Met pfSense beveiligen we ons thuisnetwerk met een ijzersterke firewall door middel van een oude computer. In een vorige workshop keken we naar het installatieproces van de software, nu bekijken we wat er zoal te configureren valt.

Tip: Lees eerst hoe je pfSense kunt downloaden en installeren.

Na de herstart beland je in het hoofdmenu van pfSense waarin je zeventien keuzemogelijkheden ziet. Bovenaan verschijnt een overzicht van je netwerkinterfaces, waar we gelijk mee aan de slag gaan via de optie 1) Assign interfaces. Op de vraag of je al VLAN’s wilt creëren, antwoord je (voor nu) met nee.

Onze eigen test-pc heeft meerdere netwerkadapters: drie ethernetadapters van 1 Gbit (waarvan één op het moederbord en twee PCI-E-adapters) en één draadloze adapter. We zijn namelijk nogal ambitieus: naast een WAN- en LAN-verbinding willen we ook nog een DMZ (demilitarized zone) en een accesspoint opzetten.

©PXimport

Netwerkadapters onderscheiden

Wanneer je een aantal (identieke) netwerkadapters in je systeem hebt zitten, kan het lastig zijn om die uit elkaar te houden. De makkelijkste manier is wellicht nog de volgende: haal alle kabels uit de netwerkadapters, behalve de kabel die je systeem met je modem verbindt. 

Zodra de melding verschijnt Enter the WAN-interface name […], druk je op de A-toets om automatische detectie van je netwerkadapter te activeren. Je merkt dan vanzelf welke interface beschikbaar komt en je kunt de connectie de gewenste naam meegeven (WAN, in dit geval). Herhaal dit voor de overige netwerkadapters, die wij in ons voorbeeld respectievelijk LAN, DMZ en WLAN hebben genoemd. 

©PXimport

Met de Enter-toets sluit je de configuratie af en krijg je weer het overzicht van de toegekende interfaces te zien. Je LAN-interface krijgt het adres 192.168.1.1 mee. Na je bevestiging wordt de configuratie opgeslagen en kom je terug in het hoofdmenu.

DHCP configureren in pfSense

De verdere configuratie van pfSense kun je via de gebruiksvriendelijke webinterface afhandelen. Het enige dat je nodig hebt is het LAN-IP-adres van het systeem waarop je pfSense hebt geïnstalleerd. We gaan ervan uit dat je de netwerkkabel van de LAN-interface op een switch hebt aangesloten en dat je andere systemen ook met die switch verbonden hebt. De ingebouwde DHCP-server van pfSense wijst de andere systemen automatisch een IP-adres toe (standaard begint de DHCP-pool met 192.168.1.100).

Mocht een aangesloten pc toch geen IP-adres krijgen toebedeeld, dan moet je wellicht de DHCP-service op de pfSense-machine herstarten. Dat gaat het snelst als volgt: kies in het hoofdmenu van pfSense voor optie 12) PHP shell en voer het commando playback restartdhcp uit.

Inloggen

Op je client-systeem ga je vervolgens met een browser naar het adres https://192.168.1.1. Het aanmeldvenster verschijnt waar je (aanvankelijk) admin als inlognaam en pfsense als wachtwoord invult. Het pfSense-dashboard verschijnt en via de Next-knop start je een configuratiewizard op (je bereikt die ook via System / Setup wizard). Druk een paar keer op Next tot je het scherm ziet waar je een geschikte hostname en domain kunt invullen, samen wordt dat de FQDN (de ‘Fully Qualified Domain Name’) van je pfSense-firewall.

We gaan ervan uit dat de DNS-servers (via DHCP) automatisch door je internetprovider worden doorgegeven, zorg dan wel dat er een vinkje staat bij Allow DNS servers to be overridden by DHCP/PPP on WAN. Desnoods gebruik je publieke DNS-servers als die van OpenDNS of (desnoods die) van Google. In het volgende scherm is de NTP-server (Network Time Protocol) al ingevuld: je moet alleen nog even de juiste tijdzone aanduiden (bijvoorbeeld Europe/Amsterdam).

