pfSense / OPNSense - Generalna diskusija, pitanja i saveti.

[Difermo]

Pa neki N100 sa 4 porta će ti završiti posao. Mada, ako ćeš na ovom glavnom dizati ProxMox, onda pfSense digni u ProxMox-u, i ne treba ti ništa. Ako te ne muči single point of failure.

Mislio sam pazariti ovaj sa i7-10710U i na njemu podici Proxmox (Home Assistant...),. Ali da ne gusim temu, napravicu neki dijagram sta zelim da postignem i koje softvere da koristim. Postavicu u temi "kucni server" za savete. Da ne poletim sa nabavkom hardvera ako je pogresan.

 

[alex303]

 

[alex303]

RC1 je tu.

 

[alex303]

Finalna 2.8.1 verzija je tu. Odradite update ako već niste.

 

[Difermo]

Jedan mali problemcic.. Naime obrisao sam pfsense, instalirao proxmox i sad da pfsense instaliram kroz proxmox.
Odradim instalaciju koja prodje uspesno. Kreiram wan i lan bridge, dodelim enp7so sto je poslednja intel karta. nju dodelim kao wan. a enp6s0 kao lan. Ip rutera je 192.168.0.1. a opseg od 192.168.0.10-192.168.0.253. Prilikom instalacije proxmoxa podesim ip koji nije dodeljen da ne bi bilo konflikta na 192.168.0.5.



pfSense instaliran i dodeli ip adrese

ulogujem se na web interfejs i odradim pocetni deo. PRomenim sifru i probam update.
Naravno nemam internet pa krenem da podesavam pfSense i kad kliknem na interfejs>assigments stavku pukne web interfejs i vise nema ulaska.

Probao sam da promenim network karticu sa VirtlIO na intel e1000 i sve bude isto. U pfSenseu se ponovo pokrene dodeljivanje wan-a i lan-a, kada se to zavrsi ulogujem se na pfSense web interfejs sa prethodno promenjenom sifrom. Radi web interfejs fluidno, Kliknem na system tab otvori se padajuci, kliknem na interfaces tab i pukne iste sekunde

Sta li moze biti problem?

 

[TwistedMind]

Kod mene je iskljucen firewall, probaj to.
Plus, sto mu ne dodelis karticu direktno, nego preko bridge?
Tamo gde moram da koristim bridge, koristim virtio paravirtualized.

 

[alex303]

Jedan mali problemcic.. Naime obrisao sam pfsense, instalirao proxmox i sad da pfsense instaliram kroz proxmox.
Odradim instalaciju koja prodje uspesno. Kreiram wan i lan bridge, dodelim enp7so sto je poslednja intel karta. nju dodelim kao wan. a enp6s0 kao lan. Ip rutera je 192.168.0.1. a opseg od 192.168.0.10-192.168.0.253. Prilikom instalacije proxmoxa podesim ip koji nije dodeljen da ne bi bilo konflikta na 192.168.0.5.
Pogledajte prilog 508850
Pogledajte prilog 508853
Pogledajte prilog 508849
pfSense instaliran i dodeli ip adrese
Pogledajte prilog 508851
ulogujem se na web interfejs i odradim pocetni deo. PRomenim sifru i probam update.
Naravno nemam internet pa krenem da podesavam pfSense i kad kliknem na interfejs>assigments stavku pukne web interfejs i vise nema ulaska.

Probao sam da promenim network karticu sa VirtlIO na intel e1000 i sve bude isto. U pfSenseu se ponovo pokrene dodeljivanje wan-a i lan-a, kada se to zavrsi ulogujem se na pfSense web interfejs sa prethodno promenjenom sifrom. Radi web interfejs fluidno, Kliknem na system tab otvori se padajuci, kliknem na interfaces tab i pukne iste sekunde

Sta li moze biti problem?

Svi problemi nestaju ako uradiš ovo što reče Twisted.

