý WireGuard. Bấm Add Tunnel.

Chúng ta sẽ dùng thông tin trong mục [Interface] của file cấu hình ở trên để thiết lập Tunnel

Nhập thông số:

• Enable Tunner: bấm chọn
• Description: tuỳ bạn chọn, mình ghi WireGuard-SF
• Interface Keys: nhập vào Private key nằm trong phần [Interface] của file cấu hình .conf. Sau đó mục Public Key kế bên sẽ tự động được tạo ra.
• Interface Address: nhập vào Address trong phần [Interface] của file cấu hình .conf

Bấm Save tunnel để lưu lại.

3. Tạo Peer

Bấm qua tab Tunnel, bấm vào Add Peer.

Chúng ta sẽ dùng thông tin trong mục [Peer] của file cấu hình ở trên để thiết lập Peer.

Nhập thông số:

• Enbale Peer: Bấm chọn
• Tunnel: chọn Tunnel mới vùa tạo ở bước 2
• Endpoint / Port / Public Key / Preshared Key / Keep Alive / Allowed IP: nhập theo thông tin trong file cấu hình

Bấm Save Peer để lưu lại.

4. Kích hoạt WireGuard

Bấm qua tab Settings, bấm chọn vào mục Enable WireGuard để kích hoạt WireGuard và bấm Save.

Sau đó, chuyển qua tab Status, bấm vào nút Show Peers, bạn sẽ thấy thông báo kết nối thành công đến WireGuard VPN Server.

IV. Cấu hình WireGuard Interface

Truy cập vào mục Interface Assignment từ menu Interfaces. Bấm vào nút Add ở dòng Available network ports.

Sau đó bấm vào Interface vừa tạo để thiết lập thông số

• Enable: bấm chọn Enable Interface
• Description: WG (hoặc tên gì tuỳ ý bạn)
• IPv4 Configuration Type: Static IPv4
• IPv6 Configuration Type: Static IPv6
• IPv4 Address: nhập vào Address trong phần [Interface] của file cấu hình .conf
• IPv6 Address: nhập vào Address trong phần [Interface] của file cấu hình .conf

Bấm vào nút Add a new gateway cạnh mục IPv4 và IPv6 để tạo Gateway mới. Nhập vào thông tin và bấm Add.

Bấm Save để lưu lại.

V. Thiết lập Gateway mặc định

Bấm vào Menu System, chọn Routing để truy cập trang thiết lập Gateways.

Bạn cần thiết lập Gateway mặc định cho mạng sử dụng Gateway của WAN

• Default gateway IPv4: chọn WAN_DHCP
• Default gateway IPv6: WAN_DHCP6

Bấm Save để lưu lại

VI. Cấu hình Firewall Rule for WireGuard

Để truy cập Internet thông qua WireGuard, bạn cần thiết lập Firewall Rule cho LAN.

Bấm vào menu Firewall, chọn Rules, sau đó bấm tiếp qua tab LAN. Bấm vào nút Add để tạo rule mới

Thông số:

• Action: Pass
• Interface: LAN
• Address Family: IPv4 hoặc IPv4+v6
• Protocol: Any
• Destination: WAN net

Bấm vào nút Advance Setting, mục Gateway: chọn Gateway WireGuard: WG_GW

Sau đó bấm Save. Bấm tiếp Apply để kích hoạt Firewall Rule mới.

Với Firewall Rule mới thiết lập, mọi kết nối từ trong LAN sẽ được chuyển hướng đi qua WireGuard Gateway. Bạn có thể kiểm tra bằng cách truy cập https://ip.me/ sẽ thấy hiện ra IP của VPN Server đang kết nối.

VII. Định tuyến tự động mạng quốc tế chạy qua VPN

Với cách thiết lập ở bước trên, mọi kết nối từ trong mạng LAN đều sẽ được gửi đến WireGuard VPN Server. Mình sẽ làm thêm 1 bước nữa để phân luồng mạng:

• Truy cập ra quốc tế sẽ chạy qua VPN.
• Truy cập trong nước sẽ đi trực tiếp, không qua VPN.

Nguyên lý hoạt động như sau

• Tạo 1 danh sách tất cả IP của Việt Nam sử dụng tính năng Alias của pfSense
• Tạo thêm Firewall Rule: chỉ các truy cập nào không phải đến IP Việt Nam mới chạy qua VPN.

