pfSense / OPNSense - Generalna diskusija, pitanja i saveti.

[artur]

Razmišljam da uzmem Orion optiku, malo da smanjim paket na SBB, cena ista, a ukupno bolje rešenje, bar za mene. Orion može u bridge mod, a SBB ostaje zbog TV kanala. Na Orionu bih uzeo fiksnu IP adresu. Već sam pitao, samo da proverim, može Bridge mod, oni daju ipoe, to je isto kao pppoe samo lakše, nema username I pass. Da li je to OK.

Da li mogu da ubacim oba provajdera u pfsense, I da podesim da odredjeni Vlan-ovi (uredjaji) koriste SBB a odredjeni Orion. A da bude I kao failover.

Samo me interesuje da li to može, za detalje ako I kad uvedem.

 

[alex303]

Da li mogu da ubacim oba provajdera u pfsense, I da podesim da odredjeni Vlan-ovi (uredjaji) koriste SBB a odredjeni Orion. A da bude I kao failover.

Da. Može da radi failover i load balance bez problema. I ne samo to. Može da sabere brzine sa oba neta ako imaš multistream download kao što je torrent. I da. Možeš da definišeš šta će ići preko SBB-a a šta preko Oriona.

Samo me interesuje da li to može, za detalje ako I kad uvedem.

Već sam pisao o tome u ovoj temi. Pogledaj ovaj post.

 

[artur]

Stigla Orion optika, paket 4.5 / 1 Gb/s, podesen failover kao na prvom postu, i sve radi, ali brzina DL je zabrinjavajuca.
Router prebacen u bridge mod, ne mogu da proverim bez pfSensa.
Speedtest se kaci na Orion server. Stavio sam DHCP Orion da bude Tier1. Sta moze da bude problem.

 

[alex303]

Problem može da bude:

1. 1Gbps umesto 2.5Gbps mrežna na uređaju sa kojeg se radi speedtest.
2. Switch koji ima 1Gbps umesto 2.5Gbps portove.
3. Loš LAN kabl koji sprečava link negotiation na 2.5Gbps.

Idi na Status / Interfaces. Proveri polja "Media" za WAN i LAN interfejse. Napravi screenshot i okači ovde.

 

[artur]

Na HOME Vlanu mi je zakacen PC gde sam merio brzinu

 

[alex303]

Na svim interfejsima ti je brzina ograničena na 1Gbps što ukazuje na problem sa LAN kablovima ili samim uređajima. Koja je mrežna kartica na laptopu ? Takođe ne vidim WAN interface na slici.

 

[artur]

Mereno je na desktop PC, ne mogu sada do njega.
Sta je resenje, znaci sa ovom opremom ovo je MAX, kako da izvucem tih 4.5?

 

[alex303]

Mereno je na desktop PC, ne mogu sada do njega.
Sta je resenje, znaci sa ovom opremom ovo je MAX, kako da izvucem tih 4.5?

Obrisao sam ti sliku jer nisi sakrio svoj public IP. Ali video sam šta treba da vidim. I WAN interface ti je takođe linkovan (limitiran) na 1Gbps. U polju media treba da piše 2500BaseT a tebi svuda piše 1000BaseT.

 

[artur]

Super, idemo dalje. Ovo je definitivno jako dugo putovanje za mene.
Bas sam bio ponosan na sebe kada sam za Vlan gde ja zakacem Eon box stavio WAN od SBB-a, I pojavili se kanali.
Sada sam opet skoro na početku. Ne znam kako nisam razmišljao da ne mogu da postognem brzinu od 4.5 gbps sa opremom od 1 gbps.

 

[alex303]

Super, idemo dalje. Ovo je definitivno jako dugo putovanje za mene.
Bas sam bio ponosan na sebe kada sam za Vlan gde ja zakacem Eon box stavio WAN od SBB-a, I pojavili se kanali.
Sada sam opet skoro na početku. Ne znam kako nisam razmišljao da ne mogu da postognem brzinu od 4.5 gbps sa opremom od 1 gbps.

Preteruješ. Većina ljudi se nebi upustila u sve ovo čak i da imaju nekoga da ih vodi. Seti se gde si bio pre svega ovoga, a gde si sada. Tvoj setup radi i to je ono najbitnije. Jedina greška je kupvina nepotrebno brzog internet paketa. Čak i da imaš opremu, ja mislim da je 4.5Gbps overkill za kućnu upotrebu.