 

[Difermo]

Plus, sto mu ne dodelis karticu direktno, nego preko bridge?
Tamo gde moram da koristim bridge, koristim virtio paravirtualized.

videh tako u netgate dokumentu kao pfsense network osnovna podesavanja. A i 4-5 youtube-ra koje sam odgledao tako je konfigurisalo. Moja pretpostavka je da sledecu VM koju napravim dodelim bridge koji sam iskonfigurisao kao LAN za pfsense. Tako da sve ide preko pfSense-a

 

[Difermo]

problem resen.. zapravo nisam vise na mts optici vec A1 kucni net.. Tako da je ruter ZTE M296R LTE.
WAN IP adresa je totalno drugacija od one koju pfSense registruje.
Stavljanjem rutera u bridge mode i reseni svi problemi

 

[TwistedMind]

To ti je sledeci korak i takodje potreban, ali to je skroz odvojeni network adapter od pravih.
Treba ti jedan bridge, koji nije vezan za pravi NIC koji ćeš ubaciti u sve VM i u pfsense.
Na kraju u pfsense imaš 3 interfejsa: wan, lan, vmbridge.
Mnogi tutorijali, uključujući i netgate, kažu da korisničke interfejse (lan, vmbridge...) treba uvezati u novi bridge pa taj grupni bridge iskoristiti za lan interfejs. Tako je kod mene bilo i to radi, ali navodno pravi opterećenje na cpu i dodaje latenciju pa je pravilnije uraditi tako što svaki NIC dobija svoj interfejs i svoj subnet. Onda u firewall pravilima podesiš šta sa kim sme da se vidi i da komunicira.
Komplikovanije je za prvi korak, ali kasnije stvarno olakšava menadžment

 

[artur]

Instalirao sam SearXNG na Hetznerov VPS prateci neko uputstvo i sve radi super. Da bih mogao samo ja da pristupim SearXNG sve ide preko Tailscale, sto znaci da na svakom uredjaju sa kojeg zelim da pristupim moram da imam instaliran Tailscale. Moje pitanje je kako da podesim pfSense da bar kucni kompjuteri, telefoni mogu da pristupe SearXNG-u a bez potrebe da palim Tailscale na svakom od njih, vec da to ide preko pfSense.
Za pocetak sam instalirao Tailscale na pfSense i svasta sam probao ali nista.

 

[alex303]

Instalirao sam SearXNG na Hetznerov VPS prateci neko uputstvo i sve radi super. Da bih mogao samo ja da pristupim SearXNG sve ide preko Tailscale, sto znaci da na svakom uredjaju sa kojeg zelim da pristupim moram da imam instaliran Tailscale. Moje pitanje je kako da podesim pfSense da bar kucni kompjuteri, telefoni mogu da pristupe SearXNG-u a bez potrebe da palim Tailscale na svakom od njih, vec da to ide preko pfSense.
Za pocetak sam instalirao Tailscale na pfSense i svasta sam probao ali nista.

Uloguj se na tailscale.com i idi na Admin Console / Settings / Keys i klikni na Generate Auth Key. U polje description mu daj neki opis. Na primer pfSense i generiši key. Iskopiraj taj key, a onda u pfSense idi na VPN / Tailscale / Authentication i paste-uj key u polje Pre-authentication Key. Kao login server stavi:

https://controlplane.tailscale.com

Klikni na tab Status i tu bi trebao da vidiš svoj virutal IP koji je asociran sa tvojim Tailscale login-om a na Tailscale sajtu klikni na tab Machines i tu bi trebao da vidiš ovako nešto:


To znači da je pfSense nakačen na Tailscale coordination server. Nakon toga, u pfSense Tailscale podešavanjima u tabu Settings treba da podesiš Advertised Routes. Tu upišeš IP adresu (CIDR Format) mreže kojoj želiš da omogućiš izlaz preko tailscale servera. Nakon toga na Tailscale sajtu ideš na Machines, klikneš na tri tačkice i Edit Route Settings. I onda onu mrežu koju si definisao u pfSense-u štikliraj i "odobri". Opciju "Use as exit node" koristi samo ako želiš da uređaji koji pristupaju pfSense-u koriste pfSense kao gateway. Ostaje ti samo da sherujes tu mrežu sa VPS serverom, i to je to. Mreža koju su definisao u pfSense-u sada ima direktan pristup SearXNG-u na VPS-u bez potrebe da se instalira Tailscale client.

