Îmi dau seama că majoritatea persoanelor aici sunt deja convertite. Sunt îngrijorat după ce am citit rapoarte despre cât de nesigure sunt routerele domestice. Am două routere Asus, RT-AC86 și RT-AC68 într-un mesh Wi-Fi, AC86 fiind punctul principal de conexiune la fibra ISP 100/20 și maestru pentru aimesh. Am doar în jur de 16 dispozitive. Câteva telefoane, mai multe laptopuri, Chromecast, Smart TV, Logitech harmony, Roku streaming box și comutator inteligent TP-Link. Adică, o rețea casa obișnuită. Nimic special din punct de vedere al rețelei, nu primesc și nu trimit trafic, folosesc VPN pentru muncă. Routerul rulează Asus AiProtection, care este o soluție Trend Micro care blochează site-uri suspecte, nu știu cât de bun este, dar îmi spune ocazional că a blocat site-ul pe care l-am accesat. Personal, sunt sysadmin pentru un system mare, cu aproximativ 60 de servere Redhat RHEL7 și am cunoștințe rezonabile despre rețea. Întrebarea reală este dacă ar trebui să cumpăr un dispozitiv protectli și să rulez pfsense. Dacă da, de ce?
pfSense îți oferă mult mai multă flexibilitate și control asupra rețelei tale.
Nu știu ce este “AiProtection”, dar dacă provine de la Trend Micro, probabil nu este foarte bun. pfBlockerNG este probabil mai eficient și îți oferă mai mult control asupra a ceea ce blochează, listele folosite, etc.
Logarea este probabil mult mai bună pe pfSense decât pe un router Asus. Nu știu despre tine, dar apreciez logurile. (Poate vei spune că îmi câștig existența din loguri bune.)
Poți rula unbound pe pfSense, astfel vei avea un cache DNS local, poți face DHCP cu control extins, poți rula un server NTP local, poate interfața cu UPS dacă ai unul (recomand să folosești unul), și lista continuă.
Sunt sigur că routerele Asus pe care le ai sunt bune în măsura în care sunt. Dacă ești mulțumit de ele și ceea ce fac, poate nu e nevoie să treci la altceva. Totuși, dacă nu fac tot ce vrei, pfSense ar putea fi o alternativă bună pentru tine.
Am descoperit că routerele WiFi pentru consumatori nu performează atât de bine, nu sunt bine suportate de vânzători și patch-urile pentru firmware-ul lor încetează să mai apară după câțiva ani. pfSense performează excelent, este stabil și fiabil, și îl pot configura astfel încât rețeaua mea să funcționeze așa cum vreau.
Dispozitivele Asus sunt bune, dar gândește-te la pfsense ca la o posibilitate de a avea control mai granular asupra tuturor aspectelor. Este un instrument foarte puternic dacă este configurat corect. În cazul oricărei pfsense (sau opnsense), comportamentul implicit este să blocheze totul.
Potentialele probleme de securitate ale routerelor de consum, în afară, pfsense este o idee bună dacă vrei/nevoie control și flexibilitate pe care unele dintre aceste dispozitive nu le pot oferi.
Pentru mine, motivul inițial a fost să am un server DNS (Unbound) pentru sistemele (clienți și servere) din rețeaua mea de acasă, integrat cu serverul DHCP de pe router. Unbound nu este un server autoritar adevărat, ca Bind, dar se comportă destul ca unul folosind înlocuiri de gazde. De asemenea, am vrut să implementez filtrare DNS pe firewall, pe care am făcut-o într-un script Python. Scriptul umplea înlocuiri de domenii în Unbound. Implementarea mea era foarte asemănătoare cu ceea ce face pachetul pfBlocker-NG. A funcționat bine, dar mai târziu m-am mutat pe Pi-hole într-un container Proxmox. Am migrat pe Pi-hole înainte ca pfBlocker-NG să fie lansat. PfBlocker-NG este grozav, dar am decis să continui cu Pi-hole.
Unele lucruri pe care le fac acum pe pfSense includ:
- Ocolirea gateway-ului de încredere (RG), un router multifuncțional de la consumatori necesar pentru serviciul de internet pe fibră, folosind metoda MonkWho / pfatt. Această metodă utilizează subsistemul netgraph din FreeBSD, care probabil nu este disponibil în routerele pentru consumatori. Fără netgraph, un client AT&T s-ar putea trezi cu rămân în constrângere fie cu routerul RG, fie cu plasarea routerului în spatele RG.
- Menținerea unui DNS privat (Unbound) pentru serverele de acasă și clienții DHCP, așa cum am spus mai devreme.
- Rezolvarea interogărilor reverse DNS prin Pi-hole, care este DNS-ul principal pentru majoritatea clienților, pentru raportarea acțiunilor de filtrare DNS după nume de gazdă.
- Utilizarea unui cert-manager/ DDNS/Acme/HAProxy pentru găzduire.
- server IPsec VPN pentru accesul de la distanță la LAN
- client OpenVPN către serviciul PIA, izolat într-o subrețea. Toate sistemele din această subrețea (ex. 192.168.3.0/24) folosesc automat serviciul VPN PIA fără alte configurări. Există doar câteva sisteme pe această subrețea. Toate au IP static și propriul lor server Pi-hole DNS. Ele sunt doar rutate printr-un gateway către VPN PIA.
