Hardware consigliato:
CPU
Premettiamo che PFsense funziona solo su hardware x86, quindi niente ARM o simili..
Ovviamente l'hardware su cui far girare il tutto dipende parecchio dalle performance e dal carico che si vuole ottenere.
Partendo dal basso (quindi routing e qualche pacchetto leggero) siamo nella fascia delle
Alix, i primissimi Atom da netbook (N270)e pentium II.
Salendo leggermente (e volendo aggiungere qualche pacchetto in più ma con routing limitato tra le interfacce) ci sono le varie serie VIA e i Pentium III.
Per iniziare ad utilizzare routing gigabit verso le interfacce OPT serve almeno un Atom D525, un Penitum-M oppure un Pentium 4 (anche se lo sconglio visto il consumo elevato). Con questi processori si riescono a gestire circa 600 Mb\s in routing puro..
Per raggiungere il gigabit vero serve qualcosa in più, come un G620 oppure un i3.
Altro discorso riguarda le performance in VPN, per cui lascio un link a un piccolo specchietto di comparazione su IPSEC:
http://www.hacom.net/kb/ipsec-perfor...wall-appliance
SCHEDE DI RETE
Le schede di rete consigliate sono quelle con chipset Intel, che riescono ad avere migliori performance rispetto alle omologhe Realtek. Consigliabile nell'ottica di un box compatto avere almeno due interfacce gigabit direttamente sulla scheda madre, nel caso ne servano di più ci si può affidare a schede di espansione preferibilmente PCI-Express per evitare colli di bottiglia, oppure a doughterboard specifiche per la motherboard stessa (ad esempio Jetway propone queste soluzioni).
Se non serve un esagerato throughput contemporaneo è consigliabile utilizzare le VLAN con uno switch approrpiato piuttosto che aggiungere schede di rete costose (con 2 o 3 interfacce), per i modelli più economici consigli Mikrotik RB250GS oppure Netgear GS105E.
Se si mettono le VLAN della DMZ\OPT insieme alla WAN e si lascia la LAN sull'altra le performance sono ottime comunque visto che generalmente la banda WAN è decine (se non centinaia) di volte inferiore al gigabit.
VIRTUALIZZAZIONE
Ovviamente è anche possibile virtualizzare PFsense, in tal caso si consiglia la piattaforma ESXI che è ben supportata (anche se le prestazioni sono ovviamente peggiori di un'installazione fisica), discreto anche il supporto a Xen, molto scarso invece quello per Hyper-V.
Installazione su Watchguard X-Core e
Sono necessari i seguenti file:
physdiskwrite
BIOS Modificato
FreeDos per aggiornamento BIOS
L'aggiornamento del BIOS è necessario per poter far leggere al Watchguard le CF da più di 256MB.
Copiare con physdiskwrite l'immagine di FreeDOS su una CF di piccole dimensioni (128MB max).
Bisogna innanzitutto eliminare qualsiasi partizione dalla CF (consiglio diskpart da DOS). Quindi riversare il contenuto dell'immagine sulla CF con physdiskwrite. A questo punto inserire l'ultimo bios nella cartella bios sulla CF.
A questo punto inserire la CF nel Watchguard e avviarlo con un pc connesso via seriale in ascolto (con putty) con velocità 9600 8N1. Si sentiranno 3 beep quindi l'output verrà girato sulla seriale e sul pc si avrà il prompt di FreeDOS. Spostarsi nella cartella BIN quindi lanciare biosid.
Se la versione originale del BIOS è la ETAC0017 proseguire, altrimenti non se ne garantisce il corretto funzionamento.
Con il comando
awdflash /pn /sy backup1.bin /e si può backuppare il vecchio bios, quindi con
awdflash x750eb7.bin /py /sn /cc /e flashiamo il nuovo BIOS.
Collegandosi ora sempre con Putty in seriale ma a una velocità di 115200 e premendo il tasto TAB si potrà accedere al BIOS. Qui bisognerà impostare il numero di "head" del disco primario a 2. Per uscire premere ESC seguito da freccia SU.
Si potrà ora mettere l'immagine embedded di pfSense sulla CF e si vedrà l'avvio di pfSense via seriale (9600).
A questo punto la configurazione di pfSense è quella standard.. C'è qualche altro tweak ma lo indicherò più avanti..