pfSense kilka smutnych wniosków
Wczoraj spędziłem około 6 godzin na konfiguracji pfSense, więc czas napisać krótkie podsumowanie. Okazuje się, że mój wybór nie był specjalnie trafiony 🙂 Wydawało mi się, że wybierając rozwiązanie pośrednie pomiędzy m0n0wallem, które niestety znam tylko z opowieści (nikt nie narzeka) a czymś takim jak Untangle (też nieznany z praktyki) trafię idealnie w swoje potrzeby. Niestety… zawiodłem się. Instalacja przebiegła bez większych problemów (no może poza automatycznym rozpoznawaniem interfaców, interface jest wprawdzie rozpoznawany, ale wkładanie i wyjmowanie wtyczek jest bez sensu. Za to interface samego system jest bardzo czytelny, można sobie nawet zmieniać skórki, ale… nie jest intuicyjny. Pozycji w menu jest po prostu za dużo, większość z nich nie będzie wykorzystywana, a nie można ich wyłączyć ani pogrupować. Nawigacja jest upierdliwa, bo albo korzystamy z menu rozwijanego (co przy wolnych polaczeniach, slabych VPNach potrafi wku…) albo pełne menu które powoduje, że strona ma kilometr.
Największą wadą całego systemu jest brak spójnej dokumentacji. Niby coś, gdzieś jest, ale dostanie się do tego wymaga dużo cierpliwości i czasu. Są tutoriale, część z nich to screencasty, część to zwykłe teksty opisowe ale z brakującymi zdjęciami. Kolejny minus jest taki, że w bardzo krótkim czasie odciąłem system tracąc dostęp do GUI przez złe ustawienie przekierowań portów. Konkretnie chodziło mi o to, że serwer www, który pracuje w intranecie ma być dostępny z zewnątrz i… wewnątrz sieci pod określoną nazwą domenową. Domyślnie brama jest widoczna pod adresem domeny, nie da się zrobić prostego przekierowania. Na tym samym adresie oczywiście działa GUI, po dodaniu jednej reguły straciłem dostęp do GUI i pomimo dostępu do konsoli nie było prostego sposobu na skasowanie reguł – tylko ‚default settings’ i wszystko od początku. A wystarczyło by zrobić opcję „truncate rules” i po sprawie 🙂
[ad]
Nie każdy musi zepsuć sobie system od razu, więc co jeszcze mi nie leży… prosta sprawa – mam DSLa i kilka adresów IP, pomimo kombinowania z Virtual IP i wpisywaniem klas, też nie udało się uzyskać poprawnego działania więcej niż jednego adresu IP. Kolejny problem – pomimo dodania „domyślnych z listy” reguł na forwardach portów FTP – klient FTP za firewallem zwieszał się po połączeniu. No i to co mnie w ogóle wyprowadziło z równowagi to fakt, że nie udało mi się skonfigurować VPNa, pomimo dostępnych 3 różnych systemów (IPSEC, PPTP, OpenVPN). Niby są jakieś logi systemowe, ale kompletnie nieczytelne dla zwykłego zjadacza chleba, a można oczekiwać od GUI czegoś prostszego.
Na plusa można zaliczyć sporą liczbę dodatków i paczek, które można sobi zainstalować m.in. wspomniany przeze mnie wcześniej FreeSwitch do którego niestety nie doszedłem. Tzn. instalacja sie powiodła, chociaż trwała koszmarnie długo. Potem okazało się, że jest GUI, ale częściowo trzeba edytować pliki konfiguracyjne. Prosta sprawa – w firmie standardowo stosuje numery wewnętrzne 3 cyfrowe, autor założył 4 cyfrowe i… już trzeba edytować configi, które nie są prosto dostępne.
Zastanawiam się, czy funkcjonowanie takich systemów nie opiera się na zasadzie bierz co jest, a my zarobimy na supporcie, bo znalezienie czegokolwiek w dokumentacji czy wyklikanie czegoś konkretnego jest trudne. Być może moje oczekiwania powinny być inne, bo system jest prosty i jest ułatwieniem dla tych, którzy potrafią ustawić wszystko z palca. Niestety po GUI oczekuję czegoś więcej.
Co dalej ? Korci mnie ze względu na GUI, chociaż zastanawiam się czy nie pójść w strone profesjonalnych rozwiązań w postaci Vyatta.
a u mnie prawie wszystko działa 🙂 wystarczy zrozumieć zasady działania…
zasady dzialania mnie nie interesuja, interesuje mnie okreslona uzytecznosc ktorej oczekuje od produktu. czyli mozliwosci o ktorych napisalem, a ktorych nie dalo mi sie zrealizowac w przystepny sposob.
Jak ktoś nie posiada elementarnej wiedzy z zakresu działania routerów i nie umie czytać co w logu pisze no to sorry ale niech sobie kogos kumatego znajdzie co mu to skonfiguruje
M0n0wall i jego ewlocja PFsense nie są rozwiązaniami komercyjnymi więc o zarabianiu na supporcie nie ma mowy!!!