Jedina zamerka je što ovaj SearXNG treba da hostuješ lokalno a ne na VPS-u. Zbog brzine. Ali ako je tebi to prihvatljivo, samo napred.

 

[artur]

Ne radi

Ostaje ti samo da sherujes tu mrežu sa VPS serverom

Ovo ne znam

Jedina zamerka je što ovaj SearXNG treba da hostuješ lokalno a ne na VPS-u. Zbog brzine.

Nemam fiksnu IP adresu, zeleo sam da pristupam sa raznih lokacija, kuca, posao, ...

 

[alex303]

Pa ne treba ti javna IP adresa ako koristiš Tailscale. Za posao ti svakako treba Tailscale client, samo umesto da se kačiš na VPS, kačiš se na svoju pfSense instancu. A kad si kući u lokalu, onda nema potrebe da se cimaš sa ACL listama.

 

[artur]

Znaci instaliram SearXNG na Unraid server, u lokalu pristupam direktno a remote preko Tailscala.

 

[alex303]

Upravo tako. I ne treba da plaćaš VPS, i praviš nepotreban delay.

 

[artur]

Umesto da pitam ja gledam YouTub-e i mucim se i izgubim mesec dana na VPS-u, caddy, Cloudflare, Tailscale, ...
Sva srece pa mi je to hobi, da zivim od toga umor bih od gladi
A n8n i da ne pricam, ne smem ni da ulazim u to.

 

[alex303]

Umesto da pitam ja gledam YouTub-e i mucim se i izgubim mesec dana na VPS-u, caddy, Cloudflare, Tailscale, ...
Sva srece pa mi je to hobi, da zivim od toga umor bih od gladi
A n8n i da ne pricam, ne smem ni da ulazim u to.

Koliko puta sam ti samo u ovoj temi rekao da prvo pitaš ovde, a ti uvek ideš okolo. N8n je lagan ako mu se posvetiš. Inače najbolji automation tool ikada napravljen.

 

[artur]

Nista, idem(o) iz pocetka, pa kad zaglavim, pisem. Mada zavisi i od slobodnog vremena.
Hvala jos jednom

 

[artur]

Napravio sam na pfSensu VLan za docker-e i radi. Da li treba na nesto da obratim paznju. Ono sto mi ne radi ako prpustim da Unraid sam dodeli adresu, on ide po redu (10.10.100.1,2,3,4...). Nema veze sto sam u pfSense/DHCP Server/Docker stavio da mi on dodaje adrese od 10.10.100.100 do 10.10.100.254. Ima da se podesi DHCP Server i na Unraidu i to onda radi bez obzira sta stajalo na pfSense. Koja je razlika izmedju macvlan i ipvlan kod podesavanja za Docker na Unraid/Proxmox.

 

[alex303]

Ne znam ništa oko Unraid-a jer ga ne koristim.

Ali u ProxMox-u to radim ovako. U container podešavanjima upišem VLAN koji želim da taj container koristi, ali mu takođe generišem i unicast MAC address koristeći ovaj tool. Pre startovanja containera, u pfSense-u za taj VLAN, u podešavanjima za DHCP server, napravim statičko DHCP mapiranje koristeći generisani MAC, i naravno dodelim statičku IP adresu za taj MAC. Na ovaj način, taj container uvek dobija istu IP adresu sa zadatog VLAN-a. Imam mnoštvo containera i VM-ova sa različitim VLAN tagovima, i komunikaciju između njih u potpunosti kontroliše pfSense i svi su statički mapirani.

Nadam se da će ti ovo barem malo pomoći.

 

[artur]

Ne znam ništa oko Unraid-a jer ga ne koristim.

