ข้อมูลไหลเข้าและออกจากอุปกรณ์ผ่านสิ่งที่เราเรียกว่าพอร์ต ไฟร์วอลล์คือสิ่งที่ควบคุมว่าอะไร - และที่สําคัญกว่านั้นไม่ได้อนุญาตให้ผ่านพอร์ตเหล่านั้นได้ คุณสามารถคิดว่ามันเป็นเหมือนยามรักษาความปลอดภัยยืนอยู่ที่ประตูตรวจสอบ ID ของทุกสิ่งที่พยายามเข้าหรือออก
สําหรับคอมพิวเตอร์ทั่วไปหรือเครือข่ายในบ้าน ไฟร์วอลล์ควรอนุญาตการรับส่งข้อมูลขาเข้าเพียงเล็กน้อย ถ้ามี มีเหตุผลที่ถูกต้องตามกฎหมายสําหรับอุปกรณ์อื่นๆ ที่จําเป็นต้องเชื่อมต่อกับอุปกรณ์ของคุณหรือเครือข่ายในบ้านโดยไม่ได้รับอนุญาต
มีไฟร์วอลล์ชนิดใดอยู่บ้าง
ไฟร์วอลล์สามารถเป็นได้ทั้งซอฟต์แวร์หรือฮาร์ดแวร์ และดูเหมือนว่าคุณจะได้รับการป้องกันจากทั้งสองอย่าง
เราเตอร์ (บางครั้งเรียกว่า "โมเด็ม") ที่นําอินเทอร์เน็ตจากผู้ให้บริการอินเทอร์เน็ตมายังบ้านหรือที่ทํางานของคุณมักจะเป็นไฟร์วอลล์ฮาร์ดแวร์ และคอมพิวเตอร์ของคุณ ไม่ว่าจะใช้งาน Windows หรือ macOS อยู่ โดยส่วนใหญ่แล้วจะมีไฟร์วอลล์ของซอฟต์แวร์ทํางานอยู่
เรียนรู้เพิ่มเติม
ไฟร์วอลล์และการปกป้องเครือข่ายใน ความปลอดภัยของ Windows
ขั้นสูง: หลักปฏิบัติที่ดีที่สุดสําหรับการกําหนดค่าไฟร์วอลล์Windows Defender
ความช่วยเหลือและการเรียนรู้เกี่ยวกับ Microsoft security
ต้องการความช่วยเหลือเพิ่มเติมหรือไม่
ต้องการตัวเลือกเพิ่มเติมหรือไม่
สํารวจสิทธิประโยชน์ของการสมัครใช้งาน เรียกดูหลักสูตรการฝึกอบรม เรียนรู้วิธีการรักษาความปลอดภัยอุปกรณ์ของคุณ และอื่นๆ
ชุมชนช่วยให้คุณถามและตอบคําถาม ให้คําติชม และรับฟังจากผู้เชี่ยวชาญที่มีความรู้มากมาย
วันนี้ผมจะมาแชร์ประสบการณ์การ setup เราเตอร์ใหม่ด้วย OPNsense ที่ผมเอามาใช้งานกับ network ที่บ้านครับ ซึ่งอาจจะฟังดูเหมือนเป็นเรื่องซับซ้อน แต่ก็ไม่ได้ยากเกินไป สำหรับคนที่มีความรู้พื้นฐานเกี่ยวกับการประกอบคอมพิวเตอร์แล้วก็การตั้งค่าอุปกรณ์เน็ตเวิร์กในบ้านมาก็สามารถทำเองได้ แล้วก็จะได้ประโยชน์หลายอย่างเพิ่มขึ้นมาอีกด้วย
ทำไมต้อง setup เราเตอร์แบบ DIY ด้วย
สำหรับทุกคนคงจะเคยมีปัญหากับการใช้งานเราเตอร์ที่ได้มาจาก ISP หรือเราเตอร์ทั่วไปกันบ้าง pain point สำคัญของผมเลยก็คือการที่มันขาดฟีเจอร์บางอย่างที่เราต้องการใช้ไป เช่นการตั้ง VPN Server สำหรับเชื่อมเข้า network ภายในบ้านจากข้างนอก หรือการที่มันแทบจะไม่ได้มีการอัพเดทเฟิร์มแวร์ใหม่เพื่ออุดช่องโหว่ความปลอดภัยเลย ซึ่งเป็นเรื่องสำคัญในยุคนี้ที่ช่องโหว่สามารถถูกเอามาใช้โจมตีได้เราได้ตลอดเวลาผ่านเหล่า botnet, port scan attack, malware เรียกค่าไถ่ต่างๆ ที่กวาดหาทุกคนที่เชื่อมต่อกับอินเทอร์เน็ต ใคร ๆ ก็เป็นเป้าหมายได้หมด ยิ่งในหลังยุคโควิดที่ทุกคนทำ work from home ต้องเอาคอมกลับมาทำงานที่บ้าน network ภายในบ้านก็ยิ่งกลายเป็นเป้าหมายที่มีข้อมูลสำคัญมากขึ้น
