Netgate
pfSense på en Netgate-appliance gir deg enterprise-brannmur til SMB-pris. Grunnoppsettet tar under en time: WAN, LAN, DHCP og brannmurregler. Legg til VLAN-er for nettverkssegmentering og VPN for fjerntilgang – alt via et nettleserbasert grensesnitt.
En brannmur er førstelinjeforsvaret mellom bedriftsnettverket og internett. pfSense er en FreeBSD-basert brannmurplattform som kjører på Netgate-appliances – dedikert maskinvare bygget for formålet. Resultatet er en profesjonell brannmur med VLAN, VPN, IDS/IPS og trafikkstyring – uten årlige lisenskostnader.
Hvorfor pfSense
pfSense gir deg funksjoner som ellers krever dyre enterprise-brannmurer. Stateful brannmur, NAT, DHCP, DNS, VPN (WireGuard, OpenVPN, IPsec), VLAN og IDS/IPS – alt i én boks. Grensesnittet er nettleserbasert, så du trenger ikke lære CLI for daglig drift.
To varianter finnes: pfSense CE (Community Edition, gratis, åpen kildekode) og pfSense Plus (kommersiell, inkludert på Netgate-maskinvare). Plus-versjonen får oppdateringer oftere og har noen ekstra ytelsesoptimaliseringer (som OpenVPN DCO for raskere VPN).
Velg riktig Netgate-modell
Netgate tilbyr appliances i ulike størrelser. Velg basert på internettbåndbredde og om du trenger VPN eller IDS/IPS:
| Modell | Throughput | VPN | Passer til |
|---|---|---|---|
| SG-2100 | 881 Mbps brannmur | 118 Mbps IPsec | Hjemmekontor, mikrobedrift |
| SG-3100 | 2,4 Gbps brannmur | ~242 Mbps IPsec | Små kontor, 5–15 brukere |
| SG-4100 | 4,1 Gbps brannmur | 960 Mbps IPsec | SMB, 15–50 brukere |
| XG-7100 | 6,8 Gbps brannmur | 1,3 Gbps IPsec | Større SMB, 10GbE-nettverk |
Velg en modell med minst dobbelt så mye brannmur-throughput som internettlinjen din. IDS/IPS (Suricata) og VPN reduserer effektiv throughput med 30–60 % avhengig av regelsett. En 500 Mbps-linje med VPN og IDS bør ha SG-4100 eller bedre.
Grunnoppsett steg for steg
Første oppstart med en ny Netgate-appliance:
1. Koble til fysisk. WAN-porten går til ISP-modemet (eller ONT). LAN-porten går til switchen eller direkte til en PC for første konfigurasjon.
2. Åpne webgrensesnittet. Koble en PC til LAN-porten og gå til https://192.168.1.1. Standard brukernavn er admin, passord pfsense. Endre passordet umiddelbart.
3. Kjør veiviseren. pfSense viser en oppsettveiviser ved første innlogging. Sett tidssone, WAN-type (DHCP fra ISP er vanligst), LAN-subnett og nytt admin-passord.
4. Sjekk WAN-tilkobling. Under Diagnostics > Ping, ping en ekstern adresse (f.eks. 1.1.1.1). Fungerer det, er WAN oppe.
5. Konfigurer DNS. Under System > General Setup kan du sette egne DNS-servere (f.eks. 1.1.1.1 og 9.9.9.9) eller la pfSense bruke ISP-ens servere automatisk via DHCP.
6. Oppdater firmware. Under System > Update, sjekk om det finnes en nyere versjon og installer den før du konfigurerer videre.
VLAN-oppsett
VLAN-er lar deg segmentere nettverket uten ekstra maskinvare. Du trenger en managed switch med 802.1Q-støtte koblet til pfSense via en trunk-port.
På pfSense:
- Gå til Interfaces > Assignments > VLANs. Opprett VLAN-er med ønsket ID (f.eks. 10 for administrasjon, 20 for servere, 30 for klienter).
- Velg LAN-porten som parent interface for alle VLAN-ene.
- Under Interfaces > Assignments, tilordne hvert VLAN til et nytt grensesnitt (OPT1, OPT2, osv.).
- Aktiver hvert grensesnitt, sett IP-adresse (f.eks. 192.168.10.1/24, 192.168.20.1/24).
- Aktiver DHCP-server per VLAN under Services > DHCP Server.
- Legg til brannmurregler per VLAN under Firewall > Rules.
På switchen: Sett porten mot pfSense som trunk (tagged for alle VLAN-er). Sett portene mot klienter som access-porter med riktig VLAN-ID.
