Для того, чтобы ikev2 без головной боли работал на клиентах, серверу всегда нужен валидный сертификат от реального центра сертификации. Использовать самоподписанные и импортировать CA на всех клиентах то ещё развлечение, по этому
Добавьте запись в DNS, со ссылкой на внешний айпшиник pfsense. Типа vpn.example.com или ещё как-то
Установите в pfSense расширение acme, которое автоматизирует получение бесплатных сертификатов от Let’sEncrypt. Там всё достаточно просто и очевидно.
Получите бесплатный сертификат. Я делал это с проверкой через DNS, что требует добавления текстовой записи вида _acme-challenge.vpn.exmaple.com в DNS
Запомните на будущее, что клиент должен обращаться к серверу только по созданному и указанному в сертификате доменному имени (то самое vpn.example.com)
Авторизация
Для авторизации логично использовать стандартный доменный пароль пользователей, это облегчает жизнь администратору :), но EAP-MSCHAPv2 авторизация не поддерживает прямое обращение к LDAP, т.к. шифрует логин и пароль. Зато шифрованные пароли хорошо поддерживает RADIUS, а Windows умеет в RADIUS, по этому:
Создайте в AD группу, в которую будут входить пользователи VPN. В отличие от LDAP, в pfsense, RADIUS-метод управляет на основе групп, а не на основе контейнеров
Настройте Microsoft NPS по инструкции от NetGate Не забудьте сохранить в блокнот «общий секрет» из мастера — он понадобится при настройке pfSense
В целом, на сайте Netgate есть очень качественный пример настройки, который можно использовать «один в один», но сначала надо подготовить авторизацию через LDAP (из Active Directory).
В Windows для этого ничего делать не надо, кроме создания пользователя для связи, а в pfSense настроить связку с LDAP по вот этой инструкции
Чтобы не морочиться с тем, почему не работает, важно правильно ввести имя пользователя в поле «Bind credentials».
Инструкция рекомендует использовать либо короткую %username%, либо каноническую «CN=username,CN=Users,DC=domain,DC=suffix»
В реальной жизни, работает нотация username@domain.suffx (bob@example.local)
Ещё один важный момент — авторизация в LDAP в актуальном pfSense управляет доступом не на основе групп пользователей, а на основе контейнеров (CN, OU) в вашей доменной структуре, так что доступ получат все пользователи указанного в конфигурации LDAP подразделения (контейнера, CN, OU)
Изучал рынок управлялок для котлов и прочего. Да, есть прекрасный кситал, который работает, но хотелось
Крепления на din-рейку
Питания 12В (у кситал 24, хоть резервная батарея и на 12В)
Ещё на позапозапрошлом акватерме натыкался на стенд ZONT, у которых это всё есть. Пошёл читать инструкции. Смутился, перечитал Цитирую:
Настройка Термостата производится следующими способами:
● дистанционно в онлайн-сервисе ZONT, доступном из личного кабинета владельца на сайте zont-online.ru;
● дистанционно в приложении ZONT для мобильных устройств (смартфонов и планшетов) на
платформе iOS и Android.
Т.е. устройство управляющее важнейшим элементом инженерных систем загородного дома настраивается только через веб-сервис.
Понятно, что контур безопасности котла не даст выйти ему в аварийный режим, чтобы ты не делал с внешней управлялки, понятно, что нормальный инженер продублирует внешнюю управлялку ручным управлением, если за него это не сделал производитель котла (ремарка, я регулярно натыкаюсь на места, где это не сделано)
Короче, сел думать, хорошо это или плохо…
Как инженер, я считаю что это ну так себе: и с точки зрения безопасности, и с точки зрения «владения устройством»: железка без сервиса бесполезна. Если сервис накроется, что делать пользователю? Хотя, безусловно, приложение удобнее смсок Но параноик внутри меня кричит НЕЕЕЕТ.