1. Tạo IP Aliases

Từ Menu Firwall, bấm chọn Aliases. Bấm vào nút Import để nhập vào danh sách IP.

Sử dụng danh sách chứa tàon bộ dải IP của Việt Nam ở link dưới đây để nhập vào ô Aliases to Import

https://gist.githubusercontent.com/10h30/4347744f239f837dc0997ccbb1a0fd93/raw/abaeda6863304c0edf1b9b10439fcb7398ee14f6/pfsense-vietnam-ip-list

Aliase Name: Vietnam_IP_List

Bấm Save để lưu lại

2. Chỉnh sửa Firewall Rule

Quay lại trang quản lý Firewall Rule của LAN, chỉnh sửa lại Wirewall rule đã tạo ở bước trước đó, chỉnh lại thông số ở mục Destination:

• Destination: bấm chọn Invert Match, chọn Single host or Alias, sau đó gõ Vietnam_IP_List ở mục địa chỉ kế bên, bạn sẽ thấy tên hiện ra. Bấm chọn nó.

Bấm Save để lưu lại.

Danh sách Firewall Rule cho LAN sẽ hiện ra như sau:

Với thiết lập này, tất cả các truy cập đến IP quốc tế (nằm ngoài dải IP Việt Nam) sẽ chạy qua WireGuard VPN. Còn các truy cập trong nước sẽ chạy qua kết nối mạng thông thường.

Bạn có thể kiểm tra bằng cách truy cập vào https://ip.me và https://kiemtraip.com/ sẽ thấy hiện ra 2 IP khác nhau:

• IP.me hiện ra IP của VPN Server
• KiemtraIP: hiện ra IP của WAN.

Để bảo đảm kết nối thông suốt, bạn nên thiết lập Failover để tránh tính trạng VPN Server gặp vấn đề sẽ ảnh hưởng đến kết nối quốc tế.

Chúc bạn thực hiện thành công!

Nguồn: thuanbui

Sơ đồ Lab sử dụng cho bài viết này như hình ở đầu bài:

• pfSense đóng vai trò Router chính, cung cấp Internet cho hai máy tính trong mạng LAN: Windows 10 và Arch Linux 2.
• Mình sẽ cấu hình giới hạn băng thông trên cổng mạng LAN của pfSense:
  • Download: 10Mbps
  • Upload: 50Mbps

Sau khi cấu hình giới hạn băng thông, các máy tính trong mạng LAN sẽ không thể vượt quá hạn mức đã thiết lập trên pfSense.

Tính năng giới hạn băng thông của pfSense được quản lý bởi dịch vụ Limiter thuộc phần Traffic Shaper. Chúng ta cần tạo 2 quy tắc giới hạn băng thông: 1 dành cho Download và 1 dành cho Upload.

1. Tạo Upload Limiter

Từ Menu Firewall, chọn Traffic Shaper, chọn tiếp tab Limiters.

Bấm vào New Limiter để thiết lập quy tắc giới hạn mới

Thiết lập thông số:

• Bấm chọn Enable limiter and its childer mở chế độ giới hạn băng thông.
• Name: Upload
• Bandwidth: 50 Mbit/s
• Mask: Source addresses
• Description: Limit Upload Bandwidth

Phần còn lại để trống. Bấm Save

2. Tạo Download Limiter

Lập lại thao tác tương tự để tạo Download Limiter

• Bandwidth: 10Mbit/s
• Mask: Destination addresses

Bấm Save. Sau đó bấm tiếp Apply Changes để kích hoạt Limiter.

3. Cập nhật Firewall Rule

Tiếp theo, mình vào Firewall Rule của LAN và chỉnh sửa lại thông số.

Bấm vào biểu tượng bút chì của Firewall Rule hiện tại của mạng LAN để chỉnh sửa

Kéo xuống dưới, bấm vào nút Display Advanced để hiện ra các thông số cấu hình nâng cao.

Mục In / Out pipe: Chọn Upload ở mục bên trái và Download ở mục bên phải. Bấm Save để lưu lại.

Bấm Apply changes để kích hoạt sửa đổi.

4. Kiểm tra

Mình sử dụng dịch vụ Speedtest.vn để kiểm tra băng thông mạng trên máy tính chạy Windows 10 nằm trong mạng LAN của pfSense.

