pfSense / OPNSense - Generalna diskusija, pitanja i saveti.

[alex303]

Posto si rekao da je 4770 overkill, evo nasao sam na tavanu jednu masinu intel core2 duo e7500 (nema 4core nego samo2) sa 4gb ddr3 i 300gb hdd.
Video sam na internetu da su se prodavali core2duo e7500 minipc sa 4gbram i pfsense instalacijom i 2x1gb lan portovima. Pa cu probati sa ovom masinom, ona ima samo 500MB/s protok pa ce valjda da se snadje.

Ne može taj procesor. Iako ima dovoljno snage, taj procesor nema AES-NI instrukcije koje pfSense zahteva.

 

[Devil 2000]

Ne može taj procesor. Iako ima dovoljno snage, taj procesor nema AES-NI instrukcije koje pfSense zahteva.

Steta, upravo sam instalirao pfsense na taj komp.

 

[alex303]

Bolje ćeš proći instalacijom OPNSense-a jer se ne oslanja toliko na AES-NI. Ili instaliraj pfSense na onaj i7.

 

[Devil 2000]

Ulogovao sam se na web stranicu pfsensa.
Za koji dan cu uzeti tu drugu gigabit pci karticu pa cu probati da povezem laptop kao korisnik pfsense rutera pa cu isprobati da li svih 500MB/s interneta propusta pfsense ili ima nekih kocenja pa cu javiti.
Edit, evo sad citam da moze da radi i sa cpu bez tih instrukcija, i da moze da se protera 1gb/s i na slabijem cpu. bottleneck pravi VPN zbog enkripcije jer za to sluze te instrukcije a VPN za sada necu koristiti.

 

[alex303]

Ok. Super onda.

 

[everton]

A kako se računar kači na mrežu? Preko LAN-a ili preko WiFi-a ?

Preko LAN-a dekstop, laptop kao i telefon preko wifi-a. Probao sam i HP server isto se ponasa kao desktop/laptop.

Izgleda je da postoji neki konflikt između Tailscale-a i WG na pfsensu, ovo sam slucajno otkrio zbog tailscale aplikacije koje imam na laptopu.
Pogl'e ovu ovu zavrzlamu:
VPS, WG server aktivan, (tailscale iskljucen)--------PfSense (WG i Tailscale aktivni)--------laptop (tailscale aplikacija diskonektovana) 35Mbit
VPS, WG server aktivan, (tailscale iskljucen)--------PfSense (WG i Tailscale aktivni)--------laptop (tailscale aplikacija konektovana) 200Mbit
VPS, WG server aktivan, (tailscale iskljucen)--------PfSense (WG aktivan, Tailscale isključen)--------laptop (tailscale aplikacija diskonektovana) 35Mbit u koliko se konektujem odmah gubim konekciju WG serverom dok konekcije sam internetom ima.

200 MBbit ka WG serveru imam samo ako ukljucim tailscale aplikaciju na laptopu iako je tailscale vec aktivan na pfsens-u.

I jos jednu stvar sam primetio u koliko obrišem Wireguard mrezu iz "advertise routes" u Tailscale opcijama na PfSensu onda nema ovih 200 Mbit, vec samo 35Mbit bez obzira da li je na laptopu aplikacija konektovana ili ne.

 

[alex303]

Ne može da postoji konflikt između TailScale-a i WireGuard-a jer se TailScale oslanja na WireGuard da bi radio. WireGuard je TailScale dependency. Može samo da postoji problem u konfiguraciji. Tebi izgleda u nekim situacijama WireGuard traffic ne ide direktno, već preko TailScale coordination servera.

Proveri to sa:

traceroute <ip.adresa.servera>

TailScale obriši na svim uređajima uključujući i VPS. Pored VPS-a sa javnom IP adresom, ti nemaš potrebe za korišćenjem TailScale-a. To što se tebi dešava je ili problem sa NAT-om ili problem sa firewall pravilima. Nebi bilo loše da okačiš screenshot svih firewall pravila na svim interfejsima. Uključujući i NAT pravila.

 

[everton]

Tailscale sam na VPS-u instalirao samo radi testiranja, zato ga i nisam ukljucivao ni u jednoj kombinaciji jer kao sto si rekao nije potreban.

Ali sad sam ga i obrisao na VPS-u i na PfSensu kompletno, uključujući i interface koji je ostao, na desktopu i HP serveru nikad nije ni bio.
Ostavio sam ga na mom laptopu radi testiranja, na zeninom laptopu nikad nije bio i ponovo ista situacija svuda kad pokrenem iperf3 test dobijem 35Mbit, osim sa telefonu i Pfsens-u gde je 200Mbit.
Za PfSense i da razumem ali telefon koji je nakacen na istu mrezu kao i ostali racunari ne mogu.

trace pokazuje samo pfsense i WG server



Edit:
Izgleda je problem samo na racunarima na kojima je windows. (da podsetim na ranije, da sam dekstop povezao direktno na sbb-ov ruter i pokrenuo WG klient i ponovo dobio tih 35Mbit)
Evo sad sam na probao na OMV-u koji je podignut kao VM na HP serveru.


HP server


Znaci definitivno izlgeda nije do PfSensa.

 

[alex303]

Ništa mi nije jasno jer nemam informacije koje su mi potrebne. Napisaću ti kako treba da odradiš, pa ti to iskoristi kao checklist. Ono što si već odradio, ignoriši.

