Hero Image

# [ARCHIVIERT] Installation von pfSense auf einem APU Embedded Board

Die embedded Boards von APU sind klein, ausreichend schnell, sehr stromsparend und ohne Lüfter oder andere bewegliche Teile. Also perfekt geeignet um z.B. eine Telefonanlage oder Heimautomatisierung (z.b. mit Home Assistant) bereitzustellen, die ja dauerhaft laufen muss.

WICHTIG: Dieser Artikel ist archiviert und erfährt keine Neuerungen mehr, da wir mit OPNsense eine Alternative nutzen. Er kann aber gut als Inspiration weiterhin dienlich sein.

Das haben wir für Debian z.B. schon einmal hier beschrieben. Eine andere perfekte Anwendung ist der Betrieb als professionelle Firewall, da 3 LAN Schnittstellen zur Verfügung stehen.

Letzte Aktualisierung:

  • 01.12.2023: Seite auf aktuellen Stand gebracht
  • 05.01.2020: Verweise auf OpenVPN Server und Express VPN Artikel hinzugefügt
  • 14.04.2019: APU2D4 anstelle der APU2C4, Debian 9.8.0, kleinere Fehlerchen korrigiert, Links überprüft

Wir empfehlen hier das APU2DC4, was mit 4GB Ram und 1,2GHz CPU ausgestattet ist. Dann noch z.B. eine 16GB SSD rein und es steht genug Speicherplatz zur Verfügung. Wie so eine die APU zusammengebaut wird, habe ich mal in einem kleinen Youtube Video demonstriert.

Das Bundle inkl. Gehäuse gibt es günstig (z.b. [hier [Werbung)(https://www.apu-board.de/) und die Verbreitung der Hardware ist so hoch, was eine evtl. Ersatzteilbeschaffung in Zukunft sicherstellt.

Schnelldurchlauf

  • USB Stick mit pfSense® Image bereitstellen und APU damit booten
  • Mit Putty eine serielle Verbindung zur APU herstellen
  • pfSense® installieren
  • pfSense® vorkonfigurieren (Netzwerk)
  • Web Assistent abschließen

Das hier gebaute Beispiel Szenario sieht so aus:

Internet -> DSL-MODEM -> PPPOE -> WAN – pfSense® -> LAN -> lokales Netzwerk (192.168.1.0/24) – PC

In anderen Worten:

  • An LAN hängt das lokale Netzwerk mit dem IP-Bereich 192.168.1.0/24
  • Im Netzwerk werden die Adressen 192.168.1.200 – 192.168.1.250 per DHCP verteilt
  • An WAN wird ein reines DSL-Modem angeschlossen (z.B. [das hier [Werbung)(https://amzn.to/47lDWaf))
  • Die Anwahl zum Provider erfolgt über PPPoE (wie z.B. bei der Telekom oder Vodafone)

Hinweis zum DSL Modem: Es gibt da mehrere, aber was wir brauchen ist ein „Nur Modem“ Betrieb, auch „PPPoE-Pass-Through“ genannt. Das ist in dem Modem der Wahl vorher einzustellen!

Vorbereitung:

Da die APU keine Grafikkarte hat, wird diese über das RS232 (serielle) Interface angesprochen.
Dafür wird ein USB-RS232 Adapter (z.B. den hier [Werbung], wird direkt von Windows 10 erkannt) und ein serielles Kabel oder Adapter [Werbung] benötigt.

Des weiteren braucht man noch einen USB Stick mit mind. 8GB (mit denen von Kingston habe ich sehr gute Erfahrungen gemacht [Werbung]) wo dann das pfSense® Image (Hier sollte aus Sicherheitsgründen, immer die Latest Stable Version Heruntergeladen werden)

Nun laden wir das  pfSense® Image herunter.
Hierbei sollte darauf geachtet werden, dass immer die „Latest Stable Version“ heruntergeladen wird.

Vor dem Download, müssen allerdings noch einige Einstellungen auf der Downloadseite vorgenommen werden:

  • (1) Architecture = AMD64(64-bit)
  • (2) Installer = USB Memstick Installer
  • (3) Console = Serial
  • (4) Mirror = Frankfurt, Germany (Kann beliebig gewählt werden, aus geschwindigkeitsgründen bevorzuge ich einen Downloadserver in der nähe 😊).

Nach dem Download des Images muss dieses noch entpackt werden. Hierzu ist das Tool 7-Zip bestens geeignet. Um die Datei zu entpacken, wechseln wir in unseren Download Ordner und machen einen Rechtsklick auf die entsprechende Datei und wählen „7-Zip“ und dann „Dateien Entpacken“ aus.

Im nächste Fenster kann man dann den Speicherort sowie den Namen des Ordners angeben, in welchem die Datei entpackt werden soll. Hier genügt ein Klick auf OK.

Nachdem das pfSense® Image heruntergeladen und entpackt wurde, kopieren wir dieses mit Hilfe von  Rufus auf den entsprechenden USB Stick.
Hierzu gehen wir folgendermaßen vor:

  • Rufus öffnen und Laufwerk (USB-Stik) auswählen.

