pfSense / OPNSense - Generalna diskusija, pitanja i saveti.

[Apple]

Potrebno je bilo neko vreme da proradi blokiranje reklama. Btw baci oko na ovo sto nije uspeo da Download

 

[alex303]

Potrebno je bilo neko vreme da proradi blokiranje reklama. Btw baci oko na ovo sto nije uspeo da Download
Pogledajte prilog 472737Pogledajte prilog 472742

Ove "download fail" greške su normala stvar jer linkovi sa kojih se skidaju liste više ne postoje. Idi na Firewall / pfblocker / IP / IPv4 i nađi na listi Talos BL v4 i klikni na kanticu da obrišeš taj feed da te nebi smarao sa "greškama".


Dodaj ovu i ovu listu u DNSBL sekciju ako imaš dovoljno memorije. Samo imaj na umu da su jako agresivne, ako primetiš da ne radi nešto što bi trebalo da radi, samo odradi whitelisting iz pfblocker report sekcije. Ako si sve odradio kako treba, adblock report bi trebao da izgleda ovako

 

[Apple]

Ubacio obe liste ali sam i dalje na 69%
EDIT: do mene je,zaboravio Reload odraditi.

 

[alex303]

Ubacio obe liste ali sam i dalje na 69%

Ne možeš da budeš na 100% samo sa listama jer ima elemenata koji su enkriptovani i njih pfSense ne vidi. Potrebno je dodati te elemente u uBlock / My Filters. Na primer ovo:

/pagead.js$domain=d3ward.github.io
/widget/ads.

I moraš napraviti custom DNSBL listu i moraš da dodaš ovo:

pokerok131.com
play.pokerok131.com
kwork.ru
doubleclick.net
ad.doubleclick.net
static.doubleclick.net
m.doubleclick.net
mediavisor.doubleclick.net
media.fastclick.net
analyticsengine.s3.amazonaws.com
advice-ads.s3.amazonaws.com
affiliationjs.s3.amazonaws.com
advertising-api-eu.amazon.com
ads.facebook.com
ads-api.twitter.com
ads.pinterest.com
ads.reddit.com
d.reddit.com
ads.youtube.com
doubleclick.net
ad.doubleclick.net
static.doubleclick.net
static.doubleclick.net
m.doubleclick.net
mediavisor.doubleclick.net
media.fastclick.net
analyticsengine.s3.amazonaws.com
advice-ads.s3.amazonaws.com
advertising-api-eu.amazon.com
affiliationjs.s3.amazonaws.com
ads.facebook.com
ads-api.twitter.com
ads.pinterest.com
ads.reddit.com
d.reddit.com
ads.youtube.com
ads.viber.com
ads.aws.viber.com
ads-d.viber.com
s-clk.rmp.rakuten.com
api.taboola.com
s-bid.rmp.rakuten.com
api.mixpanel.com
ws.priceminister.com
api.vbox7.com
d.symcb.com
sw1.symcb.com
p1-play.edge4k.com
p2-play.edge4k.com
p1-play.kgslb.com
kyson.ad.daum.net
display.ad.daum.net
nalytics.ad.daum.net
adtago.s3.amazonaws.com
analyticsengine.s3.amazonaws.com
analytics.s3.amazonaws.com
advice-ads.s3.amazonaws.com
advertising-api-eu.amazon.com
events.reddit.com
adtech.yahooinc.com
bdapi-ads.realmemobile.com
.realmemobile.com
.amazonaws.com
.amazon.com
tesla-online.net
sdk.iad-03.appboy.com
venetia.iad.appboy.com
dev.appboy.com
serpens.iad.appboy.com
yildun.iad-03.appboy.com
pyxis.iad.appboy.com
jabo.iad.appboy.com
lacerta.iad.appboy.com
axion.iad.appboy.com
sdk-02.iad.appboy.com
saxon.iad-03.appboy.com
hoag.iad.appboy.com
equuleus.iad.appboy.com
tarunchhattisgarh.in
thunderbird.net
thunderbird-settings.thunderbird.net
ablaze.one

Idi na Firewall / pfBlockerNG / DNSBL / DNSBL Groups i klikni na Add i napravi ovakav feed:



A onda skroluj dole i klikni na + da se otvori lista



I onda dodaj linkove od gore tako da dobiješ ovo



Klikni na Save DNSBL Settings. Nakon toga idi na Update klikni na Reload klikni na All i klkini na Run i sačekaj da završi. I onda probaj da odradiš adblock test. Trebalo bi da imaš bolji rezultat.

