De brannmur-orientert operativsystem pfSense er en av de mest brukte brannmurer i små og mellomstore selskaper. Takket være sine omfattende konfigurasjonsalternativer på nettverksnivå, sikkerhet og dens forskjellige typer VPN, vil vi kunne dekke hovedbehovene til selskaper. Selv om PfSense har et stort antall tjenester, vil vi alltid kunne installere tilleggstjenester som er kompatible med operativsystemet, for eksempel IDS / IPS eller pfBlockerNG, blant andre som er veldig populære. PfSense-utviklingsteamet har kunngjort at i den nye pfSense 2.5.0-versjonen som vil bli utgitt snart, vil vi ha den raskeste og en av de sikreste VPN-ene. Vil du vite alle detaljene om denne nye VPN-en?
VPN-ene som pfSense for øyeblikket har
Det pfSense brannmurorienterte operativsystemet har for tiden flere typer VPN, som vi kan konfigurere VPN med ekstern tilgang til, og også Site-to-Site VPN. Vi vil ha muligheten til å konfigurere disse virtuelle private nettverkene på en veldig avansert måte, og alt dette gjennom det grafiske brukergrensesnittet, uten behov for å redigere tekstfiler via SSH eller konsoll.
En av VPN-ene som pfSense har er L2TP/IPsec , en av de mest populære typene VPN og brukes av brukere som kobler seg via VPN til selskapet, eller også til hjemmet. Denne typen VPN bruker L2TP-protokollen som en tunnel, og IPsec gir alle sikkerhetsfunksjonene. Takket være de mange tilgjengelige konfigurasjonsalternativene, kan vi konfigurere denne typen VPN i detalj med meget robust sikkerhet. En annen VPN som vi har tilgjengelig er IPsec, begge med IKEv1 og IKEv2 , i tillegg har vi også forskjellige typer autentisering basert på forhåndsdelt nøkkel (PSK) or digitale sertifikater (RSA) . Vi anbefaler at du besøker den komplette veiledningen vår hva IPSec er og hva den brukes til , hvor du finner hvordan denne populære VPN-protokollen fungerer.
En annen VPN som vi har tilgjengelig i pfSense er OpenVPN, mye brukt av hjemmebrukere og selskaper for å koble sammen forskjellige steder. Mens IPsec bruker kryptering i lag 3 (nettverkslag), vil vi med OpenVPN ha TLS (for TCP) eller DTLS (for UDP) protokoll i transportlaget. Både IPsec og OpenVPN tillater transportmodus og tunnelmodus, vi kan også etablere tunneler fra sted til sted eller VPN for ekstern tilgang. I denne artikkelen har vi en komplett OpenVPN-konfigurasjon tutorial der du finner alle detaljene om en av de beste VPN-ene du kan bruke.
Den nye VPN-en som integrerer pfSense: WireGuard
WireGuard er en relativt ny VPN-protokoll som har gjort seg kjent på grunn av sin gode ytelse, som er dobbelt så rask som OpenVPN og som IPsec under samme maskinvare. I denne artikkelen har vi oppnådd en reell hastighet på 1 Gbps med WireGuard, mens vi med OpenVPN og IPsec har oppnådd omtrent 450-500 Mbps, så ytelsen til WireGuard er virkelig imponerende. Vi anbefaler at du besøker veiledningen vår hvordan du konfigurerer WireGuard VPN å surfe trygt.
WireGuard har hatt den “beste sikkerhets” -politikken helt fra begynnelsen, av den grunn bruker den en veldig sikker og rask kryptografisk pakke, for ikke å ha noen form for personvern- og sikkerhetsproblemer når du bruker den. I tillegg er en av de viktigste egenskapene til dette VPN “roaming”, det vil si at det lar oss gå fra en WiFi nettverk til 4G og omvendt, vedlikehold av VPN-tunnelen siden omkoblingen er veldig rask, faktisk vil vi ikke merke at du måtte koble til VPN-en på nytt.
pfSense i sin nye versjon 2.5.0 vil innlemme denne typen VPN, for øyeblikket er denne VPN allerede integrert integrert i Linux kjernen, men vi må huske at pfSense bruker FreeBSD-operativsystemet som en base. Netgate-utviklingsteamet har brukt et år på å utvikle WireGuard for også å integrere seg i kjernen og få best mulig ytelse. Hvis du vil se kildekoden, kan du gjøre det på pfSense GitHub . Du kan teste denne nye funksjonaliteten akkurat nå ved å aktivere betaoppdateringer for pfSense, men vi anbefaler at du prøver den i et testmiljø og ikke i produksjon.
Selvfølgelig vil WireGuard-konfigurasjon gjøres gjennom det grafiske brukergrensesnittet, vi trenger ikke redigere noen fil for senere å laste den opp til konfigurasjonen, alt er via nettet og med et veldig intuitivt grafisk brukergrensesnitt.