- Trimiterea evenimentelor de firewall (ca syslog) și utilizarea lățimii de bandă (ca Netflow) către un server Elasticsearch/Logstash/Kibana (ELK) pentru vizualizare și analiză.
- Trimiterea metricilor sistemului către un server InfluxDB/Grafana folosind un agent Telegraf.
Cu siguranță ai cunoștințele și abilitățile pentru a configura pfSense. Întrebarea este, ai nevoie de ceva mai mult din partea firewall-ului/routerului tău actual. Dacă da, atunci ar trebui să-l iei în considerare.
Opinia: trecerea la ceva serios ca pfSense pentru firewall/routing este, în general, pentru a avea VLAN-uri și reguli avansate de rutare, adică segmentarea rețelei.
Opinia: dacă ai peste 60 de servere și zeci de alte dispozitive aleatorii, ar trebui să te gândești să le segmentezi. Chiar are nevoie Chromecast-ul tău să vorbească cu serverul tău de mail sau serverul LDAP?
Personal, am un VLAN pentru oaspeți pentru vizitatori/parteneri, unul pentru dispozitivele mele interne precum desktop-uri și laptopuri, unul pentru dispozitive IoT suspecte precum camerele Wyze și Chromecast, unul pentru dispozitivele expuse la internet precum serverul web și serverul de mail etc., unul pentru gateway-ul VPN forțat pentru activități precum serverul torrent sau orice trafic pentru care ISP-ul meu s-ar putea plânge (detonație malware în sandbox, de exemplu), și altele.
Numai tu poți decide când valoarea securității prin segmentare depășește costurile de configurare/întreținere. Am făcut saltul de la vechiul ASUS Dark Knight la pfSense când am început să găzduiesc servere publice precum DNS, HTTP și VPN. Dacă nu, următorul impuls ar fi fost când am început să folosesc dispozitive IoT precum camere ieftine etc. Acestea pot fi o țintă periculoasă de supraveghere/un punct de intrare pentru un atacator și sunt întotdeauna niște gunoi extrem de vulnerabil.
Îți spun de ce am făcut asta. De ani bântui între Cisco și SonicWall.
Oricând se apropia reînnoirea, treceam la cel mai ieftin. Am lucrat pentru MSP-uri, așa că întotdeauna am avut oferte.
Așa că,
500$ pentru un 1921R cu pachet de securitate. Înscrie-mă. Apoi, când venea reînnoirea și ajungeam la o factură de 2k$,
Aș lua un SonicWall. Clătește și repetă.
Am cumpărat un protectli pe Amazon pentru 300$. Fără licențe, fără taxe și face tot ce am nevoie.
Are mai puține funcții decât voi folosi vreodată și costurile îl fac să merite să păstrez un backup rece.
pfsense îți oferă mult control și monitorizare. Un protectli cu pfsense este pur și simplu o binecuvântare.
Totuși, poate dura săptămâni și luni să înțelegi ce faci cu anumite opțiuni.
Chiar durează mai mult să încerci și să înțelegi cum să folosești în mod corespunzător snort. Chiar și atunci, s-ar putea să nu mai poți să te conectezi la VPN-ul angajatorului tău din motive… diverse. O regulă a fost declanșată, sau nu ai configurat lista albă corespunzător, sau altceva nu este chiar în regulă.
Este foarte dificil să înțelegeti pe deplin sistemul.
Dar nu este greu să instalezi pur și simplu pfsense de bază, să-l pornești și să înveți opțiune cu opțiune, pachet cu pachet.
Doar nu instala tot ce pare bine. Aceasta e o rețetă pentru dezastru.
Motivul “De ce” este controlul. Când înțelegi ce faci, nivelul de control pe care îl ai este incredibil. Și poți face activități precum configurarea proprie a VPN-ului foarte ușor.
Da, îi adaug în pfBlockerNG.
Am folosit DD-WRT ca gateway timp de ani, și sunt obișnuit cu el, dar dezvoltarea a încetat aproape complet. Codul și hardware-ul nu sunt optimizate pentru rutare la viteze mari sau criptografie/VPN. Nimic nu este disponibil pentru cele mai recente routere Wi-Fi 6 802.11ax. Așadar, trebuie să țin cont de asta dacă mă uit la OpenWrt, Tomato, pfsense, opensense etc.
Îmi place în continuare. Nu sunt sigur dacă va face față la 1Gbps. Nu am probleme cu contul meu de 300 Mbps. Poate merită să iei în considerare unul dintre modelele puțin mai scumpe dacă ai o conexiune gigabit.
Ei bine, asta e frumos.
Din păcate, nu este foarte disponibil aici în Danemarca, așa că am ales o altă variantă și am decis să iau un pachet de 3 Asus XD5.
Dar mulțumesc pentru răspuns oricum 
Mulțumesc pentru răspuns atât de minunat! TheGratitudeBot a citit milioane de comentarii în ultimele săptămâni și tocmai ai fost adăugat pe lista unora dintre cei mai recunoscători redditori ai acestei săptămâni! Mulțumim că faci Reddit-ul un loc minunat!