KVM上にpfSenseをインストールして使ってみる

最近、RTX1200にそろそろ性能の限界を感じます。
RTX1210は高いしIX2215は難しそう。しかも1210あんまり性能良くない(iperf走らせると結構CPU使用率行ってしまうらしい)

http://www.nosense.jp/rtx1210-throughput-routing/

ここでいっそ、pfSenseを試してみることにしました。

ただ、pfSense用に一台組むのは高いし電気代もアレなので、この今見てるであろうWordPressとかいろいろ動いてる自宅鯖で、KVM上にインストールしてみます。

ホストはUbuntu Server 20.04です。

私の環境ではNIC合計6ポートをブリッジさせました。
最低WANとLANで2ポートあればいいです。(VLAN使えば1ポートで済むかも)

設定例は2ポートで書いておきます。

IPは192.168.1.0/24とし、eno1をWAN、eno2をLANとします。

ブリッジ

ブリッジにIPアドレスを付与することでホスト側もネットに出られます。

netplanはこのようにしました。

インストール

メモリ、CPUなどなどお好みで
ダウンロードしたiso指定するのも忘れずに

virtioを指定することでパフォーマンスが良くなります。

VNCで繋ぎ、インストールを済ませます。
途中のウィザードでUEFI,BIOSどちらか選ばされますが、普通にBIOSを選択してください。

初回起動でWANとLANのインターフェースを選択させられるので、それぞれvtnet0,vtnet1と入力します。

あとは192.168.1.1にアクセスし、初期設定を済ませたら完了です。

つまづいたところ

つまづき①
なんか初期設定終わらせてもネットにアクセスできませんでした
ファイアウォールが悪いのかと思って、最初にあるこの3つを削除してもう一度同じのを作り直したらアクセスできました…
なんだったのでしょう

つまづき②
複数NICブリッジしてセグメントを何個か作ったのですが、ファイアウォールでは許可してるにも関わらず、なぜかお互い疎通できませんでした。
ログ見てもPASSって書いてるし不思議だと思ってたら、Windows側のファイアウォールで弾かれてました。初歩的なミスです…

性能

ホストマシンは i3 6100T,16GB で、pfsenseには4スレッド,6GBを割り当てています。

巨大ファイルをコピーして、負荷を見てみました。

pfSense自体のCPU使用率はそうでもないですね。
ただ、右の%sys見たら分かるように、ホストマシンの使用率が50%ぐらいになってます。

ちょっとi3 6100Tで仮想環境だときつそうですね。Xeon買いたいと思います。

VPN

https://internet.watch.impress.co.jp/docs/column/shimizu/1286611.html

ここ参考にしてOpenVPNも立ててみました。

ただ最後のClient Export Utilityは、System→Package ManagerからClient Export Utilityと検索してインストールしないと出てきませんでした。その点だけ注意です。

あと、CPUの高速暗号化処理、AES-NIが標準でinactiveになっているので、
System→Advanced→Miscellaneousから、Cryptographic HardwareをAES-NI and BSD Crypto Deviceにしておくと有効になります。

IPv6は？

NuroだとONUからの払い出しが/64です。ND ProxyがあればいいんですけどpfsenseにはないっぽいのでIPv6組めません…

NATすればいけるかもしれませんがそれならIPv4でいいやってなったのでやりませんでした。