Kućni server N5105 (PfSense, NAS, Adguard, Nextcloud...)

[TwistedMind]

Konačno sam se prošle nedelje posvetio projektu i uspešno završio i postavio home server pa sam hteo da podelim iskustva oko cele priče. Neko se možda i ohrabri da proba sam.

Spojler: Priča od početka (Duže nego što sam planirao i neobavezan deo teksta, slobodno preskočiti)

Do sada sam koristio Raspberry Pi kao kucni server. Sve je počelo od rpi2 koji je tada služio za osmc (kodi build) media centar. To je vreme pre android boxova. Po izlasku rpi3, a kasnije i rpi 3b+ rađen je upgrade.
Prvi dodatak na kodi je bio torrent klijent nezavisan od računara. Torrent je zahtevao i skladišni prostor pa je logičan podez bio dodavanje ekternog HDD. Logičan potez nakon toga je bio i pristup tim fajlovima sa svih drugih uređaja u kući, što dovodi do podešavanja SMB servera, a onda i VPN i DDNS za pristup svemu tome van kućne mreže.

Par godina kasnije konačno dolazi RPI4 sa gigabitnim ethernetom i to postaje sjajna opcija za kućni server. Nažalost, uređaj je pušten u promet sa nezavršenom softverom i to baš nije bilo srećno rešenje za media centar. Nije ispunio očekivanja po pitanju reprodukcije videa i onoga što bi hardverski morao da podrži. Na sve to, streaming servisi postaju sve popularniji i nemogućnost reprodukcije 4k, čak i 1080p servisa predstavlja preveliko ograničenje. Jednostavno je bilo potrebno pronaći alternativu. Na svu sreću, android boxova je sve više i cene su sve pristupačnije pa se rešenje samo ponudilo.
Ipak, potreba za NAS uređajem sa svim dodatnim servisima je opstala i to je ono gde je RPI4 briljirao od samog početka tako da kućni server postaje stalni deo domaćinstva.

Još malo vremena prolazi i server je proširen sa Adguard Home DNS adblock serverom (isto što i PiHole, samo bolje), Hyperion serverom za kontrolu ambijentalnog osvetljenja za TV.

U jednom trenutku prelazim u novi stan i uzimam Yettel optički internet. Bitan podatak jer Yettel koristi odvojene ONT i ruter. Ovo korisnicima omogućava da koriste svoju mrežnu opremu bez poštapalica i uz uštedu jedne utičnice, prostora, džumbusa kablova i malu uštedu struje. Hteo bih samo da napomenem da je SBB ovde među najgorima jer neće korisnicima da izađu u susret čak ni da prebace ruter u bridge mode, a ono sto sam video je da uz optički internet u zadnje vreme daju totalno zaključane rutere na kojima nije moguće ni otvoriti port, a čak nu podesiti sopstveni DNS server. Jedino je moguće promeniti WiFi SSID i pass. Kod mts nije moguće izbaciti njihov uređaj, ali jeste moguće dobiti bridge mode.
Možda će neko postaviti pitanje zašto uopšte zameniti njihovu opremu. Na stranu kvalitet, količina sitnih podešavanja, jedna od bitnih stvari je WiFi. Ako ne zbog "jačeg" signala, onda zbog novih standarda koje operateri baš i ne prate, a sve i da prate, neće svim korisnicima odmah zameniti uređaje. WiFi 6e je već široko zastupljen.

Da se vratimo na temu. Odlučim da iskoristim priliku i zamenim Yettel ruter, svojim. Postavljen je Asus TUF AX3000 koji meni radi odličan posao u kombinaciji sa RPI serverom.
Ipak, postoji jedno ograničenje, ne hardversko, već kod operatera (da ne bude da je Yettel samo nahvaljen) u vidu CG-NAT. Da ne dubimo tehnikalije, to je mreža unutar mreže koje onemogućava pristup spolja prema kućnim servisima. Ovo znači da VPN, pristup kućnom NAS-u i torrentima nije moguć van kuće. Rešenje dolazi u vidu cloudflare tunnel servisa na RPI. To je VPN koji zaobilazi NAT.
RPI inače dobija još jedan dodatak, a to je nextcloud. Servis koji kućni server pretvara u pravo cloud storage rešenje slično google drive (sada G one) ili Microsoft One drive ili dropbox... Uz nextcloud, moguće je deljenje fajlova bez davanja pristupa svim fajlovima, moguće je dodavati korisnike i deliti prazan prostor NAS diskova sa porodicom. Nextcloud inače nije novo rešenje, ali je instalacija i podešavanje ranije bilo mukotrpan zadatak za prosečnog korisnika, što se na svu sreću promenilo. O ovome više u nastavku.

