Po co w domu zaawansowany firewall i kiedy ma to sens
Typowe problemy z routerami od operatora
Domowy internet zwykle startuje od pudełka od operatora: prosty router, często z wbudowanym modemem. Do przeglądania stron i Netflixa to wystarcza, ale przy bardziej wymagającym użyciu wychodzą braki. Pierwsze z nich widać już przy Wi‑Fi: słaby zasięg, niestabilne połączenia przy większej liczbie urządzeń, problemy z grami online czy wideokonferencjami.
Drugi obszar to funkcje bezpieczeństwa. Interfejs routera operatora jest najczęściej mocno uproszczony. Konfiguracja reguł firewall, VLANów czy VPN jest ograniczona lub zupełnie niedostępna. Dodatkowo oprogramowanie aktualizuje tylko operator, w swoim tempie. Jeśli pojawia się poważna luka w zabezpieczeniach, właściciel routera nie ma nad tym żadnej kontroli.
Trzeci problem to brak możliwości segmentacji sieci. Wszystkie urządzenia siedzą w jednym LAN: telefony, laptopy, telewizor, kamera IP, odkurzacz Wi‑Fi, drukarka, NAS. Jeśli któryś z tych sprzętów zostanie przejęty – ma otwartą drogę do reszty sieci. Routery ISP rzadko pozwalają na sensowne oddzielenie IoT, gości i komputerów domowników.
Na końcu dochodzi wydajność. Gdy łącze rośnie do 600–1000 Mb/s, włączenie zaawansowanych funkcji (filtracja, kontrola rodzicielska, QoS) potrafi mocno przyciąć realną przepustowość. Pudełko od operatora nie jest projektowane pod intensywne reguły firewall, IDS/IPS czy zaawansowany VPN dla całej rodziny.
Kiedy pfSense, OPNsense lub OpenWrt zaczynają mieć sens
Zaawansowany firewall domowy przydaje się w konkretnych scenariuszach. Najczęstsze powody migracji to:
Praca zdalna – stały tunel VPN do firmy, kilka komputerów, wymagania bezpieczeństwa zbliżone do biura.
Dzieci w domu – kontrola rodzicielska, filtrowanie treści, ograniczanie dostępności gier i YouTube w określonych godzinach.
Sieć IoT – kamery IP, inteligentne gniazdka, bramy, odkurzacze, głośniki; to wszystko powinno siedzieć w osobnej, odizolowanej sieci.
NAS, serwer domowy – dostęp do plików z zewnątrz, zdalny dostęp do usług w domu wymaga rozsądnego port forwarding i VPN.
Gry online – niski ping, stabilne połączenia, traffic shaping i QoS ustawione tak, aby gry miały pierwszeństwo.
W takich sytuacjach pfSense, OPNsense lub router z OpenWrt pozwalają przejąć kontrolę nad ruchem, podzielić sieć na logiczne segmenty i podnieść poziom bezpieczeństwa ponad to, co zapewnia router ISP.
Różnica między prostym routerem a zaawansowanym firewallem
Prosty router od operatora to jedno urządzenie robiące wszystko naraz: modem, router, prosty firewall, Wi‑Fi, czasem VoIP. Przy zaawansowanym podejściu funkcje zwykle się rozdziela: modem od operatora (w trybie bridge), osobny firewall/router (pfSense, OPNsense lub sprzęt z OpenWrt), a do tego osobne punkty dostępowe Wi‑Fi i ewentualnie zarządzalny switch.
Różnica tkwi też w możliwościach samego firewalla. Zaawansowane rozwiązania oferują:
rozbudowane reguły firewall z aliasami, harmonogramami, logowaniem i inspekcją stanów połączeń,
VLANy i segmentację: osobne sieci dla IoT, gości, pracy, gier,
IDS/IPS (Suricata, Snort) analizujące ruch i reagujące na znane ataki,
VPN w wielu wariantach (OpenVPN, WireGuard, IPsec) z granularną kontrolą dostępu,
zaawansowany QoS / traffic shaping / SQM do walki z bufferbloatem i kolejkowaniem ruchu.
Taki firewall pozwala traktować sieć domową podobnie jak małą firmę: ruch jest czytelny, podzielony, monitorowany. Nie każdemu jest to potrzebne, ale w bardziej wymagających domach to przestaje być fanaberią, a zaczyna być rozsądną inwestycją.
Kryteria decyzji: budżet, czas, chęć nauki i oczekiwany poziom bezpieczeństwa
Nie każde rozwiązanie pasuje do każdego użytkownika. Przed wyborem pfSense, OPNsense czy OpenWrt warto jasno określić kilka rzeczy:
Budżet – mini‑PC pod pfSense/OPNsense to koszt wyższy niż tani router z OpenWrt. Dochodzą punkty dostępowe Wi‑Fi i switch.
Czas na naukę – pfSense i OPNsense wymagają więcej nauki, ale odwdzięczają się przejrzystością logiki działania. OpenWrt na początku bywa bardziej „surowy”.