Znam da ne korstis, ali su osnove slicne ili iste.
Znaci ostaje macvlan, posto mogu da promenim u ipvlan. macvlan je po defaultu

 

[alex303]

Znam da ne korstis, ali su osnove slicne ili iste.

Sve zavisi koliko ti host daje kontrolu nad tim parametrima. Samo je to upitno. ProxMox je što se toga tiče jako fleksibilan. Možda nebi bilo loše pročitati Unraid dokumentaciju ako postoji.

 

[artur]

Ne vredi ne mogu da namestim da pfSense dodeljuje IP adrese container-ima. Navodno dam sve dobro podesio na Unraid-u. Konstantno Unraidov DHCP preuzima dodelu IP adresa ne dolazi nista do pfSensa. Ako bi moglo da se provri da li sam dobro podesio VLAN na pfSensu i podesavanje NAT-a i Firewall-a.
Evo slika





Mozda i podesavanja na Switch-u nisu dobra.


A da, morao dam da dodam da u Firewall/Rules da Home Vlan gde mi je zakacen laptop odakle sve radim, pristupa Dockers subnet-u.
Takodje, u LAN delu omogucim pristup adresi 10.10.10.10 gde je Unraid Dockers subnetu

 

[alex303]

Sve je dobro sa pfSense strane. Kad kažeš "Unraid-ov DHCP" jel misliš na DHCP server unutar Unraid-a, ili pfSense-ov DHCP koji je predviđen za Unraid? Jer ako je ovo prvo, onda je to problem. Moraš da isključiš Unraid-ov DHCP da bi VLAN-ovi mogli da prođu do containera. U suprotnom imaš NAT, a kroz njega ne može da prođe VLAN.

 

[artur]

Iskljucen je, ali adrese uporno idu po redu, 10.10.100.2 pa 10.10.100.3....., iako sam naznacio u pfSense ukoliko sam dodeljuje da idu od 10.10.100.100 do 10.10.100.254.
Cak i ako manuelno fiksiram za MAC adresu Containera odredjenu IP adresu on opet dodeli 10.10.100.2.


Ovo su podesavanja za Docker u Unraidu gde se vidi da je iskljucen DHCP


Baci pogled na Switch
Na portu 1 je pfsense (10.10.10.1)
Na portu 2 je Unraid (10.10.10.10)
Na portu 3 je wifi AP

 

[alex303]

Ovo su podesavanja za Docker u Unraidu gde se vidi da je iskljucen DHCP
Pogledajte prilog 512136

Ovo ti ne valja. Ne smeš da mu dodeljuješ IP adrese ručno niti da ga usmeravaš na gateway. Moraš da pustiš container da sam pokupi IP od hosta. MAC adresa je ta koja definiše iz kog će subneta dobiti IP.

 

[artur]

U Unraidu postoje na dva mesta podesavanja za Vlan-ove.
Prvo je potrebno dodati Vlan u sekciji Network.
I to izgleda ovako


A drugo mesto je gore navedena slika pod Docker.

Mislis da iskljucim sve te opcije i da iskljucim Vlan pod Network i samim tim ce se obrisati Vlan dodak pod Docker settings
ili samo pod Docker Settings da iskljucim check na "IPv4 custom network on interface br0.100 (optional):"

 

[alex303]

samo pod Docker Settings da iskljucim check na "IPv4 custom network on interface br0.100 (optional):"

Za početak, probaj samo ovo. Ako ne uspe, probaj sve da pogasiš i ostavi mu samo MAC koji si generisao.

Konfuzna su mi ova podešavanja za Unraid. Taj VLAN 100 je šta ? VLAN koji Unraid pravi sa svoje strane, ili VLAN koji treba propustiti?

 

[artur]

Taj VLAN 100 je šta ? VLAN koji Unraid pravi sa svoje strane, ili VLAN koji treba propustiti

Ja sam dodao taj VLAN, i kada dodas taj VLAN, prilikom instalacije Containera ima opciju da biras na kojoj ce mrezi biti.
I kada to uradim on dodeli IP adresu 10.10.100.2, evo kako to izgleda