KVM上にpfSenseをインストールして使ってみる
最近、RTX1200にそろそろ性能の限界を感じます。
RTX1210は高いしIX2215は難しそう。しかも1210あんまり性能良くない(iperf走らせると結構CPU使用率行ってしまうらしい)
http://www.nosense.jp/rtx1210-throughput-routing/
ここでいっそ、pfSenseを試してみることにしました。
ただ、pfSense用に一台組むのは高いし電気代もアレなので、この今見てるであろうWordPressとかいろいろ動いてる自宅鯖で、KVM上にインストールしてみます。
ホストはUbuntu Server 20.04です。
私の環境ではNIC合計6ポートをブリッジさせました。
最低WANとLANで2ポートあればいいです。(VLAN使えば1ポートで済むかも)
設定例は2ポートで書いておきます。
IPは192.168.1.0/24とし、eno1をWAN、eno2をLANとします。
ブリッジ
ブリッジにIPアドレスを付与することでホスト側もネットに出られます。
netplanはこのようにしました。
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 | network: ethernets: eno1: dhcp4: false dhcp6: false eno2: dhcp4: false dhcp6: false bridges: br0: interfaces: [eno1] dhcp4: false dhcp6: false br1: interfaces: [eno2] addresses: [192.168.1.100/24] gateway4: 192.168.1.1 nameservers: addresses: [192.168.1.1] |
インストール
メモリ、CPUなどなどお好みで
ダウンロードしたiso指定するのも忘れずに
virtioを指定することでパフォーマンスが良くなります。
1 | $ sudo virt-install --name pfsense --memory 4096 --vcpus 4 --graphics vnc --disk /var/lib/libvirt/images/pfSense.img,size=10,bus=virtio,format=raw --autostart --os-type unix --cdrom /Diskimages/pfSense-CE-2.5.1-RELEASE-amd64.iso --network bridge=br0,model=virtio --network bridge=br1,model=virtio |
VNCで繋ぎ、インストールを済ませます。
途中のウィザードでUEFI,BIOSどちらか選ばされますが、普通にBIOSを選択してください。
初回起動でWANとLANのインターフェースを選択させられるので、それぞれvtnet0,vtnet1と入力します。
あとは192.168.1.1にアクセスし、初期設定を済ませたら完了です。
つまづいたところ
つまづき①
なんか初期設定終わらせてもネットにアクセスできませんでした
ファイアウォールが悪いのかと思って、最初にあるこの3つを削除してもう一度同じのを作り直したらアクセスできました…
なんだったのでしょう

つまづき②
複数NICブリッジしてセグメントを何個か作ったのですが、ファイアウォールでは許可してるにも関わらず、なぜかお互い疎通できませんでした。
ログ見てもPASSって書いてるし不思議だと思ってたら、Windows側のファイアウォールで弾かれてました。初歩的なミスです…
性能
ホストマシンは i3 6100T,16GB で、pfsenseには4スレッド,6GBを割り当てています。
巨大ファイルをコピーして、負荷を見てみました。
pfSense自体のCPU使用率はそうでもないですね。
ただ、右の%sys見たら分かるように、ホストマシンの使用率が50%ぐらいになってます。
ちょっとi3 6100Tで仮想環境だときつそうですね。Xeon買いたいと思います。
VPN
https://internet.watch.impress.co.jp/docs/column/shimizu/1286611.html
ここ参考にしてOpenVPNも立ててみました。
ただ最後のClient Export Utilityは、System→Package ManagerからClient Export Utilityと検索してインストールしないと出てきませんでした。その点だけ注意です。
あと、CPUの高速暗号化処理、AES-NIが標準でinactiveになっているので、
System→Advanced→Miscellaneousから、Cryptographic HardwareをAES-NI and BSD Crypto Deviceにしておくと有効になります。
IPv6は?
NuroだとONUからの払い出しが/64です。ND ProxyがあればいいんですけどpfsenseにはないっぽいのでIPv6組めません…
NATすればいけるかもしれませんがそれならIPv4でいいやってなったのでやりませんでした。
最近のコメント