pfSense là một ứng dụng mã nguồn mở dựa trên HĐH FreeBSB có chức năng như một router hay firewall.

Trong mô hình bên trên mình cài pfSense và máy AD trên một ESXi host

1. Các bước chuẩn bị trước khi cài pfSense

Trên Switch Cisco layer 2:

- Tạo 3 VLAN: vlan 5, vlan 10, vlan 20

- Port kết nối đến ESXi cấu hình mode trunk

- Port kết nối đến Unifi cấu hình mode trunk

- Những port kết nối với vùng server cấu hình access vlan 5

- Những port kết nối đến máy tính nhân viên cấu hình access vlan 10

Server vật lý cài ESXi mình có 2 card mạng.

- LAN 1 kết nối đến Draytek

- LAN 2 kết nối đến Switch Cisco

Trên ESXi

- Tạo vSwitch0 và vSwitch1

• vSwitch0 kết nối đến vmnic0 (LAN1 của server vật lý), tạo một port group (port group này sẽ làm cổng WAN cho pfSense)

• vSwitch1 kết nối đến vmnic1 (LAN2 của server vật lý), tạo ba port group và tag vlan cho từng port group

2. Cài đặt pfSense

Trên ESXi tạo một VM để cài pfSense, link download pfSense từ trang chủ link

Cài đặt card mạng cho pfSense như hình:

Khởi động VM

Accept

Vậy là chúng ta đã cài xong pfSense, chúng ta sẽ đăng nhập vào để cấu hình, IP mặc định của pfSense: 192.168.1.1/24

3. Cấu hình pfSense

Chúng ta sẽ chỉnh card mạng của VM AD trùng với card LAN của pfSense, chỉnh card mạng của máy AD trỏ vào port group vlan 5 rồi start VM lên

Chỉnh nhận IP động

Nhập IP LAN của pfSense vào trình duyệt

Username: admin

Password default: pfsense

Tại vì phía trước pfSense mình đã có router Draytek đảm nhiệm chức năng quay pppoe rồi nên mình sẽ gán IP tĩnh cho WAN theo mô hình

Bỏ dấu tick Block RFC1918 Private Networks để kết hợp với rule thì chúng ta mới truy cập được GUI của pfSense thông qua WAN

Để mặc định lát nữa chúng ta sẽ đổi sau

Đổi lại mật khẩu đăng nhập

Tạo rule cho phép truy cập GUI của pfSense thông qua IP WAN

Firewall > Rules > tab WAN

Đăng nhập vào máy tính cùng mạng với Draytek, mở trình duyệt nhập IP WAN của pfSense vào

Đổi lại tên LAN thành Server-Farm

Update phiên bản mới nhất cho pfSense

Đợi vài phút cho hệ thống tiến hành update, lưu ý không refresh lại trang

3.1. Gán interface

Thêm hai interface

Thêm interface cho Staff

Thêm interface cho Guest

3.2. Đặt IP cho mỗi interface

Đặt IP cho interface SERVERFARM

Đổi tên và đặt IP cho interface Staff

Đổi tên và đặt IP cho interface Guest

3.3. Tạo rule cho phép các mạng truy cập qua lại lẫn nhau và ra được internet

Cho phép STAFF full access

Cho phép Guest full access

3.4. Cài đặt DHCP Relay

Trong mô hình trên mình cho AD cấp ip cho toàn hệ thống nên trên pfSense sẽ làm chức năng DHCP Relay

Trên AD chúng ta sẽ tạo các scope, default gateway cho từng scope sẽ trỏ về IP của từng interface trên pfSense

Tắt DHCP của các interface

Cấu hình DHCP Relay

Interface(s): Chọn interface cần cấp DHCP

Destination server: IP của DHCP Server (máy AD)

3.5. Chỉ cho Guest truy cập internet, cấm truy cập vào nội bộ

- Rule thứ 1: Cấm toàn bộ lớp mạng Guest giao tiếp với vùng mạng server

- Rule thứ 2: Cấm toàn bộ lớp mạng Guest giao tiếp với vùng mạng Staff

- Rule thứ 3: Cho phép toàn bộ Guest ra ngoài internet

3.6. Cấm Staff truy cập Guest