I tako sada dolazimo do skoro finalnog servera baziranog na RPI koji radi dobro, stabilno, ne troši puno struje i ne zahteva mnogo prostora.
Čemu onda zamena? Iskren odgovor je da potreba ne postoji. Jedino što se može nazvati ograničenjem za današnje uslove je gigabitni ethernet port koji ograničava brzinu transfera fajlova u lokalnoj mreži. I to samo ulokalnoj pošto cloud servis ima još slabiju kartiku, a to je internet upload brzina. Da se razumemo, gigabitni transfer je sasvim u redu, apsolutno adekvatan za download, reprodukciju videa, backup procesi su kratki... Ništa konkretno tome ne fali osim što može bolje u vidu sve jeftinije 2.5GBe opreme.

Uz malu količinu dokolice, željom za novim projektom i velikim interesovanjem za unapređenjem, konačno dolazimo do glavnog junaka cele teme, novi server.

Spojler: Hardver

U pitanju je Topton N5105 Fanless Mini PC. U trenutku kupovine, izbora i nije bilo. Nekolicina slabijih celeron računara za isti novac ili N6005 za 30% više, što je bilo previše. Koštao je oko 130$, a vidim da je i dalje otprilike ta cena.
Kako se ne bih kockao sa njihovim izborom rama i nvme ssd, to sam kupio odvojeno i to je koštalo još oko 40$ za 16GB DDR4 (Kingston 3200MHz) i 40$ za 256GB nvme gen3 (kingspec sa plavom nalepnicom, ne znam model). Takođe sam kupio i mini PCIe WiFi karticu intel 210 ax3000, ali u nedostatku istraživanja nisam znao da ona ne radi u AP modu, već samo u klijent modu pa ne bi bila adekvatna za kreiranje WiFi mreže. Koštala je oko 15$, ali ćemo to zanemariti.
Za potrebe AP je uzet Xiaomi AX3000 koji može raditi samostalno ili se kasnije prošiti dodatnim AX3000 i napraviti mesh. To je dodatnih 50$.
Glavna odlika ovog računara je posedovanje 4 ethernet porta od 2.5G. Osim toga, pažnju privlači i hladnjak sa cele gornje strane kućišta. Tu su još i 2 USB2.0 porta, 2 USB3.0 porta, HDMI i Displayport.
Pre nego što nastavim, moram da napomenem da hlađenje nije adekvatno. Prilikom rada se računar poprilično ugreje i to se mora rešiti postavljanjem ventilatora, tako da "fanless" i nije baš tačna izjava.
Pri ruci sam imao 80x80x10mm ventilator i on je dovoljan da u potpunosti reši problem pregrevanja, a može se računati kao nečujan. Ipak, poručen je i slim 120x120x15mm Artcic Cooling PWM PST ventilator (dodatnih 10$)
Zamena termalne paste nije ništa posebno pomogla. Ako bi nešto trebalo menjati, to bi bio spoj između hladnjaka i procesora koji je od aluminijuma u vidu pločice od oko 5-6mm. Takođe mi je nepoznat materijal hladnjaka, pretpostavljam da je isto aluminijum.

Unutrašnjost računara nije posebno bogata sadržajem za razgledanje. 2 SO-DIMM DDR4 slota, m.2 slot, mini PCIe, 1 SATA slot i 1 napojni konektor za napajanje 2.5" HDD ili SSD za koji se dobija kablić.
Mini PCIe slot i m.2 su jedan iznad drugog tako da se SSD i kartica postavljaju jedan na drugi. WiFi kartica je bila taman visoka da ne dodiruje SSD. Bilo šta sa hladnjakom ili nekim konektorom ne bi odgovaralo. Više o tome malo kasnije.
Server je moguće proširiti i SIM slotom u kojem slčaju je moguće napraviti 4g modem, ali ovo nisam istraživao pa ne bih mogao/želeo mnogo da komentarišem.

 

[TwistedMind]

Spojler: Softver

Za operativni sistem je izabran proxmox. Čini mi se da je ESXI više okrenut enterprise korisnicima i plašim se da bi bilo manje podrške i iskustva korisnika što bi otežalo pronalazak rešenja za potencijalne probleme.
Instalacija proxmox je vrlo jednostavna, kroz grafički interfejs sa svega nekoliko podešavanja u celom procesu. Istakao bih jednu caku, a to je korišćenje USB mrežne kartice za kontrolni interfejs kako bi svi ethernet portovi bili slobodni za čačkanje. Inače bi jedan pogrešan klik onesposobio pristup.
Za ruter softver je izabran PfSense, a za server Debian iako sam na kraju prešao na Ubuntu Server 22.04.