Dưới đây là kết quả đo tốc độ mạng trước khi thiết lập giới hạn băng thông: Download và Upload đều đạt tối đa ~ 150Mbps

Sau khi thiết lập giới hạn băng thông, truy cập Speedtest.vn để kiểm tra lại. Kết quả hiện ra đúng như thông số đã thiết lập: Download ~ 10Mbps và Upload ~ 50Mbps

Trên đây chỉ là ví dụ đơn giản cách thiết lập giới han băng thông trên pfSense. Trong điều kiện thực tế, bạn có thể kết hợp sử dụng thêm tính năng Schedule và VLAN của pfSense để cấu hình giới hạn băng thông chi tiết và hiệu quả hơn cho mạng nội bộ.

Nguồn: thuanbui

Captive Portal là một tính năng của pfSense yêu cầu người dùng phải xác thực tài khoản trước khi truy cập vào hệ thống mạng. Người dùng sẽ được chuyển hướng về 1 trang web trung gian và phải đăng nhập bằng tài khoản/mật khẩu, bằng mã voucher, hoặc chỉ cần bấm vào nút Đăng nhập, sau đó mới có thể truy cập vào hệ thống mạng (thường là truy cập Internet).

Tính năng này thường được sử dụng phổ biến trong ngành du lịch – nhà hàng – khách sạn, nhằm mục đích Marketing quảng cáo, hoặc trong văn phòng, cửa hàng bán lẻ nhằm hạn chế truy cập trái phép.

2. Kích hoạt Captive Portal

Truy cập vào mục Captive Portal trong menu Services của pfSense. Sau đó bấm vào nút Add để tạo Captive Portal Zone.

Nhập vào tên (Zone name) và chú thích (Zone description). Bấm Save & Continue

Bấm chọn vào ô Enable Captive Portal để kích hoạt.

3. Cấu hình Captive Portal

Sau khi bấm kích hoạt Captive Portal, trang cấu hình sẽ hiện ra yêu cầu bạn tuỳ chỉnh thông số. Dưới đây là giải thích các thông số quan trọng:

• Interfaces: chọn hệ thống mạng nội bộ bạn muốn áp dụng Captive Portal. Trong điều kiện thực tế, bạn nên tạo 1 VLAN riêng biệt để dùng cho Captive Portal. Mình chọn LAN cho đơn giản.
• Maximum Concurrent connections: giới hạn số lượt truy cập cùng lúc từ 1 IP, không phải giối hạn số lượng người dùng.
• Idle timeout (Minutes): tự động ngắt kết nối sau khoảng thời gian không hoạt động.
• After authentication Redirection URL: tự động chuyển hướng về địa chỉ này sau khi đăng nhập thành công. Mục này thường được thiết lập nếu bạn muốn quảng cáo website cho tất cả người dùng truy cập vào mạng.
• Concurrent User logins: quy định số lượng truy cập trên mỗi tài khoản
  • Disabled: chỉ cho phép 1 lượt đăng nhập trên mỗi tài khoản / voucher
  • Multiple: không giới hạn lượt đăng nhập trên mỗi tài khoản / voucher
  • Last login: lượt đăng nhập sau sẽ được trao quyền truy cập. Lượt truy cập trước đó sẽ bị ngắt.
  • First login: chỉ lượt đăng nhập đầu tiên có quyền truy cập. Các lượt đăng nhập sau đều không hiệu lực

• Captive Portal Login Page: bạn có thể thay đổi logo và hình nền và điều khoản sử dụng của trang Portal cho phù hợp với thương hiệu của mình. Mình để mặc định cho đơn giản.
• Authentication:
  • Authentication method: lựa chọn cách thức xác nhận tài khoản: Authentication backend (sử dụng trang đăng nhập), None (yêu cầu bấm nút xác nhận), Radius MAC Authentication (xác thực bằng MAC address)
  • Authentication Server: chọn Local Database

Mình chọn các xác thực bằng cách sử dụng trang đăng nhập: Authentication backend. Sau đó bấm Save để lưu lại.

4. Tạo Voucher đăng nhập

Khi chọn cách thức xác thực tài khoản, bạn có thể tạo tài khoản pfSense hoặc tạo mã Voucher đăng nhập. Mình chọn cách tạo mã Voucher đăng nhập vì có thể giới hạn thời gian truy cập cho mỗi người dùng.

Bấm qua tab Voucher, kích hoạt mục Enable the creation, generation and activate of rolls with vouchers và bấm Save.

