Bezpečnostní brána Netgate 4200

Informace o produktu

• Název produktu: Návod k bezpečnostní bráně
• Datum: 08. ledna 2024
• Model: Netgate-4200

Návod k použití produktu

Kapitola 1: Out of the Box

Začínáme

Chcete-li začít s bezpečnostní bránou, postupujte takto:

1. Stáhněte si PDF verzi produktové příručky a PDF verzi dokumentace pfSense jako zálohu.
2. Pokračujte k počáteční konfiguraci nebo připojení k portu USB konzoly.

co dál?

Konfigurace brány firewall pomocí prohlížeče:

• Připojte se ke GUI zadáním 192.168.1.1 do adresního řádku a web prohlížeč.
• Pokud se zobrazí varovná zpráva, klikněte na tlačítko Upřesnit a poté pokračujte kliknutím na Pokračovat na 192.168.1.1 (nebezpečné).
• Pokud je IP adresa podsítě LAN v konfliktu s modemem dodaným ISP, změňte IP adresu rozhraní LAN na jinou podsíť pomocí nabídky Console nebo Průvodce nastavením.

Počáteční konfigurace
Než budete pokračovat s počáteční konfigurací, ujistěte se, že WAN (např. optický nebo kabelový modem) má výchozí IP adresu jinou než 192.168.1.1, abyste předešli konfliktu podsítí na WAN a LAN.

Připojení k Web Rozhraní (GUI)

1. V počítači otevřete a web prohlížeče a do adresního řádku zadejte 192.168.1.1.
2. Pokud se zobrazí varovná zpráva, klikněte na tlačítko Upřesnit a poté pokračujte kliknutím na Pokračovat na 192.168.1.1 (nebezpečné).

Průvodce nastavením

Průvodce nastavením vás provede počáteční konfigurací brány firewall. Následuj tyto kroky:

1. Klepnutím na tlačítko Další spusťte Průvodce nastavením.
2. Dokončete každou stránku průvodce pro konfiguraci brány firewall.
3. Průvodce můžete kdykoli zastavit opuštěním stránek průvodce nebo výběrem položky z jedné z nabídek.

Specifikace

• Název produktu: Návod k bezpečnostní bráně
• Datum: 08. ledna 2024
• Model: Netgate-4200

Často kladené otázky (FAQ)

Otázka: Mohu použít výchozí IP adresu na WAN i LAN?
A: Ne, výchozí adresa IP modemu dodaného ISP a rozhraní LAN brány firewall Netgate nemůže být stejná. Pokud jsou v konfliktu, změňte IP adresu rozhraní LAN na jinou podsíť.

Otázka: Jak změním IP adresu rozhraní?
A: Adresu IP rozhraní můžete změnit buď pomocí nabídky konzoly nebo pomocí průvodce nastavením. V nabídce konzoly vyberte možnost 2 a podle pokynů ji změňte. V GUI přejděte do System > Setup Wizard a změňte IP adresu v kroku 5. Po dokončení průvodce uložte změny.

Otázka: Co mám dělat, když narazím na varovnou zprávu certifikátu?
A: Pokud se zobrazí varovná zpráva certifikátu, klikněte na tlačítko Upřesnit a poté pokračujte kliknutím na Pokračovat na 192.168.1.1 (nebezpečné).

Návod k bezpečnostní bráně

Tato Rychlá úvodní příručka pokrývá postupy prvního připojení pro zařízení Netgate® 4200 Desktop Firewall a poskytuje informace potřebné k udržení zařízení v provozu.

Tip: Než začnete, osvědčeným postupem je stáhnout si PDF verzi produktové příručky a PDF verzi dokumentace pfSense pro případ, že během instalace není k dispozici přístup k internetu.

MIMO KRABIČKU

Začínáme

Základní konfigurace firewallu začíná připojením zařízení Netgate® k internetu. Zařízení Netgate by mělo být v tuto chvíli odpojeno.
Připojte jeden konec ethernetového kabelu k portu WAN (zobrazeno v části Vstupní a výstupní porty) zařízení Netgate. Druhý konec stejného kabelu by měl být vložen do portu LAN na zařízení ISP CPE, jako je kabelový nebo optický modem. Pokud má zařízení CPE poskytované ISP více portů LAN, měl by ve většině případů fungovat kterýkoli port LAN.
Poté připojte jeden konec druhého ethernetového kabelu k portu LAN (zobrazeno v části Vstupní a výstupní porty) zařízení Netgate. Připojte druhý konec k počítači.

co dál?

Chcete-li se připojit ke grafickému uživatelskému rozhraní a nakonfigurovat bránu firewall v prohlížeči, pokračujte na Počáteční konfiguraci.
Chcete-li se připojit ke konzole a provést úpravy před připojením ke GUI, viz Připojení k portu USB konzoly.
Upozornění: Výchozí IP adresa v podsíti LAN na firewallu Netgate je 192.168.1.1/24. Stejnou podsíť nelze použít na WAN i LAN, takže pokud je výchozí IP adresa na modemu dodaném ISP také 192.168.1.1/24, odpojte rozhraní WAN, dokud nebude rozhraní LAN na firewallu přečíslováno na jinou podsíť ( jako 192.168.2.1/24), abyste se vyhnuli konfliktu IP adres.
Chcete-li změnit adresu IP rozhraní, vyberte možnost 2 z nabídky konzoly a projděte si kroky pro její změnu, nebo v grafickém uživatelském rozhraní projděte Průvodce nastavením (otevře se při prvním spuštění, naleznete jej také v části Systém > Průvodce nastavením) a změňte IP adresa v kroku 5. Dokončete průvodce a uložte změny.

Počáteční konfigurace
Zapojte napájecí kabel do napájecího portu (zobrazeného v části Vstupní a výstupní porty) a zapněte bránu Netgate® Firewall. Počkejte 4 nebo 5 minut, než se úplně spustí.

Varování: Pokud má CPE na WAN (např. optický nebo kabelový modem) výchozí IP adresu 192.168.1.1, odpojte ethernetový kabel od 1 portu na Netgate 4200 Security Gateway, než budete pokračovat.
Změňte výchozí LAN IP adresu zařízení během pozdějšího kroku v konfiguraci, abyste předešli konfliktu podsítí na WAN a LAN.

Připojení k Web Rozhraní (GUI)

1. Z počítače se přihlaste do web rozhraní
   Otevřete a web prohlížeč (v tomto příkladu Google Chromeample) a do adresního řádku zadejte 192.168.1.1. Stiskněte Enter.
2. Může se zobrazit varovná zpráva. Pokud se objeví tato nebo podobná zpráva, můžete bezpečně pokračovat. Klikněte na tlačítko Upřesnit a poté pokračujte kliknutím na Pokračovat na 192.168.1.1 (nebezpečné).
3. Na přihlašovací stránce zadejte výchozí uživatelské jméno a heslo pfSense® Plus a klikněte na Další.
   • Výchozí uživatelské jméno: admin
   • Výchozí heslo: pfsense

Průvodce nastavením
Tato část popisuje jednotlivé stránky Průvodce nastavením a provádí počáteční konfiguraci brány firewall. Průvodce shromažďuje informace jednu stránku po druhé, ale neprovádí žádné změny brány firewall, dokud není průvodce dokončen.

Tip: Průvodce lze kdykoli bezpečně zastavit pro ty, kteří chtějí konfiguraci provést ručně popř
obnovit existující zálohu (Backup and Restore).
Chcete-li průvodce zastavit, opusťte stránky průvodce kliknutím na logo v levé horní části stránky nebo výběrem položky z jedné z nabídek.

Poznámka: Ignorujte varování v horní části každé stránky průvodce o resetování hesla účtu správce. Jedním z kroků v Průvodci nastavením je změna výchozího hesla, ale nové heslo se použije až po skončení průvodce.

1. Klepnutím na tlačítko Další spusťte Průvodce nastavením.
2. Po přečtení informací o globální podpoře Netgate klikněte na Další.
3. Následující položky použijte jako vodítko ke konfiguraci možností na stránce Obecné informace:
   Hostname Pro identifikaci firewallu lze zadat libovolný název hostitele. Pro účely této příručky se používá výchozí název hostitele pfsense.
   Doména Název domény, pod kterou firewall pracuje. Pro účely tohoto kurzu se používá výchozí home.arpa.
   Servery DNS Pro účely tohoto průvodce nastavením použijte veřejné servery DNS společnosti Google (8.8.8.8 a 8.8.4.4).
   Poznámka: Brána firewall ve výchozím nastavení funguje jako překladač a klienti tyto servery DNS pro předávání nebudou využívat. Tyto servery však poskytují samotnému firewallu způsob, jak zajistit, aby měl funkční DNS, pokud řešení výchozího způsobu nefunguje správně.
   Zadejte informace o serveru DNS a klepněte na tlačítko Další.
4. Pro stránku Informace o časovém serveru použijte následující informace:
   Název hostitele časového serveru Použijte výchozí adresu časového serveru. Výchozí název hostitele je vhodný pro klienty IPv4 i IPv6 NTP.
   Časové pásmo Vyberte geograficky pojmenované časové pásmo pro umístění brány firewall.
   V tomto průvodci bude časové pásmo nastaveno na Amerika/Chicago pro centrální čas USA.
   Změňte časové pásmo a klikněte na Další.
5. Pro stránku Konfigurace rozhraní WAN použijte následující informace:
   Rozhraní WAN je externí (veřejná) IP adresa, kterou bude firewall používat pro komunikaci s Internetem.
   DHCP je výchozí a nejběžnější typ rozhraní WAN pro domácí optické a kabelové modemy.
   Výchozí nastavení pro ostatní položky na této stránce by mělo být přijatelné pro běžné domácí uživatele.
   Výchozí nastavení by mělo být přijatelné. Klepněte na tlačítko Další.
6. Konfigurace IP adresy LAN a masky podsítě. Výchozí IP adresa LAN 192.168.1.1 a maska ​​podsítě 24 je obvykle dostačující.
   Tip: Pokud má CPE na WAN (např. optický nebo kabelový modem) výchozí IP adresu 192.168.1.1, ethernetový kabel by měl být před spuštěním odpojen od 1 portu na Netgate 4200 Security Gateway.
   Během tohoto kroku konfigurace změňte výchozí LAN IP adresu zařízení, abyste předešli konfliktu podsítí na WAN a LAN.
7. Změňte heslo správce. Do obou polí zadejte stejné nové heslo.
8. Kliknutím na Znovu načíst konfiguraci uložíte.
9. Po několika sekundách se zobrazí zpráva, že Průvodce nastavením byl dokončen. Chcete-li přejít na řídicí panel pfSense® Plus, klikněte na Dokončit.

Poznámka: Tento krok průvodce také obsahuje několik užitečných odkazů na zdroje Netgate a způsoby získání pomoci s produktem. Před dokončením průvodce si nezapomeňte přečíst položky na této stránce.

Dokončování
Po dokončení nebo ukončení průvodce zobrazí brána firewall při prvním načítání řídicího panelu modální dialogové okno s upozorněním na autorská práva a ochranné známky.
Přečtěte si a kliknutím na tlačítko Přijmout pokračujte na řídicí panel.
Pokud byl ethernetový kabel na začátku této konfigurace odpojen, znovu jej nyní připojte k portu 1.
Tím je základní konfigurace zařízení Netgate dokončena.

Konec softwaru pfSense Plusview
Tato stránka poskytuje přesview řídicího panelu a navigace pfSense® Plus. Poskytuje také informace o tom, jak provádět časté úkoly, jako je zálohování softwaru pfSense® Plus a připojení ke konzole brány firewall Netgate.

Dashboard pfSense®
Software Plus je vysoce konfigurovatelný a vše lze provádět prostřednictvím palubní desky. Tato orientace pomůže při navigaci a další konfiguraci brány firewall.

• Část 1 Důležité systémové informace, jako je model, sériové číslo a ID zařízení Netgate pro tento firewall Netgate.
• Část 2 Identifikuje, jaká verze softwaru pfSense® Plus je nainstalována a zda je k dispozici aktualizace.
• Část 3 popisuje službu a podporu Netgate.
• Část 4 Zobrazuje různé nadpisy nabídky. Každý nadpis nabídky má rozevírací možnosti pro širokou škálu možností konfigurace.

