Installation von pfSense® auf einem APU Embedded Board (APU.2C4)

Installation von pfSense® auf einem APU embedded Board

Die embedded Boards von APU sind klein, ausreichend schnell, sehr stromsparend und ohne Lüfter oder andere bewegliche Teile. Also perfekt geeignet um z.B. eine Telefonanlage oder Heimautomatisierung (z.b. mit Home Assistant) bereitzustellen, die ja dauerhaft laufen muss. Das haben wir für Debian z.B. schon einmal hier beschrieben.

Eine andere perfekte Anwendung ist der Betrieb als professionelle Firewall, da 3 LAN Schnittstellen zur Verfügung stehen.

UPDATES

• 20200105: Verweise auf OpenVPN Server und Express VPN Artikel hinzugefügt
• 20190414: APU2D4 anstelle der APU2C4, Debian 9.8.0, kleinere Fehlerchen korrigiert, Links überprüft

Wir empfehlen hier das APU2DC4, was mit 4GB Ram und 1,2GHz CPU ausgestattet ist. Dann noch z.B. eine 16GB SSD rein und es steht genug Speicherplatz zur Verfügung. Wie so eine die APU zusammengebaut wird, habe ich mal in einem kleinen Youtube Video demonstriert.

Das Bundle inkl. Gehäuse gibt es günstig (z.b. hier [Werbung] und die Verbreitung der Hardware ist so hoch, was eine evtl. Ersatzteilbeschaffung in Zukunft sicherstellt.

Schnelldurchlauf

• USB Stick mit pfSense® Image bereitstellen und APU damit booten
• Mit Putty eine serielle Verbindung zur APU herstellen
• pfSense® installieren
• pfSense® vorkonfigurieren (Netzwerk)
• Web Assistent abschließen

Das hier gebaute Beispiel Szenario sieht so aus:

Internet -> DSL-MODEM -> PPPOE -> WAN – pfSense® -> LAN -> lokales Netzwerk (192.168.1.0/24) – PC

In anderen Worten:

• An LAN hängt das lokale Netzwerk mit dem IP-Bereich 192.168.1.0/24
  • Im Netzwerk werden die Adressen 192.168.1.200 – 192.168.1.250 per DHCP verteilt
• An WAN wird ein reines DSL-Modem angeschlossen (z.B. das hier [Werbung])
• Die Anwahl zum Provider erfolgt über PPPoE (wie z.B. bei der Telekom oder Vodafone)

Hinweis zum DSL Modem: Es gibt da mehrere, aber was wir brauchen ist ein „Nur Modem“ Betrieb, auch „PPPoE-Pass-Through“ genannt. Das ist in dem Modem der Wahl vorher einzustellen!

Vorbereitung

Da die APU keine Grafikkarte hat, wird diese über das RS232 Interface angesprochen.
Dafür wird ein USB-RS232 Adapter (z.B. den hier [Werbung], wird direkt von Windows 10 erkannt) und ein serielles Kabel oder Adapter [Werbung] benötigt.

Des weiteren braucht man noch einen USB Stick mit mind. 4GB (mit denen von Kingston habe ich sehr gute Erfahrungen gemacht [Werbung]),
wo dann das pfSense® Image (pfSense-CE-memstick-serial-2.4.4-p1-RELEASE-amd64.img) …

Der Stick sollte vorher komplett leer sein. Am einfachsten geht das mit „diskpart“:

• Windows Powershell als Administrator öffnen
• „diskpart“ eingeben
  • mit „list disk“ eine Auflistung der angeschlossenen Geräte auflisten (z.b. ist der USB Stick die Nummer 4), dann
  • mit „select disk 4“ den USB Stick auswählen und
  • mit „clean“ das Ding komplett leer machen. Fertig.
  • Achtung: Auf das richtige Laufwerk achten!!

… mit Hilfe von win32diskimager drauf kopiert wird:

Die Verbindung zur APU stellen wir dann mit Putty (NUR vom Author runterladen!) her.

Also am Ende muss bereitstehen:

• USB Stick mit dem pfSense® Image drauf (kommt in den USB Port der APU)
• RS232 Schnittstelle der APU ist mit dem USB Adapter verbunden und im PC eingesteckt
• Die APU ist noch ausgeschaltet!

COM Port herausfinden

Putty muss natürlich wissen, welcher COM Port angesprochen werden soll, da es da aber immer andere Ports gibt, schauen wir halt mal grad im Gerätemanager nach:

AHA! COM5

Also Putty starten und die Einstellungen vornehmen (und speichern wäre praktisch!):

• Connection Type ist „Serial“
• Serial Line ist COM5 (nachgucken!)
• Speed ist 115200

Ist endlich alles eingestellt, einfach auf „Open“ klicken und JETZT kann die APU eingeschaltet werden.

Installieren

Nun sollte nach ein paar Sekunden folgendes Bild zu sehen sein. (Mit F10 das Bootmenü aktivieren)

Mit 1 wird vom USB Stick gebootet und der Bottvorgang wird durchlaufen (dauert etwas)

Bevor es mit der Installation losgeht wird die Frage nach dem Terminal gestellt, was man mit Enter einfach bestätigen kann.

