9 вещей, которых следует избегать при создании брандмауэра своей мечты Opnsense

Готовы поднять свою домашнюю сеть на следующий уровень? Именно здесь OpnSense может иметь большое значение, предлагая лучшее контроль над вашей домашней сетью по сравнению с вашим маршрутизатором, поставленным с интернет-провайдером. Вы можете наслаждаться лучшими функциями управления, возможность расширить функциональность вашего брандмауэра и маршрутизатора с помощью плагинов, а также будущие обновления программного обеспечения на вашем собственном оборудовании, которое можно поменять и обновить по мере необходимости. Если это ваш первый раз с учетом OpnSense, вам нужно будет иметь в виду несколько вещей, чтобы обеспечить, чтобы как можно меньше ошибок.

9

Игнорировать официальную документацию

Opnsense предоставляет много информации на официальном веб -сайте, на которую можно полагаться на работу, узнать больше о программном обеспечении и устранять любые проблемы, с которыми вы сталкиваетесь. Вы найдете все, от требований к программному обеспечению OpnSense до тонкой настройки различных частей брандмауэра. Это бесценный ресурс, который следует использовать с неофициальной поддержкой сообщества по социальным каналам, включая Reddit. Вы не будете первым (не последним), который начнет использовать OpnSense, и ваши запросы, возможно, уже были заданы и ответили, что можно настроить с помощью быстрого поиска.

8

Включая Wi-Fi на вашем брандмауэре

Беспроводное соединение не должно быть обработано вашим брандмауэром с мощностью OpnSense. Несмотря на то, что это будет держать все на одном устройстве, это будет означать, что вам нужно будет иметь дело с повышенной обработкой на брандмауэре, и все может стать грязным, если вы столкнетесь с проблемами с нестабильностью или необходимостью работать над исправлением одного или другого. Я рекомендую использовать точки доступа (APS), подходящие для обработки беспроводных соединений, и даже можно питать с помощью POE через сетевой переключатель. Вы также можете разместить эти APS по дому в лучших местах для покрытия сигнала.

7

Используйте дешевое оборудование от неизвестных брендов

Opnsense не имеет строгих требований. Вы можете установить программное обеспечение практически на все, в том числе бесчисленное количество дешевых мини-компьютеров с пассивно-охлаждением от вашего любимого интернет-магазина. В то время как вы можете получить брандмауэр от неизвестного бренда примерно за 100 долларов с приличными спецификациями, вы рискуете, что устройство не работает, как и ожидалось, слишком горячее при общих нагрузках Opnsense или преждевременно провалившимся. Это не значит, что все доступные брандмауэр плохие. В настоящее время я использую один, и он обрабатываю трафик нашей домашней сети без проблем, но стоит провести небольшое исследование и рассмотреть отзывы.

6

Покупка брандмауэра со слишком небольшим количеством портов

Очень важно, чтобы вы не недооцениваете, сколько портов вам требуется. Если все, что вам нужно, чтобы подключиться к брандмауэру, это то, что AP, ПК и принтер, вы, вероятно, можете обойтись с одним устройством с парой портов. Хотя более дорогие брандмауэры будут поставляться с более чем четырьмя портами, я рекомендую использовать сетевой переключатель для расширения количества доступных точек локальной сети. Просто убедитесь, что устройство брандмауэра имеет достаточную пропускную способность. 1 Гбит / с является стандартным, а 2,5 Гбит / с отлично подходит для более оживленных сетей. Агрегация ссылок также может быть реализована на

5

Забыв избыточный источник питания

Сокращение мощности – злейший враг вашей сети. Если по какой -то причине будет прерван поставка вашей собственности, вы потеряете весь доступ к внешнему миру. Конечно, именно здесь ваше мобильное устройство может вступить во владение с возможностями горячей точки, но это быстро истощает аккумулятор, и вы можете потребовать, чтобы отключение питания продлится дольше, чем ожидалось. Именно здесь непреодолимый источник питания (UPS) может оказаться бесценным для вашей домашней локальной сети. С вашим брандмауэром, модемом, точками доступа и переключателями, подключенными к UPS, вы можете оставаться в Интернете в течение нескольких часов, в зависимости от емкости UPS и розыгрыша мощности.

