Choć w pudełku z różnymi gratami IT posiadam kilka różnych routerów od mojej pierwszego routeru, przez kilka prób konwersji modemów ADSL niemieckiego Vodafona (np. Huawei HG553) po wykorzystywany przez ostatnie 4 lata miniaturowy Nexx WT3020. Nigdy na dłuższą metę nie wykorzystywałem przewidzianego dla SOHO domyślnego rozwiązania i przechodziłem od razu na bardziej zaawansowane rozwiązania, polegające na wymianie fabrycznego oprogramowania na OpenWRT. Czy to jako element konwersji routerów ADSL, czy jako „pakiet polonizacyjny” chińskich interfejsów.

System

Przymierzając się jednocześnie do zmiany łącza na coś szybszego, najlepiej w technologii FTTH o przepustowości nawet 1 Gb/s. Potrzebowałem rozwiązania o większej mocy po stronie sprzętowej, jak i o większych możliwościach po funkcjonalności. Pewnie w przypadku większości nerdów IT skończyłoby się na jakimś Mikrotiku z RouterOS lub na dalszej zabawie z OpenWRT. Ja jednak chciałem spróbować czegoś innego, można powiedzieć egzotycznego w naszym krajowym mainstreamie prouserów, jednak dość powszechnego w angielski youtubie — pfSense.

Przy typowych rozwiązaniach (RouterOS, OpenWRT) nie byłby to dla mnie pierwszy kontrakt z Linuxem, jednak pfSense jak na razie działa na freeBSD. Gdzie wolnościowe podejście systemu np. w zakresie sterowników, daje dość mocno w kość — z kart WiFi można korzystać co najwyżej z wersji n, a sieciówki to w praktyce tylko na chipsetach Intela.

Sprzęt

Podstawowy problem przy zabawie z pfSense wynika z fakt, iż raczej nie uda się go zainstalować na typowych rozwiązaniach SOHO, jak to jest możliwe np. z OpenWRT. Co prawda można kupić dedykowaną platformę z pfSense od Netgeta, jednak takie podejście przewyższa umowną granicę budżetu do zabawy. Przy cenie za podstawowy model Netgate 1100 w wysokości $179, poruszamy się już w granicach sprzętu high-end/gaming, nie wspominając już o dedykowanych rozwiązaniach sieciowych platform NUC z cenami z przedziału 1000+ zł.

Terminal HP t620 Plus

Na szczęście jak pokazuje internet, pełno jest przykładów wykorzystania znacznie tańszych używanych terminali dostępowych HP czy to też Dell. Czy to w oparciu o podstawowe modele z jednym gniazdem RJ45 i wykorzystywać dodatkowe interfejsy w postaci przejściówek USB. Czy też wybierając rozbudowane wersje (w HP z dopiskiem Plus lub Dell z dopiskiem Extended) w której można zamontować dodatkową kartę rozszerzeń PCIe x4. W której najczęściej montowało się karty graniczne, na potrzeby większej wydajności przy zadaniach granicznych, ale bez problemu można też wykorzystać miejsce na dodatkową kartę sieciową z 1-4 portami RJ45.

Karty sieciowe

Pierwotnie zakupiłem 4 portową kartę marki Sun, gdzie boleśnie dowiedziałem się, jak w FreeBSD wygląda kompatybilność sprzętowa. Temu też aktualnie korzystam z dwu portowej karty SuperMicro AOC-SG-I2, jednocześnie polując na jakaś w wersji 4 portowej.

A gdzie WiFi?

Choć mój terminal nie był wyposażony w kartę radiową, choć zdarzają się takie konfiguracji – właśnie oczekuję na drugi terminal w tej konfiguracji. To przy zakupie nie kładłem na to dużego nacisku. W końcu w domu wifi wykorzystuję jedynie na potrzeby smartfonów czy tabletów, z planowanym rozwiązaniem smart-home. To jednak założyłem, iż nie będzie to duże wyzwanie i wystarczy mi jakiś dongle USB.

Skąd też zakupiłem adapter Tp-Link Archer T3U Plus, by skorzystać z zalet Wi-Fi 5 i sieci 5 Ghz. Gdzie niestety drugi raz przekonałem o wyższości FreeBSD w podejściu do kompatybilności, która w praktyce kończy się urządzeniach dedykowanych na 802.11n.

pfSense 101

Na szczęście internet pełen jest materiałów, które wyjaśniają co to jest pfSense, jak go zainstalować i potem skonfigurować.

Podstawowa konfiguracja pfSense

Choć pierwotne zainteresowanie pfSense zdobyłem na podstawie filmów Toma Lawrensa, który u siebie na kanale mówi właśnie o pfSense czy TrueNas (ex. FreeNas).

Spięci kilku interfejsów w wewnętrzny switch

Plany na przyszłość

• zabawa z vlan
• zabawa z fi
• wsparcie pracy zdalnej
• puszczenie części ruchu via VPN np. privateinternetaccess.com
• blokowanie reklam z poziomu routera