Документация
Документация pfSense - руководства по настройке и администрированию
Установка и обновление pfSense - руководство по развертыванию
Установка pfSense - пошаговое руководство по развертыванию

Установка pfSense - пошаговое руководство по развертыванию

Установка pfSense включает несколько последовательных этапов: загрузку установочного образа, подготовку загрузочного носителя, установку системы на диск, назначение сетевых интерфейсов и первоначальную настройку через веб-интерфейс. Руководство охватывает установку как на физическое оборудование, так и в среды виртуализации, и рассчитано на администраторов, знакомых с основами сетевого администрирования.

Предварительные требования

Перед началом установки необходимо убедиться в выполнении следующих условий:

  • Оборудование соответствует системным требованиям pfSense - процессор amd64, не менее 1 ГБ оперативной памяти, не менее 8 ГБ дискового пространства
  • Доступно не менее двух сетевых интерфейсов для типовой конфигурации WAN + LAN (один интерфейс допустим, но ограничивает функциональность)
  • Подготовлен USB-накопитель объёмом не менее 2 ГБ или DVD-диск для записи установочного образа
  • Имеется подключение к интернету на WAN-интерфейсе (требуется для загрузки пакетов в процессе установки)
  • Для виртуальных машин - настроены виртуальные сетевые адаптеры соответствующего типа (VirtIO, VMXNET3 или E1000 в зависимости от платформы)

Загрузка установочного образа

Установочные образы pfSense доступны для загрузки через Netgate Store по адресу https://shop.netgate.com/products/netgate-installer. Для загрузки требуется учётная запись Netgate Store - регистрация бесплатна.

Типы установочных образов

Тип образаНазначение
AMD64 Memstick (VGA)Установка с USB-накопителя на оборудование с видеовыходом
AMD64 Memstick (Serial)Установка с USB-накопителя на оборудование с последовательной консолью
AMD64 ISOУстановка с оптического диска или через виртуальный привод (IPMI, iLO, виртуализация)
AARCH64 Memstick ARMУстановка на 64-разрядные ARM-устройства (Netgate 1100, 2100)

Для большинства физических серверов и рабочих станций следует выбирать AMD64 Memstick (VGA). Образ ISO предпочтителен при установке в среде виртуализации или через IPMI/iLO, поскольку его удобно подключать как виртуальный привод.

Выбор архитектуры

pfSense поддерживает исключительно 64-разрядную архитектуру. 32-разрядные системы не поддерживаются. При загрузке убедитесь, что выбран образ для архитектуры AMD64 (она же x86-64) - эта архитектура охватывает все современные процессоры Intel и AMD.

Проверка целостности образа

После загрузки следует проверить контрольную сумму SHA-256 файла. Официальные контрольные суммы опубликованы на сайте Netgate. Проверку необходимо выполнить до распаковки архива.

# Linux
sha256sum pfSense-plus-installer-*.img.gz

# macOS
shasum -a 256 pfSense-plus-installer-*.img.gz

# FreeBSD
sha256 pfSense-plus-installer-*.img.gz
# Windows PowerShell
Get-FileHash pfSense-plus-installer-*.img.gz -Algorithm SHA256

Внимание:

Браузер Safari на macOS по умолчанию автоматически распаковывает загруженные архивы. В этом случае проверка контрольной суммы невозможна. Перед загрузкой следует отключить эту функцию в настройках Safari или использовать другой браузер.

Подготовка загрузочного носителя

Установочный образ поставляется в сжатом формате .gz. Перед записью на носитель его необходимо распаковать.

Распаковка образа 

# Linux / macOS / FreeBSD
gunzip pfSense-plus-installer-*.img.gz

В Windows для распаковки используется утилита 7-Zip.

Запись на USB-накопитель

Внимание:

Запись установочного образа полностью уничтожает все данные на целевом носителе. Перед выполнением операции необходимо убедиться, что выбрано корректное устройство. Ошибка в выборе устройства приведёт к безвозвратной потере данных на системном диске.

