Proxmox VE開原虛擬系統 安裝教學

(1.) Proxmox 是一個全開源的虛擬系統, 它是運行在Linux核心Debian系統上面, 功能強大, 包含 HA , 在線遷移, 備份功能等等全部都齊

(2.)準備工作

• 我們需要準備一個8G的USB隨身碟  
• 在主機板上面打開虛擬工能 VT-X / AMD-X 

• Intel 進入 BIOS -> BIOS Features 把“Intel Virtual Technology”和“VT-d”啓用

• AMD 進入 BIOS -> M.I.T -> Advanced Frequency Settings -> Advanced CPU Core Settings 把 "SVM" 啓用

注意: 每臺電腦主機板有所不同設定位置有所改變, 以上是用技嘉主機板做範例 

(3.) 到Proxmox VE網頁下載安裝檔案, 一般都會下載ISO檔 https://www.proxmox.com/en/

點選 Donwload

點選下載 ISO 檔

下載到一個大概778 MB 的ISO檔案

(4.) 接下來下載一個做啓動碟的軟件, 把下載好的ISO複製到USB上面 https://www.balena.io/etcher/

點選Windows 64bit 的執行版本

打開軟件後會要求選擇ISO檔案跟做啓動盤的USB

選擇ISO檔

選擇啓動盤USB

點選Flash開始

(5.) USB啓動盤做好了, 進行安裝, 進去BIOS調啓動盤改成USB啓動

開機的時候按F12出現畫面的時候選擇啓動盤

(6.) 在進行安裝的時候會需要我們輸入一些資料

• 安裝在那個硬碟

• 什麼檔案系統, 包含有 LVM, EXT4 , ZFS , 功能強大的檔案系統就這是ZFS這個可以做RAID功能的 (這個部分後續會做另外一個視頻介紹)

• 主機名稱

• IP 地址

• Email地址

• 登入密碼

 (7.) 安裝過程

• Step 1

選擇 Install Proxmox VE

如果BIOS沒有開虛擬功能會出現這個錯誤

• Step 2 

閱讀授權聲明

• Step 3

選擇系統磁碟跟系統檔案 - 默認會使用LVM做系統檔案

• Step 4

選擇地區

• Step 5

輸入管理密碼 & email 地址

• Step 6

如果有多張網卡必須選擇管理網卡, 主機名稱, 輸入管理IP地址等等

• Step 7

檢查提供的資料無誤可以點Install開始安裝

• Step 8

安裝過程需要一點時間

• Step 9

安裝完成後點 Reboot重啓系統

(8.)安裝完成後電腦畫面只有顯示進入IP, 我們透過另外一臺電腦使用網線連上去

管理IP地址

用另外一臺電腦從WEB進去管理頁面

帳號是 root , 密碼是安裝的時候設定的密碼

(9.) 進入管理頁面後會看到左右分開2個頁面, 左邊會顯示所有主機, 虛擬機, 儲存硬碟, 右邊是顯示設定跟虛擬機操作頁面

操作頁面

到這邊Proxmox 也算安裝完成了

PfSense 免費多功能虛擬防火墻 安裝教學

(1) 進入Pfsense網頁https://pfsense.org/download/

(2) 下載Pfsense ISO檔案

(3) 把ISO檔案燒錄到USB隨身碟(參看如何把ISO檔案燒錄到USB隨身碟)

(4) 把隨身碟裝到PC上然後進入BIOS設定USB啓動

(5) 進入安裝的第一畫面 -》輸入"I"進行安裝

(6) 不需要進行什麼設定修改 -》選 Accept these settings

(7) 進行快速安裝 - 》選 Quick/Easy Install

(8) 提示快速安裝不會出現什麼疑問跟資料會全部移除 -》選 OK

(9) 安裝完成 -》選 Reboot 重啓電腦

(10) 進如第一個設定畫面，看到電腦捉到2塊網卡，先判定那塊網卡是使用對外的(WAN)那塊是對內的(LAN)

