pfSense

pfSense ist eine Firewall-Distribution auf der Basis des Betriebssystems FreeBSD und des Paketfilters pf.

oops! bietet pfSense-Support an, deutsch/englisch, via Email, Telefon, Chat oder wie auch immer 😉

Die Features lassen so gut wie keine Wünsche offen … hier nur eine kleine Auswahl (mehr Details siehe Link unten):

  • IPv4/IPv6 stateful firewall
  • NAT
  • DNS, Dynamic DNS
  • DHCP
  • Proxying (HAProxy, Captive Portal)
  • Multi-WAN (mehrere Internet-Anbindungen, Load Balancing, Failover, etc)
  • High Availability
  • VPNs (IPSEC, OpenVPN, …)
  • SSL-Cert-Verwaltung (ACME, LetsEncrypt, …)

Ich setze pfSense vorrangig auf Hardware des offiziellen Projekt-Partners netgate ein, diese Hardware wird offiziell unterstützt und ist sowohl leistungsfähig wie auch zuverlässig.

pfSense Features

Web-Services hinter HAproxy

HAproxy erlaubt es, hinter einer einzelnen IP mehrere Dienste, wie zB Webserver zu betreiben.

Ein klassisches Anwendungsbeispiel ist der Betrieb von mehreren Websites / virtual hosts / Web-Applikationen an einer einzelnen statischen IP.

Die Konfiguration ist höchst flexibel, kann SSL/TLS-Offloading auf der pfsense bereitstellen, was in Kombination mit LetsEncrypt-Zertifikaten eine vollautomatisierte Umgebung erlaubt:

Das ACME-Addon bezieht die Certs und hält sie aktuell, HAproxy bietet die ganze TLS-Abwicklung und leitet den Traffic auf die verschiedenen http-Dienste im LAN weiter.

Ein angenehmer Nebeneffekt: SSL/TLS passiert auf der pfsense, was die Backends CPU-mässig entlastet.

HAproxy kann aber auch andere Protokolle transportieren, etwa IMAP oder SQL …

Multi-WAN oder „Offline ist nicht gut“

pfsense bietet die Möglichkeit, mehrere Internet-Anschlüsse intelligent zu koppeln. Damit lässt sich die Ausfallsicherheit erhöhen, wenn man zB eine schnelle Glasfaser-Anbindung mit einer langsameren DSL-Leitung kombiniert.

Load-Balancing

Oft ist eine Leitung deutlich „breiter“ als die andere, also will man entsprechend Verbindungen auf die Leitungen verteilen:

Ist die LWL-Leitung 10x so schnell, lässt man pfsense diese Leitung 10x so hoch gewichten bei der Zuteilung von zB http(s)-Verbindungen.

Failover

Fällt eine der Leitungen aus, soll der Traffic auf der oder den verbleibenden Leitungen weiter laufen.

pfsense erlaubt es, Balancing und Failover zu kombinieren, und auf individuelle Bedürfnisse anzupassen.

Dabei ist es auch möglich, dies auf einzelne Firewall-Regeln anzuwenden.

Zum Beispiel:

  • PCs im Subnetz LAN sollen über die schnelle, günstigere LWL nach draußen surfen
  • Server in der DMZ sollen über die langsamere DSL-Leitung nach draußen gehen, weil dort die erforderlichen statischen IPs erreichbar sind