Netgate 4200 安全网关用户手册

基本防火墙配置从将 Netgate® 设备连接到互联网开始。此时应拔掉 Netgate 设备的插头。
将以太网电缆的一端连接到 Netgate 设备的 WAN 端口（如“输入和输出端口”部分所示）。同一电缆的另一端应插入 ISP CPE 设备（例如电缆或光纤调制解调器）上的 LAN 端口。如果ISP提供的CPE设备有多个LAN端口，则大多数情况下任何LAN端口都可以工作。
接下来，将第二根以太网电缆的一端连接到 Netgate 设备的 LAN 端口（如“输入和输出端口”部分所示）。将另一端连接至计算机。

下一步是什么？

要连接到 GUI 并在浏览器中配置防火墙，请继续进行初始配置。
要在连接到 GUI 之前连接到控制台并进行调整，请参阅连接到 USB 控制台端口。
警告：Netgate 防火墙 LAN 子网上的默认 IP 地址是 192.168.1.1/24。同一子网不能同时用于 WAN 和 LAN，因此，如果 ISP 提供的调制解调器上的默认 IP 地址也是 192.168.1.1/24，请断开 WAN 接口，直到防火墙上的 LAN 接口重新编号到不同的子网 (例如 192.168.2.1/24）以避免 IP 地址冲突。
要更改接口 IP 地址，请从控制台菜单中选择选项 2，然后执行更改步骤，或者从 GUI 中执行设置向导（首次启动时打开，也可在系统 > 设置向导中找到）并更改步骤 5 上的 IP 地址。完成向导并保存更改。

初始配置
将电源线插入电源端口（如输入和输出端口部分所示）以打开 Netgate® 防火墙。等待 4 或 5 分钟以完全启动。

警告： 如果 WAN 上的 CPE（例如光纤或电缆调制解调器）的默认 IP 地址为 192.168.1.1，请在继续之前从 Netgate 1 安全网关上的 4200 端口断开以太网电缆。
在配置的后续步骤中更改设备的默认 LAN IP 地址，以避免 WAN 和 LAN 上的子网发生冲突。

连接到 Web 界面（图形用户界面）

从计算机上登录 web 界面
打开 web 浏览器（本例中为 Google Chrome）ample) 并在地址栏中输入 192.168.1.1。按 Enter 键。
可能会出现警告消息。如果遇到此消息或类似消息，可以安全地继续。单击“高级”按钮，然后单击“继续到 192.168.1.1（不安全）”以继续。

在登录页面，输入默认的 pfSense® Plus 用户名和密码，然后单击下一步。
- 默认用户名：admin
- 默认密码：pfsense

设置向导
本节逐步完成设置向导的每个页面以执行防火墙的初始配置。该向导一次收集一页信息，但在向导完成之前不会对防火墙进行任何更改。

提示： 对于那些希望手动执行配置的人来说，可以随时安全地停止该向导，或者
恢复现有备份（备份和恢复）。
要停止向导，请通过单击页面左上角的徽标或从菜单之一选择一个条目来离开向导页面。

笔记： 忽略每个向导页面顶部有关重置管理员帐户密码的警告。设置向导中的步骤之一是更改默认密码，但直到向导结束后才会应用新密码。

单击“下一步”启动安装向导。
阅读有关 Netgate 全球支持的信息后，单击“下一步”。
使用以下项目作为指南来配置“一般信息”页面上的选项：
主机名可以输入任何所需的主机名来标识防火墙。出于本指南的目的，使用默认主机名 pfsense。
域防火墙运行的域名。默认的 home.arpa 用于本教程的目的。
DNS 服务器出于本设置指南的目的，请使用 Google 公共 DNS 服务器（8.8.8.8 和 8.8.4.4）。
笔记： 防火墙默认充当解析器，客户端不会使用这些转发 DNS 服务器。然而，这些服务器为防火墙本身提供了一种方法，以确保在解析默认方法无法正常工作时其具有有效的 DNS。
输入 DNS 服务器信息，然后单击下一步。

使用“时间服务器信息”页面的以下信息：
时间服务器主机名使用默认时间服务器地址。默认主机名适用于 IPv4 和 IPv6 NTP 客户端。
时区为防火墙位置选择一个以地理命名的时区。
对于本指南，时区将设置为美国/芝加哥（美国中部时间）。
更改时区并单击下一步。
使用“配置 WAN 接口”页面的以下信息：
WAN 接口是防火墙用于与 Internet 通信的外部（公共）IP 地址。
DHCP 是默认设置，也是家庭光纤和电缆调制解调器最常见的 WAN 接口类型。
此页面上其他项目的默认设置对于普通家庭用户来说应该是可以接受的。
默认设置应该是可以接受的。点击下一步。

配置 LAN IP 地址和子网掩码。默认 LAN IP 地址 192.168.1.1 和子网掩码 24 通常就足够了。
提示： 如果 WAN 上的 CPE（例如光纤或电缆调制解调器）的默认 IP 地址为 192.168.1.1，则启动前应从 Netgate 1 安全网关上的 4200 端口断开以太网电缆。
在此配置步骤中更改设备的默认 LAN IP 地址，以避免 WAN 和 LAN 上的子网发生冲突。
更改管理员密码。在两个字段中输入相同的新密码。
单击“重新加载”保存配置。
几秒钟后，将出现一条消息，指示安装向导已完成。要进入 pfSense® Plus 仪表板，请单击完成。

笔记： 向导的此步骤还包含一些指向 Netgate 资源的有用链接以及获取产品帮助的方法。在完成向导之前，请务必通读此页面上的项目。

完成
完成或退出向导后，在首次加载仪表板期间，防火墙将显示带有版权和商标声明的通知模式对话框。
阅读并单击“接受”继续访问仪表板。
如果在此配置开始时拔下以太网电缆，请立即将其重新连接到 1 端口。
这样就完成了 Netgate 设备的基本配置。

pfSense Plus 软件结束view
此页面提供了一个结束view pfSense® Plus 仪表板和导航的功能。它还提供了有关如何执行常见任务的信息，例如备份 pfSense® Plus 软件和连接到 Netgate 防火墙控制台。

仪表板 pfSense®
Plus 软件具有高度可配置性，所有这些都可以通过仪表板完成。此方向将有助于导航和进一步配置防火墙。

第 1 部分重要系统信息，例如此 Netgate 防火墙的型号、序列号和 Netgate 设备 ID。
第 2 部分确定安装的 pfSense® Plus 软件版本以及是否有可用更新。
第 3 节介绍 Netgate 服务和支持。
第 4 部分显示各种菜单标题。每个菜单标题都有用于各种配置选择的下拉选项。

重新运行安装向导
要重新运行设置向导，请导航至系统 > 设置向导。

备份和恢复
在更新或进行任何配置更改之前备份防火墙配置非常重要。从页面顶部的菜单中，浏览至诊断 > 备份/恢复。
单击将配置下载为 XML，并将防火墙配置的副本保存到连接到 Netgate 防火墙的计算机。
可以通过选择备份的内容从同一屏幕恢复此备份（或任何备份） file 在恢复配置下。

笔记： 自动配置备份是一项内置服务，位于服务 > 自动配置备份。该服务将保存最多100个加密备份 file每当配置发生更改时，都会自动进行。请访问自动配置备份页面了解更多信息。

连接到控制台
有时需要访问控制台。也许 GUI 控制台访问已被锁定，或者密码已丢失或忘记。

参见：
连接到 USB 控制台端口。需要电缆。
提示： 要了解有关充分利用 Netgate 设备的更多信息，请报名参加 pfSense Plus 软件培训课程或浏览内容丰富的资源库。

更新
当 pfSense Plus 软件有新版本可用时，设备将在系统信息仪表板小部件上指示新版本的可用性。用户也可以通过访问“系统”>“更新”来执行手动检查。
用户可以根据需要从“系统 > 更新”页面发起升级。
更多信息请参见升级指南。

输入和输出端口

背面
Netgate 4200 的背面包含几个用于连接和管理设备的重要项目。

以下项目在图中用圆圈数字标记。 view Netgate 4200 防火墙设备的：

物品	描述
1	电源连接器
2	ACPI 电源按钮（突出）- 正常关机、硬关机（按住 10 秒）、开机
3	重置按钮（凹进式）——执行以下操作时使用恢复出厂设置程序.
4	串行控制台（USB or RJ45)
5	后部状态指示灯
6	网络端口

