Настройка туннелирования (L2TP)

1. IP - Pool / Определям диапазон адресов VPN-пользователей
Name: vpn_pool
Addresses: 10.10.10.10-10.10.10.20
Next pool: none
Лучше для клиентов vpn использовать отдельную адресацию. Так проще отделять одних от других. И вообще, бест практис.

2. PPP - Profiles / Профиль для нашего конкретного туннеля
General:
Name: l2tp_profile
Local address: vpn_pool (а можно указать 192.168.88.1, сами смотрите, как вам больше нравится)
Remote address: vpn_pool
Change TCP MSS: yes
Protocols:
all to default:
Use MPLS: default
Use compression: default (ставил также yes)
Use Encryption: default (можно ставить no, т.к. ppp-шифрование мы использовать не будем, на это нам IPSec есть, на незагруженном микротике разницы никакой не заметил)
(примечание: сейчас я ставлю use encryption: yes, use compression: no, разницы реально никакой не чувствую).
Если в сети, куда вы подключаетесь, есть ресурсы по внутренним доменным именам, а не только по IP, можете указать DNS Server этой сети, например, 192.168.88.1 (или какой вам нужен).
Limits:
Only one: default

3. PPP - Secrets / Готовим пользователя VPN
Name: vpn_user1
Password: bla-bla-bla
Service: l2tp
Profile: l2tp_profile

4. PPP - Interface - клик на L2TP Server / Включаем сервер L2TP
Enabled - yes
MTU / MRU - 1450
Keepalive Timeout - 30
Default profile - l2tp_profile
Authentication - mschap2
Use IPSec - yes
IPSec Secret: tumba-yumba-setebryaki (это не пароль пользователя, а предварительный ключ, который надо будет указывать на клиентах в дополнение к логину/паролю)
При этом в IP-IPSec-Peers будет создан динамический пир с именем l2tp-in-server.

5. IP -> Firewall настраиваем доступ
Chain “input”
Protocol - 17(udp)
Dst. Port - 1701,500,4500
in.Interface - ether1

6. Настройки IPsec
Вкладка - Groups
создаем новую группу
Name - VPN-POOL
На вкладке “Policies” создаём новую дефолтную политику и выбираем в качестве шаблона нашу созданную группу:
А можно через New Terminal (Командой)
Давайте уж к консоли, что-ли для разнообразия:

/ip firewall filter add chain=input action=accept protocol=udp port=1701,500,4500 add chain=input action=accept protocol=ipsec-esp

Если у вас по-умолчанию политика forward установлена в drop (последнее правило для forward "chain=forward action=drop"), вам может быть необходимым разрешить forward с ip-адресов vpn_pool в локальную сеть:

add chain=forward action=accept src-address=192.168.112.0/24 in-interface=!ether1 out-interface=bridge-local comment="allow vpn to lan" log=no log-prefix=""

Вот теперь с сервером все.

Можем подключатся через ваш ПК или настраивать на MikroTik клиента.

Это происходит потому, что для загрузки данных с помощью торрентов устанавливается одноранговая (P2P) сеть, в которой клиент BitTorrent-трафик, Torrent-трафик создает большое количество одновременных подключений к различным узлам, что приводит к нагрузке на ресурсы вашего маршрутизатора/модема.

Чтобы этого не допустить, рекомендуется вообще заблокировать загрузку торрентов в общей сетевой среде.

Протокол Layer7 от MikroTik можно использовать для маркировки и блокировки нежелательного трафика, в данном случае всех данных p2p (BitTorrent-трафик, Torrent-трафик). Протокол Layer7 на MikroTik можно на IP > Firewall section

Сопоставитель протоколов L7 ищет определенные шаблоны данных в первых 10 пакетах или в первых 2 КБ данных в потоках TCP/UDP/ICMP любых новых соединений. Это средство сопоставления основано на записях, добавленных в поле «Regexp» (регулярное выражение) в Layer7 Protocol. Это регулярное выражение используется для определения шаблонов поиска, по ключевым словам, в URL-адресах.

Если в соединении обнаружен заранее определенный шаблон, то на основании условий, определенных в правилах фильтрации с использованием протокола Layer7, над потоком данных будет предпринято действие. Если в соединении не обнаружено шаблона, то сопоставитель прекратит дальнейшую проверку соединения.