Znovu spusťte Průvodce nastavením
Chcete-li znovu spustit Průvodce nastavením, přejděte do části Systém > Průvodce nastavením.

Zálohování a obnovení
Před aktualizací nebo změnou konfigurace je důležité zálohovat konfiguraci brány firewall. Z nabídky v horní části stránky přejděte na Diagnostika > Zálohovat/Obnovit.
Klikněte na Stáhnout konfiguraci jako XML a uložte kopii konfigurace brány firewall do počítače připojeného k bráně firewall Netgate.
Tuto zálohu (nebo jakoukoli zálohu) lze obnovit ze stejné obrazovky výběrem zálohované file v části Obnovit konfiguraci.

Poznámka: Automatické zálohování konfigurace je vestavěná služba umístěná v části Služby > Automatické zálohování konfigurace. Tato služba ušetří až 100 šifrovaných záloh files automaticky, kdykoli byla provedena změna konfigurace. Další informace naleznete na stránce Automatické zálohování konfigurace.

Připojování ke konzole
Jsou chvíle, kdy je vyžadován přístup ke konzole. Možná byl přístup ke konzole GUI zablokován nebo bylo heslo ztraceno nebo zapomenuto.

Viz také:
Připojení k portu USB konzoly. Je vyžadován kabel.
Tip: Chcete-li se dozvědět více o tom, jak ze zařízení Netgate vytěžit maximum, přihlaste se do kurzu školení softwaru pfSense Plus nebo si prohlédněte rozsáhlou knihovnu zdrojů.

Aktualizace
Když je k dispozici nová verze softwaru pfSense Plus, zařízení bude indikovat dostupnost nové verze na ovládacím panelu Systémové informace. Uživatelé mohou také provést ruční kontrolu na stránce Systém > Aktualizace.
Uživatelé mohou podle potřeby zahájit upgrade ze stránky Systém > Aktualizovat.
Další informace naleznete v příručce Upgrade Guide.

Vstupní a výstupní porty

Zadní strana
Zadní strana Netgate 4200 obsahuje několik zajímavých položek pro připojení a správu zařízení.

Položky níže jsou označeny zakroužkovanými čísly na obrázku vzadu view zařízení Netgate 4200 Firewall Appliance:

Položka	Popis
1	Napájecí konektor
2	Tlačítko ACPI Power (vyčnívající) – ladné vypnutí, tvrdé vypnutí (podržení 10s), zapnutí
3	Tlačítko Reset (zapuštěné) – Používá se při provádění Postup obnovení továrního nastavení.
4	Sériová konzole (USB or RJ45)
5	Zadní Stavové LED
6	Síťové porty

• Napájecí konektor (1) Napájecí konektor je 12 V DC se závitovým zajišťovacím konektorem. Spotřeba energie je přibližně 13W v nečinnosti.
• Tlačítko napájení (2) Horní vyčnívající tlačítko napájení se chová stejně jako typické tlačítko napájení ACPI.
  Pokud je zařízení zapnuté a běží, stisknutím tlačítka se okamžitě plynule vypne a systém přejde do pohotovostního stavu.
  Pokud je systém ve vypnutém stavu nebo ve stavu pohotovosti, stisknutím tlačítka napájení se zařízení okamžitě zapne a spustí se proces spouštění.
  Pokud systém nereaguje, podržením tlačítka napájení po dobu 10 sekund se zařízení násilně vypne. Opětovným stisknutím tlačítka napájení jej znovu zapněte.
• Tlačítko Reset (3) Spodní zapuštěné tlačítko Reset se používá k provedení postupu obnovení továrního nastavení.
  Stisk a okamžité uvolnění tlačítka nemá žádný účinek, neprovede se hardwarový reset.
  Podrobnosti o použití tlačítka k provedení obnovení továrního nastavení naleznete v části Postup obnovení továrního nastavení.
• Port sériové konzoly (4) Klienti mohou přistupovat k sériové konzole pomocí portu sériového adaptéru USB Micro-B (5kolíkový) a kompatibilního kabelu USB nebo prostřednictvím portu ve stylu RJ45 „Cisco“ se samostatným kabelem a sériovým adaptérem USB nebo klientem hardwarový port.

Poznámka: V jednu chvíli bude fungovat pouze jeden typ připojení konzoly a připojení konzoly RJ45 má prioritu. Pokud jsou připojeny oba porty, bude fungovat pouze konzolový port RJ45.

Poznámka: Sériová konzole v operačním systému je sériový port mapovaný v paměti a ne tradiční port COM. pfSense® Plus automaticky detekuje a používá správný typ konzoly pro toto zařízení.

Poznámka: Port sériové konzoly RJ45 je určen pouze pro použití se sériovou konzolí. Nelze jej použít k jinému účelu.
Stavové LED diody (5) Zadní stavové LED diody zobrazují stejný výstup jako stavové LED diody na přední straně jednotky.
Informace o interpretaci významu různých stavů LED najdete v části Stavové LED.
Síťové porty (6) Tato skupina čtyř portů jsou síťová rozhraní. Jsou podrobně vysvětleny v další části Síťové porty.

Síťové porty
Část na zadní straně zařízení s číslem 6 v zadní části view zařízení Netgate 4200 Firewall Appliance obsahuje síťová rozhraní. Tyto porty jsou na zařízení označeny 1 až 4.

Označení	Přidělené jméno	Název zařízení	Typ	Rychlost
1	PORT1WAN	igc3	RJ-45	2.5 Gbps
2	PORT2LAN	igc2	RJ-45	2.5 Gbps
3	PORT3	igc1	RJ-45	2.5 Gbps
4	PORT4	igc0	RJ-45	2.5 Gbps

Poznámka: Síťová rozhraní igc(4) na tomto zařízení nepodporují provoz s pevnou rychlostí. Tato rozhraní emulují volbu rychlosti/duplexu omezením hodnot nabízených během automatického vyjednávání na hodnotu rychlosti/duplexu zvolenou v GUI.
Při připojování různých zařízení k těmto rozhraním by měl být peer obvykle nastaven na autonegotiate, nikoli na konkrétní rychlost nebo duplexní hodnotu. Výjimkou je případ, kdy má peer rozhraní stejné omezení, v takovém případě by oba partneři měli zvolit stejnou rychlost vyjednávání.

Přední strana
Na přední straně zařízení jsou stavové LED diody a také přístupový panel pro budoucí rozšíření.

Pravá strana

Pravý boční panel zařízení (při pohledu dopředu) obsahuje:

#	Popis	Účel
1	Port USB 3.0	Připojte zařízení USB

USB porty
Porty USB na zařízení lze použít k různým účelům.
Primárním použitím portů USB je instalace nebo přeinstalace operačního systému na zařízení. Kromě toho existuje mnoho zařízení USB, která mohou rozšířit základní funkce hardwaru, včetně některých podporovaných doplňkovými balíčky. Napřample, UPS/bateriové zálohy, mobilní modemy, jednotky GPS a úložná zařízení. Přestože operační systém podporuje také kabelová a bezdrátová síťová zařízení, nejsou ideální a je třeba se jim vyhnout.

Stavové LED
Netgate 4200 má dvě sady stavových LED diod: jednu na přední straně zařízení a jednu na zadní straně. Stavové LED diody na přední straně jsou horizontální, zatímco LED diody na zadní straně jsou uspořádány svisle. Přestože je umístění odlišné, obě sady jsou označeny konzistentně.

LED vzory

Popis	LED vzor
Pohotovostní	Oranžový pulzující kruh
Spouštění probíhá	Diamant blikající modře
Boot dokončen/připraven	Diamantová jednobarevná modrá
Upgrade k dispozici	Čtvercový jednobarevný fialový
Probíhá upgrade	Všechny rychle blikají zeleně
Resetování spouštění	Kruh, čtverec, potom plný červený diamant (Postup obnovení továrního nastavení)
Probíhá reset	Vše rychle bliká červeně (Postup obnovení továrního nastavení)

Bezpečnost a právní předpisy

Bezpečnostní upozornění

1. Přečtěte si, dodržujte a uschovejte tyto pokyny.
2. Dbejte všech varování.
3. Používejte pouze nástavce/příslušenství určené výrobcem.

Varování: Nepoužívejte tento výrobek na místě, které může být ponořeno vodou.

Varování: Nepoužívejte tento výrobek během bouřky, aby nedošlo k úrazu elektrickým proudem.

Informace o elektrické bezpečnosti

1. Je vyžadována shoda s ohledem na svtage, frekvence a aktuální požadavky uvedené na štítku výrobce. Připojení k jinému zdroji energie, než je uvedeno, může vést k nesprávnému provozu, poškození zařízení nebo k nebezpečí požáru, pokud nebudou dodržena omezení.
2. Uvnitř tohoto zařízení nejsou žádné části opravitelné operátorem. Servis by měl provádět pouze kvalifikovaný servisní technik.
3. Toto zařízení je vybaveno odnímatelným napájecím kabelem, který má integrovaný bezpečnostní zemnící vodič určený pro připojení k uzemněné bezpečnostní zásuvce.
   • Nenahrazujte napájecí kabel kabelem, který není dodaným schváleným typem. Pokud je k dispozici 3kolíková zástrčka, nikdy nepoužívejte adaptérovou zástrčku pro připojení k 2vodičové zásuvce, protože by to narušilo kontinuitu zemnícího vodiče.
   • Zařízení vyžaduje použití zemnícího vodiče jako součást bezpečnostní certifikace, modifikace nebo nesprávné použití může představovat riziko úrazu elektrickým proudem, který může mít za následek vážné zranění nebo smrt.
   • Pokud máte dotazy k instalaci před připojením zařízení, kontaktujte kvalifikovaného elektrikáře nebo výrobce.
   • Ochranné uzemnění/uzemnění zajišťuje uvedený AC adaptér. Instalace budovy musí poskytovat vhodnou záložní ochranu proti zkratu.
   • Ochranné pospojování musí být instalováno v souladu s místními národními pravidly a předpisy pro elektroinstalaci.
     Varování: Abyste pomohli ochránit své zařízení Netgate před náhlým, přechodným zvýšením a snížením elektrické energie, použijte přepěťovou ochranu, kondicionér linky, nepřerušitelný zdroj napájení (UPS) nebo kombinaci těchto zařízení.
     Pokud taková opatření neučiníte, může dojít k předčasnému selhání a/nebo poškození vašeho zařízení Netgate, na které se nevztahuje záruka na produkt. Taková událost může také představovat riziko úrazu elektrickým proudem, požáru nebo výbuchu.

Soulad s FCC
Změny nebo úpravy, které nejsou výslovně schváleny stranou odpovědnou za shodu, mohou zrušit oprávnění uživatele provozovat zařízení. Toto zařízení vyhovuje části 15 pravidel FCC. Provoz podléhá následujícím dvěma podmínkám:

1. Toto zařízení nesmí způsobovat škodlivé rušení a
2. Toto zařízení musí akceptovat jakékoli přijaté rušení, včetně rušení, které může způsobit nežádoucí provoz.

Poznámka: Toto zařízení bylo testováno a bylo zjištěno, že vyhovuje limitům pro digitální zařízení třídy B podle části 15 pravidel FCC. Tyto limity jsou navrženy tak, aby poskytovaly přiměřenou ochranu proti škodlivému rušení při provozu zařízení v obytném prostředí.

Průmysl Kanada
Toto digitální zařízení třídy B vyhovuje kanadské normě ICES-3(B). Cet appareil numérique de la classe Best conforme
à la norme NMB-3(B) Kanada.
1.5.5 Austrálie a Nový Zéland
Toto je produkt shody AMC úrovně 2. Tento výrobek je vhodný pro domácí prostředí.

Označení CE
Označení CE na tomto produktu znamená, že produkt je v souladu se všemi směrnicemi, které se na něj vztahují.