               第一個問題是是否設定VLAN，我們這裡沒有需要時用到VLAN -》輸入 N
(11) 第二個問題是設定對外的網卡(WAN)是那一張 - 》輸入網卡名稱

(12) 第三個問題是設定對內的網卡(LAN)是那一張 - 》輸入網卡名稱

(13) 回答是否要儲存設定 -》輸入 Yes

(14) 在內網某台電腦進入Pfsense做設定
         預設Pfsense管理頁面https://192.168.1.1
         預設帳號：admin　　　預設密碼：pfsense

記錄在Ubuntu上安裝FreeRadius + OpenLDAP + EPAP WIFI 驗證過程文章

架構圖

(1) 安裝FreeRadius(參考Ubuntu Server上安裝FreeRadius)包含安裝FreeRadius-ldap

(2) 安裝OpenLDAP(參考Ubuntu Server上安裝OpenLDAP)

(3) 設定FreeRadius

         修改FreeRadius模組庫裏面的ldap模組設定檔

         sudo vim /etc/freeradius/modules/ldap

ldap {
#輸入OpenLDAP的IP地址

server = "xxx.xxx.xxx.xxx" 
#把紅色字改成OpenLDAP的配置                                      

identity = "cn=admin,dc=example,dc=com"
#OpenLDAP管理員密碼                  

password = 123456

basedn = "dc=kuangda,dc=local"

filter = "(uid=%{%{Stripped-User-Name}:-%{User-Name}})"

}

(4) 修改FreeRadius驗證資料庫類型

          sudo vim /etc/freeradius/sites-available/default

          找到一下內容修改

authorize {

#          files

            ldap

         }

authenticate {

            Auth-Type LDAP {

                            ldap

                     }

(5) 修改FreeRadius驗證資料庫類型通道

         sudo vim /etc/freeradius/sites-availeble/inner-tunnel

         找到一下內容修改

authorize {

#          files

            ldap

         }

authenticate {

            Auth-Type LDAP {

                            ldap

                     }

(6) 增加NAS驗證設備

         # 進入clients設定檔案

         sudo vim /etc/freeradius/clients.conf 

                  Client WIFIAP {          

                            ipaddr = 192.168.44.253

                            secret = 123456

                            require_message_authentication = no

                            nastype = other

                               }

               備註：每個牌子的無線AP設定位置有所不同但是大致上都沒什麼大差別，以下是我在DD-WRT設備上的圖。

(7) 進行測試的時候使用Radtest密令測試就正常

(8) 使用WIFI驗證就沒辦法了， 於是使用FreeRadius Debug Mode來看看就發現已下錯誤出現。

備注 ：原因是MS-CHAP-V2驗證方式是使用明文密碼&NT-Password&LM-Password的，而已我們在OpenLDAP裏面管理的帳號是{MD5}加密過的密碼所以沒辦法驗證，只要我們解決密碼是以上的格式就可以驗證成功了，解決方法一下：

(9) 在OpenLDAP的schema檔案上面加一個新密碼屬性

         sudo vim /etc/ldap/schema/inetorgperson.schema 

         在objectclass 'inetOrgPerson前增加

attributetype ( 1.3.6.1.4.1.3317.4.3.1.66

        NAME 'radiusUserPassword'

        DESC 'radiusUserPassword'

        SUP userPassword )

   把'radiusUserPassword' 作爲可選屬性加到'inetOrgPerson' 對象類

MAY (

                radiusUserPassword $ audio $ businessCategory $ carLicense $ departmentNumber $

                displayName $ employeeNumber $ employeeType $ givenName $

                homePhone $ homePostalAddress $ initials $ jpegPhoto $

                labeledURI $ mail $ manager $ mobile $ o $ pager $

                photo $ roomNumber $ secretary $ uid $ userCertificate $

                x500uniqueIdentifier $ preferredLanguage $

                userSMIMECertificate $ userPKCS12 )

        )

(10) 在OpenLDAP的資料庫ACL上面家如radiusUserPassword屬性

         sudo vim /etc/ldap/slapd.conf
         #找到以下內容修改

database  hdb

     access to attrs=userPassword,radiusUserPassword

               by self write

               by * auth

  重啓OpenLDAP服務

(11) 在FreeRadius的ldap字典檔上加密碼格式檢查

         sudo vim /etc/freeradius/ldap.attrmap

#新增以下兩行

checkItem                  NT-Password             userPassword

checkItem                  NT-Password             radiusUserPassword

  重啓FreeRadius服務

(12) 安裝生成MD4密碼軟件

   apt-get install make gcc libc-dev

   wget http://nchc.dl.sourceforge.net/project/ldaputils/Contrib/mkntpwd/mkntpwd.tar.gz

   tar -zxvf mkntpwd.tar.gz

   make

   ./mkntpwd -N '密碼'