Ono što mene kopka je činjenica da ti i dalje imaš 1Gbps link između Orion uređaja i mini pc-a. Taj link treba da bude 2.5Gbps. Moja preporuka ti je da proveriš specifikacije Orion uređaja i kabl, jer tu nešto nije ok. Tvoj mini pc ima četri 2.5Gbps porta, a to znači da na izlaznim portovima na mini pc-u treba da dobiješ 2.5Gbps brzine. Naravno, pod uslovom da uređaji koje kačiš na te porove podržavaju 2.5Gbps. AP, Switch, desktop, laptop...itd.

 

[TwistedMind]

Cini mi se da je sam benchmark radio testiranje orion 10gbps mreze i da je i tada bilo price da je to nemoguce ispuniti sa njihovom opremom.
Zakacili su 4 kabla na na 4x1gbps porta na ruteru i povezali jos 10ak tlefona na wifi kako bi pokusali da ispune mrezu, ali to nije bilo dovoljno. Dostigli su limit rutera.
Da li si siguran da orion oprema ima vise od 1gbps port? Ne pronalazim info o uredjajima koje koriste.

 

[artur]

Ovo su specifikacije uredjaja
To je i meni sinoć palo napamet, kako nemam konekciju od 2.5 sa pfsense minipc

Huawei HN8546X6 ONT

Inquire Huawei HN8546X6 EN8145X6 Similar Price, Wholesale HN8546X6 with best discount, Download HN8546X6 firmware and datasheet, Compatible with Huawei/ZTE/NOKIA/FIBERHOME OLT

www.xponshop.com

 

[alex303]

To je to. Taj uređaj ima 4 x 1Gbps lan portove. Stvarno ne razumem takvo poslovanje. Omogućiš mušteriji da uzme paket čija brzina daleko prevazilazi tehničke mogućnosti routera. Ovo je van svake pameti.

 

[artur]

Razgovarao sam sa njihovom (Orion) tehničkom podrškom, kažu, gospodine vi imate na 4 porta po gigabit što daje 4 giga. Ja im kažem da mi je modem u bridge modu, e pa onda imate samo 1Gb, I to ste vi (ja) trazili. Pitao sam ih zašto na sajtu ili u ugovoru ne stoji da im je brzina 4 x 1, nego piše 4.5, tu su zacutali, preusmerili me na reklamacije a oni na brigu o korisnicima, koji će mi se javiti.

 

[alex303]

Razgovarao sam sa njihovom (Orion) tehničkom podrškom, kažu, gospodine vi imate na 4 porta po gigabit što daje 4 giga. Ja im kažem da mi je modem u bridge modu, e pa onda imate samo 1Gb, I to ste vi (ja) trazili.

Veću glupost u životu nisam čuo.

Pitao sam ih zašto na sajtu ili u ugovoru ne stoji da im je brzina 4 x 1, nego piše 4.5, tu su zacutali, preusmerili me na reklamacije a oni na brigu o korisnicima, koji će mi se javiti.

Obavezno javi šta je bilo.

 

[mirop]

Ovo je standard za taj paket, pogledaj u temi orion telekom….

Bolji ont dobijasxsa 10gbps paketom…

 

[e6111]

Sudeci po komentarima iz orion teme, internet cesto radi ispod 1Gbps, pa je pitanje da li ima svrhe uopste za brzom opremom…

 

[artur]

Imam problem sa VPN PIA, ne menja mi IP adresu u whatismyipaddress.com

Konektovao se na VPN


Evo potrebnih screenshotova




Ako mozemo prvo da resimo ovo, posle mi nije jasno kako na LAN interfejsu da radi u isto vreme i VPN i Fileover.
I buni me kada biram Interface u Firewall/NAT/Outbound imam PIA_SRB i OpenVPN
Da li mora da ima ovoliko pravila u NAT/Outbound?

