Open source - не приговор. Альтернатива Router OS для удаленной инфраструктуры

Читать 5 минут

29 02 2024

Организация современной удаленной офисной инфраструктуры предполагает использование на серверах виртуализатора вроде Proxmox или VMWare, что обусловлено необходимостью развертывания ряда виртуальных машин с различным уровнем доступа, ограниченной межсерверной коммуникацией и доступом в глобальную сеть. Наиболее простым вариантом контроля доступа к виртуальной машине внутри виртуализатора является использование пограничного программного роутера с мощным брандмауэром, который устанавливается на одну из виртуальных машин на сервере.

Router OS — признанный лидер среди программных роутеров. Однако не имеет полноценной бесплатной версии. Существует несколько альтернативных open-source решений, основанных на FreeBSD — pfSense и OPNSense. Это комплексные в своем понимании программные роутеры-брандмауэры с полным набором модулей и плагинов, необходимых для управления сетью и доступом к конечным устройствам удаленной инфраструктуры.

pfSense — логичное продолжение проекта m0n0wall

pfSense поддерживается и разрабатывается компанией Netgate в качестве одного из основных продуктов. Программный роутер не требует оплаты и может использоваться совершенно бесплатно ведь данный продукт поставляется под лицензией Apache 2.0. Доступен в виде ISO образа и может быть установлен на виртуальную машину с весьма скромными параметрами.

Возможности pfSense

Отметим, что данный продукт имеет множество предустановленных модулей, а также разрешает установку дополнительных плагинов, расширяющих стандартные возможности роутера.

Брандмауэр

Приведем лишь несколько основных характеристик, раскрывающие возможности данного модуля:

проверка пакетов с отслеживанием состояния (SPI), что позволяет фильтровать сетевые подключения
фильтрация на основе IP адресов и DNS вместе с защитой от спуфинга
есть поддержка правил, основанных на времени и ограничении количества подключений
включено двунаправленное сопоставление NAT

Роутер

Из указанных ниже возможностей становится понятно, что данный компонент pfSense вполне самодостаточен:

поддерживается несколько IP адресов на интерфейс
включена поддержка нескольких WAN для отказоустойчивости и/или балансировки нагрузки
интегрирован сервер PPPoE
поддерживется маршрутизация на основе политик
допускается одновременная работа IPv4 и IPv6 маршрутизации

VPN

Пожалуй, один из важнейших компонентов программного роутера для организации удаленной инфраструктуры:

поддерживаются наиболее популярные и востребованные протоколы и технологии виртуальной частной сети — IPsec, OpenVPN, WireGuard
есть возможность организации подключения «сеть-сеть» с SSL-шифрованием
в GUI подготавливаются конфигурации для VPN клиентов на разных ОС
есть поддержка мульти туннелирования с аварийным переключением между туннелями
доступна аутентификация RADIUS или LDAP, что удобно при наличии AD в рамках инфраструктуры

Предотвращение атак

В условиях современных киберугроз подобный блок функций и механизмов анализа проходящего трафика — это несомненное преимущество pfSense:

используется Snort в качестве анализатора пакетов (система IDS/IPS)
поддерживается анализ и обнаружение L7 приложений благодаря интеграции базы данных с обновляемым списком угроз
есть возможность настройки системы безопасности индивидуально на выбранном интерфейсе с глубокой проверкой пакетов

Другие особенности pfSense

Перечисление всех модулей и служб займет не дну страницу блога, но для более объективного понимания возможностей программного роутера можно выделить следующее:

наличие стандартных сетевых сервисов — DHCP сервер, DNS форвардинг
простота настройки бэкапов и откат до точек восстановления
единый репозиторий обновлений с возможностью апдейта нажатием одной кнопки
поддерживается шейпер трафика по скорости канала или объему данных
благодаря удобному GUI предоставляется удобочитаемый лог происходящего на роутере
есть возможность получать уведомления от роутера по почте

OPNSense — форк pfSense, который может превзойти исходный код

OPNSense — функционально максимально похожий на pfSense программный роутер. Очевидным отличием для большинства даже опытных пользователей и системных администраторов станет полностью переработанный интерфейс. Другим отличием является набор плагинов и дополнений в репозитории дополнительного ПО для установки. Ввиду сильной схожести трудно выделить отдельные особенности OPNSense и пользователь может делать выбор исходя из удобства графического интерфейса или предпочтений в наборе доступных плагинов.

Вместо заключения

Из беглого обзора функционала pfSense и его форма OPNSense становится ясно, что данный программный роутер ориентирован на весьма сложные инфраструктурные проекты, включающие в себя не только удаленные серверы и сервисы, но и локальные офисы. Механизмы защиты и аутентификации пользователей подойдут для построения как небольшой гибридной офисной инфраструктуры, так и для крупной корпоративной сети с десятками удаленных серверов, сотрудников и офисных филиалов. Если вы хотите попробовать новый программный продукт и построить удаленную инфраструктуру, то компания Introserv может предложить вам большой выбор серверов, а также квалифицированную поддержку на любом этапе построения удаленной сети.

facebook twitter telegram linkedin

Nataliya Oteir

Copywriter

Наталия - опытный контент-маркетолог и писатель с большим опытом работы в различных нишах. Все ее работы не только уникальны, но и выполняются с характерной для нее быстротой и точностью. Помимо создания копирайта и контента для блога нашего сайта, у Натальи есть большой опыт решения трудных задач. Ее предыдущая должность в компании INTROSERV - менеджер по коммуникациям.