А с другой стороны, идея офигенная: продаёшь контроллеры, которые управляются только твоим сервисом, сервис поначалу раздаёшь бесплатно… Вот у тебя напродавалась критическая масса контроллеров, ты рраз и делаешь сервис платным.. Недорогим, но платным. И вуаля, стабильный приток денег гарантирован… И это не ирония, правда круто.
В общем случае, чем ниже частота — тем дальше распространяются радиоволны, при равной мощности, по этому, вне городов, чаще всего оборудование работает на 800-900 чем на 2100-2600
В любом случае, радиоволны высоких частот распространяются строго по прямой от передатчика, и чтобы у нас была хоть какая-то связь, мы должны «видеть» вышку. В данном случае «видеть» — это практически визуально наблюдать вышку. Между нами и вышкой не должно быть холмов, гор или чего-то подобного — рельеф не преодолим для радиоволн. Именно по этому вышки такие высокие.
Вот так связь будетВот так уже не будетВот так, тоже не будет
Ищем вышки. Собираем частоты.
Как правило, недалеко находится две вышки, реже одна. Так или иначе на карте покрытия своего оператора, или прямо на местности мы можем определить ближайшие вышки, и оценить видимость до них
Вот так, по карте покрытия можно примерно определить, где вышка (в примере Yota):
примерное местоположение вышек — красным
Определяем диапазон, в котором работает наша вышка. В этом поможет приложение Netmonitor Lite, доступное в Google Play. Приложение из первой статьи тут уже не поможет, потому что в полном объёме частоты не показывает. Что надо сделать:
Переключить телефон жёстко в нужный нам режим работы 4G, или 3G или 2G (как правило нужны 4G для интернета, 3G — для разговоров и неторопливого интернета, или 2G, чтобы хоть как-то поговорить). Через 4G у пока голос запрещён, по этому одного 4G не хватит для полноценной связи, а в 2G интернет крайне медленный. По этому нас интересуют 4G/3G, либо 2G/3G, либо сразу всё.
Найти место, где телефон хоть как-то ловит. Хоть на одну «палочку»
Запустить приложение и посмотреть, на какой частоте работает наша вышка.
Записать куда-то частоту.
Закрыть приложение, переключить режим работы телефона в следующий диапазон (было 4G, включили 3G, и т.д.), повторить с пункта 3
Подробнее по третьему пункту.
В телефоне надо оставить одну сим-карту, если телефон двух-симочный.
Запустить приложение, на картинке будет что-то вроде:
скриншот главного экрана Networkmonitor Lite
Собственно — обведённое красным тип сети. Частота будет вот такой:
На экране
Частота
Тип сети
G900
900
2G
G1800
1800
2G
GSM
900/1800
2G
U900
900
3G
U2100
2100
3G
WCDMA
2100*
3G
L800
800
4G LTE
L1800
1800
4G LTE**
L2600
2600
4G LTE
L450
450
4G LTE***
* но это не точно :)
** в Московской области нет операторов на LTE 1800
*** никогда такого в телефоне не увидите. Телефонов с доступным LTE450 (band 31) в России не продают, есть только роутеры, с сим-картами Skylink
Если всё получилось у нас есть список частот, под которые подбирать репитер.
Подбираем репитер.
Самое большое веселье в этом всём процессе. Выбор огромный, но большинство заточено под LTE 1800, который есть много где в России, но не в Московской и ближайших к ней областях. Если нашлась сеть L1800 — огромное везение.
Итак, нам предстоит выбрать репитер. На что смотреть? На частоту и тип сети.
Допустим, для примера, у меня в деревне, LTE2600, WCDMA2100 UMTS1800, ну и 2G, конечно, но он меня не интересует.
Следовательно, мне нужен репитер для диапазонов
LTE — 2600
3G — 2100
3G — 1800
Я иду в магазины репитеров (гугл в помощь) и выбираю готовый комплект для этих частот. И тут меня постигает неудача, потому что репитеры будут либо 1800/2100 — что мне не подходит, потому что у меня LTE на 2600, либо 2100/2600, что мне в общем подходит. Но вот репитера на все три частоты я не найду. Более того, фиг найдёшь репитер на 3G1800/LTE2600. Зато легко может попасться комбайн на GSM900/3G2100/LTE2600.
