メインコンテンツまでスキップ

pfSense ネットワークゲートウェイ

この記事では、pfSense を使用した高可用性(HA)ネットワークゲートウェイの構築方法を紹介します。この FreeBSD ベースのオープンソースソフトウェアは、安定した信頼性の高いネットワーク環境を実現するのに役立ちます。

pfSense とは?

pfSenseFreeBSD をベースにしたオープンソースのルーター/ファイアウォールソフトウェアで、ルーターファイアウォールVPNプロキシなどさまざまなネットワーク機能を実装できます。 ExpressRoute / Site-to-Site VPN を構築する際の仮想ネットワークゲートウェイの設定も公式ドキュメントに記載されており、多くの企業環境に対して安全で適切な選択肢です。

ファイルの準備

ステップ 1: pfSense ISO ファイルのダウンロード

pfSense の公式サイトにアクセスします: https://www.pfsense.org/download/ 最新の ISO イメージをダウンロードします。

ステップ 2: FPT Cloud Console へのログイン

https://console.fptcloud.jp/ にアクセスし、提供された認証情報でログインします。

ステップ 3: ISO ファイルのアップロード

ダウンロードした pfSense ISO ファイルを選択し、ポータルにアップロードします。アップロードが完了すると確認メッセージが表示されます。

Alt text Alt text Alt text Alt text Alt text

ネットワーク環境の準備

ステップ 1: 新しいサブネットの作成

FPT Cloud Console で、ネットワーク要件に応じた新しいサブネットを作成します。これにより、pfSense のネットワークインターフェースに必要な IP アドレスを割り当てることができます。

Alt text Alt text

ステップ 2: セキュリティグループの作成

環境のセキュリティルールを定義し、pfSense 仮想マシン間の通信とネットワークトラフィックを制御するための適切なセキュリティグループを作成します。

Alt text Alt text

pfSense 仮想マシンの作成

ステップ 1: Compute Engine

FPT Cloud コンソールの Compute メニューに移動し、"Create Instance" をクリックします。

Alt text

ステップ 2: 基本情報の設定

インスタンス名(例: pfsense-master または pfsense-slave)を設定し、ISO image オプションで先ほどアップロードした pfSense ISO を選択します。

Alt text Alt text Alt text

ステップ 3: リソースとネットワーク設定

環境に適した**リソースサイズ(CPU/RAM)**を選択し、必要なネットワークに接続します。

Alt text Alt text

ステップ 4: セキュリティグループのアタッチ

先ほど作成したセキュリティグループをアタッチし、仮想マシンを作成します。

Alt text Alt text

HA(高可用性)要件

高可用性(HA)実装の最低要件:

  • pfSense ネットワークインターフェース上のサブネットごとに最低 3 つの IP
    • マスター用に 1 つ
    • スレーブ用に 1 つ
    • 外部通信用の仮想 IP が 1 つ
  • レイヤー 2 デバイスマルチキャストをサポートする必要があります
  • アップストリーム / ISP / ルーターCARP が使用する仮想 IP にアクセスできる必要があります

pfSense インターフェースの設定

Alt text

新しいネットワーク: カードの追加

  1. Interface メニューから "Assignment" を選択し、"Add" をクリックして新しいインターフェースを追加します。
  2. OPT1 インターフェースをダブルクリックし、必要な情報を入力します。
  3. 設定後、"Save" をクリックし、次に "Apply Changes" をクリックします。

ファイアウォール: ルールの作成

  1. Firewall メニューから "Rules" を選択し、"Sync" タブに切り替えます。
  2. "Add" をクリックして新しいルールを作成し、必要な情報を入力します。
  3. 設定が完了したら、"Save and Apply Changes" をクリックします。
  4. 両方の pfSense サーバーで同じ設定を繰り返します。

CARP(高可用性プロトコル)の設定

マスターでの CARP 設定

  • System メニューから "High Availability Synchronization" を選択し、必要な情報を入力します。
  • リモートシステムのユーザー名とパスワードは、pfSense スレーブ仮想マシン上の高権限ユーザーの認証情報を指定します。

Alt text

スレーブでの CARP 設定

  • 同様に、System メニューから "High Availability Synchronization" を選択し、必要な情報を入力します。
  • 設定はマスターと異なるため、手順に従って適切に設定してください。

Alt text

Dang Tran最終更新