©PXimport

Nog een stap verder krijg je nog de gelegenheid de WAN- en LAN-interfaces te wijzigen, maar we gaan er hier van uit dat die al naar wens staan ingesteld. In het volgende venster wijzig je het wachtwoord voor je admin-login. Maak er een sterk wachtwoord van, want langs deze weg bereik je onder meer de webinterface en de SSH-services. Ten slotte kom je uit bij de knop Reload en verschijnt de tekst Click here to continue to pfSense web Configurator (zoals pfSense het dashboard noemt).

Alvast goed om weten: je kunt op elk moment de pfSense-configuratie back-uppen (en terugzetten). Dat loopt over het menu Diagnostics, waar je Backup & Restore kiest. Stel Backup area bij voorkeur in op All en druk op de knop Download configuration as XML.

Geen IP-adres in pfSense

Heb je net als wij meerdere netwerkinterfaces ingeschakeld op je pfSense-machine (in ons geval dus WLAN en DMZ), dan loop je meteen tegen enkele problemen aan. Wanneer je een toestel op één van die interfaces aansluit, krijgen die geen IP-adres toebedeeld (en wordt er dus ook geen data naar doorgestuurd.

Het eerste probleem – geen IP-adres – is snel opgelost: pfSense activeert de DHCP-server standaard alleen voor de LAN-interface, maar niet voor de extra netwerkadapters. Dat moet je zelf regelen. We nemen onze DMZ als voorbeeld. Open het menu Services / DHCP-server. Open het tabblad DMZ (of het tabblad met de naam van jouw eigen optionele interface). Plaats een vinkje bij Enable DHCP server on […] interface, waarna je bij Range het gewenste distributiebereik invult (bij een subnet van bijvoorbeeld 192.168.2.0/24 kun je iets instellen als From: 192.168.2.100 To: 192.168.2.200). Bevestig je instellingen met de knop Save, onderaan de pagina.

©PXimport

Firewall instellen

Rest nog het andere probleem: het doorsturen van data door de interface. Je hebt wellicht al door dat de ingebouwde firewall hier een stokje voor steekt. Open hiervoor het menu Firewall en kies Rules. Op het tabblad LAN zie je dat pfSense zelf al wat regels heeft gecreëerd voor de LAN-interface, maar op de tabbladen van de extra interfaces is dat niet het geval en moet je dat dus zelf doen. Voor onze DMZ-interface, op het tabblad DMZ, creëren we een regel die in eerste instantie alle verkeer toelaat, maar beperken we die vervolgens met een regel die alle verkeer vanaf de DMZ naar het LAN blokkeert of negeert. Dat geeft een aardig idee hoe je met de firewall van pfSense moet omspringen.

Klik op groene Add-knop en vul (iets als) het volgende op de configuratiepagina in: Action – Pass, Interface – DMZ, Address Family – IPv4+IPv6, Protocol – Any, Source – Any, Destination - Any. Vul een geschikte beschrijving bij Description in en bewaar met Save: je eerste regel is toegevoegd. De tweede regel wordt een beperkingsregel: klik opnieuw op de groene Add-knop.

©PXimport

Let erop dat je de eerste Add-knop (links) aanklikt, met de naam Add rule to the top of the list en het pijltje omhoog: de beperkingsregel komt dan bovenaan de lijst te staan. Dat is belangrijk omdat pfSense de firewallregels in volgorde van boven naar beneden afwerkt. Desnoods kun je de regelvolgorde ook naderhand aanpassen door zo’n regel naar de gewenste locatie te verslepen.