Spojler: Death by a thousand bridges

Dolazimo do prve velike prepreke, a to je učenje načina rada sistema i mrežnih funkcija. Prvenstveno bridge. Sve mora da ima svoj bridge i za nekoga ko nije imao dosadašnjeg iskustva, ovo je veliki korak. Smisliti celu strukturu unapred je bilo nemoguće i dovelo me je do popriličnog kruženja i ponavljanja podešavanja.
Van te petlje, softver nije predstavljao poseban izazov. Instalacija PfSense je laka i brza, isto kao i Ubuntu, dok je Debian imao previše nepotrebnih koraka.
Razlog odustajanja od Debiana je što je previše vanila. Za početak nije imao ni instaliran sudo, kasnije curl i ko zna šta sve od paketa fali u osnovnoj verziji. Ubuntu dolazi bogato i dobro podešen za brzi početak rada. Može se reći da sam progledao nakon toga.
Podešavanje PfSense nema mnogo koraka, ali se patnja sa bridge-vima nastavlja. Bilo je potrebno uklopiti 3 ethernet porta kao LAN, ali i proxmox bridge-ve za komunikaciju između svih VM pod proxmox.
Jednu malu pobedu sam napravio tako što sam prema PfSense prosledio fizičke eth portove, umesto da za svaki napravim bridge pa one njih da prosledim u PfSense. Prednost je što onda PS upravlja portovima i svojim drajverima umesto da ima posrednika. Mana je što onda ti portovi ne mogu da se dodele drugoj virtuelnoj mašini ako se ukaže potreba.
Naknadno je urađen besplatna nadogradnja na Pfsense+ za home lab. Bez preke potrebe, mada nudi bolju podršku, brži odziv ažuriranja jer je to verzija okrenuta profesionalcima, za razliku od obične community verzije.

Spojler: Softver nastavak

Nakon konačno dobro podešenog rutera, vreme je za sve ostale servise. Debian ćemo preskočiti i idemo na Ubuntu.
Prvo što sam uvek instalirao na RPI OS je bio Webmin za grafički interfejs svih podešavanja. Tako je bilo i ovde. Par sigurnosnih podešavanja, dodavanja korisnika i spremni smo za nastavak.
Nakon Webmin, odmah instaliram i podešavam Samba sever i dodajem HDD.
Sledeći je Qbittorrent. Po meni najpregledniji torrent klijent sa nekoliko opcija koje su mi neophodne i nisam ih imao na drugim klijentima, recimo praćenje foldera kako bi neki torrent fajl automtaski bio dodat na download čim se pojavi u tom folderu. Takođe i RSS feed praćenje. Bilo je potrebno malo se poigrati za dozvolama na folderima i fajlovima, ali to je kratko trajalo.
Nakon torrenta, instaliran je i Adguard Home. Ova instalacija je najjednostavnija od svega pomenutog jer se vrši preko Snap paketa. Snap je sličan dockeru (koji nikada nisam zavoleo) i omogućava instaliranje paketa servisa neophodnih za neku aplikaciju kao što je adguard. Ovako ne moram imati preinstalirane servise, već sve dolazi zajedno.
Snap je jako bitan i za naredni korak, a to je Nextcloud. Ono što je nekada zahtevalo posebno instaliranje nekolicine paketa kao što je apache web server i još gore, podešavanje, sada se vrši jednim redom teksta.
Ok, ni ovo nije cela priča, i dalje je potrebno podesiti Nextcloud za razne stvari, ali se većina obavlja kroz korisnički interfejs umesto šetnje kroz konfiguracione fajlove i kucanja varijabli.
Negde gore sam pomenuo Cloudflare tunel. Sjajan servis koji zaobilazi NAT i neophodan je kako bih imao pristup Nextcloud serveru. Sama instalacija na server zahteva svega 3 komande, ali je prethodno potrebno uraditi nekoliko stvari na cloudflare sajtu. Jedna od njih je i kupovina domena. U mom slučaju, to je .com domen i on košta 10$ godišnje. .rs domeni nisu opcija.
Ovo nije neophodno za one koji imaju javnu dinamičku ili, još bolje, statičku IP adresu. Za dinamičku adresu bi svakako bilo potrebno podesiti DDNS servis koje je moguće naći besplatno.
Još sam pomenuo servis Hyperion za kontrolu ambijentalnog LED svetla za TV. Iako je taj deo još nezavršen zbog nedostatka komponenti, ideja je sledeća. Android aplikacija sa android boxa komunicira sa hyperion, onda hyperion kontroliše drajver za LED traku preko LAN. U mom slučaju je to ESP32 sa WiFi.
I poslednji servis koji je instaliran je Home Assistant. Još uvek neaktivan jer se čeka USB Zigbee predajnik. Trenutnu kućnu kontrolu vrši zidni hub, ali želim da sve integrišem u HA. Trenutno mogu reći samo da instalacija nije komplikovana zahvaljujući namenskoj skripti za podešavanje baš na proxmox, ali ne mogu mnogo reći o podešavanju samog HA. To će biti avantura za sebe.

Tokom pisanja teksta sam se odlučio za još jedan servis, Volumio muzički server. On omogućava integraciju streaming servisa poput Spotify i Tidala zajedno sa lokalnim fajlovima. Sve se pušta preko namenske android aplikacije. Nažalost, Tidal i još neki servisi zahtevaju premium pretplatu koja je oko 6eur mesečno. Spotify i Youtube music su besplatni, kao i puštanje lokalnih fajlova.