电源连接器 (1) 电源连接器为 12VDC，带螺纹锁定连接器。空闲时功耗约为13W。
电源按钮 (2) 上部突出的电源按钮的行为与典型的 ACPI 电源按钮相同。
如果设备已开机并正在运行，按下按钮会立即执行正常关机，系统进入待机状态。
如果系统处于关机或待机状态，按下电源按钮会立即打开设备并开始启动过程。
如果系统无响应，按住电源按钮 10 秒将强制关闭设备电源。再次按电源按钮将其重新打开。

重置按钮 (3) 下部凹陷的重置按钮用于执行出厂重置程序。
按下并立即释放按钮没有任何效果，它不会执行硬件重置。
有关如何使用该按钮执行恢复出厂设置的详细信息，请参阅恢复出厂设置过程。
串行控制台端口 (4) 客户端可以使用 USB Micro-B（5 针）串行适配器端口和兼容的 USB 电缆或通过 RJ45“Cisco”型端口（使用单独的电缆和 USB 串行适配器或客户端）访问串行控制台硬件端口。

笔记： 一次只能使用一种类型的控制台连接，并且 RJ45 控制台连接具有优先权。如果两个端口都连接，则仅 RJ45 控制台端口起作用。

笔记： 操作系统中的串行控制台是内存映射串行端口，而不是传统的 COM 端口。 pfSense® Plus 自动检测并使用该设备的正确控制台类型。

笔记： RJ45 串行控制台端口仅适用于串行控制台。它不能用于任何其他目的。
状态 LED (5) 后部状态 LED 显示与设备前面的状态 LED 相同的输出。
有关解释不同 LED 状态含义的信息，请参阅状态 LED。
网络端口 (6) 这组四个端口是网络接口。它们将在下一节“网络端口”中详细解释。

网络端口
设备背面的部分在 Rear 中编号为 6 view Netgate 4200 防火墙设备的包含网络接口。这些端口在设备上标记为 1 到 4。

标签	指定名称	设备名称	类型	速度
1	端口1WAN	IGC3	RJ-45	2.5 Gbps
2	端口2LAN	IGC2	RJ-45	2.5 Gbps
3	端口3	IGC1	RJ-45	2.5 Gbps
4	端口4	IGC0	RJ-45	2.5 Gbps

笔记： 该设备上的 igc(4) 网络接口不支持固定速度操作。这些接口通过将自动协商期间提供的值限制为在 GUI 中选择的速度/双工值来模拟速度/双工选择。
将不同设备连接到这些接口时，对等设备通常应设置为自动协商，而不是特定的速度或双工值。例外情况是，如果对等接口具有相同的限制，在这种情况下，两个对等方应选择相同的协商速度。

正面
该设备的正面有状态 LED 以及供将来扩展使用的检修面板。

右侧

设备的右侧面板（面向前方时）包含：

#	描述	目的
1	USB 3.0 端口	连接 USB 设备

USB 端口
设备上的 USB 端口可用于多种用途。
USB 端口的主要用途是在设备上安装或重新安装操作系统。除此之外，还有许多 USB 设备可以扩展硬件的基本功能，包括一些附加包支持的设备。对于前amp文件、UPS/电池备份、蜂窝调制解调器、GPS 装置和存储设备。尽管操作系统还支持有线和无线网络设备，但这些设备并不理想，应避免使用。

状态指示灯
Netgate 4200 有两组状态 LED：一组位于设备正面，一组位于设备背面。前面的状态 LED 呈水平排列，而后面的 LED 则垂直排列。尽管位置不同，但两组的标签一致。

LED 图案

描述	LED 图案
支持	圆脉动橙色
启动过程中	钻石闪烁蓝色
启动完成/准备就绪	钻石纯蓝
可升级	方形实心紫色
正在升级	全部呈绿色快速闪烁
触发复位	圆形、方形，然后是菱形纯红色（恢复出厂设置程序)
重置正在进行中	全部快速闪烁红色（恢复出厂设置程序)

安全和法律

安全注意事项

阅读、遵循并保留这些说明。
注意所有警告。
仅使用制造商指定的附件/配件。

警告： 请勿在可能被水淹没的地方使用本产品。

警告： 请勿在雷雨天气使用本产品，以免触电。

电气安全信息

需要遵守voltage、频率和制造商标签上标明的电流要求。如果不遵守限制，连接到与指定电源不同的电源可能会导致操作不当、设备损坏或造成火灾危险。
本设备内没有操作员可维修的部件。维修只能由合格的维修技术人员进行。

本设备配有可拆卸电源线，该电源线具有一体式安全接地线，用于连接接地的安全插座。
- 请勿使用非所提供的认可类型的电源线替换电源线。如果提供了 3 插脚插头，切勿使用适配器插头连接到 2 线插座，因为这会破坏接地线的连续性。
- 该设备需要使用接地线作为安全认证的一部分，修改或误用可能会产生电击危险，从而导致严重伤害甚至死亡。
- 如果在连接设备之前对安装有任何疑问，请联系合格的电工或制造商。
- 保护接地由列出的交流适配器提供。建筑安装应提供适当的短路后备保护。
- 必须按照当地国家布线规则和规定安装保护接地。
  警告：为了帮助保护您的 Netgate 设备免受电力突然、瞬态增加和减少的影响，请使用浪涌抑制器、线路调节器、不间断电源 (UPS) 或这些设备的组合。
  如果不采取此类预防措施，可能会导致 Netgate 设备过早出现故障和/或损坏，而这种情况不在产品保修范围内。此类事件还可能存在触电、火灾或爆炸的危险。

FCC 合规性
未经合规负责方明确批准的更改或修改可能会使用户失去操作该设备的权限。本设备符合 FCC 规则第 15 部分的规定。操作需遵守以下两个条件：

本设备不得造成有害干扰，并且
本设备必须承受任何收到的干扰，包括可能导致不良操作的干扰。

笔记： 本设备经过测试，符合 FCC 规则第 15 部分对 B 类数字设备的限制。这些限制旨在提供合理的保护，防止设备在住宅环境中运行时产生有害干扰。

加拿大工业部
该 B 类数字设备符合加拿大 ICES-3(B) 标准。 Cet Appareil numérique de la classe B est conme
符合加拿大 NMB-3(B) 标准。
1.5.5 澳大利亚和新西兰
这是 AMC 合规性 2 级产品。本产品适用于家庭环境。

CE 标志
本产品上的 CE 标志代表该产品符合所有适用于它的指令。

RoHS/WEEE 合规声明

欧盟指令 2002/96/EC 规定，产品和/或其包装上带有此符号的设备不得与未分类的城市垃圾一起处理。该符号表示该产品应与普通家庭垃圾分开处理。您有责任通过政府或地方当局指定的指定收集设施处理此设备和其他电气和电子设备。正确的处理和回收将有助于防止对环境和人类健康造成潜在的负面影响。有关旧设备处理的详细信息，请联系当地政府、废物处理服务机构或您购买产品的商店。

争议
以任何方式与您使用任何产品/服务或 RCL 或 ESF 销售或分销的任何产品或服务相关的任何争议或索赔将通过德克萨斯州奥斯汀市的有约束力的仲裁解决，而不是在法庭上解决。《联邦仲裁法》和联邦仲裁法适用于本协议。

仲裁中没有法官或陪审团，法院也没有VIEW 仲裁裁决的数额是有限的。但是，仲裁员可以根据个人情况裁定与法院相同的损害赔偿和救济（包括禁令性和宣告性救济或法定损害赔偿），并且必须像法院一样遵守这些使用条款和条件的条款。
要开始仲裁程序，您必须发送一封请求仲裁的信函并向以下人员描述您的索赔：

Rubicon 通讯有限责任公司
收件人：法律部
西霍华德巷 4616 号，900 室
德克萨斯州奥斯汀 78728
legal@netgate.com
仲裁将由美国仲裁协会（AAA）根据其规则进行。 AAA 的规则可在以下网址获取： www.adr.org 上找到。。所有申请费、管理费和仲裁员费的支付均受 AAA 规则的约束。
我们双方同意，任何争议解决程序将仅在个人基础上进行，而不是在集体、联合或代表诉讼中进行。我们还同意您或我们可以向法院提起诉讼，以禁止侵犯或以其他方式滥用知识产权。