Onze tweede regel komt er net als de eerste uit te zien, met twee belangrijke verschillen: Action stel je in op Reject en Destination (alleen) op LAN net. Je DMZ-interface werkt nu zo dat alleen verkeer naar je LAN verbonden blijft. Je kunt nu in principe veilig één of andere (publiek toegankelijke) server aan je DMZ-interface hangen.

Lees in het volgende artikel over het instellen van Accespoints, portforwarding en VPN's in pfSense. 

Tekst: Toon van Daele

Op zoek naar een nieuwe e-reader met kleurenscherm? Goed nieuws, want er verschijnen steeds meer geschikte producten in de (digitale) winkelschappen. Een voorbeeld hiervan is de onlangs verschenen Amazon Kindle Colorsoft Signature Edition. Is dit product zijn stevige prijskaartje van 299,99 euro waard?

De hier besproken Signature Edition heeft een aantal extra's ten opzichte van de reguliere Kindle Colorsoft Base Edition (269,99 euro). Zo bevat deze e-reader 32 GB (in plaats van 16 GB) opslagruimte. Bovendien is er ondersteuning voor draadloos opladen ingebakken. Vanwege het compacte touchscreen van 7 inch en de dunne schermranden is de behuizing ongeveer net zo groot als die van een normaal pocketboek, maar dan een stuk dunner. In combinatie met het bescheiden gewicht van 219 gram is de Amazon Kindle Colorsoft Signature Edition een aangenaam leesapparaat voor thuis en onderweg. De achterzijde heeft een ruwe afwerking, waardoor het apparaat prettig in de hand ligt. Behalve de aan-uitknop telt de sober vormgegeven behuizing geen fysieke knoppen.

©Maikel Dijkhuizen

Snelle configuratie

Zodra je op de aan-uitknop aan de onderzijde drukt, verschijnt binnen enkele ogenblikken het configuratiemenu. Na het kiezen van de Nederlandse taal stel je de e-reader verder in. Dat kan met behulp van een smartphone-app of op het apparaat zelf. Laatstgenoemde optie werkt snel genoeg. Heb je het wifi-wachtwoord en je Amazon-accountgegevens eenmaal ingevuld, dan verschijnt het hoofdvenster. Een korte rondleiding neemt je op sleeptouw. Zo zijn diverse schermopties via een handig snelmenu bereikbaar. De configuratie duurt slechts enkele minuten, zodat je snel kunt beginnen met lezen.

Je koopt nieuwe e-books rechtstreeks in de Kindle Store. Via de Send to Kindle-dienst kun je ook eigen bestanden naar de e-reader sturen, zoals digitale boeken in het populaire epub-formaat. Andere ondersteunde bestandsformaten zijn onder meer pdf, mobi, docx en jpeg. Je kunt ook nog luisterboeken afspelen. Koppel in dat geval een draadloze koptelefoon via bluetooth.

©Maikel Dijkhuizen

7inch-kleurenscherm

De hamvraag is natuurlijk of een kleurenscherm op dit Kindle-product de hoge aanschafprijs rechtvaardigt. Een lastige kwestie, want de huidige generatie e-ink-kleurenschermen oogt toch wat flets. Er is weliswaar een instelling om een levendige kleurenstijl te activeren, maar het verschil is minimaal. Wel ziet de bibliotheek met alle gekleurde boekenkaften er aantrekkelijker uit. Daarnaast komt een kleurenscherm goed van pas bij het lezen van stripboeken, tijdschriften en kranten. De Colorsoft Signature Edition geeft afbeeldingen en foto's in een redelijke kwaliteit weer, al zijn de beelden ietwat korrelig. Verder pas je naar eigen wens de warmte van het scherm aan. Hierbij houdt de e-reader op jouw verzoek rekening met de zonsondergang en -opgang. Tot slot zijn de hoge contrastwaarden van dit scherm een voordeel.

