Установка и настройка PfSense: расширенный межсетевой экран для бизнеса

pfSense - наиболее широко используемый брандмауэр-ориентированная операционная система на профессиональном уровне как в домашней среде с продвинутыми пользователями, так и в малых и средних компаниях, чтобы правильно сегментировать свою сеть и иметь сотни доступных услуг. pfSense основан на популярной операционной системе FreeBSD, поэтому у нас будет гарантия, что это стабильная, надежная операционная система и, прежде всего, очень безопасная. В отличие от других межсетевых экранов, pfSense имеет действительно полный и очень интуитивно понятный графический интерфейс, так как у нас будет краткое объяснение каждого параметра для настройки. Сегодня в этой статье мы расскажем все о pfSense и о том, как установить его на любой компьютер с двумя сетевыми картами (одна для WAN и одна для LAN).

pfSense - это операционная система, которая потребляет очень мало ресурсов, однако, в зависимости от использования, пользователей, которые собираются передавать данные, и служб, которые мы устанавливаем, нам потребуется больше или меньше ЦП мощность, а также Оперативная память объем памяти. Эту операционную систему можно установить практически на любой компьютер, но, по логике, производительность, которую мы получим, будет зависеть от оборудования, и то же самое происходит с конфигурацией, которую мы сделали для самого брандмауэра. Самым важным для pfSense является распознавание сетевых карт Ethernet, наиболее рекомендуемые во избежание проблем: Intel, но есть много других производителей, которые также совместимы, но сначала было бы желательно почитать на официальных форумах pfSense.

PfSense

основные черты

Основная цель операционной системы pfSense - обеспечить безопасность для домашней и деловой среды, это оборудование действует как межсетевой экран, но мы также можем использовать его в качестве основного маршрутизатора, поскольку у нас есть сотни дополнительных параметров конфигурации. Благодаря возможности установки дополнительного программного обеспечения у нас может быть мощная IDS / IPS (система обнаружения и предотвращения вторжений), такая как Snort или Suricata. Для использования pfSense необходимо иметь две сетевые карты, одну для Internet WAN, а другую для LAN, хотя, если у нас есть больше карт (или карта с несколькими портами), намного лучше, потому что у нас могут быть дополнительные физические интерфейсы для настройки DMZ, дополнительная сеть и многое другое.

Еще один аргумент в пользу pfSense - это постоянные обновления, которые у нас есть, как для базовой операционной системы, так и для всех пакетов, которые мы можем установить дополнительно. В брандмауэре / маршрутизаторе, подключенном к Интернету, очень важно иметь обновления, чтобы избежать уязвимостей безопасности, которые могут быть обнаружены.

Межсетевой экран и IDS / IPS

pfSense, как обычно, использует брандмауэр SPI (Stateful Packet Inspection) на основе правил. Мы можем быстро фильтровать пакеты очень продвинутым способом, в зависимости от оборудования, мы можем достичь пропускной способности более 10 Гбит / с. Благодаря графическому пользовательскому интерфейсу мы можем создавать «псевдонимы» для создания групп IP-адресов и портов, чтобы впоследствии применять их к правилам, и, таким образом, не иметь сотен правил в брандмауэре, очень важно знать, какие мы фильтруем и постоянно обновляем правила. Конечно, в pfSense есть расширенные записи о том, было ли выполнено правило, и обо всем, что происходит в операционной системе.

pfSense не только имеет мощный брандмауэр для смягчения и / или блокирования DoS- и DDoS-атак, но также имеет расширенные IDS / IPS, такие как Snort и Suricata, которые мы можем легко и быстро установить с помощью доступных пакетов. для его установки, и в обоих случаях у нас будет графический пользовательский интерфейс для настройки различных интерфейсов, где они должны действовать, а также все правила, которые у нас есть для обнаружения возможных атак. Мы также можем обнаруживать утечки информации и даже подозрительную активность в сети, которую мы можем заблокировать. Конечно, у нас также есть возможность видеть статус операционной системы в режиме реального времени и даже устанавливать дополнительное программное обеспечение, чтобы просматривать расширенные графические отчеты и знать все, что происходит в системе.