4

Открытие своей локальной сети в мир

Ваша локальная сеть драгоценна и должна быть защищена. Все ваши системы и устройства, подключенные к локальной сети, уязвимы для внешних атак, если ваш брандмауэр не будет работать. Opnsense довольно безопасен в качестве установки по умолчанию. Брандмауэр настроен соответственно, и все должно быть заблокировано вне мониторинга доступа. Вещи могут усложняться, когда вы начинаете возиться с портами и правилами, и открывать внешний доступ. Будьте осторожны, работая над брандмауэром, так как это живая среда, и любые ошибки могут сделать всю вашу сеть подверженной атаке.

3

Не исследуя мир VLAN

Виртуальная локальная сеть (VLAN) – это невероятный инструмент для сетевых администраторов дома. С VLAN вы можете создавать конкретные сети для оборудования, гостей и многого другого. Если у вас есть куча технологий IoT и вы хотите отделить все это от остальной части вашей сети, VLAN может достичь этого. По крайней мере, вы должны подумать о создании VLAN для гостей, которые посещают ваш дом. Это будет держать клиентов отдельно от вашего важного оборудования без откровенного блокировки доступа к внешнему миру. Вы можете настроить VLAN по -разному, в зависимости от того, для чего вы планируете их использовать.

2

Не резервное копирование вашей конфигурации

Всегда, всегда, всегда резервную копию своей конфигурации для OpnSense! Выполните резервную копию после установки, и всякий раз, когда вносятся изменения в бэкэнд. Особенно, когда впервые запустите, вы можете ошибочно внести изменения, которые полностью разрушают ваш OpnSense, где быстрое резервное копирование может пригодиться. Экспорт и импорт файлов конфигурации в OpnSense занимает пару секунд, и нет никакого оправдания тому, чтобы не было создать резервную копию конфигурации брандмауэра.

1

Подготовка оправдания к времени простоя сетевой

Наконец, но в последнее время вам нужно подготовить некоторые ответы на неизбежные запросы технической поддержки или жалобы членов семьи на производительность или доступность сети. Это часть посылки Home Lab и Diy Networking. Пока вы следуете гидам и создаете брандмауэр, не выходя слишком далеко по кроличьей норе, все будет в порядке. Возможно, стоит поработать над VLAN, VPN и обратными прокси, когда дом тихий, все спят, или через экземпляр DEV, используя другое оборудование или виртуализацию.

OpnSense достаточно надежно

После того, как вы получите OpnSense и работают на совместимом устройстве с достаточным количеством портов LAN, вы найдете установку по умолчанию более чем достаточной для домашнего использования. Все настроено так, чтобы вы могли начать использовать устройства в Интернете, не касаясь ничего в графическом интерфейсе веб -администратора, хотя я рекомендую тратить время на то, чтобы привыкнуть к тому, где расположены все различные функции. Тем не менее, хотя конфигурация по умолчанию является надежным, не будет никакого смысла в настройке брандмауэра OpnSense, если вы не планируете возиться с ним и настроить более продвинутые сетевые функции, такие как VLAN, обратные прокси, VPNS, SSL и еще.

Вот где невероятные ресурсы сообщества вступают в игру. Вы можете получить доступ к форумах, сообществам Reddit, документации и бесчисленным учебным пособиям. Даже многие ресурсы PFSense могут быть использованы для OpnSense, поскольку оба программного обеспечения имеют одинаковый бэкэнд. Opnsense и сеть в целом довольно легко начать, но если вы поместите время, вы можете стать достаточно осведомленным, чтобы выполнить (и устранение) чего -либо с вашим брандмауэром Opnsense и домашней локальной сети. Просто не забывайте держать свои оправдания под рукой, когда члены семьи задаются вопросом, почему сеть падает.