Чтобы идентифицировать и отбросить BitTorrent-трафик, Torrent-трафик, мы будем использовать протокол L7 в сочетании с правилами фильтрации брандмауэра. Это должно быть сделано следующим образом:

Шаг 1. Перейдите на вкладку IP > Firewall > Layer7 Protocols. Нажмите «+», чтобы добавить новую запись.

Шаг 2: Введите «torrent» в поле «Name» . Скопируйте и вставьте следующее выражение Perl полностью в поле Regexp :

^(\x13bittorrent protocol|azver\x01$|get /scrape\?info_hash=get /announce\?info_hash=|get /client/bitcomet/|GET /data\?fid=)|d1:ad2:id20:|\x08'7P\)[RP]

Нажмите «Comment» , чтобы пометить запись протокола как «Block Torrents» . Нажмите «Apply» , затем «ОК».

Команда terminal MikroTik для добавления вышеуказанного правила выглядит следующим образом:

/ip firewall layer7-protocol add comment="Block Torrents" name=torrent regexp="^(\\x13bittorrent protocol|azver\\x01\$|get /scrape\\\?info_hash=get /announce\\\?info_hash=|get /client/bitcomet/|GET /data\\\?fid=)|d1:ad2:id20:|\\x08'7P\\)[RP]"

В Winbox нажмите «New Terminal» . Скопируйте и вставьте приведенную выше команду в окно терминала и нажмите Enter. Правило брандмауэра, как показано на изображениях выше, будет добавлено мгновенно.

Шаг 3. Создайте правила фильтрации для эффективной блокировки BitTorrent-трафика.

Перейдите на вкладку IP > Firewall > Filter Rules Правила фильтрации . Нажмите «+», чтобы добавить новую запись.

На вкладке «General» выберите «chain» как «forward» и выберите «In Interface List» как «LAN».

Цель определения In Interface List в этом случае состоит в том, чтобы в противном случае удаленные IP-адреса всех P2P-клиентов также были без необходимости добавлены в список адресов «Torrent-Conn» . Меньше адресов Less addresses = less memory consumption.

Вы можете определить список LAN в разделе Interfaces > List и добавить все локальные сети в список LAN в целях идентификации.

Шаг 4. На вкладке «Advanced» установите в поле «Src Address List» значение «allow-bit» с опцией инвертирования «!» включено.

выберите Layer7 Protocol в качестве torrent из раскрывающегося списка.

Шаг 5. На вкладке «Action» выберите «Action» в качестве добавления источника в список адресов и в поле «Address List» введите «Torrent-Conn»

Установите тайм-аут на 00:00:30 (30 секунд).

Нажмите «Комментарий» , чтобы пометить правило. как «Block Torrents» . Нажмите «Применить» затем «ОК».

Команда терминала MikroTik для добавления вышеуказанного правила выглядит следующим образом:

/ip firewall filter add chain=forward in-interface-list=LAN src-address-list=!allow-bit layer7-protocol=torrent action=add-src-to-address-list address-list=Torrent-Conn address-list-timeout=30s comment="Block Torrents"

Это правило фильтра будет динамически добавлять адреса хостов в локальной сети, на которые перенаправляется трафик BitTorrent от маршрутизатора, к список адресов «Торрент-Конн».

Нам нужно добавить еще два правила фильтрации, чтобы гарантировать, что никакой другой трафик, кроме торрентов, не блокируется.

Перейдите в IP > Firewall > Filter rules и добавьте новое правило.

На вкладке «General» выберите протокол TCP. В

поле « Порт Dst» добавьте указанные ниже номера портов или просто скопируйте и вставьте отсюда

0-1023,1723,5900,5800,3389,8728,8291,14147,5222,59905

. Нажмите кнопку инвертировать [!], как показано ниже.

На вкладке «Advanced» выберите в раскрывающемся списке Src Address List как Torrent-Conn.

На вкладке «Action» выберите «Action» в drop списке.

Нажмите « Комментарий» , чтобы пометить правило как «Block Torrents» . Нажмите «Применить» затем «ОК» .

Команда терминала MikroTik для добавления вышеуказанного правила выглядит следующим образом:

/ip firewall filter add chain=forward protocol=tcp dst-port=!0-1023,1723,5900,5800,3389,8728,8291,14147,5222,59905 src-address-list=Torrent-Conn action=drop comment="Block Torrents"

Нажмите «+», чтобы добавить еще одно новое правило.