适用法律
使用任何产品/服务，即表示您同意联邦仲裁法、适用的联邦法律和德克萨斯州法律（不考虑法律冲突原则）将管辖这些使用条款和条件以及任何争议您与 RCL 和/或 ESF 之间可能出现的问题。与这些条款和条件或 RCL 和/或 ESF 使用相关的任何索赔或诉讼理由 web必须在索赔或诉因发生后一 (1) 年内提交现场。因双方关系、本条款和条件或 RCL 和/或 ESF 引起或与之相关的任何争议或索赔的专属管辖权和审判地 web地点，应位于德克萨斯州奥斯汀的仲裁员和/或法院。仲裁员的判决可由位于德克萨斯州奥斯汀的法院或对您有管辖权的任何其他法院执行。

网站政策、修改和可分割性
请重新view 我们的其他政策，例如我们的定价政策，发布在我们的 web网站。这些政策还管理您对产品/服务的使用。我们保留随时更改我们的网站、政策、服务条款以及这些使用条款和条件的权利。

各种各样的
如果这些使用条款和条件或我们的销售条款和条件的任何规定被认定为无效、作废或不可执行，则该无效、作废或不可执行的规定应在必要的最小范围内进行修改，以使其有效或可执行并符合这些条款和条件的意图。如果无法进行此类修改，则无效或不可执行的条款应被切断，其余条款和条件应按书面形式执行。标题仅供参考，绝不定义、限制、解释或描述该部分的范围或范围。我们未能对您或其他人的违规行为采取行动并不意味着我们放弃对后续或类似违规行为采取行动的权利。这些条款和条件阐述了我们之间关于本协议标的物的完整理解和协议，并取代之前与之相关的任何口头或书面协议，除非上文所述这些条款和条件与我们的经销商协议之间存在任何冲突，如果后者适用于您。

有限保修

免责声明和责任限制
产品/服务以及所有信息、内容、材料、产品（包括
软件）以及产品/服务中包含的或通过产品/服务向您提供的其他服务均由我们按“原样”和“现有”基础提供，除非另有书面说明。对于产品/服务的操作，或者产品中包含的或通过产品向您提供的信息、内容、材料、产品（包括软件）或其他服务，我们不作任何形式的明示或暗示的陈述或保证/服务，除非另有书面规定。您明确同意自行承担使用产品/服务的风险。

在适用法律允许的最大范围内，RUBICON COMMUNICATIONS, LLC (RCL) 和 Electric Sheep Fencing (ESF) 不承担所有明示或默示的保证，包括但不限于适销性和特定用途适用性的默示保证。 RCL 和 ESF 不保证产品/服务、RCL 或 ESF 的服务器或从 RCL 发送的电子通信中包含的或通过其他方式向您提供的产品/服务、信息、内容、材料、产品（包括软件）或其他服务或 ESF 不含病毒或其他有害成分。 RCL 和 ESF 对因使用任何产品/服务，或因包含在或通过其他方式向您提供的任何信息、内容、材料、产品（包括软件）或其他服务而造成的任何损害不承担任何责任。产品/服务，包括但不限于直接、间接、附带、惩罚性和后果性损害，除非另有书面规定。
在任何情况下，RCL 或 ESF 对您承担的责任均不会超过作为索赔依据的产品或服务的购买价格。
某些州法律不允許免除某些擔保責任或者限制或免除某些損害賠償責任。如這些法律對您適用，則上述某些或所有免責聲明、排除或限制可能對您不適用，而您也可能擁有額外權利。

操作指南

连接到 USB 控制台端口
本指南介绍如何访问串行控制台，该控制台可用于故障排除和诊断任务以及一些基本配置。
有时需要直接访问控制台。也许 GUI 或 SSH 访问已被锁定，或者密码已丢失或忘记。

安装驱动程序

Silicon Labs CP210x USB 转 UART 桥驱动程序用于提供对控制台的访问，该控制台通过设备上的 USB Micro-B（5 针）端口公开。
如果需要，请在用于连接设备的工作站上安装适当的 Silicon Labs CP210x USB 转 UART 桥驱动程序。

视窗
有适用于 Windows 的驱动程序可供下载。

macOS
有适用于 macOS 的驱动程序可供下载。
对于 macOS，请选择 CP210x VCP Mac 下载。

Linux
有适用于 Linux 的驱动程序可供下载。

FreeBSD
最新版本的 FreeBSD 包含此驱动程序，不需要手动安装。

连接 USB 电缆
接下来，找到一根合适的 USB 电缆，该电缆一端有 USB Micro-B（5 针）连接器，另一端有常规 USB A 型插头。这些电缆通常用于较小的 USB 外围设备，例如 GPS 装置、相机等。
轻轻地将 USB Micro-B（5 针）插头端推入设备上的控制台端口，并将 USB A 型插头连接至工作站上的可用 USB 端口。

提示： 请务必轻轻地将设备侧的 USB Micro-B（5 针）连接器完全推入。对于大多数电缆，当电缆完全接合时，都会发出明显的“咔嗒”声、“咔哒”声或类似指示。

给设备通电
在某些设备上，当使用 USB 串行控制台端口时，在设备插入电源之前，串行端口不会出现在客户端操作系统上。
如果客户端操作系统看不到串行设备，请将电源线连接到设备以允许其开始引导。
如果设备出现断电情况，那么最好等到终端打开后再连接电源，以便客户端可以 view 整个启动输出。

找到控制台端口设备
在尝试连接到控制台之前，必须找到工作站指定为串行端口的相应控制台端口设备。
笔记： 即使在 BIOS 中分配了串行端口，工作站操作系统也可能会将其重新映射到不同的 COM 端口。

视窗
要在 Windows 上找到设备名称，请打开设备管理器并展开端口（COM 和 LPT）部分。
查找标题为“Silicon Labs CP210x USB to UART Bridge”的条目。如果名称中存在包含“COMX”的标签，其中 X 是十进制数字（例如 COM3），则该值将用作终端程序中的端口。

macOS
与系统控制台关联的设备可能显示为 /dev/cu.usbserial- 或以 /dev/cu.usbserial- 开头。
从终端提示符运行 ls -l /dev/cu.* 以查看可用 USB 串行设备列表并找到适合该硬件的设备。如果有多个设备，则正确的设备可能是具有最近时间的设备amp 或最高 ID。

Linux
与系统控制台关联的设备可能显示为 /dev/ttyUSB0。在系统日志中查找有关连接设备的消息 files 或运行 dmesg。
注意：如果该设备没有出现在 /dev/ 中，请参阅上面驱动程序部分中有关手动加载 Linux 驱动程序的说明，然后重试。

FreeBSD
与系统控制台关联的设备可能显示为 /dev/cuaU0。在系统日志中查找有关连接设备的消息 files 或运行 dmesg。
笔记： 如果串行设备不存在，请确保该设备已通电，然后再次检查。

启动终端程序
使用终端程序连接到系统控制台端口。终端程序的一些选择：

视窗
对于 Windows，最佳实践是在 Windows 或 SecureCRT 中运行 PuTTY。前任amp下面是如何配置 PuTTY 的文件。

警告： 不要使用超级终端。

macOS
对于 macOS，最佳实践是运行 GNU screen 或 cu。前任amp下面是如何配置 GNU 屏幕的文件。
Linux
对于 Linux，最佳实践是在 Linux 中运行 GNU screen、PuTTY、minicom 或 dterm。前任amp下面是如何配置 PuTTY 和 GNU 屏幕的文件。
FreeBSD
对于 FreeBSD，最佳实践是运行 GNU screen 或 cu。前任amp下面是如何配置 GNU 屏幕的文件。

客户特定 Examp莱斯

Windows 中的 PuTTY

打开 PuTTY 并选择左侧“类别”下的“会话”。
将连接类型设置为串行
将串行线路设置为之前确定的控制台端口
将速度设置为 115200 位每秒。
点击打开按钮

