Eski bir bilgisayarı yönlendiriciye nasıl dönüştürebilirim? (pfSense kurulum kılavuzu)
Eski bir bilgisayarı yönlendiriciye dönüştürmenin mümkün olup olmadığını merak ediyorsanız, bunun çok mümkün olduğunu ve bunu başarmanın birden fazla yolu olduğunu bilin. freebsd'yi temel alan açık kaynaklı pfSense, bir bilgisayarı yönlendiriciye dönüştürmenin en popüler yollarından biridir ve ayrıca Ubiquiti'nin EdgeOS'u nedeniyle arkasında yararlı bir topluluğa sahip olan VyOS vardır (hem VyOS hem Vyatta'dan çatallanmıştır) . Tabii ki, Miktrotik veya Sophos'tan RouterOS'u unutmayalım, ancak tüm bu yazılımların ortak noktası ticari düzeyde olmalarıdır, bu nedenle, tüketici tabanlı bir yönlendiricide olduğu gibi aynı türden bir konfigürasyon beklediyseniz, özellikle biraz daha gelişmiş özellikler çalıştırmak istiyorsanız biraz daha teknik bilgiye ihtiyaç duyacaksınız. Bunun sizi caydırmasına izin vermeyin,
Genel fikir birliği, bir bilgisayarda (genellikle) birden fazla Ethernet bağlantı noktası bulunmadığından ve bazı kablolu istemci aygıtları ağa eklemek istiyorsanız, en az ek LAN bağlantı noktası. Bu her zaman böyle değildir ve sadece bir yönlendiriciye dönüştürmek için kullanabileceğiniz eski bir dizüstü bilgisayarınız olabilir ve hayır, herhangi bir genişletme kartı ile uyumlu olmayacaktır, ancak kullanabileceğiniz bazı USB-Ethernet adaptörleri vardır LAN bağlantı noktası için (USB bağlantı noktalarınıza bağlı olarak 1Gbps'ye bile yaklaşabilirsiniz). Bu da bizi dizüstü bilgisayarınızı bir yönlendiriciye dönüştürmenin ilk adımına götürüyor ve bu da donanımı hazırlıyor ve anlıyor.
1. Donanımı hazırlama
Yönlendirici, verileri birden çok bilgisayar ağı arasında taşıyacak şekilde özel olarak tasarlanmış çok temel bir bilgisayardır, bu nedenle son 10 hatta 15 yıl önce piyasaya sürülen dizüstü veya masaüstü bilgisayarlar, herhangi bir yazılımı çalıştırmakta sorun yaşamamalıdır. bir ağ yönlendiricisine; çoğu ciddi şekilde aşırıya kaçabilir. Daha önce söylediğim gibi, bir masaüstü bilgisayar kullanmak ideal olurdu (mini-ATX mükemmel olmalı), ancak bu kılavuz için sadece bir HP Pavilion dv6 dizüstü bilgisayarım var, bu yüzden kullanacağım.
Özellikleri aşağıdaki gibidir:
- Intel i5 M460 CPU 2,5GHz hızında çalışıyor;
- 4 GB RAM;
- 500 GB depolama alanı (HDD);
- Atheros AR5B95 WiFi kartı;
- RealTek PCIe GBE denetleyici.
İşlemci, ihtiyacımız olandan çok daha fazla (ancak daha fazla güç, daha iyi), 4GB RAM veya gülünç depolama alanı ile aynı (yönlendiriciye yalnızca bir kısmını ayırmak daha iyi yazılım). Atheros AR5B95 WiFi kartı biraz eskidir ve 802.11ac WiFi standardını (yalnızca a / b / g / n) veya 5GHz bandını desteklemez, bu nedenle, kablosuz bir erişim noktası, kablosuz istemciler sadece 2.4GHz ağına bağlanmak zorunda kalacaklar (avantajı, kablosuz cihazların büyük çoğunluğunun sadece 2.4GHz bandına bağlanabilmesidir). (Örneğin 10W ile ilgili bir güç tüketimine sahiptir yönlendirici normal tüketici tipi Asus RT-AC86U bir ticari seviye yönelticiye ise, bu gibi), DrayTek Vigor2926 yaklaşık 29W'a kadar çok daha fazlasını gerektirecek. Bir dizüstü bilgisayarın biraz daha fazlasına ihtiyacı olacak ve kullandığım model 90W'a kadar çıkabilir, bu yüzden 7/24 çalışmak zorunda kalacağından kendi yönlendiricinizi oluşturmaya değip değmeyeceğine karar vermeden önce bunu dikkate alın.