ในเคสของผม ผมพบว่าเราเตอร์ที่ผมใช้อยู่เดิมไม่ได้มีการอัพเดทเฟิร์มแวร์มาตั้งแต่ปี 2020 แล้ว นี่คือปัญหาสำคัญของเราเตอร์ระดับที่ขายผู้ใช้งานตามบ้าน คือหลังใช้งานได้ไม่กี่ปีก็จะไม่ได้รับการอัพเดทเฟิร์มแวร์ต่อแล้ว ทำให้มีความเสี่ยงในเรื่องของความปลอดภัยมาก ๆ
ตัวอย่างข่าวการโจมตีเราเตอร์ของผู้ใช้ตามบ้านด้วย malware
//www.malwarebytes.com/blog/news/2022/06/zuorat-is-a-sophisticated-malware-that-mainly-targets-soho-routers
เรา setup เราเตอร์เองได้ด้วยเหรอ
ก่อนอื่นต้องเข้าใจความหมายของเราเตอร์ในที่นี้จะทำหน้าที่ routing อย่างเดียวจริง ๆ นะครับ ไม่เหมือนกับ all-in-one router ที่เราใช้กันอยู่ตามบ้านที่รวม router, switch แล้ว wireless access point เข้าไว้ด้วยกัน เพราะงั้นเราจะต้องมีอุปกรณ์ที่แยกทำงานตามหน้าที่มันอีก 2 ตัวคือ switch และ access point
รู้มั้ยครับว่าจริง ๆ แล้วเราเตอร์ที่เราใช้กันอยู่มันก็คือคอมพิวเตอร์เครื่องนึงนี่เอง ที่ข้างในก็มี CPU, RAM, Storage Drive, Mainboard แค่ลง software ที่ทำงาน routing ลงไป ข้อดีของการ setup เราเตอร์แบบ DIY ก็คือคุณจะได้ hardware ที่มีประสิทธิภาพสูงตามสเปคที่เราเป็นคนเลือกเอง เราสามารถจะอัพเกรดหรือซ่อมเองได้ง่ายกว่ามากเมื่อเทียบกับเราเตอร์แบรนด์ที่ประกอบมาเรียบร้อย
แล้วก็สำหรับผมในฐานะที่ทำงานเป็น developer ประโยชน์อีกอย่างคือการที่เราจะได้ความรู้เพิ่มขึ้นมาเยอะเลยครับ ในเรื่องของความรู้เกี่ยวกับอุปกรณ์ hardware network หรือความรู้เกี่ยวกับการตั้งค่า network ต่าง ๆ ที่จะทำได้มากกว่าบนเราเตอร์ทั่วไป ทำให้เราได้เรียนรู้ concept network พื้นฐานและเชิงลึกที่จะมีประโยชน์กับคนที่ทำงานสายเทคแน่นอน
OPNsense คืออะไร
OPNsense เป็นซอฟต์แวร์ firewall ที่มีความสามารถในการทำ routing ได้ด้วย โดยที่เป็นซอฟต์แวร์ open sourceใช้งานได้ฟรีไม่เสียเงิน จุดเด่นของมันคือการที่มีฟีเจอร์ระดับ enterprise grade เยอะมาก สามารถติดตั้ง plugin เพื่อเพิ่มความสามารถได้หลากหลาย นอกจากนี้ยังมีการ maintain อย่างสม่ำเสมอจากผู้พัฒนา มีการอัพเดทใหญ่สองครั้งต่อไป อัพเดทย่อยสองครั้งต่อเดือน เพราะงั้นไม่ต้องกลัวเรื่องซอฟต์แวร์ถูกลอยแพแน่นอน อันนี้คือจุดที่ตอบโจทย์กับสิ่งที่ผมต้องการ
