OPNsense không chỉ là một trong những lựa chọn tốt nhất cho mạng gia đình của bạn, với khả năng xử lý các nhiệm vụ định tuyến và tường lửa để bảo vệ mạng của bạn khỏi internet rộng lớn. Nó còn dễ dàng mở rộng cho các chức năng mới, nhờ có một loạt các plugin và tiện ích mở rộng OPNsense để sử dụng. Những plugin này bổ sung các tính năng bảo mật mới, công cụ hữu ích, phần mềm giám sát và những thứ tiện lợi khác, và tất cả đều dễ dàng cài đặt chỉ với vài cú nhấp chuột.
Nhưng vì nó dựa trên FreeBSD, có rất nhiều plugin và gói hữu ích khác mà bạn có thể cài đặt từ các nguồn khác. Tôi đã sử dụng một số trong bản cài đặt OPNsense của mình, và chúng thêm nhiều tiện ích và tính năng mà tôi đã sử dụng trên các bản cài đặt mạng khác để làm cho mọi thứ dễ dàng hơn tổng thể.
Tất cả các plugin này đều từ kho cộng đồng cho OPNsense, chứ không phải là các plugin chính thức. Một số thậm chí không phải là plugin, nhưng các gói này có thể dễ dàng cài đặt từ CLI và cũng dễ sử dụng sau đó. Cũng cần lưu ý rằng các plugin này không đi kèm với kỳ vọng về hỗ trợ kỹ thuật nếu có vấn đề xảy ra, vì vậy nên sao lưu cài đặt OPNsense của bạn trước khi bắt đầu.
Cloudflared
Quản lý Cloudflare Tunnels trực tiếp từ router của bạn
Khả năng sử dụng Cloudflare Tunnels để kết nối an toàn với mạng gia đình của bạn thật tuyệt vời. OPNsense không có plugin để quản lý chúng dễ dàng, nhưng điều đó không thành vấn đề vì tất cả những gì bạn cần là dịch vụ Cloudflared. Điều này có thể được cài đặt từ kho không chính thức mà chúng ta đã đề cập trước đó, vì không có ứng dụng BSD gốc từ Cloudflare. Sau đó, chỉ cần chạy một số lệnh CLI khi SSH vào router.
Đi tới bảng điều khiển Cloudflare Zero Trust của bạn, như khi thiết lập bất kỳ Tunnel nào khác, và tạo một cho OPNsense. Đưa chi tiết cho token Tunnel đó vào CLI cho OPNsense cho phép bạn khởi động dịch vụ Cloudflared để kết nối với Tunnel, và thiết lập để tự động kết nối mỗi khi hộp OPNsense khởi động lại. Không còn lo lắng về việc bị khóa khỏi router khi xa nhà, và bạn sẽ có thể sử dụng Tunnel để sử dụng bất kỳ tài nguyên mạng nội bộ nào như thể bạn đang ở nhà.
AdGuard Home
Chặn phiền toái trước khi chúng đến với thiết bị của bạn
Có rất nhiều cách để giữ cho các quảng cáo, phần mềm độc hại và các tên miền không lành mạnh không xâm nhập vào thiết bị mạng của bạn, nhưng chẳng phải tốt hơn khi cắt nó ngay từ nguồn và chạy các chương trình chặn trên router của bạn? Đúng vậy, Pi-holes vẫn hoạt động, và bạn có thể chạy chúng trên NAS, máy chủ, hoặc bất cứ nơi nào khác trên mạng gia đình của bạn miễn là bạn hướng các bản ghi DNS thiết bị của bạn tới máy chủ DNS chặn, nhưng tôi thích có nó trên router của mình.
Phần tuyệt vời nhất là trên OPNsense, AdGuard Home là một plugin, nên nó tích hợp liền mạch với GUI, và bạn có thể quản lý nó bằng cách kết nối với phía LAN của bạn trên cổng 3000. Tôi đã sử dụng máy chủ DNS của AdGuard trên iPad Pro của mình và một vài thiết bị khác không thể chạy phần mềm chặn quảng cáo gốc, và nó hoạt động tốt. Tôi không quá quan tâm đến quảng cáo xâm phạm vì bản thân, nhưng tôi có một đứa trẻ nhỏ, và tôi không thích luồng tiêu dùng tràn ngập khi duyệt trên máy tính bảng.