Bazı kullanıcıların, bir dizüstü bilgisayarın pilinden faydalanabileceğini ve güç tuğlası çıkarıldıktan sonra bile (bu açıktır) aktif kalabileceğini söylediğini biliyorum, ancak etrafında üç eski dizüstü bilgisayarım var ve üçünün de (farklı markalardan) sürekli olması gerekiyor bir elektrik prizine bağlantı (piller tost edilir), bu nedenle, bu proje için kullanmak için oldukça yeni bir dizüstü bilgisayarınız yoksa, DYI yönlendiricisi için dahili bir UPS olarak bataryaya güvenme konusunda umutlarımı alamazdım . Bu tür bir proje için bir dizüstü bilgisayar kullanırken önemli bir sorun, bir Ethernet bağlantı noktasına sahip olması ve bir masaüstü bilgisayardaki gibi genişletme yuvalarına güvenerek genişletmenin bir yolu olmamasıdır.
Bana en az bir LAN portu vermesi gereken bir USB-Ethernet adaptörü kullanarak bir çözüm buldum. Gigabit Ethernet için bir USB 3.0 olan AmazonBasics adlı modeli kullandım ve dizüstü bilgisayarım oldukça eski olsa bile (yaklaşık 8 yıl, sanırım) bazı USB 3.0 bağlantı noktaları var, bu yüzden LAN bağlantı noktası sınırlı olmayacak 100Mbps'ye (korkunç Hızlı Ethernet) – adaptörü şimdi bağlamak için idealdir, böylece yazılım yüklenirken bunu algılayabilir.
Son olarak, CD'ler artık trend olmadığından, yönlendirici oluşturmak için istenen yazılımı eklemek için bir USB sürücünüz olacak ve evet, kullanımı kolay bir GUI'ye sahip olan bu kılavuz için pfSense kullanacağım (I gelecekte diğer seçenekleri keşfedebilir).
2. Yazılımı hazırlama (pfSense)
Yapmanız gereken ilk şey pfSense'i indirip daha sonra önyüklenebilir bir USB sürücüsüne koymak ve bunu yapmak için pfSense.org adresine gitmeniz, İndir'i tıklamanız ve En Son Kararlı Sürüm altında sürümü ( 2.4.5), onu Mimari ve Ayna izledi. Mimari altında, hem AMD hem de Intel 64bit için uygun olan Netgate ADI (eğer sahip olmadığımız bir Netgate cihazınız varsa) veya AMD64'ü seçebilirsiniz, bu yüzden seçeceğimiz seçenek budur; Installer altında USB Memstick Installer'ı ve Konsol altında Seri (USB bağlantı noktaları veya RS-232 için) veya VGA'yı (VGA veya HDMI çıkışına güveniyorsanız) seçin – genel bir USB dongle için Seri'yi seçin. Son olarak, Ayna konumunu (size en yakın olanı) seçin ve İndir'e tıklayın.
Dosyalar indirildikten sonra, görüntüyü açmak için 7-zip (veya alternatif bir yazılım) kullanın ve ardından önyüklenebilir bir USB sürücü oluşturmak için bir araç seçin. Ahududu Pi cihazlarına çeşitli dağıtımları yüklemek için bir süredir kullandığımdan beri Balena Etcher'i seçtim ve pfSense ekleme işlemi oldukça basit: Etcher'ı çalıştırın, görüntüyü seçin (indirdiğiniz ve açtığınız dosyalar), sürücüyü seçin (daha önce biçimlendirildiğinden emin olun) ve ardından Flash'ı tıklayın. Görüntüyü yazmayı bitirdikten sonra Etcher, dizüstü bilgisayardaki bir USB bağlantı noktasına (yönlendirici olarak kullanılacak) takılabilen sürücüyü otomatik olarak çıkarır.
