Šta je novo?
Od:
Filteri

pfSense / OPNSense - Generalna diskusija, pitanja i saveti.

Mali napredak, nadam se da su dobra podesavanja

1721242943403.png
Sta sam zeleo sa ovim da postignem, prvo pravilo da mogu da pristupim SBB Ruteru.
Druga dva da mogu lakse da prebacim Gateway.

1721243097643.png
Prvo pravilo da uredjaji koji su na ovom Subnetu mogu da pristupe samo Samba folderima na Unraid-u,
Tu mi je i NVIDIA Shield sa Kodi-em pa da moze da pristupi sadrzaju na Unraid-u.
Drugo pravilo je da uredjaji iz ovog subneta idu preko SBB jer je na njemu EON box.

1721243247146.png1721243267519.png1721243283745.png

Ovu su mi brzine, nesto mi sporo preko VPN, da li bi bilo brze da se odredi neki drugi server. I kako da znam koji je najbrzi?
 
artur je napisao(la):
Mali napredak, nadam se da su dobra podesavanja

Pogledajte prilog 450612
Sta sam zeleo sa ovim da postignem, prvo pravilo da mogu da pristupim SBB Ruteru.
Druga dva da mogu lakse da prebacim Gateway.
Kliknite za proširenje...
Ovo je ok.
artur je napisao(la):
Pogledajte prilog 450614
Prvo pravilo da uredjaji koji su na ovom Subnetu mogu da pristupe samo Samba folderima na Unraid-u,
Tu mi je i NVIDIA Shield sa Kodi-em pa da moze da pristupi sadrzaju na Unraid-u.
Drugo pravilo je da uredjaji iz ovog subneta idu preko SBB jer je na njemu EON box.
Kliknite za proširenje...
I ovo je ok. Čisto da znaš, da kao source možeš da staviš IP adresu EON Box-a, i na taj način samo EON Box ima pristup SBB-u. Ja bi tako odradio ako ostalim uređajima u tom subnetu ne treba izlaz na net.
artur je napisao(la):
Pogledajte prilog 450615Pogledajte prilog 450616Pogledajte prilog 450617

Ovu su mi brzine, nesto mi sporo preko VPN, da li bi bilo brze da se odredi neki drugi server. I kako da znam koji je najbrzi?
Kliknite za proširenje...
Jako loša brzina preko VPN-a. Mada može biti da su OpenVPN serveri zagušeni. PIA ima WireGuard opciju sa kojom bi trebao da dobiješ oko 700+ Mbps, ali je problem što ne postoji oficijelna dokumentacija za pfSense. To jest, nema instrukcija kako kako izvući parametre za WireGuard. Postoje neke skripte za PIA koje to rešavaju. Pogledaj ovaj post.
 
alex303 je napisao(la):
Ovo je ok.
Kliknite za proširenje...
alex303 je napisao(la):
I ovo je ok
Kliknite za proširenje...
Kako je ovo lepo procitati, pogotovo kada vi napisete.

alex303 je napisao(la):
Čisto da znaš, da kao source možeš da staviš IP adresu EON Box-a, i na taj način samo EON Box ima pristup SBB-u. Ja bi tako odradio ako ostalim uređajima u tom subnetu ne treba izlaz na net.
Kliknite za proširenje...
OK, Mada na tom Vlanu su povezani EON Box, NVIDIA Shield i RPI sa Volumiom, tako da svima treba net i ne bitno preko koga ide osim EON-a. Da li moze svaka pojedinacna IP adresa u istom Vlanu da ide na razlicit Gateway.
Ovo za VPN i WireGuard zahteva vreme.
 
artur je napisao(la):
Kako je ovo lepo procitati, pogotovo kada vi napisete.
Kliknite za proširenje...
Nemoj mi persirati molim te.
artur je napisao(la):
Da li moze svaka pojedinacna IP adresa u istom Vlanu da ide na razlicit Gateway.
Kliknite za proširenje...
Može. Samo pre toga moraš napraviti NAT pravilo u Firewall / NAT / Outbound.
artur je napisao(la):
Ovo za VPN i WireGuard zahteva vreme.
Kliknite za proširenje...
Kao i sve ostalo. Ali isplati se.

"Hope this helps, it’s working for me. With WireGuard I can get 900mbps down and up from PIA, rather than the ridiculous 300mbps I was getting with OpenVPN connected to the same servers."
Kliknite za proširenje...
 
