ЕСПД pfsense

В этой стать я опишу свой личный опыт настройки pfsense для работы с сетью ЕСПД (Единая сеть передачи данных).

Задача

Настроить pfsense, чтобы можно было самому управлять какому компьютеру ходить в интернет с контентной фильтрацией, а какому без неё.

Немного предыстории

По началу был у нас в организации интернет от Ростелекома. У меня было настроено на pfsense proxy сервер с контентной фильтрацией, чтобы студенты не лазили по плохим сайтам. Потом подключили ЕСПД. Преподавателей я оставил на интернете от Ростелекома, а студентов перевёл на ЕСПД. В один прекрасный момент у нас отключили интернет от Ростелекома. Оказалось, Ростелеком теперь не имеет право заключать договора на интернет с образовательными организациями, у которых есть ЕСПД. Благо к этому времени сделали личный кабинет ЕСПД, авторизуясь через Госуслуги, можно удобно создавать заявки на отключение контентной фильтрации.

Данные

Сеть ЕСПД нам дали с маской /24, а у нас в организации сеть с маской /23, уже изначально не хватает ip адресов. И мне не хотелось менять ip адреса которые у нас в сети уже используются. На втором ip адресе сети ЕСПД я оставил контентную фильтрацию, так как он уже использовался для доступа к интернету студентов (ходят в интернет через проброс порта), а на третий ip адрес я составил заявку о снятии контентной фильтрации, что служба технической поддержки ЕСПД и сделала. Осталось мне реализовать, чтобы преподаватели ходили через третий ip адрес.

Реализация

Сертификат ЕСПД на компьютеры был поставлен через групповые политики домена, а какие компьютеры к домену не подключены, пришлось ставить ручками.
Прокси сервер, так же был прописан через групповые политики домена, либо ручками на компьютерах которые не подключены к домену (ещё прокси сервер самого pfsense, а не ЕСПД, а студенты ходили в интернет, как я уже раньше писал пробросом порта на прокси сервер ЕСПД).

Настройка виртуального IP

На pfsene заходим в Межсетевой экран / Виртуальные IPs нажимаем кнопку добавить. Выбираем тип: «IP Алиас».
Интерфейс: свой «WAN» интерфейс, который смотрит в сеть ЕСПД.
Тип адреса: «Одиночный адрес».
В поле «Адрес» пишем IP адрес, с которого сняли контентную фильтрацию, а у меня на самом WAN интерфейсе прописан IP адрес с контентной фильтрацией.
Маска подсети, которую дали ЕСПД, у меня 24.
Описание — для себя понятное описание, у меня ESPD open.
Нажимаем кнопку «Сохранить».

Настройка правил межсетевого экрана

Заходим в Межсетевой экран / Правила выбираем вкладку со своим «LAN» интерфейсом.
Нажимаем кнопку «Добавить»
Действие: «Разрешить
Интерфейс: «LAN»
Адресное семейство: «IPv4+IPv6»
Протокол: «Любой»
Источник: «Любой»
Назначение: «Любой»
В описании у меня написано «All to all»
Нажимаем кнопку «Сохранить»
Это правило нужно для того чтобы работало обновление ОС и других открытых ресурсов в сети ЕСПД.

Настройка проброса портов

Настройка проброса портов нужна только если у вас был до этого настроен прокси сервер на компьютерах, отличны от прокси сервера ЕСПД и менять вы его не хотите (как было у меня — прокси сервер сам pfsense). Если у вас прописан прокси сервер ЕСПД, то предыдущим правилом мы разрешили хождение к серверу ЕСПД.

Идём в Межсетевой экран / Сетевая трансляция адресов (NAT)
Вкладка «Проброс порта»
Интерфейс: «LAN»
Адресное семейство: «IPv4»
Протокол: «TCP/UDP»
Источник не трогаем, оставляем любой.
Назначение: «LAN address», что означает адрес pfsense на порту LAN
Диапазон портов назначения: от порта «другой» частный «8080» К порту «другой» частный «8080» (у вас будет другой, который был у вас, у меня такой)
Перенаправляемый целевой IP: Тип «Один узел» Адрес «10.0.62.52» (у вас в зависимости от региона будет свой адрес прокси сервера, у меня такой)
Перенаправляемый целевой порт: Порт «Другой» Частный «3128» (порт вроде у всех одинаковый)
Описание: «ESPD filtered» (у вас любое понятное для вас)
Нажимаем кнопку «Сохранить».

Настройка алиасов (псевдонимов)

Идём в Межсетевой экран / Алиасы
Во вкладке «IP» мы нажимаем кнопку «Добавить»
Имя: «My_proxy» (у вас может быть любое понятное вам)
Тип: «Хосты»

IP или полностью определенное доменное имя или алиас: добавляем свои IP адреса на которых хотим снять контентную фильтрацию и описание их в соответствующее поле
Нажимаем кнопку «Добавить хост» для добавления ещё одного IP адреса компьютера
После того как введём IP адреса всех компьютеров нажимаем кнопку «Сохранить».

Настройка подмены IP адреса

Идём в Межсетевой экран / Сетевая трансляция адресов (NAT)
Выбираем «Исходящий»
Режим исходящей Сетевой Трансляции Адресов (NAT) выбираем: «Гибридное» (чтобы мы могли сами прописывать правила и ещё чтобы работала автоматическая)
Нажимаем кнопку «Добавить»
Интерфейс: «WAN» (ваш интерфейс который смотрит в сеть ЕСПД)
Адресное семейство: «IPv4»
Протокол: «любой»
Источник: Тип «Сеть» Сеть источника для соответствия исходящей Сетевой Трансляции Адресов «My_proxy» маска /32 Порт или Диапазон оставляем пустой (My_proxy это алиас (псевдонимы), где у меня прописаны IP адреса компьютеров преподавателей, а порт почему оставляем пустым, насколько я помню, что порт источника может быть любым, а не таким же как порт назначения)
Назначение: Тип «Сеть» Сеть назначения для соответствия исходящей Сетевой Трансляции Адресов «10.0.62.52» маска /32 (у вас в зависимости от региона будет свой адрес прокси сервера, у меня такой)
Порт или Диапазон: «3128»
Трансляция
Адрес: «10.62.203.3» (тот адрес на котором снята контентная фильтрация его же мы прописывали в «Виртуальных IP», у меня такой)
Порт или Диапазон: ставим галочку «Статический Порт»
Описание: «ip substitution» (может быть любое понятное для вас)
Нажимаем кнопку «Сохранить».

Это правило нам нужно, чтобы прокси север видел IP адрес WAN интерфейса у которого не снята контентная фильтрация, а адрес Виртуального IP со снятой контентной фильтрацией.

Разобраться в этой настройке мне помогла информация с сайта.

Надеюсь, что моя статья кому-нибудь будет полезной.