pfSense / OPNSense - Generalna diskusija, pitanja i saveti.

[artur]

Da odgovorim sam sebi. Na osnovu svega prilozenog na Unraidu to ne moze. Ukoliko se zeli odredjena IP adresa, mora rucno da se dodaju IP adrese kontejnerima iz VLAN opsega koji se napravi na pfSense i Unaraidu, a moze i DHCP pa da Unraid dododeljuje po redu u opsegu DHCP podesavanja iz pfSensa.

 

[whose]

Kako ljudima ide sa ovim. Da li je bilo problema sa flashing coreboot na yanling.
Kakve su sad cene; gde je dobro kupiti.

 

[artur]

Nazalost clana @alex303 nesto nema na forumu, ja garantujem da zbog njega i jos nekih clanova ovaj forum i opstaje u zivotu za razliku od mnogih drugi koji umiru polako. Jedino on moze da ti da pravi odgovor na tvoja pitanja. Ja u svoje ime kazem da sam apsolutni pocetnik u ovome, mada sam dosta stvari podesio u pfSensu, medjutim ukoliko iskrsne neki problem nisam siguran da neko ovde moze da ti pomogne. Mozes potraziti i na zvanicnom Netgate forumu pomoc.
Isto tako iz ove teme moze dosta da se nauci. Dosta stvari je pokriveno za neki osnovni rad.

​

 

[suarezz]

Pozdrav svima, poceo sam da se interesujem za racunarske mreze pa mi je ova tema zapala za oko.
Zeleo bih kuci da instaliram pfSense pa da ucim po malo.
Imam Yettel-ovu optiku, Lenovo mini pc sa I3 8100T ili G4560T (35w TDP).

Da li su mi u startu neophodne dve mrezne kartice? MINI PC ima jedan gigabitni port i wifi karticu, ako se wifi kartica racuna.
Da li je potrebno odmah u startu da instaliram pfSense ili mogu da ga instaliram u Windowsu preko neke VM?


Neka zelja za pocetak mi je da podesim neku vrstu adblockera i eventualno da kontrolisem uredjaje i da ogranicavam njihov protok interneta.

 

[artur]

Ajde da probam ja, bar uopsteno da ti odgovorim.
Za pFsense moras da imas najmanje dve mrezne karte, jedna se korisi kao WAN ili ti ulaz a drugi LAN ili ti izlaz.
Sto znaci, u tvom slucaju ti ne treba Yettelov router iz male crne kutije gde ulazi fiber vlakno i izazi mrezni kabl, taj kabl stavis u WAN port pfSensa,
trazis od Yettela tvoje login podatke, podesis WAN port u pfSensu. U toj varijanti gubis WiFi posto je iskljucen Yettel router. Da bi ga dobio moras da kupis AP.
Ako vezes pfSense posle Yettel routera imas tzv double NAT sto nije dobro i WiFI ne mozes da kontrolises sa pfSense.
Mora da bude ISP (Interne Service Provider) -> pfSense -> tvoja mreza. Sv sto je posle pfSensa kontrolises sve sto je pre ne kontrolises.
WiFI kartica ne sluzi nicemu na pfSense.
Za pocetnika mislim da je malo komplikovano.
Bez obzira prvo sto treba da uradis da citas ovu temu od pocetka i vidis kako podestiti osnovne stvari i tako nekoliko puta.
Moj savet je da na tu masinu instaliras recimo Ubuntu server, aktiviras SSH pristup, zakacis na taj router, instaliras Docker, Portainer, Pihole ili AdBlocker, njih koristis kao DNS server, adrese tih kontejnera stavis u DNS podesavaja tog routera i i mas odlicnu blokadu reklama, spijuniranja, ...
Imas sve do tancine objasnjeno na YouTube i na ovom forumu imas super temu za podesavanje DNS srvera.
Nadam se da ti je malo jasnije, ja stvarno nisam expert za ove stvari ali uz pomoc ove teme sam namestio bar priblizno onako sto sam zeleo, sa svakim danom otkrivas nove stvari i nove probleme i moguca resenja.

 

[suarezz]

Hvala na odgovoru.
U glavi mi je bio plan da zakacim mini PC na Yettel-ov ruter. Ali sad vidim da to nije pametno.
Trenutno ne bih trosio novac na AP, posto ne znam koliko cu duboko uci u sve ovo.
Mislim da u kuci imam neki polovan ruter, da li bih mogao njega da zakacim da bude kao AP i da izbacim Yettelov ruter?
Svakako bih prvo morao da narucim M.2 mreznu karticu.

Do tada bih mogao da istrazim malo o PiHole i slicnima i da pokusam instalaciju.

