pfSense book之2.4安装指南

pfSense商店的硬件产品都预装了pfSense软件。要重新安装pfSense软件或将其安装到其他硬件,请按照本章所述下载安装程序映像。

警告

预先从pfSense商店或授权合作伙伴以外的商业供应商预装pfSense软件的硬件不值得信任。 第三方可能已经对软件进行了未经授权的、未知的更改或添加。 销售pfSense软件的预加载副本违反了“商标使用指南”。

如果供应商在第三方硬件上预装了pfSense软件,请删除系统并用正版软件重新安装。

如果在安装过程中出现问题,请参阅安装故障排除。

本章还介绍了升级pfSense软件的安装(升级现有安装),使其保持最新的安全性,错误修复和新功能。

  • 下载安装文件
  • 准备安装介质
  • 连接到控制台
  • 执行安装
  • 分配接口
  • 其他安装方法
  • 安装疑难解答
  • 更新现有系统
  • 文件系统调整

下载安装文件

从pfSense商店购买防火墙的客户可以从pfSense门户网站的帐户下载经过调整的出厂安装映像。 Netgate文档站点包含每种型号的具体说明,因此,在根据本章中的信息下载映像之前,请首先检查该网站。

对于不再支持pfSense商店的硬件或其他硬件,请继续阅读。

  • 在电脑浏览器上输入 www.pfsense.org
  • 单击Downloads
  • 选择一个安装文件的类型(File Type)
  • 选择一个架构:
AMD64 (64-bit): 适用于64位x86-64 Intel或AMD硬件
Netgate ADI: 适用于大多数来自pfSense Store的SG系列防火墙,特别是在COM2上包含USB控制台端口的型号
  • 选择64位安装平台:
USB Memstick Installer:
可以写入U盘,并在目标硬件上进行安装的磁盘映像。
CD Image (ISO) Installer:
从光盘进行安装或与IPMI或可从ISO映像引导的虚拟机管理程序一起使用。
  • 为USB Memstick安装程序映像选择一个控制台:
    VGA: 使用连接到目标硬件的显示器和键盘进行安装。
    Serial: 在目标硬件的COM1上使用串行控制台进行安装。该选项需要物理控制台端口。
  • 选择一个镜像下载地址
  • 单击 下载
  • 复制页面显示的SHA-256值以验证下载文件的完整性。

注意

要查看镜像上所有文件的列表,请不要从下拉菜单中选择除镜像以外的任何选项,然后单击下载。

pfSense软件版本2.4.2-RELEASE-p1的文件名是:

USB Memstick Installer (Netgate ADI):
pfSense-CE-memstick-ADI-2.4.2-RELEASE-amd64.img.gz
USB Memstick Installer (VGA):
pfSense-CE-memstick-2.4.2-RELEASE-amd64.img.gz
USB Memstick Installer (Serial):
pfSense-CE-memstick-serial-2.4.2-RELEASE-amd64.img.gz
ISO Image installer:
pfSense-CE-2.4.2-RELEASE-amd64.iso.gz

验证下载的完整性

安装程序映像的完整性可以通过将所下载文件的计算散列值与最初创建文件时由pfSense项目计算的散列值进行比较来验证。 项目提供的当前哈希使用SHA-256。

准备安装介质

将下载的安装映像写到U盘或光盘上。 这些文件不能直接复制到媒体上,而必须使用适当的工具写入。

U盘和ISO映像之间的主要区别在于映像如何写入安装盘。 这两种类型的映像都将pfSense软件安装到目标磁盘。 另一个不同之处在于不同USB存储器映像的控制台类型。 安装后,他们各自保留其控制台设置。

注意

如果目标硬件没有光驱并且无法从USB启动,请使用其他硬件将软件安装到目标磁盘。有关更多信息,请参阅其他安装方法。

解压缩安装文件

安装磁盘映像在下载时被压缩以节省带宽和存储空间。 在将该映像写入安装盘之前解压缩该文件。

文件上的.gz扩展名表示该文件是用gzip压缩的。 该映像可以在Windows上使用7-Zip进行解压缩,或在BSD / Linux / Mac上使用gunzip或gzip -d命令进行解压缩。

写入安装介质

根据介质类型的不同,创建安装盘需要不同的过程。按照所选介质类型的相应章节中的说明进行操作。

  • 写入U盘
  • 写入CD/DVD

写入U盘

警告

写磁盘映像时要格外小心! 如果客户端PC包含其他硬盘驱动器,则可能会选择错误的驱动器并用安装程序磁盘覆盖该驱动器的一部分,这会使得磁盘完全无法读取。

将U盘插入电脑

首先将U盘插入电脑端口,在PC找到U盘设备名称:

Windows中的“磁盘管理”界面是从磁盘删除分区的一种方法,但通常禁用该操作。最简单也是最可靠的方法是使用diskpart。

  • 以管理员身份启动 cmd.exe
  • 运行 diskpart
  • 输入 list disk 显示连接到客户端PC的磁盘
  • 找到列表中的目标U盘,并记下其磁盘编号
  • 输入select disk n,其中n是上一个命令输出中列表中目标U盘磁盘编号
  • 输入 clean 从磁盘上删除分区
  • 输入exit以停止diskpart并返回到命令提示符
  • 再次输入 exit 以关闭命令提示符窗口

写入映像文件

将安装映像写入U盘,不同的操作系统操作步骤不同,这里以Windows为例。

警告

本节中的操作将完全覆盖U盘上的任何现有内容!请写入前,请选检查U盘是否有要保存或备份的文件。

从Windows工作站向U盘写入安装映像,请使用Win32 Disk Imager或Rufus等GUI工具。

Win32 Disk Imager

  • 下载并安装Win32 Disk Imager
  • 以管理员身份启动 Win32 Disk Imager
  • 单击文件夹图标
  • 导航到解压缩的安装介质映像的位置
  • 选择安装映像文件
  • 从设备下拉列表中选择目标U盘
  • 单击写入
  • 等待写入完成

Rufus

  • 下载安装Rufus
  • 以管理员身份启动Rufus
  • 从设备下拉列表中选择目标U盘
  • 从“使用创建可启动磁盘”旁边的下拉列表中选择“DD映像”
  • 单击使用创建可启动磁盘旁边的CD-ROM图标
  • 导航到解压缩的安装介质映像的位置
  • 选择映像文件
  • 单击开始
  • 等待写入完成

故障排除

如果写入磁盘失败,请擦除U盘,然后重试。如果仍然失败,请使用其他U盘。

写入 CD/DVD

要在光盘驱动器上使用ISO映像文件,必须使用适当的刻录软件将ISO映像刻录到CD或DVD光盘上。

由于ISO映像是全盘映像,因此必须针对映像文件进行适当的刻录,而不是包含单个ISO文件的数据CD。

Windows 7和更高版本包括无需额外软件即可原生刻录ISO映像的功能。 最重要的是,几乎所有主要的Windows CD刻录软件包都能够刻录ISO映像。

操作步骤如下:

  • 打开Windows资源管理器并找到解压后的ISO映像文件
  • 右键点击ISO映像文件
  • 点击刻录光盘映像
  • 从下拉列表中选择适当的光盘刻录机驱动器
  • 插入空白的CD或DVD光盘
  • 点击刻录

当Windows资源管理器中选择ISO映像时,更高版本(如Windows 10)也会在功能区上显示光盘映像工具选项卡。该选项卡有一个刻录图标,也可以调用相同的光盘刻录界面进行操作。

连接到控制台

目标硬件上的控制台连接是运行安装程序的要求。

对于具有VGA控制台的硬件,这与连接显示器和键盘一样简单。

对于具有串行控制台的硬件,该过程涉及更多,需要带有适当的端口和终端软件的客户端PC。 按照以下说明使用串行控制台进行连接。

连接到串行控制台

本节中的说明涵盖了一般串行控制台的操作方法。 某些设备(如pfSense Store中的防火墙)需要稍微不同的方法才能连接到串行控制台。 对于来自pfSense商店的设备,请访问Netgate文档获取特定型号的串行控制台说明。

串行控制台要求

大多数防火墙上的串行控制台连接需要以下硬件:

  • 客户端PC必须具有物理串行端口或USB转串口适配器
  • 防火墙必须有物理串行端口
  • 串行电缆和/或适配器

对于从pfSense商店购买的大多数防火墙,唯一的硬件要求是USB A到Mini-B电缆。 有关详细信息,请参阅Netgate文档。

除了正确的硬件连接之外,还必须在客户端PC上提供串行控制台客户端程序,串行速度和其他设置也必须正确。

在Windows客户端上,物理串行端口通常是COM1。 使用USB转串口适配器,可能是COM3。 在Windows中打开设备管理器并展开端口(COM和LPT)以查找端口分配。