 

[artur]

Resetovao sam pfSense i dobio status ONLINE, ali i dalje je ista IP adresa

 

[alex303]

Imam problem sa VPN PIA, ne menja mi IP adresu u whatismyipaddress.com
Pogledajte prilog 450046
Konektovao se na VPN
Pogledajte prilog 450047

Evo potrebnih screenshotova
Pogledajte prilog 450049Pogledajte prilog 450050
Pogledajte prilog 450052
Pogledajte prilog 450053

Ako mozemo prvo da resimo ovo, posle mi nije jasno kako na LAN interfejsu da radi u isto vreme i VPN i Fileover.
I buni me kada biram Interface u Firewall/NAT/Outbound imam PIA_SRB i OpenVPN
Da li mora da ima ovoliko pravila u NAT/Outbound?

Možeš slobodno da obrišeš sva "500 ISAKMP" NAT pravila i sva NAT pravila gde ti je source 127.0.0.0/8 ili ::/128.

VPN ti ne radi jer nemaš NAT rule koji radi translate sa LAN subneta na VPN subnet. Ali, pošto imaš dva provajdera i koristiš VPN, idi u Frewall / Aliases i napravi ovakav Alias.


Kao što vidiš gore, u alias dodaj sve subnetove koje želiš da idu preko PIA VPN-a. Klikni na save, a onda idi na Firewall / NAT i napravi ovakav NAT rule.



Naravno, umesto OpenVPN interface-a koji je na mojoj slici, ti odaberi PIA_SRB interface. Snimi i restartuj OpenVPN servis i to je to.

Resetovao sam pfSense i dobio status ONLINE, ali i dalje je ista IP adresa

ONLINE status znači da se VPN klijent unutar pfSense-a povezao a ne klijenti nakačeni na pfSense.

 

[artur]

Nece i dalje

Malo sam sredio NAT/OUTBOUND

Kada stavim u Source/ Subnet mask na 24 sam mi prebaci u 32, da li u Translation/Address treba da stoji PIA_SRB Address



Da li treba jos nesto da posaljem.

 

[alex303]

Nece i dalje

Pogledajte prilog 450067

Ovo nije dobro. Na slici se vidi da ti je odabrani interface OpenVPN umesto PIA_SRB.

Kada stavim u Source/ Subnet mask na 24 sam mi prebaci u 32, da li u Translation/Address treba da stoji PIA_SRB Address

Nebitno je što vraća na /32. On koristi ono što je definisano u Alias-u.

Da li treba jos nesto da posaljem.

Da. Slikaj mi sledeće:

Status / OpenVPN sekciju.
Firewall / Rules sekciju na LAN interface-u.
System / Routing sekciju.
System / General Setup sekciju.

 

[artur]

 

[alex303]

Pogledajte prilog 450074

Ovo nije dobro. Gateway ti stoji "FAILOVER" a taj gateway sačinjavaju WAN1 i WAN2 interfejsi koji nemaju nikakve veze sa PIA VPN-om. U firewall rule treba da odabereš "PIA_SRB" gateway a ne "FAILOVER".

Pogledajte prilog 450076

Ni ovo ti ne valja. Čak i da proradi net, sa ovim podešavanjima ćeš imati DNS leak jer koristiš cloudflare i quad9 servere. Još gora stvar je što sa ovim podešavanjima u potpunosti zaobilaziš pfBlockerNG. Kao DNS treba da staviš PIA DNS a to je 10.0.0.242

 

[artur]

Za sada sam resio na ovaj nacin, ali kako, nije mi jasno, na LAN subnetu mi je zakacen unraid koji izmedju ostalog skida torrente, on treba da ide preko VPN-a, a u slucaju da se izgubi jedan NET preuzme drugi preko Failovera, ili druga mogucnost kako si naveo da moze simultano da skida sa oba WAN porta.

Gde se odredjuje koji WAN port da koristi odredjeni Vlanu Firewall / Rules ili u NAT / Outbound. Ja sam podesio kroz Firewall.


Ako podesim ovako ja nemam internet, da li treba da se resetuje nesto da bi radilo.