Bấm vào nút Generate new keys để tạo mã bảo mật mới. Các thông số còn lại có thể giữ nguyên. Bấm Save để lưu lại.

Mục Voucher Rolls sẽ hiện ra thêm nút Add. Bấm vào nó để tạo danh sách voucher.

Điền vào các thông số như sau và bấm Save

• Roll #: điền bất kỳ số nào trong khoảng 0 – 65535
• Minutes per ticket: giới hạn thời gian truy cập cho mỗi voucher
• Count: số lượng voucher cần tạo.
• Comment: chú thích để ghi nhớ

Danh sách voucher đã được tạo thành công. Bấm vào biểu tượng Excel bên trái để tải về danh sách theo định dạng csv.

5. Điều chỉnh DHCP Server

Tiếp theo, bạn cần truy cập vào dịch vụ DHCP Server của pfSense, chọn đúng Network Interface đã kích hoạt ở bước trên: LAN.

Kéo xuống phần DNS Servers và xoá hết địa chỉ IP nếu có. Captive Portal yêu cầu phải sử dụng DNS Server mặc định của pfSense. Nếu bỏ qua bước này, người dùng sẽ không được tự động chuyển hướng về trang Captive Portal để đăng nhập sử dụng mạng.

6. Thực nghiệm Captive Portal

Do mình đang sử dụng pfSense trong nền tảng ảo hoá nên việc thực nghiệm Captive Portal sẽ được thực hiện trên máy ảo Windows 10 kết nối vào mạng LAN của pfSense.

Mở Edge, truy cập google.com, trình duyệt tự động chuyển hướng qua trang đăng nhập với logo pfSense.

Video minh hoạ dưới đây

Bạn có thể kiểm tra danh sách truy cập vào Captive Portal trên giao diện quản lý của pfSense: bấm vào Status —> Captive Portal.

Bạn có thể kiểm tra danh sách Voucher đang sử dụng, kiểm tra Voucher hay vô hiệu hoá Voucher trong trang quản lý này. Hoặc bấm vào nút Disconnect All Users để kick hết mọi tài khoản ra khỏi mạng.

Nguồn: thuanbui

• User Manager: quản lý tài khoản quản trị pfSense
• SSH Server: cấu hình đăng nhập SSH
• DHCP Server: cấu hình DHCP Server cho thiết bị trong mạng nội bộ

I. Tạo tài khoản quản lý pfSense

Để tránh phải dùng tài khoản Admin mặc định, mình sẽ tạo thêm tài khoản mới để quản lý pfSense.

II. Cấu hình SSH Server

Để việc quản trị dễ dàng hơn, mình sẽ mở cấu hình Secure Shell để có thể SSH vào pfSense bằng các công cụ như Terminal, SSH.

Truy cập đường dẫn System / Advanced và kéo xuống tới khi gặp dòng Secure Shell.

Tiếp theo, cần phải tạo thêm 1 Firewall để mở cổng 22 cho truy cập từ WAN vào pfSense. Hiện tại pfSense chỉ mới cho phép truy cập theo cổng 443 (HTTPS) đã thiết lập trong [Phần 3].

Bấm vào Firewall, chọn Rules, sau đó bấm Add để tạo Rule mới như sau:

• Action: Pass
• Interface: WAN
• Protocol: TCP
• Source: Any (hoặc có thể điền IP, Subnet của mạng)
• Destination: WAN Address
• Destination port range: SSH
• Description: SSH to Web UI

Giờ mình đã có thể đăng nhập SSH vào pfSense sử dụng tài khoản thuanbui đã tạo ở bước trước

III. Cấu hình DHCP Server

Tiếp theo, mình sẽ chỉnh cấu hình DHCP Server – dịch vụ cung cấp IP động cho máy tính nằm trong mạng LAN nội bộ.

Kích hoạt DHCP Server

Bấm vào Services trên Menu, chọn DHCP Server. Mặc định khi đã hoàn thành các bước thiết lập ban đầu, pfSense đã tự động kích hoạt DHCP Server và cấu hình NAT để các máy trong mạng LAN có thể truy cập ra mạng WAN.