确定串行控制台设置

在客户端可以成功连接到串行控制台之前,必须知道串行端口的设置(包括速度)。

无论使用哪种串行客户端,都要确保它被设置为正确的速度(115200),数据位(8),奇偶校验(No)和停止位(1)。 通常写为115200/8 / N / 1。

注意

某些硬件默认速度较慢。 PC引擎ALIX默认为38400/8 / N / 1,Soekris硬件默认为19200/8 / N / 1。 这与BIOS和初始输出有关,而不是pfSense,默认为115200。

许多串行客户端默认为9600/8 / N / 1,因此需要调整这些设置才能连接。 不管硬件/ BIOS的设置如何,使用115200/8 / N / 1与pfSense进行连接。

对于使用115200以外的BIOS串行速度的硬件,在BIOS设置中将波特率更改为115200,这样BIOS和pfSense都可以使用相同的设置进行访问。

pfSense默认使用115200的速度,但pfSense使用的串行速度也可以更改。

串行客户端

客户端PC上必须使用串行客户端程序。 Windows上最流行的客户端是PuTTY,它是免费的,运行良好。

警告

不要使用超级终端。即使它已经存在于客户端PC上,也是不可靠的,并且容易格式错误地丢失数据。

启动串行客户端

PuTTY

  • 启动PuTTY
  • 为连接类型选择串口
  • 输入串行端口设备名称,例如: COM3 或 /dev/ttyUSB0.
  • 输入适当的速度 ,例如: 115200
  • 单击打开

执行安装

本节介绍将pfSense软件安装到目标驱动器(如SSD或HDD)的过程。这涉及从安装程序或CD / DVD光盘启动,然后完成安装程序。

以下是安装步骤:

  • 下载安装映像
  • 执行安装
  • 连接到控制台

引导安装介质

对于安装U盘,插入U盘,然后打开目标系统的电源。 BIOS可能需要在硬件引导之前插入U盘。

对于CD / DVD安装,请打开硬件电源,然后将CD放入光驱。

pfSense将开始启动,并自动启动安装程序。

在BIOS中指定引导顺序

如果目标系统无法从U盘或CD启动,可能的原因是在BIOS中的引导介质列表中找不到给定的设备。 许多较新的主板支持在POST期间通过按键调用一次启动菜单,通常是Esc或F12。

如果没有,请更改BIOS中的引导顺序。 首先,打开硬件电源并进入BIOS设置程序。 引导顺序选项通常在“引导或引导优先级”标题下找到,也可能位于其他位置。 如果未启用从USB或光盘驱动器引导的支持,或者从包含另一个OS的硬盘驱动器启动的优先级较低,硬件将无法从安装程序介质启动。

安装到硬盘

对于串行控制台连接的U盘安装,第一个提示将要求安装程序使用的终端类型。对于PuTTY或GNU屏幕,xterm是使用的最佳类型。也可以使用以下终端类型:

ansi: 通用终端与颜色编码
vt100: 没有颜色的通用终端,最基本的/兼容的选项,如果其他终端类型不工作,可以选择这个
xterm: X终端窗口。与大多数现在客户端(例如PuTTY,屏幕)兼容
cons25w: FreeBSD控制台风格的终端

对于VGA控制台,可以选择 cons25w

注意

要接受所有默认设置并使用典型安装,请在每个提示符处按回车,直到安装程序完成。

安装程序启动后,查看屏幕非常直观,其工作方式如下:

  • 要选择项目,请使用箭头键移动选择焦点,直到所需项目高亮显示。
  • 对于包含列表的安装程序屏幕,请使用向上和向下箭头键来突出显示列表中的条目。使用左右箭头键突出显示屏幕底部的操作,如“选择”和“取消”。
  • 按回车键选择一个选项并激活与该选项关联的操作。

开始安装

首先,安装程序会提示启动安装过程或Rescue Shell。 要继续安装,请在安装被选中时按回车键。 Rescue Shell选项启动一个基本的shell提示符,高级用户可以执行任务来以安装程序不完全支持的方式准备系统,或在防火墙上执行诊断测试或修复。

接下来是“ Keymap Selection(键盘布局)”屏幕。 对于使用标准PC键盘的大多数用户,请按回车键选择使用默认键盘布局继续。 如果用于控制台的键盘具有不同的布局,请在列表中找到并选择它。 做出选择后,返回到列表顶部,并选择测试或继续。

分区/ 文件系统选择

分区步骤选择防火墙目标磁盘的文件系统。 在pfSense 2.3.x和之前,唯一的选择是UFS。 新的ZFS文件系统类型比旧的UFS格式更可靠,功能更多,但是ZFS可能会耗尽内存。 任何一个文件系统都可以在有几GB 内存的硬件上工作,但是如果RAM使用率对于在此防火墙上运行的其他任务至关重要,那么UFS是更为保守的选择。 对于需要UEFI的硬件,请使用ZFS。