Prvo treba da ukloniš TailScale sa svih servera, klijenata i samog pfSense-a. pfSense treba da bude nakačen na VPS WireGuard server. Kad to odradiš, pfSense treba da bude jedini VPN klijent u lokalnoj mreži. Dakle, dok si kući u lokalnoj mreži, na klijentima ti ne treba WireGuard klijent aplikacija. Ti se kačiš na lokalnu mrežu, dobijaš lokalnu privatnu adresu a pfSense interno povezuje te lokalne IP adrese sa WireGuard klijentom (NAT) koji se onda kači na VPS i tako ostvaruješ komunikaciju sa WireGuard VPN serverom na VPS-u.

WireGuard klijent aplikaciju na VPN klijentima treba da koristiš samo ako nisi u lokalnoj mreži i ako kući nemaš javni IP koji bi ti omogućio da od spolja gađaš pfSense i njegov interni VPN. Dakle, dok si van lokalne mreže, WireGuard klijent aplikacija treba da gađa tvoj VPS server direktno i na taj način u potpunosti zaobilazi pfSense. U tom slučaju je potrebno podešavanje WireGuard servera na VPS-u. Treba da imaš jednu instancu koja će primati konekciju sa pfSense-a i jednu instancu koja će primati konekciju sa VPN klijenata koji su van mreže i koji koriste WireGuard VPN aplikaciju.

Ono što se najverovatnije desilo kod tebe je to da si ti gađao VPS server i kroz njega si se konektovao na pfSense. A pfSense je onda vraćao saobraćaj nazad kroz isti tunel kroz koji je došao. A to kao rezultat ima drastično smanjenje brzine. Napravio si loopback.

Da bi izbegao potencijalne probleme, treba da napraviš DHCP statičko mapiranje za sve klijente u lokalnoj mreži, tako da svaki od njih uvek dobija statični IP. Nakon toga treba napraviti alias ali umesto kompletnog IP CIDR bloka, treba ubaciti single IP adrese iz statičkog mapiranja. A onda taj alias iskoristi za NAT-ovanje i firewall pravila. Na ovaj način strogo govoriš klijentima koju rutu da koriste. Naravno, sa firewall pravilima odradi split tunneling tako da internet i dalje dobijaš lokalno dok si, da tako kažem, "na VPN mreži".

 

[everton]

Ništa mi nije jasno jer nemam informacije koje su mi potrebne. Napisaću ti kako treba da odradiš, pa ti to iskoristi kao checklist. Ono što si već odradio, ignoriši.

Prvo treba da ukloniš TailScale sa svih servera, klijenata i samog pfSense-a. pfSense treba da bude nakačen na VPS WireGuard server. Kad to odradiš, pfSense treba da bude jedini VPN klijent u lokalnoj mreži. Dakle, dok si kući u lokalnoj mreži, na klijentima ti ne treba WireGuard klijent aplikacija. Ti se kačiš na lokalnu mrežu, dobijaš lokalnu privatnu adresu a pfSense interno povezuje te lokalne IP adrese sa WireGuard klijentom (NAT) koji se onda kači na VPS i tako ostvaruješ komunikaciju sa WireGuard VPN serverom na VPS-u.

WireGuard klijent aplikaciju na VPN klijentima treba da koristiš samo ako nisi u lokalnoj mreži i ako kući nemaš javni IP koji bi ti omogućio da od spolja gađaš pfSense i njegov interni VPN. Dakle, dok si van lokalne mreže, WireGuard klijent aplikacija treba da gađa tvoj VPS server direktno i na taj način u potpunosti zaobilazi pfSense. U tom slučaju je potrebno podešavanje WireGuard servera na VPS-u. Treba da imaš jednu instancu koja će primati konekciju sa pfSense-a i jednu instancu koja će primati konekciju sa VPN klijenata koji su van mreže i koji koriste WireGuard VPN aplikaciju.

Ovo nista nije sporno i tako je od pocetka, sem ove zadnje recenice i pravljenja jos jedne instance na WG serveru - to sam ostavio za kraj.

Meni je jos manje jasno iako imam vise informacija , pogotovo sad kad je uklonjen Tailscale sa svih masina.

Da bi izbegao potencijalne probleme, treba da napraviš DHCP statičko mapiranje za sve klijente u lokalnoj mreži, tako da svaki od njih uvek dobija statični IP. Nakon toga treba napraviti alias ali umesto kompletnog IP CIDR bloka, treba ubaciti single IP adrese iz statičkog mapiranja. A onda taj alias iskoristi za NAT-ovanje i firewall pravila. Na ovaj način strogo govoriš klijentima koju rutu da koriste. Naravno, sa firewall pravilima odradi split tunneling tako da internet i dalje dobijaš lokalno dok si, da tako kažem, "na VPN mreži".

Ovo cu isto napraviti, , hvala.

 

[artur]

Imam instaliran Unraid, da li mogu na njemu malo da se poigram sa pfSense?

 

[alex303]

Imam instaliran Unraid, da li mogu na njemu malo da se poigram sa pfSense?

Da.

