物理FWに変更

今まで、Esxi上に構築していた論理ファイヤーウォールですが、
そもそもEsxiが動作がもっさりしているなか、流石にスペックで無いと判断し
論理ファイヤーウォールから物理ファイヤーウォールに変更することを決め、
設計・構築・設定・テストを行っています。

物理と言っても、基本的にはソフトウェア・ファイヤーウォールとなり
とは、OSやNICも含めて論理よりはスペックが出やすいと思います。

使う機材はこれになります
産業用PC

日本には、表だって流通はしていないPCになります。
NICが4本ついて、それぞれ1Gbpsの速度が出るミニPCです。

スペックはこんな感じ

スペック
※今回入手したPCは、一番低スペックの2コア2スレッドのCeleron機種です。
 FANレスで、全くノイズを出さないPCですが、流石にCeleron2コアとはいえ
 50度前後まで筐体が熱くなってしまう為、ミニPCの上にUSB 5Vで動作する
 FANを両面テープで貼り付けて、PC上面にあるヒートシンクを強制空冷する
 仕様に変更しました。

 熱いとコンデンサーにダメージもありますし、長時間動作させるのに
 まったく良いことがありません。
 その結果、筐体は30度以下で動作をしていて、
 触ってもほのかに暖かい程度の温度を保っています。

OS

pfSenseというOSをいれて使用する事にしました。
本当は、設計当初は、Endian Firewall を想定してました
この産業用PCに使われているチップセットが新しすぎて
まったく、カーネル仕様が古いEndian Firewall では、NICを認識させる事が出来ませんでした。論理ブリッジはなんとか作成出来ましたが、
物理NICとしては認識出来ませんでした。ということで、インストールはできて
立ち上がったけど、使い物にならないといった感じであきらめました。
流石に、Endian Firewall って思想が古いのと、使っているカーネルが凄く古いのです。

実際稼働中の画面

設置後のハード

構成図

構成図

設定を終えて論理FWと入れ替えた結果

今までは、80Mbps程度がやっとだったところ
300Mbps程度は出る様になったので、良かったと思います。
VPNの設定など課題自体は、多々ありますが、最低減使用できる所まで持って来れました。
しばらくは、これで使って行ければと思います。

今後は、2台用意してHAとしたい

1台でも問題は無いんですが、2台用意してHA構成として
VIPを真ん中に設置して、その下にpfSenseが2台ぶら下がっている状況に
していきたいと思っています。ただ、L2Switchとしては、Portを8個使うので
なんともですね💦

つまりはこんな構成

ただ、ハードはこんなのを用意する必要がある
次期ハード
スペック

何故か?
VLANを指定して、物理NICを1つで別扱いできるかもですが
つなぎ込んでいるVLANが4つあるので、その関係で最低でも4Portが必要で有り
さらにHAで稼働確認パケットを常時送信させる必要があるので、1Portが必要になります。
なので、HAを構成する為には、最低でも筆者の環境では、5Portのハードが必要になります。