ตัวโปรเจค OPNsense นั้น fork มาจาก pfSense ที่หลายคนอาจจะเคยได้ยิน ซึ่งก็ไม่ได้ถือว่ามีความต่างกันมากนัก ผมเลือกใช้ OPNsense แค่เพราะว่ามี GUI ที่ดูใช้งานง่ายกว่า โดยทั้งสองตัวมีพื้นฐานอยู่บนระบบปฏิบัติการ FreeBSD ก็เป็นข้อดีที่จะได้ลองใช้ OS อีกตัวที่ไม่เคยใช้มาก่อนด้วยครับ
Web GUI ของ OPNSense
ตัวอย่างฟีเจอร์สำคัญของ OPNsense
- Firewall แน่นอนว่าเป็นความสามารถหลักอยู่แล้ว สำหรับคนที่มีการเปิด port เพื่อใช้งาน service บางอย่างจากนอกบ้าน ไม่ว่าจะเป็น VPN, Plex server หรือกล้องวงจรปิด เราสามารถจะตั้ง firewall rule ได้แบบหลากหลายยืดหยุ่นตามความต้องการของเรา ดังกับการตั้ง firewall ของ network องค์กร เราจะ allow เฉพาะ IP range ไหนในการ access เข้ามา หรือจะทำ GeoIP blocking กันไม่ให้ IP จากประเทศไหนบางประเทศยิงเข้ามาก็ทำได้
- VPN Server รองรับทั้ง OpenVPN และ Wireguard สำหรับตั้ง VPN Server เพื่อเข้ามายัง network บ้านจากข้างนอกอย่างปลอดภัย
- Traffic shaping เราสามารทำ QoS เพื่อจำกัด bandwidth สำหรับอุปกรณ์แต่ละตัว หรือจะใช้ในการทำ queue management เพื่อป้องกัน bufferbloat (ปัญหาเวลาดาวน์โหลดไฟล์ใหญ่ ๆ แล้วทำให้เกิดอาการ lag เวลาเล่มเกมหรือค่า ping สูงขึ้น)
- VLAN สำหรับใครที่อยากจะแยกอุปกรณ์ IoT หรือกล้องวงจรปิดออกไปเป็นเน็ตเวิร์คเสมือนแยกต่างหากเพื่อความปลอดภัย แต่เราต้องมีตัวอุปกรณ์ managed switch ด้วยนะครับถึงจะทำได้
- Dynamic DNS มีตัว plugin ที่จะต่อกับบริการ ddns ของหลายเจ้า
- Recursive DNS server ด้วย Unbound สำหรับเพิ่มความเป็นส่วนตัวด้วยการ query domain name โดยไม่ผ่าน DNS service ทั่วไปอย่าง ISP หรือ Google
- DNS Adblocking เพื่อบล็อกโฆษณาสำหรับอุปกรณ์ทั้งหมดในบ้าน ด้วย Adguard Home
Concept ของการติดตั้ง network บ้านแบบ prosumer
จากในรูปนี้ เราจะ set ตัวเราเตอร์ของ ISP เป็น bridge mode (วิธีการจะแตกต่างไปตามแต่เราเตอร์ของแต่ละค่าย สามารถเสิร์ชหาวิธีได้จากบทความในเน็ต รวมถึงโทรติดต่อ callcenter ของ ISP ได้ครับ) แล้วเอาคอมที่ลง OPNsense มาใช้งานเป็น router แทน และเราจะต้องมีตัว network switch เพื่อต่อกับตัวเราเตอร์ สำหรับกระจาย LAN port ที่จะออกไปยัง client ต่างๆ และ access point สำหรับ WiFi