 

[TwistedMind]

Ja koristim adguard liste
AdGuard_DNS_filter

https://adguardteam.github.io/HostlistsRegistry/assets/filter_1.txt

WindowsSpyBlocker

https://adguardteam.github.io/HostlistsRegistry/assets/filter_23.txt

Phishing_URL_Blocklist

https://adguardteam.github.io/HostlistsRegistry/assets/filter_30.txt

Pored toga, adguard ekstenziju, skoro pa default podesena i imam 99% rezultat gde ostaje samo
/pagead.js$domain=d3ward.github.io
/widget/ads.

Sad sam ubacio alex custom listu tek onako

 

[alex303]

Slabe su AdGuard liste. Propuštaju mnogo. Ja kontam da je to zbog toga da se održi funkcionalnost Windows-a i da se smanji potreba za ručnim intervencijama u vidu whitelistovanja. Ja se vodim logikom da treba blokirati sve i whitelistovati samo ono što je neophodno. Dosta vrednosti iz moje custom liste je prikupljeno packet capture-om na pfSense interfejsima gde se nalaze uređaji koji vole da "zovu kući". To sam sve blokirao iako ti uređaji nemaju izlaz na net. Povremeno ih pustim samo zbog firmware update-a i to je to.

 

[TwistedMind]

Dobro, to je sad pitanje izmedju udobnosti i funkcionalnosti. Treba naci zlatnu sredinu. Ako se i propusti neka reklama, nije toliko strasno, barem meni. Veca mi je muka da mi neki sajt ili funkcija ne radi pa da moram da petljam po pfsense da je vratim i radim finetune.
Recimo, imao sam problem da nisam mogao da otvaram linkove iz mailova jer uglavnom sadrze tracking kako bi posiljalac mogao da vidi koji korisnik subscribe liste je otvorio link. I desi se da dobijem pozivnicu za preuzimanje nekog fajla i ja to ne mogu da otvorim.
Ovako je komforno.
Naravno, ko ima zivaca, go for it, sta vise, svaka cast

 

[alex303]

Dobro, to je sad pitanje izmedju udobnosti i funkcionalnosti. Treba naci zlatnu sredinu. Ako se i propusti neka reklama, nije toliko strasno, barem meni. Veca mi je muka da mi neki sajt ili funkcija ne radi pa da moram da petljam po pfsense da je vratim i radim finetune.
Recimo, imao sam problem da nisam mogao da otvaram linkove iz mailova jer uglavnom sadrze tracking kako bi posiljalac mogao da vidi koji korisnik subscribe liste je otvorio link. I desi se da dobijem pozivnicu za preuzimanje nekog fajla i ja to ne mogu da otvorim.
Ovako je komforno.
Naravno, ko ima zivaca, go for it, sta vise, svaka cast

Naravno. To je sve stvar ukusa. Ja sam to rešio tako što imam "work" SSID koji je unrestricted i zaobilazi pfBlocker. A imam i klijenata koji su statički mapirani sa quad9 DNS-om i takođe zaobilaze pfBlocker. Tako da nema cimanja sa whitelistovanjem.