VPN

Виртуальные частные сети (VPN) обычно размещаются на самом межсетевом экране, чтобы не было проблем с NAT и фильтрацией от других межсетевых экранов. Иметь VPN сервер или клиент VPN позволит нам безопасно соединять удаленные точки через Интернет, а также подключать различные устройства к локальной сети в режиме удаленного доступа VPN. pfSense включает в себя различные типы VPN, чтобы идеально адаптироваться к потребностям пользователей:

  • L2TP/IPsec
  • IPsec IKEv1 и IKEv2 с различными типами аутентификации, такими как Mutual-PSK, Mutual-RSA и даже Xauth.
  • OpenVPN с аутентификацией по цифровым сертификатам, учетным данным пользователя и многому другому.
  • WireGuard

Изюминкой pfSense 2.5.0 является включение популярных WireGuard VPN, как для удаленного подключения пользователей, так и для быстрого и простого создания туннелей Site-to-Site, благодаря этому новому протоколу, который был интегрирован в ядро ​​и обеспечит нам отличную производительность.

Другие особенности

pfSense включает в себя огромное количество служб, такое же или даже больше, чем маршрутизаторы и другие профессиональные межсетевые экраны. Например, некоторые из основных дополнительных функций - это возможность настройки DNS сервер с DNS Resolver, идеально подходящий для самого брандмауэра для разрешения всех запросов, у нас также есть полный DHCP-сервер с десятками дополнительных опций, NTP-сервер для обслуживания времени на разных устройствах, WoL, QoS для определения приоритетов различного оборудования, Traffic Shaper, совместимость с VLAN, возможность настройки разных VLAN в одном или нескольких интерфейсах, возможность настройки QinQ, Bridge и LAGG с различными расширенными опциями, мы также можем использовать динамический DNS-сервер и многое другое. Мы не должны забывать, что, будучи очень продвинутой операционной системой, мы можем видеть полную запись всего, что происходит, и даже получать уведомления от e-mail или Telegram, чтобы быть в курсе всего происходящего.

Одной из наиболее важных функций является возможность установки дополнительных пакетов, чтобы иметь еще больше функций, благодаря этому дополнительному программному обеспечению мы сможем расширить функциональные возможности этого профессионального межсетевого экрана. Некоторые из самых популярных расширений:

  • arpwatch, чтобы уведомить нас по электронной почте или в Telegram о подключенных новых устройствах
  • bandwidthd для просмотра графиков использования полосы пропускания
  • freeradius3 для установки сервера аутентификации RADIUS, идеально подходит для настройки точек доступа WiFi и наличия WPA2 / WPA3-Enterprise
  • iperf для измерения пропускной способности до и от pfSense
  • nmap для сканирования портов
  • pfBlocker-ng для блокировки всей рекламы, а также вредоносных доменов и IP-адресов.
  • Snort и Suricata: две IDS / IPS по преимуществу, они не входят в комплект по умолчанию, но могут быть установлены
  • Haproxy для балансира
  • Squid для монтирования прокси-сервера.
  • гайка для контроля систем ИБП
  • Zabbix агент для простой интеграции в систему мониторинга
  • Зик (бывший Bro IDS)

pfSense работает на архитектуре x86, совместим с новейшими 64-битными процессорами, кроме того, его можно установить практически на любую облачную платформу, такую ​​как Amazon. облако, Azure и многое другое, кроме того, мы должны помнить, что сегодня мы можем покупать оборудование у производителя Netgate, которое уже поставляется с предустановленным pfSense, с оборудованием, ориентированным на профессиональную сферу.

Скачайте и установите pfSense

Загрузка и использование pfSense CE совершенно бесплатны, просто перейдите на официальный сайт и перейдите прямо на вкладку «Загрузить».

После того, как мы нажали «Загрузить», мы увидим раздел, в котором мы выберем архитектуру для выбора, мы выберем AMD64.

