目录
[1、 什么是 pfSense?](#1、 什么是 pfSense?)
[3、 特点](#3、 特点)
[4、 优点](#4、 优点)
[5、 缺点](#5、 缺点)
[7、 典型部署](#7、 典型部署)
[配置IPsec VPN](#配置IPsec VPN)
一、详细介绍pfSense
1、 什么是 pfSense?
pfSense 是一个基于 FreeBSD 的开源防火墙和路由平台。它被设计用于提供企业级防火墙、路由、VPN、流量管理和很多其他网络功能。pfSense 是由 Netgate 维护和开发的,并且有社区版本和商业支持版本。
2、原理
pfSense 使用 FreeBSD 操作系统作为基础,并利用其强大的网络功能。它通过 Web 界面进行管理,用户可以通过浏览器进行配置和管理。pfSense 支持多种网络协议和服务,能够通过插件(Package)扩展其功能。
3、 特点
- 开源和免费:pfSense 的社区版本是完全免费的,源代码开放。
- 丰富的功能集:包括防火墙、路由、VPN、流量整形、负载均衡、入侵检测和防御(IDS/IPS)等。
- 灵活的配置:通过 Web 界面进行配置,支持命令行访问。
- 高度可扩展:支持安装许多插件,如 Snort(入侵检测系统)、Squid(代理服务器)、pfBlockerNG(广告拦截和地理封锁)等。
- 多种VPN支持:包括 IPsec、OpenVPN、L2TP、PPTP 等,便于构建安全的远程访问和站点间连接。
- 多WAN支持:可以配置多个WAN连接,实现负载均衡和故障切换。
4、 优点
- 高性能:由于基于 FreeBSD,pfSense 的网络性能非常强大,能够处理高流量。
- 高度可定制化:用户可以根据需要安装和配置各种插件和服务。
- 社区支持:有一个活跃的社区,提供丰富的文档和支持。
- 安全性:定期更新和补丁,且支持多种安全功能,如IDS/IPS、VPN等。
- 易用性:Web 界面简洁直观,配置相对简单。
5、 缺点
- 学习曲线:对于初学者来说,全面掌握pfSense的所有功能可能需要一些时间。
- 硬件依赖:虽然pfSense可以在虚拟机上运行,但为了获得最佳性能,通常需要专用硬件。
- 复杂配置:对于一些高级功能,如动态路由协议,配置可能较为复杂。
6、应用场景
- 企业网络防火墙:提供防火墙、NAT、VPN等功能,保护企业网络安全。
- 中小企业路由器:作为企业的主要路由设备,提供多WAN支持、负载均衡和故障切换。
- 远程办公:通过VPN实现安全的远程访问。
- 数据中心:用于数据中心之间的安全连接和流量管理。
- 家庭网络安全:高级用户可以在家庭网络中使用pfSense,以获得更高的安全性和控制。
7、 典型部署
- 边缘防火墙:部署在企业网络的边缘,提供防火墙和VPN服务。
- 内部网络分段:通过 VLAN 和防火墙规则,将不同部门或服务分隔开,提升内部安全。
- VPN 集中器:用于集中管理多个站点间的VPN连接,确保安全通信。
- 负载均衡和高可用性:配置多WAN连接,实现网络负载均衡和高可用性。
pfSense 是一个功能强大且灵活的网络安全解决方案,适用于各种规模的网络环境。从家庭用户到大型企业,pfSense 都能提供可靠的网络安全和管理功能。
二、pfSense实战:免费构建企业SD-WAN
1、拓扑图
互联网
|
------------------
| VyOS (阿里云) | 10.10.10.0/24
------------------
| IPsec VPN (隧道1)
|
------------------
| VyOS (办公室) | 10.10.20.0/24
------------------
| IPsec VPN (隧道2)
|
------------------
| VyOS (亚马逊云) | 10.10.30.0/24
------------------ 要使用pfSense构建SD-WAN(软件定义广域网)以连接三个不同区域的子网络(本地办公室、阿里云和亚马逊云),你可以按照以下步骤进行:
2、准备工作
-
硬件和软件准备:
- 确保每个子网络都有一台pfSense设备或虚拟机。
- 确保每个子网络都有稳定的互联网连接。
-
网络配置:
- 每个子网络应该有唯一的子网范围,以避免IP冲突,请参考上面拓朴中列出的IP地址范围 。
3、安装和基本配置pfSense
-
安装pfSense:
- 下载pfSense ISO并在每个子网络的设备上安装。
-
基本配置:
- 配置每个pfSense设备的WAN接口,使其能够访问互联网。
- 配置LAN接口,使其能够与本地网络设备通信。
- 配置基本的防火墙规则,允许必要的流量。
4、配置VPN
为了建立安全的连接,可以使用VPN(如IPsec或OpenVPN)来连接不同的子网络。
配置IPsec VPN
-
在本地办公室的pfSense上配置IPsec:
- 导航到
VPN > IPsec。 - 添加一个新的Phase 1条目,配置Remote Gateway为阿里云的公共IP地址。
- 配置Phase 1的身份验证方法(例如预共享密钥)。
- 添加一个Phase 2条目,配置本地网络和远程网络。
- 导航到
-
在阿里云的pfSense上配置IPsec:
- 类似步骤,配置Remote Gateway为本地办公室的公共IP地址。
- 确保Phase 1和Phase 2的配置与本地办公室的配置匹配。
-
在本地办公室的pfSense上添加另一个IPsec配置:
- Remote Gateway为亚马逊云的公共IP地址。
- 配置Phase 1和Phase 2。
-
在亚马逊云的pfSense上配置IPsec:
- 配置类似的Remote Gateway为本地办公室的公共IP地址。
- 确保Phase 1和Phase 2的配置匹配。
-
在阿里云和亚马逊云之间配置IPsec:
- 重复上述步骤,确保阿里云和亚马逊云之间也有VPN连接。
配置OpenVPN(可选)
-
在本地办公室的pfSense上配置OpenVPN服务器:
- 导航到
VPN > OpenVPN,选择添加服务器。 - 配置服务器模式、证书、加密设置等。
- 配置客户端网络范围。
- 导航到
-
在阿里云和亚马逊云的pfSense上配置OpenVPN客户端:
- 导航到
VPN > OpenVPN,选择添加客户端。 - 配置服务器地址为本地办公室的公共IP。
- 导入客户端证书,匹配服务器的加密设置。
- 导航到
5、配置动态路由(可选)
为了实现更复杂的路由和冗余,可以使用动态路由协议如BGP或OSPF。
-
安装FRR路由包:
- 导航到
System > Package Manager,安装FRR(一个支持BGP、OSPF等协议的路由软件包)。
- 导航到
-
配置FRR:
- 导航到
Services > FRR,根据需要配置BGP或OSPF协议。 - 配置网络和邻居关系,以便不同子网络之间可以动态路由。
- 导航到
6:测试和优化
-
测试连接:
-
使用ping、traceroute等工具测试不同子网络之间的连接。
-
确保所有子网络之间的流量都能够正常通过VPN传输。
-
-
优化配置:
-
根据实际需求调整防火墙规则。
-
优化VPN和路由配置以提高性能和可靠性。
-
通过上述步骤,你可以使用pfSense构建一个连接本地办公室、阿里云和亚马逊云的SD-WAN网络。根据实际需求,你可以进一步调整和优化配置。