Šta je novo?

pfSense / OPNSense - Generalna diskusija, pitanja i saveti.

Komp i jedan port na serveru sam upgrade sa 10gb karticom.
Iperf je dolazio do oko 5.5-6gbps, a pfsense cpu je isao na 100%. U pitanu su 4 jezgra na intel 12700h, ne bas slab cpu. Proxmox sam deli izmedju P i E jezgra.
proxmox cpu type je x86-64-v2-AES po nekom uputsvu koje sam odavno iskoristio.
Dugo sam ignorisao savet da ne kreiram bridge za interfejse pa da LAN interfejs bude bridge jer sam inistirao na jednostavnosti i da mi svi interfejsi budu u istom subnetu.
interfejs 1 je 10gb NIC
interfejs 2 je 2.5gb nic koji ide na switch/wifi AP
interfejs 3 je proxmox virtuelni NIC za VM
interfejs 4 je za jedan izolovani VM

Konacno sam poslusao savet i razdvojio sve. Sada imam 4 subneta, 4 dhcp. Snasao sam se da postavim FW rules da bi se medjusobno videli i u pfsense ne postoji nijedan bridge.
Trebalo mi je jos par sati dok sam prepakovao sve IP adrese za sve servise, static mapping...

Sav srecan palim iperf3 opet da vidim sta se promenilo.... 5.5-6gbps i cpu na 100%
Kada iskljucim snort service, cpu se drzi na oko 85-90%, ali se brzina iperf ne menja.

Kako postici vecu brzinu
Ukoliko 10G kartica nema direktan pristup pfSense-u, to je neka maksimalna brzina koju možeš očekivati bez pravog TCP/IP offloading-a koji je po defaultu aktivan u pfSense-u, ali ne radi ako su interfejsi virtuelnog tipa. Inače nema razlike između brdige-a i razdvajanja po različitim subnetovima. U oba slučaja CPU procesira pakete. Takođe možeš imati problem ako 10G čip nije Intel.
I totalno drugo pitanje, nevezano za brzinu, kako da sprecim neke uredjaje da mogu da pristupe ostalim uredjajima?
U pitanju su neki smart uredjaji, kineski pa bihda ih izolujem takoda mogu da koriste internet zbog svojih funkcija, ali ne bih i da potencijalno svrljaju po mrezi.
Verovatno bih se snasao (preko brdo fw pravila i nebas elegantno) da ih izolujem od racuanra koji je sam na svom subnet i VM koji su zasebno, ali ne znam kako da ih sprecim da pristupaju laptopu ili telefonu koji su u istom subnet.
Nemam managed switch i ne verujem da cu ga imati.
Jedan od načina je aktiviranjem opcije AP isolation na samom access pointu. Na taj način uređaji imaju pristup samo internetu dok je pristup svim privatnim IP adresama zabranjen. Ako ta opcija postoji, onda u pfSense-u napravi jedan alias u koji ćeš staviti IP adrese svih iOT uređaja i jedan alias u koji ćeš staviti IP adrese laptopa, telefona...itd. Onda napravi jedan reject rule gde ćeš kao source staviti alias u kojem su iOT uređaji, a kao destination, alias u kojem su telefoni, laptopovi...itd. Vodi računa da taj rule bude ispred rule-a koji daje pristup internetu uređajima u tom subnetu.
 
Ukoliko 10G kartica nema direktan pristup pfSense-u, to je neka maksimalna brzina koju možeš očekivati bez pravog TCP/IP offloading-a koji je po defaultu aktivan u pfSense-u, ali ne radi ako su interfejsi virtuelnog tipa. Inače nema razlike između brdige-a i razdvajanja po različitim subnetovima. U oba slučaja CPU procesira pakete. Takođe možeš imati problem ako 10G čip nije Intel.