Jak interesuje cie okreslona użyteczność produktu to kup router Cisco i wykup support pana który sprawi że system będzie w pełni użyteczny a ty będziesz płacił mu co miesiąc grubą kase za tzw „konserwacje infrastruktury”
P.s. dokumentacja od Pfsense nie istnieje bo większość jego podstawowych funkcji jest opisana w dokumentacji M0n0walla
widzę, że wsadziłem kij w mrowisko. nie mówie, że w pfsense jest złe – moim zdaniem nie spełnia swoich założen jako router z GUI. GUI jest dla tych, którzy nie potrafią wpisać palca magicznych reguł i powinni móc sobie to wyklikać.
QNX napisał, że nie „jeżeli ktoś nie posiada wiedzy…” to wtedy nie korzysta z systemów tego typu, tylko ma tani sprzętowy router, albo korzysta z kogoś kto się zna. postanowiłem zrobić przegląd tych rozwiązań i teraz wiem, że albo coś bardzo prostego – m0n0wall, albo coś profesjonalnego – Vyatta.
pfSense jest intuicyjny, jeśli CZYTA się uważnie hinty oraz WIE się jak działają podstawowe usług (przynajmniej w teorii).
Żeby nie być gołosłownym, oto przykład (nota bene podany przez Ciebie) wiele IP zewnętrznych:
1. CZYTANIE: „Virtual IP Addresses” nie działa jak powinno? A co jest napisane na dole tej strony, w „Notes”? (Dla niewtajemniczonych: „The virtual IP addresses defined on this page may be used in NAT mappings.”).
2. Ok, więc jedziemy do wspomnianych „NAT mappings”.
Teraz WIEDZA:
2a. Ruch „do nas” czyli „NAT: Port forwardings” na interfejsach wirtualnych.
2b. Ruch „od nas” czyli „NAT: Outbound”, z użyciem tych samych interfejsów.
3. Ponieważ INTUICYJNY pfSense wiedział, że powyższe wklepaliśmy nie od parady, w firewallu są już reguły dot. powyższych mapowań.
A więc: o-so-chozi z tą trudnością?
PS.
Faktycznie, instrukcja (szczególnie do tych bardziej zaawansowanych funkcji) jako taka nie istnieje. Jednakże każde info można znaleźć na forum community pfSense. Nie powiem – wygodniejszy jest jednolity pdf, ale właściwie to przydałby się do max jednej czy dwóch funkcji.
pfsense to bdb router z gui www, nie korzystałem z pełnej funkcjonalnosci więc nie wiem ile ma bugów ale do tego co musiałem na nim robić spisał się znakomicie. dzięki temu stawiam firewall-a w 15 mintu.
ps.
jeśli straciłeś dostęp do WWW a miałeś dostęp po SSH to w czym Twój problem?
pozdrawiam,
http://www.amazon.com/pfSense-Definitive-Christopher-M-Buechler/dp/0979034280/ref=cm_cmu_pg_t
Witam,
Potrzebuje instrukcji po polsku pfsense jak konfigurować np vpn itd
Dożyliśmy ciekawych czasów: ktoś instaluje router/firewall i… chciałby, żeby ten soft w zasadzie zrobił to za niego i… ma pretensje, że tak nie jest, bo jednak trzeba coś wiedzieć. Ludzie, co się z Wami dzieje? Kto Was oszukuje? Życie człowieka rozumnego POLEGA na uczeniu się i doskonaleniu swoich umiejętności, a nie na wiecznym „odpoczywaniu” umysłu.
Jeśli ktoś nie wie o co chodzi w routingu, czy konfiguracji firewalla, czy prowadzeniu auta, czy czymkolwiek innym… to powinien usiąść na d… poczytać stosowną dokumentację, pouczyć się, skończyć jakiś kurs.. cokolwiek… i się naumieć… a na końcu okaże się, że wystarczy goły Linux i zwykłe iptables. Inaczej jest to namiastka bezpieczeństwa i poleganie na czyjejś wiedzy lub.. jej braku (najczęściej braku).
W tzw. moich czasach, brak wiedzy i umiejętności to było coś, czego człowiek się wstydził i za co znajomi wyśmiewali… a nie coś, czym można szpanować w sieci i opowiadać o swoich frustracjach wynikających z głębokiej ignorancji. Już sam początek tej opowieści mnie „rozwalił”, cytuję „m0n0wallem, które niestety znam tylko z opowieści” oraz „Untangle (też nieznany z praktyki)” – słowem: wybieram pomiędzy produktami, o których nie mam bladego pojęcia (dobrze, że wiem, że nie mam – przypadek nie jest beznadziejny jeszcze!) i… jestem niezadowolony. To było pisane 1 kwietnia, czy jak? WTF???
Jeśli menu jest za długie, żeby je zrozumieć, to chyba najwyższy czas odłożyć konsolę/dvix player/whatever else na jakiś czas… bo z tego wynika, że umysł nie przyswaja już tekstu dłuższego niż wysokość ekranu, a to jest objaw bardzo niepokojący.
