Я ищу альтернативу pfSense (2), которую можно виртуализировать в VMWare ESXi. На сегодняшний день у меня было несколько проблем с pfSense, и я чувствую, что это не полностью законченный или отполированный продукт. Всякий раз, когда что-то идет не так (конфликт IP-адресов, неправильная конфигурация Squid и т. Д.), Все приходит в неистовство, и требуется перезагрузка или, по крайней мере, 5-10 минут, чтобы исправить себя. Во многих случаях даже сброс таблиц состояний не помогает, а только усугубляет проблему.
Я думаю, что отчасти проблема в том, что я, вероятно, действительно плохо разбираюсь в pfSense, будучи новичком и всем остальным, но у меня никогда не было такого количества проблем с брандмауэром, и это происходит из-за использования Checkpoint и Linksys и даже изредка D -Ссылка на сайт. Конечно, в настоящий момент мы запускаем все наши вещи с Cisco ASA (по крайней мере, на физических хостах), и я хотел бы просто запустить ASA в VMWare, но, к сожалению, это невозможно.
Пожалуйста, предоставьте какие-либо рекомендации для а) руководства по обеспечению стабильной работы pfSense или б) других виртуализуемых устройств межсетевого экрана.
Скорее всего, ответ на этот вопрос: не делайте этого. Что бы вы ни делали, чтобы сломать pfSense, выясните, что это было, и больше не делайте этого.
Я работал с множеством дистрибутивов Linux и маршрутизаторов на основе BSD, и pfSense на сегодняшний день является наиболее стабильным и гибким из них.
Хотя здесь, на Serverfault, есть несколько специалистов по pfSense, я бы рекомендовал задать конкретные вопросы pfSense. список рассылки. Основатели проекта и многие из основных разработчиков включены в список, а также гораздо большая группа активных пользователей pfsense, чем мы здесь.
По моему опыту, для того, чтобы запустить синхронизацию конфигурации pfSense / pfsync, вам необходимо: а) включить беспорядочный режим в группе портов, а также vswitch и б) установить флаг в
Advanced Settings -> Net -> ReversePathFwdCheckPromisc => 1
По какой-то причине иначе синхронизировать трафик не удалось. В моей среде 2 сетевых адаптера в активном / резервном состоянии.
Без этого параметра и режима беспорядочного обмена я видел много странного поведения, похожего на то, что вы описываете. Проверьте это и посмотрите, может ли это вам помочь.