Mình sẽ điều chỉnh lại thông số cho phù hợp với nhu cầu:

• Nhớ bấm Tick vào mục Enable DHCP Server on LAN interface để kích hoạt DHCP Server
• Range: Mình chỉnh lại From 10.0.0.101 – To 10.0.0.199, nghĩa là DHCP Server sẽ sử dụng IP Range từ 10.0.0.101 đến 10.0.0.199 cho các máy tính trong mạng LAN
• DNS Servers: 1.1.1.1 và 1.0.0.1

Sau đó bấm Save để lưu lại.

Thử kết nối từ máy ảo Arch

Mình mở máy ảo nằm trong mạng LAN của pfSense để kiểm tra DHCP Server của pfSense có hoạt động chưa.

Sau khi khởi động máy ảo, kiểm tra IP Address bằng lệnhTerminal window

ip addr show

Kiểm tra xem máy ảo có kết nối Internet khôngTerminal window

ping yahoo.com

Theo dõi DHCP Server

Mình có thể kiểm tra các tình trạng hoạt động của DHCP Server bằng cách truy cập vào mục DHCP Leases trong Menu Status.

Phần 4] của series pfSense Lab đã hết

Nguồn: thuanbui

Ở lần truy cập vào giao diện Web UI, pfSense sẽ tự động hiển thị trang Setup Wizard để thiết lập các thông số chính cho hệ thống.

Thông tin chung

• Hostname: giữ nguyên pfSense, bạn có thể thay đổi sau
• Domain: giữ nguyên mặc đinh home.arpa, bạn có thể thay đổi sau
• Primary & Secondary DNS Server: Điền Cloudflare DNS (1.1.1.1 và 1.0.0.1) hoặc Google DNS (8.8.8.8 và 8.8.4.4), hoặc để trống cũng không sao.
• Override DNS: Chọn mục này nếu bạn muốn sử dụng DNS cung cấp từ DHCP Server gửi đến cổng WAN.

Cấu hình Time Server

Cấu hình WAN Interface

Mình sẽ cấu hình WAN Interface và LAN Interface đúng theo sơ đồ mạng ảo đã thiết kế trong Phần 1.

Thiết lập WAN Interface Type là Static cùng thông số IP như sau:

• IP Address: 192.168.0.200
• Subnet Mask: 24
• Upstream Gateway: 192.168.0.1 (IP của Router Mikrotik)

Trong điều kiện thực tế, nếu bạn sử dụng pfSense để kết nối với modem quang của nhà mạng, cần phải chỉnh WAN Interface Type thành PPPoE và nhập Username / Password được cung cấp để xác thực kết nối.

Block RFC1918 Private Networks: mục này có nghĩa là pfSense sẽ chặn tất cả các truy cập vào cổng WAN từ các dãy IP nội bộ (10/8, 172.16/12, 192.168/16)

Do mình pfSense trong mạng ảo của Hyper-V, các kết nối vào cổng WAN đều là IP nội bộ (192.168.0.0/24), do đó cần phải bỏ chọn Block RFC1918 Private Networks để cho phép Host có thể truy cập vào trang quản trị của pfSense.

Cấu hình LAN Interface

Thay đổi mật khẩu Admin

Lưu lại thông số

II. Truy cập Web UI theo IP mới

Bạn cần phải quay lại Shell của pfSense để tắt packet-filter. Lý do vì sau khi thiết lập, pfSense khởi động lại dịch vụ và sẽ quay về chế độ mặc định chặn truy cập Web UI vào cổng WAN.

Truy cập vào trang quản trị Web UI theo WAN IP mới đã thay đổi trong bước thiết lập ban đầu: 192.168.0.200.

• Tài khoản: admin
• Mật khẩu: mật khẩu mới bạn đã thay đổi ở bước trên

III. Cho phép truy cập Web UI từ WAN

Để tiện việc cấu hình pfSense khi truy cập từ máy tính trong mạng nhà (nằm trên WAN của pfSense), mình sẽ tạo 1 Firewall Rule mới cho phép truy cập vào Web UI từ WAN. Nhờ vậy, không phải truy cập Shell gõ lệnh pfctl -d nữa.

Thiết lập thông số như sau:

• Action: Pass
• Interface: WAN
• Protocol: TCP
• Source: Any (hoặc có thể điền IP, Subnet của mạng)
• Destination: WAN Address
• Destination port range: HTTPS
• Description: Cho phép truy cập Web UI từ WAN

Vậy là xong. Bạn có thể truy cập vào pfSense theo địa chỉ 192.168.0.200 từ bất cứ máy tính nào trong nhà.

https://192.168.0.200

Bài viết đến đây tạm kết thúc

Nguồn: thuanbui

Khởi động máy ảo từ giao diện Hyper-V Manager. Đợi vài giây cho máy ảo khởi động từ ổ quang ảo và làm theo hướng dẫn dưới đây để cài đặt pfSense lên máy ảo.