PuTTY 随后将显示控制台。

Linux 中的 PuTTY

通过键入 sudo putty 从终端打开 PuTTY
笔记： sudo 命令将提示输入当前帐户的本地工作站密码。

将连接类型设置为串行
将串行线设置为 /dev/ttyUSB0
将速度设置为 115200 位每秒
点击打开按钮

PuTTY 随后将显示控制台。

GNU 屏幕
在许多情况下，只需使用正确的命令行即可调用屏幕，其中是位于上面的控制台端口。

笔记： sudo 命令将提示输入当前帐户的本地工作站密码。

如果文本的某些部分不可读，但格式似乎正确，则最有可能的原因是终端中的字符编码不匹配。将 -U 参数添加到屏幕命令行参数会强制其使用 UTF-8 进行字符编码：

终端设置

终端程序中使用的设置是：

速度 115200 波特，BIOS 的速度
数据位 8
奇偶校验无
停止位 1
流量控制关闭或 XON/OFF。

警告： 必须禁用硬件流控制 (RTS/CTS)。

终端优化

除了所需的设置之外，终端程序中还有其他选项，这些选项将有助于输入行为和输出渲染，以确保最佳体验。这些设置因客户端的位置和支持而异，并且可能不适用于所有客户端或终端。

这些都是：

终端类型 xterm
此设置可能位于终端、终端仿真或类似区域下。
颜色支持 ANSI 颜色/256 色/ANSI 256 色
此设置可能位于终端仿真、窗口颜色、文本、高级术语信息或类似区域下。

字符集/字符编码 UTF-8
此设置可能位于“终端外观”、“窗口翻译”、“高级国际”或类似区域下。在 GNU 屏幕中，这是通过传递 -U 参数来激活的。
线条绘制查找并启用“以图形方式绘制线条”、“使用 unicode 图形字符”和/或“使用 Unicode 线条绘制代码点”等设置。
这些设置可能位于“终端外观”、“窗口翻译”或类似区域下。
功能键/键盘 Xterm R6
在 Putty 中，它位于“终端”>“键盘”下，并标记为“功能键和小键盘”。

字体为了获得最佳体验，请使用现代等宽 unicode 字体，例如 Deja Vu Sans Mono、Liberation Mono、Monaco、Consolas、Fira Code 或类似字体。
此设置可能位于“终端外观”、“窗口外观”、“文本”或类似区域下。

下一步是什么？
连接终端客户端后，可能不会立即看到任何输出。这可能是因为设备已经完成启动，或者设备正在等待某些其他输入。
如果设备尚未通电，请将其插入并监控终端输出。
如果设备已开机，请尝试按空格键。如果仍然没有输出，请按 Enter。如果设备已启动，它可能会重新显示控制台菜单或登录提示，或产生指示其状态的其他输出。
从控制台可以进行多种操作，例如更改接口地址。 pfSense 软件文档中有每个控制台菜单选项的完整说明。

故障排除

串行设备丢失
对于 USB 串行控制台，客户端操作系统中可能不存在串行端口的原因有多种，包括：

无电源 某些型号需要先通电，然后客户端才能连接到 USB 串行控制台。
USB 电缆未插入 对于 USB 控制台，USB 电缆两端可能未完全接合。轻轻但牢固地确保电缆两侧连接良好。
USB 电缆损坏某些 USB 电缆不适合用作数据电缆。对于前amp例如，有些电缆只能为充电设备提供电力，而不能充当数据电缆。其他的可能质量低劣或者连接器质量差或磨损。
理想的电缆是设备附带的电缆。如果失败，请确保电缆的类型和规格正确，并尝试多根电缆。
设备错误 在某些情况下，可能有多个可用的串行设备。确保串口客户端使用的串口号是正确的。有些设备暴露多个端口，因此使用不正确的端口可能会导致无输出或意外输出。

硬件故障 可能存在硬件故障，导致串行控制台无法工作。请联系 Netgate TAC 寻求帮助。

无串行输出

如果根本没有输出，请检查以下项目：

USB 电缆未插入 对于 USB 控制台，USB 电缆两端可能未完全接合。轻轻但牢固地确保电缆两侧连接良好。
设备错误 在某些情况下，可能有多个可用的串行设备。确保串口客户端使用的串口号是正确的。有些设备暴露多个端口，因此使用不正确的端口可能会导致无输出或意外输出。

终端设置错误 确保终端程序配置为正确的速度。默认 BIOS 速度为 115200，许多其他现代操作系统也使用该速度。
某些较旧的操作系统或自定义配置可能使用较慢的速度，例如 9600 或 38400。
设备操作系统串行 控制台设置 确保操作系统配置为正确的控制台（例如 Linux 中的 ttyS1）。有关详细信息，请参阅本网站上的各种操作安装指南。

PuTTY 画线有问题

PuTTY 通常可以正常处理大多数情况，但在某些平台上绘制线条字符时可能会出现问题。
这些设置似乎效果最好（在 Windows 上测试）：

窗户
- 列×行80×24
窗口 > 外观
- 字体 Courier New 10pt 或 Consolas 10pt
窗口 > 翻译
- 远程字符集使用字体编码或 UTF-8
- 处理画线字符在 ANSI 和 OEM 模式下使用字体或使用 Unicode 画线代码点

窗口 > 颜色
通过更改颜色来指示粗体文本

串行输出乱码
如果串行输出出现乱码、丢失字符、二进制或随机字符，请检查以下项目：

流量控制 在某些情况下，流量控制可能会干扰串行通信，导致字符丢失或其他问题。禁用客户端中的流量控制可能会纠正此问题。
在 PuTTY 和其他 GUI 客户端上，通常有一个用于禁用流量控制的每个会话选项。在 PuTTY 中，流量控制选项位于设置树中的“连接”和“串行”下。
要在 GNU Screen 中禁用流量控制，请在串行速度后添加 -ixon 和/或 -ixoff 参数，如下例所示amp乐：

终端速度 确保终端程序配置为正确的速度。（参见无串行输出）
字符编码 确保终端程序配置为正确的字符编码，例如 UTF-8 或 Latin-1，具体取决于操作系统。（参见 GNU 屏幕）

BIOS 后串行输出停止
如果 BIOS 显示串行输出但随后停止，请检查以下项目：

终端速度 确保终端程序配置为适合已安装操作系统的正确速度。
（参见无串行输出）
设备操作系统串行 控制台设置确保已安装的操作系统配置为激活串行控制台，并且配置为正确的控制台（例如 Linux 中的 ttyS1）。有关详细信息，请参阅本网站上的各种操作安装指南。
可启动媒体 如果从 USB 闪存驱动器启动，请确保该驱动器写入正确并且包含可启动的操作系统映像。

连接到RJ45控制台端口

有时需要直接访问控制台。也许 GUI 或 SSH 访问已被锁定，或者
密码丢失或忘记。
使用 RJ45 串行端口在计算机和防火墙之间建立连接需要单独的适配器。
这可以是直接 RJ45 转 USB 串行适配器或标准 USB 转串行适配器和 RJ45 转 DB9 适配器或电缆。还可以利用客户端硬件串行端口和兼容电缆，但这些端口在现代硬件上很少见。
这些是标准组件，价格便宜，并且可以从大多数销售计算机电缆的零售店轻松获得。
安装驱动程序和定位端口将根据第三方设备而有所不同，请参阅其文档了解详细信息。

启动终端程序

使用终端程序连接到系统控制台端口。终端程序的一些选择：

视窗
对于 Windows，最佳实践是在 Windows 或 SecureCRT 中运行 PuTTY。前任amp下面是如何配置 PuTTY 的文件。

警告： 不要使用超级终端。

macOS
对于 macOS，最佳实践是运行 GNU screen 或 cu。前任amp下面是如何配置 GNU 屏幕的文件。

Linux
对于 Linux，最佳实践是在 Linux 中运行 GNU screen、PuTTY、minicom 或 dterm。前任amp下面是如何配置 PuTTY 和 GNU 屏幕的文件。

FreeBSD
对于 FreeBSD，最佳实践是运行 GNU screen 或 cu。前任amp下面是如何配置 GNU 屏幕的文件。

客户特定的Examp莱斯

Windows 中的 PuTTY

打开 PuTTY 并选择左侧“类别”下的“会话”。
将连接类型设置为串行
将串行线路设置为之前确定的控制台端口
将速度设置为 115200 位每秒。
点击打开按钮