На вкладке «General» выберите protocol как udp

в поле «Dst Port» , добавьте указанные ниже порты или скопируйте и вставьте снизу:

0-1023,1723,5900,5800,3389,8728,8291, 14147,5222,59905

Нажмите на опцию инвертирования [!], как показано ниже.

На вкладке «Advanced» выберите в раскрывающемся списке Src Address List как Torrent-Conn.

На вкладке «Action» выберите Action как выпадающее из drop списка.

Нажмите «Комментарий», чтобы пометить правило как «Блокировать торренты». Нажмите «Применить», затем «ОК».

Команда терминала MikroTik для добавления вышеуказанного правила выглядит следующим образом:

/ip firewall filter add chain=forward protocol=udp dst-port=!0-1023,1723,5900,5800,3389,8728,8291,14147,5222,59905 src-address-list=Torrent-Conn action=drop comment="Block Torrents"

Эти два правила фильтра будут блокировать пересылку tcp- и udp-пакетов с данными BitTorrent соответственно через необщие порты на те хосты (устройства), которые указаны в списке Torrent. -Подключить список адресов, тем самым эффективно блокируя торрент-загрузки.

Перетащите все эти три правила фильтрации, помеченные как «Блокировать торренты», над основными правилами фильтрации брандмауэра.

Если на маршрутизаторе MikroTik создано несколько локальных сетей, созданные выше правила будут блокировать загрузку торрентов во всех сетях.

Блокировать торрент-трафик только для определенной сети

Чтобы заблокировать торренты только в одной сети из нескольких сетей, созданных на MikroTik, мы указываем сеть, в которой загрузка торрентов должна быть заблокирована, в файле Src. Address на вкладке «General» при добавлении правил Block Torrents “drop”, как показано на изображении ниже:

Команда терминала MikroTik для добавления вышеуказанного правила выглядит следующим образом:

/ip firewall filter add chain=forward src-address="***.***.***.0/24" protocol=tcp dst-port=!0-1023,1723,5900,5800,3389,8728,8291,14147,5222,59905 src-address-list=Torrent-Conn action=drop comment="Block Torrents"

/ip firewall filter add chain=forward src-address="***.***.***.0/24" protocol=udp dst-port=!0-1023,1723,5900,5800,3389,8728,8291,14147,5222,59905 src-address-list=Torrent-Conn action=drop comment="Block Torrents"

Таким образом, правило будет блокировать торрент-загрузка на всех устройствах, подключенных к сети ***.***.***.0/24 .

Блокировать торрент-трафик только для определенного диапазона IP-адресов

Чтобы заблокировать торренты только для определенного диапазона IP-адресов, скажем, диапазона пула DHCP, мы указываем диапазон IP-адресов в поле « Src Address» на вкладке «General» , добавляя при этом правилаBlock Torrents “drop”, как показано на изображении ниже:

Команда терминала MikroTik для добавления вышеуказанного правила выглядит следующим образом:

/ip firewall filter add chain=forward src-address="***.***.***.10-***.***.***.254" protocol=tcp dst-port=!0-1023,1723,5900,5800,3389,8728,8291,14147,5222,59905 src-address-list=Torrent-Conn action=drop comment="Block Torrents"

/ip firewall filter add chain=forward src-address="***.***.***.10-***.***.***.254" protocol=udp dst-port=!0-1023,1723,5900,5800,3389,8728,8291,14147,5222,59905 src-address-list=Torrent-Conn action=drop comment="Block Torrents"

Таким образом, правило будет блокировать торрент-загрузку на всех устройствах, которым динамически или вручную назначены IP-адреса в диапазоне ***.***.***.10-***.***.***.254. Устройства, которым вручную назначены IP-адреса за пределами пула DHCP, смогут загружать торренты.

Блокировать торрент-трафик только для определенного устройства

Чтобы заблокировать торренты только для определенного устройства, есть два способа, с помощью которых это можно сделать:

Способ 1: Указываем статический IP устройства в файле Src. Поле адреса на вкладке «General» при добавлении правила Block Torrents “drop”, как показано ниже:

Команда терминала MikroTik для добавления вышеуказанного правила выглядит следующим образом:

/ip firewall filter add chain=forward src-address="***.***.***.10" protocol=tcp dst-port=!0-1023,1723,5900,5800,3389,8728,8291,14147,5222,59905 src-address-list=Torrent-Conn action=drop comment="Block Torrents"

/ip firewall filter add chain=forward src-address="***.***.***.10" protocol=udp dst-port=!0-1023,1723,5900,5800,3389,8728,8291,14147,5222,59905 src-address-list=Torrent-Conn action=drop comment="Block Torrents"

Таким образом, правило будет блокировать загрузку торрентов на устройству назначен IP ***.***.***.10 .