Gotowość do grzebania – wgrywanie OpenWrt w router, zabawa w tryb bridge na modemie, konfiguracja VLANów – to zadania wymagające odrobiny uporu.
Poziom bezpieczeństwa – jeśli chodzi tylko o lepsze Wi‑Fi, może wystarczyć dobry router z wbudowanymi funkcjami. Jeśli ma to być pełnoprawny firewall domowy, pfSense i OPNsense wchodzą na pierwszy plan.
Dobrze jest też określić horyzont czasowy. Jeśli sieć ma obsłużyć rosnące potrzeby (więcej IoT, praca zdalna, NAS, łącze >1 Gb/s), lepiej od razu zaplanować rozwiązanie z zapasem mocy i możliwości.
Architektura domowej sieci z firewallem – minimalna teoria
Podstawowe pojęcia: WAN, LAN, DMZ, NAT i stateful firewall
Przy wyborze i konfiguracji firewalla wystarczy kilka bazowych pojęć. Na początek trzy najważniejsze strefy sieci:
WAN – połączenie z internetem, port wychodzący na świat. Tu wchodzi kabel z modemu operatora.
LAN – sieć lokalna, w której siedzą urządzenia domowe: komputery, telewizory, NAS, IoT.
DMZ – strefa pośrednia, zwykle dla urządzeń dostępnych z internetu (np. serwer www, serwer gier). W domu rzadziej używana, ale przy NAS wystawionym na świat bywa sensowna.
Do tego dochodzą dwa ważne mechanizmy:
NAT (Network Address Translation) – zamienia adresy prywatne w LAN na publiczny adres WAN. Dzięki temu wiele urządzeń może korzystać z jednego adresu IP.
Stateful firewall – firewall monitorujący stan połączenia. Reguły decydują nie tylko o tym, czy pozwolić na pakiet, ale też czy dane połączenie zostało zainicjowane z zaufanej strony.
Na poziomie domowym wystarcza świadomość, że firewall decyduje, który ruch może przejść między WAN, LAN i ewentualnym DMZ, oraz że NAT „chowa” naszą sieć lokalną za jednym publicznym IP.
Gdzie wpiąć nowy firewall: za routerem operatora, bridge czy pełne zastąpienie
Nowy firewall domowy można wpiąć w różny sposób. Opcje są trzy:
Firewall za routerem operatora – najprościej: router od ISP zostaje, a pfSense/OPNsense/OpenWrt staje za nim. Modem robi NAT, firewall robi kolejny NAT (tzw. double NAT). Działa, ale komplikuje port forwarding i VPN.
Tryb bridge na modemie – router operatora działa tylko jako modem (bridge), a pfSense/OPNsense/OpenWrt przejmuje funkcję routera i firewalla. To najczystsze rozwiązanie, jeśli operator na to pozwala.
Pełne zastąpienie sprzętu operatora – możliwe przy niektórych dostawcach (np. światłowód z ONT na Ethernet). Wtedy pfSense/OPNsense/OpenWrt wchodzi bezpośrednio w rolę routera.
W praktyce warto dążyć do drugiego lub trzeciego scenariusza. Double NAT jest do zaakceptowania, gdy zależy głównie na segmentacji wewnątrz domu, a nie na zaawansowanych usługach dostępnych z zewnątrz.
Rola switcha i punktów dostępowych Wi‑Fi przy pfSense i OPNsense
Typowa instalacja pfSense lub OPNsense na mini‑PC nie ma Wi‑Fi. To celowe: firewall ma skupić się na routingu i bezpieczeństwie, a warstwę radiową realizują osobne urządzenia. W praktyce oznacza to:
mini‑PC / appliance z minimum dwoma portami Ethernet (WAN i LAN),
zarządzalny switch (gdy planowane są VLANy),
jeden lub więcej punktów dostępowych Wi‑Fi (UniFi, TP‑Link Omada, Aruba Instant On i inne).
Firewall podłącza się jednym portem do modemu (WAN), a drugim do switcha (LAN). Punkty dostępowe Wi‑Fi oraz urządzenia przewodowe wpina się do switcha. Dzięki VLANom można tworzyć osobne SSID (sieci Wi‑Fi) podpięte pod różne sieci logiczne (np. IoT, goście).
W przypadku OpenWrt sytuacja jest inna: zwykle instaluje się go na routerze Wi‑Fi, który łączy w sobie funkcje switcha, routera i punktu dostępowego. To prostsze sprzętowo, ale ograniczone fizycznie przez liczbę portów i zasięg Wi‑Fi.
Przykładowe schematy sieci domowej
Najprostszy układ to jedna sieć LAN i jeden SSID. Wtedy firewall ma tylko dwie strefy: WAN i LAN. Wszystkie urządzenia siedzą w jednym segmencie i widzą się wzajemnie. Taki układ wciąż zyskuje na pfSense/OPNsense/OpenWrt dzięki lepszemu firewallowi i VPN, ale nie chroni przed „wewnętrznymi” zagrożeniami w sieci.
Przy bardziej wymagającym scenariuszu użytkownicy dzielą sieć na segmenty:
LAN główny – komputery, laptopy, NAS, drukarki, sprzęt „zaufany”.