  • Startart sollte auf „Lauffwerk oder ISO-Image stehen“ ![](rufus startart.png)

  • Durch Klick auf Auswahl, öffnet sich ein Explorerfenster, hier muss nun zum Speicherort des Images (Standardmäßig Downloads) navigiert werden, dort dann das pfSense® Image Image auswählen und Öffnen.

  • Mit Klick auf Start den Schreibvorgang starten. Es folgt eine Warnmeldung, dass alle Daten auf dem Datenträger gelöscht werden. Diese bestätigen wir mit „OK“. Rufus löscht nun alle Partitionen sowie Dateien auf dem USB-Stick und schreibt das pfSense® Image Image auf den USB-Stick.

    Hinweis: Bei mehreren Partitionen auf dem USB-Stick erscheint eine Zusätzlich Warnmeldung, dass alle Partitionen gelöscht werden. Auch dies bestätigen wir mit „OK“

  • Nachdem das Image auf dem USB-Stick geschrieben wurde auf Schließen klicken. Nun ist unser USB-Stick zur Installation von pfSense® auf unser APU Board vorbereitet.

Die Verbindung zur APU stellen wir dann mit Putty (NUR vom Author runterladen!) her.

Also am Ende muss bereitstehen:

  • USB Stick mit dem pfSense® Image drauf (kommt in den USB Port der APU)
  • RS232 Schnittstelle der APU ist mit dem USB Adapter verbunden und im PC eingesteckt
  • Die APU ist noch ausgeschaltet!

COM Port herausfinden

Putty muss natürlich wissen, welcher COM Port angesprochen werden soll, da es da aber immer andere Ports gibt, schauen wir halt mal grad im Gerätemanager nach:

AHA! COM3

Also Putty starten und die Einstellungen vornehmen (und speichern wäre praktisch!):

  • (1)Connection Type ist „Serial“
  • (2)Serial Line ist COM3 (nachgucken!)
  • (3)Speed ist 115200
  • (4)Namen vergeben
  • (5)Speichern

    Ist endlich alles eingestellt, einfach auf „Open“ klicken und JETZT kann die APU eingeschaltet werden!

Installieren

Nun sollte nach ein paar Sekunden folgendes Bild zu sehen sein. (Mit F10 das Bootmenü aktivieren) Im Bootmenü dann mit 1 unseren USB-Stick auswählen. Der Bootvorgang vom USB wird nun durchlaufen, dies kann eine weile dauern.

Bevor es mit der Installation losgeht, wird die Frage nach dem Terminal gestellt, was man mit Enter einfach bestätigen kann.

Als nächste muss man die Copyright Bedingungen akzeptieren (Enter).

Und dann geht es auch schon mit der Installation von pfSense® auf unserem APU Board los:

  • Install pfSense (OK)

  • Guided UFS Disk Setup mittels Cursor auswählen und "Enter" oder "O" drücken.

  • Da wir auf unserem APU ausschließlich pfSense® installieren wollen, wollen wir die ganze Festplatte des APU´s verwenden (Entire Disk).

  • Nach der Auswahl „Entire Disk“ muss nochmal bestätigt werden, dass alle Daten auf der APU gelöscht und durch die neu Installation von pfSense überschrieben werden.

  • Im nächste Step geht mit „OK“ weiter.

  • Als nächstes bekommt man einen Partitionsvorschlag.
    Dieser kann mit „Finish“ übernommen werden.

  • Dies muss dann nochmals mit „Commit“ bestätigt werden.

  • Nun wird die Installation automatisch extrahiert, dies dauert einen Moment…

    • Nachdem die Installation durchgeführt wurde muss das APU neugestartet werden (Reboot).
      Achtung!: Der USB-Stick muss vor dem Reboot entfernt werden.

Fertig, die Kiste startet jetzt neu.

Der erste Start

Folgendes Bild sollte sich nach dem ersten Start präsentieren.

Was hier nicht schön ist und geändert wird (da bin ich eigen), ist die Reihenfolge der Netzwerk Schnittstellen.
Wen das nicht stört, kann den Punkt überspringen.

Grundsätzlich ist bei den APU die ganz linke Schnittstelle

  • (1) die Erste und das hätte ich auch ganz gerne als LAN (Lokales Netzwerk) und
  • (2) die Mittlere  als WAN (Für Internet).
  • (3) ist Reserve für z.b. für ein Gäste WLAN ![](apu von hinten 1.jpg)

    Um die Reihenfolge der Schnittstellen zu ändern benutzen wir das Konsolenmenü unter Punkt 1 „Assign Interfaces“ ![](assign interfaces.png) VLANSs wollen wir in diesem Stepp nicht konfigurieren.
    Also die Frage mit "n" beantworten Für das WAN Interface benutzen wir igb1 (Das ist dann die mittlere Schnittstelle)

Und für LAN benutzen wir dann igb0 (Das ist dann die Linke Schnitstelle) Igb2 wird hier nicht weiter Konfiguriert und die Konfiguration somit mit „Enter“ (Eingabe Feld leer lassen)abgeschlossen.