Способ 2: Указываем MAC-адрес устройства в файле Src. MAC Address на вкладке « Advanced» при добавлении правила Block Torrents “drop”, как показано ниже:

15-15

Команда терминала MikroTik для добавления вышеуказанного правила выглядит следующим образом:

/ip firewall filter add chain=forward src-mac-address="AA-BB-CC-DD-EE-FF" protocol=tcp dst-port=!0-1023,1723,5900,5800,3389,8728,8291,14147,5222,59905 src-address-list=Torrent-Conn action=drop comment="Block Torrents"

/ip firewall filter add chain=forward src-mac-address="AA-BB-CC-DD-EE-FF" protocol=udp dst-port=!0-1023,1723,5900,5800,3389,8728,8291,14147,5222,59905 src-address-list=Torrent-Conn action=drop comment="Block Torrents"

Таким образом, правило будет блокировать загрузку торрентов на устройстве с MAC-адресом AA:BB:CC:DD:EE:FF .

Если торренты заблокированы во всех сетях или в определенной сети, но определенным конкретным устройствам необходимо предоставить доступ для скачивания торрентов, то мы создадим еще одно правило фильтрации и разместим его над существующим правилом «Блокировать торренты». Метод заключается в следующем:

Шаг 1. Перейдите на вкладку «IP > Firewall > Filter Rules . Нажмите «+», чтобы добавить новую запись.

Шаг 2. На вкладке «General» выберите chain «forward» , установите требуемый Src Address на основе 3 conditions, упомянутых ниже.

Шаг 3: На вкладке «Advanced» выберите протокол Layer7 в качестве торрента из раскрывающегося списка.

Шаг 4. На вкладке «Action» выберите действие «accept» .

Шаг 5: Нажмите «Comment» , чтобы пометить правило как «Allow Torrents» , нажмите «Применить» , затем «ОК».

Эти 3 условия заключаются в следующем:

Если одному устройству необходимо предоставить доступ к скачиванию торрентов, то это можно сделать двумя способами:

Способ 1: Указываем статический IP устройства в файле Src. Поле адреса на вкладке «Общие», как показано ниже:

Команда терминала MikroTik для добавления вышеуказанного правила выглядит следующим образом:

/ip firewall filter add chain=forward src-address="***.***.***.10" layer7-protocol=torrent action=accept comment="Allow Torrents"

Способ 2: Указываем MAC-адрес устройства в файле Src. Поле MAC-адрес на вкладке «Дополнительно», как показано ниже:

Команда терминала MikroTik для добавления вышеуказанного правила выглядит следующим образом:

/ip firewall filter add chain=forward src-address="***.***.***.10-***.***.***.254" layer7-protocol=torrent action=accept comment="Allow Torrents"

Перетащите это правило фильтра с надписью «Разрешить торренты» над правилами фильтрации брандмауэра «Блокировать торренты».

Таким образом, созданное здесь правило «Разрешить торренты» позволит загружать торренты конкретными устройствами, выбранными в соответствии с тремя упомянутыми выше условиями, в то время как трафик BitTorrent останется заблокированным для остальных устройств в сети.

Рассмотрим схему подключения NanoStation M2, которая часто используется в домашних условиях.
Чтобы раздать Интернет с помощью NanoStation M2 по Wi-Fi нам понадобятся:

1. Роутер или ADSL модем с функцией роутера;
2. Два кабеля витая пара с прямым обжимом (используются для подключения типа компьютер-свитч);
3. Компьютер или ноутбук.

Подключаем оборудование:

1. 1-й кабель витая пара подключаем к роутеру и к POE блоку питания в разъем LAN;
2. 2-й кабель витая пара подключаем к NanoStation M2 в разъем Main и в POE блок питания в разъем POE.

