pfSense / OPNSense - Generalna diskusija, pitanja i saveti.
- Začetnik teme alex303
- Datum pokretanja
Difermo
Cenjen
- Učlanjen(a)
- 13.05.2014
- Poruke
- 1,944
- Poena
- 110
Moja oprema
- Mobilni telefon
- Iphone 12 pro
- Pristup internetu
- Optički internet
hvala na preporuci. to cu poruciti samo ovaj ubiquiti U6 mesh? za stan to tesko da bi moglo da stoji na komodi ... moze jos neka preporuka ?
OP
OP
- Učlanjen(a)
- 19.04.2005
- Poruke
- 3,931
- Poena
- 2,095
Onda Ubiquiti U6 Pro na plafonu ili zidu.
KurtK
Slavan
- Učlanjen(a)
- 16.12.2010
- Poruke
- 1,692
- Poena
- 225
Pa ne bih bas bacao brdo love samo zbog temperature koja ako se zameni pasta bude ok.
Inace taj lik koga si quotovao je testirao sa N5105 koji ima TDP 10W, ja sam uzeo N100 koji treba da je hladniji sa TDP 6W.
Svakako kad stigne javljam utiske.
Poslednja izmena:
Devil 2000
Čuven
- Učlanjen(a)
- 21.12.2001
- Poruke
- 1,130
- Poena
- 995
ako uzmem minipc koji ima samo jedan lan port, da li sa usb->ethernet adapterom da resim nedostatak drugog porta?
Da li je neko probao usb->ethernet adapter na pfsense, da li rade i koje marke preporucujete?
Da li je neko probao usb->ethernet adapter na pfsense, da li rade i koje marke preporucujete?
OP
OP
- Učlanjen(a)
- 19.04.2005
- Poruke
- 3,931
- Poena
- 2,095
Korišćenje USB/Eth adaptera u pfSense-u nije preporučljivo. FreeBSD, za razliku od Linux-a, ima jako ograničenu podršku. Ne preporučuje se čak ni korišćenje Realtek mrežnih kartica u bilo kakvoj izvedbi. Dobru podršku ima samo Intel i Mellanox.
KurtK
Slavan
- Učlanjen(a)
- 16.12.2010
- Poruke
- 1,692
- Poena
- 225
Ima cetiri 2.5Gb porta, ovaj sam porucio:
131.12€ 24% OFF|Intel N100 Celeron N5105 Soft Router lüfter loser Mini PC 4x Intel i226 i225 2,5g LAN HD DP Pfsense Firewall Appliance ESXI AES NI| | - AliExpress
Smarter Shopping, Better Living! Aliexpress.com
www.aliexpress.com
OP
OP
- Učlanjen(a)
- 19.04.2005
- Poruke
- 3,931
- Poena
- 2,095
Manjak portova u pfSense-u se rešava managed switch-om koji podržava VLAN. Takav switch takođe omogućava korišćenje pfSense-a sa samo jednom LAN karticom. Tako da, nema potrebe uzimati mini PC koji ima više od 4 porta ukoliko za to stvarno nema potrebe.
I kad smo kod portova, ti portovi su nezavisne mrežne kartice. U pfSense-u se ti portovi mogu bridge-ovati i tako se dobija soft switch, ali to nije preporučljivo jer CPU mora da isprocesira svaki paket koji prolazi kroz bridge. To drastično povećava delay i nepotrebno troši CPU cikluse. Za takve stvari je uvek bolji switch.
I kad smo kod portova, ti portovi su nezavisne mrežne kartice. U pfSense-u se ti portovi mogu bridge-ovati i tako se dobija soft switch, ali to nije preporučljivo jer CPU mora da isprocesira svaki paket koji prolazi kroz bridge. To drastično povećava delay i nepotrebno troši CPU cikluse. Za takve stvari je uvek bolji switch.