 

[Difermo]

@alex303 pozdrav
sve oko nas postaje "pametno" sto znaci lako i za manipulaciju i zloupotrebu, pa bih ulozio vreme u edukaciji na tu temu. Iako sam se jedno vreme zanimao sa linuxom, moje znanje po pitanju mreze, firewall-a, portova i td. je skoro ravno nuli.. Ako bi mogao da me uputis kuda krenuti, sta prvo savladati i dao predloge za hardware.. Dosadne su reklame na youtube-u kada se gleda na televizoru, pa sam razmisljao o raspberry pi i pi-hole.. A onda razmisljam cale voli da gleda filmove online pa tu svasta iskace, cesto ima gostiju, sestra i majka klikcu sve i svasta itd. sve ovo u selu kad se okupljamo, a posto ce otac i majka skoro u penziju i ziveti tamo, polako treba sklopiti i zastiti ih.
Sta mi je cilj? potpuna sigurnost i privatnost koliko je to moguce.
sta je plan i sta bih vole:
1) neki NAS server na kome bi se skladistili filmovi za plex, muzika za hi-fi, privatni cloud itd..
2) vpn i neki blok za reklame tipa nextdns ili adguard ili ublock origin.. privacy badger itd... Ukratko zastita od cookies, reklama i ostalih zajebancija.
3) guest mreza koja bi bila potpuno izolovana (ukoliko je to moguce kako bih zastitio NAS od virusa), ali da ima zastitu adquarda...
4) plan je da to sve bude upakovano u rack server..
5) napomenuo bih da ce na toj mrezi biti i kamere. Mozda u isti rack staviti i opremu za kamere..

Sve vise je "sokocala" za pametne kuce pa ce se sigurno nesto stavljati..
Razloga je dosta: ebanking, mbanking, kamere, ransomware napad, main-in-the-middle i ostalih napada na mrezu, pa bih na vreme krenuo.
Dobrodosao je svaki predlog, sta i kako odraditi. Siguran sam da ce kostati pa bi se islo deo po deo.. Za pocetak bih krenuo od pfsense. Jos ako bi to moglo postepeno da se upakuje u nas, a da se krene od neke kucne varijante.. Nesto tipa ovako. Sad ne bih high-end komponente.. Svakako bih kasnije odlucio koliko bih izdvojio para tj koliko jake komponente. Ali poceo bih od neke bestbuy warijante za pfsense
server rack
server rack 2

 

[Devil 2000]

Jel moze da se radi kontrola saobracaja preko pfsense (da radi kao ruter) ako kompjuteri nisu direktno vezani na pfsense uredjaj nego preko svica.

@alex303 pozdrav
sve oko nas postaje "pametno" sto znaci lako i za manipulaciju i zloupotrebu, pa bih ulozio vreme u edukaciji na tu temu. Iako sam se jedno vreme zanimao sa linuxom, moje znanje po pitanju mreze, firewall-a, portova i td. je skoro ravno nuli.. Ako bi mogao da me uputis kuda krenuti, sta prvo savladati i dao predloge za hardware.. Dosadne su reklame na youtube-u kada se gleda na televizoru, pa sam razmisljao o raspberry pi i pi-hole.. A onda razmisljam cale voli da gleda filmove online pa tu svasta iskace, cesto ima gostiju, sestra i majka klikcu sve i svasta itd. sve ovo u selu kad se okupljamo, a posto ce otac i majka skoro u penziju i ziveti tamo, polako treba sklopiti i zastiti ih.
Sta mi je cilj? potpuna sigurnost i privatnost koliko je to moguce.
sta je plan i sta bih vole:
1) neki NAS server na kome bi se skladistili filmovi za plex, muzika za hi-fi, privatni cloud itd..
2) vpn i neki blok za reklame tipa nextdns ili adguard ili ublock origin.. privacy badger itd... Ukratko zastita od cookies, reklama i ostalih zajebancija.
3) guest mreza koja bi bila potpuno izolovana (ukoliko je to moguce kako bih zastitio NAS od virusa), ali da ima zastitu adquarda...
4) plan je da to sve bude upakovano u rack server..
5) napomenuo bih da ce na toj mrezi biti i kamere. Mozda u isti rack staviti i opremu za kamere..

Sve vise je "sokocala" za pametne kuce pa ce se sigurno nesto stavljati..
Razloga je dosta pa bih na vreme krenuo.
Dobrodosao je svaki predlog, sta i kako odraditi. Siguran sam da ce kostati pa bi se islo deo po deo.. Za pocetak bih krenuo od pfsense. Jos ako bi to moglo postepeno da se upakuje u nas, a da se krene od neke kucne varijante.. Nesto tipa ovako. Sad ne bih high-end komponente.. Svakako bih kasnije odlucio koliko bih izdvojio para tj koliko jake komponente. Ali poceo bih od neke bestbuy warijante za pfsense
server rack
server rack 2

Meni to izgleda previse ulaganja i komlikacije za dva penzionera da bi isla na internet i gledala neke filmove/serije sa lokalnog nas-a?
Pfsense po meni ima smisla ako imas podatke i privatnost koje treba zastititi, ako nemas nista specijalno osim porodicnih slika koje imas bekapovano na neki flesh onda ti uopste ne treba da se opterecujes sa tim.
Kupis bilo koji komercijalni nas i na njega stavis sve sto imas, plus smart tv i tablet/mobilni sa instaliranim pretrazivacem koji ima adblock u sebi tako da te resava reklama dok surfas.