Prohlášení o shodě RoHS/WEEE

Evropská směrnice 2002/96/EC vyžaduje, aby zařízení označené tímto symbolem na produktu a/nebo jeho obalu nebylo likvidováno s netříděným komunálním odpadem. Symbol znamená, že tento výrobek by měl být likvidován odděleně od běžného domovního odpadu. Je vaší odpovědností zlikvidovat toto a další elektrické a elektronické zařízení prostřednictvím určených sběrných zařízení jmenovaných vládou nebo místními úřady. Správná likvidace a recyklace pomůže předejít potenciálním negativním dopadům na životní prostředí a lidské zdraví. Podrobnější informace o likvidaci starého zařízení vám poskytne místní úřad, služba likvidace odpadu nebo obchod, kde jste výrobek zakoupili.

Spory
JAKÉKOLI SPORY ČI NÁROKY TÝKAJÍCÍ SE JAKÉHOKOLI ZPŮSOBEM VAŠEHO POUŽÍVÁNÍ JAKÝCHKOLI PRODUKTŮ/SLUŽEB NEBO JAKÝCHKOLI PRODUKTŮ NEBO SLUŽEB PRODÁVANÝCH NEBO DISTRIBUOVANÝCH SPOLEČNOSTÍ RCL NEBO ESF BUDOU ŘEŠENY ZÁVAZNÝM ROZHODČÍM ŘÍZENÍM V AUSTINU, TEXHAS, NAPŘÍJEMCE. Na tuto smlouvu se vztahuje federální zákon o arbitráži a federální zákon o arbitráži.

V ARBITRACI NENÍ ŽÁDNÝ SOUDCE ANI POROTA A SOUD REVIEW ROZHODČÍ CENA JE OMEZENÁ. ARBITR VŠAK MŮŽE PŘIDĚLIT NA INDIVIDUÁLNÍM ZÁKLADĚ STEJNOU NÁHRADU ŠKODY A NÁHRADU JAKO SOUD (VČETNĚ NÁHRADY A PROHLÁŠENÍ NEBO NÁHRADY NÁHRADY ŠKODY) A MUSÍ DODRŽOVAT PODMÍNKY TĚCHTO PODMÍNEK.
Chcete-li zahájit rozhodčí řízení, musíte zaslat dopis s žádostí o rozhodčí řízení a popsat svůj nárok na následující:

Rubicon Communications LLC
K rukám: Právní odd.
4616 West Howard Lane, Suite 900
Austin, Texas 78728
legal@netgate.com
Arbitráž bude řízena Americkou arbitrážní asociací (AAA) podle jejích pravidel. Pravidla AAA jsou k dispozici na www.adr.org. Úhrada všech poplatků za podání, administraci a rozhodce se bude řídit pravidly AAA.
Všichni souhlasíme s tím, že jakékoli řízení o řešení sporů bude vedeno pouze na individuálním základě a nikoli v rámci skupinové, konsolidované nebo reprezentativní žaloby. Oba také souhlasíme s tím, že vy nebo my můžeme podat žalobu k soudu za porušení nebo jiné zneužití práv duševního vlastnictví.

Platné právo
Používáním jakýchkoli produktů/služeb souhlasíte s tím, že tyto podmínky používání a jakékoli spory o jakémkoli sporu se budou řídit federálním zákonem o arbitráži, platným federálním zákonem a zákony státu Texas, bez ohledu na principy konfliktu zákonů. typu, který může nastat mezi vámi a RCL a/nebo ESF. Jakýkoli nárok nebo důvod žaloby týkající se těchto podmínek nebo použití RCL a/nebo ESF webmísto musí být předloženo do jednoho (1) roku od vzniku nároku nebo důvodu žaloby. Výhradní jurisdikce a místo pro jakýkoli spor nebo nárok vyplývající ze vztahu stran, těchto podmínek nebo RCL a/nebo ESF nebo s nimi související webmístě, bude u arbitra a/nebo soudů se sídlem v Austinu v Texasu. Rozsudek rozhodce může být vymáhán soudy se sídlem v Austinu v Texasu nebo jakýmkoli jiným soudem s jurisdikcí nad vámi.

Zásady webu, úpravy a oddělitelnost
Prosím znovuview naše další zásady, jako je naše cenová politika, zveřejněné na našem webu webstránky. Tyto zásady také upravují vaše používání produktů/služeb. Vyhrazujeme si právo kdykoli provést změny na našich stránkách, zásadách, podmínkách služeb a těchto podmínkách používání.

Smíšený
Pokud bude jakékoli ustanovení těchto podmínek použití nebo našich podmínek prodeje považováno za neplatné, neplatné nebo nevymahatelné, bude neplatné, neplatné nebo nevymahatelné ustanovení upraveno v minimálním rozsahu nezbytném k tomu, aby bylo platné. nebo vymahatelné a v souladu se záměrem těchto podmínek. Pokud taková úprava není možná, neplatné nebo nevymahatelné ustanovení bude zrušeno a zbývající podmínky budou uplatňovány tak, jak jsou psány. Nadpisy jsou pouze pro referenční účely a žádným způsobem nedefinují, neomezují, nevykládají ani nepopisují rozsah nebo rozsah takového oddílu. Naše neschopnost jednat v souvislosti s porušením ze strany vás nebo jiných nezříká se našeho práva jednat s ohledem na následná nebo podobná porušení. Tyto podmínky uvádějí úplné porozumění a dohodu mezi námi s ohledem na předmět této smlouvy a nahrazují jakoukoli předchozí ústní nebo písemnou dohodu, která se jich týká, s výjimkou případů uvedených výše ve vztahu k jakémukoli rozporu mezi těmito podmínkami a naší dohodou o prodejci. , pokud se na vás vztahuje to druhé.

Omezená záruka

ODMÍTNUTÍ ZÁRUK A OMEZENÍ ODPOVĚDNOSTI
PRODUKTY/SLUŽBY A VŠECHNY INFORMACE, OBSAH, MATERIÁLY, PRODUKTY (VČETNĚ
SOFTWARE) A DALŠÍ SLUŽBY ZAHRNUTÉ NEBO JINAK VÁM ZPŘÍSTUPNĚNÉ PROSTŘEDNICTVÍM PRODUKTŮ/SLUŽEB JSOU NÁMI POSKYTOVÁNY „TAK JAK JSOU“ A „JAK JSOU DOSTUPNÉ“, POKUD NENÍ PÍSEMNĚ UVEDENO JINAK. NEPOSKYTUJEME ŽÁDNÁ PROHLÁŠENÍ NEBO ZÁRUKY JAKÉHOKOLI DRUHU, VÝSLOVNÉ NEBO PŘEDPOKLÁDANÉ, TÝKAJÍCÍ SE PROVOZU PRODUKTŮ/SLUŽEB NEBO INFORMACÍ, OBSAHU, MATERIÁLŮ, PRODUKTŮ (VČETNĚ SOFTWARU) NEBO JINÝCH SLUŽEB ZAHRNUTÝCH NA VÝROBKU NEBO JINAK, KTERÉ SI BUDETE ZVOLIT /SLUŽBY, POKUD NENÍ PÍSEMNĚ UVEDENO JINAK. VÝSLOVNĚ SOUHLASÍTE S TÍM, ŽE VAŠE PRODUKTY/SLUŽBY POUŽÍVÁTE NA VLASTNÍ RIZIKO.

V PLNÉM ROZSAHU POVOLENÉM PLATNÝM ZÁKONEM, RUBICON COMMUNICATIONS, LLC (RCL) A ELEKTRICKÉ OBRAZOVÁNÍ OVCÍ (ESF) ODMÍTÁ VŠECHNY ZÁRUKY, VÝSLOVNÉ NEBO PŘEDPOKLÁDANÉ, VČETNĚ OBCHODNÍKŮ, ALE NE OMEZENÉ NA PŘEDPOKLÁDANÉ ODPOVĚDNÉ ODPOVĚDNOSTI PPOSFIARIL . RCL A ESF NEZARUČUJÍ, ŽE PRODUKTY/SLUŽBY, INFORMACE, OBSAH, MATERIÁLY, PRODUKTY (VČETNĚ SOFTWARU) NEBO JINÉ SLUŽBY ZAHRNUTÉ NEBO JINAK VÁM BUDE K DISPOZICI PROSTŘEDNICTVÍM PRODUKTŮ/SLUŽEB, RCLMU NEBO ESF SERVERS S FROMELRONICKÝM SERVISEM ESF. NEBO ESF NEOBSAHUJÍ VIRY NEBO JINÉ ŠKODLIVÉ KOMPONENTY. RCL A ESF NENESE ODPOVĚDNOST ZA ŽÁDNÉ ŠKODY JAKÉHOKOLI DRUHU VYPLÝVAJÍCÍ Z POUŽÍVÁNÍ JAKÝCHKOLI PRODUKTŮ/SLUŽEB NEBO Z JAKÝCHKOLI INFORMACÍ, OBSAHU, MATERIÁLŮ, PRODUKTŮ (VČETNĚ SOFTWARU) NEBO JINÝCH SLUŽEB, KTERÉ JSOU ZAHRNUTY NEBO JINAK VÁM BUDE K DISPOZICI PRODUKTY/SLUŽBY, VČETNĚ, ALE NE OMEZENÍ, PŘÍMÝCH, NEPŘÍMÝCH, NÁHODNÝCH, TRESTNÍCH A NÁSLEDNÝCH ŠKOD, POKUD NENÍ PÍSEMNĚ UVEDENO JINAK.
ODPOVĚDNOST RCL NEBO ESF VŮČI VÁM V ŽÁDNÉM PŘÍPADĚ PŘESÁHNE NÁKUPNÍ CENU ZAPLACENOU ZA PRODUKT NEBO SLUŽBU, KTERÁ JE ZÁKLADEM NÁROKU.
URČITÉ STÁTNÍ ZÁKONY NEPOVOLUJÍ OMEZENÍ PŘEDPOKLÁDANÝCH ZÁRUK NEBO VYLOUČENÍ NEBO OMEZENÍ NĚKTERÝCH ŠKOD. POKUD SE NA VÁS TATO ZÁKONY PLATÍ, NEMUSÍ SE NA VÁS VZTAHOVAT NĚKTERÁ NEBO VŠECHNA VÝŠE UVEDENÁ ODMÍTNUTÍ, VYLOUČENÍ NEBO OMEZENÍ A MŮŽETE MÍT DALŠÍ PRÁVA.

PRŮVODCE JAK NA TO

Připojení k portu USB konzoly
Tato příručka ukazuje, jak získat přístup k sériové konzole, kterou lze použít pro odstraňování problémů a diagnostické úlohy, stejně jako některé základní konfigurace.
Jsou chvíle, kdy je vyžadován přímý přístup ke konzole. Možná byl zablokován přístup GUI nebo SSH nebo bylo heslo ztraceno nebo zapomenuto.

Nainstalujte ovladač

Ovladač Silicon Labs CP210x USB-to-UART Bridge se používá k zajištění přístupu ke konzole, která je přístupná přes USB Micro-B (5kolíkový) port na zařízení.
V případě potřeby nainstalujte vhodný ovladač Silicon Labs CP210x USB to UART Bridge na pracovní stanici použitou k připojení k zařízení.

Windows
Pro Windows jsou dostupné ovladače ke stažení.

macOS
Pro macOS jsou dostupné ovladače ke stažení.
Pro macOS vyberte stažení CP210x VCP pro Mac.

Linux
Pro Linux jsou dostupné ovladače ke stažení.

FreeBSD
Nejnovější verze FreeBSD obsahují tento ovladač a nebudou vyžadovat ruční instalaci.

Připojte kabel USB
Dále vyhledejte vhodný kabel USB, který má na jednom konci konektor USB Micro-B (5kolíkový) a na druhém konci běžnou zástrčku USB typu A. Tyto kabely se běžně používají s menšími periferními zařízeními USB, jako jsou jednotky GPS, fotoaparáty a tak dále.
Opatrně zatlačte konektor USB Micro-B (5kolíkový) do portu konzoly na zařízení a připojte zástrčku USB typu A do volného portu USB na pracovní stanici.