 

[everton]

Za početak i u svrhu učenja i upoznavanja instaliraj PfSense kao VM možeš u okviru Win-a, moja preporuka je da staviš Proxmox VE na taj mini PC zbog odličnih backup-a opcija koje će ti sigurno dobro doći kad nešto zezneš

Onda pored PfSensa napraviš jos nekoliko VM kojima ćeš dodeliti jedan ili više virtualnih NIC-ova, fizički NIC koji imaš u PfSensu će ti biti WAN ostali virtualni če biti LAN.
To ti je započetak više nego dovoljno u svrhu testiranja i učenja oko FireWall pravila i simulacije mreže.

Možeš i uz pomoć pametnog switcha da rešiš nedostak drugog fizičkog NIC-a malo komplikuje stvari ali pored mrežne kartice isto opcija, takođe taj dupli NAT za većinu korisnika nije u opšte toliko bitan i nemaju problem stim, tu i ja spadam. Nije idealno ali nije ni smak sveta...😉 (kad sam testirao Mikrotikov RouterOS , VM koje su bile iza njega imale su triple NAT)

Opet za početak i dok ne savladaš osnove što se tiče sigurnosti bolje (dupli)NAT nego da ti pfSense odmah bude edge router.

 

[Beastmode]

Zna li netko bi li mi ovo riješilo problem drugog Ethernet porta za WAN/LAN na pfSense-u na mom HP Mini PC-ju?
Pretpostavljam da bi radilo, ali bih htio biti siguran prije nego kupim.

https://www.ebay.com/itm/267240080571

Ako netko ima bolju ili pouzdaniju alternativu, slobodno preporučite 🙂

 

[TwistedMind]

Kolega u NAS temi baš priča o tim karticama, isto ima neki HP mini server.
Ono što moraš da vidiš je da li postoji freeBSD drajver za taj čip.
AI kaže da koristi intel i225/226 čip, što je savršeno za pfsense.

Ja sam uzeo 10gb karticu sa marvel čipom i to ne može, jednostavno ga ne vidi. Na svu sreću, proxmox vidi pa onda ide preko brdidge, ali to nije optimalno.

 

[mickeyrs]

Brza pretraga kaže da je u pitanju Intel i225-V čip koji jeste OK, ali isto tako i da je problematičan pre B3 revizije, pa je možda najbolje rešenje da se potraži malo neko konkretnije iskustvo po forumima sa tačnom revizijom čipa ili HP partno pre poručivanja.

 

[Beastmode]

Hvala ekipa, morat cu to jos onda istrazit da vidim sto s tim.
Imam svakako smart switch preko kojeg mogu namjestit VLANove pa tako koristit wan i lan, al sam htio ici 'jednostavnijim' putem.

 

[MegaSkot]

imam taj HP Flex IO V2 2.5GbE NIC i radi odlicno u Plex serveru, za vikend ide van i ubacujem 10Gbe.

 

[Beastmode]

Ne znam gdje bi drugo ovo postao, pa ajde da probam ovdje. Ako je pogrešno postano, neka moderator prebaci.
Pokušavam namjestiti WireGuard preko VPS-a, ali ne radi iz nekog razloga.

Ono što sam napravio:

• Instalirao sam WireGuard na VPS
• Otvorio firewall na VPS-u za UDP port 51820
• Instalirao WireGuard na Proxmox i na klijent (laptop)

Podesio sam sve .conf fileove na VPS-u, Proxmoxu i klijentu, ali ping ne prolazi ni u jednom smjeru.
Evo ovako izgledaju konfiguracijski fileovi od svih ovih dijelova:
VPS

[Interface]
Address = 10.10.0.1/24
ListenPort = 51820
PrivateKey = <VPS_PRIVATE_KEY>
SaveConfig = true

[Peer]
PublicKey = <CLIENT_PUBLIC_KEY>
AllowedIPs = 10.10.0.2/32

[Peer]
PublicKey = <PROXMOX_PUBLIC_KEY>
AllowedIPs = 10.10.0.3/32, 192.168.0.0/24

Klijent(laptop u mom slucaju)

[Interface]
PrivateKey = <CLIENT_PRIVATE_KEY>
Address = 10.10.0.2/24
DNS = 1.1.1.1

[Peer]
PublicKey = <VPS_PUBLIC_KEY>
Endpoint = 91.98.69.157:51820
AllowedIPs = 10.10.0.0/24
PersistentKeepalive = 25

Proxmox

[Interface]
PrivateKey = <PROXMOX_PRIVATE_KEY>
Address = 10.10.0.3/24
DNS = 1.1.1.1

[Peer]
PublicKey = <VPS_PUBLIC_KEY>
Endpoint = 91.98.69.157:51820
AllowedIPs = 10.10.0.0/24, 192.168.0.0/24
PersistentKeepalive = 25

Firewall na VPS-u ima otvoren UDP port 51820 (slika ispod)


Ako treba jos nesto od informacija, molim vas da napisete.