 

[Difermo]

Cale planira kad se vrati da pravi apartmane za iznajmljivanje! tu su kamere! nas ne bi bio lokalni sigurno! Ne bih gledanje filmova stavio kao prvi razlog, ali bih definitivno da imaju bezbednost! ako je sve to previse ulaganja, onda moze i neka low budget varijanta koja ce odraditi posao!!

 

[Devil 2000]

Cale planira kad se vrati da pravi apartmane za iznajmljivanje! tu su kamere! nas ne bi bio lokalni sigurno! Ne bih gledanje filmova stavio kao prvi razlog, ali bih definitivno da imaju bezbednost! ako je sve to previse ulaganja, onda moze i neka low budget varijanta koja ce odraditi posao!!

Kamere nemaju veze sa nas i sa pfsense i ostalim mreznim uredjajima.
Ja kontrolisem moje nekretnine sa stanovima koje izdajem uz pomoc kamera i nista mi dodatno ne treba, samo internet veza i bezicni internet za podstanare da koriste (ja koristim access point da moze da pokrije vise stanova).

 

[Difermo]

Kamere nemaju veze sa nas i sa pfsense i ostalim mreznim uredjajima.
Ja kontrolisem moje nekretnine sa stanovima koje izdajem uz pomoc kamera i nista mi dodatno ne treba, samo internet veza i bezicni internet za podstanare da koriste (ja koristim access point da moze da pokrije vise stanova).

vise sam mislio da bi kamere bile na istoj mrezi kao i svi ostali uredjaji. PA ne bih da neko cacka, hakuje i gleda sta se radi.. Takodje bi se 1-2 meseca snimalo na NAS, pa ne bih da udje virus ili bilo sta i zezne sve (ukljucujuci filmove, muziku, licna dokumenta itd..). Kod majke su skoro na poslu imali ransomware napad i trazili im otkup u BTC, ali srecom imali su backup tako da su dobro prosli.. Opet tu je ebanking i mbanking.. Takodje i ja zelim privatnost.. Tu ce biti i grejanje koje ce se kontrolisati i daljinski.. Zeleo bih da imam koliko toluku privatnost (da provajder ne zna sta posecujem itd.) i bezbednost.. Sad ako pfsense nije za mene onda da ga preskocim.. Ali neka ideja sta i kako bila bi dobrodosla

 

[alex303]

@alex303 pozdrav
sve oko nas postaje "pametno" sto znaci lako i za manipulaciju i zloupotrebu, pa bih ulozio vreme u edukaciji na tu temu. Iako sam se jedno vreme zanimao sa linuxom, moje znanje po pitanju mreze, firewall-a, portova i td. je skoro ravno nuli.. Ako bi mogao da me uputis kuda krenuti, sta prvo savladati i dao predloge za hardware..

pfSense je odličan za početnike. Učeći pfSense, indirektno učiš osnovne stvari vezane za mreže. Koliko ćeš naučiti, zavisi od toga koliko te ta cela priča povuče. Moraš biti svestan da je to rupa bez dna jer su mreže jako kompleksna stvar.

Dosadne su reklame na youtube-u kada se gleda na televizoru, pa sam razmisljao o raspberry pi i pi-hole..

Efikasno rešenje za reklame na TV-u je samo youtube premium ili neki android box sa YouTube aplikacijom kao što je NewPipe ili ReVanced. Rešenje za blokiranje reklama na pfSense-u postoji za one koji imaju mašinu sa jakim procesorom. Uputstvo se nalazi ovde.

A onda razmisljam cale voli da gleda filmove online pa tu svasta iskace, cesto ima gostiju, sestra i majka klikcu sve i svasta itd. sve ovo u selu kad se okupljamo, a posto ce otac i majka skoro u penziju i ziveti tamo, polako treba sklopiti i zastiti ih.

Za matorce i one radoznale koji vole svuda da klikću moraš prvo da rešiš klijent stranu. Ako su na PC-u, instalirati neki prost GNU/Linux distro tipa Linux Mint ili MX Linux. Goste, matorce, NAS, kamere i eventualno lično tvoju mrežu treba odvojiti tako da svako bude na posebnom subnetu.

Na primer:

10.1.1.1/24 - Mreža za goste. Otvoreni samo portovi 443, 80 i 8080 gde je pfSense lokalni DNS resolver. Logovanje na mrežu za goste preko captive portala sa ograničenjem brzine na recimo 20Mbps i trajanje sesije 1 dan.

45.5.5.5/24 - Mreža za matorce. Isti setup kao i za goste ali bez captive portala i bez ograničenja brzine saobraćaja. pfSense kao local DNS resolver.

170.1.1.1/24 - NAS - Otvoreni samo SMB portovi i portovi neophondi za funkcionisanje NAS aplikacije. Kontrola pristupa striktno kroz firewall pravila sa statičkim mapiranjem.

175.5.5.1/24 - Mreža za kamere. U zavisnosti od toga kakve su kamere, ja bih ovde u potpunosti zabranio izlaz na net. Samo bi dozvolio portove i komunikaciju ka NVR uređaju. U slučaju da kamerama treba pristup netu, odraditi packet capture na interfejsu i videti gde se kamera kači. Ostaviti samo portove koji su neophodni za funkcionisanje, blokirati sve ostalo kao što je telemetrija i ostale gluposti. Na ovu temu napisah uputstvo koje možeš naći ovde.

