Täällä pyöritelty jo noin 5v pfsenseä, eri raudalla, ja nyt viimeisimpänä muotona virtualisoituna ESXi 7.0 päälle.
Versio tällä hetkellä
23.01-RELEASE. Eli käsittääkseni pfSense+.
LAN puolella 2.5GbE Intel i-225V NIC, ja WAN emolevyn omalta portilta PoE injektorin läpi ZTE MC7010 siltaavaan purnukkaan. Rautana alla Dell Optiplex XE2, 16G muistia ja SSD.
Kertaakaan ei ole ollut mitään pfsensestä johtuvaa ongelmaa, vain huonosta raudasta. Esim eräskin realtekin halpa NIC veti LAN sekä WAN portit totaaliseen jumiin, vaikka olivat virtualisoinnin läpi pfsensessä.
pfsense:ssä seuraavat plugarit ja lyhyt selitys mitä sillä tehdään:
1. HAProxy terminoi HTTPS sivut ja ohjaa ne eri virtuaalikoneille x porttiin.
2. ACME lisäosalla haetaan automaagisesti omiin alidomaineihin sertifikaatit.
3. DDNS päivittelee Cloudflareen API avaimelle välillä vaihtuvan julkisen IP:n.
4. pfBlockerNG lisäosalla haetaan automaattisesti GEOIP:ltä kaikki suomen IP osoitteet, ja merkataan ne sallituksi muurin ulkoiseen 443 porttiin.
5. TailScale plugarilla terminoidaan muuriin suoraan wireguardilla tunnelit eri härveleiltä jos halutaan päästä LAN puolelle.
6. RootCA jolla saa tehtyä tarpeen mukaan LAN puolelle luotettuja hosteja, helpottaa nettisivujen tekoa huomattavasti.
7. Kaikki DNS kyselyt pakotetaan PiHole virtuaalikoneelle joka hoitaa sitten mainosteneston koko verkossa.
8. Traffic shaperilla tehty sääntö 400mbit alas ja 50 ylös, koska tuo ZTE p*skakikkare hajoaa jos mennään liian kovaa, ja pingit nousee (bufferbloat).
Mitä pitäisi vielä säätää:
1. Ostaa ehkä netgatelta omaa rautaa, jotta muuri olisi vähän enemmän erillinen komponentti. Nyt jos tuo optiplex päättää päivänsä, on aika hiljaista kotona netin osalta + oma purnukka vie varmaan vähemmän sähköä...
2. Toinen WAN yhteys ja konffata kuntoon, tuo ZTE kun tippuu niin sitten ollaan se minuutti kaksi ilman nettiä, ja työt kärsii
Muutamaan kertaan on tullut vastaan joku juttu mitä ei vielä ole kehitetty pfsenseen (esim kun wireguard julkaistiin ekan kerran), mutta sitten taas kun jaksaa odotella, niin softa kehittyy ja on hyvinkin vakaata.
En oikein keksi mitään muuta softaa mikä tekisi kaiken tämän yhdessä paketissa. Esim jos nyt pitäisi vaihtaa muuhun softaan niin pitäisi alkaa virtualisoimaan tuota HAProxyä itse (ja pfsensessä on hemmetin hyvin koodattu tuo haproxyn GUI!), tehdä DDNS jostain muualta, päättää sertifikaatit suoraan virtuaalioneille (hirveä homma ylläpitää ja valvoa) yms yms.