Devil 2000
Čuven
- Učlanjen(a)
- 21.12.2001
- Poruke
- 1,130
- Poena
- 995
Jel postoji nacin da se spoje ruteri dva razlicita internet provajdera pa da se dobije internet brzine ta dva sabrano i uz to dobijem bekap opciju ako neki internet zakaze?
OP
OP
- Učlanjen(a)
- 19.04.2005
- Poruke
- 3,931
- Poena
- 2,095
Postoji. To sam objasnio detaljno u ovom postu.
Sabiranje brzine je moguće samo ako imaš switch koji podržava 802.3ad i ako oba provajdera podržavaju LACP. Pošto toga nema u Srbiji za fizička lica, odgovor je ne. Sa dva provajdera dobijaš samo failover i sabrane brzine u specifičnim situacijama kao što je torrent.
Devil 2000
Čuven
- Učlanjen(a)
- 21.12.2001
- Poruke
- 1,130
- Poena
- 995
Da li pfsense moze da kontrolise managed svic koji nije direktno na njega povezan ali je unutar pfsense-ovog subneta?
OP
OP
- Učlanjen(a)
- 19.04.2005
- Poruke
- 3,931
- Poena
- 2,095
Tu ne postoji "da/ne" odgovor. Sve zavisi od tebe. Da li ćeš moći da kontrolišeš switch, najviše zavisi od toga da li postoji downstream ruta između pfSense-a i samog switch-a. Ako na toj ruti imaš bilo kakav uređaj koji radi L3 (NAT/DHCP) uključujući i sam switch, nećeš moći da pristupiš dok se na tom L3 uređaju ne definiše upstream ruta do subneta u kojem je pfSense. Ako ta ruta od pfSense-a do switch-a postoji, onda u igru ulazi drugi faktor. A to je, da li uređaj sa kojim pokušavaš da pristupiš ima rutu do pfSense-a? Na primer. Ako tvoj access point po defaultu radi L2 izolaciju ili ima DHCP server, onda niko ko je nakačen preko tog AP-a ne može pristupiti pfSense-u/switch-u.
Devil 2000
Čuven
- Učlanjen(a)
- 21.12.2001
- Poruke
- 1,130
- Poena
- 995
Internet na lan-u na pfsense mi radi ako preskocim wizard sa svojim dns podesavanjima, dok mi opnsense internet uopste ne radi ni pre ni posle wizarda (bez obzira da li ostavio default podesavanja ili pisao za dns 8.8.8.8)
Ima li neka posebna podesavanja za dns i wizard?
Ima li neka posebna podesavanja za dns i wizard?
Poslednja izmena:
Devil 2000
Čuven
- Učlanjen(a)
- 21.12.2001
- Poruke
- 1,130
- Poena
- 995
101 je DVR sa kamerama, 102 mobilni, 100 je laptop (trenutno ugasen) , ovaj gui trenutno radim screenshot na desktopu koji je 115 a ne pise nista o njemu
Poslednja izmena:
OP
OP
- Učlanjen(a)
- 19.04.2005
- Poruke
- 3,931
- Poena
- 2,095
pfSense wizard je bukvalno next, next, finish posle kojeg pfSense radi potpuno normalno ako je sve povezano kako treba. Isto važi i za OPNSense. Nije potrebno nikakvo podešavanje DNS-a jer je pfSense DNS.
Koji je switch u pitanju? Na šta je povezan desktop? Jel mrežni adapter podešen da primi adresu od DHCP servera ? Proveri da nisi možda ostavio ručno dodeljen IP.
Koji je switch u pitanju? Na šta je povezan desktop? Jel mrežni adapter podešen da primi adresu od DHCP servera ? Proveri da nisi možda ostavio ručno dodeljen IP.
Devil 2000
Čuven
- Učlanjen(a)
- 21.12.2001
- Poruke
- 1,130
- Poena
- 995
Komp je 4770 sa plocom GIGABYTE GA-H81M-S2V (kartica gigabit Realtek® ALC887 kao WAN), ubacena gigabit pci tp-link tg-3468 kartica (realtek RTL8168B) kao LAN.
