pfSense kilka smutnych wniosków

2009-01-23 (Ostatnio Modyfikowany: 2009-01-23)

Wczoraj spędziłem około 6 godzin na konfiguracji pfSense , więc czas napisać krótkie podsumowanie. Okazuje się, że mój wybór nie był specjalnie trafiony 🙂 Wydawało mi się, że wybierając rozwiązanie pośrednie pomiędzy m0n0wall em, które niestety znam tylko z opowieści (nikt nie narzeka) a czymś takim jak Untangle (też nieznany z praktyki) trafię idealnie w swoje potrzeby. Niestety… zawiodłem się. Instalacja przebiegła bez większych problemów (no może poza automatycznym rozpoznawaniem interfaców, interface jest wprawdzie rozpoznawany, ale wkładanie i wyjmowanie wtyczek jest bez sensu. Za to interface samego system jest bardzo czytelny, można sobie nawet zmieniać skórki, ale… nie jest intuicyjny. Pozycji w menu jest po prostu za dużo, większość z nich nie będzie wykorzystywana, a nie można ich wyłączyć ani pogrupować. Nawigacja jest upierdliwa, bo albo korzystamy z menu rozwijanego (co przy wolnych połączeniach, słabych VPNach potrafi wku…) albo pełne menu, które powoduje, że strona ma kilometr.

Największą wadą całego systemu jest brak spójnej dokumentacji. Niby coś, gdzieś jest, ale dostanie się do tego wymaga dużo cierpliwości i czasu. Są tutoriale, część z nich to screencasty, część to zwykłe teksty opisowe ale z brakującymi zdjęciami. Kolejny minus jest taki, że w bardzo krótkim czasie odciąłem system tracąc dostęp do GUI przez złe ustawienie przekierowań portów. Konkretnie chodziło mi o to, że serwer www, który pracuje w intranecie ma być dostępny z zewnątrz i… wewnątrz sieci pod określoną nazwą domenową. Domyślnie brama jest widoczna pod adresem domeny, nie da się zrobić prostego przekierowania. Na tym samym adresie oczywiście działa GUI, po dodaniu jednej reguły straciłem dostęp do GUI i pomimo dostępu do konsoli nie było prostego sposobu na skasowanie reguł – tylko ‘default settings’ i wszystko od początku. A wystarczyło by zrobić opcję “truncate rules” i po sprawie 🙂

Nie każdy musi zepsuć sobie system od razu, więc co jeszcze mi nie leży… prosta sprawa – mam DSLa i kilka adresów IP, pomimo kombinowania z Virtual IP i wpisywaniem klas, też nie udało się uzyskać poprawnego działania więcej niż jednego adresu IP. Kolejny problem – pomimo dodania “domyślnych z listy” reguł na forwardach portów FTP – klient FTP za firewallem zwieszał się po połączeniu. No i to co mnie w ogóle wyprowadziło z równowagi to fakt, że nie udało mi się skonfigurować VPNa, pomimo dostępnych 3 różnych systemów (IPSEC, PPTP, OpenVPN). Niby są jakieś logi systemowe, ale kompletnie nieczytelne dla zwykłego zjadacza chleba, a można oczekiwać od GUI czegoś prostszego.

Na plusa można zaliczyć sporą liczbę dodatków i paczek, które można sobi zainstalować m.in. wspomniany przeze mnie wcześniej FreeSwitch do którego niestety nie doszedłem. Tzn. instalacja siępowiodła, chociaż trwała koszmarnie długo. Potem okazało się, że jest GUI, ale częściowo trzeba edytować pliki konfiguracyjne. Prosta sprawa – w firmie standardowo stosuje numery wewnętrzne 3 cyfrowe, autor założył 4 cyfrowe i… już trzeba edytować configi, które nie są prosto dostępne.

Zastanawiam się, czy funkcjonowanie takich systemów nie opiera się na zasadzie bierz co jest, a my zarobimy na supporcie, bo znalezienie czegokolwiek w dokumentacji czy wyklikanie czegoś konkretnego jest trudne. Być może moje oczekiwania powinny być inne, bo system jest prosty i jest ułatwieniem dla tych, którzy potrafią ustawić wszystko z palca. Niestety po GUI oczekuję czegoś więcej.

Co dalej ? Korci mnie ze względu na GUI, chociaż zastanawiam się, czy nie pójść w stronę profesjonalnych rozwiązań w postaci Vyatta .