PuTTY 随后将显示控制台。

Linux 中的 PuTTY

通过键入 sudo putty 从终端打开 PuTTY

笔记： sudo 命令将提示输入当前帐户的本地工作站密码。

将连接类型设置为串行
将串行线设置为 /dev/ttyUSB0
将速度设置为 115200 位每秒
点击打开按钮

PuTTY 随后将显示控制台。

GNU 屏幕

在许多情况下，只需使用正确的命令行即可调用屏幕，其中是位于上面的控制台端口。

要在 GNU Screen 中禁用流量控制，请在后面添加 -ixon 和/或 -ixoff 参数

终端设置

终端程序中使用的设置是：

速度 115200 波特，BIOS 的速度
数据位 8
奇偶校验无
停止位 1
流量控制关闭或 XON/OFF。

警告： 必须禁用硬件流控制 (RTS/CTS)。

终端优化
除了所需的设置之外，终端程序中还有其他选项，这些选项将有助于输入行为和
输出渲染，保证最佳体验。这些设置因客户端的位置和支持而异，并且可能不
在所有客户端或终端中可用。

这些都是：

终端类型 xterm
此设置可能位于终端、终端仿真或类似区域下。
颜色支持 ANSI 颜色/256 色/ANSI 256 色
此设置可能位于终端仿真、窗口颜色、文本、高级术语信息或类似区域下。
字符集/字符编码 UTF-8
此设置可能位于“终端外观”、“窗口翻译”、“高级国际”或类似区域下。在 GNU 屏幕中，这是通过传递 -U 参数来激活的。

线描查找并启用“以图形方式绘制线条”、“使用 unicode 图形字符”和/或“使用 Unicode 线条绘制代码点”等设置。
这些设置可能位于“终端外观”、“窗口翻译”或类似区域下。
功能键/键盘 Xterm R6
在 Putty 中，它位于“终端”>“键盘”下，并标记为“功能键和小键盘”。
字体为了获得最佳体验，请使用现代等宽 unicode 字体，例如 Deja Vu Sans Mono、Liberation
Mono、Monaco、Consolas、Fira Code 或类似代码。
此设置可能位于“终端外观”、“窗口外观”、“文本”或类似区域下。

下一步是什么？

连接终端客户端后，可能不会立即看到任何输出。这可能是因为设备已经完成启动，或者设备正在等待某些其他输入。
如果设备尚未通电，请将其插入并监控终端输出。
如果设备已开机，请尝试按空格键。如果仍然没有输出，请按 Enter。如果设备已启动，它可能会重新显示控制台菜单或登录提示，或产生指示其状态的其他输出。
从控制台可以进行多种操作，例如更改接口地址。 pfSense 软件文档中有每个控制台菜单选项的完整说明。

故障排除

串行设备丢失

对于 USB 串行控制台，客户端操作系统中可能不存在串行端口的原因有多种，包括：

无电源 某些型号需要先通电，然后客户端才能连接到 USB 串行控制台。
USB 电缆未插入 对于 USB 控制台，USB 电缆两端可能未完全接合。轻轻但牢固地确保电缆两侧连接良好。
USB 线有些坏 USB 电缆不适合用作数据电缆。对于前amp例如，有些电缆只能为充电设备提供电力，而不能充当数据电缆。其他的可能质量低劣或者连接器质量差或磨损。
理想的电缆是设备附带的电缆。如果失败，请确保电缆的类型和规格正确，并尝试多根电缆。
错误的设备在某些情况下，可能有多个可用的串行设备。确保串口客户端使用的串口号是正确的。有些设备暴露多个端口，因此使用不正确的端口可能会导致无输出或意外输出。
硬件故障 可能存在硬件故障，导致串行控制台无法工作。请联系 Netgate TAC 寻求帮助。

无串行输出

如果根本没有输出，请检查以下项目：

USB 电缆未插入 对于 USB 控制台，USB 电缆两端可能未完全接合。轻轻但牢固地确保电缆两侧连接良好。
设备错误 在某些情况下，可能有多个可用的串行设备。确保串口客户端使用的串口号是正确的。有些设备暴露多个端口，因此使用不正确的端口可能会导致无输出或意外输出。
终端设置错误 确保终端程序配置为正确的速度。默认 BIOS 速度为 115200，许多其他现代操作系统也使用该速度。
某些较旧的操作系统或自定义配置可能使用较慢的速度，例如 9600 或 38400。
设备操作系统串行控制台 设置确保操作系统配置为正确的控制台（例如 Linux 中的 ttyS1）。有关详细信息，请参阅本网站上的各种操作安装指南。

PuTTY 画线有问题
PuTTY 通常可以正常处理大多数情况，但在某些平台上绘制线条字符时可能会出现问题。
这些设置似乎效果最好（在 Windows 上测试）：

窗户
- 列×行80×24
窗口 > 外观
- 字体 Courier New 10pt 或 Consolas 10pt
窗口 > 翻译
- 远程字符集使用字体编码或 UTF-8
- 处理画线字符在 ANSI 和 OEM 模式下使用字体或使用
  Unicode 画线码位
窗口 > 颜色
- 通过更改颜色来指示粗体文本

串行输出乱码

如果串行输出出现乱码、丢失字符、二进制或随机字符，请检查以下项目：
流量控制在某些情况下，流量控制可能会干扰串行通信，导致字符丢失或其他问题。禁用客户端中的流量控制可能会纠正此问题。
在 PuTTY 和其他 GUI 客户端上，通常有一个用于禁用流量控制的每个会话选项。在 PuTTY 中，流量控制选项位于设置树中的“连接”和“串行”下。
要在 GNU Screen 中禁用流量控制，请在串行速度后添加 -ixon 和/或 -ixoff 参数，如下例所示amp乐：

终端速度 确保终端程序配置为正确的速度。（参见无串行输出）
字符编码 确保终端程序配置为正确的字符编码，例如 UTF-8 或 Latin-1，具体取决于操作系统。（参见 GNU 屏幕）

BIOS 后串行输出停止
如果 BIOS 显示串行输出但随后停止，请检查以下项目：

终端速度 确保终端程序配置为适合已安装操作系统的正确速度。
（参见无串行输出）
设备操作系统串行控制台设置 确保已安装的操作系统配置为激活串行控制台，并且配置为正确的控制台（例如 Linux 中的 ttyS1）。有关详细信息，请参阅本网站上的各种操作安装指南。
可启动媒体 如果从 USB 闪存驱动器启动，请确保该驱动器写入正确并且包含可启动的操作系统映像。