Svic ultrajeftini Cudy gigabitni internet switch sa 5 porta swtch15cg.
Ruter huawei HG8245W5-6T (telekom opticki internet).
Internet ne vidi nijedan uredjaj koji je povezan na cudy svic.
Mozda sam zbunio browsere sa konstantnim prebacivanjem zicane veze sa pfsense kompa na telekom ruter pa se dns kes zbunio, to mi jedino logicno izgleda.
Sada sve radi, jedino kada bih mogao da isprintam trenutna podesavanja za ubuduce kada mi se ovo pocne desavati.
Svic ultrajeftini Cudy gigabitni internet switch sa 5 porta swtch15cg.
Ruter huawei HG8245W5-6T (telekom opticki internet).
Internet ne vidi nijedan uredjaj koji je povezan na cudy svic.
Mozda sam zbunio browsere sa konstantnim prebacivanjem zicane veze sa pfsense kompa na telekom ruter pa se dns kes zbunio, to mi jedino logicno izgleda.
Sada sve radi, jedino kada bih mogao da isprintam trenutna podesavanja za ubuduce kada mi se ovo pocne desavati.
Poslednja izmena:
OP
OP
- Učlanjen(a)
- 19.04.2005
- Poruke
- 3,931
- Poena
- 2,095
Prvo proveri da li desktop dobija IP adresu od pfSense-a i ako dobija, odradi ovo:
Nakači se na pfSense kroz SSH i proveri da li radi DNS resolver unutar pfSense-a:
I daj ovde da vidim output.
Kod:
ipconfig /release && ipconfig /renew && ipconfig /flushdnsNakači se na pfSense kroz SSH i proveri da li radi DNS resolver unutar pfSense-a:
Bash:
dig google.comI daj ovde da vidim output.
everton
Slavan
- Učlanjen(a)
- 11.06.2005
- Poruke
- 722
- Poena
- 345
Moja oprema
- CPU & Cooler
- I5 10400F, EKWB Quantum Velocity
- Matična ploča
- Asrock B460-ITX
- RAM
- Kingston HyperX 16GB 2666MHz CL13
- GPU
- ASUS EKWB RTX 3070
- Storage
- Kingston KC3000 1Tb NVMe, 1TB Toshiba
- Zvuk
- Altec Lancing ATP3, Razer Kraken TE
- PSU
- Chieftec CSN450W SFX 80+ gold
- Kućište
- Lian LI A4 H2O
- Monitor
- Dell 27' HGF
- Miš & tastatura
- HyperX, Red Dragon Vara
Napravio sam jos dve instance na WireGuard serveru za pristup lokalnoj mreži iza pfsensa, tako da nemam vise potrebu za tailscale vpn-om. Iako nemam ni jednu zamerku za tailscale čini mi se da wireguard-ov vpn servis nešto brži.
Jos jedna dobra stvar mada cu slabo da koristim "full tunnel" ako ukljucim FW pravilo da određeni uređaji koriste wireguard gateway, pfsense je DNS resolver a pfblocker i dalje radi posao. Kod tailscale-a blokiranje reklama kada sam pfsense koristio kao "exit node" nije radilo ili se ja nisam mozda dovoljno potrudio da nemestim.
Što se tiče onog malog download bandwitha od 35Mbits sto sam postavljao i imao na odredjenim uređajima mogu samo da kazem da sam dva dana izgubio zbog gluposti, na tesitranja i pokušaje da shvatim zbog cega.
Treći dan kad sam počeo da koristim VPS i wireguard za ono sto sam i naumio video je download sasvim normalan, zašto iperf3 test pokazuje 35Mbits nije mi jasno.