Мы также должны выбрать тип образа, если мы хотим, чтобы образ ISO был скопирован на DVD или флешку, или непосредственно образ USB, мы выбрали образ ISO DVD. Затем мы должны выбрать сервер, с которого загружать, рекомендуется, чтобы он всегда был физически ближайшим к вашему текущему местоположению.

После того, как мы загрузили образ, мы должны разархивировать его, поскольку он имеет формат iso.gz, и мы должны распаковать образ ISO напрямую.

После того, как мы загрузили его, мы можем записать его на компакт-диск, скопировать на загрузочный USB с Руфус и т. д. В нашем случае мы собираемся установить pfSense на виртуальной машине с VMware, чтобы вы могли увидеть, как установить его виртуально и протестировать в контролируемой тестовой среде, чтобы позже переместить его в производственную среду. В этом руководстве вы увидите, как создать две сетевые карты, одну в режиме моста для подключения к реальной локальной сети, а другую в режиме только для хоста, чтобы иметь возможность доступа через Интернет с нашего компьютера, независимо от локальная сеть.

Конфигурация виртуальной машины в VMware

В нашем случае мы собираемся использовать VMware Workstation 15.5 PRO, но для установки этой ориентированной на брандмауэр операционной системы будет использоваться любая версия. Первое, что нам нужно сделать при открытии VMware, - это нажать «Создать новую виртуальную машину», как вы можете видеть на следующем экране:

В мастере настройки виртуальной машины нам нужно будет выбрать «Типичное» создание, загрузить ISO-образ pfSense, он автоматически распознает, что внутренне признанная операционная система - FreeBSD 10 (хотя это действительно последняя версия), мы продолжаем работу с мастером пока мы не выберем один путь к виртуальной машине, мы оставляем диск, зарезервированный для виртуальной машины, размером 20 ГБ, и, наконец, мы увидим сводку всего оборудования, которое будет иметь эта виртуальная машина, которую мы собираемся создать.

Перед завершением мы должны нажать " Настроить оборудование », Чтобы увеличить ОЗУ до 4 ГБ, увеличить количество ядер ЦП и добавить дополнительную сетевую карту, а также правильно настроить сетевые карты.

Независимо от количества процессоров и ядер (мы рекомендуем 1 процессор и 4 ядра) и оперативной памяти (мы рекомендуем минимум 4 ГБ), мы должны добавить вторую сетевую карту, потому что у нас будет Интернет WAN и LAN. Нажимаем «Добавить» и нажимаем «Cеть Адаптер », чтобы добавить его. Мы также могли бы добавить дополнительные карты, чтобы иметь больше параметров конфигурации на уровне брандмауэра, но начать с WAN и LAN вполне нормально.

После того, как мы добавили два, нам нужно будет настроить их следующим образом:

  • Адаптер 1: мост (автоматический)
  • Адаптер 2: пользовательский VMnet1 (только для хоста)

Далее вы можете увидеть, как будет выглядеть эта конфигурация.

Чтобы получить доступ к администрированию операционной системы через Интернет, необходимо настроить адаптер VMnet1. Для этого мы переходим к " Панель управления / Центр управления сетями и общим доступом / Изменение настроек адаптера »И измените IP-адрес на адаптер VMware Network Adapter VMnet1, задав IP 192.168.1.2/24, как вы можете видеть ниже. После этого нажмите «Принять» и «Принять», чтобы выйти из меню конфигурации.

Когда все настроено на уровне виртуальной машины, мы можем запустить виртуальную машину, чтобы начать установку.

Установите pfSense на VMware

Когда мы запускаем виртуальную машину, мы видим меню с несколькими вариантами загрузки, мы не должны ничего трогать и ждать, пока пройдут секунды. Позже он загрузится, и мы сможем увидеть различные параметры, которые дает нам образ ISO для установки pfSense.

Как только вы начнете установку этой операционной системы, вы принимаете авторские права, которые она нам показывает. В следующем меню мы можем установить, восстановить операционную систему в случае катастрофического сбоя, а также восстановить файл конфигурации config.xml из предыдущей установки. Нажмите «Установить», чтобы установить операционную систему с нуля. В следующем меню нам нужно будет настроить клавиатуру, выбрав наш язык и раскладку клавиатуры.