 

[TwistedMind]

Tvoja custom lista mi je blokirala alexa uslugu, ceo homepage na firetv. Dva unosa su mi malo sumnjiva,
.amazonaws.com
.amazon.com

Izbacio sam ih i sada radi kako treba. .amazon je vratio homepage, a aws i asistenta.
Takodje, bilo je 20ak duplih unosa. Evo ociscene liste

Spojler: lista

pokerok131.com
play.pokerok131.com
kwork.ru
doubleclick.net
ad.doubleclick.net
static.doubleclick.net
m.doubleclick.net
mediavisor.doubleclick.net
media.fastclick.net
analyticsengine.s3.amazonaws.com
advice-ads.s3.amazonaws.com
affiliationjs.s3.amazonaws.com
advertising-api-eu.amazon.com
ads.facebook.com
ads-api.twitter.com
ads.pinterest.com
ads.reddit.com
d.reddit.com
ads.youtube.com
ads.viber.com
ads.aws.viber.com
ads-d.viber.com
s-clk.rmp.rakuten.com
api.taboola.com
s-bid.rmp.rakuten.com
api.mixpanel.com
ws.priceminister.com
api.vbox7.com
d.symcb.com
sw1.symcb.com
p1-play.edge4k.com
p2-play.edge4k.com
p1-play.kgslb.com
kyson.ad.daum.net
display.ad.daum.net
nalytics.ad.daum.net
adtago.s3.amazonaws.com
analytics.s3.amazonaws.com
events.reddit.com
adtech.yahooinc.com
bdapi-ads.realmemobile.com
.realmemobile.com
tesla-online.net
sdk.iad-03.appboy.com
venetia.iad.appboy.com
dev.appboy.com
serpens.iad.appboy.com
yildun.iad-03.appboy.com
pyxis.iad.appboy.com
jabo.iad.appboy.com
lacerta.iad.appboy.com
axion.iad.appboy.com
sdk-02.iad.appboy.com
saxon.iad-03.appboy.com
hoag.iad.appboy.com
equuleus.iad.appboy.com
tarunchhattisgarh.in
thunderbird.net
thunderbird-settings.thunderbird.net
ablaze.one

 

[alex303]

Tvoja custom lista mi je blokirala alexa uslugu, ceo homepage na firetv. Dva unosa su mi malo sumnjiva,
.amazonaws.com
.amazon.com

Da da. Blokiranjem amazonaws-a prestaje da radi gomila stvari. Viber na primer. Ja nisam u tom ekosistemu, tako da savetujem oprez prilikom korišćenja mojih listi.

 

[artur]

Nakon toga, ponovo idi na System / Package Manager i klikni na Available Packages i potraži paket system patches. Instaliraj ga, a onda idi na System / Patches i dole imaš dugme apply all patches. Nakon toga obavezno reboot.

Ne znam kako i zasto, ali ovo nisam uradio, da uradim sada.
Drugo pitanje, da li postoji opcija da se MiniPC sa pfSense upali sam posle nestanka struje. Prosle nedelje bila panika nema interneta u kuci a dosla struja.

 

[alex303]

Ne znam kako i zasto, ali ovo nisam uradio, da uradim sada.

System Patches paket služi da se reše kritični propusti u pfSense-u. Svaki put kada se taj paket nadogradi, to znači da postoji novi fix koji treba odraditi. Zato svremena na vreme treba proveriti da li postoji nova verzija paketa ili jednostavno učitati Installed Packages widget na glavnoj stranici koji će prikazati žutom bojom kada postoji nadogradnja za neki paket.

Drugo pitanje, da li postoji opcija da se MiniPC sa pfSense upali sam posle nestanka struje. Prosle nedelje bila panika nema interneta u kuci a dosla struja.

Da. Uđi u BIOS, i u podešavanjima za čipset prebaci S5 State u S0 State.

 

[Apple]

Sta mi je ciniti sa ostatkom mreze "Asus mesh"

 

[alex303]

Sta mi je ciniti sa ostatkom mreze "Asus mesh"

Imaš još jedan slobodan port. Iskonfiguriši ga kao što si uradio i sa portom 3. Samo umesto 10.1.1.1/24 napravi 20.1.1.1/24. Bocni rutere u taj port, i to je to. Jel ti Asusi podržavaju VLAN ?

 

[Apple]

Nema na mom Asus RT-AX86U Pro VLAN mada na netu pise da ima ali ja ne vidim mozda zato sto imam Merlin fw.
Note:

1). By creating a Guest network pro, a VLAN will be created as well in VLAN settings.