根据所选的文件系统类型,安装过程会稍有不同,所以请按照以下与该防火墙使用的文件系统类型相匹配的部分进行操作。

UFS

  • 选择 Auto (UFS)

  • 选择安装程序将列出pfSense软件的目标磁盘,例如ada0。安装程序将显示连接到防火墙的每个支持的硬盘驱动器以及任何受支持的RAID或gmirror卷。

  • 选择 Entire Disk(整个磁盘)

  • 选择Yes确认安装程序可以覆盖整个磁盘

  • 选择用于磁盘的分区方案:

    GPT: GUID分区表布局。被大多数现代的x86系统所使用。可能无法在较旧的硬件/ BIOS版本上运行。可以先试试这个方法。
    BSD: 没有MBR的BSD标签,曾经被称为“危险专用模式”。这种方法应该适用于大多数不能使用GPT的硬件。这是老版本的pfSense软件使用的方法。
    MBR: 只有当GPT和BSD不能在特定的硬件上工作时才选择这个选项。
    Others: 其他选择与能够运行pfSense软件的硬件无关
  • 选择“Finish(完成)“以接受安装程序选择的自动分区布局。

    注意

    分区大小等可以在这里定制,但我们不建议采取这一步。对于几乎所有的安装,默认的大小是正确和最佳的。

  • 选择“Commit (提交)”将分区布局写入目标磁盘。

ZFS

  • 选择Auto (ZFS)
  • 选择Pool Type / Disks
    • 选择Virtual Device Type(虚拟设备类型)。 ZFS以各种方式支持多个磁盘以实现冗余和/或额外容量。虽然ZFS使用多个磁盘是软件RAID,但它比使用单个磁盘更可靠。
      stripe: 单个磁盘或多个磁盘一起构成一个更大的磁盘。对于具有单个目标磁盘的防火墙,这是正确的选择。 (RAID 0)
      mirror: 两个或多个磁盘都包含相同的内容以实现冗余。即使一个磁盘挂掉也可以继续运行。 (RAID 1)
      raid10: RAID 1 + 0,n×2路镜像。stripe和mirror的组合,提供冗余和额外的容量。可以随时丢失任何一个磁盘。
      raidzX: 单,双或三冗余RAID。 使用1个,2个或3个奇偶校验磁盘和一个池来提供额外的容量和冗余,因此一个,两个或三个磁盘可能会在池损坏之前发生故障。 虽然与RAID 5和RAID 6类似,但是RAIDZ设计有显着的不同。
    • 选择要用于所选虚拟设备类型的磁盘。 使用向上和向下箭头键突出显示磁盘和空间来选择磁盘。 即使列表中只有一个,也要选择一个磁盘。 对于镜像或RAID类型,请选择足够的磁盘以满足所选类型的要求。
    • 用左右箭头键选择OK。
    • 只有在默认的GPT(BIOS)不起作用的情况下,才能选择备用的分区方案。可能的选择包括:
      GPT (BIOS): GUID分区表布局和BIOS引导。被大多数现代的x86系统所使用。先试试这个方法。
      GPT (UEFI): 带有UEFI引导加载程序的GPT。
      GPT (BIOS+UEFI):
      GPT同时启动BIOS和UEFI。
      MBR (BIOS): BIOS启动的传统MBR分区。
      GPT + Active (BIOS):
      引导分区设置为活动的GPT,并启动BIOS。
      GPT + Lenovo Fix (BIOS):
      GPT与联想特定的启动修复程序。
    • 通过选择Swap Size(交换大小)然后输入一个新值来更改默认交换大小(可选)。通常情况下,最佳尺寸是防火墙中可用RAM的两倍,但较小的磁盘可能太多。
    • 其他选项保留为默认值。
    • 将选择移回Install (安装),并确保屏幕底部的操作突出显示选择。
    • 按 Enter 继续
  • 选择 Yes以确认目标磁盘选择,并确认目标磁盘的内容将被破坏。

继续安装

  • 坐下来,等待,并喝几口咖啡,安装程序格式化驱动器,然后复制pfSense文件到目标磁盘。
  • 提示进行最终修改时,请选择NO
  • 选择 Reboot重新启动防火墙
  • 在从磁盘引导之前,在重新引导过程中从防火墙中取出安装介质。

恭喜,pfSense软件安装完成!