IoT – wszystko, co ma aplikację w telefonie i łączy się z chmurą producenta.
Goście – osobny SSID, oddzielona sieć bez dostępu do zasobów domowych.
Praca – czasem osobny VLAN z wyższym priorytetem QoS.
W pfSense i OPNsense każdy z tych segmentów to osobny interfejs lub VLAN, z własnymi regułami firewall. W OpenWrt osiąga się to poprzez konfigurację VLANów na switchu routera i osobne interfejsy logiczne, powiązane z różnymi SSID w LuCI.
Źródło: Pexels | Autor: Pixabay
pfSense, OPNsense i OpenWrt – charakterystyka i filozofia
pfSense – dojrzały klasyk z ogromem funkcji
pfSense to jedna z najpopularniejszych dystrybucji firewalli opartych na FreeBSD. Obecny na rynku od lat, używany zarówno w domach, jak i małych firmach, znany z dużej stabilności i bogatego zestawu funkcji. Wersja Community Edition jest darmowa, a dla biznesu istnieje dodatkowo pfSense Plus z dodatkowymi opcjami i wsparciem komercyjnym.
Największa siła pfSense to ekosystem i ilość rozwiązań „sprawdzonych w boju”. Na pokładzie są:
rozbudowany firewall z aliasami i harmonogramami,
obsługa wielu typów VPN (OpenVPN, IPsec, WireGuard – w nowszych wersjach),
mechanizmy HA i multi‑WAN,
pakiety takie jak Snort, Suricata, pfBlockerNG (filtrowanie reklam, geo‑blokada, listy blokad).
Rozwój pfSense jest stosunkowo konserwatywny: nacisk na stabilność i kompatybilność. Aktualizacje są regularne, ale nie tak częste jak w OPNsense. Dla domowego użytkownika to zwykle plus: mniej rewolucji, mniej „niespodzianek” po aktualizacji.
OPNsense – fork pfSense z naciskiem na UI i bezpieczeństwo
OPNsense powstał jako fork pfSense, kiedy część społeczności chciała bardziej otwartego, przejrzystego pod względem licencji i dynamiczniej rozwijanego projektu. Również bazuje na FreeBSD, ale ma własne tempo wydań i własne podejście do UI.
Największe różnice względem pfSense z perspektywy użytkownika domowego:
bardziej nowoczesny, spójny interfejs webowy,
częstsze aktualizacje, szybkie łatanie luk,
prostsza instalacja niektórych dodatków (np. IDS/IPS),
silny nacisk na przejrzystość komponentów open source.
OPNsense ma bardzo rozbudowany system pluginów, rozdzielony na logiczne moduły. Wiele funkcji, które w pfSense są w jednym pakiecie, tutaj ma osobne pluginy – dzięki temu system można odchudzić lub rozbudować dokładnie o to, czego potrzeba.
OpenWrt – elastyczny system dla routerów
OpenWrt to dystrybucja Linuksa przeznaczona dla routerów i małych urządzeń sieciowych. Zamiast instalować system na mini‑PC, instaluje się go na routerze Wi‑Fi (TP‑Link, Xiaomi, Linksys, Netgear i wiele innych modeli). Dzięki temu można z taniego urządzenia wycisnąć znacznie więcej niż oferuje fabryczny firmware.
OpenWrt opiera się na systemie pakietów (opkg). Można doinstalować IDS/IPS, różne klienty i serwery VPN, QoS i SQM, serwery DHCP/DNS, narzędzia do monitoringu. Interfejs webowy LuCI zapewnia dostęp do większości funkcji bez konsoli, choć pewne rzeczy wciąż łatwiej zrobić z CLI.
Wymagania sprzętowe i zużycie energii – na czym postawić firewall w domu
pfSense i OPNsense – mini‑PC, appliance czy „złom z szafy”
pfSense i OPNsense potrzebują klasycznego x86 (64‑bit). To może być gotowy appliance, mały komputer mini‑PC albo starszy sprzęt z szafy. Różnica między nimi to w praktyce TDP i kultura pracy, a nie sama wydajność przy domowym użyciu.
Najczęstsze opcje:
Gotowe appliance (np. Qotom, Protectli, Topton) – małe pudełka z 2–6 portami LAN, często pasywne (bez wentylatora). Idealne do szafy w przedpokoju. Pobór mocy zwykle 6–20 W w zależności od obciążenia.
Mini‑PC (Intel NUC, ThinkCentre Tiny, Dell Micro) + zewnętrzny switch – daje więcej CPU i RAM, ale bywa głośniejszy i bardziej prądożerny. Dobre, gdy planowany jest intensywny IDS/IPS lub VPN 1 Gb/s.
Stary PC – najłatwiejszy start, najsłabszy wybór energetycznie. Desktop z zasilaczem ATX potrafi „zjeść” 40–60 W na jałowym biegu. Na testy OK, na stałe raczej nie.