ข้อดีของการที่มีอุปกรณ์ทำงานแยกหน้าที่ไปแบบนี้ คือเมื่อแต่ละอย่างทำหน้าที่ของมันอย่างเดียวโดยหลักการก็จะทำงานได้มีประสิทธิภาพดีกว่า และมันทำให้เราสามารถอัพเกรดแต่ละส่วนแยกกันได้ ถ้ามีส่วนใดเสียก็เปลี่ยนแค่อุปกรณ์ตรงส่วนนั้น ตัวอย่างเช่นถ้าคุณใช้เราเตอร์แบบ all-in-one แล้วอยากอัพเกรดไปเป็น WiFi 6 คุณก็ต้องเปลี่ยนใหม่ทั้งตัวเครื่องแล้วตั้งค่าเราเตอร์ใหม่หมดเลย ในขณะที่ใน setup แบบแยกกัน คุณก็เปลี่ยนแค่ตัว access point อย่างเดียว
สิ่งที่ต้องเตรียม
เครื่องคอมพิวเตอร์ที่เราจะเอามาทำเป็นเราเตอร์
OPNsense สามารถลงกับคอมพิวเตอร์ x86 ทั่วไปได้ (FreeBSD ยังไม่รองรับ ARM นะครับ เลยยังใช้ Raspberry Pi ไม่ได้) เพราะงั้นถ้ามีคอมเก่าไม่ได้ใช้งานอยู่ที่บ้านก็สามารถเอามาใช้ได้ครับ แต่แค่ว่าคุณจะต้องซื้อ network card ที่มี 2 port มาติดตั้งด้วย เพราะคอมที่เอามาทำเป็นเราเตอร์จะต้องมี port หนึ่งต่อกับ WAN และอีก port สำหรับ LAN ข้อดีของการเอาคอมเก่ามาใช้ก็คือแทบจะไม่ต้องมีค่าใช้จ่ายเพิ่มเลย แต่ข้อเสียก็อาจเป็นเรื่องที่การรันคอมพิวเตอร์ desktop ทั่วไปแบบ 24/7 จะกินไฟค่อนข้างเยอะเมื่อเทียบกับเราเตอร์ที่เราใช้กันอยู่ แล้วก็มีขนาดที่ใหญ่เทอะทะหน่อย
จุดสำคัญของการเลือก hardware ตัว network interface card (NIC) แนะนำให้ใช้ของ Intel ครับ เพราะผู้ใช้ส่วนใหญ่เจอปัญหาเมื่อใช้งาน OPNsense กับ NIC ของ Realtek
ตัวอย่าง NIC แบบ dual port
ในบทความนี้ผมใช้วิธีการ setup OPNsense บนคอมพิวเตอร์แบบ small form factor (mini PC) ซึ่งสามารถสั่งซื้อได้จาก AliExpress ในราคาไม่แพงครับ ซึ่งข้อดีคือมันมีขนาดที่เล็ก ไม่มีพัดลม ใช้การระบายความร้อนแบบ passive cooling ด้วยตัวเคสที่เป็น heatsink ขนาดใหญ่ที่อยู่ติดกับตัว CPU แล้วก็ระบายความร้อนออกมาทางด้านบนเลย จึงทำงานได้แบบเงียบสนิท
ตัวอุปกรณ์ fanless router มีให้เลือกหลากหลายรุ่นบน Aliexpress
ผมสั่งตัว mini PC ตามในรูปมา เป็นรุ่นที่ใช้ CPU Intel Celeron N5105 รุ่นใหม่ซึ่งกินไฟต่ำ มี network interface มา 4 port เรียบร้อย เป็นตัว Intel i225 โดยผมเลือกแบบ no ram, no storage ซึ่งจะถูกที่สุดเพราะคุณต้องหา RAM กับ SSD มาใส่เอง ซึ่งก็น่าจะดีกว่า RAM กับ SSD แบรนด์จีนที่ร้านใส่มาให้ ใครที่สนใจสามารถเข้าไปดูได้ใน AliExpress โดยใช้ keyword ว่า fanless soft router หรือ opnsense router ได้เลย แนะนำให้ดูรุ่นที่มีคนรีวิวเยอะๆครับ แบรนด์ที่จะเห็นมีคนนำมารีวิวกันก็จะเป็น Topton กับ Kingnovy