Настройка сетевой карты компьютера

Переходим в «Изменение параметров адаптера».
Кликаем правой кнопкой мыши на «Подключение по локальной сети» и выбираем «Свойства».
Выбираем «Протокол Интернета версии 4 (TCP/IPv4)» и жмем «Свойства».
В открывшемся окне выбираем «Использовать следующий IP-адрес» и указываем
IP-адрес 192.168.1.21
Маска подсети 255.255.255.0
и жмем «OК».

Настройка NanoStation M2 в режиме «точка доступа» (Access Point)

Открываем Internet Explorer (или другой браузер) и вводим адрес 192.168.1.20
В появившемся окне вводим имя пользователя ubnt, вводим пароль ubnt и входим в Web-интерфейс.

Настройка Wi-Fi точки доступа

Переходим на вкладку WIRELESS.
Настраиваем параметры:

• Wireless Mode: Acces Point (режим работы «точка доступа»)
• Country Code: Ukraine (или другую страну в которой используется устройство)
• SSID: указываем имя точки доступа
• Security: WPA2-AES (указываем тип шифрования)

• WPA Preshared Key: вводим пароль для подключения к точке доступа по Wi-Fi

Для сохранения настроек нажимаем кнопку Change.
Вверху страницы подтверждаем изменение настроек, нажав кнопку Apply.

Настройка локальной сети в режиме Вridge

Если роутер, к которому подключен NanoStation M2, выдает автоматические настройки сети по DHCP, то необходимо:

1. Настроить локальную сеть NanoStation M2 в режим Bridge и выбрать получение настроек по DHCP;
2. В параметрах сетевой карты компьютера, выбрать автоматическое получение сетевых настроек.

Переходим во вкладку «Network» и в поле «Bridge IP Address» выбираем DHCP.
Для сохранения настроек нажимаем кнопку Change. Вверху страницы подтверждаем изменение настроек, нажав кнопку Apply.

НАСТРОЙКА NANOSTATION M2 В РЕЖИМЕ «РАБОЧАЯ СТАЦИЯ» (STATION)

Переходим в «Изменение параметров адаптера».
Кликаем правой кнопкой мыши на «Подключение по локальной сети» и выбираем «Свойства».
Выбираем «Протокол Интернета версии 4 (TCP/IPv4)» и жмем «Свойства».
В открывшемся окне выбираем «Использовать следующий IP-адрес» и указываем
IP-адрес 192.168.1.21
Маска подсети 255.255.255.0
и жмем «OК».

Настройка NanoStation M2 в режиме «точка доступа» (Access Point)

Открываем Internet Explorer (или другой браузер) и вводим адрес 192.168.1.20
В появившемся окне вводим имя пользователя ubnt, вводим пароль ubnt и входим в Web-интерфейс.
Внимание! Если Вы не можете зайти в настройки по адресу 192.168.1.20, то у Ubiquiti NanoStation изменен IP-адрес, который используется по умолчанию. Чтобы сбросить устройство к заводским настройкам, нажмите и удерживайте 10 секунд кнопку Reset на NanoStation M2.

В поле Wireless Mode должен стоять режим Station.
В итоге, ищем нашу точку доступа. Чтобы это сделать нужно нажать на кнопку Select, где в дополнительном окне должна появиться наша точка доступа.
Напротив нашей точки доступа ставим галочку, копируем её MAC-адрес в поле Lock to AP MAC вставляем скопированный MAC.
ниже выбираем тип шифрования
далее нужно нажать на кнопку Change, а затем Apply для сохранения изменений (Change)
После перезагрузки мы видим, что устройства подключились и можем посмотреть уровни сигнала во вкладке MAIN
Готова. приятной работы

1.Скачать pfSense

Скачиваем pfSense-1.2.3-RELEASE-LiveCD-Installer.iso.gz с одного из зеркал . Запустить на него md5 и сравнить с тем, что в pfSense-1.2.3-RELEASE-LiveCD-Installer.iso.gz.md5, который берём с того же зеркала. Получаем не что вроде

Разархивируем скачанный pfSense-1.2.3-RELEASE-LiveCD-Installer.iso.gz и записываем скачанный iso файла CDROM любимой Вашей программой, позволяющей писать дески iso-образов.

2.Установть pfSense на жёсткий диск

Загрузиться с записанного в п.1 CDROM После загрузки Вы увидите следующий экран:

Можно просто подождать или просто нажать Enter. Далее увидим:

Нажмите I если хотите сразу установить на жёсткий диск, не загружаясь в режиме "Live CD". Далее последует несколько стандартных вопросов.