Sta mi je cilj? potpuna sigurnost i privatnost koliko je to moguce.
sta je plan i sta bih vole:
1) neki NAS server na kome bi se skladistili filmovi za plex, muzika za hi-fi, privatni cloud itd..
2) vpn i neki blok za reklame tipa nextdns ili adguard ili ublock origin.. privacy badger itd... Ukratko zastita od cookies, reklama i ostalih zajebancija.
3) guest mreza koja bi bila potpuno izolovana (ukoliko je to moguce kako bih zastitio NAS od virusa), ali da ima zastitu adquarda...
4) plan je da to sve bude upakovano u rack server..
5) napomenuo bih da ce na toj mrezi biti i kamere. Mozda u isti rack staviti i opremu za kamere..

Za sve to će ti trebati neki solidan mini PC ili improvizovani PC sa 2 mrežne kartice. Neki managed PoE switch sa najmanje 4 porta koji podržava 802.1Q. I wireless access pointovi kao što su Grandstream ili Ubiquiti o kojima se dosta pričalo na ovom forumu.

Sve vise je "sokocala" za pametne kuce pa ce se sigurno nesto stavljati..
Razloga je dosta: ebanking, mbanking, kamere, ransomware napad, main-in-the-middle i ostalih napada na mrezu, pa bih na vreme krenuo.

Sve se to može odraditi i sprečiti sa pfSense-om. Biće potrebna veoma restriktivna firewall pravila, statičko DHCP mapiranje, VLAN-ovi, L2 izolacija....itd. Konfigurisanje i podešavanje će biti dugotrajan proces a imaćeš i period finog podešavanja koji može da traje danima i danima dok sve ne podesiš kako ti treba. Olakšavajuća stvar je, kad se to sve jednom podesi. Više se ne dira. Tvoja intervencija je potrebna samo ako se u mrežu dodaju novi uređaji.

Dobrodosao je svaki predlog, sta i kako odraditi. Siguran sam da ce kostati pa bi se islo deo po deo.. Za pocetak bih krenuo od pfsense. Jos ako bi to moglo postepeno da se upakuje u nas, a da se krene od neke kucne varijante.

Zavisi koji je NAS u pitanju. Na Synology je tako nešto nemoguće jer je on zatvoren. Instalacija je moguća samo na x86 baziranim NAS uređajima kao što je QNAP na koji se instalira TrueNAS. A onda se u TrueNAS-u podigne VM u koji se instalira pfSense. Ali, ako ćeš praviti VPN tunele, adblocker...itd, onda je ipak bolje rešenje odvojena x86 mašina koja će terati pfSense solo.

Nesto tipa ovako. Sad ne bih high-end komponente.. Svakako bih kasnije odlucio koliko bih izdvojio para tj koliko jake komponente. Ali poceo bih od neke bestbuy warijante za pfsense
server rack
server rack 2

Reci koliko si para spreman da uložiš pa da vidimo može li se sprovesti to što si zamislio.

Jel moze da se radi kontrola saobracaja preko pfsense (da radi kao ruter) ako kompjuteri nisu direktno vezani na pfsense uredjaj nego preko svica.

Može preko VLAN-a ako ti je taj 2.5Gbps switch upravljiv i ako podržava VLAN. Ali onda nema ništa od 2.5Gbps brzine prema serveru.

Meni to izgleda previse ulaganja i komlikacije za dva penzionera da bi isla na internet i gledala neke filmove/serije sa lokalnog nas-a?
Pfsense po meni ima smisla ako imas podatke i privatnost koje treba zastititi, ako nemas nista specijalno osim porodicnih slika koje imas bekapovano na neki flesh onda ti uopste ne treba da se opterecujes sa tim.
Kupis bilo koji komercijalni nas i na njega stavis sve sto imas, plus smart tv i tablet/mobilni sa instaliranim pretrazivacem koji ima adblock u sebi tako da te resava reklama dok surfas.

Sigurnost nema cenu.

Kamere nemaju veze sa nas i sa pfsense i ostalim mreznim uredjajima.
Ja kontrolisem moje nekretnine sa stanovima koje izdajem uz pomoc kamera i nista mi dodatno ne treba, samo internet veza i bezicni internet za podstanare da koriste (ja koristim access point da moze da pokrije vise stanova).

Ne smeš sigurnost u mreži posmatrati tako simplistički. To je recept za katastrofu. Treba da razmišljaš kao Diferno. Sa tvojim načinom razmišljanja, mala je vajda i od pfSense-a. Ne zaboravi da sigurnost počinje sa TOBOM i da je mreža sigurna onoliko koliko je sigurna najslabija karika.

Kamera ili bilo koji drugi jeftini closed source proprietary uređaj može vrlo lako da bude kompromitovana od spolja a neki već dolaze sa backdoor-om u firmware-u. Većina njih ima sigurnosne propuste jer who cares. Ako ne postoji L2 izolacija, kroz te uređaje se može kompromitovati cela mreža. IoT i WiFi mreže koje nemaju WPA3 su najpopularniji attack vectori.

 

[Devil 2000]

Sigurnost nema cenu.

Ne smeš sigurnost u mreži posmatrati tako simplistički. To je recept za katastrofu. Treba da razmišljaš kao Diferno. Sa tvojim načinom razmišljanja, mala je vajda i od pfSense-a. Ne zaboravi da sigurnost počinje sa TOBOM i da je mreža sigurna onoliko koliko je sigurna najslabija karika.