Posto sam u fazi smanjenja racuna za struju, razmisljam da kompjuter sa pfsense zamenim sa virtuelnom masinom u proxmoxu.
Nemam nekih posebnih zaduzenja u pfsense osim adblockera i par port forwarda i vpn wireguard, opterecenje pfsense masine mi je kostantno 2-3% na 3770 masini.
Koliko je to pametno uraditi, ustedeo bih 30W konstantne potrosnje iliti 300din mesecno, ima li nekih nedostataka sa ovakvim setupom?
 
Devil 2000 je napisao(la):
Posto sam u fazi smanjenja racuna za struju, razmisljam da kompjuter sa pfsense zamenim sa virtuelnom masinom u proxmoxu.
Nemam nekih posebnih zaduzenja u pfsense osim adblockera i par port forwarda i vpn wireguard, opterecenje pfsense masine mi je kostantno 2-3% na 3770 masini.
Koliko je to pametno uraditi, ustedeo bih 30W konstantne potrosnje iliti 300din mesecno, ima li nekih nedostataka sa ovakvim setupom?
Kliknite za proširenje...
Računica nije tako prosta jer ProxMox nikada ne radi sa 2-3% zauzeća. Ako ćeš ProxMox instalirati na postojećoj mašini, potrošnju ćeš povećati a ne smanjiti. pfSense u takvom VM-u nema TCP offloading, a onda sav teret ide na CPU. Takođe unosiš delay u mrežu. Bilo kakav problem sa ProxMox-om te ostavlja bez neta. Tako da, sam proceni da li ti se ovako nešto isplati ili ne.
 
alex303 je napisao(la):
Računica nije tako prosta jer ProxMox nikada ne radi sa 2-3% zauzeća. Ako ćeš ProxMox instalirati na postojećoj mašini, potrošnju ćeš povećati a ne smanjiti. pfSense u takvom VM-u nema TCP offloading, a onda sav teret ide na CPU. Takođe unosiš delay u mrežu. Bilo kakav problem sa ProxMox-om te ostavlja bez neta. Tako da, sam proceni da li ti se ovako nešto isplati ili ne.
Kliknite za proširenje...
Nisam dobro objasnio, vec imam posebno proxmox ryzen server masinu sa virtuelnim masinama i posebno 3770 masinu sa pfsense i nista drugo.
Razmisljao sam da izbacim tu 3770 masinu i da mi pfsense bude virtuelna masina na postojecem proxmox ryzen serveru.
Mislio sam da sa 3770 pfsense masine skinem pci mreznu karticu koja je sluzila kao LAN izlaz i da je prebacim u ryzen proxmox masinu i da ona isto tako bude LAN izlaz za fizicki SWITCH na kome su drugi fizicki uredjaji, a ove postojece virtuelne masine na proxmoxu da se virtuelno umreze na taj virtuelni pfsense.
Nadam se da sam sada jasniji.
A sto se tice toga da ako se nesto desi proxmox masini da mi ni pfsense ne radi toga sam svestan, ali trenutno mi je sav hardver kvalitetniji i zasticen sa jakim UPS-om i nisam imao nijedan problem 2 godine.
A u pitanju je kucna mrezna koja nema nista public vazno nego samo za kucno eksperimentisanje, a svi vazni podaci se ionako svakodnevno sync-uju na S3 cloud tako da mi se jedino moze desiti da nemam internet neko vreme i nista vise.
 
Poslednja izmena od urednika:
Ah ok. Pa možeš tako. Samo uradi PCI pass through za mrežnu.
 
Devil 2000 je napisao(la):
Nisam dobro objasnio, vec imam posebno proxmox ryzen server masinu sa virtuelnim masinama i posebno 3770 masinu sa pfsense i nista drugo.
Razmisljao sam da izbacim tu 3770 masinu i da mi pfsense bude virtuelna masina na postojecem proxmox ryzen serveru.
Mislio sam da sa 3770 pfsense masine skinem pci mreznu karticu koja je sluzila kao LAN izlaz i da je prebacim u ryzen proxmox masinu i da ona isto tako bude LAN izlaz za fizicki SWITCH na kome su drugi fizicki uredjaji, a ove postojece virtuelne masine na proxmoxu da se virtuelno umreze na taj virtuelni pfsense.
Nadam se da sam sada jasniji.
A sto se tice toga da ako se nesto desi proxmox masini da mi ni pfsense ne radi toga sam svestan, ali trenutno mi je sav hardver kvalitetniji i zasticen sa jakim UPS-om i nisam imao nijedan problem 2 godine.
A u pitanju je kucna mrezna koja nema nista public vazno nego samo za kucno eksperimentisanje, a svi vazni podaci se ionako svakodnevno sync-uju na S3 cloud tako da mi se jedino moze desiti da nemam internet neko vreme i nista vise.
Kliknite za proširenje...
Ja imam upravo takav setup i radi savrseno.
1722442259118.png
 