Jedan od načina je aktiviranjem opcije AP isolation na samom access pointu. Na taj način uređaji imaju pristup samo internetu dok je pristup svim privatnim IP adresama zabranjen. Ako ta opcija postoji, onda u pfSense-u napravi jedan alias u koji ćeš staviti IP adrese svih iOT uređaja i jedan alias u koji ćeš staviti IP adrese laptopa, telefona...itd. Onda napravi jedan reject rule gde ćeš kao source staviti alias u kojem su iOT uređaji, a kao destination, alias u kojem su telefoni, laptopovi...itd. Vodi računa da taj rule bude ispred rule-a koji daje pristup internetu uređajima u tom subnetu.
Znaci bezveze sam razdvajao bridge LAN :ROFLMAO:
NIC nije intel i nema drajvera za freebsd, ali ima za linux, tako da proxmox vidi nic, dok pfsense ne. Zato je u PM napravljen bridge, a taj bridge dodat u pfsense. Proxmox ima snage i previse i cpu se ni ne oznoji.
Dok sam trazio kako da izolujem smart uredjaje, svuda nailazim da je to kroz pfsense moguce samo ako su u razlicitim subnet. Ako su u istom (kao sto su moji wifi uredjaji), oni uopste ne pitaju pfsense za dozvolu vec komuniciraju direktno.
 
Znaci bezveze sam razdvajao bridge LAN :ROFLMAO:
Nije džabe. Sad je kako treba.
NIC nije intel i nema drajvera za freebsd, ali ima za linux, tako da proxmox vidi nic, dok pfsense ne. Zato je u PM napravljen bridge, a taj bridge dodat u pfsense. Proxmox ima snage i previse i cpu se ni ne oznoji.
Bez Intel kartice nema leba.
Dok sam trazio kako da izolujem smart uredjaje, svuda nailazim da je to kroz pfsense moguce samo ako su u razlicitim subnet. Ako su u istom (kao sto su moji wifi uredjaji), oni uopste ne pitaju pfsense za dozvolu vec komuniciraju direktno.
Tačno. U potpunosti sam prevideo činjenicu da se međusobna komunikacija odvija preko AP-a što je van kontrole pfSense-a. Koji je AP u pitanju ?
 
Nije džabe. Sad je kako treba.

Bez Intel kartice nema leba.

Tačno. U potpunosti sam prevideo činjenicu da se međusobna komunikacija odvija preko AP-a što je van kontrole pfSense-a. Koji je AP u pitanju ?
xiaomi mesh ax3000. ima okruglo 0 opcija preko podesavanja ssid i password. Radi samo jednu stvar, a to je wifi i to radi odlicno.

ovo mi je fw za te iot uredjaje. phonehome alias sadrzi ip adrese kineskih uredjaja
1736700137974.png

lan je 10gb nic, ako uvedem switch, bice vise uredjaja.
plan je proxmox lan, vm masine za razne servise
opt4 je za win vm-ove koji sluze za razna testiranja.
1736700048930.png
Ovo mi je bilo najbitnije da resim. ostatak wlan uredjaja su uglavnom telefoni, android box i slicni. Nema nista posebno bitno, mada bih i to voleo da izolujem ako je moguce.
 
xiaomi mesh ax3000. ima okruglo 0 opcija preko podesavanja ssid i password. Radi samo jednu stvar, a to je wifi i to radi odlicno.
Ovako je iskonfigurisan iOT SSID na mom AP-u koji je na odvojenom VLAN-u.
1736700990430.png
Sa ovakvim podešavanjima svi klijenti koji se kače na ovaj SSID imaju samo internet preko TCP porta 443 i ne vide se međusobno. Takođe je nemoguće pristupiti web interfejsu od pfSense-a, switch-a ili samog AP-a.
ovo mi je fw za te iot uredjaje. phonehome alias sadrzi ip adrese kineskih uredjaja
Pogledajte prilog 475921

lan je 10gb nic, ako uvedem switch, bice vise uredjaja.
plan je proxmox lan, vm masine za razne servise
opt4 je za win vm-ove koji sluze za razna testiranja.
Pogledajte prilog 475920

Ovde ti fajli block all rule na kraju. Napravi ovo i stavi ga skroz dole.

1736701266372.png
Napravi za svaki interfejs.

Ovo mi je bilo najbitnije da resim. ostatak wlan uredjaja su uglavnom telefoni, android box i slicni. Nema nista posebno bitno, mada bih i to voleo da izolujem ako je moguce.
Bez boljeg AP-a nije moguće.
 
