tech365
pfsense configuratie 000

Upgrade de beveiliging van je thuisnetwerk met PfSense – deel 1

Je kunt als gewone thuisgebruiker kiezen uit een legio aan verschillende routers. Ze hebben allemaal wel een ingebouwde firewall maar vaak in een erg beperkte vorm. Stel je wilt meer. Het liefste heb je volledige controle over het verkeer in en uit je netwerk en wil je natuurlijk hier zo min mogelijk voor betalen. Voor mij was dit de aanleiding om eens aan de slag te gaan met PfSense, een gratis securityoplossing die niet alleen voor firewall kan spelen, maar ook vele andere services biedt. Niet alleen prima voor thuis, maar ook goed inzetbaar voor je bedrijfsnetwerk.

Met weinig kun je al aan de slag

Om gebruik te kunnen gaan maken van PfSense heb je natuurlijk wel een stukje hardware nodig. Dit kan in de vorm van een fysieke computer, of op basis van een virtual machine. Je hoeft ook geen dikke setup te hebben om Pfsense te kunnen gebruiken. Als je nog ergens een compacte barebone of mini pc in de rondte hebt liggen dan is de kans groot dat hij prima voldoet aan de minimale systeemspecificaties.

Wat je nodig hebt aan hardware is afhankelijk van de belasting die je kunt veroorzaken. Logisch toch? Het enige dat je even in de gaten moet houden, is dat ik belasting bedoel in de zin van netwerkdoorvoersnelheid. Onderstaande tabel geef het advies weer van PfSense zodat je een beeld hebt bij wat je nodig hebt.

10-20 MbpsWe recommend a modern (less than 4 year old) Intel or AMD CPU clocked at at least 500MHz.
21-100 MbpsWe recommend a modern 1.0 GHz Intel or AMD CPU.
101-500 MbpsNo less than a modern Intel or AMD CPU clocked at 2.0 GHz. Server class hardware with PCI-e network adapters, or newer desktop hardware with PCI-e network adapters.
501+ MbpsMultiple cores at > 2.0GHz are required. Server class hardware with PCI-e network adapters.

Naast de keuze voor een processor adviseert Pfsense om 1GB RAM te hebben, een harddrive voor als je een volledige installatie wilt en een netwerkkaart. Niet veel bijzonders dus eigenlijk.

Tijd om te shoppen voor onderdelen

Ik kocht een gebruikte mini pc via Tweakers voorzien van een Intel Atom N550 processor. Hiermee heb ik een dual core processor tot mijn beschikking die 4 cores heeft door middel van Hyperthreading. Verder is hij voorzien van 2GB RAM, een dual port netwerkkaart en een 120GB SATA harddisk. Wat mij betreft een prima stukje hardware voor een Pfsense installatie en een 200Mbit internetverbinding. Er zaten alleen een paar kleine nadelen aan het dingetje dat ik kocht. Zo was hij standaard voorzien van een ijzeren behuizing. Niets mis mee buiten het feit dat hij wit was en beschadigd. Daarnaast was zowel de ingebouwde voeding als de behuizing voorzien van een industriële ventilator. Je kent ze wel, die kleine fans die loeien als een gek. Nee, daar moest wat aan gedaan worden om het geheel in de woonkamer te kunnen plaatsen.

Stap 1: de hele boel uit elkaar halen. Als eerste moeten die witte panelen van de behuizing echt een minder opvallende kleur. Hoogglans zwart it is! De panelen zijn eenvoudig los te maken door middel van een aantal schroeven en het geheel moet toch uit elkaar om die ellendige ventilatoren te vervangen. Ik besloot twee Noiseblocker fans te kopen. Voor de voeding was een 40mm variant nodig en de casefan een 60mm. De Noiseblocker fans draaien op een veel lager toerental en maken hierdoor ook minder lawaai. Daarnaast krijg je er rubberen “schroeven” bij om ze vast te zetten wat ook weer zorgt voor minder lawaai.

Pfsense firewall box tech365 008

Je kunt goed zien dat de oude ventilator al wat draaiuren heeft gehad. Veel van het vuil kreeg ik ook niet van de bladen af en dit komt de geluidproductie natuurlijk niet ten goede. De koeling overigens ook niet.

Pfsense firewall box tech365 010

De nieuwe Noiseblocker fans zijn een stuk dikker dan de industriële fans die er standaard inzaten. Hiermee verplaatst hij zelfs nog meer lucht en doet dit op een lager toerental. Win-win dus. Dit soort fans kosten overigens slechts een paar euro. Heb je ze ergens dus een jankende fan, vervang hem dan lekker door een stillere variant.

Ondertussen waren de panelen van de behuizing gespoten (thanks Tinus!) en kon ik alles weer in elkaar zetten. Stukken beter als je het mij vraagt en veel minder een aandachttrekker. De Pfsense box komt in een kastje in het zicht te staan en dan valt zwart toch een flink stuk minder op dan wit. Voor je beeldvorming, het is een donkerbruine kast.

Pfsense firewall box tech365 006

De behuizing bestaat uit een kap en een voorpaneel. Een eenvoudig vlakke behuizing om te spuiten in ieder geval. Nu het hele spul weer in een strak jasje zit kunnen we aan de slag met de installatie.

Pfsense firewall box tech365 014

 

Installatie: Volledig of minimaal?

Het leuke aan Pfsense is dat het niet nodig is om een harddisk in je systeem te hebben. Je kunt de software namelijk ook op een SD-kaartje of USB-stick installeren. Ik heb er wel voor gekozen om een oude harddisk van een laptop te gebruiken. Dit heeft dan weer als voordeel dat je meer mogelijkheden hebt voor het wegschrijven van logbestanden en opslagruimte voor caching. Mocht je geen harddisk meer hebben liggen dan kun je ook gewoon een UBS-stick pakken en gaan met die banaan.