Затем он спросит нас, как мы хотим установить операционную систему, если с UFS для BIOS или UEFI, вручную для экспертов, открыть консоль, чтобы сделать все вручную, или использовать ZFS в качестве файловой системы. В нашем случае мы выбрали в первую очередь Auto (UFS) BIOS и продолжаем установку. Установка займет около минуты, хотя она будет зависеть от имеющегося у вас оборудования. Когда она завершится, она спросит нас, хотим ли мы запустить консоль для выполнения определенных конфигураций, мы нажимаем «Нет», и позже он спросит нас, если мы хотим перезапустить операционную систему и принимаем.

Как только pfSense запускается снова, мы видим, что один IP-адрес был правильно назначен для глобальной сети Интернет, а другой - для локальной сети.

В меню администрирования с помощью консоли мы можем выполнять следующие действия:

  • Выйти из SSH
  • Назначайте физические интерфейсы для WAN или LAN, это также позволяет вам настраивать VLAN для подключения к Интернету и даже для LAN.
  • Настройте IP-адреса различных ранее настроенных интерфейсов.
  • Сбросьте пароль администратора для входа через Интернет
  • Восстановите pfSense до заводских настроек
  • Перезагрузите операционную систему
  • Выключите операционную систему
  • Пинговать хост
  • Запустите консоль для расширенных задач администрирования на основе команд
  • Запустите pfTop, чтобы увидеть все текущие подключения
  • Просмотр журналов фильтрации операционной системы
  • Перезагрузите веб-сервер
  • Запустите консоль с утилитами pfSense для быстрой настройки
  • Обновление с консоли
  • Включите SSH в операционной системе
  • Восстановить последнюю конфигурацию
  • Перезапустите PHP-FPM, если у нас возникнут проблемы с доступом к операционной системе через Интернет.

Если вы хотите настроить физические интерфейсы через консоль, перед входом в систему через Интернет мы можем легко это сделать и даже назначить соответствующие VLAN:

Конечно, мы должны провести настройку с нуля, назначив соответствующий интерфейс для WAN и LAN:

Наконец, мы можем настроить интерфейсы на уровне IP как в WAN, так и в LAN. Однако эта конфигурация очень проста, вы можете увидеть все доступные параметры через Интернет.

В это время мы сможем получить доступ к конфигурации pfSense через Интернет через https://192.168.1.1 с именем пользователя «admin» и паролем «pfsense».

Мастер настройки PfSense

Чтобы получить доступ к операционной системе pfSense через Интернет, мы должны ввести URL-адрес https://192.168.1.1 с именем пользователя «admin» и паролем «pfsense», порт по умолчанию для HTTPS - 443, это не обязательно. использовать определенный порт.

После того, как мы примем самоподписанный сертификат SSL / TLS от pfSense, мы увидим меню входа в систему, как вы можете видеть здесь:

pfSense предоставит нам пошаговый мастер установки для выполнения основных настроек сети. У нас есть возможность не делать этого, но рекомендуется следовать ему, если мы используем его впервые.

Первое, что мы увидим в этом мастере, - это приветствие, затем оно покажет, что мы можем купить подписку на поддержку Netgate, чтобы помочь нам создавать различные конфигурации, мы должны помнить, что несколько лет назад Netgate был создан с pfSense, чтобы продолжить его разработку, как для их собственные команды, а также для сообщества. С версией 2.5.0 у нас будет разделение между обоими проектами, каждый раз они будут раздваиваться больше (pfSense CE против pfSense Plus).

Затем мы можем увидеть и настроить имя хоста, домена и DNS-серверов, если мы хотим разместить другие, которые не принадлежат нашему оператору. Мы также можем настроить сервер NTP для синхронизации времени и даже часового пояса. Этот мастер pfSense поможет нам настроить интерфейс Internet WAN, у нас есть четыре возможных конфигурации: Static, DHCP, PPPoE и PPTP, кроме того, он поддерживает VLAN ID для операторов, которым он нужен. В этом меню мы можем клонировать MAC, настроить MTU и MSS, сделать определенные конфигурации в зависимости от типа подключения, и мы даже можем включить автоматические правила в брандмауэр, чтобы избежать атак на сети.