Takoder, nakon sto se pokrenu svi wg-ovi,njihov status je ovakav:

VPS output.
interface: wg0
public key: tngkAsBu1zd4IldkjqnZRSVuZ60kt8j8Cn6a2AB/uUU=
private key: (hidden)
listening port: 51820

output s proxmox:
root@prox-homelab:~# wg
interface: wg0
public key: F5/zxyDVLIVC2ZJh9U0hI3SxhgF4XXgRiD+tCvbZhFY=
private key: (hidden)
listening port: 60270

peer: tngkAsBu1zd4IldkjqnZRSVuZ60kt8j8Cn6a2AB/uUU=
endpoint: 91.98.69.157:51820
allowed ips: 10.10.0.0/24
transfer: 0 B received, 11.56 KiB sent
persistent keepalive: every 25 seconds

output s clienta(laptop):
interface: utun4
public key: zQDhRmEal2gYnzDuJymfysvtN1h8CoMC7XFzXA4bH14=
private key: (hidden)
listening port: 62236

peer: tngkAsBu1zd4IldkjqnZRSVuZ60kt8j8Cn6a2AB/uUU=
endpoint: 91.98.69.157:51820
allowed ips: 10.10.0.0/24, 192.168.0.0/24
transfer: 0 B received, 9.97 KiB sent
persistent keepalive: every 25 seconds

Hvala unaprijed svima

 

[TwistedMind]

za vps imas one postup i post down komande koje moras da odradis.
Verovatno nije do toga sto si vec podesio.

PostUp = sysctl -w net.ipv4.ip_forward=1; iptables -A FORWARD -i %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE

To je samo primer koji sam na brzinu dobio, ali skoro sigurno da ti treba nesto u tom formatu, mozda bas i to.
Takodje, u zavisnosti od toga gde ti je vps, mozda moras odvojeno da otvoris portove koje koristis. na oracle je meni to bio pakao dok sam nasao kako da odradim.

I za kraj, ako ti je taj VPS samo za wireguard, proveri da li taj provajder ima gotovu wireguard instancu, sto je vrlo cesto slucaj

 

[everton]

Da ne bi gubio vreme tražeći šta se propustio....
Imaš gotovu skriptu koju samo treba pokreneš i koja će sve da ti odradi: pored instalacija WireGuard-a, generisaće ti server/clinet ključeve i config file, IP forwarding i IP tables "rules" - NAT masquerade.
Na tebi je samo da definišeš WG IP adrese i broj klijenata.

GitHub - angristan/wireguard-install: WireGuard VPN installer for Linux servers

WireGuard VPN installer for Linux servers. Contribute to angristan/wireguard-install development by creating an account on GitHub.

github.com

Ovo što si okačio izgleda ok, proveri i OS firewall dal je otvoren WG port (sudo ufw status verbose) pored ovog VPS-a kojeg si otvorio.

 

[Beastmode]

za vps imas one postup i post down komande koje moras da odradis.
Verovatno nije do toga sto si vec podesio.

PostUp = sysctl -w net.ipv4.ip_forward=1; iptables -A FORWARD -i %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE

To je samo primer koji sam na brzinu dobio, ali skoro sigurno da ti treba nesto u tom formatu, mozda bas i to.
Takodje, u zavisnosti od toga gde ti je vps, mozda moras odvojeno da otvoris portove koje koristis. na oracle je meni to bio pakao dok sam nasao kako da odradim.

I za kraj, ako ti je taj VPS samo za wireguard, proveri da li taj provajder ima gotovu wireguard instancu, sto je vrlo cesto slucaj

Hvala ti puno, ipak je bilo do ovoga, uspio sam to sad namjestit s ovim sto si napisao, sad mogu pristupiti proxmoxu preko vpn-a, sad bi htio dodat i ostale uredaje koji su na istoj mrezi(spojeni su na switch), a to su NAS i Raspberry pi, pokusao sam to namjestit sa slicnim iptables pravilima, ali ne radi..

Da ne bi gubio vreme tražeći šta se propustio....
Imaš gotovu skriptu koju samo treba pokreneš i koja će sve da ti odradi: pored instalacija WireGuard-a, generisaće ti server/clinet ključeve i config file, IP forwarding i IP tables "rules" - NAT masquerade.
Na tebi je samo da definišeš WG IP adrese i broj klijenata.