Ovako je iskonfigurisan iOT SSID na mom AP-u koji je na odvojenom VLAN-u.
Pogledajte prilog 475926
Sa ovakvim podešavanjima svi klijenti koji se kače na ovaj SSID imaju samo internet preko TCP porta 443 i ne vide se međusobno. Takođe je nemoguće pristupiti web interfejsu od pfSense-a, switch-a ili samog AP-a.


Ovde ti fajli block all rule na kraju. Napravi ovo i stavi ga skroz dole.

Pogledajte prilog 475927
Napravi za svaki interfejs.


Bez boljeg AP-a nije moguće.
umesto da stavljam svaki interfejs pojedinacno, imam alias private nets
1736701823284.png
sada je malo citkije
1736702232114.png

dodat block all.
Cemu on sluzi nakon allow all?
 
Poslednja izmena:
dodat block all.
Cemu on sluzi nakon allow all? Da li treba da se doda i na ostale interfejse, prvenstveno LAN
Blokira sav nepotreban saobraćaj uključujići i IPv6. Kao što vidiš sa mog screenshot-a, samo za iOT interfejs je blokirao 650Mb. I da. Treba da napraviš taj rule za svaki interfejs.
 
Pocelo i kod mene da se puni. Ne kapiram kako funkcionise nakon allow all, ali nema veze, neka radi on svoje.
Hvala puno na pomoci. Nemam vise pitanja trenutno, sada je pfsense jos malo utegnutiji.
 
Pocelo i kod mene da se puni. Ne kapiram kako funkcionise nakon allow all, ali nema veze, neka radi on svoje.
Hvala puno na pomoci. Nemam vise pitanja trenutno, sada je pfsense jos malo utegnutiji.
Možeš da uključiš logging za taj firewall rule, a onda možeš u Status / System Logs / Firewall da vidiš ko "puni".
 
Zdravo svima. Zamolio bih ukoliko je neko voljan da mi pomogne sa instalacijom pfsens-a. Zaglavio sam kod "cannot reach the Netgate Servers..' - Uveo sam yettelovu optiku i nameravam da za rutiranje koristim pfsense. Ranije sam ga koristio sa sbb netom, dok nisu poceli da ubacuju rutere bez mogucnosti za bmod. Uglavnom odmah sam njihov (yettelov) ruter raskacio od ONT i povezao ga sa racunarom gde instaliram pfsense. Kako je online installer, zakucava na delu gde treba da se konektuje na njihove servere i posle odabira rada bez licence nastavi instalaciju. Toliko sam razumeo. Sta sad da mu radim?
Podesavnje WAN-a: ppoe, kredincijali i vlan tagging
 
Zdravo svima. Zamolio bih ukoliko je neko voljan da mi pomogne sa instalacijom pfsens-a. Zaglavio sam kod "cannot reach the Netgate Servers..' - Uveo sam yettelovu optiku i nameravam da za rutiranje koristim pfsense. Ranije sam ga koristio sa sbb netom, dok nisu poceli da ubacuju rutere bez mogucnosti za bmod. Uglavnom odmah sam njihov (yettelov) ruter raskacio od ONT i povezao ga sa racunarom gde instaliram pfsense. Kako je online installer, zakucava na delu gde treba da se konektuje na njihove servere i posle odabira rada bez licence nastavi instalaciju. Toliko sam razumeo. Sta sad da mu radim?
Podesavnje WAN-a: ppoe, kredincijali i vlan tagging

Ti si skinuo oficijelni installer sa njihovog sajta kojem je potrebna konekcija. Idi ovde i skini poslednju 2.7.2 verziju. Ovo je oficijelni offline installer. Sprži ga na flešku, ponovi instalaciju, i sve će proći bez greške.
 
Ti si skinuo oficijelni installer sa njihovog sajta kojem je potrebna konekcija. Idi ovde i skini poslednju 2.7.2 verziju. Ovo je oficijelni offline installer. Sprži ga na flešku, ponovi instalaciju, i sve će proći bez greške.
Too mi reci!! Hvaala. Jesam li oko podesavanja WAN-a dobro ispratio stavke? ustvari javljam se kad ga instaliram :)
 
Problem - nece da se poveze. Za wan sam ubacio usname i pass, stavio vlan tag. U sys logs vidim da pokusava da se konektuje ali bezuspesno
 
Problem - nece da se poveze. Za wan sam ubacio usname i pass, stavio vlan tag. U sys logs vidim da pokusava da se konektuje ali bezuspesno
Gde si upisao VLAN tag? Daj screenshot da vidim. Jesi li napravio VLAN interfejs i jesi li ga linkovao sa WAN interfejsom ? Da li tvoj provajder dozvoljava da se na taj VLAN nakači bilo koja MAC adresa ?
 