Việc cài đặt diễn ra nhanh chóng, chỉ khoảng 1-2 phút.

Sau khi cài đặt xong, bạn không chọn Reboot, mà chọn Shell để thoát ra giao diện dòng lệnh. Gõ lệnh poweroff bấm Enter để tắt máy ảo.

Tiếp theo truy cập lại vào Settings của máy ảo để cho Boot từ Hard Drive và tắt ổ quang ảo. Nếu bạn bỏ qua 2 thao tác này, máy ảo sẽ khởi động lại và tiếp tục Boot từ ổ DVD ảo và yêu cầu cài đặt lại.

Bấm OK để lưu lại.

II. Cấu hình cổng mạng

Ở lần khởi động đầu tiên sau khi cài đặt, pfSense sẽ yêu cầu thiết lập cổng mạng WAN và LAN.

Sau khi thiết lập cổng mạng, pfSense sẽ tiến hành cài đặt các dịch vụ cho hệ thống.

Cổng WAN (hn0) của pfSense kết nối vào External Switch nên được cấp DHCP IP từ Router Mikrotik: 192.168.0.117. Mình sẽ đổi thành IP tĩnh 192.168.0.200 sau.

Cổng LAN (hn0) được tự động cấp IP 192.168.1.1 đóng vài trò làm Gateway cho hệ thống mạng nội bộ được quản lý thông qua Private Switch. Mình sẽ đổi LAN IP thành 10.0.0.1 sau.

III. Truy cập Web UI

Thiết lập mặc định của pfSense chỉ cho truy cập vào trang quản trị Web UI từ mạng LAN nội bộ. Do đó mình chưa thể truy cập vào địa chỉ 192.168.0.117.

Để có thể truy cập Web UI từ hệ điều hành Host (nằm trên mạng WAN), cần phải tắt dịch vụ quản lý gói tin (packet filter) bằng lệnh sau.

 pfctl -d

Lệnh pfctl -d chỉ tạm thời tắt packet filter ở phiên làm việc hiện tại. Khi khởi động lại pfSense, packet filter sẽ tự động kích hoạt trở lại và ngăn truy cập từ WAN.

Do đó, sau khi đã vào được Web UI, chúng ta sẽ thiết lập Firewall rule để cho phép truy cập pfSense từ WAN để khỏi gõ lệnh pfctl -d trong Shell nữa.

Tên đăng nhập và mật khẩu mặc định của pfSense:

• Tên đăng nhập: admin
• Mật khẩu: pfsense

Bài viết kết thúc tại đây. Mình vừa mới hướng dẫn bạn cách cài đặt pfSense lên máy ảo Hyper-V.

Nguồn: thuanbui

pfSense là nền tảng Firewall mã nguồn mở miễn phí, được xây dựng dựa trên hệ điều hành FreeBSD. Ngoài chức năng tường lửa, pfSense còn có đầy đủ các chức năng định tuyến cao cấp của 1 Router chuyên dụng.

Ưu điểm của pfSense là sự ổn định, dễ sử dụng, cùng hiệu năng cao và không cần đòi hỏi phần cứng mạnh mẽ. pfSense có thể được cài trực tiếp trên máy tính cá nhân hoặc trên máy ảo, giúp giảm chi phí thiết lập. Nhờ vậy mang lại sự linh hoạt tối đa khi cần thêm tường lửa vào hệ thống mạng.

II. Yêu cầu hệ thống chạy pfSense

pfSense có thể hoạt động ngon lành trên các máy tính đời cũ. Dưới đây là cấu hình tối thiểu để chạy pfSense phiên bản 2.x :

• CPU – 500Mhz
• 512MB RAM
• 1GB ổ cứng trống.
• 2 card mạng

Đây chỉ là cấu hình tối thiểu để hệ thống hoạt động. Cấu hình phần cứng chính xác sẽ tuỳ thuộc vào lưu lượng gói dữ liệu đi qua Card mạng và mức độ phức tạp của các quy tắc tường lửa được thiết lập trên pfSense.