3. pfSense'i bir dizüstü bilgisayara kurun
Dizüstü bilgisayar depolama sürücünüz zaten boşsa, USB sürücüsünü herhangi bir bağlantı noktasına takın ve bilgisayarın kurulum işlemini başlatmasını bekleyin, ancak daha önce tutmak istediğiniz başka bir işletim sisteminiz varsa, BIOS‘a önyükleme yapmanız gerekir. (her dizüstü bilgisayar markasına bağlıdır – benim durumumda ESC'ye basmaktı, ancak çoğu durumda obsesif olarak F11'e basıyor) ve önyükleme sürücüsü olarak USB dongle'ı seçin. Bu noktada, ana pfSense menüsünü ve ardından herhangi bir ticari dağıtım yapmanıza izin verilmediğini kabul etmeniz istenene kadar birkaç saniye boyunca çalışacak bazı işlemleri göreceksiniz (pfSense'in kullanımı ücretsizdir, bu nedenle size yardımcı oldu, geliştiricilere de bağış yapabilirsiniz – bu size kalmış).
Daha sonra üç seçenek arasından seçim yapabilirsiniz: pfSense'i yükleyin, Kurtarma Kabuğunu başlatın veya config.xml dosyasını kurtarın – ilkini seçin ve ardından Anahtar Haritası Seçimi'nde Varsayılan olarak saklayın. Ardından, Bölümleme bölümünde dört seçenek elde edersiniz: Otomatik, Manuel, Kabuk veya Otomatik (ZFS) – Otomatik (Kılavuzlu Disk Kurulumu) ile gittim, bu da diskin tamamını kullanmak mı yoksa küçük bir bölüm oluşturmak mı istediğinizi soracaktır. kullanılabilir boş alanın dışında.
500 GB'lık bir HDD'im var, ancak pfSense için kullanmak için bir atık olurdu (diğer uygulamalar için bıraktım), bu yüzden pfSense'i bir ssd'ye yüklemeye karar verdim (pfSense'ten beri çok büyük olması gerekmiyor) çok fazla depolama alanına ihtiyaç duymaz – 32 GB'ın fazlasıyla yeterli olması gerekir). Hangi sürücüyü yüklemek istediğinizi seçtikten sonra, varsayılanı (MBR DOS Bölümleri) tutmanız gereken Bölüm Düzeni'ne yönlendirilirsiniz ve ardından Bitir'e tıklamadan önce tüm ayarları gözden geçirir ve yazılımı sürücüde yazmaya başlarsınız. . Birkaç dakika bekleyin ve işlem tamamlanmalıdır (kabuk kullanarak herhangi bir son değişiklik yapmak isteyip istemediğiniz sorulacaktır). Yeniden başlatın ve eğlence burada başlıyor. İlk olarak, şimdi VLAN'ları ayarlamak isteyip istemediğiniz sorulur ve şimdilik, hayır (yine de yapılandırılabilirler) ve ikinci olarak,
Daha sonra, LAN arayüz adını girmeniz gerekir (USB'den Ethernet adaptörünü seçtim); değişiklikleri onaylayın ve devam edin. Artık yapılandırma menüsünü ve LAN IP adresini görebileceksiniz (varsayılan olarak 192.168.1.1 olmalıdır).
Kapağı kapattıktan sonra dizüstü bilgisayarım ekranı kapatacak ve pfSense iyi çalışmaya devam edecek (daha az güç tüketirken) ve bazı dizüstü bilgisayarların ekranı kapatmak için tuş kombinasyonu olduğunu biliyorum (FN + a F düğmesi) veya, her şey başarısız olursa, BIOS'a girebilir ve belirli bir süre işlem yapılmadığını algıladıktan sonra monitör için bir zaman aşımı ayarlayabilirsiniz.