重新安装 pfSense Plus 软件

请打开 TAC 票证，通过选择“固件访问”作为“常规”来请求访问 Plus 固件
问题，然后选择 Netgate 4200 作为平台。请务必在票证中包含序列号，以加快访问速度。
处理票证后，最新稳定版本的固件将附加到票证上，名称如下：pfSense-plus-memstick-serial-23.09.1-RELEASE-amd64.img.gz
笔记： pfSense® Plus 预装在 Netgate 设备上，该设备针对 Netgate 硬件进行了优化调整，并包含其他地方找不到的功能，例如 ZFS 引导环境、OpenVPN DCO 和 AWS VPC 向导。
将图像写入 USB 记忆棒。
参见：
写入闪存驱动器中详细介绍了找到图像并将其写入 USB 记忆棒的方法。
连接到 Netgate 设备的控制台端口。
将记忆棒插入右侧的 USB 端口并启动系统。
等待 BIOS 提示符出现。
按 Esc 进入 BIOS。
使用左/右箭头键选择“保存并退出”标题。
使用向上/向下箭头键进入引导覆盖部分。
选择 USB 记忆棒的条目
该条目可能位于列表底部或附近。条目的名称因 USB 记忆棒的品牌/品牌/型号而异。
一分钟后，pfSense® Plus 加载程序菜单将显示，并带有 3 秒计时器。要么让菜单超时，要么按 1（默认）继续。
选择安装程序为串行控制台安装提供的控制台类型选项之一。
正确配置终端的最佳选择是 xterm。选择与串行客户端最兼容的正确控制台输出。
笔记： 在这些选择中，vt100 是兼容最广泛的类型，但它在显示输出方面也受到限制。 xterm 选项在 GNU 屏幕和许多流行的现代客户端和终端上呈现最佳效果。
阅读安装程序显示的版权和分发声明。按 Enter 接受协议条款。
安装程序将自动启动并显示几个选项。在 Netgate 防火墙上，在每个屏幕上选择 Enter 作为默认选项将完成安装过程。一个例外是可能需要按空格键才能选择正确的目标磁盘。
笔记： 如果需要，可以通过此安装修改磁盘分区类型等选项。
参见：
有关此过程中可用选项的更多信息，请参阅安装演练。
提示： 如果此设备上已有安装，则“恢复 config.xml”选项将尝试挂载现有安装驱动器并复制以前的配置，包括 SSH 密钥。首先选择该选项，然后照常进行安装。
如果提示清理多个相同的启动项，请选择“是”并按 Enter 键。
然后安装程序将提示重新启动。选择重新启动并按 Enter。设备将关闭并重新启动。
从 USB 端口拔下 USB 驱动器。
重要的： 如果 USB 驱动器仍然连接，系统可能会再次引导至安装程序。
参见：
有关从以前保存的配置恢复的信息，请转至备份和恢复。
警告： 如果此设备包含多个磁盘，例如将 SSD 添加到以前使用 MMC 的现有系统时，可能需要执行其他步骤来确保设备从正确的磁盘启动并使用正确的磁盘。此外，在不同磁盘上单独安装软件也是已知的问题根源。
例如amp文件，内核可以从一个磁盘启动，而根 file系统是从另一个系统加载的，或者它们可能包含冲突的 ZFS 池。
在某些情况下，可以调整 BIOS 引导顺序以首选新磁盘，但最佳做法是擦除旧磁盘，以消除先前安装导致引导问题或冲突的任何可能性。
有关如何擦除旧磁盘的信息，请参阅多磁盘引导问题。

将 OPT 接口配置为附加 WAN
本指南将 OPT 端口配置为附加 WAN 类型接口。这些接口连接到上游网络，提供与互联网或其他远程目的地的连接。

参见：

多 WAN 文档

配置额外的 WAN

要求
分配接口
接口配置
出站 NAT
防火墙规则
网关组
DNS
设置策略路由
动态 DNS
VPN 注意事项
测试

要求

本指南假设底层接口已经存在（例如物理端口、VLAN 等）。
开始之前必须了解 WAN 配置类型和设置。对于前amp在文件中，这可能是静态地址的 IP 地址、子网掩码和网关值或 PPPoE 的凭据。

分配接口

导航至接口 > 分配
查看当前任务列表。如果相关接口已分配，则无需执行任何操作。向前跳到接口配置。
在可用网络端口中选择可用接口
如果没有可用的接口，则可能需要以其他方式（例如 VLAN）进行设置。
点击添加
防火墙将分配与内部接口名称相对应的下一个可用 OPT 接口编号。
例如amp例如，如果当前没有 OPT 接口，则新接口将为 OPT1。接下来是OPT2，依此类推。
笔记： 由于本指南不知道给定配置上的该编号是多少，因此该接口通常称为 OPTx。
新分配的接口将在“接口”菜单下和 GUI 中的其他位置有自己的条目。

接口配置
必须启用并配置新接口。

导航至接口 > OPTx
勾选启用接口
在描述中设置自定义名称，例如广域网2
设置静态 IP 地址和 CIDR，或 DHCP/PPPoE/等。
参见：
IPv4 配置类型
如果这是静态 IP 地址 WAN，则创建网关：
- 点击添加新网关
- 配置网关如下：
  - 默认检查此新 WAN 是否应作为默认网关。
  - 网关名称将其命名为与接口相同的名称（例如 WAN2）或其变体。
  - 网关 IPv4 同一子网内网关的 IPv4 地址。
  - 说明描述网关用途的可选文本。
- 点击添加
- 确保选择新网关作为 IPv4 上游网关
检查阻止专用网络
这将阻止接口上的专用网络流量，但如果该 WAN 的防火墙规则不允许，则这可能是不必要的。
检查阻止 bogon 网络
这将来自接口上的虚假或未分配网络的流量，但如果该 WAN 的防火墙规则不允许，则这可能是不必要的。
点击“保存”
单击“应用更改”

接口配置中所选网关的存在会导致防火墙将该接口视为 WAN 类型接口。如上所述，这对于静态配置是手动的，但对于动态 WAN（例如 DHCP、PPPoE）是自动的。
防火墙将出站 NAT 应用于退出 WAN 类型接口的流量，但不使用 WAN 类型接口网络作为其他接口上的出站 NAT 的源。 WAN 类型接口上的防火墙规则会添加回复，以确保进入 WAN 的流量离开同一 WAN，并且离开该接口的流量被推向其网关。
如果没有手动 ACL 条目，DNS 解析器将不会接受来自 WAN 类型接口上的客户端的查询。
参见：
接口配置

出站 NAT
为了使本地接口上的客户端通过此 WAN 从专用地址到达 Internet，防火墙必须对离开此新 WAN 的流量应用出站 NAT。

导航到防火墙 > NAT、出站选项卡
查看当前出方向NAT模式
如果模式设置为自动或混合，则可能不需要进一步配置。确保在页面底部的自动规则中将 newWAN 的规则列为接口。如果是这样，请跳至下一部分。
如果模式设置为手动，请创建一个或一组新规则以覆盖新的 WAN。

如果映射表中存在现有规则，则可以复制并调整它们以使用新的 WAN。否则，手动创建它们：

点击在列表顶部添加新规则。
配置规则如下：
- 接口选择新的 WAN 接口（例如 WAN2）
- 地址族 IPv4
- 协议任意
- 源网络，填写 LAN 子网，例如192.168.1.0/24。
  如果有多个 LAN 子网，请为每个子网创建规则或使用其他方法（例如别名或 CIDR 汇总）来覆盖所有子网。
- 目的地任意
- 翻译地址接口地址
- 描述描述规则的文本，例如WAN2 上的 LAN 出站
点击“保存”
单击“应用更改”
根据需要对其他 LAN 重复此操作。

防火墙规则

默认情况下，新接口上没有规则，因此防火墙将阻止所有流量。这对于 WAN 来说是理想的选择，因此可以安全地保持原样。在新 WAN 上添加服务（例如 VPN）可能需要规则，但应根据具体情况进行处理。

警告： 不要在任何 WAN 上添加任何一揽子“允许所有”样式的规则。

网关组
网关组不直接控制流量，但可以在其他地方使用，例如防火墙规则和服务绑定，以影响这些区域如何使用网关。
对于大多数场景，首先创建三个网关组会有所帮助：PreferWAN、PreferWAN2 和 LoadBalance：

导航到系统 > 路由、网关组选项卡
点击添加创建新网关组
配置组如下：
- 组名称 PreferWAN
- 网关第 1 层 WAN 和第 2 层 WAN2 的优先网关
- 描述优先选择 WAN，不选择 WAN2
点击“保存”
点击添加以创建另一个网关组
配置组如下：
- 组名称 PreferWAN2
- 网关第 2 层 WAN 和第 2 层 WAN1 的优先网关
- 描述优先选择 WAN2，不选择 WAN
点击“保存”
点击添加以创建另一个网关组
配置组如下：
- 组名称负载均衡
- 第 2 层 WAN 和 WAN1 的网关优先级网关
- 描述优先选择 WAN2，不选择 WAN
点击“保存”
单击“应用更改”
现在将默认网关设置为故障转移组：
导航到系统 > 路由、网关选项卡
将默认网关 IPv4 设置为 PreferWAN
点击“保存”
单击“应用更改”
笔记： 这对于防火墙本身的故障转移非常重要，因此它始终具有出站访问权限。虽然这也可以为客户端流量提供基本的故障转移，但最好使用策略路由规则来控制客户端流量行为。

DNS
DNS 对于 Internet 访问至关重要，确保防火墙始终能够使用 DNS 解析主机名（即使在辅助 WAN 上运行时）也很重要。
这里的需求取决于 DNS 解析器或转发器的配置。
如果 DNS 解析器处于默认解析器模式，则默认网关切换在大多数情况下足以处理故障转移，尽管它可能不如使用转发模式可靠。
如果 DNS 解析器处于转发模式或防火墙使用 DNS 转发器，则维护功能性 DNS 需要手动配置用于转发 DNS 服务器的网关。