Naredni korak je dodavanje game stream servisa sa računara poput Steam Link, nvidia game stream, moonlight... Ovo je moguće i na postojećem android boxu, ali je box povezan bežično što povećava lag. Kablovska veza na box bi bila 100Mbps, dok bih želeo da iskoristim mogućnosti 2.5G mreže.

 

[TwistedMind]

Spojler: Honorable mentions

Postoje servisi koji su vrlo popularni, ali meni nepotrebni pa nisu uključeni. To su servisi poput Jellyfin, plex, sonarr, radarr. Svi su namenjeni za organizaciju kolekcija filmova i serija. To je nešto što ja ne radim. Poučen iskustvom skupljanja DVD ripova od 700MB u .avi formatu i 480p rezoluciji. Čuvanje bilo kakve multimedije u današnje vreme zvuči besmisleno.
Jedan veliki igrač koji je izostao iz celog teksta je TrueNAS. Originalna ideja je uključivala TrueNAS kao glavni VM umesto Ubuntu pod kojim bi bili organizovani ostali servisi poput adguard, torrent... Razlog odustajanja je komplikacija podešavanja. Instalacija je lagana, ali jednostavno nisam mogao da podesim onako kako sam želeo. Organizacija dozvola i datasetova nije bila nešto što sam hteo da učim. Osim toga, cela poenta i glavni selling point je sigurnost podataka, prvenstveno kroz RAID. Ja koristim jedan disk u ovom trenutku pa je TrueNAS overkill.
Tu je i TrueNAS alternativa Unraid. U pitanju je plaćeni softver od 60$ za najniži paket sa 6 diskova.

Spojler: Kuda dalje

Osim softverski, Topton ne ostavlja mnogo prostora za proširenje. Prva stvar koja pada na pamet je broj diskova. HDD kućišta za diskove se ne skaliraju cenovno sa povećanjem broja diskova. USB kućište za jedan disk se može naći za svega 10ak dolara. Bolja bi koštala od 15-20$. Već za dva diska je potrebno izdvojiti minimum 50$, dok je za više diskova potrebno preko 100$.
Alternativno, uz malo fizičkog posla, moguće je iskoristiti mini PCIe slot za adapter na SATA. Za ovo bi bio potreban i kablić za izmeštanje slota jer je prekriven nvme diskom. Kablić bi koštao oko 3$, a adapter na SATA je oko 5$ za 2 sata konektora ili 20$ za 4 konektora. Uz postojeći SATA konektor dobijamo mesta za 3 ili 5 diskova. Ipak, ni ovo nije tako jednostavno jer je neophodno obezbediti prostor za te diskove, poželjno u kućištu radi mehaničke zaštite, kao i napajanje.

Spojler: Cena i alternative

Pre svega, treba reći da sada postoji noviji model ovog tipa računara baziran na 12. generaciji procesora sa N100 procesorom kao direktnom alternativom. Cena je malo veća, ali ne mnogo. Nova generacija koristi DDR5 memoriju i ima više internih slotova od kojih je najbitniji dodatni m.2 slot koji se može iskoristiti za adaper za veću količinu SATA diskova.

Ovakav server je jako teško pozicionirati na tržištu jer se nalazi između svih dostupnih rešenja. Skuplji je od RPI, a komplikovaniji od gotovog NAS poput QNAP ili Synology i sličnih. Sa druge strane, nudi rešenje za celu kučnu mrežu i bolje performanse.
Osnovni NAS za dva diska bi koštao oko 300eur, što je u rangu sa ovim serverom, ali ima gigabitni port, manje memorije, lošiji procesor i ne radi kao ruter. Ako bismo u kalkulaciju uključili i neki kvalitetniji ruter poput Asus rešenja (zadržao bih se na kategoriji kućnih proizvoda) cenovna razlika postaje očigledna čak i u kombinaciji RPI + ruter.
Uzmimo u obzir i da mnogi korisnici kupuju WiFi mesh sisteme nevezano servere ili ostale potrebe, već samo zarad WiFi priširenja u većem objektu poput kuće. U takvoj situaciji, Topton izlazi tek nešto preko 200$ što je samo malo više u odnosu na RPI.
Naravno, vreme je novac. Zbog utrošenog vremena podešavanje svega može biti skuplje od kupovine gotovog proizvoda. Pogotovo ako u obzir uzmemo podršku u budućnosti i potencijalno rešavanje novonastalih problema. Ovo je najviše izraženo u SOHO okruženju (small office, home office), dok bi kućni korisnici možda ipak preferirali direktnu novčanu uštedu u fazonu "nadam se da je samo kičma".
Na kraju se sve svodi na lične potrebe i situaciju. Za one koji bi svakako hteli da reorganizuju kućnu mrežu, ovo može biti odlična alternativa.