Ja imam upravo takav setup i radi savrseno.
TwistedMind je napisao(la):
Pogledajte prilog 452383
Kliknite za proširenje...
Ajd onda da te pitam jos jednom da potvrdim da sam shvatio.
Znaci da ti je ta virtuelna pfsense masina glavni ulaz svog interneta za kucu.
I onda imas dodatnu mreznu pci karticu koja je pass throught na pfsense virtuelnu masinu i koja je u stvari LAN izlaz na svic na kojem se povezuju ostali fizicki mrezni uredjaji.
 
OK, zamalo da je potpuno isti :ROFLMAO:
Imam ploču sa dva porta. Jedan je 2.5g, drugi je 1gb.
1gb služi kao wan, a na 2.5g je povezan komp.
1gb je prosleđen kao pci passthrough, a za 2.5g je napravljen bridge. Ako prosledim ceo port onda ta mašina ima ekskluzivno pravo na taj pci device pa mi je bilo lakše da napravim bridge u periodu igranja i čačkanja kako bi i druga mašina imala istovremeni pristup. Inače mogu da prosledim i taj port.
Za switch sam dodao još jednu USB mrežnu karticu jer nemam 2.5g switch (zapravo imam, ali ne želim da ga koristim jer se greje). Komp je 2.5g pa mi je glupo da se kači na 1gb switch. Nisam bio siguran kako bi pfsense radio sa usb drajverima pa je i od toga napravljen bridge koji se prosleđuje prema pfsense.
U proxmoxu imam i jedan "middleman" bridge nevezan za bilo koji fizički port. Taj bridge sam ubacio na svaku virtuelnu mašinu, uključujući i pfsense tako da su sve mašine koje imaju taj bridge povezane međusobno, a zbog pfsense i na lokalnu mrežu.
Mala noćna mora za alexa, u pfsense sam spojio nekoliko portova u jedan bridge za lan kako bi sve bilo na istom subnetu. pfsense ih sve vidi kao jednake portove nevezano da li je to originalno fizički ili virtuelni port.

Uskoro pravim mali upgrade sa 10gb karticom i switchom koji ima 2x10gb porta i 4x2.5gb porta pa će biti kao u tvom primeru.
interna mrežna kartica i jedna pci kartica se prosleđuju kao pci pass prema pfsense VM (wan i lan) i onda izlaz pci karte de na switch za sve fizičke uređaje.
 
TwistedMind je napisao(la):
OK, zamalo da je potpuno isti :ROFLMAO:
Imam ploču sa dva porta. Jedan je 2.5g, drugi je 1gb.
1gb služi kao wan, a na 2.5g je povezan komp.
1gb je prosleđen kao pci passthrough, a za 2.5g je napravljen bridge. Ako prosledim ceo port onda ta mašina ima ekskluzivno pravo na taj pci device pa mi je bilo lakše da napravim bridge u periodu igranja i čačkanja kako bi i druga mašina imala istovremeni pristup. Inače mogu da prosledim i taj port.
Za switch sam dodao još jednu USB mrežnu karticu jer nemam 2.5g switch (zapravo imam, ali ne želim da ga koristim jer se greje). Komp je 2.5g pa mi je glupo da se kači na 1gb switch. Nisam bio siguran kako bi pfsense radio sa usb drajverima pa je i od toga napravljen bridge koji se prosleđuje prema pfsense.
U proxmoxu imam i jedan "middleman" bridge nevezan za bilo koji fizički port. Taj bridge sam ubacio na svaku virtuelnu mašinu, uključujući i pfsense tako da su sve mašine koje imaju taj bridge povezane međusobno, a zbog pfsense i na lokalnu mrežu.
Mala noćna mora za alexa, u pfsense sam spojio nekoliko portova u jedan bridge za lan kako bi sve bilo na istom subnetu. pfsense ih sve vidi kao jednake portove nevezano da li je to originalno fizički ili virtuelni port.