Linux

Определите имя устройства USB-накопителя с помощью lsblk, затем выполните запись:

sudo dd if=pfSense-plus-installer-*.img of=/dev/sdX bs=4M status=progress
sync

Замените /dev/sdX на фактическое имя устройства (например, /dev/sdb). Указывайте имя диска целиком, а не раздела - /dev/sdb, а не /dev/sdb1.

macOS

Перед записью необходимо отмонтировать накопитель:

sudo diskutil unmountDisk /dev/diskN
sudo dd if=pfSense-plus-installer-*.img of=/dev/rdiskN bs=4m status=progress
sudo diskutil eject /dev/diskN

Замените /dev/diskN на фактическое имя устройства. Использование /dev/rdiskN (raw-устройство) вместо /dev/diskN значительно ускоряет процесс записи.

Windows

Для записи в Windows рекомендуется использовать одну из следующих утилит:

  • Etcher (balena.io) - поддерживает запись сжатых образов напрямую, содержит защиту от выбора системного диска. Рекомендуемый вариант
  • Win32 Disk Imager - альтернативная утилита, отображает только съёмные устройства, что снижает риск случайной перезаписи системного диска

В обоих случаях достаточно указать файл образа и целевое устройство, после чего запустить процесс записи.

Запись на DVD

Образ формата ISO можно записать на DVD стандартными средствами операционной системы:

  • Windows - встроенная функция записи образов (правый клик по файлу ISO, “Записать образ диска”)
  • Linux - утилиты wodim, xorriso или графический интерфейс Brasero
  • macOS - Finder или утилита hdiutil burn

Процесс установки

Загрузка с установочного носителя

Подключите USB-накопитель или вставьте DVD, затем включите или перезагрузите целевую систему. При необходимости измените приоритет загрузки в BIOS/UEFI, чтобы загрузка выполнялась с установочного носителя.

После загрузки отобразится меню установщика.

Меню загрузки установщика pfSense

Рис. 1. Меню загрузки установщика pfSense

При подключении через последовательную консоль установщик предложит выбрать тип терминала: ansi, vt100, xterm или cons25w.

Лицензионное соглашение

Первый экран установщика - лицензионное соглашение pfSense. Для продолжения необходимо принять его условия. Навигация выполняется клавишами Page Up/Page Down, подтверждение - клавишей Enter.

Главное меню установщика

После принятия лицензии отобразится главное меню со следующими пунктами:

  • Install - начать установку
  • Rescue Shell - открыть командную оболочку для восстановления
  • Configuration Restore - восстановить конфигурацию из предыдущей установки или USB-носителя
  • Advanced Options - дополнительные параметры установки

Для стандартной установки следует выбрать Install.

Настройка сетевого подключения

Установщик требует подключения к интернету через WAN-интерфейс для загрузки пакетов. На этом этапе необходимо:

  1. Выбрать WAN-интерфейс из списка обнаруженных сетевых адаптеров
  2. Настроить подключение - DHCP (по умолчанию), статический IP-адрес или PPPoE
  3. При необходимости настроить VLAN-тегирование
  4. Выбрать LAN-интерфейс и задать его параметры (по умолчанию - 192.168.1.1/24, DHCP-сервер включён с диапазоном 192.168.1.100–192.168.1.150)

Выбор файловой системы

Установщик предлагает выбор между двумя файловыми системами:

Файловая системаХарактеристики
ZFSСовременная файловая система с поддержкой boot environments, контрольных сумм данных и снапшотов. Рекомендуется для большинства развёртываний. Потребляет больше ресурсов
UFSТрадиционная файловая система FreeBSD. Меньшее потребление ресурсов, но отсутствуют функции ZFS. Подходит для систем с ограниченными ресурсами

Для продуктивных развёртываний рекомендуется ZFS. Функция boot environments позволяет откатиться к предыдущей версии системы после неудачного обновления - это критически важно для межсетевого экрана.