4. pfSense'i yapılandırma
Bu noktada, iki Ethernet kablosu alın ve WAN portunu (pfSense dizüstü bilgisayarda ayarladığınız) modeme bağlamak için diğerini, LAN portunu bir bilgisayara bağlamak için diğerini kullanın, böylece GUI'ye erişebilirsiniz. Bir istemci aygıtını pfSense yönlendiricisine bağladıktan sonra, bir tarayıcı açın ve yapılandırma sırasında önceden ayarlanmış LAN IP'sini girin (varsayılan olarak 192.168.1.1 olmalıdır). Bu, varsayılan kullanıcı adı ve parolayı (admin / pfsense) kullanarak Oturum Açmanız gereken kullanıcı arabirimini açar ve Sihirbaz devreye girerek Genel Bilgi: Ana Bilgisayar Adı ve Etki Alanını ayarlamanıza izin verir ( Yerel bir yapılandırma olacağından, ancak sahip olduğunuz herhangi bir çalışan işletme alan adını da girebilirsiniz), DNS sunucusu (8.8.8 kullandım.
Ardından, Zaman sunucusu ana bilgisayar adını ve Saat Dilimi'ni (şu anda yaşadığınız yere ayarlayabiliriz) ayarlayabiliriz ve ardından WAN Arabirimi yapılandırma sayfasına ulaştık.
Burada, WAN arayüz türünü seçebilirsiniz ve benim durumumda PPPoE'ydi, bu yüzden PPPoE yapılandırma alanına gittim ve ISS tarafından verilen Kullanıcı Adı ve Parolayı girdim – engelleme de dahil olmak üzere diğer her şey varsayılan olarak bırakıldı RFC1918 özel ağları (doğrudan ISS'ye bağlandığımızdan özel ağların WAN üzerinden girmesini engellemek için) ve bogon ağlarını (kimlik sahtekarlığını önlemek için).
Daha sonra, LAN IP adresini (192.168.1.1 olarak bıraktım) ve Alt Ağ Maskesini (24 olarak bıraktım – 255.255.255.0 anlamına gelir) değiştirebilir ve son olarak Yönetici Parolasını değiştirebilirsiniz (varsayılan olarak bırakmayın! ). Yeniden Yükle'yi tıklayın ve ayarların uygulanmasını bekleyin. Artık ana Gösterge Tablosuna erişebildiğimize göre, biri Sistem Bilgileri (donanım istatistiklerini, dizüstü bilgisayarın iç sıcaklığını, pfSense sürümünü ve MDS Azaltma'nın etkin olup olmadığını) ve diğeri gösterilecek iki bölüm olmalıdır. Arabirimler (yeni yapılandırdığımız WAN ve LAN'ı görüntüler). Dizüstü bilgisayarın kablosuz özellikleri olduğundan, yazılımdan etkinleştirmenin ve bunu yapmanın zamanı geldi, Arayüzler'e gitmeniz ve Ödevler'i tıklamanız gerekiyor.
Bu, Kablosuz'u ve ardından Ekle'yi tıklatmanız gereken bir menüyü çağırır. Kablosuz Arabirim Yapılandırması altında, tercih edilen Üst Arabirimi (yalnızca Atheros 9285 WiFi kartım var), Modu (Erişim Noktası'nı seçin) seçin ve isterseniz bir açıklama verin. Kaydet'e tıklayın ve Arayüz Atamaları'na gidin ve Kullanılabilir ağ bağlantı noktalarından yeni oluşturulan WLAN'ı seçin ve Ekle'ye tıklayın.
Ayarını yapmak için, Arayüzler'e tıklayın (üst menüden), WLAN arayüzünü seçin (OPT1 veya benzeri bir şey olmalıdır) ve Genel Yapılandırma'dan Arayüzü etkinleştirin. Daha sonra, Açıklamayı değiştirebilir (WiFi veya istediğinizi girin) ve IPv4 Yapılandırma Türü'nde Statik IP'ye ayarlayın ve sonra farklı bir alt ağa koyun – örneğin, Statik IP adresini 192.168.2.1/ olarak ayarlayın 24. Ortak Kablosuz Yapılandırma altında, Standardı 802.11ng olarak ayarladım ve Kanalın yakındaki ağlardan etkilenmeyecek şekilde ayarlanması gerekiyor, bu nedenle en iyisini kontrol etmek için bir WiFi analiz aracı kullanın (bırakmayın) Otomatik).
