Настройка Wi-Fi в pfSense - точка доступа и безопасность
Встроенная поддержка Wi-Fi в pfSense позволяет превратить систему в беспроводную точку доступа без дополнительного оборудования. Беспроводной интерфейс создаётся поверх физического Wi-Fi адаптера и настраивается через веб-интерфейс pfSense аналогично проводным интерфейсам. После настройки беспроводной интерфейс получает собственные правила файрвола, DHCP-сервер и может быть интегрирован с VLAN и Captive Portal .
Поддерживаемые беспроводные чипсеты
pfSense работает на базе FreeBSD, поэтому совместимость беспроводных адаптеров определяется наличием драйверов в ядре FreeBSD. Не все Wi-Fi адаптеры поддерживаются, и не все поддерживаемые адаптеры работают в режиме точки доступа (hostap).
Рекомендуемые чипсеты
| Чипсет | Драйвер FreeBSD | Режим AP | Диапазон | Примечания |
|---|---|---|---|---|
| Atheros AR9280 | ath(4) | Да | 2.4/5 ГГц | Наиболее совместимый, двухдиапазонный |
| Atheros AR9287 | ath(4) | Да | 2.4 ГГц | Стабильная работа, только 2.4 ГГц |
| Atheros AR9380 | ath(4) | Да | 2.4/5 ГГц | 802.11n 3x3 MIMO |
| Atheros AR9485 | ath(4) | Да | 2.4 ГГц | Распространён в ноутбуках |
| QCA9565 | ath(4) | Да | 2.4 ГГц | Бюджетный вариант |
| Ralink RT2860 | run(4) | Ограничено | 2.4 ГГц | Не все функции AP доступны |
Неподдерживаемые и проблемные чипсеты
Адаптеры на базе Intel Wi-Fi (iwlwifi/iwm), Broadcom (bwn), Realtek (rtwn) и Mediatek не поддерживают режим точки доступа в FreeBSD или имеют серьёзные ограничения. Адаптеры с интерфейсом USB работают менее стабильно по сравнению с PCIe/mini-PCIe вариантами.
Перед приобретением адаптера необходимо проверить его совместимость в документации FreeBSD по беспроводным драйверам. Чипсет на базе Atheros AR92xx/AR93xx с интерфейсом mini-PCIe является оптимальным выбором для pfSense.
Создание беспроводного интерфейса
Проверка распознавания адаптера
После установки беспроводного адаптера необходимо убедиться, что pfSense распознал устройство. Перейдите в Interfaces > Assignments и проверьте наличие беспроводного интерфейса в списке доступных сетевых портов. Беспроводные адаптеры отображаются с суффиксом wlan - например, ath0 (физический адаптер) и ath0_wlan0 (беспроводной интерфейс).
Если адаптер не отображается в списке, проверьте физическое подключение и совместимость чипсета. Информацию об обнаруженных устройствах можно получить через Diagnostics > Command Prompt, выполнив команду:
sysctl net.wlan.devicesКоманда отобразит список беспроводных устройств, распознанных ядром системы.
Назначение интерфейса
- Перейдите в Interfaces > Assignments
- В выпадающем списке Available network ports выберите беспроводной адаптер
- Нажмите Add для создания нового интерфейса (например, OPT1)
- pfSense автоматически создаст интерфейс
wlan0поверх физического адаптера
Настройка параметров интерфейса
Перейдите на страницу настройки назначенного интерфейса (Interfaces > OPTn) и заполните следующие параметры.
Общие параметры:
- Enable - установите флажок для активации интерфейса
- Description - введите понятное имя, например
WIFI_CORPилиWIRELESS - IPv4 Configuration Type - выберите
Static IPv4 - IPv4 Address - задайте IP-адрес для беспроводного интерфейса (например, 192.168.100.1/24)
Параметры беспроводной сети (Common Wireless Configuration):
- Standard - выберите стандарт Wi-Fi:
802.11ngдля 2.4 ГГц или802.11naдля 5 ГГц - Mode - выберите
Access Pointдля создания точки доступа - SSID - введите имя беспроводной сети
- Channel - выберите канал вещания (Auto или конкретный канал, свободный от помех)
- Channel Width - ширина канала:
20 MHzдля стабильности или40 MHz (HT40)для пропускной способности
Режимы работы беспроводного интерфейса
pfSense поддерживает несколько режимов работы беспроводного интерфейса, каждый из которых предназначен для определённого сценария.