 

[alex303]

Pogledajte prilog 450077

Za sada sam resio na ovaj nacin, ali kako, nije mi jasno,

To je upravo ono što sam ti rekao u postovima od gore. Nisi imao NAT rule za PIA VPN. Posle si napravio rule, ali si odabrao pogrešan interface. Onda si i to ispravio, ali ti nije bio odabran dobar gateway u firewall rule-u.

na LAN subnetu mi je zakacen unraid koji izmedju ostalog skida torrente, on treba da ide preko VPN-a, a u slucaju da se izgubi jedan NET preuzme drugi preko Failovera, ili druga mogucnost kako si naveo da moze simultano da skida sa oba WAN porta.

Ovo kako si podesio sada i dalje ne valja bez obzira što radi. VPN ti ne ide preko failover gateway-a. A onaj firewall rule što imaš ispod gde ti je selektovan FAILOVER nema nikakvu ulogu. Treba da uradiš sledeće:

Idi na Interfaces / Interface Groups.

Klikni na Add i napravi novi group interface koji treba da izgleda ovako:


Pritisni i drži Ctrl na tastaturi i klikni prvo na WAN a onda na WAN2 interfejs kako bi selektovao oba. Klikni save, i trebalo bi da dobiješ ovako nešto.


Nakon toga, idi na VPN / OpenVPN / Clients i u sekciji Endpoint Configuration kao interface odaberi VPN_FAILOVER.

Gde se odredjuje koji WAN port da koristi odredjeni Vlanu Firewall / Rules

U Firewall / Rules i odabereš tab za VLAN koji hoćeš da podesiš i onda u okviru tog taba sa firewall rulom odrediš gateway.

ili u NAT / Outbound. Ja sam podesio kroz Firewall.

Da bi to radilo, mora da postoji NAT rule za taj VLAN subnet. Možeš da napraviš novi NAT rule eksplicitno za taj VLAN subnet, ili taj subnet dodaš u onaj Alias što smo napravili gore. Ako za određeni VLAN subnet ne postoji NAT rule, firewall rule nema nikakvu funkciju.

Ovo je neki grubi flow: NAT > Firewall rule > Gateway > internet.

Pogledajte prilog 450078
Ako podesim ovako ja nemam internet, da li treba da se resetuje nesto da bi radilo.

Ne treba da se resetuje, ali treba dodatno podešavanje. Idi u Services / DNS Resolver i uključi opciju DNS Query Forwarding. A onda idi u System / General setup i stavi da prvi DNS bude 10.0.0.242 i odaberi PIA VPN interface kao gateway.

 

[artur]

Sinoc dodjose gosti, a ja u sred podesavanja

Necu danas mnogo da gusim, samo par stavri.


Medjutim u VPN/OpenVPN/Cleints/Endpoint Configuration/Interface NEMA "VPN_FAILOVER" ima "GW Group FAILOVER"

i onda to izdleda ovako



Jos u vezi DNS, da li staviti jo neki DNS Server, i da li ostaviti opciju koju sam uokvirio

Desava mi se kada otvaram stranice sa ovom postovkom da mi izlazi ovaj ekran reCAPTCHA, I'm not a robot check,
kaze zena opet si nesto cackao pa mi ne otvara sve stranice.

Sta od ovih opcija ON/OFF (opet sam malo citao/gledao)

General DNS Resolver Options:
DNSSEC - kod mene je ON
Python Module - kod mene je OFF
DNS Query Forwarding: Enable Forwarding Mode - rekli smo ON
DNS Query Forwarding: Use SSL/TLS for outgoing DNS Queries to Forwarding Servers - kod mene je ON

 

[alex303]

Sinoc dodjose gosti, a ja u sred podesavanja

Necu danas mnogo da gusim, samo par stavri.

Pogledajte prilog 450136
Medjutim u VPN/OpenVPN/Cleints/Endpoint Configuration/Interface NEMA "VPN_FAILOVER" ima "GW Group FAILOVER"

i onda to izdleda ovako
Pogledajte prilog 450139

Postoji bug u pfSense. Moraš da kreiraš nekoliko grupa sa potpuno istim podešavanjima ali sa različitim imenom dok se napokon ne pojavi u Interface sekciji. Mislim da bi i taj GW Failover trebao da radi. Probaj kad budeš imao vremena. Samo imaj na umu da kod nekih VPN provajdera treba dosta dugo sačekati dok skonta da nema neta i dok se ne konektuje na drugi gateway.