Kamera ili bilo koji drugi jeftini closed source proprietary uređaj može vrlo lako da bude kompromitovana od spolja a neki već dolaze sa backdoor-om u firmware-u. Većina njih ima sigurnosne propuste jer who cares. Ako ne postoji L2 izolacija, kroz te uređaje se može kompromitovati cela mreža. IoT i WiFi mreže koje nemaju WPA3 su najpopularniji attack vectori.

Slazem se da sigurnost nema cenu, ali kada nemas sta da cuvas od podataka, onda nema potrebe ni da pravis fort knox oko dva penzionera i par podstanara i par kamera koje vide isto sto i susedne komsije sa terasa. Ja ono sto imam od vaznih podataka svaki dan sync-ujem na cloud i moze da me opljackaju ili da mi se zapali kuca ili me napadne malware koji ce da me ucenjuje, nece me nista od toga potresti. Isti slucaj i da mi neko upadne u kamere i gleda sta mi se desava u dvoristu ili u nekom od magacina gde imam neku proizvodnju. Po meni podaci su najvazniji, a ako se oni obezbede adekvatno sve ostalo je nebitno.
A kamere ionako ne snimaju na NAS nego na DVR/NVR uredjaj koji sluzi za tu svrhu.

 

[Difermo]

pfSense je odličan za početnike. Učeći pfSense, indirektno učiš osnovne stvari vezane za mreže. Koliko ćeš naučiti, zavisi od toga koliko te ta cela priča povuče. Moraš biti svestan da je to rupa bez dna jer su mreže jako kompleksna stvar.

Ok ovo mozda postane mali problem.. Linux sam batalio i vratio se na windows (sto je kontradiktorno privatnosti) bas zbog tih problema oko hardware, nvidia drajverima wayland itd.. Definitivno ne bih isao u krajnost jer od toga ne zivim, ali od savladavanja osnova ne bih odustao.. Siguran sam da nisam meta za CIA BIA itd,, ali da bar odbijem klince u kraju koji bi da se zajebavaju sa mrezama.. Uostalom meni pre par godina nije bilo tesko da hakujem komsijinu mrezu i iz dosade hvatam pakete u whireshark i ubijam dosadu.. Eto srecom nemam zle misli niti interes pa nista sa tim nisam radio vec je otislo u recycle bin.. Bas zbog toga sto sam neko ko nije vican tome uspeo tako lako to da odradim (mozda mi se i posrecilo), resih da obezbedim sebe i druge..

Za matorce i one radoznale koji vole svuda da klikću moraš prvo da rešiš klijent stranu. Ako su na PC-u, instalirati neki prost GNU/Linux distro tipa Linux Mint ili MX Linux. Goste, matorce, NAS, kamere i eventualno lično tvoju mrežu treba odvojiti tako da svako bude na posebnom subnetu.

Na primer:

10.1.1.1/24 - Mreža za goste. Otvoreni samo portovi 443, 80 i 8080 gde je pfSense lokalni DNS resolver. Logovanje na mrežu za goste preko captive portala sa ograničenjem brzine na recimo 20Mbps i trajanje sesije 1 dan.

45.5.5.5/24 - Mreža za matorce. Isti setup kao i za goste ali bez captive portala i bez ograničenja brzine saobraćaja. pfSense kao local DNS resolver.

170.1.1.1/24 - NAS - Otvoreni samo SMB portovi i portovi neophondi za funkcionisanje NAS aplikacije. Kontrola pristupa striktno kroz firewall pravila sa statičkim mapiranjem.

175.5.5.1/24 - Mreža za kamere. U zavisnosti od toga kakve su kamere, ja bih ovde u potpunosti zabranio izlaz na net. Samo bi dozvolio portove i komunikaciju ka NVR uređaju. U slučaju da kamerama treba pristup netu, odraditi packet capture na interfejsu i videti gde se kamera kači. Ostaviti samo portove koji su neophodni za funkcionisanje, blokirati sve ostalo kao što je telemetrija i ostale gluposti. Na ovu temu napisah uputstvo koje možeš naći ovde.

ovo odvajanje cu definitivno istraziti, odraditi., pogotovu sto bih odredjene uredjaje na mrezi ogranicio na brzinu koja je potrebna. a ukoliko je moguce nekim uredjajima dao prioritet ukoliko se dosta uredjaja nakaci na wifi.. Tipa TV u prostoriji za druzenje da ima prioritet od svih telefona gostiju koji se nakace.

Za sve to će ti trebati neki solidan mini PC ili improvizovani PC sa 2 mrežne kartice. Neki managed PoE switch sa najmanje 4 porta koji podržava 802.1Q. I wireless access pointovi kao što su Grandstream ili Ubiquiti o kojima se dosta pričalo na ovom forumu.

Solidan mini PC bi imao koje komponente? cilj bi bila sto manja potrosnja i sigurnost pouzdanost (ako bi radio 24h)
sto se tice cene za sve to 1000-5000e.