Мы также можем настроить интерфейс LAN, по умолчанию мы используем 192.168.1.1, но мы можем выбрать тот, который нам нужен, кроме того, мы также можем настроить маску подсети. Другой очень важный вариант - изменить пароль по умолчанию, pfSense предложит нам изменить его для защиты. После изменения нажмите «Перезагрузить», чтобы продолжить работу с мастером настройки и завершить его, он поздравит нас, и мы сможем приступить к настройке этого полного брандмауэра расширенным способом.

После того, как мы подробно ознакомимся с мастером веб-конфигурации, мы собираемся полностью ввести все его параметры конфигурации.

Параметры управления PfSense

В главном меню pfSense мы можем увидеть системную информацию, имя pfSense, пользователя, который вошел в систему, систему, используемое оборудование и даже точную версию pfSense и какая у нас версия базовой операционной системы (FreeBSD) , мы также можем просматривать время безотказной работы, текущее время, DNS-серверы и состояние хранилища, ЦП и ОЗУ. Конечно, с правой стороны мы увидим состояние сетевых интерфейсов, которые мы настроили.

Это главное меню легко настраивается, чтобы сразу увидеть весь статус pfSense, мы можем добавлять виджеты, такие как реальный статус сетевых интерфейсов, OpenVPN и IPsec, журналы брандмауэра и многие другие. Это меню легко настраивается, чтобы адаптироваться к потребностям сети и видеть все сразу.

После того, как мы увидели главное меню, мы рассмотрим операционную систему pfSense по частям, не вдаваясь в подробности всех конфигураций, потому что у нас есть сотни возможностей.

Система

В разделе «Система» мы можем настроить собственный веб-сервер pfSense, активировать протоколы HTTPS и SSH, подробно настроить безопасность доступа и защиту входа в систему. Мы также можем настроить глобальные параметры брандмауэра и NAT, мы также можем настроить глобальные параметры на уровне сети, как IPv6, так и сетевые интерфейсы, важная деталь заключается в том, что мы можем активировать или деактивировать «разгрузку» для повышения производительности, если оборудование поддерживает ее. . Другие параметры конфигурации предназначены для настройки прокси, балансировки нагрузки и функций энергосбережения. Наконец, мы можем настроить базовые параметры операционной системы на низком уровне и настроить уведомления по электронной почте и Telegram (новинка в последней версии pfSense 2.5).

В этом разделе «Системы» у нас также будет менеджер цифровых сертификатов, мы можем легко и быстро создать CA, а также серверные и клиентские сертификаты с целью последующего использования на VPN-серверах, таких как IPsec или OpenVPN, а также на сервер RADIUS Freeradius, который мы можем установить в качестве опции. Этот менеджер сертификатов позволит нам создавать сертификаты на основе RSA, а также на EC с различными алгоритмами.

В разделе «Общие настройки» мы можем изменить имя компьютера, домен, DNS-серверы, которые нужно настроить так, чтобы клиенты могли использовать их позже, местоположение (часовой пояс и NTP-сервер), а также мы можем настроить внешний вид pfSense, имея разные темы. Эта последняя часть интересна для модификации графического интерфейса пользователя с помощью темного pfSense или напрямую других тем, которые нам больше нравятся. Мы также можем настроить HA для обеспечения высокой доступности и даже установить большое количество дополнительного программного обеспечения, поскольку в разделе «Package Manager» у нас будет большое количество плагинов для расширения функциональных возможностей pfSense.

В разделе «Маршрутизация» мы можем увидеть различные зарегистрированные шлюзы, возможность настройки статических маршрутов для достижения других сетей и даже создать группу шлюзов.

pfSense позволяет обновлять через саму операционную систему, как только она обнаруживает, что есть новая версия, мы можем обновить ее через графический интерфейс пользователя, без необходимости загружать образ ISO и выполнять обновление вручную.