Upravo
Gde si upisao VLAN tag? Daj screenshot da vidim. Jesi li napravio VLAN interfejs i jesi li ga linkovao sa WAN interfejsom ? Da li tvoj provajder dozvoljava da se na taj VLAN nakači bilo koja MAC adresa ?
Upravo sam ga povezao. Dakle, za Yettel optiku - njihov ruter, iako u bridge mode-u i zasebnim ONT uredjajem, mora ostati aktivan u lancu povezivanja jer se konekcija vezuje za mac rutera. Nadalje cu citati sta jos mogu da podesavam u pfsensu, pa ako bude nejasnoca, opsedacu :)
Inace VLAN je vezan za WAN (Intefaces-Vlans)
 
Upravo

Upravo sam ga povezao. Dakle, za Yettel optiku - njihov ruter, iako u bridge mode-u i zasebnim ONT uredjajem, mora ostati aktivan u lancu povezivanja jer se konekcija vezuje za mac rutera. Nadalje cu citati sta jos mogu da podesavam u pfsensu, pa ako bude nejasnoca, opsedacu :)
To nije nikakav problem jer pfSense podržava MAC spoofing. Jednostavno prepiši MAC adresu sa Yettel routera i ubaci je u pfSense.

1736970354085.png
 
lelee, on mi tvrdi da ne moze! sad cu da probam. Za Wan nemam podesavanje za mac ali ako kreiram novi OPT1 interface, on je vezan za WAN i kada udjem u podesavanja imam tu opciju. Treba li da disableujem WAN pa upisem novu mac adresu - odn hoce li mi onda dati mac adress opciju? konfuzan sam - sustinski pitanje je zasto nemam tu opciju na wan interfejsu sada?
 
Kreni ispočetka. Ukloni WAN interfejs, pa ga opet dodaj i upiši MAC adresu.
 
Ne treba mac da se prepisuje za yettel optiku, znaci ont direktno ethernetom povezujes na pfsense, bez bridged rutera izmedju. Bolje slikaj kako si podesio vlan id.
 
nije trebao mac za yettel do sada, tako da bih to ignorisao.
vlan za yettel je, cini mi se 710 i parent interfejs je port koji koristis za wan. Kod mene recimo re0
u ppps kreiras novi unos, type pppoe, a interfejs je re.710.
u assignments pod wan stavljas pppoe0(re.710) i kada kliknes na wan tamo imas opciju da upises un i pass ako nije povukao.
 
Kreni ispočetka. Ukloni WAN interfejs, pa ga opet dodaj i upiši MAC adresu.
Uspeo sam. Ostavicu za sada spoofovani mac (pretp da ce raditi i default eth ulaza) ali imao sam prob - pretp u kreiranju ppoe odn podesavanju PPPs - po defaultu mi je birao wan oznacen kao em0 (macadresa) a ne em0.710. Nemate pojma koliko sam Vam zahvalan svima. I nije vazno samo to sto sam osposobio ovo da radi nego sto pomazete meni i drugima da uce :)
 
1737222743490.png
Zasto mi pokazuje da su mi nebanas i TPLink "offline" kada su ukljuceni i rade, i da li su bitne kolone Start/End sto pokazuju n/a?
 
Pogledajte prilog 476854
Zasto mi pokazuje da su mi nebanas i TPLink "offline" kada su ukljuceni i rade, i da li su bitne kolone Start/End sto pokazuju n/a?
KEA DHCP implementacija je još uvek bagovita. Ja kod mene držim matori ISC. Kod nekih uređaja pomaže, ako pored statičkog DHCP mapiranja, kreiraš i static ARP entry. Ono n/a je predviđeno za DHCP lease koji ističe. Pošto ti to nemaš, normalno je da stoji n/a.
 