В итоге мой выбор очевиден 2100/2600, или 900/2100/2600. Потому что я получу хотя минимум 3G и 4G LTE, или, бонусом, голос в GSM
Тем кому повезло с LTE 800 или LTE 450 скорее всего репитер не понадобится. Зоны покрытия у этих точек самые здоровые 🙂
Я постараюсь купить репитер комплектом, с уличной антенной, комнатной антенной и кабелями. Скорее всего, я добавлю в заказ дополнительную уличную антенну и антенный ответвитель, чтобы связь была и в доме и на улице…
А вешать всё буду примерно как в этой статье, со всеми грозозащитами и заземлением.
Антенну предназначенную для входного тракта репитера, постараюсь поднять повыше и направить в сторону вышки.
Тема мегасложная, но постарался изложить так, чтобы было понятно.
В качестве альтернативы микротикам, в небольшом доме, может выступить, например, роутер от йоты с внешней антенной.
В принципе, всё также как в предыдущей статье, за исключением того, что сим-карта и точка доступа объединены в одно устройство. На улицу ставиться только внешня LTE-антенна. Антенна обязательно должна быть
секторной (направленной)
MIMO (подключается двумя кабелями)
Выглядит как-то так:
Панельная направленная антенна
Или так
узконаправленная антенна
К роутеру, через антенную грозозащиту (обязательно) подключается два толстых антенных кабеля, и прокладываются до антенны. Кабеля можно купить там же, где и антенну. К кабелям необходимо купить пиг-тейлы, чтобы присоединить их к роутеру (в магазине помогут подобрать правильные)
Всё остальное также как в предыдущей статье, только устройство одно, с внешней антенной.
Мне этот вариант не нравится из-за необходимости тащить толстые и несгибаемые антенные кабели, а также потому что не позволит построить бесшовную wifi-сеть в доме и на участке, но, безусловно, право на жизнь он имеет.
Работать будет (мы так тоже какое-то время жили, после дуршлага :))
Итак, уровень сигнала у вас везде низкий (-100 и меньше), друшлаг на втором этаже не спасает, но где-то на крыше сигнал всё же есть. Если 4G не ловит совсем — скорее всего нормального интернета не будет. Можно попробовать отловить 3G, используя предыдущие статьи, но это паллиатив: ни удалённый рабочий стол, ни телефония через 3G работать не будут. Даже youtube будет подтормаживать.
В любом случае, малой кровью уже не обойтись. Нужен уличный (необязательно) модем с направленной (обязательно) антенной, направленной в сторону ближайшей вышки, мачта (кронштейн) и грозозащита.
И если в предыдущей части, я не советовал микротик, то здесь мы будем строить доступ в интернет именно на их решениях. Потому что тут нам важна не столько простота настроек, сколько надёжность работы и мощность антенны.
Модем и антенна.
Я считаю, что оптимальным решением модем + антенна, в большинстве случаев, будет Mikrotik SXT LTE kit
Поддерживаются все доступные у большой четвёрки диапазоны LTE: 7,20,38
Встроенная мощная секторная антенна.
Уличное исполнение.
PoE-питание (до модема надо тащить только (S)FTP-кабель)
Присоединять модем к домашнему оборудованию можно только (S)FTP-кабелем. Обычная UTP не прокатит — в ней нет экрана, и никакая грозозащита порта вас не спасёт от утраты модема в случае неудачной грозы :).
Оборудование в доме
В доме вам понадобится точка доступа, или несколько (если дом большой) чтобы раздать интернет потребителям. Я рекомендую Mikrotik hAP ac lite, настроенную в режиме точки доступа:
это двухдиапазонная точка доступа 2,4/5GHz
на борту есть порт PoE, которым можно питать модем
все точки доступа микротик могут быть объединены в одну бесшовную беспроводную сеть, без дополнительных контроллеров.