De installatie software kun je downloaden op de website van PfSense en komt in een ISO-formaat. Je kunt het ISO-bestand op een cd branden maar dat voelt dan gelijk weer zo ‘1999’, dus pak lekker een USB-stick en “brand” de ISO hierop. Even opstarten vanaf de USB-stick en je komt direct in het installatiemenu. De installatie is erg eenvoudig opgezet en ik loods je hier even snel doorheen.

Pfsense firewall installatie tech365 001

Voilà, het installatiemenu. Je kunt kiezen uit Multi User of Single User maar heeft eigenlijk weinig invloed op de installatie. Ik kies voor optie ‘1’ om het geheel te starten.

Pfsense firewall installatie tech365 002

Nadat het geheel gestart is krijg je een keuzemenu aangeboden waarin je de mogelijkheid hebt om het type installatie te kiezen. Zelf ben ik niet echt een Linux guru dus ik kies voor de Quick/Easy Install. Deze optie laat heel veel vragen weg en om heel eerlijk te zijn vind ik dit meer dan voldoende voor een simpele thuisoplossing.

Pfsense firewall installatie tech365 003De volgende stap in de installatie geeft je de mogelijkheid om nog wat specifieke zaken aan te passen op het gebied van Video Fonts, Screenmaps en Keymaps. Mijn PfSense box komt ergens in een kastje zonder beeldscherm, toetsenbord en muis, dus kies ik voor Accept these Settings en pas hier verder niets aan.

Pfsense firewall installatie tech365 004

Je wilt het niet geloven, maar daar gaat hij al. De installatie van PfSense wordt nu uitgevoerd en het is een kwestie van even een 1-2 minuten geduld hebben tot hij klaar is.

Pfsense firewall installatie tech365 005

Ondanks dat ik niet van plan ben om er een beeldscherm en toetsenbord permanent aan te hangen kies ik toch voor de Standard Kernel. Mocht ik het nodig hebben dan is het in ieder geval mogelijk.

Pfsense firewall installatie tech365 006

De installatie van de software is nu afgerond en het is tijd om je machine te herstarten. Na de herstart wordt PfSense gestart en is hij bijna klaar voor gebruik.

Configuratie:

Pfsense firewall installatie tech365 007

Na de installatie van de software is het natuurlijk nog wel even nodig om wat netwerkinstellingen aan te passen. Ik mijn geval heb ik een tweetal netwerkkaarten beschikbaar voor PfSense. In de bovenstaande afbeeldingen zie je hoe dit eruit ziet na de installatie. Interface vmx0 en vmx1 kan ik gebruiken voor het verbinden van mijn modem van Ziggo en het interne netwerk. Ik maak hierin geen gebruik van VLANs en kies voor ‘n’.

Pfsense firewall installatie tech365 008

Het is van belang om aan te geven op welke interface je inkomende internetverbinding zit. In mijn geval is dat vmx1. Ik geef deze interfacenaam op als WAN interface zodat PfSense snapt wat de binnenkant en buitenkant van het netwerk is.

Pfsense firewall installatie tech365 009

Als tweede interface kies ik mijn LAN interface. Vanuit hier is mijn interne netwerk verbonden met PfSense. Dit activeert ook direct de firewall en Network Address Translation (NAT) functies van PfSense.

Pfsense firewall installatie tech365 010

Omdat ik geen derde optionele interface beschikbaar heb (bijvoorbeeld voor een DMZ) sla ik deze stap over en bevestig mijn zojuist gekozen configuratie voor de interfaces. Nu is het alleen nog zaak om de IP-configuratie aan te passen voor mijn netwerk.

Pfsense firewall installatie tech365 011

Eenmaal terug in het hoofdmenu kies ik voor optie ‘2’ voor het aanpassen van mijn ip-configuratie. Je kunt hier eventueel ook direct het standaard wachtwoord (pfsense) voor de admin user (admin) wijzigen via optie ‘3’.

Pfsense firewall installatie tech365 012

Mijn WAN interface staat standaard al ingesteld op “DHCP”. Dit is prima want bij mijn internetverbinding heb ik geen vast ip-adres. Wanneer de kabel van het modem straks is aangesloten krijgt deze interface dus vanzelf een publiek IP-adres. Mijn LAN interface staat standaard op static en ook dit is prima. Ik wil aan deze interface zelf een IP-adres toekennen dat ik ook kan gebruiken voor de clients en servers in mijn thuisnetwerk.

Pfsense firewall installatie tech365 013

Als voorbeeld kies ik het IPv4 adres 192.168.1.254 als adres voor de LAN interface van PfSense met een /24 subnet. Doordat de machine zelf direct naar het internet kan verbinden hoef ik geen upstream gateway op te geven. Na dit aangepast te hebben is het hele feestje eigenlijk klaar voor gebruik en kunnen we verder met het configureren via de webinterface.

Om het een beetje beter leesbaar te houden ga ik in deel twee verder in op de manier waarop je Pfsense verder kan configureren en de verschillende mogelijkheden. Stay tuned!

pfsense configuratie 000

Martijn

Martijn is naast eigenaar van tech365 ook werkzaam als IT Professional. Zijn passies zijn gadgets, fotografie en alles wat met automotive te maken heeft. Je kunt hem ook vinden als blogger op wielerblog www.lifebehindbars.nl

Reageren

Geef een reactie

Deze website gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.

Privacy opties

Wijzig je voorkeur voor het bijhouden van gegevens op tech365.

Privacybeleid | Sluiten
Instellingen