Создание собственного маршрутизатора pfSense — одно из лучших обновлений, которые вы можете внести в настройку домашней сети. Он открывает мир возможностей и возможностей настройки, которые обычно скрыты в дорогих стандартных маршрутизаторах. Но запуск и запуск pfSense может оказаться непростой задачей, и вам придется многому научиться. Некоторое предварительное быстрое исследование, а также базовое понимание того, что делает и как работает ваш маршрутизатор, могут помочь вам избежать траты времени и разочарований на любую из распространенных ошибок.
Здесь мы сосредоточимся на pfSense, но этот совет в целом применим независимо от того, используете ли вы openSense, OpenWRT или другую платформу. Итак, вот пять ошибок, которых следует избегать при создании своего первого индивидуального маршрутизатора (в произвольном порядке).
Связанный
Кто-то сделал маршрутизатор Raspberry Pi, которым можно управлять со смартфона
Создайте свой собственный маршрутизатор.
5 Не использовать процессор с поддержкой AES-NI
Это важно, особенно если вы планируете использовать более старый процессор для своего маршрутизатора pfSense. AES-NI (или новые инструкции Intel Advanced Encryption Standard Standard) — это функция аппаратного шифрования, которая значительно ускоряет операции шифрования и дешифрования на основе AES, позволяя напрямую перегружать их на ЦП. Это особенно важно, если вы используете VPN с несколькими пользователями: производительность шифрования увеличивается от 2–3 до 10 раз в зависимости от вашего варианта использования. Это позволяет снизить нагрузку на процессор, что, в свою очередь, снижает потребление энергии и позволяет вашему маршрутизатору обрабатывать соединения с более высокой пропускной способностью. Здесь также потенциально есть некоторые преимущества в области безопасности (хотя они и незначительны), поскольку использование встроенной логики для операций AES помогает снизить риск атак по времени и может позволить вам использовать более продвинутые стандарты AES.
4 Использование двойного NAT
Это классическая ошибка. NAT (или преобразование сетевых адресов) позволяет вашей сети сопоставлять один внешний IP-адрес с несколькими внутренними IP-адресами, обычно в частном IP-пространстве (скажем, 192.168.0.1). Эта технология позволяет нескольким устройствам в вашей сети подключаться к внешним устройствам через один IP-адрес, помогая решить проблему нехватки IPv4. Теперь у вас может возникнуть соблазн настроить pfSense внутри существующей домашней сети, просто чтобы поэкспериментировать, опробовать или просто начать. Но здесь будут драконы. Настраивая pfSense внутри своей сети, вы, скорее всего, настраиваете его восходящий WAN как свой собственный существующий маршрутизатор и выделяете подсеть второго NAT позади него, в результате чего в вашей сети остаются две стекированные реализации NAT.
Это может вызвать проблемы, и хотя в некоторых случаях это может работать, некоторые службы могут время от времени выходить из строя, особенно приложения, которым требуются входящие соединения, такие как VPN, игры или службы удаленного доступа. Подобную сеть можно запустить, но вы увеличите задержку, усложните устранение неполадок и потенциально нарушите работу некоторых служб (включая те, которые работают на UPnP).
Чтобы избежать этого, вы можете попробовать настроить маршрутизатор интернет-провайдера в режиме «моста», если он поддерживается. Это позволяет маршрутизатору вашего интернет-провайдера действовать только как модем, отключая его возможности маршрутизации/NAT и оставляя их на усмотрение вашего маршрутизатора pfSense. Альтернативно, если у вас есть отдельный модем, подключите устройство pfSense напрямую к модему.
3 Запуск слишком большого количества служб за воротами
Мы все виноваты в этом, включая меня. Когда у вас появляется новая модная технология, с которой можно поиграть, вы хотите немедленно расширить ее возможности, установив множество пакетов, инструментов и вещей, с которыми можно повозиться. Но в этом случае мы советуем вам сопротивляться (или хотя бы немного поэкспериментировать, а затем перезагрузить маршрутизатор, прежде чем использовать его изо дня в день). Для pfSense доступно множество очень мощных инструментов, которые могут делать все: от обнаружения вторжений до мониторинга сети, и часто они могут учитывать соображения производительности. Независимо от того, замедляют ли эти инструменты работу вашего маршрутизатора, требуют специальной настройки производительности или просто отвлекают ресурсы от более важных задач (например, маршрутизации!), лучше всего двигаться медленно и постепенно.
Мы рекомендуем запустить на вашем маршрутизаторе базовую и стабильную настройку, максимально соответствующую конфигурации вашего предыдущего маршрутизатора. После этого работайте постепенно и регулярно делайте резервные копии своей конфигурации, добавляя службы и функции к маршрутизатору по своему усмотрению.
2 Не создавать резервную копию вашей конфигурации
Источник: Unsplash
Одна из лучших особенностей pfSense — это то, что он позволяет легко создавать резервные копии и восстанавливать конфигурацию сети. Это часто встречается во всем, даже удаленно ориентированном на предприятие, поскольку существует множество опций для настройки, и никто не хочет делать это вручную. Однако во многих потребительских маршрутизаторах отсутствуют резервное копирование и восстановление.
Мы рекомендуем вам в полной мере использовать эту функцию и регулярно делать резервные копии вашей конфигурации. Частично недостаток, который оставляет в ваших руках мощность pfSense, заключается в том, что очень возможно полностью сломать вашу конфигурацию, и может быть полной болью, когда придется настраивать все заново с нуля. Конфигурацию легко экспортировать и импортировать через графический интерфейс.
1 Неправильная настройка безопасности вашего роутера
Источник: Unsplash
Это все, на что вам следует обратить пристальное внимание при настройке маршрутизатора. Одним из больших преимуществ pfSense перед большинством потребительских маршрутизаторов является то, что он регулярно получает обновления безопасности и представляет собой хорошо зарекомендовавший себя, регулярно тестируемый продукт с открытым исходным кодом (в отличие от закрытого программного обеспечения «черного ящика», которое поставляет большинство потребительских маршрутизаторов). с). Тем не менее, если вы неправильно настроите свою безопасность, все это будет отменено. Некоторые классические ошибки включают в себя:
- Открытие веб-портала вашего маршрутизатора через WAN, что делает его доступным где угодно.
- Не устанавливать сертификат HTTPS и SSL для веб-портала
- Не менять пароль веб-интерфейса по умолчанию
- Настройка VPN со слабыми или даже неработающими настройками шифрования
pfSense, как правило, упрощает эту задачу благодаря множеству разумных настроек по умолчанию, руководствам в процессе установки и разумным ограждениям, которые не позволят вам зайти слишком далеко. Важно убедиться, что ваша глобальная сеть настроена правильно, и следовать передовым практикам обеспечения вашей безопасности.
pfSense оставляет власть вам
pfSense — фантастический инструмент, который передает контроль над вашим маршрутизатором в ваши руки, но здесь могут быть подводные камни (как в аппаратном, так и в программном обеспечении). Тем не менее, у вас не возникнет проблем, если вы будете следовать некоторым разумным настройкам по умолчанию, использовать широкий спектр документации в Интернете и подходить к настройке маршрутизатора с желанием учиться по ходу дела. После того, как вы все настроите и запустите, вы получите в свое распоряжение невероятно многофункциональный маршрутизатор/брандмауэр корпоративного уровня, не тратя денег на высокопроизводительные потребительские маршрутизаторы.