分配接口

安装程序完成并重新启动防火墙后,防火墙软件会查找网络接口并尝试自动分配接口。

防火墙使用的自动接口分配配置文件是:

RCC-VE 4860/8860:

WAN: igb1, LAN: igb0

RCC-VE 2220/2440:

WAN: igb0, LAN: igb1

APU:

WAN: re1, LAN: re2

其他设备:

对于其他设备,例如,防火墙会查找通用接口并尝试分配它们:

WAN: igb0, LAN: igb1

WAN: em0, LAN: em1

WAN: re1, LAN: re2

pfSense存储设备的出厂固件包含适用于硬件的其他默认映射,这些映射取决于与设备一起订购的硬件。

如果防火墙不能自动确定网络接口布局,将会显示一个接口分配提示,如下图所示。 这是安装在防火墙中的网卡被赋予WAN,LAN和可选接口(OPT1,OPT2 … OPTn)的角色。

install-assigninterfaces.png

分配接口屏幕

防火墙显示检测到的网络接口及其MAC(媒体访问控制)地址的列表,以及如果网卡支持的链路状态的指示。 如果在该接口上检测到链路,则链路状态由(up)出现在MAC地址之后。

注意

(MAC)地址是分配给每个网卡的唯一标识符,并且两个网卡不会有相同的MAC地址。 如果网络上存在重复的MAC地址,无论是偶然还是故意欺骗,所有冲突节点都将遇到连接问题。

在显示网络接口列表后,防火墙会提示进行VLAN配置。如果需要VLAN,请回答y,否则输入n,然后按Enter键。防火墙提示首先设置WAN接口。 由于防火墙通常包含多个网卡,所以可能出现两难:如何判断哪个网卡是哪个? 如果每张卡的身份都已知,则为每个接口输入正确的设备名称。 如果网卡之间的差异是未知的,最简单的方法是使用自动检测功能。

对于自动接口分配,请按照以下步骤操作:

  • 拔下防火墙上的所有网线
  • 输入a并按Enter键
  • 将网线插入防火墙的WAN接口
  • 等待一段时间让防火墙检测到连接状态
  • 按Enter键

如果一切顺利的话,防火墙可以确定哪个接口用于WAN。

对LAN和可选接口重复相同的过程,如果有必要的话。 如果防火墙打印显示“No link-up detected(未检测到链接)”的消息,请参阅手动分配接口以获取有关整理网卡身份的更多信息。

一旦防火墙的接口列表正确,请在提示处按Enter键以获取更多接口。 防火墙会问你Do you want to proceed (y|n)(想继续吗(y | n))? 如果网络接口分配列表正确,请键入y,然后按Enter键。 如果分配不正确,请键入n,然后按Enter键重复分配过程。

注意

除了具有多个接口的正常路由/防火墙模式以外,防火墙还可以在仅具有单个接口(WAN)的设备模式下运行。 防火墙将GUI反锁定规则放置在WAN接口上,以便客户端可以从该网络访问防火墙Web界面。 由于没有内部接口或网络,因此通常的路由和NAT功能在此模式下无效。 这种类型的配置对***设备,DHCP服务器和其他独立角色很有用。

手动分配接口

如果自动检测功能不起作用,在安装之前仍然有希望告诉网卡之间的区别。一种方式是通过MAC地址,防火墙在分配屏幕上的接口名称旁会显示:

vmx0    00:0c:29:50:a4:04
vmx1    00:0c:29:50:ec:2f

MAC地址有时打印在网卡物理上的某个标签上。 对于虚拟化系统,虚拟机配置通常包含每个网卡的MAC地址。不同品牌,型号,有时芯片组的网卡可能会被不同的驱动程序检测到。使用bge驱动程序,除了使用Broadcom卡之外,还可以使用igb驱动程序告诉基于Intel的网卡,方法是查看卡本身并比较印刷在电路上的名称。网卡的探测顺序可能是不可预知的,这取决于硬件的设计方式。在少数情况下,具有大量端口的设备可能会使用不同的芯片组,以不同的方式进行探测,从而导致意外的顺序。通常按照总线顺序探测附加组件和多端口NIC,但是这些NIC可能因主板而异。如果硬件具有与附加NIC相同品牌的板载NIC,请注意,某些系统将首先列出板载NIC,而其他NIC则不会。如果探测顺序使得多个相同类型的NIC不明确,则可能需要反复试验以确定端口位置和驱动程序名称/编号组合。

网卡被识别后,在出现提示时在接口分配屏幕上输入每个网卡的名称。在上面的例子中,vmx0将是WAN,而vmx1将是LAN。要为其分配这些角色,请按照以下步骤操作:

  • 键入vmx0并在提示输入WAN地址时按Enter键
  • 输入vmx1并在提示输入LAN地址时按Enter键
  • 再次按Enter停止分配过程,因为此示例不包含任何可选接口。
  • 键入y并按Enter确认接口分配

其他安装方法

本节介绍了可能更容易满足某些罕见硬件要求的其他安装方法。

在不同的机器上安装驱动器

如果从USB或从DVD / CD驱动器启动到目标硬件不可能,则可以使用另一台计算机在目标硬盘驱动器上安装pfSense软件。然后将硬盘重新安装到原来的机器。

安装完成后,请允许安装机器重新启动,并在返回到BIOS屏幕后将其关闭。 从安装机中取出硬盘驱动器并将其放入目标防火墙中。 启动后,防火墙将提示进行接口分配,然后可以照常执行其余配置。

注意

当前版本的pfSense软件使用GPT id,UFS id和ZFS元数据等技术来装载磁盘,因此即使设备可能在实际目标硬件上使用不同的磁盘驱动程序,操作系统仍然可以找到并装载适当的磁盘。

使用USB重定向在VMware中完全安装

VMware Player和Workstation中的USB重定向可用于安装到硬盘。 大多数USB转SATA / IDE或类似的适配器将为此目的工作。 以下说明特定于VMware Workstation 12,但也适用于其他最新版本。

  • 将目标驱动器插入SATA / IDE适配器或SD / CF写入器
  • 将适配器/写入器插入客户端PC
  • 在客户端PC上打开VMware Workstation
  • 创建一个应该启用USB的虚拟机(默认启用)
  • 将虚拟机设置为在引导时在其虚拟CD / DVD驱动器中连接安装程序ISO映像
  • 启动虚拟机
  • 在VM BIOS屏幕中按Esc加载启动菜单
  • 在VMware窗口的底部找到USB适配器的图标
  • 点击USB适配器的图标
  • 点击连接(从主机断开)
  • 从启动菜单中选择CD-ROM驱动器
  • 继续进行与正常相同的安装,确保在安装过程中选择了正确的驱动器
  • 关闭虚拟机
  • 从客户端PC上移除目标磁盘
  • 将目标磁盘安装到真正需要的防火墙上

较早版本的VMware工作站可以使用自动USB重定向来实现相同的目标。拔下USB设备,在虚拟机内部单击以使其聚焦,然后插入USB设备。虚拟机应连接到USB驱动器。

安装故障排除

绝大多数时间,安装将完成没有问题。如果出现问题,以下部分将介绍最常见的问题以及解决问题的步骤。

从安装介质启动失败

由于使用的硬件组合广泛,CD或者U盘启动不正常(或者根本不启动)并不罕见。 鉴于商品硬件支持的不可预测性,使用pfSense商店的硬件是获得成功的唯一保证途径。

最常见的问题和解决办法是:

USB 驱动器支持:
有些BIOS实现可能会挑剔U盘。如果启动失败,可以尝试再更换一个。
USB 3 端口: U盘和端口的某些组合,特别是USB 3.0端口可能无法正常工作。在USB 2.0端口中请使用USB 2.0的U盘。
BIOS 问题: 更新到最新的BIOS,并禁用任何不需要的外围设备,如火线,软盘驱动器和音频。
光驱不干净:
请清洗或更换光驱。
光盘损坏:
重新刻录一张新的安装光盘。
SATA/IDE 接口问题:
在CD-ROM驱动器和控制器或主板之间尝试使用不同的SATA / IDE电缆
启动加载程序问题
有些情况下,来自FreeBSD的CD引导加载程序的特定版本在某些硬件上不起作用。 在这些情况下,请参阅“其他安装方法”以在单独的PC上执行目标驱动器安装,然后将其移至目标硬件。

安装失败后从硬盘启动

安装完成并重新启动防火墙后,可能会导致操作系统无法完全引导。 最常见的原因通常是BIOS相关的。 例如,BIOS可能无法使用GPT或ZFS从磁盘引导,或者可能需要UEFI。

其中的一些可能通过在安装过程中为分区布局选择不同的选项来解决。 将BIOS升级到最新版本也可能有所帮助。

改变BIOS中的SATA选项也改善了在某些情况下的启动。 如果正在使用SATA硬盘驱动器,请尝试更改BIOS中用于AHCI,Legacy或IDE等设置的SATA选项。 AHCI是目前版本的pfSense软件使用的最佳模式。