Uskoro pravim mali upgrade sa 10gb karticom i switchom koji ima 2x10gb porta i 4x2.5gb porta pa će biti kao u tvom primeru.
interna mrežna kartica i jedna pci kartica se prosleđuju kao pci pass prema pfsense VM (wan i lan) i onda izlaz pci karte de na switch za sve fizičke uređaje.
Kliknite za proširenje...
Ako si izbegavao 2,5gb switch jer ti se grejao, onda mozes zamisliti koliko ce da se greje 10gb :)
Moj 2,5gb 8port trosi 20w u idle
 
Ako bude tako, onda ostaje isti koncept kao sada. Komp ide direktno u NIC na serveru, a u switch ide iz internog porta na ploči servera
 
Bas sam juce gledao video o potrosnji mrezne opreme na kanalu Christian Lempa koji pratim i on je bas rekao da se iznenadio koliko mu sfp 10gb pci kartice trose, jedna je trosila 15W
 
Upravo sam zamenio pfsense 3770 masinu sa virtuelnom pfsense i dobio sam ustedu od 35W potrosnje iliti 350din na mesecnom nivou.
Procenat zauzetosti ryzen proxmox masine je sa 2% skocio na 4%, u prevodu mozda trosi 1-2W vise.
Jedino se brinem sto mi pfsense sada umesto hdd-a u 3770 masini drlja kes po 1tb ssd mog proxmox servera.
Valjda ce ssd izdrzati par godina ovog mucenja.
 
Devil 2000 je napisao(la):
Upravo sam zamenio pfsense 3770 masinu sa virtuelnom pfsense i dobio sam ustedu od 35W potrosnje iliti 350din na mesecnom nivou.
Procenat zauzetosti ryzen proxmox masine je sa 2% skocio na 5%, u prevodu mozda trosi 1-2W vise.
Jedino se brinem sto mi pfsense sada umesto hdd-a u 3770 masini drlja kes po 1tb ssd mog proxmox servera.
Valjda ce ssd izdrzati par godina ovog mucenja.
Kliknite za proširenje...
pfSense "drlja" po disku samo ako imaš jako mnogo logovanja. Imaš nekoliko solucija.

1. Možeš ugasiti logovanje (nije preporučljivo).
2. Možeš pfSense-u reći da formira RAM disk, tako da se svo "drljanje" seli u ram disk.
3. Možeš da podigneš Graylog server i da pfSense logovanje preusmeriš na njega.
4. Možeš u server da dodaš mehanički disk i onda pfSense VM preseliš na njega.
 
moze li smernca za ramdisk?
 
Koliko se realno uštedi na PfSensu s obzirom da klot Proxmox ima dnevni upis od 20-30GB? Baš je dosta primera gde su ljudima degradirali consumer SSD-ovi za manje od godinu dana.
 
everton je napisao(la):
Koliko se realno uštedi na PfSensu s obzirom da klot Proxmox ima dnevni upis od 20-30GB? Baš je dosta primera gde su ljudima degradirali consumer SSD-ovi za manje od godinu dana.
Kliknite za proširenje...
Evo meni radi proxmox 2god non stop na samsung evo ssd 1tb i nisam primetio nikakve posledice
 
everton je napisao(la):
Koliko se realno uštedi na PfSensu s obzirom da klot Proxmox ima dnevni upis od 20-30GB? Baš je dosta primera gde su ljudima degradirali consumer SSD-ovi za manje od godinu dana.
Kliknite za proširenje...
Vodi računa odakle se snabdevaš informacijama. Na tvoje pitanje se ne može dati "DA" ili "NE" odgovor jer degradacija zavisi od toga šta se hostuje unutar ProxMox-a i kako je ProxMox iskonfigurisan. Ako imaš mnogo VM-ova, koristiš ZFS filesystem, svaki dan praviš snapshot/backup, i imaš VM-ove koji su R/W intensive, onda da. Može doći do ubrzane degradacije. Ali ako koristiš VM za Pihole, pfSense, ili bilo šta drugo što nije R/W intensive, onda nema opasnosti. Bitno je odraditi pravilnu segmentaciju i sve što je R/W intensive staviti na mehanici ili enterprise grade SSD. Light R/W VM-ovi mogu biti na consumer grade SSD-ovima. Podrazumevam da mašina koja hostuje ProxMox ima dovoljno RAM memorije.
 