Выбор диска в установщике pfSense

Рис. 2. Выбор диска для установки

Схема разделов и разметка диска

Установщик предлагает выбор схемы разметки:

  • GPT - современный стандарт, совместим с большинством оборудования amd64. Рекомендуемый вариант
  • MBR - устаревшая схема разметки, обеспечивает совместимость со старым оборудованием. Используется на ARM-платформах

При выборе ZFS доступны следующие режимы организации дисков:

РежимОписаниеТребования
StripeДанные записываются на диски без избыточности. Максимальная ёмкость1+ диск
MirrorЗеркалирование данных. Защита от отказа одного диска2+ диска
RAID-Z1Аналог RAID-5. Защита от отказа одного диска3+ диска
RAID-Z2Аналог RAID-6. Защита от отказа двух дисков4+ диска
RAID-Z3Защита от отказа трёх дисков5+ дисков

Для одиночного диска используется режим Stripe. При наличии двух дисков рекомендуется Mirror - это обеспечит отказоустойчивость без существенного усложнения конфигурации.

Разметка диска в установщике pfSense

Рис. 3. Выбор режима организации дисков (ZFS)

Дополнительные параметры установки

В меню Advanced Options доступны следующие настройки:

  • Swap Size - размер раздела подкачки (по умолчанию определяется автоматически, можно указать вручную, например, 1G; значение 0 отключает swap)
  • Low Capacity System - режим для устройств с объёмом хранилища менее 4 ГБ: отключает swap, использует UFS с MBR
  • ZFS Pool Name - имя ZFS-пула (по умолчанию pfSense)
  • Console Type - тип консоли: EFI, Video или None
  • Wipe Disks - очистка метаданных разделов и файловых систем на целевых дисках перед установкой

Подтверждение и установка

После выбора всех параметров установщик отобразит предупреждение о том, что все данные на выбранных дисках будут уничтожены. После подтверждения начнётся загрузка и установка выбранной версии pfSense.

По завершении установки появится предложение перезагрузить систему или открыть командную оболочку для дополнительных настроек. При перезагрузке необходимо извлечь установочный носитель, чтобы загрузка выполнилась с диска.

Назначение интерфейсов

После первой загрузки с установленной системы pfSense отобразит консольное меню. При первом запуске система предложит назначить сетевые интерфейсы.

Консольное меню pfSense

Рис. 4. Консольное меню pfSense после установки

Настройка VLAN

Первый вопрос - необходимость настройки VLAN-интерфейсов. Для большинства базовых конфигураций следует ответить n (нет). Настройку VLAN можно выполнить позже через веб-интерфейс.

Если VLAN требуются с самого начала (например, при подключении к транковому порту коммутатора), следует ответить y и указать номер VLAN-тега и приоритет.

Назначение WAN и LAN

Система отобразит список обнаруженных сетевых интерфейсов с их MAC-адресами и статусом подключения (up/down). Для назначения интерфейсов доступны два способа.

Автоматическое определение:

  1. Отключите все сетевые кабели
  2. Введите a и нажмите Enter
  3. Подключите кабель к интерфейсу, который должен стать WAN
  4. Дождитесь определения подключения
  5. Нажмите Enter для подтверждения
  6. Повторите процедуру для LAN и дополнительных интерфейсов

Ручное назначение:

Введите имя интерфейса (например, igb0, em0, vmx0, vtnet0) при запросе WAN, затем при запросе LAN. Для завершения добавления интерфейсов нажмите Enter без ввода имени.

Идентифицировать интерфейсы можно по:

  • MAC-адресу, отображаемому в списке
  • Имени драйвера (igb - Intel, em - Intel, re - Realtek, vtnet - VirtIO, vmx - VMXNET3)
  • Статусу подключения (up/down) - подключите кабель к нужному порту и проверьте, какой интерфейс перешёл в состояние up

Назначение интерфейсов pfSense

Рис. 5. Назначение WAN и LAN интерфейсов

После назначения система запросит подтверждение: Do you want to proceed (y|n)?. Введите y для применения конфигурации.