Opet mi treba pomoc. Od sredjivanja mreze, ne radi mi cloudflared onako kako bih zeleo.
cloudflared servis se nalazi na vm u opsegu 192.168.2.0/24, konkretno, masina je .2.3.
192.168.1.0 je lan sa racunarom i proxmox
fora je da vise ne mogu da pristupim servisima na 192.168.2.0/24 opsegu, ali mogu 192.168.1.0/24 🤨.
Ne moze ni prema 3.0 mrezi.
Sada sam na kompu pustio qbittorrent web interfejs (1.10:8080) i bez ikakvih problema mu pristupam sa 4g mreze preko cloudflared.
fw pravila su generalno ista za sve subnetove
probao sam da u cloudflared tunelu namestim public hostname prema servisu i to radi kako treba.
 
Opet mi treba pomoc. Od sredjivanja mreze, ne radi mi cloudflared onako kako bih zeleo.
cloudflared servis se nalazi na vm u opsegu 192.168.2.0/24, konkretno, masina je .2.3.
192.168.1.0 je lan sa racunarom i proxmox
fora je da vise ne mogu da pristupim servisima na 192.168.2.0/24 opsegu, ali mogu 192.168.1.0/24 🤨.
Ne moze ni prema 3.0 mrezi.
Sada sam na kompu pustio qbittorrent web interfejs (1.10:8080) i bez ikakvih problema mu pristupam sa 4g mreze preko cloudflared.
fw pravila su generalno ista za sve subnetove
probao sam da u cloudflared tunelu namestim public hostname prema servisu i to radi kako treba.
Sve što si naveo je normalno i očekivano ponašanje. Samo napravi NAT i firewall rules, i problem rešen. NAT rule treba da izgleda ovako:

Interface: Interfejs na kojem ti je cloudflared VM.
Address Family: IPv4
Protocol: Ja držim TCP/UDP. Ti možeš da staviš any.
Source: Interfejs na kojem je 192.168.1.0/24 interfejs. Obično je LAN Subnets.
Destination: Any
U sekciji translation, za Address treba da stoji "<ime CF interfejsa> address"

A onda idi na Firewall / Rules i klikni na tab od 192.168.1.0/24 interfejsa i napravi novi firewall rule koji će izgledati ovako:

Action: Pass
Interface: LAN
Address Family: IPv4
Protocol: Isti kao u NAT rule-u.

U sekciji source odaberi LAN interface.
U sekciji destination odaberi interfejs na kojem je CF.

Save / Apply i to je to.

Ponovi proces za svaki subnet koji nema pristup CF mašini. Ako tačno znaš koji su protocoli i portovi u pitanju, bilo bi dobro da to tačno definišeš u pravilima tako da prolazi samo ono što treba i ništa više od toga.
 
Ipak je moja greska na kraju :mad:
cloudflare ima warp client (sada se zove drugacije inace) profil. U okviru profila postoji split tunnel opcija koja moze da ukljucuje ili iskljucuje adrese, domene, mreze iz mogucnosti koriscenja unutar warp aplikacije, a samim tim i tunela.
Kako bi trebalo da radi je da se podesi exclude i da exclude lista bude prazna kako bi moglo da se pristupa svemu, ali meni to nikada nije radilo tako iz kog god razloga. Ja sam morao da namestim include i da ubacim svoju mrezu. Verovatno bih mogao da podesim 0.0.0.0/0 jer ne vodim organizaciju i to je samo podesavanje cemu ce korisnik moci da pristupi kada vec koristi app i ulogovan je, nije nista sto dobija javni pristup.
 
Da li se još nekome dešava da nema interneta preko pfsense?
 
Ne bas. Mada nisi nam bas dao mnogo informacija kako bi dobio pomoc.
Prvo vidi da li je wan up. Onda proveri sa drugim DNS.
 
Ja sam prestao da koristim DOT, odnosno vratio sam se na default postavke u PfSensu. Unbound (PfSense) mi je jedini DNS server a koji sve upite (sem kiširanih) traži direktno od root DNS servera u suštini isto kao što bi radio i bilo koji drugi DNS server Google, Cloudflare,Quad9 itd. samo ih ovim putem ne uključujem kao posrednike.
 
Nazad
Vrh Dno