Access Point (hostap)
Основной режим для создания собственной беспроводной сети. pfSense выступает в роли точки доступа, к которой подключаются клиентские устройства. В этом режиме доступны все функции безопасности (WPA2/WPA3), управление каналами и мощностью передатчика.
Infrastructure (BSS/Station)
Режим клиента беспроводной сети. pfSense подключается к существующей точке доступа как обычное клиентское устройство. Используется в сценариях, когда pfSense получает WAN-подключение через Wi-Fi - например, при отсутствии проводного подключения к интернету.
Ad-hoc (IBSS)
Режим одноранговой сети без точки доступа. Устройства взаимодействуют напрямую друг с другом. Практическое применение ограничено и не рекомендуется для производственных сред.
Безопасность беспроводной сети
Настройка безопасности выполняется в разделе беспроводного интерфейса на вкладке Wireless Security (или в секции Authentication and Encryption на странице интерфейса).
WPA2 (рекомендуемый минимум)
WPA2 с шифрованием AES-CCMP является минимально допустимым уровнем безопасности для беспроводных сетей.
| Параметр | Значение |
|---|---|
| Enable WPA | Установить флажок |
| WPA Mode | WPA2 |
| WPA Key Management Mode | Pre-Shared Key |
| WPA Pre-Shared Key | Пароль длиной не менее 12 символов |
| WPA Pairwise | AES (CCMP) |
Не используйте TKIP - этот протокол шифрования устарел и содержит известные уязвимости. Режим смешанного шифрования (TKIP+AES) также нежелателен, так как снижает общий уровень безопасности до TKIP.
WPA3
WPA3 обеспечивает улучшенную защиту за счёт протокола SAE (Simultaneous Authentication of Equals), который устраняет уязвимости четырёхстороннего рукопожатия WPA2. Поддержка WPA3 в pfSense зависит от версии FreeBSD и драйвера беспроводного адаптера. На момент написания полноценная поддержка WPA3 в режиме AP ограничена.
Для сетей, требующих WPA3, рекомендуется использовать внешнюю точку доступа с поддержкой WPA3 и подключить её к pfSense как проводной интерфейс или через VLAN .
802.1X (RADIUS)
Для корпоративных беспроводных сетей pfSense поддерживает аутентификацию 802.1X через внешний RADIUS-сервер (FreeRADIUS). В этом режиме каждый пользователь или устройство аутентифицируется индивидуально, что обеспечивает гранулярный контроль доступа и возможность отзыва учётных данных без изменения общего ключа сети.
Параметры RADIUS настраиваются в секции Authentication беспроводного интерфейса:
- WPA Key Management Mode - выберите
Enterprise (802.1X/RADIUS) - Authentication Server - укажите IP-адрес RADIUS-сервера
- Authentication Port - порт RADIUS (по умолчанию 1812)
- Authentication Secret - общий секрет для взаимодействия с RADIUS
Несколько SSID с привязкой к VLAN
pfSense позволяет создать несколько виртуальных беспроводных интерфейсов (VAP - Virtual Access Point) на одном физическом адаптере, при условии поддержки данной функции драйвером. Каждый VAP имеет собственный SSID и может быть привязан к отдельному VLAN .
Создание дополнительного беспроводного интерфейса
- Перейдите в Interfaces > Assignments > Wireless (вкладка)
- Нажмите Add для создания нового виртуального беспроводного интерфейса
- Выберите родительский физический адаптер (например,
ath0) - Режим - Access Point
- Сохраните настройки
После создания новый виртуальный интерфейс (например, ath0_wlan1) появится в списке доступных портов на странице Interfaces > Assignments, где его необходимо назначить как отдельный интерфейс.
Пример конфигурации с двумя SSID
| Параметр | Корпоративная сеть | Гостевая сеть |
|---|---|---|
| Интерфейс | ath0_wlan0 (OPT1) | ath0_wlan1 (OPT2) |
| SSID | CORP-WIFI | GUEST-WIFI |
| Безопасность | WPA2-Enterprise (802.1X) | WPA2-PSK |
| Подсеть | 192.168.100.0/24 | 192.168.200.0/24 |
| VLAN | 100 | 200 |
| DHCP | 192.168.100.10-254 | 192.168.200.10-254 |
| Доступ к LAN | Разрешён | Запрещён |
| Captive Portal | Нет | Да |
Для гостевой сети настройте правила файрвола, запрещающие доступ к внутренним подсетям и разрешающие только выход в интернет. Интеграция с Captive Portal позволяет реализовать страницу авторизации для гостей.