Параметры по умолчанию после назначения

ПараметрЗначение
WAN IPПолучен по DHCP
LAN IP192.168.1.1/24
DHCP-сервер на LANВключён (диапазон 192.168.1.100 - 192.168.1.199)
Правила файрвола WANВесь входящий трафик заблокирован
Правила файрвола LANВесь исходящий трафик разрешён
DNS ResolverВключён (Unbound)

Первоначальная настройка через веб-интерфейс

После назначения интерфейсов pfSense готов к настройке через веб-интерфейс.

Доступ к веб-интерфейсу

  1. Подключите рабочую станцию к LAN-порту pfSense
  2. Убедитесь, что рабочая станция получила IP-адрес по DHCP из диапазона 192.168.1.0/24
  3. Откройте браузер и перейдите по адресу https://192.168.1.1
  4. Примите предупреждение о самоподписанном сертификате
  5. Введите учётные данные по умолчанию: логин admin, пароль pfsense

Внимание:

Учётные данные по умолчанию необходимо изменить сразу после первого входа. Оставление стандартного пароля представляет серьёзную угрозу безопасности.

Мастер первоначальной настройки

При первом входе автоматически запустится мастер настройки (Setup Wizard), который проведёт через основные параметры конфигурации:

  1. Hostname и Domain - имя хоста и домен (например, pfsense.local)
  2. DNS-серверы - адреса DNS-серверов провайдера или публичные DNS (8.8.8.8, 1.1.1.1)
  3. Часовой пояс - выбор часового пояса и NTP-сервера
  4. Настройка WAN - тип подключения (DHCP, Static, PPPoE), параметры провайдера, MTU
  5. Настройка LAN - IP-адрес и маска подсети LAN-интерфейса
  6. Пароль администратора - обязательная смена пароля по умолчанию
  7. Применение конфигурации - сохранение и применение всех параметров

Мастер настройки pfSense

Рис. 6. Мастер первоначальной настройки (Setup Wizard)

После завершения работы мастера отобразится главная панель управления pfSense (Dashboard). Система готова к дальнейшей настройке правил файрвола, VPN, NAT и других сервисов.

Установка в виртуальной среде

При развёртывании pfSense в виртуальной среде процесс установки аналогичен физическому оборудованию, однако требует учёта специфики гипервизора. Подробные требования к каждой платформе описаны в разделе системных требований .

VMware ESXi

  • Подключите ISO-образ через виртуальный CD/DVD-привод виртуальной машины
  • Используйте тип гостевой ОС FreeBSD 14 (64-bit)
  • Сетевые адаптеры: VMXNET3 для максимальной производительности
  • Дисковый контроллер: PVSCSI (требуется минимальный объём диска 8 ГБ)
  • Убедитесь, что в настройках CPU включена передача инструкций AES-NI

Proxmox VE

  • Загрузите ISO-образ в хранилище Proxmox (Datacenter > Storage > ISO Images)
  • Тип машины: q35
  • Сетевые адаптеры: VirtIO (virtio-net) - драйверы включены в ядро FreeBSD
  • Дисковый контроллер: VirtIO SCSI
  • Тип CPU: host (для проброса аппаратных инструкций)

KVM / QEMU (без Proxmox)

Пример создания виртуальной машины:

virt-install \
  --name pfsense \
  --ram 2048 \
  --vcpus 2 \
  --disk size=16,bus=virtio \
  --cdrom /path/to/pfSense-plus-installer.iso \
  --network bridge=br0,model=virtio \
  --network bridge=br1,model=virtio \
  --os-variant freebsd14.0 \
  --graphics vnc

Для headless-установки через последовательную консоль используйте Serial-образ и добавьте параметр --console pty,target_type=serial.

