PF-Sense
Globale inrichting
Overzicht huidige configuratie
Interfaces
| Interface | Link | omschrijving |
|---|---|---|
| WAN | LAGG0 | Internet verbinding |
| L1601 | VLAN 1601 / LAGG1 | LAN / Unrestricted |
| K1602 | VLAN 1602 / LAGG1 | Kinderen / Protected |
| G1603 | VLAN 1603 / LAGG1 | Gasten / Restricted |
| I1604 | VLAN 1604 / LAGG1 | IoT / Restricted |
| INFRA | LAGG2 | Infra backend |
| T1605 | VLAN 1605 / LAGG1 | IP-TV |
Vlans
| VLAN | Description | Interfaces |
|---|---|---|
| 1601 | LAN / Unrestricted | LAGG1 |
| 1602 | Kinderen / Protected | LAGG1 |
| 1603 | Gasten / Restricted | LAGG1 |
| 1604 | IoT / Restricted | LAGG1 |
| 1605 | IP-TV | LAGG1 |
Fysiek
| LAGG | Description | Interfaces |
|---|---|---|
| LAGG0 | WAN | igb0,igb1 |
| LAGG1 | LAN | igb2,igb3 |
| LAGG2 | INFRA | igb4,igb5 |
Regels
Plugins
Hardware
configuratie T-Mobile
Om de modem van je provider te vervangen voor je eigen hardware (pfSense) zijn een aantal specifieke instellingen nodig, hieronder de configuratie voor de 2 mogelijke varianten bij T-Mobile.
- ODF (Optical Distribution Frame) = Actieve operator T-Mobile (eigen apparatuur)
- WBA (Wholesale Broadband Access) = Actieve operator KPN (gedeelde apparatuur)
Ik ben ooit begonnen met een WBA configuratie maar ben inmiddels over gezet op ODF, de WBA configuratie staat hieronder als referentie vermeld aangezien er nog aansluitingen genoeg zijn die over WBA lopen en de configuratie met wat aanpassingen ook prima bij KPN glasvezel toegepast kan worden.
De apparatuur is inmiddels ook aangepast, de meest recente inrichting en hardware staat bij ODF.
ODF
telefonie is (nog) niet mogelijk.
De VLAN gegevens van T-Mobile:
Internet / Connected VLAN ID = 300
Als je een ODF aansluiting hebt is de inrichting wat simpeler, de IP-TV apparatuur gaat hier niet meer over een eigen toegewezen VLAN waardoor je alleen maar VLAN 300 op de WAN interface hoeft te configureren.
Er is ook geen mediaconverter meer nodig, deze werken niet met de GPON apparatuur van T-Mobile, hierdoor krijg je een ONT in je meterkast van T-Mobile en daar kan de firewall direct op aangesloten worden, sinds ik over ben op ODF heb ik ook wat andere hardware beschikbaar voor mijn verbinding:
- Netgear GS324T(P) managed switches
- HUNSN firewall
WBA
telefonie is (nog) niet mogelijk.
De VLAN gegevens van T-Mobile:
Internet / Connected VLAN ID = 300
IP-TV VLAN ID = 640
De volgende componenten heb ik gebruikt:
- TP-Link MC220L Mediaconverter
- PFsense firewall
- Netgear managed switches (GS108E / GS105E)
mijn netwerk ziet er als volgt uit, de switches in de meterkast en woonkamer zijn managed en ondersteunen VLANS.
De WAN verbinding word door middel van vlan tagging opgesplitst in internet en IP televisie: Configureer deze VLANs op pfsense:
interfaces>assignments>VLANs
in mijn opstelling is de EM2 interface de WAN interface met daaraan de MC220l gekoppeld. Belangrijk is om de VLAN TAG en de Parent interface goed in te stellen.
als VLANs op pfsense aangemaakt zijn moeten deze aan de juiste interfaces gekoppeld worden, de WAN interface zal standaard al bestaan samen met de LAN interface.
Koppel VLAN 300 aan de WAN interface:
interfaces>assignments
Maak hierna een WAN interface aan voor VLAN640, kies hier bij available network ports VLAN 640 on EM2. Er verschijnt een nieuwe interface met de naam OPTx (x kan een nummer zijn vanaf 1 afhankelijk van je eigen configuratie).
Klik op de OPTx interface en hernoem deze eventueel en enable de interface:
aan de LAN zijde moet ook een VLAN voor IP televisie aangemaakt worden, hiervoor kan je een willekeurig nummer gebruiken. De stappen zijn gelijk aan de WAN VLANS met uitzondering van de parent interface dit moet de lan interface zijn. In mijn opstelling heb ik intern ook gebruik gemaakt van VLAN 640.
Maak nadat alle interfaces aangemaakt en enabled zijn een Bridge aan:
interfaces>assignments>Bridges
Voeg zowel de WAN als de LAN interface met daarop VLAN 640 toe en geef de bridge een logische naam:
Om alleen verkeer op de bridge interface te filteren, en niet per interface firewall regels te maken moeten er 2 systeem instellingen in pfsense aangepast worden:
system>Advanced>System Tunables
voeg de aangemaakte Bridge toe aan de interfaces:
interfaces>assignments
via available network ports.
Enable de interface en geef hem een naam, pas de MTU aan naar 1594.
Ga hierna naar de firewall regels:
firewall>rules
Selecteer hier de Bridge interface en maak een nieuwe regel aan, in mijn geval blokkeer ik al het verkeer van het IP televisie netwerk naar mijn LAN en sta ik al het verkeer op het IPTV netwerk toe.
De volgende instelling moet in de firewallregel gemaakt worden om multicast verkeer toe te staan over de bridge [Allow IP options] deze instelling is in de regel onder de advanced options terug te vinden:
na deze instellingen moet PFsense je internet netjes op je WAN interface afleveren en IP televisie op je bridge en dit intern doorzetten naar het door jou gekozen VLAN. Het is wel aan te raden de PFsense een keer te rebooten zodat alle instellingen ook daadwerkelijk actief zijn. Zorg nu alleen dat de LAN interface op een TRUNK poort op je switch zit met daarop tagged het vlan voor IP televisie. Als je daarna een poort van de switch in dat VLAN zet kan er een mediaontvanger van T-mobile aangesloten worden.