©Maikel Dijkhuizen

Hoog leescomfort

Het scherm heeft een matte afwerking, zodat je comfortabel buiten kunt lezen. Zelfs met fel zonlicht vallen de weerspiegelingen erg mee. Lees je 's avonds, dan komt de automatische schermverlichting goed van pas. Deze functie zit overigens niet op de reguliere Kindle Colorsoft Base Edition. Voor e-readerbegrippen navigeer je snel in boeken en het menu. Hiervoor tik of veeg je op het touchscreen. Een nieuwe bladzijde opent vrijwel zonder vertraging, zodat je vlot kunt doorlezen. Wil je ondertussen iets online opzoeken? Open dan gewoon de browser en typ een url in de adresbalk. Deze e-reader laadt websites behoorlijk rap.

Een pluspunt is dat dit product voldoet aan de IPx8-norm. Je kunt dus gerust e-books in bad lezen, want de behuizing is waterdicht. Dankzij de lange accuduur hoef je het apparaat waarschijnlijk pas na een paar weken of zelfs enkele maanden op te laden.

©Maikel Dijkhuizen

Amazon Kindle Colorsoft Signature Edition kopen?

Als je naast boeken ook graag kranten, tijdschriften en stripboeken op een e-reader leest, is de Kindle Colorsoft Signature Edition zeker het overwegen waard. Je bekijkt dan namelijk foto’s en afbeeldingen in kleur. Vergeleken met een smartphone- of tabletscherm zijn de kleuren wel veel fletser. Behalve dat en de hoge adviesprijs valt er verder weinig op deze e-reader aan te merken. Hij is namelijk snel, gebruiksvriendelijk en comfortabel. Kortom, een aanrader!

TP-Link heeft de Deco BE25 Outdoor aangekondigd, een weerbestendige Mesh wifi-router met wifi 7 die speciaal ontworpen is om het WiFi-netwerk eenvoudig uit te breiden naar de tuin. De router biedt een oplossing voor het probleem dat goed geïsoleerde ramen en muren het wifi-signaal vaak blokkeren, waardoor internetgebruik in de tuin vaak problematisch is.

De Deco BE25 Outdoor kan naadloos worden toegevoegd aan een bestaand Deco-netwerk, ongeacht of je al een wifi 5, 6 of 7-set gebruikt. Via de Deco-app is het apparaat met enkele klikken toe te voegen, waarna alle Deco apparaten één netwerk vormen met één naam en wachtwoord. Tot 10 Deco apparaten kunnen aan elkaar worden gekoppeld voor één groot WiFi-netwerk. Het apparaat is ook te gebruiken als losstaande router of als access point naast een bestaand netwerk van een ander merk.

De Deco-apparaten vormen samen één netwerk, met één naam en één wachtwoord, waardoor je in en om het huis stabiele wifi hebt. De router beschikt over een ingebouwde voeding en kan direct in een stopcontact worden gestoken of via Power over Ethernet (PoE) worden gevoed via een van de twee 2,5Gbps netwerkaansluitingen. De verbinding met een bestaand Deco-netwerk kan zowel via ethernetkabel als draadloos.

Met wifii 7 BE3600 haalt de router snelheden tot 3,6Gbps. Dankzij nieuwe wifi 7-technologieën zoals Multi Link Operation, 4K-QAM en 160Mhz brede kanalen levert het apparaat volgens TP-Link goede prestaties in de tuin. De router wordt geleverd met montagemateriaal en kan aan een muur of paal worden bevestigd of los worden neergezet.

Uiteraard ook met AI

De ingebouwde AI-Driven Mesh technologie stemt het wifi-netwerk automatisch af op de omgeving door patronen te herkennen, netwerkbelasting in kaart te brengen en gebruikers te verbinden met het optimale WiFi-punt. Voor de beveiliging maakt de router gebruik van WPA3 encryptie en TP-Link HomeShield, waarmee onder meer ouderlijk toezicht kan worden ingesteld.

Beschikbaarheid en prijzen

De TP-Link Deco BE25 Outdoor is direct beschikbaar voor een adviesprijs van 149 euro.