pfSense是一款基于FreeBSD的免費開源防火墻和路由器軟件的發行版。它主要作用是提供企業級網絡安全和路由功能，使其成為家庭網絡、小型企業和大型企業的熱門選擇。

核心功能

?防火墻和路由器功能：實施狀態數據包檢測(SPI)和NAT。

?VPN支持:支持OpenVPN、IPsec和WireGuard安全遠程訪問。

?流量整形(QoS):確定關鍵應用的帶寬使用優先級。

?入侵檢測和預防:集成Snort和Suricata進行安全監控。

?DNS和DHCP管理:充當DNS解析器和DHCP服務器。

?高可用性和負載平衡:確保冗余并有效分配網絡流量。

?強制網絡門戶和認證:適用于公共網絡和訪客Wi-Fi管理。

重要提示: pfSense在基于ARM的架構上沒有得到官方支持，這意味著您需要依靠虛擬化(例如QEMU)來讓它工作

為什么要在Raspberry Pi上使用pfSense？

定制化和靈活性

pfsense的開源特性允許定制腳本、包和集成。

除了pfSense之外， Raspberry Pi還支持其他網絡工具，如Pi-hole、WireGuard和OpenVPN。

可配置用于物聯網安全、家庭網絡保護或小型辦公室VPN。

小型網絡的輕量級路由和防火墻

可用于基本的網絡安全、DNS過濾和流量整形。

在家庭自動化和智能家居安全等低流量環境中工作良好。

支持VPN設置來安全地連接遠程設備。

備份防火墻和網絡故障轉移

萬一主防火墻出現故障，可以充當輔助或備用防火墻。

適用于緊急情況或測試網絡中的快速部署。

在需要輕量級解決方案的邊緣網絡場景中工作良好。

需要考慮的限制

性能限制–Raspberry Pi的ARM處理器和有限的RAM可能會與高吞吐量網絡相沖突。

有限的網絡端口–雙接口設置需要USB轉以太網適配器。

虛擬化開銷——在QEMU或另一個虛擬機上運行pfSense將使用額外的系統資源。

不適合企業使用–最適合小型應用，而不是大型應用

真實世界的場景

家庭網絡防火墻和安全性

您希望保護您的家庭網絡免受網絡威脅，管理帶寬使用，并阻止不需要的流量。

小型企業和遠程辦公室網絡

小型辦公室或遠程工作人員需要安全且經濟高效的防火墻來保護敏感數據并允許遠程訪問。

學習和網絡安全培訓

實驗室網絡安全學生或IT專業人員需要一個真實的環境來測試防火墻規則、VPN設置和網絡安全。

物聯網和智能家庭網絡

保護用戶擁有多臺物聯網設備(智能鎖、攝像頭、恒溫器)，出于安全原因，他希望將這些設備從主網絡中隔離出來。

面向訪客Wi-Fi的低成本強制網絡門戶

一家小企業(咖啡館、Airbnb、聯合辦公空間)希望為安全的訪客Wi-Fi提供登錄頁面和帶寬控制。

面向偏遠地區的邊緣網絡

農村地區的小型辦公室或社區網絡需要基本的網絡功能，而不需要昂貴的硬件。

在Raspberry Pi上運行pfSense的挑戰

由于pfSense不能本地運行，它需要一個使用QEMU、VirtualBox或類似工具的虛擬機(VM)。

QEMU仿真是資源密集型的，減少了網絡任務的可用CPU能力。

在Raspberry Pi操作系統上虛擬化pfSense會增加設置和維護的復雜性。

硬件與軟件要求

硬件:

Raspberry Pi 5 (8GB/16GB RAM)(重要提示:性能更佳)。

存儲:16GB/32GB microSD卡(10級或更高級)。

網絡:至少一個額外的USB轉以太網適配器。

電源:官方Raspberry Pi 5V/3A (USB-C)電源適配器。

軟件:

64位Raspberry Pi操作系統(基于Debian)。

pfSense ISO圖片:從官方網站獲取最新的pfSense社區版(CE) ISO，選擇x86_64架構(因為我們正在使用虛擬化)。

虛擬機管理器:QEMU(輕量級，最適合Raspberry Pi操作系統)

步驟指南

1.準備Raspberry Pi:安裝和配置Raspberry Pi操作系統，啟用SSH

安裝Raspberry Pi OS:https://www.sunfounder.com/blogs/news/raspberry-pi-operation-system-complete-guide-to-versions-features-and-setup

啟動SSH:https://www.sunfounder.com/blogs/news/mastering-remote-control-unlocking-the-power-of-ssh-with-raspberry-pi

2.設置虛擬機:打開終端并運行:

sudo aptupdate&&sudo apt upgrade-ysudo apt install qemu-system-x86 qemu-utils bridge-utils-y

我們需要創建一個虛擬硬盤來安裝pfSense。

qemu-img create -f qcow2 pfsense.qcow28G

3.使用pfSense ISO啟動虛擬機

運行以下命令在QEMU中啟動pfSense安裝程序:

qemu-system-x86_64 \ -m2048\ -smp2\ -hda pfsense.qcow2 \ -cdrom pfSense-*.iso \ -boot d \ -net nic -net user \ -net nic,model=virtio -net tap,ifname=tap0,script=no,downscript=no\ -vga std

參數說明:

-m 2048 → 分配2GB RAM給pfSense(根據可用內存進行調整)。

-smp 2 → 分配2個CPU內核以獲得更好的性能。

-hda pfsense.qcow2 → 使用之前創建的8GB虛擬磁盤。

-cdrom pfSense-*.iso → 加載pfSense ISO進行安裝。

-boot d →從光盤啟動(用于安裝)。

-net nic -net user → 創建基本虛擬網絡。

-net nic,model=virtio

-net tap,ifname=tap0,script=no,downscript=no → 創建虛擬網橋。

4.安裝pfSense:帶截圖的分步指南

使用默認配置并選擇安裝pfSense的磁盤。

5.在終端中再次運行虛擬機

qemu-system-x86_64 -m2048-smp2-hda pfsense.qcow2 -boot d -net nic -net user -net nic,model=virtio -net tap,ifname=tap0,script=no,downscript=no-vga std

6.虛擬機運行后:在另一臺設備上打開web瀏覽器。輸入http://192.168.1.1(默認pfSense LAN IP)。

登錄使用：1. 用戶名: admin 2. 密碼: pfsense

高級配置

分割隧道(選擇性流量路由)

僅允許特定流量通過VPN，而其他流量使用正常的internet連接。減少帶寬使用，提高非VPN應用程序的速度。

多用戶WireGuard VPN(多對端)

允許多個用戶(家庭、團隊、遠程工作人員)同時連接到VPN。非常適合企業、共享訪問或多種設備。

用于更改公共IP的動態域名系統(DDNS)

即使您的ISP經常更改您的公共IP，也允許VPN客戶端連接。如果沒有靜態公共IP，這是必不可少的。

站點到站點VPN(連接兩個網絡)

通過WireGuard VPN連接兩個不同的網絡(例如，家庭和辦公室)。安全地訪問遠程網絡資源(文件共享、打印機、服務器)。

運行多個VPN

同時允許您同時連接到多個VPN提供商(例如，一個用于工作，一個用于個人使用)。對于分離不同VPN服務之間的流量非常有用。

VLAN分段(物聯網和訪客網絡的安全VPN)

您可能不希望VPN用戶訪問家庭網絡上的所有設備。VLANs允許您隔離流量。

VPN設置(WireGuard)

1.轉到:系統>軟件包管理器>可用軟件包。

2.搜索“WireGuard”，然后點按“安裝”。

3.安裝后，轉到VPN > WireGuard。

2.1創建一個WireGuard隧道(VPN服務器)

(1).轉到:VPN > WireGuard > Tunnels

(2).單擊+添加Tunne。

(3).配置以下設置:

o啟用(選中)

o描述:WireGuard VPN服務器

o監聽端口:51820(默認WireGuard端口)

o接口密鑰:單擊生成(創建一個私有/公共密鑰對)。

oTunnel 地址:192.168.1.23/24(客戶端的VPN子網)。

4.保存并應用更改。

2.2將WireGuard指定為網絡接口

(1).轉到Interfaces > Assignments。

(2).添加新的WireGuard接口(wg0)。

(3).將其重命名為WG_VPN，然后保存并應用更改。

配置VPN客戶端(對等)

3.1添加對等方(遠程客戶端)

1.轉到:VPN > WireGuard >Peers。

2.單擊+添加Peer。

3.配置以下設置:

o啟用

o描述:客戶端1(筆記本電腦、電話等。)

o公鑰:(暫時留空，我們稍后將在客戶機上生成它)

o允許的IP:192 . 168 . 1 . 100/32(為此客戶端分配一個靜態IP)。

o Keepalive: 25(防止NAT斷開)。

4.保存并應用更改。

重要提示:我們需要允許VPN流量通過pfSense的防火墻。

優化RASPBERRY PI上的PFSENSE性能

限制日志記錄以減少SD卡磨損

在pfSense中，轉到:System > Advanced > Miscellaneous → Enable "RAM Disk for Logs"

降低CPU使用率

修改QEMU命令以減少負載:taskset -c 1 qemu-system-x86_64

潛在的限制

性能瓶頸

技術專業知識要求

要考慮的替代方案

所以關于樹莓PI上的PFSENSE值不值？

家庭實驗室和學習環境。

基本防火墻和VPN設置。

適用于小型網絡的輕型路由器。

?x 高速網絡(> 500 Mbps)——raspberry pi的虛擬化網絡限制了吞吐量。

?x 企業應用–與專用pfSense硬件相比，性能有限。

此外，我們建議您使用Raspberry Pi訪問我們的防火墻帖子

結論

使用虛擬機在Raspberry Pi上設置pfSense是在預算有限的情況下探索高級網絡安全特性的好方法。雖然它可能無法提供專用硬件的性能，但它是家庭實驗室、小型網絡和學習環境的可行解決方案。在本指南中，我們介紹了安裝、性能優化和WireGuard VPN等高級配置的基本步驟。盡管存在虛擬化開銷和硬件限制等限制，但這種設置為網絡安全提供了一個靈活且經濟實惠的切入點。對于要求更高的環境，考慮專用的pfSense設備可能是更好的選擇。無論如何，這個項目對于任何希望提高自己的網絡技能和嘗試尖端開源解決方案的人來說都是一次寶貴的經歷。

原文鏈接：

https://www.sunfounder.com/blogs/news/raspberry-pi-pfsense-using-a-vm-complete-guide-to-building-a-virtual-firewall