Do zastosowań domowych spokojnie wystarcza:
CPU klasy Intel Celeron / Pentium / niskonapięciowy i3 lub odpowiednik AMD,
4 GB RAM (8 GB, jeśli planowany jest IDS/IPS + wiele VPN),
SSD 16–64 GB (system + logi, bez przesady),
minimum 2 porty LAN 1 Gb/s (WAN + LAN). Dodatkowe porty ułatwiają osobne sieci fizyczne zamiast VLAN.
Przy łączu do 1 Gb/s bez ciężkiego IDS/IPS większość małych appliance poradzi sobie spokojnie. Gdy dochodzi pełny IPS z filtrowaniem ruchu, gigabit VPN i kilka VLANów z intensywnym ruchem, CPU stanie się wąskim gardłem – wtedy lepiej celować w coś mocniejszego (np. i3/i5 niskonapięciowy, AES‑NI do szyfrowania).
OpenWrt – routery z niskim poborem mocy
OpenWrt najlepiej czuje się na routerach MIPS/ARM z kilkoma portami LAN i Wi‑Fi. To sprzęt projektowany do pracy 24/7 z poborem mocy rzędu kilku watów.
Do domowej sieci z kilkunastoma urządzeniami i łączem do ~500 Mb/s wystarcza:
CPU dwurdzeniowy (ARM/MIPS) ok. 700–1000 MHz lub więcej,
256–512 MB RAM,
flash 16 MB+ (lub pamięć eMMC),
gigabitowe porty Ethernet.
Jeśli w planie jest VPN lub SQM/QoS, lepiej od razu brać router z mocniejszym SoC i przynajmniej 512 MB RAM. Wiele modeli z OpenWrt przy włączonym szyfrowaniu VPN osiąga 100–300 Mb/s, rzadko pełny gigabit.
Pobór mocy routera z OpenWrt to często 5–10 W. Dla porównania – mały appliance x86 z pfSense/OPNsense to zwykle 8–20 W. Różnica w rachunku rocznym jest zauważalna, choć nie zawsze decydująca, jeśli firewall ma pełnić też inne role (np. lekkie usługi, monitoring sieci).
Energia a funkcje – gdzie jest realny koszt
Im więcej „magii” wykonuje firewall w locie, tym mocniejszego CPU i tym więcej energii zużyje. Najbardziej obciążają:
IDS/IPS (Suricata/Snort) z dużą liczbą reguł,
VPN z wysokim bitrate (szczególnie IPsec/OpenVPN bez akceleracji sprzętowej),
filtrowanie DNS/HTTP z inspekcją treści,
kilka interfejsów VLAN z intensywnym ruchem (routing + firewall per VLAN).
Jeśli głównym celem jest tylko stabilny NAT, podstawowy firewall i jeden VPN dla pracy zdalnej, da się to zrobić energooszczędnie nawet na małym routerze z OpenWrt. Jeśli w planie jest prawdziwy „kombajn” z IDS/IPS, geo‑blokadą i pełną segmentacją, mini‑PC z pfSense/OPNsense będzie bardziej naturalnym wyborem – kosztem kilku dodatkowych watów.
Źródło: Pexels | Autor: Jaycee300s
Interfejs i wygoda konfiguracji – co jest prostsze w codziennym użyciu
pfSense – dużo możliwości, sporo zakładek
Interfejs pfSense bywa surowy, ale przewidywalny. Struktura menu to logiczne kategorie: Interfaces, Firewall, Services, VPN, System. Po kilku dniach użytkownik automatycznie „wie”, gdzie szukać danego ustawienia.
Typowe zadania w pfSense wykonywane raz i potem raczej rzadko ruszane:
konfiguracja interfejsów WAN/LAN i ewentualnych VLANów,
podstawowe reguły firewall (dostęp LAN→WAN, blokady między VLANami),
ustawienie serwera DHCP i DNS (dnsmasq/Unbound),
prosty port forwarding (NAT) pod gry, serwer domowy, VPN.
Zaletą pfSense jest bardzo rozbudowany system aliasów (grupy adresów, sieci, portów). Raz zdefiniowany alias „NAS” lub „IoT” używa się potem w wielu regułach. To bardzo upraszcza codzienne modyfikacje – zamiast „polować” na IP, edytuje się jeden alias.
OPNsense – bardziej uporządkowane UI i lepsza ergonomia
OPNsense wizualnie jest lżejszy i spójniejszy. Panel boczny podzielony jest podobnie jak w pfSense, ale wiele ustawień ma bardziej opisowe nazwy i lepsze podpowiedzi w GUI. Dla kogoś, kto robi to pierwszy raz, różnica bywa odczuwalna.
Codzienna praca wygląda podobnie: reguły firewall, VLANy, DHCP, VPN. Plusy OPNsense z punktu widzenia wygody:
lepiej opisane formularze (tooltips, opisy opcji),
ładniejszy i czytelniejszy podgląd logów firewall,
wygodny system pluginów z przejrzystą listą – łatwo zobaczyć, co jest zainstalowane i aktywne,
bardziej rozbudowany dashboard z widgetami (użycie CPU, ruch per interfejs, VPN).