   出現MD4密碼 ， 復制這段密碼到使用者就可以

(13) 在Windows 7 上連線WIFI設定 - 手動增加無線SSID

 - 控制臺 -> 網路和公用中心 -> 管理無線網路

- 點選新增 -> 輸入SSID ->無線驗證模式 ->手動建立網路設定檔

- 下一步 -> 變更連線設定 -> 安全性 -> 設定

 - 去掉確認伺服器驗證 -> 設定

- 去掉自動使用我的Windows帳號&密碼

輸入驗證帳號密碼連線完成

記錄在Ubuntu上安裝OpenLDAP&FreeRadius&Pfsense&PPTP-VPN登入驗證過程文章

架構圖

(1) 安裝OpenLDAP(參考Ubuntu Server上安裝OpenLDAP)

(2) 安裝FreeRadius(參考Ubuntu Server上安裝FreeRadius)

(3) 安裝Pfsense(參考Pfsense免費多功能虛擬防火牆安裝教學)

(4) 設定OpenLDAP，FreeRadius(參考在Ubuntu Server上安裝FreeRadius+OpenLDAP+EPAP WIFI驗證)

(5) 設定Pfsense PPTP-VPN通過FreeRadius驗證
　　#根據Pfsense IP地址
　　　　打開Pfsense管理頁面　http://xxx.xxx.xxx.xxx
　　　　預設帳號：admin　　　預設密碼：pfsense
        打開PPTP VPN功能

        選擇可以同時撥入數量

        輸入撥入後點對點的預設閘道IP地址(不一定是內網的網段，必須使用內網沒在用的IP)

        輸入分發給撥入後的開頭IP地址(不可以在DHCP範圍之內)

        設定Radius Server地址跟密碼

        打開WAN界面，把Block Private networks,Block bogon networks 反打勾

        設定防火牆
            在WAN界面增加一條規則
              Action : Pass
              Protocal : TCP
              Source ip : any
              Destination ip : WAN Address
              Source port : PPTP
              Destination port : PPTP

            在PPTP界面增加一條規則
              Action : Pass
              Protocal : any
              Source ip : any
              Destination ip : Lan Net
              Source port : any
              Destination port : any

(6) 在Freeradius增加Pfsense驗證設備
      ＃打開Clients設定檔案
       sudo vim /etc/freeradius/clients.conf
          client 陳述 {
                 #NAS設備IP地址
                 ipaddr = 192.168.44.250
                ＃驗證密碼
                 secret = 123456
                 reguire_message_authentication = no
                 nastype = other
　　　　　}

(7) 設定撥入使用者拿到固定IP地址
       在ＯpenLDAP伺服器加入radius schema文件
      ＃下載schema文件
       wget http://open.rhx.it/phamm/schema/radius.schema
      ＃復制schema文件到ldap schema資料夾
       sudo cp radius.schema /etc/ldap/schema
       #在資料庫上面加入radius.schema模組
       sudo vim /etc/ldap/sldap.conf
       include /etc/ldap/schema/radius.schema

(8) 建立PPTP-VPN固定IP帳號
       sudo vim vpnuser.ldif
         ＃改紅色字爲自己要的
         ＃VPN User
         dn: cn=vpnuser,ou=Company,dc=exemple,dc=com
         objectClass: top
         objectClass: inetorgperson
         objectClass: radiusprofile
         uid: vpnuser
         sn: Vpn User
         cn: Vpn User
         userpassword: {MD5}密碼
         radiususerpassword: {NT}密碼
         radiusFramedProtocal: PPP
         #撥入後拿到的固定IP
         radiusFramedIPAddress: xxx.xxx.xxx.xxx
         radiusFramedIPNetmask: 255.255.255.0
         radiusFramedRouting: Broadcast-Listen
         radiusFilterID: "std.ppp"
         radiusFramedMTU: 1500
         radiusFramedCompression: Van-Jacobsen-TCP-IP