Das hier ist ein kurzer Erfahrungsbericht über pfSense keine Installationsanleitung.
Seit knapp einem Jahr haben wir in unsrem Haus drei Unifi Access Points im Einsatz. Diese funktionieren vorbildlich. Zusätzlich dazu, hatte ich als Router ein UniFi Security Gateway (USG). Alles zusammen kann wunderbar über den selbst gehosteten Unifi Controller verwaltet werden. Wirklich gut zu einem bezahlbaren Preis. Aber leider hatte das USG immer wieder Probleme bereitet. Nach ein bis zwei Betriebstagen gab es immer wieder Fehlfunktionen. Zum Beispiel funktionierte plötzlich die Port-Weiterleitung nicht mehr oder es gab ein Speicherüberlauf und die Netzwerkverbindungen vielen komplett aus. Das Gerät hatte im Betrieb auch immer eine sehr hohe Temperatur. Nur das aus- und wieder einstecken, schaffte Abhilfe. Ich hatte diese Fehler bei zwei Geräten und bin auch nicht der einzige. Bedauerlicherweise ist es wie immer - die Firma scheint sich nicht mehr für dieses altes Gerät zu interessieren und die Probleme werden nicht mehr behoben. Und hier kommt nun pfSense ins Spiel.
Auf der Suche nach einer Alternative habe ich mir pfSense ein wenig genauer angeschaut. pfSense ist eine Firewall-Distribution auf der Basis des Betriebssystems FreeBSD und des Paketfilters pf. Die Software steht unter der Apache-Lizenz v2. Es gibt die pfSense Community Edition (CE), die gratis ist, sowie die pfSense Plus als Bezahlversion mit offiziellem Support für Geschäftskunden.
Die minimalen Hardwareanforderungen sehen wie folgt aus:
- 64-bit amd64 (x86-64)-kompatible CPU
- 1 GB Arbeitsspeicher
- 8 GB Festplatten-, SSD oder SD-Karten-Speicher
- einer oder mehrere Netzwerkanschlüsse
- USB-Speicher oder DVD-ROM Laufwerk zur Installation
Als ich nach einem Weg suchte, pfSense einmal auszuprobieren, stiess ich auf den Begriff “one-armed router” oder “router on a stick”. Es handelt sich um eine Methode des Inter-VLAN-Routing (virtuelle lokale Netzwerke), bei der ein Router über ein einziges Kabel mit einem Switch verbunden ist. Da ich im Keller noch einen Intel NUC D34010WYK aus dem Jahr 2013 hatte und mein Switch VLAN’s unterstützt, schien mir das eine gute Möglichkeit.
Die Installation von pfSense via USB-Stick ist ziemlich einfach. Auch die Konfiguration des LAN und WAN Interface ist ein Kinderspiel. Ich habe mich an dieser Anleitung orientiert. Nach der Installation und Konfiguration meines Switch begrüsste mich das Webinterface von pfSense und die Internetverbindung funktionierte bereits.
Damit meine Nextcloud auch im lokalen Netzwerk über die Domain und den weitergeleiteten Port erreichbar ist, musste ich NAT Reflection aktivieren.
Als Adblocker habe ich pfBlocker-NG installiert und konfiguriert. Den OpenVPN Server einzurichten, war schon etwas anspruchsvoller. Aber mit der Hilfe dieser Anleitung hat es eigentlich auf Anhieb geklappt.
Zu Testzwecken habe ich noch Snort installiert und mit der Hilfe der Doku konfiguriert. Snort ist ein freies IDS/IPS System. Es dient der Angriffserkennung und Abwehr auf das Netzwerk. Zugegeben, meine Netzwerkkenntnisse reichen nicht aus, um Snort vollumfänglich bedienen zu können oder viele der Regeln zu verstehen. Allerdings sind die Grundeinstellungen sehr gut. Ich musste bis jetzt ca. 10 Regeln unterdrücken, damit unsere normale Internetnutzung ohne Probleme funktioniert. Es ist sehr interessant zu sehen, dass permanent an meine Internt Haustüre(n) gehämmert wird.
Die Performance des einarmigen Routers stellt sich als sehr gut heraus. Wenn ich nicht gleichzeitig grosse Daten im LAN verschiebe, kann über die Full-duplex Ethernet Verbindung mein Gigabit Glasfaseranschluss voll ausgenutzt werden. Der Stromverbrauch des alten Intel NUC liegt zwischen 5 W und 10 W. Und das wichtigste: Es läuft absolut stabil!
Vorerst ist das für mich eine gute Lösung und ein adäquater Ersatz für das USG. pfSense ist eine mächtige Firewall mit sehr vielen Möglichkeiten. Meine Fachkenntnisse sind weit davon entfernt, diese nutzen zu können. Ich würde sagen, es besteht die Gefahr, dass ich Fehlkonfigurationen vornehme. Dies birgt natürlich auch Gefahren. Ich habe mich meist an die offiziellen Dokumentationen gehalten und so wenig wie möglich an den Standardeinstellungen geändert. Somit bin ich zuversichtlich, und freue mich über eine stabile, kostengünstige und vor allem freie Lösung.
wer eine etwas modernere ui möchte, der sollte ich auch mal opnsense (https://opnsense.org/) ansehen.
Und nebenbei noch eine freundlichere/ sehr hilfsbereite Communitie im Forum!
Ich möchte Thomas Empfehlung zu OPNsense bekräftigen, auch weil der Fokus auf die Community und freie Lizenzen gegenüber pfsense höherrangig im Fokus stehen: https://de.wikipedia.org/wiki/OPNsense#Geschichte
Das Thema »Firewall« (sollte auch als Tag im Beitrag ergänzt werden) finde ich generell spanned – vielleicht könntet ihr/ könnten wir dieses Jahr eine Serie dazu machen?
Oder IpFire
Ihr dürft gerne einen Artikel zu OPNsense oder IpFire einreichen. Mich würde es auch interessieren!
Wie bekommen Sie in der Schweiz eine öffentliche IP-Adresse???
Erhält in der Schweiz nicht auch jeder eine öffentliche IP? Muss ja aber auch gar nicht die Schweiz gewesen sein …
Ich bin aus der Schweiz.
Leider ist es so, dass man auch häufig in einem Carrier-grade NAT ist und man keine öffentliche IP bis zu sich nachhause hat. Man kann aber bei jedem Anbieter eine statische öffentliche IP bekommen. Das kosten aber meist etwas.