Przy częstym grzebaniu w konfiguracji – dodawaniu VLANów, zmianie reguł firewall, zabawie z IDS – OPNsense bywa mniej „męczący” niż pfSense, szczególnie dla osób, które nie siedzą zawodowo w sieciach.
OpenWrt – LuCI dla podstaw, CLI dla zaawansowanych
OpenWrt ma interfejs webowy LuCI. Dobrze ogarnia rzeczy typowo „routerowe” – WAN, LAN, Wi‑Fi, DHCP, DNS, QoS. Segmentacja z VLANami też jest możliwa z poziomu GUI, choć zależy to od konkretnego builda i wersji.
Na starcie da się przez LuCI zrobić:
podstawową konfigurację WAN (DHCP/PPPoE/static),
zmianę hasła i SSID,
kilka sieci Wi‑Fi (w tym goście),
kilka prostych reguł firewall i przekierowań portów,
włączenie SQM/QoS, jeśli jest zainstalowany.
Kiedy wchodzą w grę bardziej złożone tematy (kilka VLANów, osobne mosty, niestandardowy routing, zaawansowany IPS), częściej potrzebna jest konsola i edycja plików w /etc/config. To spora bariera, jeśli domownicy oczekują, że „klikną i będzie działać”.
Przykład z życia: osobny VLAN/SSID dla IoT. W pfSense/OPNsense dodajesz VLAN, interfejs, pulę DHCP, reguły firewall i gotowe. W OpenWrt dochodzi jeszcze konfiguracja switcha (tagowanie portów), przypięcie interfejsu do mostu i spięcie z SSID. Do zrobienia, ale mniej intuicyjne dla kogoś, kto raz w roku zagląda do routera.
Aktualizacje i komfort utrzymania
pfSense aktualizuje się rzadziej. Zwykle wystarczy raz na kilka miesięcy wejść w System → Update, sprawdzić dostępne wersje i kliknąć aktualizację. Konfiguracja przenosi się automatycznie, choć zdrowym nawykiem jest backup configu przed każdym upgradem.
OPNsense wydaje więcej aktualizacji – nie tylko bezpieczeństwa, ale też funkcjonalnych. To plus, jeśli zależy na szybkim łapaniu poprawek, ale wymaga minimalnej dyscypliny: regularny backup i chwila okna serwisowego, żeby w razie czego wrócić do poprzedniej wersji.
OpenWrt ma dwa światy:
aktualizacje pakietów (opkg) – można łatwo zaktualizować np. dnsmasq czy klienta VPN,
aktualizacje samego systemu (images) – tu często wymagany jest reset do ustawień fabrycznych lub ręczna migracja configu.
Jeśli router stoi w trudno dostępnym miejscu i ma działać bezobsługowo przez lata, pfSense/OPNsense na stabilnym sprzęcie bywa mniej kłopotliwy niż kombinacje z różnymi buildami OpenWrt.
Funkcje bezpieczeństwa: firewall, IDS/IPS, aktualizacje, VPN i segmentacja sieci
Firewall i reguły – poziom „kliknij i zapomnij” vs granularna kontrola
pfSense i OPNsense używają pf (packet filter) z FreeBSD. To dojrzały, bardzo elastyczny firewall stanowy. W GUI dostaje się pełną kontrolę nad ruchem:
reguły per interfejs (WAN, LAN, VLANy),
aliasy IP/hostów/portów,
harmonogramy (np. blokada mediów społecznościowych dla dzieci po 22:00),
priorytety i markowanie ruchu (QoS na podstawie reguł firewall).
Domowe scenariusze realizowane kilkoma regułami:
blokada ruchu z sieci IoT do LAN, pozwolenie tylko na internet,
oddzielenie sieci gości od wszystkiego oprócz WAN,
zezwolenie na dostęp do NAS tylko z konkretnego VLANu.
OpenWrt ma firewall oparty głównie na iptables/nftables z nakładką konfiguracyjną. W GUI widać głównie strefy (lan, wan, guest) i reguły między nimi. Do prostego modelu „LAN pełny, goście tylko internet, WAN na zewnątrz” to w zupełności wystarcza. Przy bardziej skomplikowanych wymaganiach nadal da się to poukładać, ale bywa mniej czytelne.
IDS/IPS – Suricata i Snort na x86 vs lekkie dodatki na OpenWrt
IDS/IPS to najcięższy element zestawu. Analizuje ruch pod kątem znanych wzorców ataków, malware, exploitów. W domu ma sens szczególnie przy:
wystawionych usługach (serwer www, VPS, NAS dostępny z internetu),
pracy zdalnej z wrażliwymi danymi,
dużej liczbie urządzeń IoT „z niepewnego źródła”.
pfSense oferuje pakiety Snort lub Suricata. OPNsense stawia głównie na Suricatę, z pluginami integrującymi reguły (np. ET, Abuse.ch). W praktyce wygląda to tak:
instalacja pakietu/pluginu z GUI,
wybór interfejsów do monitorowania (WAN, LAN, IoT),
start od trybu IDS (monitoring), dopiero później przejście na IPS (blokowanie).
Przy domowym łączu 300–600 Mb/s da się to uruchomić na małym appliance, o ile nie włącza się wszystkiego „na pałę”. Lepiej wybrać kilka kluczowych zestawów reguł niż cały Internet w jednym filtrze.
Na OpenWrt też da się postawić Suricatę, ale z ograniczeniami sprzętowymi. Większość routerów nie uciągnie pełnego gigabita z IPS w trybie inline. Częściej używa się tu lżejszych mechanizmów: filtracja DNS, blokowanie list IP w firewallu, narzędzia typu banIP czy adblock.
Aktualizacje bezpieczeństwa i cykl życia systemu
Bez regularnych aktualizacji nawet najlepszy firewall traci sens. Różnice:
pfSense – stabilne wydania, łatki bezpieczeństwa pojawiają się w razie potrzeby, ale projekt nie jest „gorączkowo szybki”. Dla domu zwykle wystarcza aktualizacja co kilka miesięcy + reagowanie na ważne CVE.
OPNsense – częstsze buildy, szybkie reakcje na luki, większy nacisk na świeżość komponentów open source. Dobre dla tych, którzy wolą „częściej, małymi krokami”.
OpenWrt – zależy od gałęzi (stable, snapshot) i konkretnego builda. Stabilne wydania mają wsparcie przez określony czas, ale wiele osób używa customowych obrazów, gdzie polityka aktualizacji zależy od maintainerów.
Praktyczna rutyna dla domowego firewalla x86:
raz na miesiąc zalogować się do GUI,
sprawdzić powiadomienia o aktualizacjach,
zrobić backup konfiguracji,
wykonać update w dogodnym momencie (np. wieczorem, gdy nikt nie pracuje zdalnie).
VPN – zdalny dostęp do domu i tunelowanie ruchu
VPN – różnice między pfSense, OPNsense i OpenWrt w praktyce
pfSense i OPNsense są projektowane z myślą o byciu koncentratorem VPN. OpenWrt potrafi to samo, ale wymaga więcej ręcznej roboty i ma większe ograniczenia sprzętowe.
Typowe zastosowania w domu:
dostęp do NAS, kamer, Home Assistanta z zewnątrz bez wystawiania ich do internetu,
bezpieczne łączenie się do domowego internetu z laptopa/telefonu w hotelu czy kawiarni,
tunel do drugiego mieszkania/biura (site‑to‑site) – jedna spójna sieć.
pfSense – duży wybór protokołów i dobre GUI
pfSense oferuje kilka typów VPN:
OpenVPN – klasyk, dużo poradników, dobra integracja z GUI,
IPsec – pod połączenia site‑to‑site i integracje z routerami firmowymi,
WireGuard (experimental/community) – zwykle dostępny przez dodatki/patche, różnie w zależności od wersji.
Konfiguracja typowego remote‑access OpenVPN dla domu:
wygenerowanie CA i certyfikatów użytkowników (System → Cert. Manager),
włączenie serwera OpenVPN z kreatora (VPN → OpenVPN → Wizards),
utworzenie reguły firewall na interfejsie OpenVPN oraz odpowiedniego NAT,
pobranie gotowego pliku konfiguracyjnego dla klienta.
W praktyce po godzinie da się mieć działający, dobrze zabezpieczony dostęp z laptopa czy telefonu. Najwięcej czasu schodzi na sensowne ograniczenie uprawnień – np. użytkownik „rodzina” widzi tylko LAN i NAS, a użytkownik „admin” całe VLANy.
OPNsense – WireGuard i lepsza ergonomia pracy z VPN
OPNsense stawia mocniej na nowocześniejsze protokoły:
WireGuard – jako plugin, ale z dobrym wsparciem w GUI (interfejsy, peers, routing),
OpenVPN – pełnoprawna obsługa, podobna jak w pfSense,
IPsec – klasyczne scenariusze site‑to‑site i road‑warrior.
Do domowego użycia WireGuard jest bardzo wygodny: prosta konfiguracja kluczy, małe narzuty, dobre aplikacje mobilne. W OPNsense:
instalujesz plugin WireGuard,
tworzysz instancję serwera (tunel) z kluczem prywatnym/publicznym,
definiujesz peers (telefony, laptopy),
zapisujesz QR‑kody z konfiguracją dla aplikacji mobilnej.
Przy kilku użytkownikach i prostym modelu „wszystko z tunelu ma dostęp do LAN” to dosłownie kilkanaście minut pracy. OPNsense ma też całkiem przejrzyste logi dla VPN, co pomaga przy diagnozowaniu nieudanych połączeń.
OpenWrt – więcej klejenia ręcznie, ale działa
Na OpenWrt VPN to zwykle:
WireGuard – najprostszy w konfiguracji, szczególnie z LuCI,
OpenVPN – wymaga więcej klikania/CLI, ale jest dobrze wspierany,
IPsec – raczej dla osób obytej z konsolą, na routerach SOHO rzadziej spotykany.