GitHub - angristan/wireguard-install: WireGuard VPN installer for Linux servers

WireGuard VPN installer for Linux servers. Contribute to angristan/wireguard-install development by creating an account on GitHub.

github.com

Ovo što si okačio izgleda ok, proveri i OS firewall dal je otvoren WG port (sudo ufw status verbose) pored ovog VPS-a kojeg si otvorio.

Hvala ti, taman sam pisao ovaj post dok si odgovorio, uspio sam namjestit da radi na proxmoxu, jos mi samo fali da namjestim da radi i na drugim uredajima

 

[everton]

Razlog iz kog vidiš samo Prxmox je zato što ti se WG tunel tu i završava.

Da bi mogao da vidiš ostale LAN uređaje iz subneta (recimo 192.168.1.0/24) Proxmox fora da "forwarduje" i uradi NAT saobraćaja od WG interfejsa wg0 ka LAN intefejsu vmbr0 ili kako si ga već obeležio.

Spojler: Proxmox NAT + Forwarding

IP forwarding:
echo "net.ipv4.ip_forward=1" | sudo tee -a /etc/sysctl.conf
sudo sysctl -p

NAT rule
sudo iptables -t nat -A POSTROUTING -o vmbr0 -j MASQUERADE

Forwarding između WG i LAN interfejsa
sudo iptables -A FORWARD -i wg0 -o vmbr0 -j ACCEPT
sudo iptables -A FORWARD -i vmbr0 -o wg0 -j ACCEPT

U VPS config fajlu pod proxmox peer si već dodao 192.168.0.0/24 i to je u redu.

Postoji drugi jednostavniji način ako ti router podržava statičko rutiranje onda ti ne treba NAT na Proxmoxu ali većina rutera dobijenih od provajdera to ne podržava.

 

[Beastmode]

Razlog iz kog vidiš samo Prxmox je zato što ti se WG tunel tu i završava.

Da bi mogao da vidiš ostale LAN uređaje iz subneta (recimo 192.168.1.0/24) Proxmox fora da "forwarduje" i uradi NAT saobraćaja od WG interfejsa wg0 ka LAN intefejsu vmbr0 ili kako si ga već obeležio.

Spojler: Proxmox NAT + Forwarding

IP forwarding:
echo "net.ipv4.ip_forward=1" | sudo tee -a /etc/sysctl.conf
sudo sysctl -p

NAT rule
sudo iptables -t nat -A POSTROUTING -o vmbr0 -j MASQUERADE

Forwarding između WG i LAN interfejsa
sudo iptables -A FORWARD -i wg0 -o vmbr0 -j ACCEPT
sudo iptables -A FORWARD -i vmbr0 -o wg0 -j ACCEPT

U VPS config fajlu pod proxmox peer si već dodao 192.168.0.0/24 i to je u redu.

Postoji drugi jednostavniji način ako ti router podržava statičko rutiranje onda ti ne treba NAT na Proxmoxu ali većina rutera dobijenih od provajdera to ne podržava.

I dalje nazalost nista, napravio sam tocno ovako kako si rekao, i evo saljem svoja pravila na proxmoxu:

IP forwarding:

sysctl net.ipv4.ip_forward
net.ipv4.ip_forward = 1

iptables NAT

iptables -t nat -L -v -n
Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 MASQUERADE  all  --  *      vmbr0   10.10.0.0/24         0.0.0.0/0

iptables FORWARD

iptables -L FORWARD -v -n
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     all  --  wg0    vmbr0   0.0.0.0/0            0.0.0.0/0
    0     0 ACCEPT     all  --  vmbr0  wg0     0.0.0.0/0            0.0.0.0/0 state RELATED,ESTABLISHED

Raspberry PI ruta

ip route
default via 192.168.0.1 dev eth0 proto dhcp src 192.168.0.41 metric 100
10.10.0.0/24 via 192.168.0.50 dev eth0
192.168.0.0/24 dev eth0 proto kernel scope link src 192.168.0.41 metric 100

Ne znam ako treba jos nesto mozda postavit da vam bude lakse vidjet u cemu je problem?

 

[ness1602]

U samom rpi.confu za wg da li si postavio allowed IP's i za te dodatne mreze?

 

[Beastmode]

Trenutno wg imam instaliran samo na Proxmoxu, VPS-u i klijentu (laptop). Na RPi i NAS-u ga nemam, jer sam pokusavao pristupiti tim uredajima preko NAT-a i IP forwardinga s Proxmoxa, cisto zbog jednostavno u buducnosti kad bi isao dodavat jos uredaja

 

[everton]

Da li sa VPS-a možeš da pinguješ Proxmox na lokalnoj adresi 192.168.0.50 ili samo na 10.10.0.3?