VPN for fjerntilgang
pfSense støtter tre VPN-protokoller:
WireGuard (innebygd fra pfSense 2.5+) er raskest og enklest å sette opp. Bruker nøkkelpar (public/private key) i stedet for sertifikater. Ideelt for fjerntilgang fra bærbare og mobiler. WireGuard-ytelsen er best på Intel-baserte modeller (SG-4100, XG-7100) – ARM-baserte modeller som SG-2100 har mer begrenset WireGuard-throughput.
OpenVPN er mest fleksibelt og har lang track record. Støtter både UDP og TCP, fungerer gjennom de fleste brannmurer. pfSense Plus har OpenVPN DCO som kan doble throughput.
IPsec er industristandard for site-to-site VPN mellom to lokasjoner. Drar nytte av maskinvareakselerasjon (AES-NI, QuickAssist) på Intel-baserte Netgate-modeller – SG-4100 og XG-7100 gir 1+ Gbps IPsec.
Nyttige pakker
pfSense har et pakkesystem (System > Package Manager) med tilleggsmoduler:
pfBlockerNG blokkerer reklame, skadelige IP-adresser og phishing-domener på DNS-nivå. Fungerer som en nettverksdekkende annonseblokkerer uten å installere noe på klientene.
Suricata (IDS/IPS) overvåker nettverkstrafikken for inntrenging og kan blokkere mistenkelig trafikk i sanntid. Krever mer CPU – SG-4100 eller bedre anbefales for fullt regelsett (ET Open). SG-3100 håndterer Suricata med et redusert regelsett, men kan oppleve ytelsestap under høy trafikk.
HAProxy er en reverse proxy og lastbalanserer. Nyttig hvis du kjører flere webtjenester bak én offentlig IP-adresse.
Axentra fører Netgate-brannmurer som passer godt sammen med et serveroppsett. VLAN-segmentering mellom servere, klienter og IoT krever også en managed switch. Trenger serverne 10GbE? Se nettverkskort for SFP+- og RJ45-alternativer.
Ofte stilte spørsmål
Kan jeg kjøre pfSense på egen maskinvare?
Ja, pfSense CE kjører på de fleste x86-maskiner med to eller flere nettverksporter. En gammel PC med Intel NIC fungerer. Netgate-appliances gir deg pfSense Plus, dedikert maskinvare og støtte – men det er ikke et krav.
Hva er forskjellen på pfSense og OPNsense?
OPNsense er en fork av pfSense fra 2015. Begge er FreeBSD-baserte. OPNsense har et mer moderne grensesnitt og raskere oppdateringssyklus. pfSense har større brukerbase og mer dokumentasjon. Begge fungerer godt for SMB.
Hvor mange VLAN-er kan pfSense håndtere?
Teknisk opptil 4 094 (IEEE 802.1Q-standarden). I praksis begrenses det av ytelse – en SG-4100 håndterer 10–20 VLAN-er uten problemer. De fleste SMB-er trenger 3–5.
Trenger jeg Netgate-maskinvare for pfSense?
Nei. pfSense CE er gratis og kjører på standard x86-maskinvare. Netgate-appliances gir deg pfSense Plus, testet maskinvare og profesjonell støtte. For en bedrift som vil ha stabilitet og support er Netgate verdt merkostnaden.
Hva skjer hvis Netgate-boksen feiler?
pfSense støtter konfigurasjon-backup (Diagnostics > Backup & Restore). Eksporter konfigurasjonen regelmessig. Ved maskinvarefeil kan du gjenopprette på en ny boks på minutter.
Kan pfSense erstatte en Ubiquiti-gateway?
Ja, og den gir deg langt mer kontroll. Ubiquiti USG/UDM er enklere å sette opp, men har begrenset brannmur- og VPN-funksjonalitet. pfSense er mer kraftig, men krever noe mer konfigurasjon.
Kan jeg kjøre pfSense Plus på egen maskinvare?
Tidligere tilbød Netgate en gratis Home/Lab-lisens for pfSense Plus på egen maskinvare. Den er fjernet. I dag krever pfSense Plus Netgate-maskinvare eller et Netgate TAC-abonnement. Vil du kjøre på egen maskinvare uten kostnad, er pfSense CE eller OPNsense alternativene.
Er WireGuard sikkert nok for bedriftsbruk?
Ja. WireGuard er innebygd i Linux-kjernen fra versjon 5.6, har gjennomgått formell sikkerhetsrevisjon og bruker moderne kryptografi (ChaCha20, Curve25519). Den har færre kodelinjer enn OpenVPN, noe som reduserer angrepsflaten.
Neste steg
Start med grunnoppsettet: WAN, LAN, DNS og oppdater firmware. Når det fungerer, legg til VLAN-er for å skille servere fra klienter og gjester. Sett opp WireGuard-VPN for fjerntilgang. Til slutt: installer pfBlockerNG for DNS-basert annonseblokkering og vurder Suricata hvis sikkerhet er en prioritet.