Typowe kroki w LuCI dla WireGuarda:
instalacja pakietów wireguard-tools i interfejsu LuCI,
utworzenie interfejsu WireGuard, wpisanie kluczy,
dodanie strefy firewall albo przypisanie do istniejącej (np. lan_vpn),
reguły dopuszczające ruch z VPN do konkretnych podsieci.
Na słabszych routerach szyfrowanie potrafi szybko zjeść CPU. Przy łączu 600 Mb/s można się zdziwić, że po VPN dostaje się tylko kilkadziesiąt megabitów. Na x86 z AES‑NI lub ARM z Crypto Extension ten problem praktycznie znika.
Segmentacja sieci – VLANy, osobne SSID i „piaskownica” dla IoT
Bez sensownego podziału sieci firewall nie ma zbyt dużo do roboty. Najprostszy, a bardzo skuteczny model na dziś to:
główna sieć LAN (komputery, telefony),
osobny segment dla IoT (TV, żarówki, głośniki),
zewnętrzni goście (tylko internet, bez wglądu w nic prywatnego).
pfSense/OPNsense – VLANy jako pierwszy wybór
Na pfSense i OPNsense segmentację opiera się na VLANach i/lub dodatkowych interfejsach fizycznych. Praktyczny układ:
VLAN 10 – LAN (192.168.10.0/24),
VLAN 20 – IoT (192.168.20.0/24),
VLAN 30 – goście (192.168.30.0/24).
Kroki na poziomie firewalli x86 są podobne:
tworzysz definicje VLANów na interfejsie LAN (tagi 10/20/30),
przypisujesz je jako nowe interfejsy logiczne (OPT1, OPT2…),
konfigurujesz dla nich adresy IP i serwery DHCP,
piszesz reguły firewall: IoT→LAN blok, IoT→WAN allow, Guest→WAN allow.
Z Wi‑Fi robi się to przez access pointy obsługujące VLANy (np. Ubiquiti, TP‑Link Omada, Mikrotik). Jedno radio może mieć kilka SSID, każde „podniesione” w innym VLANie. Dla użytkownika końcowego to po prostu trzy różne sieci Wi‑Fi.
pfSense i OPNsense pozwalają pójść krok dalej i odseparować nawet konkretne urządzenia w tym samym VLANie (np. izolacja między telewizorami), ale w domu zwykle wystarcza izolacja per podsieć.
OpenWrt – segmentacja zależna od switcha i builda
W OpenWrt wszystko też się opiera na VLANach, tylko więcej rzeczy składa się ręcznie:
konfiguracja switcha (tagged/untagged) w /etc/config/network albo w LuCI,
Jeśli router ma tylko jedno radio Wi‑Fi i brak sprzętowego switcha z VLANami, pole manewru jest mniejsze. Z kolei na porządnym AP + OpenWrt można zbudować model identyczny z pfSense/OPNsense, tylko GUI jest mniej spójne – część rzeczy konfiguruje się w LuCI, część wygodniej w CLI.
Kontrola rodzicielska, blokady DNS i listy reputacyjne IP
Domowy firewall często pełni rolę „strażnika treści” – przynajmniej w podstawowym zakresie. Tu różnice między platformami są głównie w wygodzie konfiguracji.
pfSense i OPNsense – DNS i proxy jako główne narzędzia
Popularne podejścia na BSD‑owych firewallach:
blokowanie wybranych domen przez Unbound (DNS Resolver) – np. ręczne wpisy, listy adblock,
użycie zewnętrznych usług typu NextDNS/AdGuard DNS, z wymuszeniem ich na poziomie firewall (redirect całego ruchu 53/853),
kontrola rodzicielska na poziomie harmonogramów reguł – wyłączenie dostępu do sieci w określonych godzinach.
OPNsense ma lekką przewagę w pluginach – dodatki do adblocka, integracje z listami reputacyjnymi IP, prostsze zarządzanie blacklistami. pfSense też to potrafi (np. pakiet pfBlockerNG), ale konfiguracja bywa bardziej złożona.
OpenWrt – banIP, adblock i redirect DNS
Na OpenWrt sprawdzają się:
adblock – pobiera listy reklam/malware i integruje je z DNS,
banIP – blokuje całe zakresy IP na podstawie publicznych list (spamhaus, blocklist.de itp.),
redirect DNS – wymuszenie ruchu DNS przez lokalny serwer lub zaufany resolver.
Dla rodziny zwykle wystarcza kombinacja: adblock + redirect wszystkich zapytań DNS z sieci dzieci na filtrujący resolver (np. OpenDNS Family Shield). Prosty trick, a mocno ogranicza przypadkowe wejścia na śmieciowe strony.