Download sa VPS servera
Speed test preko VPN servera
Jos jedna dobra stvar mada cu slabo da koristim "full tunnel" ako ukljucim FW pravilo da određeni uređaji koriste wireguard gateway, pfsense je DNS resolver a pfblocker i dalje radi posao. Kod tailscale-a blokiranje reklama kada sam pfsense koristio kao "exit node" nije radilo ili se ja nisam mozda dovoljno potrudio da nemestim.
Što se tiče onog malog download bandwitha od 35Mbits sto sam postavljao i imao na odredjenim uređajima mogu samo da kazem da sam dva dana izgubio zbog gluposti, na tesitranja i pokušaje da shvatim zbog cega.
Treći dan kad sam počeo da koristim VPS i wireguard za ono sto sam i naumio video je download sasvim normalan, zašto iperf3 test pokazuje 35Mbits nije mi jasno.
Download sa VPS servera
Speed test preko VPN servera
OP
OP
- Učlanjen(a)
- 19.04.2005
- Poruke
- 3,931
- Poena
- 2,095
Brži je jer nema posrednika. Pogotovo kada je taj posrednik pod opterećenjem. Ipak je to free usluga.
Mislim da se to može elegantnije rešiti nego da koristiš full tunnel. Pošto je pfSense taj koji ima ulogu DNS servera, možeš da uradiš port forward preko VPN tunela samo za port 53 (DNS). Tako da imaš privatni remote DNS server.
Trebao si da odradiš port 53 forward koji spomenuh gore.
Lepa brzina.
everton
Slavan
- Učlanjen(a)
- 11.06.2005
- Poruke
- 722
- Poena
- 345
Moja oprema
- CPU & Cooler
- I5 10400F, EKWB Quantum Velocity
- Matična ploča
- Asrock B460-ITX
- RAM
- Kingston HyperX 16GB 2666MHz CL13
- GPU
- ASUS EKWB RTX 3070
- Storage
- Kingston KC3000 1Tb NVMe, 1TB Toshiba
- Zvuk
- Altec Lancing ATP3, Razer Kraken TE
- PSU
- Chieftec CSN450W SFX 80+ gold
- Kućište
- Lian LI A4 H2O
- Monitor
- Dell 27' HGF
- Miš & tastatura
- HyperX, Red Dragon Vara
Da, da u pravu si. Imam vec to pravilo jos od ranije kad si pisao, tako da u oba slucaja nemam reklama. Nego sam se iznenadio da radi i za full tunnel, mada sad kad bolje razmislim nema razloga da ne radi.
Nisam od tad probao tailscale, slabo sam koristio "exit node" opciju, ali super ako je isto resenje.
Jedno pitanjce:
Da li se i Wireguard server moze da se podesiti da koristi pfsense DNS?
Na primer ako se kacim preko WG klienta, (tipa laptop i neki public wifi) tad ide full tunell po defaultu i to je bolja solucija sto se tice sigurnost. I u tom slucaju je DNS onaj po defaultu sto je postavljen na WG serveru pa nemam benefite pfblockera.
OP
OP
- Učlanjen(a)
- 19.04.2005
- Poruke
- 3,931
- Poena
- 2,095
Na VPN serveru definiši novi DNS tako što ćeš upisati IP adresu pfSense WireGuard interfejsa. Samo imaj na umu da onda DNS resolver radi samo dok je tvoj pfSense nakačen na VPS/VPN Server. A to možeš rešiti samo ako imaš mogućnost da definišeš primarni i sekundarni DNS. Gde će primarni biti pfSense a sekundarni, lupam, 9.9.9.9.
everton
Slavan
- Učlanjen(a)
- 11.06.2005
- Poruke
- 722
- Poena
- 345
Moja oprema
- CPU & Cooler
- I5 10400F, EKWB Quantum Velocity
- Matična ploča
- Asrock B460-ITX
- RAM
- Kingston HyperX 16GB 2666MHz CL13
- GPU
- ASUS EKWB RTX 3070
- Storage
- Kingston KC3000 1Tb NVMe, 1TB Toshiba
- Zvuk
- Altec Lancing ATP3, Razer Kraken TE
- PSU
- Chieftec CSN450W SFX 80+ gold
- Kućište
- Lian LI A4 H2O
- Monitor
- Dell 27' HGF
- Miš & tastatura
- HyperX, Red Dragon Vara
Ok super. To ne bi trebalo da bude problem posto je pfsense uvek dostupan VPN serveru i obrnuto.