Spojler: Performanse

Neću se mnogo baviti ovime, pogotovo ne cpu testovima.
Najbitnija stavka je protok. Očekivano je da neće ispuniti punih 2.5G, ali je bitno dokle možemo da doguramo. U mom slučaju, to je oko 2Gbps između računara i VM mereno na iperf3. SMB je nešto drugo i drugi faktori utiču na protok. Prebacivanje podataka na NAS ide brzinom od oko 180MBps (po prikazu grafika tokom transfera) za šta je zaslužan HDD kao usko grlo. Backup HDD i SSD sa računara je dostigao protok od 1.4Gbps sa 99% zauzećem tog HDD (performance tab task managera). 1.4Gbps=179.2MBps teorijski, tako da je transfer brzina identična u tim situacijama i tačno onoliko koliko je WD red deklarisan.
To je oko 60% povećanje brzine u odnosu na ono što sam imao na RPI (oko 112 MBps) sa potencijalom za još veću razliku sa drugim diskovima ili kombinacijom diskova. SSD cache je verovatno najbolja opcija, mada nije jednostavna na Ubuntu.
Napomenuo bih i vidno brže otvaranje stranica u browseru na računaru. Ovo je verovatno zahvaljujući bržem DNS odzivu. Adguard isporučuje adrese iz cache koji se u ovom slučaju skladišti na nvme, dok je na RPI bio na memorijskoj kartici. Pretpostavljam i da je pretraga blocklisti znatno brža na novom serveru, što zbog SSD, što zbog boljeg procesora. Još jednom bih naglasio da na RPI ništa nije falilo i nije bilo sporo, samo je sada bolje.

Sve u svemu, projekat je uspešno završen sa ispunjenim svim ciljevima. Kako trenutno euforija uspeha još uvek traje, počeo sam da merkam potencijalne delove za novi server. Verovatno ću u nekom trenutku ponoviti ceo postupak i preći na 12. generaciju procesora kao što je N305 ili možda ostanem na osnovnoj verziji N100. Nema žurbe.

Za one koji su istrajali i pročitali ceo tekst, prvo svaka čast, a onda i hvala na vremenu.
Naravno, svi konstruktivni komentari su dobrodošli, kao i pitanja na koja ću se truditi da odgovorim.

 

[alex303]

Trebao si pre kupovine da pitaš ovde. Ja bi ti odmah skrenuo pažnju da ne uzimaš TopTon i XCY zbog pregrevanja. Ko razmišlja da se uputi u ovu priču, pogledajte Qotom. Ili za nešto više para, daleko kvalitetniji MiniSys ili YanLing. A ko hoće fully supported mašine vrhunskog kvaliteta, tu je Protectli.

 

[TwistedMind]

Samo to je dostupno na aliexpress, a moram da uzmem na aliju.
Mada sam pretražio quotom i minisys i ne nalazim da imaju celerone u ponudi (n5105 i novi n100/200/305). Samo stariji Quotom samo stariji J i onda i5

 

[Gaston]

Za one koji su istrajali i pročitali ceo tekst, prvo svaka čast, a onda i hvala na vremenu.

Ne, ne, svaka čast tebi, a naročito hvala na vremenu koje si potrošio na pisanje teksta.

 

[alex303]

Samo to je dostupno na aliexpress, a moram da uzmem na aliju.
Mada sam pretražio quotom i minisys i ne nalazim da imaju celerone u ponudi (n5105 i novi n100/200/305). Samo stariji Quotom samo stariji J i onda i5

TopTon nema problema samo sa pregrevanjem. Imaju jako veliki failure rate i probleme sa reklamacijama. Bolje je uzeti neki Qotom sa starijom generacijom i3 ili i5 i biti miran, nego juriti latest gen CPU.

 

[alex303]

Evo jednog jako kvalitetnog proizvođača za one koji su zainteresovani. Uređaji podržavaju core boot BIOS.

 

[bbK1ng]

@TwistedMind ako ti je RPi4 ostao višak moja preporuka je da HA instaliraš na njega i skzor odvojiš od ostalih servisa.

 

[TwistedMind]

@TwistedMind ako ti je RPi4 ostao višak moja preporuka je da HA instaliraš na njega i skzor odvojiš od ostalih servisa.

Ima posebnu masinu na proxmox, nije pod ubuntu.
A mogu li da pitam zasto da se odvoji skroz?

 

[bbK1ng]

Moj utisak je da su devs tako napravili da najbolje radi ako se instalira direkrno kao OS.
Probao sam i one supervised opcije i kao u docker (nisam VM), ali sam najmanje problema i workaround morao da imam od kada je HA direktno na metalu.

Takođe, oko servera (kod mene QNAP NAS) imam neke redovno i vanredno održavanje. Odgovara mi da mi je HA operativan i nema downtime u to vreme.

ubr, skoro smo imali 5 sati najavljeno gašenje struje u kraju. UPS ne može da drži NAS toliko dugo, pa je morao u off, ali su zato ruter, wifi i HA najnormalnije držali tih 5 sati.
Na kraju nemam neki opipljiv razlog, ali prosto ako već imaš HW ja bih išao tim putem.