导航至系统 > 常规设置
为每个 WAN 至少添加一台 DNS 服务器，最好是两台或更多
这些服务器必须是唯一的，同一服务器不能多次列出。
为每个 DNS 服务器选择一个网关，与防火墙可以到达 DNS 服务器的 WAN 相对应。
对于 CloudFlare 或 Google 等公共 DNS 服务器，任一 WAN 都可以，但如果任一 WAN 使用来自特定 ISP 的 DNS 服务器，请确保这些服务器退出适当的 WAN。
取消选中 DNS 服务器覆盖
这将告诉防火墙使用在此页面上输入的 DNS 服务器并忽略动态提供的服务器
WAN，例如 DHCP 或 PPPoE。有时，这些提供商可能会推送冲突的 DNS 服务器信息，因此最佳实践是手动分配 DNS 服务器。
点击“保存”

笔记： 如果 DNS 解析器在其配置中选择了特定的传出接口，也请在那里选择新的 WAN。

设置策略路由

策略路由涉及在防火墙规则上设置网关，将匹配的流量引导出特定的 WAN 或故障转移组。
在简单情况下（一个 LAN，无 VPN），配置策略路由的唯一要求是向现有规则添加网关。

导航到防火墙 > 规则、LAN 选项卡
编辑 LAN 的默认通过规则
单击显示高级
• 根据所需的 LAN 客户端行为将网关设置为网关组之一。
例如amp文件中，选择 PreferWAN，以便客户端使用 WAN，然后如果 WAN 出现故障，则使用 WAN2。
点击“保存”
单击“应用更改”

如果 LAN 上的客户端必须访问其他本地网络或 VPN，请在默认通过规则之上添加规则，以在没有网关设置的情况下传递本地流量：

导航到防火墙 > 规则、LAN 选项卡
点击在列表顶部添加新规则
配置规则如下：
- 行动通行证
- 接口 LAN
- 协议任意
- 源局域网
- 目标其他本地子网、VPN 网络或此类网络的别名。
- 描述传递到本地和 VPN 网络
  不要在此规则上设置网关。
点击“保存”
单击“应用更改”

动态 DNS
动态 DNS 为多个 WAN（尤其是 VPN）提供了多项优势。如果防火墙尚未配置一个或多个动态 DNS 主机名，请考虑向提供商注册并创建一个或多个。
最好为每个 WAN 提供一个单独的 DNS 条目，并为故障转移提供一个共享条目，或者为每个故障转移组提供一个共享条目。如果这不可行，至少有一个可以满足最常见需求的。
配置动态 DNS 条目的详细信息因提供商而异，超出了本文档的范围。

VPN 注意事项
IPsec 可以使用网关组作为 as 接口，但需要动态 DNS 主机名作为同伴。远程对等方需要使用动态 DNS 主机名而不是 IP 地址作为此防火墙的对等方地址。由于这依赖于 DNS，因此故障转移可能会很慢。
WireGuard 不绑定到接口，但可以与多 WAN 配合使用。如果客户端联系，它将从 WAN2 响应
WAN2，但启动时将始终使用当前的默认网关。静态路由可以将特定对等方的流量移出特定 WAN。
OpenVPN 可以使用网关组作为客户端或服务器的接口。客户端行为正常，并且应与组上配置的默认故障转移行为相匹配。对于服务器，最好将服务器绑定到本地主机并使用从每个 WAN 到本地主机的端口转发。然后，远程客户端可以拥有多个远程条目，并根据需要随时联系每个 WAN。

测试
测试方法取决于所使用的 WAN 和网关组的类型。

对于大多数 WAN，更好的测试是从 CPE 上拔下上游连接。这更准确地模拟了典型类型的上游连接故障。请勿关闭CPE电源或拔掉防火墙与CPE之间的连接。虽然这可能有效，但这是一种不太常见的情况，并且表现可能有所不同。
要测试负载平衡，请使用 cURL 或多次检查 IP 地址时使用多个浏览器/会话。刷新同一浏览器窗口将重用与服务器的连接，并且对于测试基于连接的负载平衡没有帮助。

将 OPT 接口配置为附加 LAN

本指南将 OPT 端口配置为附加 LAN 类型接口。这些本地接口可以执行各种任务，例如作为访客网络、DMZ、IOT 隔离、无线网段、实验室网络等。

配置附加 LAN

要求
分配接口
接口配置
DHCP 服务器
出站 NAT
防火墙规则
- 打开
- 孤立
其他服务

要求

本指南假设底层接口已经存在（例如物理端口、VLAN 等）。
选择一个新的本地子网用于附加 LAN 类型接口。这个前任ample 使用 192.168.2.0/24。

分配接口
第一步是分配 OPT 接口。

导航至接口 > 分配
查看当前任务列表。如果相关接口已分配，则无需执行任何操作。向前跳到接口配置。
在可用网络端口中选择可用接口
如果没有可用的接口，则可能需要以其他方式（例如 VLAN）进行设置。
点击添加
防火墙将分配与内部接口名称相对应的下一个可用 OPT 接口编号。
例如amp例如，如果当前没有 OPT 接口，则新接口将为 OPT1。接下来是OPT2，依此类推。

笔记： 由于本指南不知道给定配置上的该编号是多少，因此该接口通常称为 OPTx。
新分配的接口将在“接口”菜单下和 GUI 中的其他位置有自己的条目。

接口配置
必须启用并配置新接口。

导航至接口 > OPTx
勾选启用接口
在描述中设置自定义名称，例如访客、DMZ 等
设置新LAN的IP地址和CIDR掩码
对于这个前任amp勒，192.168.2.1/24。
不要添加或选择网关
取消选中阻止专用网络
该接口是专用网络，此选项将阻止其运行。
取消选中阻止 bogon 网络
此接口上的规则应仅允许来自该接口上的子网的流量，因此无需此选项。
点击“保存”
单击“应用更改”

接口配置中缺少选定的网关会导致防火墙将该接口视为 LAN 类型接口。
防火墙使用 LAN 类型接口作为出站 NAT 流量的源，但不对退出 LAN 的流量应用出站 NAT。防火墙不会在防火墙规则上添加任何额外属性来影响流量行为。域名系统
解析器将接受来自 LAN 类型接口上的客户端的查询。
参见：
接口配置

DHCP 服务器
接下来，为此本地接口配置 DHCP 服务。这是为接口上的客户端分配地址的一种方便且简单的方法，但如果客户端将被静态寻址，则这是可选的。

导航到服务 > DHCP 服务器、OPTx 选项卡（或自定义名称）
检查启用
配置范围，例如从 192.168.2.100 到 192.168.2.199
这设置分配给客户端的自动地址的下限（发件人）和上限（收件人）。
其余的可以保留默认值
点击“保存”

参见：
DHCPv4 配置

出站 NAT
为了使此接口上的客户端从专用地址访问 Internet，防火墙必须为新子网应用出站 NAT。

导航到防火墙 > NAT、出站选项卡
查看当前出方向NAT模式
如果模式设置为自动或混合，则可能不需要进一步配置。确保新的 LAN 子网在页面底部的自动规则中列为源。如果是这样，请跳到下一部分来配置防火墙规则。
如果模式设置为手动，请创建一个新规则或一组规则来覆盖新子网。
点击在列表顶部添加新规则
配置规则如下：
- 接口选择 WAN 接口。如果有多个 WAN 接口，请为每个 WAN 接口添加单独的规则。
- 地址族 IPv4
- 协议任意
- 源网络，并填写新的 LAN 子网，例如192.168.2.0/24。
- 目的地任意
- 翻译地址接口地址
- 描述描述规则的文本，例如WAN 上的访客 LAN 出站
点击“保存”
单击“应用更改”
或者，克隆现有 NAT 规则并根据需要进行调整以匹配新的 LAN。

防火墙规则
默认情况下，新接口上没有规则，因此防火墙将阻止所有流量。这对于 LAN 来说并不理想，因为一般来说，LAN 客户端需要通过防火墙联系主机。
此接口的规则可以在 OPTx 选项卡上的防火墙 > 规则下找到（或自定义名称，例如 GUESTS）。
管理员通常为本地接口选择两种常见场景：开放和隔离