Dann geht es eigentlich immer geradeaus:

Fertig und die Kiste startet neu.

Der erste Start

Folgendes Bild sollte sich nach dem ersten Start präsentieren.

Was hier nicht schön ist und geändert wird (da bin ich eigen), ist die Reihenfolge der Netzwerk Schnittstellen.
Wen das nicht stört kann den Punkt überspringen.

Grundsätzlich ist bei den APU die ganz linke Schnittstelle

• (1) die Erste und das hätte ich auch ganz gerne als LAN (Lokales Netzwerk) und
• (2) die Mittlere  als WAN (Für Internet).
• (3) ist Reserve für z.b. für ein Gäste WLAN

Dafür benutzen wir das Konsolenmenü unter Punkt 1

Für das WAN Interface benutzen wir igb1 (Das ist dann die mittlere Schnittstelle)

und für LAN dann igb0

dann mit y bestatigen:

IP Adressen festlegen

Die Firwewall ist die zentrale Stelle im Netz. Traditionell bekommt diese oft die 1, was auch in unserem Beispiel so sein soll.
Wir setzen also die 192.168.1.1 in einem /24 Subnetz (255.255.255.0).
Dazu wählen wir in dem Consolenmenü den Punkt 2

Wählen das LAN Interface aus. Hier die 2.

und beanworten all die Fragen wie auf dem Bild auch zu sehen ist:

LAN IPv4 Address: 192.168.1.1
LAN IPv4 Subnet bit: 24
LAN Upstream Gateway: Leer
LAN IPv6 Address: Leer
DHCP Server: y
DHCP Server Start: 192.168.1.200
DHCP Server End: 192.168.1.250
Revert to HTTP Protocol: y

Den DHCP Serer NUR aktivieren wenn im Netz kein anderer vorhanden ist!

Mit Enter bestätigen.

Fertig

Jetzt kann das Serielle Kabel ab und die APU kann an Ihrem Bestimmungsort installiert werden.

Web Login

Ab jetzt geht es mit dem Webinterface weiter: http://192.168.1.1
Login ist bei ersten mal admin / pfsense 

und die Oberfläche startet automatisch mit einem Assistenten:

Alles wo nichts einzustellen ist kann einfach mit „Next“ bestätigt werden, nur hier gibt es Anpassungsbesdarf:

Den Hostnamen und die Domain vergeben

Für den Zeitserver die Zeitzone aussuchen

Für das WAN Interface die PPPoE Konfiguration vornhemen (Die Anwahl zum Provider). Zugangsdaten sind von Provider zu Provider unterschiedlich. Welche genau bitte beim Provider erfragen:

Typische Einstellungen können sein:

• Telekom PPPoE Username: Anschlusskennung (12-stellig) + Zugangsnummer (meist 12-stellig) + die Mitbenutzernummer 0001. Wenn Sie DSL nutzen, müssen Sie dieser Zahlenfolge noch die Endung „@t-online.de“ hinzufügen. Ihr Benutzername könnte dann so aussehen: 00012345678906112345678#0001@t-online.de
• Telekom PPPoE Password: Ihr persönliches Kennwort (Zugangskennwort).
  
• Vodafone PPPoE Username: und Kennwort können 1:1 aus dem Schreiben übernommen werden

Dann noch die Optionen „Enable dial-On-Demand“ aktivieren und „Idle Timeout“ auf 0 setzen

Als letztes noch das Adminpasswort auf eine sichere Variante wechseln.

Tipp: Richtig gute Passwörter lassen sich hier generieren!

Dann noch die Konfiguration zum Abschluss neu laden:

Fertig. Wenn alles gut gelaufen ist, kann nun über diese Firewall eine Verbindung ins Internet aufgebaut werden, bzw. wird, denn die Firewall versucht ja automatisch eine PPPoE Verbindung zum Provider herzustellen, sobald aus dem Netz eine Anfrage ankommt.

Das lässt sich z.B. leicht unter „Status – Interfaces“ nachschauen:

Die pfSense® ist ein wirklich ausgereiftes und stabiles Produkt, was hier noch öfters thematisiert wird und von uns schon dutzendfach eingesetzt wird.

Fertig, und nu? Weitere Schritte

Das war die Grundinstallation, aber die pfSense® kann noch mehr:

• [TBD] Erweiterte und emfphlende Konfiguration
• OpenVPN Server für Zugriffe von außen
• Werbung und schädliches blockieren
• pfSense® mit ExpressVPN Routing Artikelreihe

Hinweis: Die mit [Werbung] gekennzeichneten Verweise sind sogenannte Provision-Links.
Wenn auf so einen Verweislink geklickt und über diesen Link eingekauft wird, bekommen wir von dem Kauf eine Provision.
Für den Käufer verändert sich der Preis dadurch nicht! Produktempfehlungen sind komplett frei und nicht durch ein Sponsoring beeinflusst!