Tip: Ujistěte se, že jste jemně zatlačili konektor USB Micro-B (5kolíkový) na straně zařízení úplně. U většiny kabelů dojde po úplném zasunutí kabelu k hmatatelnému „cvaknutí“, „cvaknutí“ nebo podobnému indikaci.

Zapněte napájení zařízení
Na některých zařízeních při použití sériového portu konzoly USB se sériový port v klientském operačním systému nezobrazí, dokud není zařízení připojeno ke zdroji napájení.
Pokud klientský operační systém nevidí sériové zařízení, připojte k zařízení napájecí kabel, aby se mohlo začít spouštět.
Pokud se zařízení objeví bez napájení, pak je lepší počkat, až se terminál otevře, než připojíte napájení, aby mohl klient view celý spouštěcí výstup.

Vyhledejte zařízení s portem konzoly
Před pokusem o připojení ke konzole musí být umístěno příslušné zařízení portu konzoly, které je pracovní stanici přiřazeno jako sériový port.
Poznámka: I když byl sériový port přiřazen v BIOSu, operační systém pracovní stanice jej může přemapovat na jiný COM port.

Windows
Chcete-li najít název zařízení v systému Windows, otevřete Správce zařízení a rozbalte část Porty (COM a LPT).
Hledejte položku s názvem, jako je Silicon Labs CP210x USB to UART Bridge. Pokud je v názvu označení, které obsahuje „COMX“, kde X je desetinná číslice (např. COM3), je tato hodnota použita jako port v terminálovém programu.

macOS
Zařízení přidružené k systémové konzole se pravděpodobně zobrazí jako /dev/cu.usbserial- nebo začne s tímto.
Spuštěním příkazu ls -l /dev/cu.* z příkazového řádku terminálu zobrazíte seznam dostupných sériových zařízení USB a vyhledejte příslušné zařízení pro daný hardware. Pokud existuje více zařízení, správné zařízení je pravděpodobně to, které má nejnovější časamp nebo nejvyšší ID.

Linux
Zařízení přidružené k systémové konzoli se pravděpodobně zobrazí jako /dev/ttyUSB0. V systémovém protokolu vyhledejte zprávy o připojeném zařízení files nebo spuštěním dmesg.
Poznámka: Pokud se zařízení neobjeví v /dev/, přečtěte si poznámku výše v části ovladače o ručním načtení ovladače pro Linux a zkuste to znovu.

FreeBSD
Zařízení přidružené k systémové konzoli se pravděpodobně zobrazí jako /dev/cuaU0. V systémovém protokolu vyhledejte zprávy o připojeném zařízení files nebo spuštěním dmesg.
Poznámka: Pokud sériové zařízení není přítomno, ujistěte se, že je zařízení napájeno a poté znovu zkontrolujte.

Spusťte program terminálu
Pro připojení k portu systémové konzoly použijte terminálový program. Některé možnosti terminálových programů:

Windows
Pro Windows je nejlepším postupem spustit PuTTY ve Windows nebo SecureCRT. BývalýampNíže je uveden návod, jak nastavit PuTTY.

Varování: Nepoužívejte Hyperterminal.

macOS
Pro macOS je nejlepším postupem spustit obrazovku GNU neboli cu. BývalýampNíže je uveden návod, jak nakonfigurovat obrazovku GNU.
Linux
Pro Linux je osvědčenými postupy spouštět GNU screen, PuTTY v Linuxu, minicom nebo dterm. Přampinformace o konfiguraci PuTTY a obrazovky GNU jsou uvedeny níže.
FreeBSD
Pro FreeBSD je nejlepším postupem spustit GNU screen nebo cu. BývalýampNíže je uveden návod, jak nakonfigurovat obrazovku GNU.

Specifické pro klienta Examples

PuTTY ve Windows

• Otevřete PuTTY a vyberte Session pod Kategorie na levé straně.
• Nastavte Typ připojení na Sériové
• Nastavte Sériovou linku na dříve určený port konzoly
• Nastavte rychlost na 115200 bitů za sekundu.
• Klepněte na tlačítko Otevřít

PuTTY poté zobrazí konzolu.

PuTTY v Linuxu

• Otevřete PuTTY z terminálu zadáním sudo putty
  Poznámka: Příkaz sudo vás vyzve k zadání hesla místní pracovní stanice aktuálního účtu.
• Nastavte Typ připojení na Sériové
• Nastavte Sériovou linku na /dev/ttyUSB0
• Nastavte rychlost na 115200 bitů za sekundu
• Klepněte na tlačítko Otevřít

PuTTY poté zobrazí konzolu.

Obrazovka GNU
V mnoha případech lze obrazovku vyvolat jednoduše pomocí správného příkazového řádku, kde je konzolový port, který byl umístěn výše.

Poznámka: Příkaz sudo vás vyzve k zadání hesla místní pracovní stanice aktuálního účtu.

Pokud jsou části textu nečitelné, ale zdají se být správně naformátované, je nejpravděpodobnějším viníkem neshoda kódování znaků v terminálu. Přidání parametru -U do argumentů příkazového řádku obrazovky jej přinutí používat pro kódování znaků UTF-8:

Nastavení terminálu

Nastavení pro použití v programu terminálu jsou:

• Rychlost 115200 baudů, rychlost systému BIOS
• Datové bity 8
• Parita Žádná
• Zastavte bity 1
• Flow Control Off nebo XON/OFF.

Varování: Hardwarové řízení toku (RTS/CTS) musí být zakázáno.

Optimalizace terminálu

Kromě požadovaných nastavení existují v terminálových programech další možnosti, které pomohou chování vstupu a vykreslování výstupu, aby bylo zajištěno co nejlepší využití. Tato nastavení se u jednotlivých klientů liší umístěním a podporou a nemusí být dostupná u všech klientů nebo terminálů.

Jedná se o:

• Typ svorek xterm
  Toto nastavení může být v části Terminál, Emulace terminálu nebo v podobných oblastech.
• Podpora barev ANSI barev / 256 barev / ANSI s 256 barvami
  Toto nastavení může být pod Emulace terminálu, Barvy oken, Text, Rozšířené Terminfo nebo podobné oblasti.
• Znaková sada / Kódování znaků UTF-8
  Toto nastavení může být v části Vzhled terminálu, Překlad oken, Pokročilé mezinárodní nebo podobné oblasti. Na obrazovce GNU se to aktivuje předáním parametru -U.
• Kreslení čar Vyhledejte a povolte nastavení, jako je „Nakreslit čáry graficky“, „Použít grafické znaky Unicode“ a/nebo „Použít kódové body kresby čar Unicode“.
  Tato nastavení mohou být v části Vzhled terminálu, Překlad oken nebo podobné oblasti.
• Funkční klávesy / Klávesnice Xterm R6
  V Putty je to pod Terminálem > Klávesnice a je označeno Funkční klávesy a klávesnice.
• Písmo Nejlepších výsledků dosáhnete, když použijete moderní jednoprostorové písmo Unicode, jako je Deja Vu Sans Mono, Liberation Mono, Monaco, Consolas, Fira Code nebo podobné.
  Toto nastavení může být v části Vzhled terminálu, Vzhled okna, Text nebo podobné oblasti.

Co bude dál?
Po připojení terminálového klienta nemusí okamžitě vidět žádný výstup. Může to být způsobeno tím, že zařízení již dokončilo bootování, nebo to může být tím, že zařízení čeká na nějaký jiný vstup.
Pokud zařízení ještě není napájeno, zapojte jej a sledujte výstup terminálu.
Pokud je zařízení již zapnuto, zkuste stisknout mezerník. Pokud stále není výstup, stiskněte Enter. Pokud bylo zařízení zavedeno, může znovu zobrazit nabídku konzoly nebo výzvu k přihlášení nebo vytvořit jiný výstup indikující jeho stav.
Z konzole jsou možné různé věci, jako je změna adres rozhraní. V dokumentaci k softwaru pfSense je úplné vysvětlení každé možnosti nabídky konzoly.

Odstraňování problémů

Chybí sériové zařízení
U sériové konzoly USB existuje několik důvodů, proč sériový port nemusí být přítomen v klientském operačním systému, včetně:

• Žádná síla Některé modely vyžadují napájení, než se klient může připojit k sériové konzoli USB.
• Kabel USB není zapojen U konzol USB nemusí být kabel USB plně zapojen na obou koncích. Jemně, ale pevně zajistěte, aby měl kabel dobré spojení na obou stranách.
  Špatný kabel USB Některé kabely USB nejsou vhodné pro použití jako datové kabely. NapřampNěkteré kabely jsou schopny dodávat energii pouze pro nabíjecí zařízení a nefungují jako datové kabely. Jiné mohou mít nízkou kvalitu nebo mají špatné nebo opotřebované konektory.
  Ideální kabel k použití je ten, který byl dodán se zařízením. Pokud se tak nestane, ujistěte se, že kabel má správný typ a specifikace, a zkuste použít více kabelů.
• Špatné zařízení V některých případech může být k dispozici více sériových zařízení. Ujistěte se, že ten, který používá sériový klient, je správný. Některá zařízení odhalují více portů, takže použití nesprávného portu může vést k žádnému výstupu nebo k neočekávanému výstupu.
• Selhání hardwaru Může dojít k selhání hardwaru, které brání fungování sériové konzoly. Požádejte o pomoc společnost Netgate TAC.

Žádný sériový výstup

Pokud není výstup vůbec žádný, zkontrolujte následující položky:

• Kabel USB není zapojen U konzol USB nemusí být kabel USB plně zapojen na obou koncích. Jemně, ale pevně zajistěte, aby měl kabel dobré spojení na obou stranách.
  Špatné zařízení V některých případech může být k dispozici více sériových zařízení. Ujistěte se, že ten, který používá sériový klient, je správný. Některá zařízení odhalují více portů, takže použití nesprávného portu může vést k žádnému výstupu nebo k neočekávanému výstupu.
• Nesprávné nastavení terminálu Ujistěte se, že je terminálový program nakonfigurován na správnou rychlost. Výchozí rychlost BIOSu je 115200 a mnoho dalších moderních operačních systémů tuto rychlost používá také.
  Některé starší operační systémy nebo vlastní konfigurace mohou používat nižší rychlosti, jako je 9600 nebo 38400.
• Sériový operační systém zařízení Nastavení konzoly Ujistěte se, že je operační systém nakonfigurován pro správnou konzolu (např. ttyS1 v Linuxu). Další informace naleznete v různých provozních instalačních příručkách na této stránce.

PuTTY má problémy s kreslením čar

PuTTY obecně zvládá většinu případů OK, ale na určitých platformách může mít problémy se znaky kreslení čar.
Zdá se, že tato nastavení fungují nejlépe (testováno ve Windows):

• Okno
  • Sloupce x řádky 80×24
• Okno > Vzhled
  • Font Courier New 10pt nebo Consolas 10pt
• Okno > Překlad
  • Vzdálená znaková sada Použijte kódování písma nebo UTF-8
  • Zpracování znaků pro kreslení čar Používejte písmo v režimu ANSI i OEM nebo použijte kódové body kreslení čar Unicode
• Okno > Barvy
  Označte tučný text změnou barvy

Zkomolený sériový výstup
Pokud se sériový výstup jeví jako zkomolený, chybějící znaky, binární nebo náhodné znaky, zkontrolujte následující položky:

Řízení toku V některých případech může řízení toku narušovat sériovou komunikaci a způsobit vynechání znaků nebo jiné problémy. Tento problém může potenciálně vyřešit zakázání řízení toku v klientovi.
Na PuTTY a dalších klientech s GUI je obvykle možnost zakázat řízení toku pro každou relaci. V PuTTY je možnost Flow Control ve stromu nastavení pod Connection, potom Serial.
Chcete-li zakázat řízení toku na obrazovce GNU, přidejte za sériovou rychlost parametry -ixon a/nebo -ixoff, jak je uvedeno v následujícím příkladuampten:

• Rychlost terminálu Ujistěte se, že je terminálový program nakonfigurován na správnou rychlost. (Viz Žádný sériový výstup)
• Kódování znaků Ujistěte se, že je terminálový program nakonfigurován pro správné kódování znaků, jako je UTF-8 nebo Latin-1, v závislosti na operačním systému. (Viz obrazovka GNU)

Sériový výstup se zastaví po BIOSu
Pokud se pro BIOS zobrazí sériový výstup, ale poté se zastaví, zkontrolujte následující položky:

• Rychlost terminálu Ujistěte se, že je terminálový program nakonfigurován na správnou rychlost pro nainstalovaný operační systém.
  (Viz Žádný sériový výstup)
• Sériový operační systém zařízení Nastavení konzoly Ujistěte se, že nainstalovaný operační systém je nakonfigurován pro aktivaci sériové konzoly a že je nakonfigurován pro správnou konzolu (např. ttyS1 v Linuxu). Další informace naleznete v různých provozních instalačních příručkách na této stránce.
• Zaváděcí médium Pokud zavádíte systém z jednotky USB flash, ujistěte se, že byla jednotka zapsána správně a že obsahuje zaváděcí bitovou kopii operačního systému.