Imam novu situaciju.
Kada pokrenem neki torrent preko VPN-a, posle par sekundi se pojavi obavestenje "Warning Pocketloss" pa za par sekundi "Offline Packetloss"
I predje na WAN bez VPN-a. Evo par slika. Nesto mi ovaj PIA VPN prekomplikovan za otvaranje portova za torrent, moze preko aplikacije, ali
za pfSense to ne radi. Nasao sam par uputstava ali je dosta kopleksno. Ima neko uputstvo za AirVPN gde izgleda sve dosta lakse.
Da li je ovaj SRB PIA server dosta spor ili ...

1723831552207.png1723831575280.png
1723831611142.png1723831629830.png
 
artur je napisao(la):
Imam novu situaciju.
Kada pokrenem neki torrent preko VPN-a, posle par sekundi se pojavi obavestenje "Warning Pocketloss" pa za par sekundi "Offline Packetloss"
I predje na WAN bez VPN-a. Evo par slika. Nesto mi ovaj PIA VPN prekomplikovan za otvaranje portova za torrent, moze preko aplikacije, ali
za pfSense to ne radi. Nasao sam par uputstava ali je dosta kopleksno. Ima neko uputstvo za AirVPN gde izgleda sve dosta lakse.
Da li je ovaj SRB PIA server dosta spor ili ...

Pogledajte prilog 454346Pogledajte prilog 454347
Pogledajte prilog 454348Pogledajte prilog 454349
Kliknite za proširenje...

Idi na System / Routing / Gateways a onda za PIA_SRB_VPNV4 ukloni monitor IP. Polje treba da izgleda ovako:

1723832767988.png
Ili, štikliraj opciju "Disable Gateway Monitoring".
 
Da, sada stoji u statusu: "danger, Packetloss", ali ga ne prebacuje na drugi WAN.
Da li vredi probati i da i se to praktikuje da napravim jos jedan WAN VPN konekciju sa nekim drugom lokacijom, mozda ce ici brze, SRB ide oko 30 MB/s.
Sto se tice otvaranje porta na PIA + pfSense samo manuelno kroz skriptu, ista je kao za WireGuard protokol koje si slao ranije.
 
Ne. Ako je 30Mbps neki max koj dobijaš, onda je pametnije da napraviš traffic shaper sa CoDel algoritmom i da ga setuješ na 29Mbps ili manje, a onda taj shaper da dodaš u firewall rule.

Idi na Firewall / Traffic Shaper / Limiters.

Napravi novi limiter koji izgleda ovako.

1723835573919.png
Snimi ga, a onda idi na Firewall / Rules i otvori firewall rule koji kontroliše traffic za PIA_SRB_VPNV4 i edituj firewall rule, sekcija In / Out pipe tako da izgleda ovako:

1723835876710.png
Ja sam 29Mbps naveo kao neki primer, ali potrebno je igrati se sa tim brojem. Glavni problem je zagušenje na PIA SRB serveru. Postižeš maks brzinu i gušiš Dpinger servis od pfSense-a koji pinguje gateway kako bi mogao da proveri status. Ako 30Mbps uzrokuje zagušenje, onda bi limiter na 29Mbps trebao da omogući nesmetan rad Dpinger-u i nećeš više videti packet loss i high latency.

30Mbps je svakako smejurija. Da sam na tvom mestu potrudio bi se da podesim WireGuard.
 
Ahhhh.

Napravi još jedan limiter u Firewall / Traffic Shaper / Limiters. Napravi ga isto kao i prvi, samo mu daj ime "PIA_VPN_Upload" i dodaj ga u firewall rule.
 
To je to, Probacu sa raznim vrednostima, sustina da dobijem maksimalan Mb/s, a da ne opterecujem taj Dpinger servis i da nema Pocket loss.
Samo jos jedno pitanje, ako zelim da probam jos neki VPN, da li nesto steti pfSense, i ako mi se ne dopadna da obrisem taj WAN port i sve ostalo sto je vezano za taj VPN.
Kolike su normalne/dozvoljene temperature procesora, meni su oko 48-50, miniPC mi stoji u ormanu, ali sam ga stavio na laptop postolje sa ventilatorima.
 
Morate se prijaviti ili registrovati da odgovorite ovde.
Vrh Dno