Sve se to može odraditi i sprečiti sa pfSense-om. Biće potrebna veoma restriktivna firewall pravila, statičko DHCP mapiranje, VLAN-ovi, L2 izolacija....itd. Konfigurisanje i podešavanje će biti dugotrajan proces a imaćeš i period finog podešavanja koji može da traje danima i danima dok sve ne podesiš kako ti treba. Olakšavajuća stvar je, kad se to sve jednom podesi. Više se ne dira. Tvoja intervencija je potrebna samo ako se u mrežu dodaju novi uređaji.

za sve ovo dovoljan je samo pfSense? doduse nadam se kad bi se sve to uteglo da ne bi morala intervencija za konektovanje novog laptopa ili telefona na mrezu.. ili bar na gostinjsku mrezu.. Posto ako bi recimo laptop bio podesen na AP u mojoj sobi, sta se desi ako ga prikacim na UTP pored mog kreveta?

Zavisi koji je NAS u pitanju. Na Synology je tako nešto nemoguće jer je on zatvoren. Instalacija je moguća samo na x86 baziranim NAS uređajima kao što je QNAP na koji se instalira TrueNAS. A onda se u TrueNAS-u podigne VM u koji se instalira pfSense. Ali, ako ćeš praviti VPN tunele, adblocker...itd, onda je ipak bolje rešenje odvojena x86 mašina koja će terati pfSense solo.

Ovde sam se zeznuo.. Mislio sam da uzmem neki pfSens-e, pa onda dodam NAS, ostalu opremu i sve ostalo.. Ne znam da li je kompatibilno ali tipa uzmem Netgate 2100, iz njega u neki tplink archer ili sta je vec potrebno.. pa iz netgate2100 u synology DS923+ i tako deo po de.. Nisam mislio da snimam pfSense u OS od NAS-a, vec da komponentu po komponentu dodajem u rack server ... Siguran sam da bi mi bilo previse da se zezam oko pravljenja NAS-a, pa bih izbegao te homemade varijante..

 

[alex303]

Siguran sam da nisam meta za CIA BIA itd,, ali da bar odbijem klince u kraju koji bi da se zajebavaju sa mrezama.. Uostalom meni pre par godina nije bilo tesko da hakujem komsijinu mrezu i iz dosade hvatam pakete u whireshark i ubijam dosadu.. Eto srecom nemam zle misli niti interes pa nista sa tim nisam radio vec je otislo u recycle bin.. Bas zbog toga sto sam neko ko nije vican tome uspeo tako lako to da odradim (mozda mi se i posrecilo), resih da obezbedim sebe i druge..

Ako uzmeš access point koji podržava WPA3, MAC filtering i još na pfSense-u uradiš statičko mapiranje, hakovanje WiFi mreže postje nemoguća misija.

ovo odvajanje cu definitivno istraziti, odraditi., pogotovu sto bih odredjene uredjaje na mrezi ogranicio na brzinu koja je potrebna. a ukoliko je moguce nekim uredjajima dao prioritet ukoliko se dosta uredjaja nakaci na wifi.. Tipa TV u prostoriji za druzenje da ima prioritet od svih telefona gostiju koji se nakace.

Traffic shaper u pfSense-u ima mogućnost određivanja prioriteta. A postoji i opcija bandwidth sharing. Znači ne ograničavanje brzine, već deljenje brzine koje omogućava da niko nikoga u mreži ne koči.

Solidan mini PC bi imao koje komponente?

N100 procesor, 32GB SSD, 16GB RAM-a.

cilj bi bila sto manja potrosnja i sigurnost pouzdanost (ako bi radio 24h)

Taj sistem bi u idle vukao 3W a na full load 15W.

sto se tice cene za sve to 1000-5000e.

?

za sve ovo dovoljan je samo pfSense?

Da.

doduse nadam se kad bi se sve to uteglo da ne bi morala intervencija za konektovanje novog laptopa ili telefona na mrezu..

Da li ćeš odraditi statičko mapiranje ili će taj laptop moći da se kači svuda bez statičkog mapiranje je u potpunosti tvoj izbor.

ili bar na gostinjsku mrezu.. Posto ako bi recimo laptop bio podesen na AP u mojoj sobi, sta se desi ako ga prikacim na UTP pored mog kreveta?

Ništa. Dobio bi adresu i radio sasvim normalno. Statičko mapiranje je moguće na više interfejsa. A to ti omogućava da samo uređaji koji postoje u statičkoj tabeli mogu da dobiju IP adresu iz tog tvog porta. Ako ja dođem kući kod tebe i zabodem moj laptop u taj port, neću dobiti IP i samim tim neću moći da se konektujem na mrežu. Znači mreža se može podesiti tako da samo uređaje koje si ti odobrio mogu da se nakače na mrežu. Bez obzira da li je u pitanju wireless ili tvoj port pored kreveta. Za identifikaciju uređaja se ne koristi MAC adresa, nego se izračunava unikatan UUID koji se vezije za kombinaciju tvoje MAC/IP adrese. Tako da je ovu zaštitu nemoguće zaobići ručnim dodeljivanjem IP adrese i spoofovanjem MAC adrese.

Ovde sam se zeznuo.. Mislio sam da uzmem neki pfSens-e, pa onda dodam NAS, ostalu opremu i sve ostalo.. Ne znam da li je kompatibilno ali tipa uzmem Netgate 2100, iz njega u neki tplink archer ili sta je vec potrebno.. pa iz netgate2100 u synology DS923+ i tako deo po de.. Nisam mislio da snimam pfSense u OS od NAS-a, vec da komponentu po komponentu dodajem u rack server ...