Jetzt nochmal überprüfen ob alles stimmt und mit „y“ bestätigen. Fertig ist die Konfiguration der LAN/WAN Schnittstelle!

IP Adressen festlegen

Die Firwewall ist die zentrale Stelle im Netz. Traditionell bekommt diese oft die 1, was auch in unserem Beispiel so sein soll.
Wir setzen also die 192.168.1.1 in einem /24 Subnetz (255.255.255.0).
Dazu wählen wir in dem Konsolenmenü den Punkt 2 „Set interface(s) IP address“

Wählen das LAN Interface aus 2- LAN ( igb0 – Static) also Nummer 2: In dem Konsolenmenü "2 - Set interface (s) IP adress" wird nun folgende Konfiguration vorgenommen:

  • Die Konfiguration der IPv4 via DHCP mit "n" ablehnen. ![](ipv4 ohne dhcp.png)

  • Nun wird man aufgefordert die neue IPv4 Adresse einzugeben. in unserem Fall ist das die "192.168.1.1"

    • Als nächstes müssen wir die Subnet Maske einstellen. In unserem Fall ist das die "255.255.255.0" somit also die "24"
  • eine LAN IPv4 upstream gateway adresse wollen wir jetzt nicht konfigurieren, hier also nichts eingeben und einfach mit "Enter" weitergehen.

  • eine IPv6 Adresse wollen wir an dieser Stelle auch nicht konfigurieren, also hier auch mit "n" Bestätigen. ![](ipv6 via dhcp nein.png)

  • Dementsprechend geben wir bei der Aufforderung eine IPv6 Adresse einzugeben auch nichts ein, sondern gehen einfach mit "Enter" weiter.

  • Als nächstes wird der DHCP-Server aktiviert ACHTUNG!: DHCP-Server nur Aktivieren, wenn kein anderer DHCP-Server im Netzwerk ist.

  • Nun muss die Startadresse des IPv4 Bereichs angegeben werden. in unserem Fall ist das die 192.168.1.200

  • Danach wir noch die Endadresse des IPv4 Bereichs angegeben. in unserem Fall ist das die 192.168.1.259

  • Wenn alles abgeschlossen ist, sollte folgendes Bild zu sehen sein: Unter der Angezeigten Adresse "http://192.168.178/" ist das Webinterface der pfSense erreichbar. Damit wäre die Konfiguration via Putty abgeschlossen. „Enter“ drücken, das Serielle Kabel ab und die APU kann an Ihrem Bestimmungsort installiert werden.

    Web Login

Ab jetzt geht es mit dem Webinterface weiter: **http://192.168.1.1 Login ist bei ersten mal: Login: Admin Passwort: pfsense

Nach dem ersten Login startet ein Assistent welcher uns durch die erste Konfiguration leiten wird.

Alles wo nichts einzustellen ist kann einfach mit „Next“ bestätigt werden, nur hier gibt es Anpassungsbedarf:

  • Den Hostnamen und die Domain vergeben

  • Für den Zeit-Server die Zeitzone aussuchen

  • Für das WAN Interface die PPPoE Konfiguration vornhemen (Die Anwahl zum Provider). Zugangsdaten sind von Provider zu Provider unterschiedlich. Welche genau bitte beim Provider erfragen:

Typische Einstellungen können sein:

  • Telekom PPPoE Username: Anschlusskennung (12-stellig) + Zugangsnummer (meist 12-stellig) + die Mitbenutzernummer 0001. Wenn Sie DSL nutzen, müssen Sie dieser Zahlenfolge noch die Endung „@t-online.de“ hinzufügen. Ihr Benutzername könnte dann so aussehen: 00012345678906112345678#0001@t-online.de

  • Telekom PPPoE Password: Ihr persönliches Kennwort (Zugangskennwort).

  • Vodafone PPPoE Username: und Kennwort können 1:1 aus dem Schreiben übernommen werden

  • Dann noch die Optionen „Enable dial-On-Demand“ aktivieren und „Idle Timeout“ auf 0 setzen

  • Als letztes noch das Adminpasswort auf eine sichere Variante wechseln.

Tipp: Richtig gute Passwörter lassen sich hier generieren!

Dann noch die Konfiguration zum Abschluss neu laden:

Fertig. Wenn alles gut gelaufen ist, kann nun über diese Firewall eine Verbindung ins Internet aufgebaut werden, bzw. wird, denn die Firewall versucht ja automatisch eine PPPoE Verbindung zum Provider herzustellen, sobald aus dem Netz eine Anfrage ankommt.

Das lässt sich z.B. leicht unter „Status – Interfaces“ nachschauen:

Die pfSense® ist ein wirklich ausgereiftes und stabiles Produkt, was hier noch öfters thematisiert wird und von uns schon dutzendfach eingesetzt wird.