Смело жмите "Accept these settings"

Если это Ваша первая(вторая или третья) установка pfSense (а иначе бы вы этот текст не читали бы), то жмите "Quicky/Easy Install", на минутку призадумайтесь на сколько хорошо, что нет опции "Long/Uneasy Install".

Ну а здесь надо выпить чашечку кофе и хорошенько вспомнить не тот ли это жёсткий диск сейчас в компе с диким количеством бесценных снимков с Вашего увлекательного путешествия в Ханты-Мансийский автономный округ, с которого Вы всё хотели сделать бэкап для внуков да всё не доходили руки. Если Вы уверены, что содержимое диска Вам точно безразлично - вперёд! Жмите "ОК".

Через некоторое время Вам придётся ответить на ещё один каверзный вопрос - какой тип ядра устанавливать. Если у Вас один процессор (с одним ядром), то не задумывайтесь и выбирайте "Uniprocessor kernel". Если больше одного процессора или несколько ядер, то нужно выбрать "Symmetric multiprocessing kernel". slbd, ответственный за распределение исходящего трафика, был замечен в недостойном поведении, работая с smp. Однако, он был благополучно удалён(заменён) в последних релизах pfSense, а других глюков smp я не знаю.

3.Сконфигурировать pfSense

После перезагрузки Вы увидите дружелюбный экран со списком интерфейсов (скорее всего будет немного отличаться от приведённого ниже)

нажмите n и Enter, мы пока не хотим конфигурировать никаких vlan.

Теперь мы на стадии присваивание интерфейсов. Можно играться с автоматическим определением интерфейсов, тогда нужно отключить все сетевые кабели от компа и нажать "а", дальше нажать Enter, подключить кабель и Enter опять. Но мы, суровые админы, знаем где у нас какой интерфейс и не желаем предварительного износа нашим RJ-45, поэтому кабели туда-сюда не тыкаем, а просто выбираем в качестве LAN-интерфейса bge0, а в качестве WAN (этот смотрит в сторону Интернет провайдера) выбираем bge1. Никаких дополнительных интерфейсов мы пока не хотим ибо их можно потом создать через WEB-интерфейс, поэтому просто нажимаем Enter в ответ на "or nothing if finished". Естественно мы увидим вопрос "уверены ли Вы в себе?":

Если экран отображает то, что Вы выбрали раньше, то жмём y. Опять побежали непонятные буковки и наконец-то!

Оля-ля! Начальная конфигурация почти завершена. Да-да... почти, ещё рано бежать за пивом. Теперь конфигурируйте свой компьютер с IP=192.168.1.2 маской 255.255.255.0, запускайте интернет браузер (Желательно Mozilla, т.к. с другими есть как минимум один баг) и в адресной строке браузера вводитеhttp://192.168.1.1 , всплывёт окошко для аутентификации. Вводите admin c паролем pfsense.

Ну тут собственно всё ясно - жмём "Next".

Поименуйте Ваш pfSense как Вашей душе хочется. Если подключение к Интернету у вас DHCP, PPTP или PPPoE то в полях DNS вводить ничего не нужно. Если же у Вас есть статические IP адреса от провайдера, тогда введите IP DNS-серверов - лучше тоже спросить провайдера

Здесь выберите Ваш временной пояс.

Тут нужно настроить WAN интерфейс - подключение к Интернет провайдеру. Настройки зависят от типа подключения. На скриншоте наиболее вариант со статическими IP. Довольно важные настройки для любого типа подключения находятся внизу экрана

Если провайдер использует диапазон IP, зарезервированный для частных сетей (RFC1918), то соответствующую галочку нужно убрать (вроде как в России это известно под термином "серые IP"). Не рекомендую убирать галочку с Bogons Network, т.к. это блокировка любых пакетов с IP источника, принадлежащим зарезервированным сетям (ещё не распределённым между провайдерами), однако, опять же зависит от провайдера. Совет: если что-то не работает, уберите обе галки.

Здесь мы (если нужно) меняем настройки LAN. Если что-то изменили, придётся пере подключиться браузером к новому IP.

ИЗМЕНЯЕМ пароль для администрирования pfSense.

Тут собственно всё ясно - жмём "Reload", вспоминая знаменитую композицию от Metallica.

Чисто информативная страничка. Всё, pfSense проинсталлирован,
Приятной работы.