จำนวนของ ethernet port บนตัวอุปกรณ์นั้นจะมีให้เลือกหลากหลาย แต่ขอแนะนำว่าในการใช้งานจริง เราควรจะใช้แค่ 2 port ก็พอครับ สำหรับ WAN และ LAN เราไม่ควรเอาตัว OPNSense มาใช้เป็นทำ LAN bridge หรือทำตัวเป็น switch ต่อกับ LAN หลาย port เนื่องจากมันจะเป็นการทำ switching ที่ระดับ software ซึ่งไปกิน load ของ CPU โดยไม่จำเป็น และทำงานสู้อุปกรณ์ที่เป็น dedicated switch ไม่ได้ เพราะมันจะสามารถทำ switching ได้ที่ระดับ hardware เลย
USB drive
เราต้องมี USB drive เพื่อนำมาทำเป็น bootable drive สำหรับการลง OPNSense (คล้ายๆกับการทำ bootable drive เพื่อลง Windows ครับ)
จอ monitor กับคีย์บอร์ด
เราต้องมีจอกับคีย์บอร์ดสำหรับต่อกับคอมที่เราจะลง OPNSense ในตอนติดตั้ง
ประกอบคอมพิวเตอร์
หลังจากรออยู่ประมาณเก้าวัน ตัว mini PC ที่ผมสั่งก็ส่งจากเสิ่นเจิ้นมาถึงไทย ใช้เวลาเร็วกว่าที่คิด ในกล่องก็จะมีตัวคอม แล้วก็สายไฟกับ adapter แล้วก็มีสายต่อ SSD แบบ SATA มาให้ด้วย แต่คนส่วนใหญ่ก็คงไม่ได้ใช้ เพราะติด SSD แบบ NVMe จะดีกว่า
เปิดฝาออกมาดูด้านในของตัว barbone unit
เมื่อเปิดออกมาข้างในก็จะยังไม่มี RAM กับ SSD ตรงที่เป็น slot ว่างอยู่ ผมนำ DDR4 SODIMM RAM กับ NVMe SSD มาใส่เอง โดยเลือกซื้อให้ตรงกับสเปคที่ support สามารถดูได้จากรายละเอียดในหน้าของ Aliexpress ได้ครับ
ตัวที่ผมใช้คือ SSD 250GB SAMSUNG 980 (M.2 NVMe) กับ Kingston DDR4 2666Mhz SODIMM (แรมแบบเดียวกับที่ใส่โน๊ตบุ๊ก) 8GB
หลังจากติดตั้ง SSD กับ RAM แล้ว
ติดตั้ง OPNSense
ขั้นตอนการติดตั้งโดยละเอียดสามารถอ่านได้จาก
สรุปขั้นตอนหลัก ๆ ก็จะมีดังนี้
- เข้าไปดาวน์โหลดตัว image มาจากเว็บของ OPNsense เลือก architecture amd64 และ image type เป็น vga
2. เขียนตัว image ลงบน USB Drive โดยสำหรับคนที่ใช้ Windows เราสามารถใช้โปรแกรมสำหรับ write image อย่าง Rufus หรือ Etcher ได้ครับ
3. เอาคอมที่จะติดตั้ง OPNsense ต่อกับจอ monitor แล้วก็คีย์บอร์ด เสียบ USB drive เข้ากับคอม แล้วทำการ boot คอมขึ้นมา เข้าไปที่หน้า bios แล้วเลือกให้บูทจากตัว USB drive
4. เมื่อทำการบูทจาก USB drive ขึ้นมาแล้ว เราจะเริ่มการ install ด้วยการ login ด้วย user ชื่อ installer กับ password คือ opnsense แล้วจึงทำการติดตั้ง ตั้ง interface ของ WAN และ LAN ตาม port ที่เราต้องการ แนะนำให้เลือก file system เป็น ZFS แล้วก็ตั้ง password ใหม่สำหรับ root user ด้วยครับ
