# Pfsense as a NAT Gateway
Sử dụng hướng dẫn bên dưới dể làm việc với Private Node group thông qua Pfsense
## Điều kiện cần
Để có thể sử dụng Pfsense làm NAT Gateway cho Cluster trên hệ thống VKS, bạn cần có:
* Một **server (VM) Pfsense** được khởi tạo trên hệ thống **vMarketPlace** theo hướng dẫn bên dưới với cấu hình như sau:
| Item | Cấu hình |
| ------------------- | ----------- |
| Flavor | 2x4 |
| Volume | 80 GB |
| VPC | 10.3.0.0/16 |
| Network Interface 1 | 10.3.0.3 |
***
## Khởi tạo Pfsense
**Bước 1:** Truy cập vào
**Bước 2:** Tại màn hình chính, thực hiện tìm kiếm **Pfsense**, tại dịch vụ **Pfsense**, chọn **Launch**.
**Bước 3:** Lúc này, bạn cần thiết lập cấu hình cho **Pfsense.** Cụ thể, bạn có thể chọn **Volume, IOPS, Network, Security Group** mong muốn. **Bạn cần lựa chọn VPC và Subnet giống với VPC và Subnet mà bạn lựa chọn sử dụng cho Cluster của bạn.** Ngoài ra bạn cũng cần chọn Một Server Group đã tồn tại hoặc chọn **Dedicated SOFT ANTI AFFINITY group** để chúng tôi tự động tạo một server group mới.
**Bước 4:** Tiến hành thanh toán như các tài nguyên bình thường trên GreenNode.
***
## Cấu hình thông số cho Pfsense
**Bước 1:** Sau khi khởi tạo Pfsense từ vMarketPlace theo hướng dẫn bên trên, bạn có thể truy cập vào giao diện vServer tại [đây](https://hcm-3.console.vngcloud.vn/vserver/v-server/cloud-server) để kiểm tra server chạy Pfsense đã được khởi tạo xong chưa. **Tiếp theo, bạn mở rule Any trên Security Group cho server Pfsense vừa tạo. Việc mở rule Any trên Security Group sẽ cho phép tất cả lưu lượng truy cập đến server Pfsense.**
**Bước 2: Sau khi server chạy Pfsense được khởi tạo thành công**. Để vào GUI của Pfsense, bạn cần sử dụng địa chỉ IP của External Interface đăng nhập với Tên đăng nhập và mật khẩu mặc định là **admin/pfsense.**
* Để lấy thông tin IP này, bạn vào phần **Network Interface** của **Pfsense** để xem thông tin
**Bước 3**: Mở **rule** trên **firewall**
* Tiến hành **Add rule**
* Bạn có thể mở rule như bên dưới để truy cập vào GUI bằng **External Interface**.
**Chú ý:**
* Bạn nên giới hạn lại Range IP được phép kết nối tới GUI Pfsense để hạn chế user được phép truy cập vào GUI Pfsense
* Chọn **Save**
* Sau đó chọn **Apply change**
**Bước 4**: Tiến hành **General Setup**, bạn vui lòng thực hiện như bên dưới
* Cấu hình cho **WAN Interface**
* Thay đổi **password** vào **GUI**
* Tiến hành **reload**
* Đã hoàn thành **General Setup**
**Bước 5:** Cấu hình **Interface LAN**
* Vào phần **Interfaces** -> **Assignments** để gắn thêm **Interface LAN**
* Nhấn vào **Add**
* Sau đó nhấn vào **Save**
* Vào phần **Interfaces** -> **Assignments** để tiến hành **enable LAN Interface**
* Bạn thực hiện cấu hình như bên dưới
* Cấu hình **IP** cho **LAN**
* Sau đó tiến hành **Add a new gateway:** tiến hành nhập **Gateway cho LAN Interface**
* Để lấy thông tin IP này, bạn vào mục **Network Interface** của server Pfsense để xem thông tin:
* Tiến hành **Save** lại
**Bước 6**: Xem lại thông tin cấu hình
**Bước 7**: Mở rule đi ra **Internet** cho **interface LAN**
* Tại source bạn chọn dải **IP** được phép đi ra **Internet**
**Bước 8:** Cấu hình **NAT** để các **vServer** có thể đi ra được **Internet**
* Vào mục **Firewall** -> **NAT**
* Chọn mode **NAT** sau đó tiến hành cấu hình **NAT**
* Nhấn vào **Add** để thêm **rule**
* Chọn **source**, **destination NAT**
***
## Khởi tạo Route Table
Sau khi Pfsense được khởi tạo và cấu hình thành công, bạn cần tạo một Route table để kết nối tới các mạng khác nhau. Cụ thể thực hiện theo các bước sau để tạo Route table:
**Bước 1:** Truy cập vào
**Bước 2:** Tại thanh menu điều hướng, chọn **Tab Network/ Route table.**
**Bước 3:** Chọn **Create Route table.**
**Bước 4:** Nhập tên mô tả cho Route table. Tên Route table có thể bao gồm các chữ cái (a-z, A-Z, 0-9, '\_', '-'). Độ dài dữ liệu đầu vào nằm trong khoảng từ 5 đến 50. Nó không được bao gồm khoảng trắng ở đầu hoặc ở cuối.
**Bước 5:** Chọn **VPC** cho Route table của bạn, nếu chưa có VPC cần tạo mới một VPC theo hướng dẫn tại [Trang VPC](https://docs.vngcloud.vn/pages/viewpage.action?pageId=49648039). **VPC sử dụng để thiết lập Route table phải là VPC được chọn sử dụng cho Pfsense và Cluster của bạn.**
**Bước 6**: Chọn **Create** để tạo mới Route table.
**Bước 7:** Chọn tại Route table vừa tạo sau đó chọn **Edit Routes.**
**Bước 8:** Tại phần thêm mới **Route** hãy nhập vào các thông tin:
* Đối với Destination, hãy nhập **Destination CIDR là 0.0.0.0/0**
* Đối với Target, hãy nhập **Target CIDR là địa chỉ IP Network Interface 2 của Pfsense.**
Ví dụ:
***
## **Kiểm tra kết nối**
Tiến hành ping google.com hoặc 8.8.8.8 để kiểm tra
* Trước khi **Enable NAT** server không ra được internet
* Sau khi **cấu hình NAT** tiến hành ping 8.8.8.8 để kiểm tra
tại Route table vừa tạo sau đó chọn **Edit Routes.**
**Bước 8:** Tại phần thêm mới **Route** hãy nhập vào các thông tin:
* Đối với Destination, hãy nhập **Destination CIDR là 0.0.0.0/0**
* Đối với Target, hãy nhập **Target CIDR là địa chỉ IP Network Interface 2 của Pfsense.**
Ví dụ:
