¿Alguna vez miró el enrutador proporcionado por su ISP y pensó: “Me demando cómo sería construir mi propio firewall?” Eso es precisamente lo que pasó por mi mente el año pasado cuando finalmente hice el cambio de un enrutador ISP a mi propia decisión de red DIY. Aunque no soy un principiante en lo que respecta a la construcción de firewalls personalizados, luego de acaecer construido algunas unidades pfSense en el pasado, nunca lo intenté en casa porque nunca tuve la falta. Incluso con el almacenamiento conectado a la red (NAS) y una potente PC nómina, todavía no sentí la falta de hacer el cambio.

Eso fue hasta que comencé a introducir mucho más que Plex y algunas películas y programas. Incluso en ese momento, todavía dependíamos en gran medida de los servicios de transmisión. Lo mismo ocurrió con el almacenamiento con suscripciones a la estrato y el resto. Gastábamos mucho cada mes para mantenernos entretenidos y todos nuestros datos seguros. Una vez que comencé a encenderme Contenedores Proxmox y máquinas virtuales, tener servicios autohospedados desde casa nos permitió acortar costos y tomar el control total de nuestros datos, pero necesitaba poco un poco más potente que un enrutador ISP unificado.

Es por eso que finalmente me cambié a OPNsense y construí un firewall con cero más que una mecanismo USB para el instalador del sistema operante, una mini PC con tecnología Intel y refrigeración pasiva de $100, un kit de RAM, un SSD NVMe de repuesto y 10 minutos de mi tiempo.

Por qué OPNSense era la opción perfecta

Seguro, voluble y ligera de usar

OPNsense es una escisión de pfSense y es mi opción para todo lo relacionado con la creación de redes, gracias a su pulida interfaz web, su vehemencia en la tolerancia y un calendario de propagación frecuente. He usado el software ampliamente durante el postrer año luego de cambiar de pfSense, y el proceso de configurar su propio firewall es increíblemente ligera. Soluciones como pfSense y OPNsense comienzan a proteger su red tan pronto como se instalan. Incluso en su configuración predeterminada, siguen actuando como su principal sarta de defensa.

Con OPNsense, pude configurar redes de dominio particular virtuales (VLAN), DNS dinámico (DDNS) para ayudar a suministrar el entrada a todos mis servicios autohospedados desde el mundo extranjero, la configuración del tráfico y la compatibilidad con VPN para toda la LAN. Esa última parte cambia las reglas del deporte al cargar la VPN en el propio firewall, lo que proporciona una cobertura genérico completa en toda la LAN, que luego puede estar de moda yuxtapuesto con reglas para excluir clientes específicos y mandar tráfico fuera de la VPN.

Otra característica útil fue Unbound, que está precargado en OPNsense. Este práctico solucionador de DNS de almacenamiento en gusto admite el uso de listas de corte, lo que elimina la falta de ejecutar un sistema dedicado para Pi-hole o AdGuard y garantiza que no necesito ejecutar cero en Proxmox. Esto ayuda con la pleonasmo ya que el firewall nunca se desconectará. Simplemente cargue una nómina y estará inteligente. Pero la verdadera razón por la que OPNsense tenía sentido para este tesina son sus requisitos de medios. Incluso una mini PC trueque de 100 dólares puede ejecutarlo sin problemas.

Fue entonces cuando comenzó la búsqueda de un sistema digno.

Encontrar la mini PC trueque perfecta

Es más ligera de lo que piensas

Hay una gran cantidad de opciones cuando se alcahuetería de designar una mini PC para ejecutar un firmware de firewall como pfSense u OPNsense. Hay algunas cosas a tener en cuenta al comparar precios. El primero es el procesador. Si proporcionadamente OPNsense y todo el tráfico de su red no serán muy exigentes para que un sistema los maneje, es cuando comienza a estar muy ocupado con las transferencias de datos y la ejecución de complementos en la instalación de OPNsense que la CPU puede encontrarse afectada.

Luego está el hecho de que esto funcionará las 24 horas del día, los 7 días de la semana, por lo que debe tener un bajo consumo de energía, no hacer demasiado ruido cuando esté bajo carga, ofrecer algunos puertos de interfaz de red y tener una construcción x86 para avalar la compatibilidad con la almohadilla FreeBSD de OPNsense. Fue entonces cuando me topé con un mar de mini PC por unos 100 dólares aproximadamente. Estas cajas asequibles son compactas, tienen muy pocos puertos y están diseñadas como mini firewalls en sitio de computadoras, aunque puedes instalar Linux o Windows y usar una como tal.

Opté por uno de los sistemas de marca, que probablemente sea un producto de marca blanca compartido por algunas empresas, pero ofrecía muchas de las cosas que necesitaba. Primero, teníamos una CPU Intel N3700 con cuatro núcleos capaces de alcanzar 2,4 GHz con un TDP de sólo 6 vatios. Admite un mayor de 8 GB de RAM DDR3L, lo cual es consumado para una aplicación como esta en la que no se desea que el consumo de energía del sistema sea demasiado parada. 8 GB incluso son más que suficientes para ejecutar OPNsense.

En el frente hay cuatro puertos de red Intel de 2,5 GbE, uno reservado para el enlace WAN a nuestra caja de fibra. Puede parecer obvio, pero asegúrese de obtener un dispositivo con más de un puerto LAN, de lo contrario tendrá problemas rápidamente. El SSD y la RAM no estaban incluidos con la mini PC, pero está proporcionadamente, ya que tenía un módulo de un NAS antiguo que funcionaría proporcionadamente, y un SSD mSATA simple de desprecio capacidad funcionó. Una vez que todo estuvo instalado y el sistema encendido, la instalación de OPNsense tomó unos minutos.

Vale la pena construir su propio firewall

Aunque muchos no pondrían diversión y networking en la misma frase, a mí me parece increíble aventurar con todo lo que hay en la LAN. Con OPNsense instalado, fue posible configurar rápidamente el red privada posible (VPN) para conectarse a nuestro proveedor y cargar protección en toda la red. Configuré la NAT saliente, creé algunas reglas para aislar dispositivos IoT en su propia VLANy habilitó el filtrado DNS para cortar dominios maliciosos conocidos utilizando Unbound.

A partir de ahí, sólo me limitó la imaginación. DDNS a través de un proveedor de dominio fue lo suficientemente simple como para permitirme usar servidores proxy inversos y ceder a servicios como Jellyfin e Immich desde fuera de casa sin falta de refrescar aplicaciones con una nueva dirección IP externa. OPNsense incluso tiene su propio Sistema de Detección de Intrusiones (IDS). Aunque está deshabilitado de forma predeterminada, vale la pena habilitar el conjunto de reglas ET Open, que detecta patrones de tráfico sospechosos y bloquea ataques potenciales.

Teniendo en cuenta que se alcahuetería de una mini PC de 100 dólares, los resultados son impresionantes. Las cargas de CPU suelen ser asaz bajas. Las temperaturas casi nada superan los 50 grados centígrados y todo transcurre sobre ruedas. Podemos alcanzar el mayor rendimiento con nuestro plan ISP presente y no hemos tenido ningún tiempo de inactividad relacionado con la red que no haya sido planificado o se deba a un error humano. Aunque este sistema está diseñado eficazmente para ejecutar un firewall, fue sorprendente ver lo proporcionadamente que funciona a un precio tan bastante.

Probablemente no sea poco en lo que haya pensado mucho, pero construir su propio firewall con OPNsense puede variar su red con la implementación de funciones avanzadas. Crear y usar VLAN por sí solo ayudará a segmentar su red y ayudar todo protegido adentro de sus respectivos grupos. Si en realidad quiere editar un laboratorio doméstico y sumar productos de Internet de las cosas a su hogar, no puedo advertir este proceso lo suficiente. La mejor parte es que siquiera necesitas comprar mucho.