Мачта
В роли мачты подойдёт что угодно:
Специальная стальная/аллюминивая конструкция
Деревянная жердь
кронштейн на стене под самой крышей
Главное условия высота: модем должен оказаться на уровне или выше конька вашего дома. Лучше выше, потому что в этом случае можно выбирать направление на вышку в диапазоне 360 градусов.
Если возможности сделать мачту выше конька нет, необходимо закрепить модем с той стороны дома, где уровень сигнала наилучший.
Грозозащита
Главное в грозозащите — она должа быть. Без грозозащиты, включённый модем, в грозу, будет почти гарантированно испрочен. Короче, я вас предупредил 🙂
Грозозащита состоит из:
Зазмеления
Громоотвода
Модулей защиты уличных кабелей.
Грозозащиты электропитания.
Заземление
Идеальный вариант заземления — выделенный контур заземления выведенный на PE-контакты розеток, и доступный к подключению. Это может быть TT или TN-C-S с повторным заземлением. Главное контур есть и свой. На «землю» приходящую по обычной TN-C-S надежды мало. Если выделенного контура нет, вся остальная защита может не сработать
Громоотвод
В любом случае, необходимо установить рядом с модемом/антенной громоотвод, который надёжно заземлить, соединив его с существующей с землёй. Если контура заземления в доме нет, и вы не планируете его изготовить, как минимум как следует заземлите сам громоотвод.
Защита кабелей и питания
Для соединения модема и домашней точки доступа необходимо применять модуль грозозащиты, например Грозозащита Nag-1.1POE, который обязательно заземлить либо на общий контур, либо если его нет, на заземление громоотвода.
Также, рекомендуется защитить розетку, питающую домашний коммутатор, как минимум вот таким реле напряжения
В прошлой статье мы определяли уровень сигнала, теперь разберём, что делать дальше.
Если уровень сигнала в доме больше -87 (-87…-77), ничего делать не надо, просто вставляйте usb-модем в ноутбук и работайте.
Если уровень сигнала в доме меньше -87, но на улице укладывается в -87, тогда модем необходимо закрепить на окне выходящем на сторону дома с наилучшим сигналом, или на улице, если окон на эту сторону нет.
Если дом двухэтажный — вешать модем на окно стоит на втором этаже (в общем случае на верхнем :))
какой стороной размещать модем к окну — определите по уровню сигнала, в админке роутера
Понято, что подключить модем висящий на окне (или на улице) к компьютеру не получится.. По этому, модем подключаем к любому роутеру с USB-портом (лучше всего подойдут роутеры кинетик, но можно любой другой). Всё, пользуемся интернетом.
Модем, как правило трогать не надо, а вот роутеру, вероятно понадобится настройка. У кинетиков с этим всё просто, и есть готовая инструкция. Для роутеров других производителей, наверняка тоже есть.
Если уровень сигнала изнутри помещения немного не дотягивает до нормы, и интернет тормозит, можно выкрутиться сделав примитивный антенный усилитель из… дуршлага. Вот так
модем надо разместить так, чтобы антенна находилась по центру дуршлага. Антенна, обычно, в дальней от разъёма части модема.
Вешаете штуку на окно, и внезапно получаете пару делений к уровню 🙂
Как бы смешно это не звучало — мы с такой конструкцией провели чуть ли не пять дачных сезонов. Без неё не ловило вовсе, с ней работало. Причём именно с этим дуршлагом и модемом, что на фото. Собрал старых друзей для статьи
Вам могут посоветовать mikrotik вместо кинетика. Не соглашайтесь. В такой конфигурации лучше кинетик: микротик железка не для дома. Я часто (почти всегда) ставлю их в офисы, делаю на них VPN и прочее. Но дружелюбие интерфейса и простота настройки — это не про микротик. Да недороги. Да надёжны. Если знаете как их готовить — ставьте, иначе не надо.