Интеграция с Captive Portal
Беспроводной интерфейс pfSense может быть привязан к зоне Captive Portal для обеспечения аутентификации пользователей перед предоставлением доступа к сети. Подробная настройка Captive Portal описана в разделе Captive Portal .
Для привязки беспроводного интерфейса к Captive Portal:
- Перейдите в Services > Captive Portal
- Создайте новую зону или выберите существующую
- В параметрах зоны выберите беспроводной интерфейс в списке Interfaces
- Настройте параметры аутентификации и страницу авторизации
Рекомендации по производительности
Использование pfSense в качестве точки доступа Wi-Fi имеет ряд ограничений, которые необходимо учитывать при планировании.
Ограничения встроенного Wi-Fi
- Антенны - встроенные или штатные антенны обеспечивают ограниченную зону покрытия по сравнению с выделенными точками доступа с внешними антеннами и технологией MIMO
- Производительность - обработка беспроводного трафика создаёт дополнительную нагрузку на CPU, что может снизить производительность маршрутизации и файрвола
- Стандарты - поддержка ограничена стандартами 802.11a/b/g/n; поддержка 802.11ac (Wi-Fi 5) и 802.11ax (Wi-Fi 6) отсутствует из-за ограничений драйверов FreeBSD
- Масштабируемость - количество одновременных клиентов ограничено возможностями адаптера и драйвера (обычно 10-30 устройств)
Рекомендуемая архитектура для производственных сред
Для производственных сетей рекомендуется следующая архитектура:
- Выделенные точки доступа (Ubiquiti UniFi, Aruba, Ruckus) обслуживают беспроводных клиентов
- Точки доступа подключены к управляемому коммутатору через access-порты или trunk-порты (при использовании нескольких SSID/VLAN)
- pfSense выполняет маршрутизацию между VLAN, применение правил файрвола и предоставление сетевых сервисов ( DHCP , DNS)
Такой подход обеспечивает максимальную производительность беспроводной сети и не перегружает pfSense обработкой радиочастотного трафика.
Устранение неполадок
Адаптер не распознаётся
Симптом: беспроводной адаптер отсутствует в списке интерфейсов.
Решение:
- Проверьте физическое подключение адаптера (извлеките и установите повторно)
- Выполните команду
sysctl net.wlan.devicesчерез Diagnostics > Command Prompt для проверки распознавания устройства ядром - Убедитесь, что чипсет адаптера поддерживается FreeBSD (серия Atheros AR9xxx рекомендуется)
- Для USB-адаптеров проверьте вывод команды
usbconfig list
Режим точки доступа недоступен
Симптом: при выборе режима Access Point интерфейс не запускается или появляется ошибка.
Решение:
- Не все поддерживаемые адаптеры работают в режиме hostap - проверьте документацию драйвера
- Адаптеры Intel и Broadcom не поддерживают режим AP в FreeBSD
- Используйте адаптер на базе Atheros с поддержкой ath(4)
Низкая пропускная способность
Симптом: скорость передачи данных значительно ниже ожидаемой.
Решение:
- Проверьте выбранный стандарт Wi-Fi - убедитесь, что используется 802.11n (ng или na), а не 802.11b/g
- Увеличьте ширину канала с 20 МГц до 40 МГц (HT40) при отсутствии помех
- Выберите канал с наименьшим уровнем помех (используйте анализатор Wi-Fi для определения загруженности каналов)
- Проверьте настройку мощности передатчика (Regulatory Domain и TX Power)
- Убедитесь, что шифрование использует AES, а не TKIP
Периодические отключения клиентов
Симптом: клиенты периодически теряют подключение к точке доступа.
Решение:
- Проверьте журналы системы (Status > System Logs > Wireless) на наличие ошибок драйвера
- Убедитесь в стабильности питания (особенно для USB-адаптеров)
- Снизьте количество одновременных подключений
- Обновите pfSense до последней версии для получения исправлений драйверов
- Проверьте наличие помех от соседних сетей на том же канале
- При использовании нескольких VAP убедитесь, что все работают на одном канале (требование аппаратного уровня)
Клиенты подключаются, но не получают IP-адрес
Симптом: устройства подключаются к SSID, но не получают IP через DHCP.
Решение:
- Убедитесь, что DHCP-сервер включён для беспроводного интерфейса
- Проверьте диапазон адресов DHCP-пула
- Убедитесь, что правила файрвола на беспроводном интерфейсе разрешают DHCP-трафик (порты UDP 67/68)
- Проверьте, что интерфейсу назначен IP-адрес из корректной подсети