Будучи очень полной операционной системой, мы можем создавать разных пользователей и группы с разными разрешениями. Например, мы можем создать список локальных пользователей для аутентификации через SSH в системе или для использования конкретной VPN. Мы также можем настроить сервер аутентификации с использованием RADIUS или LDAP, чтобы использовать тех пользователей, которые у нас есть.

Как только мы увидели раздел «Система», мы перейдем в «Интерфейсы», чтобы увидеть все, что мы можем сделать.

Интерфейсы

В разделе «Интерфейсы» мы можем увидеть назначение WAN и LAN с различными физическими интерфейсами, отсюда мы можем легко настроить различные физические и логические интерфейсы, поскольку мы можем настроить VLAN, а затем назначить их виртуальному интерфейсу. Другие варианты конфигурации, которые мы можем сделать, - это создавать группы интерфейсов, настраивать Wi-Fi, QinQ, PPP, GIF, мосты или мосты, и мы даже можем создать LAGG с различными алгоритмами (LACP, Failover, LoadBalance и Roundrobin).

Давайте представим, что наш оператор использует VLAN ID 6 для предоставления нам Интернета, поскольку текущая конфигурация WAN не работает. Мы должны создать VLAN ID 6, а затем применить его к Интернету WAN. Если в профессиональной локальной сети у нас есть разные VLAN, и мы хотим взаимодействовать между ними, мы также можем сделать это с помощью pfSense, зарегистрировав различные идентификаторы VLAN, а затем создав виртуальные интерфейсы, которые «зависают» в локальной сети.

Если мы войдем в конфигурацию WAN или LAN, мы увидим конфигурацию, которая была сделана в мастере установки, который мы видели ранее. В меню WAN у нас будут разные типы конфигурации для подключения, то же самое происходит с IPv6, и мы даже можем указать MAC-адрес, который нам нужен. Мы также можем настроить MTU и MSS в дополнение к настройке дополнительных параметров DHCP-клиента.

Что касается локальной сети, то обычно необходимо иметь конфигурацию «Статический IPv4», а затем активировать DHCP-сервер, конечно, здесь мы также должны настроить шлюз для подключающихся клиентов, который является самим IP-адресом.

После того, как мы увидели все параметры конфигурации для «Интерфейсов», мы кратко рассмотрим параметры брандмауэра.

Межсетевые экраны

В разделе «Брандмауэр» мы должны настроить все правила брандмауэра. В разделе «Псевдонимы» мы можем создать псевдоним для применения правила к набору IP-адресов, портов, а также URL-адресов. Это идеальный вариант, чтобы правила в брандмауэре были очень хорошо организованы, очень важно иметь определенный порядок для обеспечения наилучшей производительности (наиболее часто используемые правила вверху и наименее используемые внизу), кроме того, Более конкретные правила должны быть вверху, а более общие правила внизу для правильной работы.

У нас будет возможность настроить правила NAT в Port Forward, мы также сможем настроить NAT 1: 1, правила Outbound NAT и даже NPt для IPv6. В разделе «Правила» мы создадим различные разрешающие или запрещающие правила для различных сетевых интерфейсов, которые есть в pfSense. Мы создадим эти правила с помощью графического пользовательского интерфейса, и мы можем определить десятки дополнительных параметров и, используя разные протоколы, мы можем перетаскивать правила для перемещения из одной позиции в другую и даже добавлять разделители, чтобы помочь нам идентифицировать набор правил.

По умолчанию в pfSense внизу неявно есть «запретить все», поэтому для получения трафика вам понадобится хотя бы одно разрешающее правило.

Другими интересными особенностями являются возможность простого создания «плавающих правил» в разных интерфейсах, упорядочение повторяющихся правил и даже временных правил, которые активны в определенное время, а также возможность настройки «виртуальных IP-адресов» на использовать. например, pfBlocker-ng. Наконец, у нас также будет «формирователь трафика» для каждого интерфейса, для каждой очереди, мы можем настроить ограничители пропускной способности и даже запустить мастер настройки.