Možda zato što je kod mene HA nije puka zamena za OEM Smart Apps, već centralni HUB za sve po kući, tako da mi je bitnije da radi od drugih stvari.
Kad ode samo jedan senzor već kreću pitanja "što se svetlo na terasi ne pali automatski i kad ćeš to da središ "

p.s. Dodato sam 2.5" SSD (SATA2USB) na RPI4 da izbegnem probleme sa SD karticama.

 

[TwistedMind]

Poseban je VM samo za to sa namesnkim HAOS. Ima rezona za downtime ako imam problem sa serverom, ali neću moći da idem tim putem prvenstveno zato što želim da smanjim količinu hardvera.
Na istom mestu mi stoje ONT, ruter, rpi i hdd. Sada je integrisano ruter sa serverom, a sledeći korak je jedinstveno kućište za više hdd i server.

 

[alex303]

Nadam se da si sačuvao sve config-e, jer imaš single point of failure.

 

[mirop]

Ako ces koristiti proxmox i dodatni hardver za Hass, bolje na tom drugom podici proxmox bekap… ja sam tako uradio, imam offsite bekap, opnsense, hass i lokalni docker se svako vece bekapuju.

Nema potrebe da hass bude odvojen. Kao VM radi odlicno - radim passthrough zigbee i bluetooth usb-a…

Ps. Sta mi znaci ups na hass-u ako mi uticnice i svetla ne rade? Da vidim temperaturu? sta to jos imate u kuci na baterije pa se isplati da stavlias ups na HAss?

 

[TwistedMind]

backup ide na NAS disk.
Restore, koliko sam video uključuje i podatke o mašini tako da bi vraćanje na svežu instalaciju proxmoxa bilo čas posla.

 

[alex303]

Šta od pluginova koristiš u pfsense i jel možemo da vidimo screenshot firewall rules-a?

 

[TwistedMind]

Šta od pluginova koristiš u pfsense i jel možemo da vidimo screenshot firewall rules-a?

ništa od plugin i ništa od pravila
Trebao mi je samo ruter pa sam izabrao ovo zbog popularnosti. Inače imam i openwrt instalaciju za probu za kasnije.
Da, znam da je ovo firewall, a ne ruter os.
Stoji mi nekoliko tabova sa objašnjenjima šta i kako. Svideo mi se njihov dns adblock sa geo restrikcijama i slično, mada bi to dovelo do ograničenja na drugom mestu pa sam odustao od toga.

Podesiću malo bolje nekada.

 

[alex303]

ništa od plugin i ništa od pravila

Mogao si barem neka osnovna pravila da ubaciš za blokiranje QUIC i DoH/DoT. Šteta.

Trebao mi je samo ruter pa sam izabrao ovo zbog popularnosti. Inače imam i openwrt instalaciju za probu za kasnije.
Da, znam da je ovo firewall, a ne ruter os.

Zapravo, jedan od najvećih aduta pfSense-a je routing naspram kojeg MikroTik, Unifi i OpenWRT izgledaju kao igračkice. Pogotovo ako koristiš VPN.

Stoji mi nekoliko tabova sa objašnjenjima šta i kako.

Stojim na raspolaganju ako treba bilo šta.

Svideo mi se njihov dns adblock sa geo restrikcijama i slično, mada bi to dovelo do ograničenja na drugom mestu pa sam odustao od toga.

Na šta konkretno misliš kad kažeš ograničenje ?

 

[TwistedMind]

Ne sećam se sada šta je tačno bilo u pitanju. Jedan od tekstova koji opisuje podešavanja pfBlockerNG kaže da u slučaju da se koristi ta neka funkcija, nešto sa strane neće raditi, odnosno mora da se onemogući.
Sada sam preleteo ovo uputstvo i ništa slično nisam našao, a da se setim nema šanse.
Definitivno ću probati pfblocker kao zamenu za adguard iako je adguard vrlo intuitivan i moderan i mnogo jednostavniji od svega ovoga na pfsense.
Vidim da su popularni paketi i snort i squid pa ću i to da zveknem. Ne znam da li je suricata isto što i snort.

Šta mogu da uradim van pfblocker za redovna fw pravila? Prvo što mi pada na pamet je da zatvorim sve portove, osim onih nekoliko koje zapravo koristim. Mada mi nikad nije bilo jasno zašto, kada na tim portovima i nema ničega pa i ne znam kako se koriste za upad

 

[alex303]

Ne sećam se sada šta je tačno bilo u pitanju. Jedan od tekstova koji opisuje podešavanja pfBlockerNG kaže da u slučaju da se koristi ta neka funkcija, nešto sa strane neće raditi, odnosno mora da se onemogući.

Ne postoji ništa slično tome što si opisao. pfBlockerNG je konfigurabilan u smisli šta blokira a šta ne. Jedino o čemu moraš voditi računa su custom block liste, ali čak ni to nije problem, jer sve što se blokira se nalazi u reportu. A u reportu samo klikneš na + i to što je blokirano postaje whitelisted.