Podsumowując „Żeglarzu, jeśli nie wiesz dokąd chcesz płynąć – przychylne wiatry nie będą ci wiały” – mawiali już Starożytni. Najpierw nauka, najpierw walka z własnym lenistwem i niedouczeniem z niego wynikającym, a potem pisanie recenzji, nie odwrotnie. Bo wystawiając oceny – wystawiasz je wyłącznie sobie. W przypadku tego posta – ta ocena jest katastrofalna.
Nie, nie spełnia Twoich – jedynie – założeń. Nie przerzucaj winy za swoje braki na dobry produkt, bo to jest tak, jakby prosty rolnik wściekał się na samolot, że tyle zegarków na tym pulpicie jest panie.. to nie dla ludzi. Nie, to nie dla prostych rolników po prostu… tylko dla pilota.
GUI nie oznacza „system dla idioty”. GUI po prostu ma ułatwiać zebranie wszystkich, dostępnych opcji, w jednym miejscu. Nic więcej, nic mniej.
OK, ale… czego możesz oczekiwać, jeśli nie masz o tym elementarnego pojęcia?
Zrozum – jeśli mamy z czymś problem, to problem zawsze jest w NAS, a nie w tym czymś. W życiu mamy tylko – i aż – to, na co w danym momencie zasługujemy – np. swoją wiedzą lub jej brakiem. Słowem: poucz się trochę, a potem oceniaj lepszych od siebie – np. twórców pfSense.
Nie rozumiem tego „testu”, produkcyjnie używam pfsense w kilku lokalizacjach już od ładnych paru lat, i do tego spięte ze sobą VPN których konfigurację przeprowadza z „palca” i gdyby nie przerwy w dostawie prądu to te rutery miały by zapewne uptime do dziś.
Internet ma tą wadę/zaletę, że każdy może wyrazić swoje zdanie, pochwalić się swą wiedzą ( lub jej brakiem jak w tym wypadku ), i to się tu stało.
Ja życzyłbym producentom routerów takiej funkcjonalności i stabilności jaką prezentuje sobą pfsense lub vyatta , bo zrobienie alix-a + CF + pfsense = to jest co sprzedają jako pudełka o nazwie UTM i biorą za to grubo ponad 1,5k zł
Cóż… ja po prostu oceniłem pfsense w porównaniu do innych rozwiązań. Jeden lubi routery Cisco, mój znajomy dał by sobie głowę uciąć za Junipera a ja wolę Vyattę – tyle. Kolejny admin nie tknie niczego oprócz m0n0wall’a. Czy on też jest „be”? Bo nie używa pfsense?
Każdy mnie tutaj atakuje bo napisałem, że coś mi się nie podoba. Typowe myślenie „nie znasz się”, „głupi jesteś” – ja po prostu oceniam dane rozwiązanie pod kątem zaspokojenia moich potrzeb.
Czy się znam, czy się nie znam… ciężko ocenić. Internet ma też to wadę / zaletę że każdy może wyrazić swoją opinię – szczególnie jeżeli może być anonimowy jak większość opluwaczy i „heater’ów” niestety jest.
Faktem jest, że zakompleksiony nastolatek może udawać fachowca od sieci i łatwo przychodzi mu komentowanie 10 lat doświadczenia w branży 😉 nikt tego nie zweryfikuje, ale to już zupełnie inna historia.
koleś 😀 Jesteś noobem powiem Ci, pfSense to najlepsza dystrybucja pod słońcem…
mam działających z 6 różnych routerów uptime po 70 dni bez jęknięcia 😀
vyatta chodzila u mnie rok robiąc za router, IDS, firewall i proxy, ale czy znaczy że jest lepsza? 🙂
Vyatta uahahahahah, bylem na konferencji poswieconej temu „skryptowi”Jest to zwykla dystrybucja Debiana w ktora napchali jakis skryptow konfiguracyjnych. Jak dla mnie badziew;) [uzywam gentoo i nie stanowi dla mnie problemu konfiguracja doglebna]
Co mi po tych skryptach jak maja tam twarde polecenia w ktore jedynie wrzucaja podany nr interfejscu przez nas? Przeciez to nigdy nie skonfiguruje sie dokladnie tak jak chce. A pozniej ze ooo nie dziala! Chcesz miec doby router to se go skonfiguruj sam a nie jakims skryptem do ktorego nawet sie nie spojrzy co on zrobi..
proponuję przeczytać chociaż manual od pfa a najlepiej do tego dokumentację tcp/ip a potem się brać za poważne sprawy jaką jest zarządzanie ruchem w sieci.
Dokładnie – nic dodać nic ująć. Ja tam jakoś uruchomiłem i adresy wirtualnie i OpenVPN bez problemu. Z jednym tylko komentarzem do „bez problemu”: Spędziłem „pierdylion” godzin na czytaniu dokumentacji.