打开
在开放 LAN 上，该 LAN 中的主机可以自由地通过防火墙联系任何其他主机。这可能是 Internet、VPN 或另一个本地 LAN 上的主机。

在这种情况下，界面的简单“允许所有”样式规则就足够了。

导航到 OPTx 选项卡上的防火墙 > 规则（或自定义名称）
点击在列表顶部添加新规则
配置规则如下：
- 行动通行证
- 接口 OPTx（或自定义名称）应该已默认设置
- 协议任意
- 源 OPTx Net（或自定义名称）
- 目的地任意
- 描述描述规则的文本，例如默认允许来自 OTPx 的所有内容
点击“保存”
单击“应用更改”
添加规则以将任何协议从接口网络传递到任何目的地

孤立
在隔离的本地网络中，除非规则明确允许，否则网络上的主机无法联系其他网络上的主机。在此情况下，主机仍然可以根据需要联系互联网ample，但这也可能受到更复杂的规则的限制。
这种情况对于锁定网络（例如 IOT 设备、具有公共服务的 DMZ、不受信任的访客/BYOD 网络以及其他类似情况）很常见。

警告： 不要依赖诸如使用策略路由之类的技巧来隔离客户端。本例中描述的一整套拒绝规则amp是最佳实践。

创建 RFC1918 别名或至少包含此防火墙上的本地/专用网络的别名，例如 VPN。使用所有 RFC1918 网络是一种更安全的做法

导航到防火墙 > 别名
点击添加
配置如下：
- 名称私有网络
- 描述专用网络
- 类型网络
添加条目：
- 192.168.0.0/16
- 172.16.0.0/12
- 10.0.0.0/8
点击“保存”
导航到 OPTx 选项卡上的防火墙 > 规则（或自定义名称）
添加规则以将 DNS 传递到防火墙（或其他 DNS 服务器）
点击在列表底部添加新规则。
配置规则如下：
- 行动通行证
- 接口 OPTx（或自定义名称）
- 协议 TCP/UDP
- 源 OPTx Net（或自定义名称）
- 目标此防火墙（自身）
  如果客户端要使用防火墙以外的 DNS 服务器，请使用这些服务器作为目标。
- 目标端口范围 DNS，或选择其他并输入 53
  要也允许基于 TLS 的 DNS，请为基于 TLS 的 DNS 或端口 853 添加另一个规则。
- 描述描述规则的文本，例如允许客户端通过防火墙解析 DNS
点击“保存”
添加规则以将 ICMP 传递到防火墙
点击在列表底部添加新规则。
配置规则如下：
- 行动通行证
- 接口 OPTx（或自定义名称）
- ICMP协议
- 在这种情况下，ICMP 子类型 Any 都可以，ICMP 很有用，但有些人更喜欢限制为 Echo
- 仅请求允许 ping，不请求其他任何内容。
- 源 OPTx Net（或自定义名称）
- 目标此防火墙（自身）
- 描述允许客户端 ICMP 到达防火墙
点击“保存”

添加规则以拒绝任何其他流量到防火墙

点击在列表底部添加新规则。
配置规则如下：
- 行动拒绝
- 接口 OPTx（或自定义名称）
- 协议任意
- 来源任意
- 目标此防火墙（自身）
- 描述拒绝所有其他到防火墙的流量
点击“保存”

添加规则以拒绝从此网络到专用网络的流量

- 点击在列表底部添加新规则。
配置规则如下：
- 行动拒绝
- 接口 OPTx（或自定义名称）
- 协议任意
- 来源任意
- 目标单主机或别名、PrivateNets（之前创建的别名）
- 描述拒绝所有其他流向专用网络的流量
点击“保存”
添加从该接口网络传递到任何目的地的规则：
点击在列表底部添加新规则。
配置规则如下：
- 行动通行证
- 接口 OPTx（或自定义名称）
- 协议任意
- 源 OPTx Net（或自定义名称）
- 目的地任意
- 说明默认允许来自 OTPx 的所有内容
点击“保存”

规则全部就位后，现在单击应用更改以完成并激活新规则。
配置完成后，规则应如下图所示：

提示： 规则分隔符对于记录规则集非常有用。
与隔离网络类似，也可以制定更严格的规则，仅允许特定的出站端口。创建此类配置时，

其他服务
在大多数情况下，上述配置就足够了，新 LAN 上的客户端现在可以获得地址并访问 Internet。但是，添加新的本地接口时可能需要考虑其他自定义设置：

如果 DNS 解析器具有特定接口绑定，请将新接口添加到列表中。
如果使用 ALTQ 流量整形，请重新运行整形器向导以包含此新的 LAN 类型接口。
考虑使用强制门户来控制接口的访问

恢复出厂设置程序

此过程使用 Netgate 4200 上的硬件重置按钮执行出厂重置。该按钮位于设备后侧左端、电源和控制台连接器之间、电源按钮下方。
请参阅输入和输出端口以获取参考照片。
参见：

从 GUI 或控制台恢复出厂设置

与某些其他型号的 Netgate 硬件不同，Netgate 4200 上的重置过程可以在设备运行时触发，不需要复杂的计时。

如果设备尚未运行，请打开设备电源。
如果设备正在启动，请等待 Diamond LED 开始闪烁蓝色或变为稳定蓝色。
按住重置按钮（底部）。
笔记： 这是底部（凹入式）按钮，可能需要钢笔、回形针或类似工具来按下。
当按钮保持按下状态时，LED 将开始一一填充红色（圆形、方形、然后菱形）。
继续按住按钮，直到所有 LED 开始闪烁红色。
这大约需要 8 秒。 LED 开始呈红色闪烁时，表示恢复出厂设置正在进行中，可以松开按钮。设备将自动重启。
要取消重置过程，请在 LED 开始呈红色闪烁之前随时松开按钮。钻石 LED 将返回稳定的蓝色状态，表示重置已取消。
等待系统完成重置并完成启动过程。
启动过程结束时，LED 将返回就绪状态，钻石 LED 呈蓝色常亮。

当设备再次启动时，它将处于出厂默认设置，并可通过 LAN 进行访问： https://192.168.1.1.
如果此过程失败，请连接到控制台并在那里执行出厂重置。

其他资源

网门培训
Netgate 培训提供培训课程，以增加您对 pfSense® Plus 产品和服务的了解。
无论您是需要维持或提高员工的安全技能，还是提供高度专业化的支持并提高客户满意度； Netgate 培训已满足您的需求。
https://www.netgate.com/training

资源库
要了解有关如何使用 Netgate 设备的更多信息以及其他有用的资源，请务必浏览 Netgate 资源库。
https://www.netgate.com/resources

专业服务
支持不涵盖更复杂的任务，例如多个防火墙或电路冗余的 CARP 配置、网络设计以及从其他防火墙到 pfSense® Plus 软件的转换。这些项目作为专业服务提供，可以相应地购买和安排。
https://www.netgate.com/our-services/professional-services.html

社区选择
选择不获得付费支持计划的客户可以从 Netgate 论坛上活跃且知识渊博的 pfSense 软件社区寻求帮助。
https://forum.netgate.com/

保修和支持

一年制造商保修。
请联系 Netgate 了解保修信息或 view 产品生命周期页面。
所有规格如有变更，恕不另行通知

如需支持信息， view Netgate 提供的支持计划。

参见：
有关如何使用 pfSense® Plus 软件的更多信息，请参阅 pfSense 文档和资源库。

文件/资源

	Netgate 4200 安全网关 [pdf] 用户手册 4200安全网关, 4200, 安全网关, 网关
	netgate 4200 安全网关 [pdf] 指示 4200 安全网关, 4200, 安全网关

参考

用户手册

Netgate 4200 安全网关

产品信息

产品使用说明

盒子外面

入门

输入和输出端口

安全和法律

有限保修

操作指南

终端设置

终端优化

启动终端程序

客户特定的Examp莱斯

GNU 屏幕

重新安装 pfSense Plus 软件

防火墙规则

设置策略路由

将 OPT 接口配置为附加 LAN

恢复出厂设置程序

其他资源

文件/资源

参考

发表评论

取消回复