Připojení k portu konzoly RJ45

Jsou chvíle, kdy je vyžadován přímý přístup ke konzole. Možná byl přístup ke GUI nebo SSH uzamčen nebo
heslo bylo ztraceno nebo zapomenuto.
K vytvoření spojení mezi počítačem a firewallem pomocí sériového portu RJ45 je zapotřebí samostatný adaptér.
Může to být přímý sériový adaptér RJ45-USB nebo standardní adaptér USB-sériový a adaptér nebo kabel RJ45-DB9. Je také možné využít klientské hardwarové sériové porty a kompatibilní kabely, ale tyto porty jsou na moderním hardwaru vzácné.
Jedná se o standardní součásti, levné a snadno dostupné ve většině maloobchodních prodejen, které prodávají počítačové kabely.
Instalace ovladačů a umístění portu se bude lišit v závislosti na zařízení třetí strany, podrobnosti najdete v jeho dokumentaci.

Spusťte program terminálu

Pro připojení k portu systémové konzoly použijte terminálový program. Některé možnosti terminálových programů:

Windows
Pro Windows je nejlepším postupem spustit PuTTY ve Windows nebo SecureCRT. BývalýampNíže je uveden návod, jak nastavit PuTTY.

Varování: Nepoužívejte Hyperterminal.

macOS
Pro macOS je nejlepším postupem spustit obrazovku GNU neboli cu. BývalýampNíže je uveden návod, jak nakonfigurovat obrazovku GNU.

Linux
Pro Linux je osvědčenými postupy spouštět GNU screen, PuTTY v Linuxu, minicom nebo dterm. Přampinformace o konfiguraci PuTTY a obrazovky GNU jsou uvedeny níže.

FreeBSD
Pro FreeBSD je nejlepším postupem spustit GNU screen nebo cu. BývalýampNíže je uveden návod, jak nakonfigurovat obrazovku GNU.

Specifický pro klienta Přamples

PuTTY ve Windows

• Otevřete PuTTY a vyberte Session pod Kategorie na levé straně.
• Nastavte Typ připojení na Sériové
• Nastavte Sériovou linku na dříve určený port konzoly
• Nastavte rychlost na 115200 bitů za sekundu.
• Klepněte na tlačítko Otevřít

PuTTY poté zobrazí konzolu.

PuTTY v Linuxu

• Otevřete PuTTY z terminálu zadáním sudo putty

Poznámka: Příkaz sudo vás vyzve k zadání hesla místní pracovní stanice aktuálního účtu.

• Nastavte Typ připojení na Sériové
• Nastavte Sériovou linku na /dev/ttyUSB0
• Nastavte rychlost na 115200 bitů za sekundu
• Klepněte na tlačítko Otevřít

PuTTY poté zobrazí konzolu.

Obrazovka GNU

V mnoha případech lze obrazovku vyvolat jednoduše pomocí správného příkazového řádku, kde je konzolový port, který byl umístěn výše.

Pokud jsou části textu nečitelné, ale zdají se být správně naformátované, je nejpravděpodobnějším viníkem neshoda kódování znaků v terminálu. Přidání parametru -U do argumentů příkazového řádku obrazovky jej přinutí používat pro kódování znaků UTF-8:

Chcete-li zakázat řízení toku na obrazovce GNU, přidejte za ně parametry -ixon a/nebo -ixoff

Nastavení terminálu

Nastavení pro použití v programu terminálu jsou:

• Rychlost 115200 baudů, rychlost systému BIOS
• Datové bity 8
• Parita Žádná
• Zastavte bity 1
• Flow Control Off nebo XON/OFF.

Varování: Hardwarové řízení toku (RTS/CTS) musí být zakázáno.

Optimalizace terminálu
Kromě požadovaných nastavení existují v terminálových programech další možnosti, které pomohou chování při zadávání a
vykreslování výstupu pro zajištění nejlepšího zážitku. Tato nastavení se liší umístěním a podporou podle klienta a nemusí se lišit
dostupné ve všech klientech nebo terminálech.

Jedná se o:

• Typ svorek xterm
  Toto nastavení může být v části Terminál, Emulace terminálu nebo v podobných oblastech.
• Podpora barev Barvy ANSI / 256 barev / ANSI s 256 barvami
  Toto nastavení může být pod Emulace terminálu, Barvy oken, Text, Rozšířené Terminfo nebo podobné oblasti.
• Sada znaků / Kódování znaků UTF-8
  Toto nastavení může být v části Vzhled terminálu, Překlad oken, Pokročilé mezinárodní nebo podobné oblasti. Na obrazovce GNU se to aktivuje předáním parametru -U.
• Perokresba Vyhledejte a povolte nastavení, jako je „Nakreslit čáry graficky“, „Použít grafické znaky Unicode“ a/nebo „Použít kódové body kresby čar Unicode“.
  Tato nastavení mohou být v části Vzhled terminálu, Překlad oken nebo podobné oblasti.
• Funkční klávesy / klávesnice Xterm R6
  V Putty je to pod Terminálem > Klávesnice a je označeno Funkční klávesy a klávesnice.
• Písmo Pro nejlepší zážitek použijte moderní jednoprostorové unicode písmo, jako je Deja Vu Sans Mono, Liberation
  Mono, Monaco, Consolas, Fira Code nebo podobné.
  Toto nastavení může být v části Vzhled terminálu, Vzhled okna, Text nebo podobné oblasti.

Co bude dál?

Po připojení terminálového klienta nemusí okamžitě vidět žádný výstup. Může to být způsobeno tím, že zařízení již dokončilo bootování, nebo to může být tím, že zařízení čeká na nějaký jiný vstup.
Pokud zařízení ještě není napájeno, zapojte jej a sledujte výstup terminálu.
Pokud je zařízení již zapnuto, zkuste stisknout mezerník. Pokud stále není výstup, stiskněte Enter. Pokud bylo zařízení zavedeno, může znovu zobrazit nabídku konzoly nebo výzvu k přihlášení nebo vytvořit jiný výstup indikující jeho stav.
Z konzole jsou možné různé věci, jako je změna adres rozhraní. V dokumentaci k softwaru pfSense je úplné vysvětlení každé možnosti nabídky konzoly.

Odstraňování problémů

Chybí sériové zařízení

U sériové konzoly USB existuje několik důvodů, proč sériový port nemusí být přítomen v klientském operačním systému, včetně:

• Žádná síla Některé modely vyžadují napájení, než se klient může připojit k sériové konzoli USB.
• USB kabel není zapojen V U konzolí USB nemusí být kabel USB na obou koncích zcela zasunut. Jemně, ale pevně zajistěte, aby měl kabel dobré spojení na obou stranách.
• Špatný kabel USB Některé Kabely USB nejsou vhodné pro použití jako datové kabely. NapřampNěkteré kabely jsou schopny dodávat energii pouze pro nabíjecí zařízení a nefungují jako datové kabely. Jiné mohou mít nízkou kvalitu nebo mají špatné nebo opotřebované konektory.
  Ideální kabel k použití je ten, který byl dodán se zařízením. Pokud se tak nestane, ujistěte se, že kabel má správný typ a specifikace, a zkuste použít více kabelů.
  Nesprávné zařízení V některých případech může být k dispozici více sériových zařízení. Ujistěte se, že ten, který používá sériový klient, je správný. Některá zařízení odhalují více portů, takže použití nesprávného portu může vést k žádnému výstupu nebo k neočekávanému výstupu.
• Selhání hardwaru Může dojít k selhání hardwaru, které brání fungování sériové konzoly. Požádejte o pomoc společnost Netgate TAC.

Žádný sériový výstup

Pokud není výstup vůbec žádný, zkontrolujte následující položky:

• Kabel USB není zapojen U konzol USB nemusí být kabel USB plně zapojen na obou koncích. Jemně, ale pevně zajistěte, aby měl kabel dobré spojení na obou stranách.
• Špatné zařízení V některých případech může být k dispozici více sériových zařízení. Ujistěte se, že ten, který používá sériový klient, je správný. Některá zařízení odhalují více portů, takže použití nesprávného portu může vést k žádnému výstupu nebo k neočekávanému výstupu.
• Nesprávné nastavení terminálu Ujistěte se, že je terminálový program nakonfigurován na správnou rychlost. Výchozí rychlost BIOSu je 115200 a mnoho dalších moderních operačních systémů tuto rychlost používá také.
  Některé starší operační systémy nebo vlastní konfigurace mohou používat nižší rychlosti, jako je 9600 nebo 38400.
• Sériová konzole OS zařízení Nastavení Ujistěte se, že je operační systém nakonfigurován pro správnou konzolu (např. ttyS1 v Linuxu). Další informace naleznete v různých provozních instalačních příručkách na této stránce.

PuTTY má problémy s kreslením čar
PuTTY obecně zvládá většinu případů OK, ale na určitých platformách může mít problémy se znaky kreslení čar.
Zdá se, že tato nastavení fungují nejlépe (testováno ve Windows):

• Okno
  • Sloupce x řádky 80×24
• Okno > Vzhled
  • Font Courier New 10pt nebo Consolas 10pt
• Okno > Překlad
  • Vzdálená znaková sada Použijte kódování písma nebo UTF-8
  • Práce se znaky pro kreslení čar Použijte písmo v režimu ANSI i OEM nebo použijte
    Body kódu pro kreslení čar Unicode
• Okno > Barvy
  • Označte tučný text změnou barvy

Zkomolený sériový výstup

Pokud se sériový výstup jeví jako zkomolený, chybějící znaky, binární nebo náhodné znaky, zkontrolujte následující položky:
Řízení toku V některých případech může řízení toku rušit sériovou komunikaci a způsobit vynechání znaků nebo jiné problémy. Tento problém může potenciálně vyřešit zakázání řízení toku v klientovi.
Na PuTTY a dalších klientech s GUI je obvykle možnost zakázat řízení toku pro každou relaci. V PuTTY je možnost Flow Control ve stromu nastavení pod Connection, potom Serial.
Chcete-li zakázat řízení toku na obrazovce GNU, přidejte za sériovou rychlost parametry -ixon a/nebo -ixoff, jak je uvedeno v následujícím příkladuampten:

• Rychlost terminálu Ujistěte se, že je terminálový program nakonfigurován na správnou rychlost. (Viz Žádný sériový výstup)
• Kódování znaků Ujistěte se, že je terminálový program nakonfigurován pro správné kódování znaků, jako je UTF-8 nebo Latin-1, v závislosti na operačním systému. (Viz obrazovka GNU)

Sériový výstup se zastaví po BIOSu
Pokud se pro BIOS zobrazí sériový výstup, ale poté se zastaví, zkontrolujte následující položky:

• Rychlost terminálu Ujistěte se, že je terminálový program nakonfigurován na správnou rychlost pro nainstalovaný operační systém.
  (Viz Žádný sériový výstup)
• Nastavení sériové konzoly OS zařízení Ujistěte se, že nainstalovaný operační systém je nakonfigurován pro aktivaci sériové konzoly a že je nakonfigurován pro správnou konzolu (např. ttyS1 v Linuxu). Další informace naleznete v různých provozních instalačních příručkách na této stránce.
• Zaváděcí médium Pokud zavádíte systém z jednotky USB flash, ujistěte se, že byla jednotka zapsána správně a že obsahuje zaváděcí bitovou kopii operačního systému.