AdGuard còn cung cấp điểm cộng với máy chủ DNS IPv6 để thêm vào, cũng như địa chỉ vòng lặp cục bộ, để mọi khía cạnh của mạng của bạn có thể được bảo vệ. Nếu bạn không sử dụng OPNsense, bạn thậm chí có thể thiết lập nó như một máy chủ DHCP, vì vậy nó là một công cụ chặn rất linh hoạt. Thêm vào đó, bạn có thể tận dụng lọc DNS tùy chỉnh để sử dụng tên miền cục bộ cho các dịch vụ tự lưu trữ của bạn. Đúng, OPNsense có Unbound nơi bạn có thể làm điều tương tự, nhưng thật tốt khi có các tùy chọn, và đôi khi AdGuard dễ sử dụng hơn.
Home Assistant
Thêm tích hợp sâu cho nhu cầu tự động hóa gia đình của bạn
Chúng tôi thích thêm các thứ vào bảng điều khiển Home Assistant của mình, vậy tại sao không kiểm soát OPNsense ở đó? Plugin cho OPNsense chỉ là một phần của phương trình; bạn cũng cần thêm một kho mới vào HACS và kết nối nó với OPNsense qua cặp khóa API được tạo trong bảng điều khiển người dùng OPNsense. Nếu bạn không muốn API được liên kết với vai trò quản trị chính, bạn sẽ cần tạo một tài khoản người dùng phụ, nhưng nó phải có vai trò quản trị; nếu không, tích hợp sẽ gặp khó khăn trong việc kiểm soát các thứ.
Bạn sẽ có một thẻ bảng điều khiển mới, với nhiều thông tin về router của bạn. Những thứ như trạng thái CARP, thông báo hệ thống, và thông báo về cập nhật firmware, một máy quét để thêm thiết bị mới từ bảng ARP của OPNsense, cảm biến cho thời gian khởi động, nhiệt độ, chi tiết CPU, và nhiều hơn nữa.
OPNarp
Bảo vệ khỏi các cuộc tấn công ARP poisoning và các mối nguy hiểm khác
OPN-Arp là một plugin đơn giản nhưng hữu ích, kiểm tra bộ nhớ đệm ARP và ghi một mục nhật ký mỗi khi nó phát hiện một địa chỉ IP và địa chỉ MAC mới được ghép đôi. Điều này sẽ hiển thị những thay đổi mạng, dù là kế hoạch, tự động hay không được phép, cung cấp cho bạn một công cụ khác để gỡ lỗi và phản ứng sự cố. Nó ghi lại hoạt động trạm mới, thay đổi và sử dụng lại các địa chỉ cũ,
Có lẽ một trong các thiết bị mạng của bạn bị cấu hình sai, điều này có thể biểu hiện theo nhiều cách, bao gồm việc rớt khỏi mạng, sau đó kết nối lại liên tục, hoặc thay đổi địa chỉ IP khi nó thực hiện điều đó. Nó có thể phát hiện hacker đang giả mạo MAC để truy cập vào mạng Wi-Fi của bạn, hoặc cung cấp danh sách tất cả các thiết bị và thiết bị mạng của bạn cho mục đích quản trị. Và bằng cách kết nối nó với Monit, bạn có thể nhận thông báo email về những mục nhật ký đó, tiện lợi hơn là phải xem qua các nhật ký.
OPNsense có rất nhiều plugin hữu ích, hoặc bạn có thể tự viết plugin của mình
Bản chất mã nguồn mở của OPNsense có nghĩa là bất kỳ ai cũng có thể viết plugin cho nó, và các công cụ từ các hệ điều hành dựa trên *nix khác có thể được chuyển đổi thành các gói FreeBSD để cài đặt. Điều này làm cho nó trở thành một nền tảng mạnh mẽ hơn, vì router của bạn có thể chạy phát hiện xâm nhập, giải pháp truy cập từ xa, và các công cụ liên quan khác. Tùy bạn quyết định có bao nhiêu công cụ này bạn muốn chạy trên cùng một hộp, vì một số có thể hợp lý hơn khi đặt trên máy chủ của bạn, hoặc không cần thiết, tùy theo nhu cầu mạng cụ thể của bạn.