III. Sơ đồ mạng ảo pfSense Lab

Nhằm phục vụ nhu cầu nghiên cứu – vọc vạch, mình sẽ thiết đặt pfSense lên máy ảo Hyper-V. Máy ảo cài đặt pfSense sẽ đóng vai trò làm tường lửa – router cho hệ thống mạng nội bộ ảo kết nối qua Virtual Private Switch.

Máy ảo pfSense được thiết lập 2 card mạng:

• Card 1: đóng vai trò cổng WAN, kết nối vào External Switch để truy cập vào Internet
• Card 2: đóng vài cổng LAN, kết nối vào Private Switch để định tuyến dữ liệu cho mạng nội bộ.

pfSense được đặt giữa 2 Switch, đóng vai trò là Router + Firewall cho mạng nội bộ ảo gồm 2 máy ảo Arch kết nối qua Private Switch.

Nếu không sử dụng Hyper-V, bạn có thể áp dụng sơ đồ lab này với bất kỳ nền tảng ảo hoá nào khác: ESXi, Proxmox, Virtualbox,…

Cấu Hình Mạng Ảo Trong Hyper-V: External Switch, Internal Switch, Private Switch

IV. Thiết lập Virtual Switch

Để thiết lập hệ thống mạng ảo dành cho pfSense lab, mình sử dụng 2 Virtual Switch của Hyper-V:

• External Switch: Kết nối vào Host và máy ảo pfSense
• Private Switch: Kết nối vào máy ảo pfSense và hai máy ảo khác chạy Ubuntu

Nếu bạn không hiểu các khái niệm trên, có thể xem lại bài viết chi tiết về Virtual Switch dưới đây

Cấu hình mạng ảo trong Hyper-V bằng Virtual Switch: External Switch, Internal Switch, Private Switch

Trước khi cài đặt pfSense lên Hyper-V, mình cần phải thiết lập 2 Virtual Switch: 1 External và 1 Private Switch. Truy cập vào Virtual Switch Manager vào tạo 2 switch tương ứng như hình dưới đây

V. Tạo máy ảo Arch Linux

Mình sẽ tạo 2 máy ảo chạy Arch Linux nằm trong mạng nội bộ được quản lý bởi pfSense thông qua Private Switch. Hướng dẫn chi tiết mình đã chia sẻ trong bài viết dưới đây

Hướng dẫn cài đặt Arch Linux trên máy ảo Hyper-V

VI. Tải pfSense ISO

Để cài đặt pfSense lên máy ảo, truy cập vào website pfSense để tải file ISO: https://repo.ialab.dsu.edu/pfsense/. Phiên bản pfSense mới nhất ở thời điểm mình viết bài này là 2.5.2

Sau khi tải về, bạn cần phải giải nén file .iso.gz để tạo ra file .iso, được dùng để cài đặt pfSense lên máy ảo.

VII. Tạo máy ảo mới trên Hyper-V

Bạn mở Hyper-V Manager, tạo máy ảo mới với các thông số như sau:

• Name: pfSense Firewall
• Generation: Generation 2
• Memory: 1024 MB
• Network: External Switch
• Hard Disk: 8GB
• Operating System: Chọn file ISO vừa tải trước đó.

VIII. Điều chỉnh thông số máy ảo

Tiếp theo, truy cập vào phần Settings của máy ảo pfSense Firewall để điều chỉnh thêm các thông số cho máy ảo.

Tắt chức năng Secure Boot

Tắt Enable checkpoints

Tạo thêm card mạng

Hiện tại máy ảo pfSense Firewall chỉ mới có 1 card mạng kết nối vào External Switch. Cần tạo thêm 1 card mạng và kết nối vào pfSense Switch

Bấm OK để lưu lại thông số. Tiếp theo hãy khởi động máy ảo để tiến hành cài đặt pfSense vào ổ cứng.

Mình vừa mới hướng dẫn bạn các thiết lập mạng ảo với pfSense và Hyper-V. Trong phần 2, mình sẽ hướng dẫn chi tiết cách cài đặt pfSense lên máy ảo Hyper-V.

Nguồn: thuanbui

Trong seri này, bạn sẽ từng bước tìm hiểu cách cài đặt pfSense, cấu hình mạng WAN/LAN, NAT, Firewall Rules, VLAN, VPN, Load Balancing, Multi-WAN, Captive Portal, IDS/IPS và nhiều tính năng quan trọng khác giúp bảo vệ và tối ưu hạ tầng mạng. Đồng thời, seri cũng chia sẻ nhiều kinh nghiệm triển khai thực tế, giúp bạn hiểu rõ cách xây dựng một hệ thống mạng an toàn, hiệu quả và dễ quản trị.