Přeinstalace softwaru pfSense Plus

1. Otevřete lístek TAC a požádejte o přístup k firmwaru Plus výběrem možnosti Firmware Access jako General
   Problém a poté jako platformu vyberte Netgate 4200. Pro urychlení přístupu nezapomeňte na lístek uvést sériové číslo.
   Jakmile bude tiket zpracován, bude k tiketu připojena nejnovější stabilní verze firmwaru s názvem jako: pfSense-plus-memstick-serial-23.09.1-RELEASE-amd64.img.gz
   Poznámka: pfSense® Plus je předinstalován na zařízeních Netgate, která je optimálně vyladěna pro hardware Netgate a obsahuje funkce, které jinde nenajdete, jako jsou ZFS Boot Environment, OpenVPN DCO a AWS VPC Wizard.
2. Zapište obrázek na USB flash disk.
   Viz také:
   Vyhledání obrázku a jeho zápis na paměťovou kartu USB je podrobně popsán v části Zápis na flash disky.
3. Připojte se ke konzolovému portu zařízení Netgate.
4. Vložte paměťovou kartu do USB portu na pravé straně a spusťte systém.
5. Počkejte, až se zobrazí výzva systému BIOS.
6. Stiskněte Esc pro vstup do BIOSu.
7. Pomocí kláves se šipkami doleva/doprava vyberte záhlaví „Save & Exit“.
8. Pomocí kláves se šipkami nahoru/dolů se přesuňte do sekce Boot Override.
9. Vyberte záznam pro paměťovou kartu USB
   Záznam je pravděpodobně na konci seznamu nebo blízko něj. Název položky se liší podle značky/značky/modelu USB paměti.
10. Po minutě se zobrazí nabídka zavaděče pfSense® Plus s 3 sekundovým časovačem. Buď nechte nabídku vypršet, nebo pokračujte stisknutím 1 (výchozí).
11. Vyberte jednu z možností typu konzoly, kterou instalační program nabízí pro instalaci sériové konzoly.
    Optimální volbou pro správně nakonfigurovaný terminál je xterm. Vyberte správný výstup konzoly, který je nejvíce kompatibilní se sériovým klientem.
    Poznámka: Z možností je vt100 nejkompatibilnějším typem, ale má také omezené možnosti zobrazení výstupu. Možnost xterm vykresluje to nejlepší na obrazovce GNU a mnoha populárních moderních klientech a terminálech.
12. Přečtěte si upozornění na autorská práva a distribuci zobrazené instalačním programem. Stisknutím klávesy Enter přijměte podmínky smlouvy.
13. Instalační program se automaticky spustí a nabídne několik možností. Na firewallech Netgate dokončíte proces instalace výběrem Enter pro výchozí možnosti na každé obrazovce. Jedinou výjimkou je, že může být nutné stisknout mezerník pro výběr správného cílového disku.
    Poznámka: Možnosti, jako je typ diskového oddílu, lze v případě potřeby touto instalací upravit.
    Viz také:
    Další informace o možnostech dostupných během tohoto procesu naleznete v Průvodci instalací.
    Tip: Pokud na tomto zařízení existuje instalace, možnost Recover config.xml se pokusí připojit stávající instalační jednotku a zkopírovat předchozí konfiguraci, včetně klíčů SSH. Nejprve vyberte tuto možnost a poté pokračujte v instalaci jako obvykle.
14. Pokud se zobrazí výzva k vyčištění více identických zaváděcích položek, vyberte Ano a stiskněte klávesu Enter.
15. Instalační program vás poté vyzve k restartování. Vyberte Reboot a stiskněte Enter. Zařízení se vypne a restartuje.
16. Vyjměte jednotku USB z portu USB.
    Důležité: Pokud zůstane jednotka USB připojena, systém může znovu spustit instalační program.
    Viz také:
    Informace o obnovení z dříve uložené konfigurace naleznete v části Zálohování a obnovení.
    Pozor: Pokud toto zařízení obsahuje více disků, například při přidávání SSD do stávajícího systému, který dříve používal MMC, mohou být nutné další kroky, aby bylo zajištěno, že se zařízení spustí ze správného disku a použije jej. Kromě toho je známým zdrojem problémů samostatná instalace softwaru na různé disky.
    Napřample, jádro mohlo zavést z jednoho disku, zatímco root filesystém je načten z jiného, ​​nebo by mohly obsahovat konfliktní fondy ZFS.
    V některých případech je možné upravit pořadí zavádění systému BIOS tak, aby upřednostňoval nový disk, ale nejlepším postupem je vymazat starý disk, abyste odstranili jakoukoli možnost, že předchozí instalace způsobovala problémy nebo konflikty se zaváděním.
    Informace o tom, jak vymazat starý disk, najdete v tématu Problémy se spouštěním více disků.

Konfigurace rozhraní OPT jako další WAN
Tato příručka konfiguruje port OPT jako další rozhraní typu WAN. Tato rozhraní se připojují k upstream sítím poskytujícím konektivitu k Internetu nebo jiným vzdáleným cílům.

Viz také:

Multi-WAN dokumentace

Konfigurace další WAN

• Požadavky
• Přiřadit rozhraní
• Konfigurace rozhraní
• Odchozí NAT
• Pravidla brány firewall
• Skupiny bran
• DNS
• Nastavení směrování zásad
• Dynamické DNS
• Úvahy o VPN
• Testování

Požadavky

• Tato příručka předpokládá, že základní rozhraní je již přítomno (např. fyzický port, VLAN atd.).
• Před spuštěním je nutné znát typ konfigurace a nastavení WAN. Napřample, může to být IP adresa, maska ​​podsítě a hodnota brány pro statické adresy nebo pověření pro PPPoE.

Přiřadit rozhraní

• Přejděte na Rozhraní > Přiřazení
  Podívejte se na seznam aktuálních úkolů. Pokud je příslušné rozhraní již přiřazeno, není třeba nic dělat. Přeskočte na konfiguraci rozhraní.
• Vyberte dostupné rozhraní v Dostupné síťové porty
  Pokud nejsou k dispozici žádná rozhraní, může být nutné je nastavit jiným způsobem (např. VLAN).
• Klikněte Přidat
  Firewall přidělí další dostupné číslo rozhraní OPT odpovídající internímu označení rozhraní.
  Napřample, pokud neexistují žádná aktuální rozhraní OPT, nové rozhraní bude OPT1. Další bude OPT2 a tak dále.
  Poznámka: Protože tato příručka neví, jaké bude toto číslo v dané konfiguraci, bude obecně odkazovat na rozhraní jako OPTx.
  Nově přiřazené rozhraní bude mít vlastní položku v nabídce Rozhraní a jinde v GUI.

Konfigurace rozhraní
Nové rozhraní musí být povoleno a konfigurováno.

• Přejděte na Rozhraní > OPTx
• Zaškrtněte políčko Povolit rozhraní
• V popisu nastavte vlastní název, např. WAN2
• Nastavte IP adresu a CIDR pro statické nebo DHCP/PPPoE/atd.
  Viz také:
  Typy konfigurace IPv4
• Pokud se jedná o statickou IP adresu WAN, vytvořte bránu:
  • Klikněte Přidejte novou bránu
  • Nakonfigurujte bránu následovně:
    • Výchozí Zkontrolujte, zda by tato nová WAN měla být výchozí bránou.
    • Název brány Pojmenujte ji stejně jako rozhraní (např. WAN2) nebo jeho variantu.
    • Gateway IPv4 Adresa IPv4 brány uvnitř stejné podsítě.
    • Popis Volitelný text popisující účel brány.
  • Klikněte Přidat
  • Ujistěte se, že je nová brána vybrána jako IPv4 Upstream Gateway
• Zaškrtněte políčko Blokovat privátní sítě
  To zablokuje provoz privátní sítě na rozhraní, ačkoli pokud pravidla brány firewall pro tuto WAN nejsou povolená, může to být zbytečné.
• Zaškrtněte Blokovat sítě bogonů
  To bude provoz z falešných nebo nepřiřazených sítí na rozhraní, ačkoli pokud pravidla brány firewall pro tuto WAN nejsou povolená, může to být zbytečné.
• Klikněte na Uložit
• Klepněte na tlačítko Použít změny

Přítomnost vybrané brány v konfiguraci rozhraní způsobí, že firewall bude s rozhraním zacházet jako s rozhraním typu WAN. Toto je ruční pro statické konfigurace, jak je uvedeno výše, ale je automatické pro dynamické sítě WAN (např. DHCP, PPPoE).
Firewall aplikuje odchozí NAT na provoz opouštějící rozhraní typu WAN, ale nepoužívá sítě rozhraní typu WAN jako zdroj pro odchozí NAT na jiných rozhraních. Pravidla brány firewall na rozhraních typu WAN jsou přidána k odpovědi, aby bylo zajištěno, že provoz vstupující do sítě WAN opouští stejnou WAN a provoz opouštějící rozhraní je posouván směrem k její bráně.
DNS Resolver nebude přijímat dotazy od klientů na rozhraních typu WAN bez ručních zadání ACL.
Viz také:
Konfigurace rozhraní

Odchozí NAT
Aby se klienti na lokálních rozhraních dostali k Internetu ze soukromých adres do cílů prostřednictvím této WAN, musí firewall použít Outbound NAT na provoz opouštějící tuto novou WAN.

• Přejděte na Firewall > NAT, karta Odchozí
• Zkontrolujte aktuální odchozí režim NAT
  Pokud je režim nastaven na Automatický nebo Hybridní, nemusí to vyžadovat další konfiguraci. Ujistěte se, že existují pravidla pro novou WAN uvedená jako rozhraní v automatických pravidlech ve spodní části stránky. Pokud ano, přeskočte na další část.
  Pokud je režim nastaven na Ruční, vytvořte nové pravidlo nebo sadu pravidel pro pokrytí nové WAN.

Pokud jsou v tabulce mapování existující pravidla, lze je zkopírovat a upravit pro použití nové WAN. V opačném případě je vytvořte ručně:

• Klikněte přidat nové pravidlo na začátek seznamu.
• Nakonfigurujte pravidlo následovně:
  • Rozhraní Vyberte nové rozhraní WAN (např. WAN2)
  • Adresa Family IPv4
  • Protokol Libovolný
  • Zdrojová síť a vyplňte podsíť LAN, např. 192.168.1.0/24.
    Pokud existuje více než jedna podsíť LAN, vytvořte pravidla pro každou z nich nebo použijte jiné metody, jako jsou aliasy nebo sumarizace CIDR, abyste je pokryli všechny.
  • Destinace Libovolná
  • Adresa překladu Adresa rozhraní
  • Popis Text popisující pravidlo, např. LAN odchozí na WAN2
• Klikněte na Uložit
• Klepněte na tlačítko Použít změny
  Opakujte podle potřeby pro další sítě LAN.

Pravidla brány firewall

Ve výchozím nastavení nejsou pro nové rozhraní žádná pravidla, takže firewall bude blokovat veškerý provoz. To je ideální pro WAN, takže je bezpečné nechat tak, jak je. Přidání služeb do nové WAN, jako jsou VPN, může vyžadovat pravidla, ale ta by měla být řešena případ od případu.

Varování: Na žádnou WAN nepřidávejte žádná paušální pravidla stylu „povolit vše“.