5. หลังจากติดตั้งเสร็จเรียบร้อยแล้ว ก็ถอดจอกับคีย์บอร์ดแล้วก็ USB drive ออกได้ เพราะไม่จำเป็นต้องใช้แล้ว ให้ต่อสายแลนจากคอมของเราเข้ากับ port ที่เราตั้งเป็น LAN ของ OPNsense แล้วจึงเข้าหน้า Web GUI ของ OPNSense ผ่าน browser ที่ IP 192.168.1.1
6. เข้าไปตั้งค่าตามแต่เราต้องการครับ เช่น PPPoE สำหรับต่อ bridge mode, DHCP IP range, static IP เมื่อเรียบร้อยก็เอาช่อง WAN ต่อกับเราเตอร์ ISP ที่ตั้ง bridge mode ไว้แล้ว แล้วก็เอาช่อง LAN ต่อกับตัว switch ของเรา
หลังจาก setup เรียบร้อย ต่อกับ switch และ router ของ ISP แบบ bridge mode
เท่านี้เราก็จะมี firewall และเราเตอร์ใช้งานเอง แบบที่ทำได้ทุกอย่าง แทบจะพูดได้ว่าถ้าอะไรที่ทำบน OPNSense ไม่ได้ ระบบอื่นก็ทำไม่ได้
ข้อควรระวังและการปรับจูน
โดยค่าเริ่มต้นของ OPNsense นั้นก็จะทำงานได้ดีอยู่แล้ว แต่จะมี 2 เรื่องที่เราควรจะปรับจูนเพิ่มเพื่อให้มันทำงานได้ดีที่สุด
monitor อุณหภูมิของ CPU ผ่าน dashboard
อย่างแรกคือเราควรเช็คเรื่องอุณหภูมิของ CPU ด้วย เพราะตัว mini PC จาก Aliexpress นี้ มีคนที่สั่งไปบางคนเจอว่าอุณหภูมิ CPU ขึ้นสูง (idle ที่ 85 C ขึ้นไปถึง 100 C เมื่อมีการทำงานหนัก) จนเกิดการ throttle ซึ่งเป็นเพราะตัว heatsink ถูกติดตั้งไม่ดี มีช่องว่างระหว่างตัว heatsink กับ CPU แก้ไขได้ด้วยการแกะออกมาทำการเหลาตัวส่วนของ block ทองเหลืองที่ทำให้เกิดช่องว่างออกแล้วใส่ thermal paste เข้าไปใหม่ อ่านเพิ่มได้จากลิงค์นี้ครับ
Set thermal sensor ให้โชว์อุณหภูมิจาก sensor ที่ตัว CPU
สำหรับตัว unit ที่ผมสั่งมา อุณหภูมิที่ได้ในตอนแรกอยู่ที่ 67 C ซึ่งก็ถือว่าร้อนไปหน่อย แต่ก็ยังไม่ได้สูงถึงขนาดน่าจะเกิดจากช่องว่างของ heatsink หลังจากไปอ่านตาม forum ก็พบค่าปรับจูนที่ควรใช้ตามข้างล่างนี้ครับ
dev.hwpstate_intel.0.epp Intel Speedshift Efficiency runtime 100 dev.hwpstate_intel.1.epp Intel Speedshift Efficiency runtime 100 dev.hwpstate_intel.2.epp Intel Speedshift Efficiency runtime 100 dev.hwpstate_intel.3.epp Intel Speedshift Efficiency runtime 100 dev.igc.0.fc Flow Control on Interface runtime 0 dev.igc.1.fc Flow Control on Interface runtime 0 dev.igc.2.fc Flow Control on Interface runtime 0 dev.igc.3.fc Flow Control on Interface runtime 0 hint.hwpstate_intel.0.disabled disable speed shift unsupported 0 hw.acpi.cpu.cx_lowest C-States runtime C1 machdep.hwpstate_pkg_ctrl Intel Pstate boot-time 0