Dù bạn là người mới bắt đầu tìm hiểu về network security hay đang muốn nâng cao kỹ năng quản trị hệ thống mạng, “Tự Dựng Firewall Với pfSense” sẽ là hành trình giúp bạn từng bước làm chủ giải pháp firewall chuyên nghiệp theo hướng thực chiến và ứng dụng thực tế.

Phần 1 – Thiết Lập Mạng Ảo Với pfSense Và Hyper-V

Phần 2: Cài đặt pfSense 2.5.x lên máy ảo Hyper-V

Phần 3: Cấu hình căn bản cho pfSense

Phần 4: Quản lý tài khoản, cấu hình SSH Server, DHCP Server

Phần 5: Cấu hình VLAN cho pfSense

Phần 6: Cấu hình Dynamic DNS

Phần 7: Thiết lập Captive Portal trên pfSense

Phần 8: Cấu hình PPPoE Server, PPPoE Client

Phần 9: Cấu hình giới hạn băng thông mạng LAN

Phần 10: Cấu hình Dual-Wan Load Balancing (cân bằng tải) & Failover (chế độ dự phòng)

Phần 11: Cấu hình WireGuard VPN và định tuyến tự động

Bật Firewall trên Synology NAS

Để bật Firewall trên Synology NAS bạn vào Control Panel => Security => Firewall => tick chọn Enable Firewall.

Tạo cấu hình Firewall trên Synology NAS

Ở phần Firewall Profile bạn tiến hành sửa cấu hình (Edit Rules) default (mặc định) hoặc thêm một cấu hình mới cũng được.

Click Managa firewall profile để quản lý các cầu hình…

Mình sẽ tạo một cấu hình mới với tên là Tuong lua và tiến hành tạo các kịch bản (Firewall Rules) cho cấu hình…

Kịch bản 1. Cho phép truy cập từ mạng nội bộ của bạn

• Tại cửa sổ Source IP bạn chọn:
  • Tick chọn Subnet
  • IP address: 192.168.1.1 – nhập địa chỉ default gateway mạng của bạn
  • Sunet mask: 255.255.255.0
  • Lưu ý: IP address và Sunet mask của bạn khác của mình, bạn có thể vào modem để kiểm tra…

Kịch bản 2. Cho phép Quốc gia truy cập

Với kịch bản này bản có thể cho phép một hoặc nhiều quốc gia truy cập vào các dịch vụ trên Synology NAS của bạn.

Tại cửa sổ Location bạn chọn các Quốc gia được phép truy cập vào các dịch vụ trên Synology NAS của bạn. Ở đây mình chỉ để Vietnam (Việt Nam)

Kịch bản 3. Không cho phép tất cả các quốc gia/địa điểm

Với kịch bản 2 bạn đã cho phép các quốc gia được phép truy cập vào các dịch vụ trên NAS của bạn. Kịch bản 3 này sẽ thiết lập không cho phép tất cả quốc gia/địa điểm.

• Lưu ý: Với những ai dùng Synology NAS để làm Webserver như mình, và mình muốn tất cả mọi người đều truy cập được thì bước 3 này mình thiết lập như sau:

Tại đậy bạn bỏ chọn cổng 443 và 80 của ứng dụng Virtual Host… (hoặc các ứng dụng bạn muốn cho phép truy cập…)

Hoàn thành…

Như vậy đã hoàn thành 3 kịch bản… Với 3 kịch bản này là thiết lập Firewall theo quốc gia/địa điểm mà bạn muốn.

Lưu ý: Thứ tự từ trên xuống thể hiện mức độ yêu tiên cho các kịch bản.

Kết !!!

Về cơ bản mình chỉ giới thiệu qua vậy để những bạn chưa biết về cách thiết lập Firewall trên Synology NAS hoặc thiết bị chạy XPEnology có cài nhìn cơ bản nhất… Từ đó có thể tự thiết lập các kịch bản theo ý muốn để bảo vệ thiết bị 😀

Xem hướng dẫn bằng tiếng Anh tại đây !

Chúc các bạn thành công !

Nguồn: nguyenvinh.net