接口连接未检测到

如果防火墙在自动分配过程中报告没有检测到接口连接,请首先确保拔下电缆,并且在选择链路检测选项之前,接口没有链接指示灯。选择该选项后,将电缆重新插入接口,并确保在按Enter键前有链接指示灯。如果交换机和/或NIC端口连接后没有显示链接指示灯,请测试或更换有问题的网线。

如果网线直接连接到两台计算机之间而不是交换机,而其中一个硬件是旧的(例如10/100网卡),请确保使用交叉网线。千兆位适配器都支持Auto-MDIX,并将在内部处理,但许多旧的10/100适配器不支持。同样,如果将运行pfSense软件的防火墙连接到不支持Auto-MDIX的交换机,请使用直通网线。

如果接口正确连接,但防火墙仍然没有检测到链路事件,则网络接口可能无法正确检测或向操作系统或驱动程序报告链路状态。在这种情况下,手动分配接口是必要的。

硬件故障排除

以下建议将有助于解决一般硬件问题。

从USB引导

如果引导在通过USB CD / DVD驱动器启动Live CD时通过mountroot>提示停止,请从引导菜单转到加载提示符并运行以下命令:

set kern.cam.boot_delay=10000boot

在这一点开机将正常继续。

如果防火墙从需要延迟的介质中永久运行,请编辑/boot/loader.conf.local并插入以下行:

kern.cam.boot_delay=10000

删除不必要的硬件

如果防火墙包含不会使用的硬件,请将其删除或禁用。 这通常不是问题,但可能会导致问题,并有可能降低性能。 如果一个未使用的硬件是可移动的,请将其从防火墙中取出或在BIOS中禁用。

在BIOS中禁用PNP OS

这是旧硬件的常见修复程序。 BIOS配置屏幕可能包含PNP OS或即插即用OS的设置,该设置应该设置为禁用或不可用。

更新BIOS

解决硬件问题的第二个常见方法是将BIOS升级到最新版本。 人们似乎很难相信这一个,但相信我们,做到这一点。 BIOS更新通常可修复硬件中的错误。 在长期稳定运行Windows的系统上遇到由硬件错误引发的问题并不罕见。 Windows不会触发该错误,或者有一个解决方法,因为我们已经多次遇到这个问题。 BIOS更新可以修复的东西包括:无法启动,时间问题,一般的不稳定性和其他问题,如硬件兼容性。

将BIOS设置恢复成默认出厂设置

大多数PC包含允许加载出厂默认设置选项,使用此选项可以重新启动BIOS默认设置,这可能会解决一些设置方法的问题。

其他BIOS设置

如果BIOS允许电源管理配置,请尝试切换该选项。 寻找任何与安装失败相关的东西。 如果到了这一步,目标硬件可能是失败的原因,可能需要备用硬件。 还要检查BIOS是否有可能列出硬件错误(如内存测试失败)的事件日志。

如果硬件使用新的或近期的芯片组,pfSense软件的开发版本可能可以正常工作。可以尝试使用开发版本来进行安装。

其他硬件问题

目标硬件可能是错误的,用诊断软件进行测试可能会显示。 使用OEM的诊断软件测试硬盘驱动器,并使用memtest86 +等程序测试内存。同时确保所有风扇都在高速旋转,并且没有元件过热。 如果这是旧的重复使用的硬件,风扇和散热器应该进行过清洁。

更新现有系统

pfSense软件可以从旧版本可靠地升级到当前版本。

通过使运行pfSense软件的防火墙保持最新版本的支持,它永远不会被淘汰。我们定期发布包含新功能,更新,错误修复和各种其他更改的新版本。在大多数情况下,更新pfSense安装非常简单。如果防火墙正在更新为仅有点版本(例如2.4.0至2.4.1)的新版本,则更新通常较小并且不太可能导致问题。

在升级过程中遇到的最常见的问题是从一个FreeBSD版本到另一个FreeBSD版本,造成对硬件的支持不同。更新的版本可以修复更多的硬件问题,但也可以造成一些问题。更大的版本升级,比如从2.1.5到2.4.2-RELEASE-p1必须小心处理,理想的是在测试环境中在相同的硬件上测试,然后才能用于生产。

我们发布升级说明以及版本,以帮助指导任何潜在的升级缺陷。这些注意事项因发行版而异,最新版本可以在升级指南中找到。

做一个备份…和一个备份计划

在对防火墙进行任何修改之前,最佳做法是使用WebGUI进行备份:

  • 导航到系统诊断> 备份/恢复
  • 在页面的“备份配置”部分将“备份区域”设置为“全部”
  • 单击 下载
  • 将此文件保存在安全的地方

将备份文件的多个副本保留在不同的安全位置。 拥有pfSense黄金订阅的客户应考虑使用Auto Config Backup软件包。 使用“自动配置备份”软件包的客户可以使用备注标识进行手动备份,该备注标识已加密并存储在服务器上。

更新

有几种方法可用于更新pfSense软件的正常安装。可以使用WebGUI或控制台。

通过 WebGUI更新

“自动更新”功能会联系pfsense.org服务器,并确定是否有比防火墙版本更新的版本。 管理员访问系统面板系统>更新系统时执行此检查。

如果更新可用,请在系统>更新系统上单击确认以开始更新。

此更新过程需要几分钟的时间才能下载和应用,具体取决于正在使用的Internet连接的速度以及防火墙硬件的速度。 防火墙完成后会自动重启。

通过控制台更新

更新也可以从控制台运行。 可以使用控制台访问的任何方式:视频/键盘,串行控制台或SSH。 一旦连接到防火墙的控制台,通过选择菜单选项13来启动升级过程。

或者,从以root身份运行的shell提示符手动执行以下命令:

# pfSense-upgrade

旧版本

2.3之前版本的pfSense软件使用了不同的升级方法。 对于“完整”安装,防火墙使用tgz文件来复制新文件。 这种方法是有问题的,不再使用。 但是,目前,项目仍然提供该格式的更新文件,以使旧的防火墙保持最新状态。

在这些较旧的版本上,自动更新仍然有效。 运行自动更新后,可能会有更新的版本可用,因此一旦防火墙运行pfSense 2.4或更高版本,如果防火墙检测到有必要,则运行另一个更新。

重新安装/升级配置

如果升级在现有安装上无法正常工作,则可以将配置文件恢复到新安装的pfSense软件副本。 旧配置总是可以导入到新版本中。 升级代码将对配置进行必要的更改,以便与当前版本的软件配合使用。

更新设置

分支/追踪快照

默认情况下,更新检查仅查找正式发布的pfSense软件版本,但是此方法也可用于跟踪开发快照。更新位置可通过访问系统>更新,更新设置选项卡并选择固件分支部分中的其他分支来更改。

稳定的版本是最好的选择,因为他们看到最多的测试,并相当安全和无故障。但是,与任何升级一样,请访问pfSense网站并阅读该版本的更新说明,并查看升级指南。

选择“开发快照”将防火墙切换到跟踪开发快照生成。这些通常是下一个小维护分支版本的快照。

在某些情况下,下一个主要版本选项将在列表中。此选项使防火墙跟踪下一个主要更新版本的快照。使用开发版本是危险的,但在某些情况下可能因为硬件支持或要使用尚未发布的新功能。我们建议在使用前,查阅论坛并在实验室中进行测试,看看这些快照在特定环境下是否稳定。我们通常不建议在生产中运行开发或测试版本。

系统面板检查

系统>更新系统,更新设置选项卡上的“系统面板复选框”控制是否由系统面板的“系统信息”小组件执行更新检查。 在资源较低或磁盘速度较慢的防火墙上,禁用此检查将减少管理员每次查看系统面板时运行检查所造成的负载。

文件系统调整

对于大多数环境来说,文件系统的默认设置是最好的,但是有些情况下需要稍作改动以提高文件系统的稳定性、性能或使用寿命。

启用TRIM支持

pfSense工厂版本的安装程序会自动设置TRIM。 在使用ZFS时,工厂和CE版本的pfSense 2.4也支持TRIM。

虽然可以手动启用TRIM,但硬件上的支持是不可预知的,所以我们不提供如何启用该功能的说明。

触发文件系统检查

当pfSense检测到不清洁的文件系统时,pfSense将在启动时运行文件系统检查(fsck),通常从断电或其他突然的不正常重启或关机之后。 在极少数情况下,这并不总是足够的,因为文件系统可能会以其他方式损坏,而这些方式可能并不总是使驱动器标记为不干净。

在这些情况下:

  • 连接到控制台
  • 选择菜单选项从控制台菜单重新启动(5)
  • 输入F(大写字母“f”)即使驱动器被认为是干净的,也可以在引导过程中强制进行文件系统检查

该选项不在所有防火墙上,因为它与某些BIOS不兼容。如果该选项不存在:

  • 通过从启动菜单中选择选项2重新启动防火墙到单用户模式
  • 提示输入shell时按Enter键
  • 输入fsck -y /
  • 重复该命令至少3次,或直到没有发现错误。