Sada sam preleteo ovo uputstvo i ništa slično nisam našao, a da se setim nema šanse.

Treba čitati samo offical uputstva sa netgate sajta. Ovo što pronalaziš google pretragom piše ko stigne. Ne kažem da nije tačno, ali dosta toga je outdated.

Definitivno ću probati pfblocker kao zamenu za adguard iako je adguard vrlo intuitivan i moderan i mnogo jednostavniji od svega ovoga na pfsense.

Jednostavniji jeste, ali je siromašan mogućnostima.

Vidim da su popularni paketi i snort i squid pa ću i to da zveknem. Ne znam da li je suricata isto što i snort.

Suricata i Snort ubacuju Layer 7 mogućnosti u pfSense i na taj način pfSense postaje pravi NGFW i nudi ti filtriranje na application nivou. Jako zgodno ako recimo hoćeš da blokiraš izlaz na net određenim aplikacijama jer 99% njih koristi isti TCP port 443 koji, ako ga blokiraš, ništa živo neće raditi. Tako da možeš recimo da blokiraš Viber a dozvoliš WhatsApp. Da ne spominjem blokiranje aplikacija sa google playstore. Igre...itd. Jedini problem je što je konfigurisanje dugotrajan proces koji se ogleda u tome da jedno vreme moraš da babysituješ mrežu dok ne oformiš sva deny/allow pravila. Ovo takođe može da bude CPU intenzivan process jer se radi deep packet inspection. Suricata ima više mogućnosti i mislim da ima veću bazu ET pravila.

Šta mogu da uradim van pfblocker za redovna fw pravila?

Pa možeš svašta. Firewall pravila se u pfSense koriste za filtriranje i routiranje. Za početak možeš da blokiraš QUIC i DoH/DoT. To će omogućiti bolji DPI jer će sve aplikacije fail back-ovati sa QUIC nazad na TCP protokol gde imaš bolju kontrolu. Idi na Firewall / Aliases / Ports. Klikni na ADD i napravi novi alias koji izgleda ovako.


Sačuvaj ga, a onda idi na Firewall / Rules / i odaberi interfejs za koji hoćeš da napraviš block/reject rule. Napravi novi firewall reject rule koji izgleda ovako.


Obrati pažnju na Destination Port Range polje u Destination sekciji. Postaviš ga na other, a onda počneš da kucaš naziv Alias-a koja si kreirao gore. U ovom slučaju QUCK_DoH. Taj alias mora biti odabran u oba polja. Takođe vodi računa o tome da Protocol bude UDP. Jer ako ove portove blokiraš na TCP-u, gubiš net. Finalni rule treba da izleda ovako.


Takođe imaj na umu da se firewall pravila procesiraju od gore na dole. Redosled je jako bitan i o tome moraš voditi računa. Najbolje bi bilo da ovaj rule bude prvi na vrh liste. Pomogao bi ti još sa rulovima, ali bez topologije mreže i detaljnog uvida u subnetove i bez tvog objašnjenja šta želiš na mreži, ne mogu.

Prvo što mi pada na pamet je da zatvorim sve portove, osim onih nekoliko koje zapravo koristim.

Svi portovi su automatski zatvoreni od spolja i takođe su blokirani i svi protokoli uključujući i ICMP. Od spolja, ti si "nevidljiv". Nije moguće čak ni pingovanje. Unutar mreže, svi portovi i protokoli su dozvoljeni ako se koriste default firewall pravila. Ja kod mene recimo sa unutrašnje strane dozvoljavam samo portove 80 i 443 na TCP-u dok UDP 53 (DNS) forwardujem na 127.0.0.1. Jer mi pfSense radi local DNS resolution. Sve ostalo je zatvoreno po defaultu. Samo određene destinacije i websajtovi koriste drugi gateway i idu preko drugog VPN tunela što se opet definiše firewall pravilima. Takođe koristim traffic shaper na schedule kako nebi sav internet bandwidth išao klijentu koji ga se prvi dočepa. Sve je ravnomerno raspoređeno i nema međusobnog gušenja i kočenja.

Mada mi nikad nije bilo jasno zašto, kada na tim portovima i nema ničega pa i ne znam kako se koriste za upad

Može da bude potencijalan security risk. Pogotovo na Windows i Android operativnim sistemima. Riskantni su QUIC i RDP protokoli koje možeš sprečiti prostim firewall rule-om.

 

[TwistedMind]

ok, namesteni squid i snort po uputstvu sa netgate sajta.
pfblock je instaliran, ali nepodesen jer mi se cini da najvise vremena zahteva. ovih dana.

 

[alex303]

ok, namesteni squid i snort po uputstvu sa netgate sajta.
pfblock je instaliran, ali nepodesen jer mi se cini da najvise vremena zahteva. ovih dana.

pfBlockerNG ne treba podešavati ako sve radi out of the box. Default podešavanja sa kojima dolazi su dovoljna za većinu korisnika. Jedino na šta treba voditi računa je podešavanje DNS resolvera ako se koristi neki VPN. Onda je potrebno definisati upstream DNS i uključiti forward mode u resolveru da bi se sprečio DNS leak.