Možeš i tako, samo što će te nabavka Netgate uređaja skupo koštati. Sami Netgate uređaji imaju dosta visoku cenu a onda na sve to treba dodati troškove transporta i carinu. Ako imaš neki drugi način nabavke, go for it. Ako ništa, Netgate uređaj se isplati jer se dobija pfSense+.

 

[KurtK]

Ja sam porucio sa alija neki uredjaj sa cetiri 2.5G porta, i Intel N100 procesorom, 8GB RAM pa ce prvo da padne ProxMox i na njega PFSense.

 

[alex303]

Ja sam porucio sa alija neki uredjaj sa cetiri 2.5G porta, i Intel N100 procesorom, 8GB RAM pa ce prvo da padne ProxMox i na njega PFSense.

Nadam se da nije Topton, XCY ili nešto još gore.

 

[Devil 2000]

Nadam se da nije Topton, XCY ili nešto još gore.

Jel imas neki info kakav je ovaj brend ?

162.84€ 40% OFF|GMKtec G3 Mini PC Alder Lake N100 Windows 11 Pro Intel 12th DDR4 8GB RAM 256GB ROM WiFi 6 BT5.2 Desktop Computer Mini Pc Work| | - AliExpress

Smarter Shopping, Better Living! Aliexpress.com

vi.aliexpress.com

 

[alex303]

Nemam.

Ja znam šta je dobro. Qotom, Yanling/MiniSys, Protectli, Thomass Krenn i Netgate. Sve ostalo uzimate na sopstveni rizik.

 

[KurtK]

Nadam se da nije Topton, XCY ili nešto još gore.

131.12€ 24% OFF|Intel N100 Celeron N5105 Soft Router lüfter loser Mini PC 4x Intel i226 i225 2,5g LAN HD DP Pfsense Firewall Appliance ESXI AES NI| | - AliExpress

Smarter Shopping, Better Living! Aliexpress.com

www.aliexpress.com

Ovaj, posto ne vidim da ima neko ime.

 

[alex303]

Loša kupovina.

"the wooyi store box got a newer board revision and a proper lg power supply, but they replaced the copper heatsink between chassis and mobo with aluminum... and cheap thermal paste > instant 105°C and throttle. lapped it, repasted and set pl2 to 15w. thermal problems solved".

Ista priča kao i sa TopTon uređajima. Loša obrada, loša pasta, metal najgoreg mogućeg kvaliteta. Ali možeš da probaš isto što je i ovaj lik uradio. Poliranje baze, zamena paste, i power limiter u biosu.

 

[Difermo]

?

Mislio sam da izdvojim 1000-5000evra za sve. Sad kad pogledam za pocetak ne bi bilo lose prvo da uzmem za stan da naucim.. Svakako sam zeleo i sebi. Ako imas neku bolju ideju ili bi zamenio uredjaje kvalitetnijim u tom cenovnom rangu (ili jeftiniji ako ima bolji), rad sam da cujem predlog
1)Netgate 2100 - koliko vidim nemoguce naci pa sta bi bilo umesto njega ?
2)TP-Link Archer AX90 oko 250e
3)NAS DS932+ i 4x8tb = 1500e
4)managed PoE switch - nemam pojma koji

koliko sam razumeo na netgate bi se prikacio tplink, nas, i svi ostali uredjaji koje bih hteo (PC integrisano pojacalo za strimovanje itd?)
Naravno budzet je uvek kljucni pa mogu i neku low varijantu NAS DS723+ sa dva diska.. neki jeftiniji Archer.. Bitno mi samo da to funkcionise da proradi

 

[alex303]

Mislio sam da izdvojim 1000-5000evra za sve. Sad kad pogledam za pocetak ne bi bilo lose prvo da uzmem za stan da naucim.. Svakako sam zeleo i sebi. Ako imas neku bolju ideju ili bi zamenio uredjaje kvalitetnijim u tom cenovnom rangu (ili jeftiniji ako ima bolji), rad sam da cujem predlog
1)Netgate 2100 - koliko vidim nemoguce naci pa sta bi bilo umesto njega ?
2)TP-Link Archer AX90 oko 250e
3)NAS DS932+ i 4x8tb = 1500e
4)managed PoE switch - nemam pojma koji

Mini PC uzmi ovaj. U specifikaciji sa i5-10210u + 64GB SSD + 16GB RAM + Isporuka + carina bi te izašlo 555 eura.
Umesto tog TP-Link-a uzmi Ubiquiti U6 Mesh za 250 eura.
Kao switch, preporučujem Ubiquiti Lite 8 PoE za 145 eura.

Sa NAS uređajem i diskovima koje si naveo gore, sve ovo te izađe 2450 eura.

koliko sam razumeo na netgate bi se prikacio tplink, nas, i svi ostali uredjaji koje bih hteo (PC integrisano pojacalo za strimovanje itd?)

U mini PC bi priključio samo NAS i switch. Access point mora u switch jer će se napajati iz njega preko LAN kabla. Sa ovim setup-om si trajno završio mrežu što se tiče mogućnosti i sigurnosti.

 

[artur]

Jedan detalj mi nije jasan. Imam SBB optiku. Što znači da prebacivanje njihovog modema u bridge mod je nemoguća misija.
Koje su opcije povezivanja a da pfsense kontrolise WiFi.
Iskljucivanje WiFi na sbb modem, iz njega u wan pfsensa, pa iz pfsensa lan porta u switch. A iz switch a u neki drugi WiFi router.

Ili gadno grešim?