Jos u vezi DNS, da li staviti jo neki DNS Server, i da li ostaviti opciju koju sam uokvirio
Pogledajte prilog 450141

Treba staviti 9.9.9.9 i njemu odrediti jedan od WAN interfejsa. DNS Resolution Behavior ostavi kako jeste.

Desava mi se kada otvaram stranice sa ovom postovkom da mi izlazi ovaj ekran reCAPTCHA, I'm not a robot check,
kaze zena opet si nesto cackao pa mi ne otvara sve stranice.

To je potpuno normalno kada se koristi VPN jer se iza jednog IP-a nalazi jako mnogo korisnika. Takođe imaj na umu da pfBlocker sprečava da ti neko prati ženu na netu. Neki sajtovi mogu da prepoznaju tracker blocking, i onda traže da se rešava captcha. Ako je baš bude smaralo to, možeš da probaš da joj u DHCP server podešavanjima dodeliš custom DNS. Na taj način zaobilaziš pfBlocker. Drugo rešenje je da napraviš firewall rule samo za taj sajt koji je smara, i da on ima normalan izlaz preko neta umesto VPN-a.

Sta od ovih opcija ON/OFF (opet sam malo citao/gledao)

General DNS Resolver Options:
DNSSEC - kod mene je ON

Treba da bude off jer VPN provajder radi DNSSEC sa njihove strane. Ovo može da pravi veliki problem sa otvaranjem sajtova.

Python Module - kod mene je OFF

Python modul se aktivira kada se pfBlocker prebaci iz klasičnog režima u takozvani Python Režim. Tu opciju ne treba dirati.

DNS Query Forwarding: Enable Forwarding Mode - rekli smo ON

Kada lokalni DNS request prođe pfBlocker, ta opcija omogućava da se taj request forwarduje upstream DNS serveru koji se nalazi u System / General Setup. Tako da imaš najbolje iz oba sveta. Blokiraš reklame lokalno, a legit DNS requestove šalješ upstream DNS serverima koje si ručno odredio.

DNS Query Forwarding: Use SSL/TLS for outgoing DNS Queries to Forwarding Servers - kod mene je ON

Ne radiš DoH to jest DNS over HTTPS, tako da ovo možeš da isključiš.

 

[artur]

Postoji bug u pfSense. Moraš da kreiraš nekoliko grupa sa potpuno istim podešavanjima ali sa različitim imenom dok se napokon ne pojavi u Interface sekciji. Mislim da bi i taj GW Failover trebao da radi. Probaj kad budeš imao vremena. Samo imaj na umu da kod nekih VPN provajdera treba dosta dugo sačekati dok skonta da nema neta i dok se ne konektuje na drugi gateway.

Hvala bogu da nije problem u meni, to cu probati narednih dana. Kada se pojavi Interface, ostale obrisem?


To je to?

Sve ostalo podeseno kako je napisano.
Posto sam pratio neko drugo uputstvo za PIA VPN, samo mala provera


Custom options:
persist-key
persist-tun
remote-cert-tls server
reneg-sec 0
auth-retry interact
dhcp-option DNS 10.0.0.241
dhcp-option DNS 10.0.0.243

I to je to, do sledecih izazova.

 

[alex303]

Hvala bogu da nije problem u meni, to cu probati narednih dana. Kada se pojavi Interface, ostale obrisem?

Ne brišeš jer su record based. Može doći do pomeranja iterface-a. Ne smeta da ostanu.

Pogledajte prilog 450153
To je to?

Da. Možeš da dodaš još 1.1.1.1 i ostavi mu default gateway.

Sve ostalo podeseno kako je napisano.
Posto sam pratio neko drugo uputstvo za PIA VPN, samo mala provera
Pogledajte prilog 450154

Custom options:
persist-key
persist-tun
remote-cert-tls server
reneg-sec 0
auth-retry interact

Na ovim slikama se ništa ne vidi. Skontao sam da je u pitanju podešavanje OpenVPN klijenta, tako da, dok god se klijent povezuje i sve radi ok, nema potrebe čačkati ili menjati bilo šta.

dhcp-option DNS 10.0.0.241

dhcp-option DNS 10.0.0.243

I to je to, do sledecih izazova.

Osim ove dve opcije. To možeš da ukloniš, sve ostalo ostavi.