 

[TwistedMind]

namestio upravo i pfblockerng. nije bilo lako uopste, ima bas dosta podesavanja, ali recimo da je sve ok
Namesten je ip blocklist i dsnbl, ne posebno restriktivan.

 

[alex303]

Ma nemoj zezati. pfBlockerNG je prost dok ne zagaziš u njegov Python modul i custom liste. pfBlocker inače sam po sebi ne radi ništa. On samo uzima IP adrese i domene iz block listi i od njih pravi alias-e koje posle učitava u floating rule. Pogledaj Firewall / Rules / Floating tab i videćeš gomilu firewall rulova sa predefinisanim pFB aliasima. Jedino što pfBlockerNG radi je deduplikacija entryja iz listi jer ima jako mnogo DNSBL i IP feedova koji sadrže duple vrednosti.

Jel koristiš neki VPN ?

 

[bbK1ng]

Ako ces koristiti proxmox i dodatni hardver za Hass, bolje na tom drugom podici proxmox bekap… ja sam tako uradio, imam offsite bekap, opnsense, hass i lokalni docker se svako vece bekapuju.

Nema potrebe da hass bude odvojen. Kao VM radi odlicno - radim passthrough zigbee i bluetooth usb-a…

Ps. Sta mi znaci ups na hass-u ako mi uticnice i svetla ne rade? Da vidim temperaturu? sta to jos imate u kuci na baterije pa se isplati da stavlias ups na HAss?

Stoji da dobar deo u HA neće raditi, ali opet nešto ostane aktivno.
Meni je dobar deo mreže Zigbee. To sve radi bez struje. Prvenstveno senzori pokreta i za vrata i prozore.

Za @TwistedMind. Vidim da si se potrudio oko podešavanja qBit. Sad imaš sve preduslove, kad stigneš, da ispodešavaš arr servere (za početak Radarr, Sonarr, Powlarr i Bazarr). Kada se dobro podese automatizacija dl i baze media postane extra jednostavna.

 

[TwistedMind]

Ma nemoj zezati. pfBlockerNG je prost dok ne zagaziš u njegov Python modul i custom liste. pfBlocker inače sam po sebi ne radi ništa. On samo uzima IP adrese i domene iz block listi i od njih pravi alias-e koje posle učitava u floating rule. Pogledaj Firewall / Rules / Floating tab i videćeš gomilu firewall rulova sa predefinisanim pFB aliasima. Jedino što pfBlockerNG radi je deduplikacija entryja iz listi jer ima jako mnogo DNSBL i IP feedova koji sadrže duple vrednosti.

Jel koristiš neki VPN ?

Ne za sada. Po potrebi iz browsera aktiviram radi lokacije za neki servis, ali aktivno ne

 

[alex303]

Za taj servis za koji po potrebi pališ VPN možeš kreirati tunel u pfSense i policy rule tako da samo taj server koristi VPN gateway dok će sav ostali saobraćaj ići normalnom rutom. Tzv split tunneling. Nema potrebe da na klijentima držiš instalirane VPN aplikacije i pališ/gasiš po potrebi.

 

[TwistedMind]

Jedan mali followup
1. pfsense tu i tamo crashuje. Jednom u nekoliko dana. Ne rebootuje se i ne zamrzne se virtuelna masina nego pfsense softver. To rezultuje u 10ak sekundi prekida mreze nakon cega se vrati. U zadnje vreme je malo stabilnije bilo, ali sad vidim da sam juce imao crash. Po vremenu u koje se desava, ciljam na neki update proces.
2. Imao sam problem sa ubuntu vm kada sam imao 15ak torrenta. Stavio sam da seedujem da iskoristim freeleech na trackeru, ali je svako malo zamrzavala masina. Nakon reseta radi neko vreme i onda opet. Bukvalno posle par sati rada. Uklonio sam sve te torrente i sada radi savrseno stabilno ponovo.
Nisam ulazio u problematiku da li je do qbittorrenta (prilicno sam siguran da nije), do trackera (opet cenim da nije) ili do HDD.

Osim toga, nakon ovih 20ak dana, sve radi fenomenalno

 

[alex303]

Nije bio nikakav update za pfSense. A i da jeste, update se nikada ne inicira sam od sebe. Problem je hardware. Jer pored prevelikog zagrevanja Topton ima problema sa stabilnošću i preranim crkavanjem čak i ako su temperature normalne.

 

[TwistedMind]

Mislio sam na azuriranje listi u pfblocker. Ima ih nekolicina i tu i tamo neka pravi problem. Obicno samo stoji da njie uspelo azuriranje.
Inace, sad vec planiram malo ozbiljniju spravicu, erying plocu sa intel 11850h, 32gb rama, 2x nvme 1tb + 2tb i 4 HDD, 2x10gb lan + 4x1gb lan. Apsolutni overkill za kucni server.