 

[Beastmode]

Da li sa VPS-a možeš da pinguješ Proxmox na lokalnoj adresi 192.168.0.50 ili samo na 10.10.0.3?

Mogu ga pingati samo na 10.10.0.3

 

[Beastmode]

Izgleda da sam uspio ovo rjesit, hvala vam puno decki
Problem je bio na klijentu – iako je AllowedIPs bio ispravno postavljen (10.10.0.0/24, 192.168.0.0/24), nije automatski dodao rutu za 192.168.0.0/24 preko tunela (utun4).Zato promet prema LAN-u nije isao kroz VPN, vec preko normalnog interneta

S ovim sam sve rjesio
sudo route add -net 192.168.0.0/24 -interface utun4

Nadam se da je to to sada

 

[G17]

Koliko novca je minimum za nešto polovno za pfsense, koristim pi hole na SBC i prešao bih na pfBlockerNG, čitao sam malo temu vidim da pravi problem sa odredjenim NIC, da li je moguće sa malim budžetom uspostaviti da radi. Trenutmo mi pihole imam oko 1 - 1.2 miliona blokiranih linkova. Pristup internetu je preko A1 kućnog neta.
Da li je poželjno koristiti i isti uredjaj kao switch ili je bolje imati fizički switch povezan sa pfsense? (S obzirom na budžet koristio bih switch koji već imam), i koliko kašnjenje bi se dodavalo ovako?

Od glavnog rutera (modema) gde je malo bolji signal bih povezao pfsense, u njega switch, u switch ostale uredjaje zatim kabl iz switch ide u drugi objekat gde bi bio neki ruteri poput CUDY WR3000 AX3000 pa iz njega u glavni PC i koristio se ujedno i za WiFi.

 

[G17]

Edit: Lista je ipak veća nego što sam mislio.

 

[TwistedMind]

Bilo koji mini pc će raditi posao. Nije pfsense toliko posebno težak, niti je broj upita za dns problem.
Naravno, sa obzirom na važnost operacije, želiš nešto što će biti 100% stabilno, a to je ono što košta, više nego sam hardver.

Definitivno želiš switch jer tako preskačeš da ti sav saobraćaj obrađuje pfsense.
Stavljanje drugog rutera na port switcha je greška jer praviš dupli nat. To treba da rešiš tako što ćeš staviti još jedan switch, a uređaje druge lokacije u svoj subnet.

 

[G17]

Stavljanje drugog rutera na port switcha je greška jer praviš dupli nat. To treba da rešiš tako što ćeš staviti još jedan switch, a uređaje druge lokacije u svoj subnet.

Da li možeš da objasniš ovo, zar nije dovoljno Cudy ruter povezati u taj switch gde je pfsense da se ugasi DHCP na njemu, da nije u acccess modu?

Koliko sam shvatio po ovome treba mi pfsense -> switch -> switch -> Cuddy ruter ?

 

[TwistedMind]

Da li možeš da objasniš ovo, zar nije dovoljno Cudy ruter povezati u taj switch gde je pfsense da se ugasi DHCP na njemu, da nije u acccess modu?

Koliko sam shvatio po ovome treba mi pfsense -> switch -> switch -> Cuddy ruter ?

A zasto ruter na kraju uopste?
Ili je cudy samo access point da baca wifi na toj lokaciji? Onda nije ruter nego AP i to je OK jer koristi dhcp i sva pravila koji dodeljuje pfsense.
Realno, AP je isto sto i switch samo wifi

 

[G17]

A zasto ruter na kraju uopste?
Ili je cudy samo access point da baca wifi na toj lokaciji? Onda nije ruter nego AP i to je OK jer koristi dhcp i sva pravila koji dodeljuje pfsense.
Realno, AP je isto sto i switch samo wifi

Da, pa ne bih imao interneta na uredjajima koji idu na WiFi zato ne ide direktno kabl u računar.
LTE ruter je u drugoj gde je bolji signal i tu su mi ostale stvare koje bih povezao, odatle ide kabl do mene.
To je to onda.

 

[artur]

Stavljati pfsense samo zbog pfBlockerNG je malo previše. Staviš Rpi Zero sa PiHole ili Technitium i završiš posao. Ako želiš da unapredis svoju mrežu i polako učiš, može pfsense. Samo se spremi za ozbiljno učenje, vreme i novac. Staviš pfsense pa se rodi ideje za vlan-ove, pa mora upravljivi switch, pa AP novi, pa...