Услуги

В разделе «Службы» нам будут доступны все службы, которые по умолчанию включены в pfSense, и даже службы, которые мы установили дополнительно через диспетчер пакетов. В этом разделе мы можем найти инструмент для автоматического создания резервных копий, настройки адаптивного портала pfSense, настройки DHCP и DHCPv6-серверов для локальной сети.

Одной из наиболее заметных услуг является DNS-преобразователь, который является DNS-сервером самого pfSense, и который мы можем настроить с помощью DNS через TLS и иметь очень конкретные правила для клиентов, мы можем выполнять расширенные настройки, такие как определение различных DNS-серверов для разные правила.

Другие службы, доступные в этом разделе, - это служба динамического DNS, прокси-сервер IGMP, сервер NTP для предоставления времени различным компьютерам, сервер PPPoE, протокол SNMP для удаленного мониторинга этого межсетевого экрана и даже протокол UPnP / NAT-PMP. для автоматического и динамического открытия портов, Wake-on-LAN (WoL) для пробуждения компьютеров в локальной сети.

Когда мы увидим несколько сервисов, включенных в pfSense, мы перейдем непосредственно к разделу VPN.

VPN

Эта ориентированная на брандмауэр операционная система поддерживает большинство существующих в настоящее время протоколов VPN, у нас есть L2TP / IPsec, IPsec, OpenVPN, а также WireGuard. Учитывая, что он ориентирован на профессиональное использование, у нас есть все доступные варианты конфигурации и существующие типы аутентификации. Мы можем создавать VPN типа удаленного доступа, а также Site-to-Site.

В зависимости от потребностей пользователей и компании будет целесообразно настроить и построить туннель с использованием того или иного типа протокола, новинка pfSense 2.5.0 и более поздних версий - это встроенная поддержка WireGuard, хотя в предыдущих версиях она также использовалась. поддерживался выполнением «ручной» установки. Благодаря добавлению WireGuard и последних версий OpenVPN, мы получим все последние улучшения в области безопасности и производительности.

Что нам больше всего нравится в pfSense, так это то, что мы можем настроить VPN с нуля без необходимости редактировать сложные текстовые файлы конфигурации, все можно сделать через графический интерфейс пользователя.

Статус:

В разделе «Статус» мы можем видеть глобальный статус брандмауэра, просматривать журналы различных областей операционной системы, видеть статус интерфейсов, статус трафика, использование ЦП и ОЗУ, а также статус всех сервисы, которые мы используем в операционной системе. Что нам очень нравится в pfSense, так это то, что нам очень редко приходится входить через SSH или через консоль, чтобы увидеть журналы, все находится в самом графическом пользовательском интерфейсе через Интернет.

В этом меню мы можем видеть статус адаптивного портала, CARP, основной панели мониторинга, статус DHCP и DHCPv6, статус DNS-преобразователя, шлюза, интерфейсов, туннелей IPsec и OpenVPN VPN, мониторинг различных интерфейсов, сервисов и даже просматривать график трафика в реальном времени, среди прочего. В зависимости от дополнительного программного обеспечения, которое вы устанавливаете, эти параметры отображения состояния различных служб могут увеличиваться.

Диагностика

В разделе «Диагностика» мы можем видеть таблицу ARP, аутентификацию, резервное копирование и восстановление, выполнять поиск DNS, редактировать файлы вручную, восстанавливать операционную систему до заводских настроек, выключать и перезапускать систему, видеть таблицу NDP, запускать захват трафика для обнаружения проблем, запуск pfInfo и pfTop для просмотра текущих подключений, ping и tracert, просмотр статуса SMART, выполнение теста порта и многое другое.

Как вы уже видели, pfSense - это операционная система, которую мы можем использовать в качестве межсетевого экрана и основного маршрутизатора как на внутреннем уровне, когда у нас есть обширные знания, так и на профессиональном уровне в малых и средних компаниях. Благодаря высокой стабильности операционной системы и большому количеству дополнительного программного обеспечения, которое мы можем установить, эта система становится одной из лучших для использования в качестве межсетевого экрана / маршрутизатора.