Hyper-V

  • Создайте виртуальную машину Generation 2
  • Отключите Secure Boot в настройках виртуальной машины - без этого pfSense не загрузится
  • Используйте синтетические сетевые адаптеры Hyper-V
  • Подключите ISO-образ через виртуальный DVD-привод

Общие рекомендации

  • Выделяйте фиксированный объём оперативной памяти (не используйте динамическое выделение)
  • Создавайте отдельные виртуальные коммутаторы или сетевые мосты для WAN и LAN
  • После установки удалите виртуальный CD/DVD-привод из конфигурации виртуальной машины
  • Для высоконагруженных сценариев рассмотрите PCI Passthrough физических сетевых адаптеров

Устранение неполадок

Сетевой адаптер не обнаружен

Симптом: Установщик или система после установки не отображает один или несколько сетевых интерфейсов.

Решения:

  • Проверьте совместимость адаптера с версией FreeBSD, на которой основан используемый выпуск pfSense. Список совместимого оборудования доступен в FreeBSD Hardware Notes
  • USB-сетевые адаптеры не поддерживаются и не будут обнаружены
  • В виртуальных средах убедитесь, что используется поддерживаемый тип адаптера (VirtIO, VMXNET3, E1000) - эмулированные адаптеры rtl8139 и ne2k могут не распознаваться
  • При использовании PCI Passthrough проверьте, что IOMMU (VT-d / AMD-Vi) включён в BIOS

Система не загружается с установочного носителя

Симптом: При загрузке система игнорирует USB-накопитель или DVD и загружается с внутреннего диска.

Решения:

  • Проверьте приоритет загрузки в BIOS/UEFI - USB должен быть выше внутреннего диска
  • Для UEFI-систем убедитесь, что Secure Boot отключён
  • Если USB-накопитель не отображается в меню загрузки, попробуйте другой USB-порт (USB 2.0 вместо USB 3.0 на старом оборудовании)
  • Убедитесь, что образ записан на диск целиком, а не скопирован как файл. Образ необходимо записывать через dd или Etcher, а не простым копированием файла на флеш-накопитель
  • Проверьте целостность образа через контрольную сумму SHA-256

Система не загружается после установки

Симптом: После завершения установки и перезагрузки система не загружается с внутреннего диска.

Решения:

  • Извлеките установочный носитель перед загрузкой
  • Проверьте, что в BIOS выбран корректный загрузочный диск
  • При использовании GPT на оборудовании без поддержки UEFI попробуйте переустановить с разметкой MBR
  • Убедитесь, что диск не повреждён - запустите установщик повторно и используйте опцию Wipe Disks в Advanced Options перед переустановкой

Нет доступа к веб-интерфейсу

Симптом: Браузер не открывает https://192.168.1.1 после установки.

Решения:

  • Убедитесь, что рабочая станция подключена к LAN-порту, а не к WAN
  • Проверьте, что рабочая станция получила IP-адрес в подсети 192.168.1.0/24 (по DHCP или вручную)
  • Если LAN-адрес был изменён в процессе установки, используйте актуальный адрес
  • Попробуйте HTTP вместо HTTPS: http://192.168.1.1
  • Из консоли pfSense выберите пункт 2) Set interface(s) IP address для проверки или изменения IP-адреса LAN
  • Выберите пункт 16) Restart PHP-FPM в консольном меню для перезапуска веб-сервера

Ошибки при установке ZFS

Симптом: Установщик сообщает об ошибках при создании ZFS-пула.

Решения:

  • При установке в режиме Mirror или RAID-Z убедитесь, что выбрано достаточное количество дисков
  • Используйте опцию Wipe Disks для очистки метаданных предыдущих файловых систем на целевых дисках
  • Для систем с объёмом хранилища менее 4 ГБ используйте UFS вместо ZFS - включите режим Low Capacity System в Advanced Options

Связанные разделы

Last updated on
Системные требования pfSense - оборудование и совместимость