Mit dem Upgrade meiner Internetleitung von 32 auf 64 mbit/s musste ich feststellen, dass der Alix wegen seine Software-Interruptings nicht mehr in der Lage ist, diese Geschwindigkeiten durchzurouten. Als Ersatz habe ich mich für eine Lösung auf Basis einer ATOM CPU mit 4 GbE Schnittstellen entschieden.

Dieses Gerät bietet Folgendes:

  • CPU: INTEL Atom N270 mit 1,6GHz
  • RAM: 1GB DDR2-SDRAM
  • Chipsatz: INTEL 945GSE
  • Ethernet: 4x 1GbE Realtek NIC
  • 2x USB 2.0
  • 1 Compact Flash Slot
  • Lüfterloses Kühlsystem
  • geringe Stromaufnahme von ~13W

Leider hatte die IPFire Software einige Bugs, die ich anfangs auf die Hardware geschoben hatte, auf dem Intel System aber auch wieder aufgetreten sind. Außerdem ist der IPv6 Support noch in weiter Ferne und einige Funktionen hätte ich gerne besser customizable gewünscht. Also erstmal nach einer Alternative suchen.

Meine Minimalanforderungen an ein vernünftiges Firewall/Router System:

  • NAT/DNS-Forwarder (mit der Möglichkeit, eigene DNS Server anzugeben)
  • konfigurierbarer DHCP-Server
  • konfigurierbare QoS Prioritisierung von IP-Traffic (mit Deep Packet Inspection – l7filter)
  • OpenVPN Dial-IN, IPsec Site-to-Site VPN
  • mächtige Firewall mit Unterstützung komplexer Regeln
  • Radius-Server mit EAP für WPA2-Enterprise Authentifizierung
  • geringer Stromverbrauch (powerd)
  • nice-to-have: IPv6 Support

Letzten Endes bin ich dann auf pfSense gestoßen. Da die ganz neue 2er Version damals bereits in der Version RC1 verfügbar sind (mittlerweile steht der Stable Release kurz bevor), habe ich direkt auf dieses Pferd gesattelt, zumal mir einige der neuen Funktionen sehr zusagten.

pfSense basiert auf FreeBSD, von dessen Interna ich noch keine große Kenne habe, aber es ist komplett über das Webinterface administrierbar und man muss mit der Shell kaum interagieren (von der Installation abgesehen) um das System nutzen zu können.

Alles in Allem erfüllt pfSense meine Erwartungen an ein modernes, leistungsfähiges Firewall-System sowohl für den Heimeinsatz als auch für den Schutz des Firmennetzwerkes, wo ich eine Juniper Firewall ersetzen konnte. Vorstellen könnte ich mir auch den Einsatz im Rechenzentrum vor dem Serverpark, falls man von einer gewissen Faulheit getrieben wird

Die Bedienung ist sehr intuitiv, bei Standardaufgaben wird man an komplexen Stellen (NAT-Basissetup, QoS Setup, etc.) via Wizard an die Hand genommen, für komplexe Setups, steht eine Experten-GUI zur Verfügung. Informativ sind die Graphen zu CPU-Last und Traffic, und die Zuordnung von Paketen in die QoS Queues um die gewählten Einstellungen zu überprüfen.

Lediglich die Lokalisierung (für deutsche Klientel) an die Eigenheiten der Tastatur  / des Bildschirmzeichensatzes sind verbesserungswürdig, wobei man diese eigentlich nur im Rescuefall bemühen muss. Hier ist es sinnvoll, sich das amerikanische Tastaturlayout einzuprägen. Zwar gibt es auch eine deutsche Belegung, jedoch funktionieren hier einige Sonderzeichen nicht und quittieren Ihren Dienst mit einem Piepton aus dem PC-Speaker.

Auch ist mir ein Problem aufgefallen, dass nur jeder 2. TCP-Verbindungsaufbau in das Netz hinter einem OpenVPN Client gelingt, wenn man parallel noch einen OpenVPN-Remote-Access Server parallel betreibt.