pfSense

pfSense ist eine Firewall-Distribution auf der Basis des Betriebssystems FreeBSD und des Paketfilters pf.

oops! bietet pfSense-Support an, deutsch/englisch, via Email, Telefon, Chat oder wie auch immer ūüėČ

Die Features lassen so gut wie keine W√ľnsche offen ‚Ķ hier nur eine kleine Auswahl (mehr Details siehe Link unten):

  • IPv4/IPv6 stateful firewall
  • NAT
  • DNS, Dynamic DNS
  • DHCP
  • Proxying (HAProxy, Captive Portal)
  • Multi-WAN (mehrere Internet-Anbindungen, Load Balancing, Failover, etc)
  • High Availability
  • VPNs (IPSEC, OpenVPN, ‚Ķ)
  • SSL-Cert-Verwaltung (ACME, LetsEncrypt, ‚Ķ)

Ich setze pfSense vorrangig auf Hardware des offiziellen Projekt-Partners netgate ein, diese Hardware wird offiziell unterst√ľtzt und ist sowohl leistungsf√§hig wie auch zuverl√§ssig.

pfSense Features

Web-Services hinter HAproxy

HAproxy erlaubt es, hinter einer einzelnen IP mehrere Dienste, wie zB Webserver zu betreiben.

Ein klassisches Anwendungsbeispiel ist der Betrieb von mehreren Websites / virtual hosts / Web-Applikationen an einer einzelnen statischen IP.

Die Konfiguration ist höchst flexibel, kann SSL/TLS-Offloading auf der pfsense bereitstellen, was in Kombination mit LetsEncrypt-Zertifikaten eine vollautomatisierte Umgebung erlaubt:

Das ACME-Addon bezieht die Certs und hält sie aktuell, HAproxy bietet die ganze TLS-Abwicklung und leitet den Traffic auf die verschiedenen http-Dienste im LAN weiter.

Ein angenehmer Nebeneffekt: SSL/TLS passiert auf der pfsense, was die Backends CPU-mässig entlastet.

HAproxy kann aber auch andere Protokolle transportieren, etwa IMAP oder SQL …

Multi-WAN oder “Offline ist nicht gut”

pfsense bietet die M√∂glichkeit, mehrere Internet-Anschl√ľsse intelligent zu koppeln. Damit l√§sst sich die Ausfallsicherheit erh√∂hen, wenn man zB eine schnelle Glasfaser-Anbindung mit einer langsameren DSL-Leitung kombiniert.

Load-Balancing

Oft ist eine Leitung deutlich “breiter” als die andere, also will man entsprechend Verbindungen auf die Leitungen verteilen:

Ist die LWL-Leitung 10x so schnell, lässt man pfsense diese Leitung 10x so hoch gewichten bei der Zuteilung von zB http(s)-Verbindungen.

Failover

Fällt eine der Leitungen aus, soll der Traffic auf der oder den verbleibenden Leitungen weiter laufen.

pfsense erlaubt es, Balancing und Failover zu kombinieren, und auf individuelle Bed√ľrfnisse anzupassen.

Dabei ist es auch möglich, dies auf einzelne Firewall-Regeln anzuwenden.

Zum Beispiel:

  • PCs im Subnetz LAN sollen √ľber die schnelle, g√ľnstigere LWL nach drau√üen surfen
  • Server in der DMZ sollen √ľber die langsamere DSL-Leitung nach drau√üen gehen, weil dort die erforderlichen statischen IPs erreichbar sind