Ardından, bulunduğunuz yere göre derlenmesi gereken Yasal Ayarlar bölümü vardır, bu nedenle bölgenizdeki kurallara aykırı olmaz ve ardından Ağa Özgü Kablosuz Yapılandırma altında, Mod Erişim Noktası olarak ayarlanır, SSID'yi girin ( Kablosuz ağınızın adı), Minimum kablosuz standardı (Etrafta eski bir cihazım olmadığı için 802.11n ile gittim, ancak benimle aynı olanı seçmeden önce bağlanması gereken daha eski cihazlar olup olmadığını kontrol ettiğinizden emin olun. ) ve 802.11n'yi minimum standart olarak koyduğum için, WME'yi (Kablosuz QoS) de etkinleştirmem gerekecek. Bir sonraki bölümde, WPA'yı Etkinleştir'i işaretleyin, Kablosuz Önceden Paylaşılan Anahtar'ı (kablosuz ağa erişmek için girilmesi gereken şifre) girin, WPA modunu varsayılan olarak bırakın (WPA2) ve bu bölümdeki diğer seçenekler .
802.1x RADIUS Seçenekleri, çok sayıda istemciye sahip kuruluşlar için ayrılmıştır, bu yüzden onu devre dışı bırakacağız ve bir sonraki bölümde yalnızca Block bogon ağlarını etkinleştirdim. Bu işlemden sonra Kaydet ve Uygula'yı tıklayın. Bu yeterli olmalı, ancak herhangi bir kablosuz istemciyi bağlarken sorun yaşadığımı fark ettim.
Denemek ve çözmek için, cihazın bir IP almayacağını fark ettim, bu yüzden Hizmetler> DHCP Sunucusu'na gittim ve WiFi'yi seçtim, burada WiFi arayüzünde DHCP sunucusunu Etkinleştirdim ve bir IP aralığı (192.168 gibi bir şey) ayarladım. 2.10 ila 192.168.2.254). Cihaz şimdi bir IP bağlayıp alacaktı, ancak İnternet yoktu – LAN'ı WiFi ile boşuna boşaltıp denemedim ve o zaman korkunç bir ‘sıkışmış işaret' hatası aldığımı fark ettim. pfSense ve Atheros WiFi kartı (bazı sürücü sorunu) arasında uyumsuzluk, bu yüzden sorunu hemen çözen harici bir kablosuz erişim noktası çıkardım. Bu, dizüstü / masaüstü bilgisayarınızda bir WiFi kartınız olmasına rağmen, pfSense kullanarak bundan yararlanamayabileceğinizi gösterir.
Bir yönlendiriciden daha fazlasına ihtiyacınız yoksa, güvenlik hakkında çok fazla endişelenmeden burada durabilirsiniz, çünkü mevcut durumunda bile, pfSense'in varsayılan olarak çalışan bazı güvenlik önlemleri vardır, ancak ek ortak (veya daha fazlası istiyorsanız) gelişmiş) özellikleri seçerseniz, Sistem> Paket Yöneticisi'ne gitmeniz ve Kullanılabilir Paketler listesini (çok kapsamlı) kontrol etmeniz gerekir. Bazı serin paketler, ağ akışını (ayrıca kayıp ve titremeyi) kontrol etmek için çalıştırabileceğiniz iperf, onları durduran ve yeniden başlatan hizmetleri kontrol eden Service_Watchdog ve herhangi bir müdahaleyi önlemek ve tespit etmek için harika bir araç olan snort var ( IDS / IPS) – Asus RT-AC86U veya Synology RT2600ac gibi daha yeni yönlendiricilerden bazıları IDS / IPS biraz daha hafif bir uygulama var, bu yüzden evet, bu paket olması gerekir. Suricata, OISF tarafından üretilen bir IDS, IPS ve İzleme motoru olduğu için yükleyebileceğiniz başka bir pakettir, bu nedenle, snort'a benzer şekilde, ağınızın güvenli kalmasını sağlar (ve bilgisayarın donanımı, sorunsuz bir şekilde ele alınmasını sağlar) .