Skupiny bran
Skupiny bran neřídí provoz přímo, ale lze je použít na jiných místech, jako jsou pravidla brány firewall a vazby služeb, k ovlivnění toho, jak tyto oblasti používají brány.
Pro většinu scénářů pomůže vytvořit tři skupiny bran pro začátek: PreferWAN, PreferWAN2 a LoadBalance:

• Přejděte na Systém > Směrování, karta Skupiny bran
• Klikněte Přidat pro vytvoření nové skupiny bran
• Nakonfigurujte skupinu následovně:
  • Název skupiny PreferWAN
  • Prioritní brána brány pro WAN na vrstvě 1 a WAN2 na vrstvě 2
  • Popis Preferuji WAN, nepodaří se WAN2
• Klikněte na Uložit
• Klikněte Přidat, chcete-li vytvořit další skupinu bran
• Nakonfigurujte skupinu následovně:
  • Název skupiny PreferWAN2
  • Prioritní brána brány pro WAN na vrstvě 2 a WAN2 na vrstvě 1
  • Popis Preferuji WAN2, nepodaří se WAN
• Klikněte na Uložit
• Klikněte Přidat, chcete-li vytvořit další skupinu bran
• Nakonfigurujte skupinu následovně:
  • Název skupiny LoadBalance
  • Prioritní brány brány pro WAN a WAN2 obě na úrovni 1
  • Popis Preferuji WAN2, nepodaří se WAN
• Klikněte na Uložit
• Klepněte na tlačítko Použít změny
  Nyní nastavte výchozí bránu na skupinu převzetí služeb při selhání:
• Přejděte na Systém > Směrování, karta Brány
• Nastavte výchozí bránu IPv4 na PreferWAN
• Klikněte na Uložit
• Klepněte na tlačítko Použít změny
  Poznámka: To je důležité pro převzetí služeb při selhání ze samotného firewallu, takže má vždy odchozí přístup. I když to také umožňuje základní převzetí služeb při selhání pro klientský provoz, je lepší používat pravidla směrování zásad pro řízení chování klientského provozu.

DNS
DNS je kritický pro přístup k internetu a je důležité zajistit, aby firewall vždy dokázal přeložit názvy hostitelů pomocí DNS, i když běží na sekundární WAN.
Potřeby zde závisí na konfiguraci DNS Resolveru nebo Forwarderu.
Pokud je DNS Resolver ve výchozím režimu překladače, pak přepínání výchozí brány bude ve většině případů stačit ke zvládnutí převzetí služeb při selhání, i když nemusí být tak spolehlivé jako použití režimu předávání.
Pokud je DNS Resolver v režimu předávání nebo firewall místo toho používá DNS Forwarder, pak údržba funkční DNS vyžaduje ruční konfiguraci bran pro předávání serverů DNS.

• Přejděte na Systém > Obecné nastavení
• Přidejte alespoň jeden DNS server pro každou WAN, ideálně dva nebo více
  Tyto servery musí být jedinečné, stejný server nemůže být uveden více než jednou.
• Vyberte bránu pro každý DNS server odpovídající WAN, přes kterou se může firewall dostat k DNS serveru.
  U veřejných serverů DNS, jako je CloudFlare nebo Google, je buď WAN v pořádku, ale pokud kterákoli z WAN používá servery DNS od konkrétního ISP, zajistěte, aby tyto opouštěly příslušnou WAN.
• Zrušte zaškrtnutí políčka Přepsat server DNS
  Tím sdělíte firewallu, aby používal servery DNS zadané na této stránce a aby ignoroval servery poskytované dynamic
  WAN, jako je DHCP nebo PPPoE. Příležitostně mohou tito poskytovatelé podat konfliktní informace o serveru DNS, takže nejlepším postupem je přiřadit servery DNS ručně.
• Klikněte na Uložit

Poznámka: Pokud má DNS Resolver ve své konfiguraci vybraná specifická odchozí rozhraní, vyberte novou WAN také tam.

Nastavení směrování zásad

Směrování zásad zahrnuje nastavení brány na pravidlech brány firewall, která řídí odpovídající provoz z konkrétních sítí WAN nebo skupin přepnutí při selhání.
V jednoduchých případech (jedna LAN, žádné VPN) je jediným požadavkem pro konfiguraci směrování zásad přidání brány ke stávajícím pravidlům.

• Přejděte na Firewall > Pravidla, karta LAN
• Upravte výchozí pravidlo průchodu pro síť LAN
• Klepněte na tlačítko Zobrazit rozšířené
  • Nastavte bránu na jednu ze skupin bran na základě požadovaného chování klienta LAN.
  Napřample, vyberte PreferWAN, aby klienti používali WAN, a pokud WAN selže, používají WAN2.
• Klikněte na Uložit
• Klepněte na tlačítko Použít změny

Pokud existují další místní sítě nebo VPN, do kterých se klienti v LAN musí dostat, přidejte pravidla nad výchozí pravidla pro předávání, aby se místní provoz předával bez nastavené brány:

• Přejděte na Firewall > Pravidla, karta LAN
• Klikněte přidat nové pravidlo na začátek seznamu
• Nakonfigurujte pravidlo následovně:
  • Akce Pass
  • Rozhraní LAN
  • Protokol Libovolný
  • Zdrojová síť LAN
  • Cíl Druhá místní podsíť, síť VPN nebo alias takových sítí.
  • Popis Přechod do lokálních a VPN sítí
    Na toto pravidlo nenastavujte bránu.
• Klikněte na Uložit
• Klepněte na tlačítko Použít změny

Dynamické DNS
Dynamické DNS poskytuje několik výhod pro více sítí WAN, zejména s VPN. Pokud brána firewall ještě nemá nakonfigurovaný jeden nebo více dynamických názvů hostitelů DNS, zvažte registraci u poskytovatele a vytvoření jednoho nebo více.
Je dobrým zvykem mít samostatnou položku DNS pro každou síť WAN a sdílenou položku pro převzetí služeb při selhání nebo jednu pro každou skupinu převzetí služeb při selhání. Pokud to není životaschopné, mějte alespoň jeden pro nejběžnější potřeby.
Podrobnosti o konfiguraci dynamických záznamů DNS se liší podle poskytovatele a jsou nad rámec tohoto dokumentu.

Úvahy o VPN
IPsec může používat skupinu bran jako rozhraní, ale jako doprovod potřebuje dynamický název hostitele DNS. Vzdálený peer by musel místo IP adresy použít název hostitele Dynamic DNS jako partnerskou adresu této brány firewall. Protože to závisí na DNS, převzetí služeb při selhání může být pomalé.
WireGuard se neváže na rozhraní, ale může pracovat s Multi-WAN. Pokud klient kontaktuje, odpoví z WAN2
WAN2, ale při inicializaci vždy použije aktuální výchozí bránu. Statické trasy mohou posouvat provoz pro konkrétního partnera z konkrétní WAN.
OpenVPN může používat skupinu bran jako rozhraní pro klienty nebo servery. Chování klienta je v pořádku a mělo by odpovídat výchozímu chování při převzetí služeb při selhání nakonfigurované ve skupině. Pro servery je lepší svázat server s localhost a použít port forwardy z každé WAN na localhost. Vzdálení klienti pak mohou mít více vzdálených vstupů a kdykoli kontaktovat každou WAN podle potřeby.

Testování
Metody testování závisí na typu používaných sítí WAN a skupin bran.

• U většiny sítí WAN je lepší test odpojit upstream připojení od CPE. To přesněji simuluje typický typ selhání konektivity proti proudu. Nevypínejte CPE ani neodpojujte spojení mezi firewallem a CPE. I když to může fungovat, je to mnohem méně běžný scénář a může se chovat jinak.
• Pro testování vyvažování zátěže použijte cURL nebo více prohlížečů/relací při vícenásobné kontrole IP adresy. Obnovení stejného okna prohlížeče znovu použije připojení k serveru a není užitečné pro testování vyvažování zátěže na základě připojení.

Konfigurace rozhraní OPT jako další LAN

Tato příručka konfiguruje port OPT jako další rozhraní typu LAN. Tato místní rozhraní mohou provádět různé úkoly, jako je například síť pro hosty, DMZ, izolace IOT, bezdrátový segment, laboratorní síť a další.

Konfigurace další LAN

• Požadavky
• Přiřadit rozhraní
• Konfigurace rozhraní
• DHCP server
• Odchozí NAT
• Pravidla brány firewall
  • OTEVŘENO
  • Izolovaný
• Další služby

Požadavky

• Tato příručka předpokládá, že základní rozhraní je již přítomno (např. fyzický port, VLAN atd.).
• Vyberte novou místní podsíť, kterou chcete použít pro další rozhraní typu LAN. Tento example používá 192.168.2.0/24.

Přiřadit rozhraní
Prvním krokem je přiřazení rozhraní OPT.

• Přejděte na Rozhraní > Přiřazení
  Podívejte se na seznam aktuálních úkolů. Pokud je příslušné rozhraní již přiřazeno, není třeba nic dělat. Přeskočte na konfiguraci rozhraní.
• Vyberte dostupné rozhraní v Dostupné síťové porty
  Pokud nejsou k dispozici žádná rozhraní, může být nutné je nastavit jiným způsobem (např. VLAN).
• Klikněte Přidat
  Firewall přidělí další dostupné číslo rozhraní OPT odpovídající internímu označení rozhraní.
  Napřample, pokud neexistují žádná aktuální rozhraní OPT, nové rozhraní bude OPT1. Další bude OPT2 a tak dále.

Poznámka: Protože tato příručka neví, jaké bude toto číslo v dané konfiguraci, bude obecně odkazovat na rozhraní jako OPTx.
Nově přiřazené rozhraní bude mít vlastní položku v nabídce Rozhraní a jinde v GUI.

Konfigurace rozhraní
Nové rozhraní musí být povoleno a konfigurováno.

• Přejděte na Rozhraní > OPTx
• Zaškrtněte políčko Povolit rozhraní
• V popisu nastavte vlastní název, např. HOSTÉ, DMZ atd.
• Nastavte IP adresu a masku CIDR pro novou LAN
  Pro tento example, 192.168.2.1/24.
• Nepřidávejte ani nevybírejte bránu
• Zrušte zaškrtnutí políčka Blokovat privátní sítě
  Toto rozhraní je soukromá síť, tato možnost by bránila jeho fungování.
• Zrušte zaškrtnutí políčka Blokovat sítě bogonů
  Pravidla na tomto rozhraní by měla povolit pouze provoz z podsítě na rozhraní, takže tato možnost není nutná.
• Klikněte na Uložit
• Klepněte na tlačítko Použít změny

Absence vybrané brány v konfiguraci rozhraní způsobí, že firewall bude s rozhraním zacházet jako s rozhraním typu LAN.
Firewall používá rozhraní typu LAN jako zdroje odchozího provozu NAT, ale neaplikuje odchozí NAT na provoz opouštějící LAN. Brána firewall nepřidává do pravidel brány firewall žádné další vlastnosti, které by ovlivnily chování provozu. DNS
Resolver bude přijímat dotazy od klientů na rozhraních typu LAN.
Viz také:
Konfigurace rozhraní

DHCP server
Dále nakonfigurujte službu DHCP pro toto místní rozhraní. Jedná se o pohodlný a snadný způsob přidělování adres klientům na rozhraní, ale je volitelný, pokud budou klienti místo toho adresováni staticky.

• Přejděte na Služby > Server DHCP, karta OPTx (nebo vlastní název)
• Zaškrtněte políčko Povolit
• Nakonfigurujte rozsah, např. od 192.168.2.100 do 192.168.2.199
  Tím se nastavuje dolní (Od) a horní (Do) mez automatických adres přidělovaných klientům.
• Zbytek lze ponechat ve výchozím nastavení
• Klikněte na Uložit

Viz také:
Konfigurace DHCPv4

Odchozí NAT
Aby se klienti na tomto rozhraní dostali k Internetu ze soukromých adres, musí firewall pro novou podsíť použít Outbound NAT.