Wydajność i wpływ funkcji bezpieczeństwa na prędkość łącza
Każda dodatkowa funkcja bezpieczeństwa kosztuje CPU i RAM. W praktyce najbardziej „bolą”:
VPN (szczególnie na starszych CPU bez AES‑NI),
IPS w trybie inline (Suricata/Snort),
rozbudowane listy blokad (adblock, banIP, pfBlockerNG).
pfSense/OPNsense – komfort na małym x86
Dobry punkt odniesienia przy domowym gigabicie:
czysty routing + NAT + proste reguły firewall – większość nowszych Celeronów/J‑series daje radę z zapasem,
VPN ~200–500 Mb/s – zależy od algorytmu, liczby jednoczesnych sesji i akceleracji sprzętowej,
IPS + kilka tysięcy reguł – zwykle połowa do dwóch trzecich prędkości „gołego” NAT.
Jeśli celem jest: pełny gigabit po WAN, aktywny IDS na WAN i segmenty VLAN z filtracją, lepiej iść w niskonapięciowego i5/i3 lub solidny ARM (appliance od producentów firewalli) niż w najtańszy minikomputer z Aliexpress.
OpenWrt – zależność od klasy routera
Na typowym „plastikowym” routerze:
sam NAT+Wi‑Fi często jest blisko granicy możliwości SoC,
rozbudowane listy blokad (kilkaset tysięcy wpisów) mocno obciążają CPU i RAM.
Inaczej wygląda to na routerach klasy „prosumer” (Mikrotik, EdgeRouter) z OpenWrt lub na małych boxach ARMv8 – tam z VPN 200–300 Mb/s i adblockiem da się żyć wygodnie. Trzeba tylko liczyć się z bardziej manualną konfiguracją i mniejszą ilością gotowych poradników krok‑po‑kroku.
Monitoring, logowanie i szybkie diagnozowanie problemów
Domowy firewall raz na jakiś czas zaczyna „kaprysić”. Kto ma sensowne logi i monitoring, zwykle szybciej wraca do normalnej pracy.
pfSense i OPNsense – wbudowane panele z logami
Na obu platformach dostępne są:
logi firewall z filtrowaniem po interfejsie, IP, porcie i akcji,
statystyki ruchu per interfejs (RRD, widgety),
podgląd stanów połączeń (states table),
system logów dla usług (DHCP, DNS, VPN, IPS).
W OPNsense logi są zwykle czytelniejsze i lepiej przefiltrowane. pfSense nadrabia sporą liczbą narzędzi debugowania (packet capture z GUI, szczegółowe logi pf). Dla domowego scenariusza ważne jest, żeby nie bać się tych paneli – podejrzenie logu firewall w momencie, gdy „telewizor nie ma internetu”, często oszczędza godzinę kombinowania.
OpenWrt – LuCI plus konsola
OpenWrt ma w LuCI podstawowe logi systemowe i logi firewalla, ale przy poważniejszych problemach i tak ląduje się w konsoli:
logread – ogólne logi systemu,
dmesg – sprawy kernelowe, sterowniki Wi‑Fi,
tcpdump – podgląd pakietów (np. czy DNS w ogóle wychodzi z routera).
Dodatkowe pakiety (np. collectd, luci‑statistics) pozwalają dorobić ładne wykresy ruchu, ale to już zabawa dla chętnych. Przy routerze zamkniętym w szafce, do którego zagląda się raz na rok, bardziej sensowne bywa postawienie logów zdalnych (syslog do NAS‑a, kontenera, VPS‑a).
Najważniejsze punkty
Router od operatora zwykle wystarcza do prostego użytku, ale ma poważne ograniczenia: słabe Wi‑Fi, okrojone funkcje bezpieczeństwa, brak segmentacji sieci i spadki wydajności przy wyższych prędkościach oraz włączonych funkcjach typu QoS czy kontrola rodzicielska.
Zaawansowany firewall (pfSense, OPNsense lub OpenWrt) ma sens, gdy w domu pojawia się praca zdalna przez VPN, dzieci wymagające filtrowania treści, liczne urządzenia IoT, własny NAS/serwer czy potrzeba stabilnych warunków pod gry online.
Profesjonalne podejście zwykle rozdziela funkcje: modem od operatora w trybie bridge + osobny firewall/router + osobne punkty dostępowe Wi‑Fi i ewentualnie zarządzalny switch, co daje pełną kontrolę nad ruchem i topologią sieci.
pfSense, OPNsense i OpenWrt oferują funkcje nieosiągalne na typowym routerze ISP: zaawansowane reguły firewall, VLANy i segmentację (np. osobno IoT, goście, praca), IDS/IPS, różne rodzaje VPN oraz rozbudowany QoS/SQM do walki z opóźnieniami.
Przed wyborem rozwiązania trzeba jasno określić budżet, czas na naukę, gotowość do „grzebania” (bridge na modemie, VLANy, flashowanie OpenWrt) oraz oczekiwany poziom bezpieczeństwa – inne narzędzia wybierze ktoś, kto chce tylko lepsze Wi‑Fi, a inne osoba budująca pełnoprawny firewall domowy.
Przy planowaniu sieci domowej z firewallem wystarczy zrozumieć podstawy: rozróżnienie stref WAN/LAN/DMZ, działanie NAT oraz stateful firewall; to pozwala świadomie decydować, który ruch może przechodzić między segmentami i jak zabezpieczyć urządzenia.