ให้เอาไปใส่ใน System> Settings> Tunables หลังจากที่ใส่ไปแล้วรีบูท ตอนนี้อุณหภูมิ CPU ของผมก็จะอยู่ประมาณ 46–50 C ถือว่าปกติแล้ว
ส่วนอีกเรื่องคือการจูนเพื่อให้ได้ performance ที่ดี เรื่องนึงที่ต้องเตือนไว้คือ ISP บ้านเราจะใช้ PPPoE เป็นหลัก ซึ่งจะมีผลกับ performance ของ OPNsense ได้ถ้าเราใช้คอมที่มี CPU clock speed ไม่สูง เพราะข้อจำกัดของ FreeBSD ที่การจัดการ protocol ของ PPPoE จะทำได้ด้วย CPU core เดียวเท่านั้น แต่จากที่ผมลองกับตัว N5105 ที่สั่งมาก็ไม่เจอปัญหาอะไรครับ สามารถรัน internet speed test ได้เต็ม bandwidth 1Gbps เนื่องจากเป็น CPU ที่แรงพอ
ถ้าพบว่ารัน speed test ไม่ได้เต็ม bandwidth แนะนำให้ลองปิด setting ที่ใช้ป้องกัน Spectre กับ Meltdown ซึ่งมีผลทำให้ CPU ช้าลงครับ ถ้าเรารันตัว OPNsense บนคอมที่ไม่ได้รันอย่างอื่นด้วยก็แทบไม่มีโอกาสที่จะเจอความเสี่ยงจากช่องโหว่สองตัวนี้
hw.ibrs_disable Disable Indirect Branch Restricted Speculation (Spectre V2 mitigation) 1 vm.pmap.pti Page Table Isolation (Meltdown mitigation, requires reboot.) 0
รายละเอียดอ่านเพิ่มเติมได้จาก : //docs.opnsense.org/troubleshooting/hardening.html
สรุป
หลังจากที่ผมทำการปรับจูนจนลงตัวแล้ว ตอนนี้ก็ใช้งาน OPNsense เป็นเราเตอร์มาได้เกือบสองเดือน ถือว่าใช้งานได้ดีไม่มีปัญหาครับ ได้ลองฟีเจอร์ใหม่เพิ่มเรื่อย ๆ เช่น GeoIP blocklist, OpenVPN, CrowdSec plugin
การทำเราเตอร์ DIY นี้เหมาะกับคนที่มีความต้องการใช้งานฟีเจอร์มากกว่าที่เราเตอร์ธรรมดาจะทำได้ มีความรู้หรืออยากเรียนรู้เกี่ยวกับ network หลายจุดเราต้องเสิร์ชหาข้อมูลวิธีการตั้งค่าเอง สามารถหาทางแก้ปัญหาเองได้ ถ้าใครที่อยากได้เราเตอร์ที่พร้อมใช้งานได้เลยหรือสามารถตั้งค่าได้ง่าย ๆ ก็คงจะไม่เหมาะเท่าไหร่ครับ แต่สำหรับคนที่พร้อม เมื่อเรากล้าที่จะลองทำแล้วมันก็เปิดความเป็นไปได้ขึ้นมามากมายจริง ๆ
Useful Links
Official document ของ OPNsense: //docs.opnsense.org/intro.html
รีวิวตัว Fanless N5105 mini PC: //www.servethehome.com/two-fanless-intel-celeron-n5105-4x-2-5gbe-options-reviewed/