2). VLAN supported models:

• GT-AX11000 Pro, GT-AX6000, GT-AXE16000, RT-AX86U Pro, RT-AX88U Pro

 

[alex303]

Nema na mom Asus RT-AX86U Pro VLAN mada na netu pise da ima ali ja ne vidim mozda zato sto imam Merlin fw.
Note:

1). By creating a Guest network pro, a VLAN will be created as well in VLAN settings.

2). VLAN supported models:

• GT-AX11000 Pro, GT-AX6000, GT-AXE16000, RT-AX86U Pro, RT-AX88U Pro

Merlin je samo proširenje fabričkog firmware-a. Vidi da li možeš da kreiraš novu mrežu i da li prilikom kreiranja imaš negde da definišeš VLAN. I da li kod kreiranja Guest mreže imaš da definišeš VLAN ili on sam dodeljuje ?

 

[Apple]

Ovako bi to trebalo izgledati ali ja te opcije nemam kod sebe...
Guest opcije preko tel app a na ruteru jos manje opcija,tipa nema to vreme da se podesi nego samo da aktiviram I to je to.

[Wireless Router] What is VLAN and how to setup in ASUS Wireless Router? | Official Support | ASUS Global

 

[alex303]

Merlin firmware jako kaska za oficijelnim firmware-om i verovatno zato nemaš te opcije. Piše da na nekim modelima treba flešovati BETA firmware da bi te opcije bile dostupne. Pošto sada imaš pfSense, nema apsolutno nikakve potrebe za korišćenjem Merlin firmware-a.

 

[Apple]

Videcu da vratim ovih dana na oficijelni pa da dovrsimo zapoceto.

 

[Apple]

U slucaju koriscenja samo jednog Tp Link AX55 kako ga podesiti?

 

[alex303]

U slucaju koriscenja samo jednog Tp Link AX55 kako ga podesiti?

AP režim, i na poseban port u pfSense na posebnom subnetu.

 

[kartingdriver]

Pozdrav, jel neko podsavao Nordlynx na pfsensu? Podesio sam Openvpn ali mi radi mi 100/75 na internetu 300/150.

 

[alex303]

Pozdrav, jel neko podsavao Nordlynx na pfsensu? Podesio sam Openvpn ali mi radi mi 100/75 na internetu 300/150.

Na kom uređaju, koji procesor ?

 

[kartingdriver]

U pitanju je proizvodjac Eglobal sa J4125 procesorom.

 

[alex303]

U pitanju je proizvodjac Eglobal sa J4125 procesorom.

Idi na Status / Interfaces i okači mi screenshot WAN interfejsa.

 

[kartingdriver]

WAN Interface (wan, vtnet0)​

Statusup DHCPup Release WAN Relinquish LeaseMAC Addressbc:24:11:4f:ff:3b IPv4 Address192.168.1.9 Subnet mask IPv4255.255.255.0 Gateway IPv4192.168.1.1 IPv6 Link Localfe80::be24:11ff:fe4f:ff3b%vtnet0 DNS servers192.168.1.1 MTU1500 Media10Gbase-T <full-duplex> In/out packets93212659/98392154 (107.41 GiB/10.73 GiB) In/out packets (pass)93212659/98392154 (107.41 GiB/10.73 GiB) In/out packets (block)36047/1 (3.47 MiB/84 B) In/out errors0/0 Collisions0

LAN Interface (lan, vtnet1)​

Statusup MAC Addressbc:24:11:aa:c1:72 IPv4 Address10.1.1.1 Subnet mask IPv4255.255.255.0 IPv6 Link Localfe80::be24:11ff:feaa:c172%vtnet1 MTU1500 Media10Gbase-T <full-duplex> In/out packets38560464/86306743 (5.15 GiB/100.63 GiB) In/out packets (pass)38560464/86306743 (5.15 GiB/100.63 GiB) In/out packets (block)26493/39 (1.81 MiB/2 KiB) In/out errors0/0 Collisions0