• Přejděte na Firewall > NAT, karta Odchozí
• Zkontrolujte aktuální odchozí režim NAT
  Pokud je režim nastaven na Automatický nebo Hybridní, nemusí to vyžadovat další konfiguraci. Ujistěte se, že je nová podsíť LAN uvedena jako Zdroj v automatických pravidlech v dolní části stránky. Pokud ano, přeskočte na další část a nakonfigurujte pravidla brány firewall.
  Pokud je režim nastaven na Ruční, vytvořte nové pravidlo nebo sadu pravidel pro pokrytí nové podsítě.
• Klikněte přidat nové pravidlo na začátek seznamu
• Nakonfigurujte pravidlo následovně:
  • Rozhraní Vyberte rozhraní WAN. Pokud existuje více než jedno rozhraní WAN, přidejte samostatná pravidla pro každé rozhraní WAN.
  • Adresa Family IPv4
  • Protokol Libovolný
  • Zdrojová síť a vyplňte novou podsíť LAN, např. 192.168.2.0/24.
  • Destinace Libovolná
  • Adresa překladu Adresa rozhraní
  • Popis Text popisující pravidlo, např. Host LAN odchozí na WAN
• Klikněte na Uložit
• Klepněte na tlačítko Použít změny
  Případně naklonujte stávající pravidla NAT a upravte podle potřeby tak, aby odpovídala nové síti LAN.

Pravidla brány firewall
Ve výchozím nastavení nejsou pro nové rozhraní žádná pravidla, takže firewall bude blokovat veškerý provoz. To není ideální pro LAN, protože obecně řečeno, LAN klienti budou muset kontaktovat hostitele přes firewall.
Pravidla pro toto rozhraní naleznete v části Firewall > Pravidla na kartě OPTx (nebo vlastní název, např. GUESTS).
Existují dva běžné scénáře, které správci obvykle volí pro místní rozhraní: Otevřené a Izolované

OTEVŘENO
V otevřené síti LAN mohou hostitelé v této síti kontaktovat jakéhokoli jiného hostitele prostřednictvím brány firewall. Může to být hostitel na internetu, přes VPN nebo v jiné místní síti LAN.

V tomto případě postačí jednoduché pravidlo stylu „povolit vše“ pro rozhraní.

• Přejděte na Firewall > Pravidla na kartě OPTx (nebo vlastní název)
• Klikněte přidat nové pravidlo na začátek seznamu
• Nakonfigurujte pravidlo následovně:
  • Akce Pass
  • Rozhraní OPTx (nebo vlastní název) by již mělo být nastaveno ve výchozím nastavení
  • Protokol Libovolný
  • Zdroj OPTx Net (nebo vlastní název)
  • Destinace Libovolná
  • Popis Text popisující pravidlo, např. Výchozí povolit vše z OTPx
• Klikněte na Uložit
• Klepněte na tlačítko Použít změny
• Přidejte pravidlo pro předání libovolného protokolu ze sítě rozhraní do libovolného cíle

Izolovaný
V izolované lokální síti nemohou hostitelé v síti kontaktovat hostitele v jiných sítích, pokud to pravidla výslovně nepovolují. Hostitelé mohou stále kontaktovat internet podle potřeby v tomto příkladuample, ale to může být také omezeno složitějšími pravidly.
Tento scénář je běžný pro uzamčené sítě, jako jsou zařízení IOT, DMZ s veřejnými službami, nedůvěryhodné sítě typu Guest/BYOD a další podobné scénáře.

Varování: Nespoléhejte na triky, jako je použití směrování zásad k izolaci klientů. Úplná sada pravidel pro odmítnutí, jak je popsáno v tomto příkladuample jsou nejlepší postupy.

Vytvořte alias RFC1918 nebo alias obsahující alespoň místní/soukromé sítě na této bráně firewall, jako jsou VPN. Použití všech sítí RFC1918 je bezpečnější

• Přejděte na Firewall > Aliasy
• Klikněte Přidat
• Nakonfigurujte jej následovně:
  • Název PrivateNets
  • Popis Privátní sítě
  • Typ sítě
• Přidat položky pro:
  • 192.168.0.0/16
  • 172.16.0.0/12
  • 10.0.0.0/8
• Klikněte na Uložit
• Přejděte na Firewall > Pravidla na kartě OPTx (nebo vlastní název)
  Přidat pravidlo pro předání DNS firewallu (nebo jiným DNS serverům)
• Klikněte přidat nové pravidlo na konec seznamu.
• Nakonfigurujte pravidlo následovně:
  • Akce Pass
  • Rozhraní OPTx (nebo vlastní název)
  • Protokol TCP/UDP
  • Zdroj OPTx Net (nebo vlastní název)
  • Cíl tohoto firewallu (vlastní)
    Pokud mají klienti používat jiné servery DNS než bránu firewall, použijte je jako cíl.
  • Rozsah cílového portu DNS, nebo zvolte Jiné a zadejte 53
    Chcete-li povolit také DNS přes TLS, přidejte další pravidlo pro DNS přes TLS nebo port 853.
  • Popis Text popisující pravidlo, např. Umožněte klientům překládat DNS přes bránu firewall
• Klikněte na Uložit
  Přidejte pravidlo pro předání protokolu ICMP do brány firewall
• Klikněte přidat nové pravidlo na konec seznamu.
• Nakonfigurujte pravidlo následovně:
  • Akce Pass
  • Rozhraní OPTx (nebo vlastní název)
  • Protokol ICMP
  • ICMP Subtype Any je v tomto případě OK, ICMP je užitečné, ale někteří lidé dávají přednost omezení na Echo
  • Požadujte pouze povolení pingu a nic jiného.
  • Zdroj OPTx Net (nebo vlastní název)
  • Cíl tohoto firewallu (vlastní)
  • Popis Povolit klientovi ICMP na firewallu
• Klikněte na Uložit

Přidejte pravidlo pro odmítnutí jakéhokoli dalšího provozu brány firewall

• Klikněte přidat nové pravidlo na konec seznamu.
• Nakonfigurujte pravidlo následovně:
  • Akce Odmítnout
  • Rozhraní OPTx (nebo vlastní název)
  • Protokol Libovolný
  • Zdroj Libovolný
  • Cíl tohoto firewallu (vlastní)
  • Popis Odmítnout veškerý další provoz na firewall
• Klikněte na Uložit

Přidejte pravidlo pro odmítnutí provozu z této sítě do privátních sítí

• • Klikněte přidat nové pravidlo na konec seznamu.
• Nakonfigurujte pravidlo následovně:
  • Akce Odmítnout
  • Rozhraní OPTx (nebo vlastní název)
  • Protokol Libovolný
  • Zdroj Libovolný
  • Cílový jediný hostitel nebo alias, PrivateNets (alias vytvořený dříve)
  • Popis Odmítnout veškerý další provoz do privátních sítí
• Klikněte na Uložit
  Přidejte pravidlo pro předání ze sítě tohoto rozhraní do libovolného cíle:
• Klikněte přidat nové pravidlo na konec seznamu.
• Nakonfigurujte pravidlo následovně:
  • Akce Pass
  • Rozhraní OPTx (nebo vlastní název)
  • Protokol Libovolný
  • Zdroj OPTx Net (nebo vlastní název)
  • Destinace Libovolná
  • Popis Výchozí povolit vše z OTPx
• Klikněte na Uložit

Když jsou všechna pravidla nastavena, klikněte na Použít změny a dokončete a aktivujte nová pravidla.
Po konfiguraci by pravidla měla vypadat jako na následujícím obrázku:

Tip: Oddělovače pravidel jsou užitečné pro dokumentaci existující sady pravidel.
Podobně jako u izolované sítě je také možné být mnohem přísnější s pravidly, která povolují pouze konkrétní odchozí porty. Při vytváření tohoto typu konfigurace

Další služby
Ve většině případů je výše uvedená konfigurace dostačující a klienti v nové LAN nyní mohou získat adresu a dostat se na internet. Mohou však existovat další vlastní nastavení, která je třeba vzít v úvahu při přidávání nového místního rozhraní:

• Pokud má překladač DNS specifické vazby rozhraní, přidejte nové rozhraní do seznamu.
• Pokud používáte tvarování provozu ALTQ, spusťte znovu průvodce tvarovačem, aby zahrnoval toto nové rozhraní typu LAN.
• Zvažte použití captive portálu k řízení přístupu k rozhraní

Postup obnovení továrního nastavení

Tento postup provede obnovení továrního nastavení pomocí hardwarového resetovacího tlačítka na Netgate 4200. Toto tlačítko se nachází na zadní straně jednotky směrem k levému konci, mezi konektory napájení a konzoly a pod tlačítkem napájení.
Referenční fotografie viz Vstupní a výstupní porty.
Viz také:

• Obnovení továrního nastavení z GUI nebo konzole

Na rozdíl od některých jiných modelů hardwaru Netgate lze proceduru resetování na Netgate 4200 spustit za chodu zařízení a nevyžaduje složité načasování.

1. Zapněte zařízení, pokud ještě neběží.
   Pokud se zařízení spouští, počkejte, až LED dioda Diamond začne modře blikat nebo začne svítit modře.
2. Stiskněte a podržte resetovací tlačítko (dole).
   Poznámka: Toto je spodní (zapuštěné) tlačítko a ke stisknutí může vyžadovat pero, kancelářskou sponku nebo podobný nástroj.
   LED diody se začnou plnit jedna po druhé červeně (Kruh, Čtverec, potom Kosočtverec), zatímco tlačítko držíte ve stisknutém stavu.
3. Držte tlačítko stisknuté, dokud všechny LED nezačnou blikat červeně.
   Bude to trvat přibližně 8 sekund. Jakmile začnou LED diody blikat červeně, probíhá obnovení továrního nastavení a tlačítko lze uvolnit. Zařízení se automaticky restartuje.
   Chcete-li proces resetování zrušit, uvolněte tlačítko kdykoli předtím, než začnou LED diody blikat červeně. Diamantový indikátor LED se vrátí do nepřerušovaného modrého stavu, což znamená, že reset byl zrušen.
4. Počkejte, až systém dokončí reset a dokončí proces spouštění.
   Na konci procesu spouštění se LED diody vrátí do připraveného stavu a LED dioda Diamond bude svítit modře.

Když se zařízení znovu spustí, bude mít výchozí tovární nastavení a bude přístupné ze sítě LAN na https://192.168.1.1.
Pokud tento postup selže, připojte se ke konzole a proveďte tam tovární reset.

Další zdroje

Školení Netgate
Školení Netgate nabízí školicí kurzy pro zvýšení vašich znalostí o produktech a službách pfSense® Plus.
Ať už potřebujete udržet nebo zlepšit bezpečnostní dovednosti svých zaměstnanců nebo nabídnout vysoce specializovanou podporu a zlepšit spokojenost zákazníků; Školení Netgate vás pokryje.
https://www.netgate.com/training

Knihovna zdrojů
Chcete-li se dozvědět více o tom, jak používat zařízení Netgate, a další užitečné zdroje, nezapomeňte procházet knihovnu zdrojů Netgate.
https://www.netgate.com/resources

Profesionální služby
Podpora nepokrývá složitější úlohy, jako je konfigurace CARP pro redundanci na více firewallech nebo okruzích, návrh sítě a převod z jiných firewallů na software pfSense® Plus. Tyto položky jsou nabízeny jako profesionální služby a lze je podle toho zakoupit a naplánovat.
https://www.netgate.com/our-services/professional-services.html

Možnosti komunity
Zákazníci, kteří se rozhodli nezískat placený plán podpory, mohou najít pomoc od aktivní a znalé softwarové komunity pfSense na fóru Netgate.
https://forum.netgate.com/

Záruka a podpora

• Jednoletá záruka výrobce.
• Obraťte se prosím na Netgate pro informace o záruce nebo view stránku životního cyklu produktu.
• Všechny specifikace se mohou změnit bez upozornění

Informace o podpoře view plány podpory nabízené společností Netgate.

Viz také:
Další informace o používání softwaru pfSense® Plus naleznete v dokumentaci a knihovně prostředků pfSense.

Dokumenty / zdroje

	Bezpečnostní brána Netgate 4200 [pdfUživatelská příručka 4200 Security Gateway, 4200, Security Gateway, Gateway
	bezpečnostní brána netgate 4200 [pdfPokyny 4200 Security Gateway, 4200, Security Gateway

Reference

• Uživatelská příručka