GUEST Interface (opt1, vtnet1.20)​

Statusup MAC Addressbc:24:11:aa:c1:72 IPv4 Address10.1.20.1 Subnet mask IPv4255.255.255.0 IPv6 Link Localfe80::be24:11ff:feaa:c172%vtnet1.20 MTU1500 Media10Gbase-T <full-duplex> In/out packets0/4 (0 B/320 B) In/out packets (pass)0/4 (0 B/320 B) In/out packets (block)0/0 (0 B/0 B) In/out errors0/0 Collisions0

NORDVPN Interface (opt2, ovpnc1)​

Statusup IPv4 Address10.100.0.2 Subnet mask IPv4255.255.0.0 Gateway IPv410.100.0.1 IPv6 Link Localfe80::be24:11ff:fe4f:ff3b%ovpnc1 MTU1500 In/out packets88307465/40535914 (100.60 GiB/5.18 GiB) In/out packets (pass)88307465/40535914 (100.60 GiB/5.18 GiB) In/out packets (block)217039/846 (17.84 MiB/69 KiB) In/out errors0/0 Collisions0

 

[alex303]

Idi na System / Advanced / Miscellaneous i skroluj dole do sekcije Cryptographic & Thermal Hardware i vidi da li si ga podesio ovako.



Takođe u podešavanju OpenVPN klijenta u sekciji Cryptographic Settings vidi da li si podesio ovako:



Ništa drugo mi ne pada na pamet osim da negde nemaš neki limiter ili Nord jednostavno trenutno ne može da isporuči više od 100Mbps na serveru koji koristiš.

Nord nema zvanično WireGuard uputstvo, ali moguće je podesiti ga u pfSense-u i dobiti daleko veće brzine nego sa OpenVPN-om. Isprati ove instrukcije.

 

[kartingdriver]

@alex303. Hvala za instrukcije. Ispraticu pa cu javiti rezultate.

 

[TwistedMind]

Komp i jedan port na serveru sam upgrade sa 10gb karticom.
Iperf je dolazio do oko 5.5-6gbps, a pfsense cpu je isao na 100%. U pitanu su 4 jezgra na intel 12700h, ne bas slab cpu. Proxmox sam deli izmedju P i E jezgra.
proxmox cpu type je x86-64-v2-AES po nekom uputsvu koje sam odavno iskoristio.
Dugo sam ignorisao savet da ne kreiram bridge za interfejse pa da LAN interfejs bude bridge jer sam inistirao na jednostavnosti i da mi svi interfejsi budu u istom subnetu.
interfejs 1 je 10gb NIC
interfejs 2 je 2.5gb nic koji ide na switch/wifi AP
interfejs 3 je proxmox virtuelni NIC za VM
interfejs 4 je za jedan izolovani VM

Konacno sam poslusao savet i razdvojio sve. Sada imam 4 subneta, 4 dhcp. Snasao sam se da postavim FW rules da bi se medjusobno videli i u pfsense ne postoji nijedan bridge.
Trebalo mi je jos par sati dok sam prepakovao sve IP adrese za sve servise, static mapping...

Sav srecan palim iperf3 opet da vidim sta se promenilo.... 5.5-6gbps i cpu na 100%
Kada iskljucim snort service, cpu se drzi na oko 85-90%, ali se brzina iperf ne menja.

Kako postici vecu brzinu

 

[TwistedMind]

I totalno drugo pitanje, nevezano za brzinu, kako da sprecim neke uredjaje da mogu da pristupe ostalim uredjajima?
U pitanju su neki smart uredjaji, kineski pa bihda ih izolujem takoda mogu da koriste internet zbog svojih funkcija, ali ne bih i da potencijalno svrljaju po mrezi.
Verovatno bih se snasao (preko brdo fw pravila i nebas elegantno) da ih izolujem od racuanra koji je sam na svom subnet i VM koji su zasebno, ali ne znam kako da ih sprecim da pristupaju laptopu ili telefonu koji su u istom subnet.
Nemam managed switch i ne verujem da cu ga imati.