Ali za svaki slucaj definisacu i sekundarni dns kao sto predlazes.
Ali za svaki slucaj definisacu i sekundarni dns kao sto predlazes.
Devil 2000
Čuven
- Učlanjen(a)
- 21.12.2001
- Poruke
- 1,130
- Poena
- 995
Jel moze da se poveze access point na pfsense preko non managed rutera (mislim da se u pfsense opcijama sofverski povezu)?
Sta se dobija kada se povezu access point i pfsense, neke nove opcije na wifi mrezi?
Sta se dobija kada se povezu access point i pfsense, neke nove opcije na wifi mrezi?
Poslednja izmena:
OP
OP
- Učlanjen(a)
- 19.04.2005
- Poruke
- 3,931
- Poena
- 2,095
Može.
Dobijaš firewall, statičko mapiranje klijenata, captive prortal, adblocker na nivou mreže, kontrolu brzine neta po klijentu sa sve schedulerom, vpn, vlan, ids/ips...itd. U principu dobijaš sve što pfSense ima da ponudi ali za uređaje koji su na WiFi-u.
Devil 2000
Čuven
- Učlanjen(a)
- 21.12.2001
- Poruke
- 1,130
- Poena
- 995
Ne mogu da pingujem pfsense kompjuter sa WAN mreze,
znaci laptop koji salje ping prema pfsense masini i sama pfsense masina su povezani na istom telekomovom ruteru,
pfsense se vidi u telekomovom ruteru na adresi 192.168.1.3 (isto to pise i u interface WAN u pfsense GUI)
dok laptop koji salje ping ima adrsu 192.168.1.6
laptop pinguje druge masine bez problema ali nece pfsense masinu (komanda ping 192.168.1.3), dok kompjuter unutar pfsense lana bez problema pinguje pfsense na 192.168.1.1
pored firewall this sam probao i wan address da izaberem i isto nece
takodje nece ni da forwarduje portove, imam web server na LAN pfsensa na adresi 192.168.1.247
kada pokusam pristupiti pfsense masini preko wan (u browseru laptopa kucam adresu same pfsense masine (192,168.1.3) ne otvara mi)
Jel ima neka dodatna opcija u pfsense koja treba da se podesi jer pristup pfsense masini preko WAN kao da ne dozvoljava, ali ga telekomov ruter bez problema vidi pod nazivom pfsense.
znaci laptop koji salje ping prema pfsense masini i sama pfsense masina su povezani na istom telekomovom ruteru,
pfsense se vidi u telekomovom ruteru na adresi 192.168.1.3 (isto to pise i u interface WAN u pfsense GUI)
dok laptop koji salje ping ima adrsu 192.168.1.6
laptop pinguje druge masine bez problema ali nece pfsense masinu (komanda ping 192.168.1.3), dok kompjuter unutar pfsense lana bez problema pinguje pfsense na 192.168.1.1
pored firewall this sam probao i wan address da izaberem i isto nece
takodje nece ni da forwarduje portove, imam web server na LAN pfsensa na adresi 192.168.1.247
kada pokusam pristupiti pfsense masini preko wan (u browseru laptopa kucam adresu same pfsense masine (192,168.1.3) ne otvara mi)
Jel ima neka dodatna opcija u pfsense koja treba da se podesi jer pristup pfsense masini preko WAN kao da ne dozvoljava, ali ga telekomov ruter bez problema vidi pod nazivom pfsense.
OP
OP
- Učlanjen(a)
- 19.04.2005
- Poruke
- 3,931
- Poena
- 2,095
pfSense je firewall pre svega. To što ti se dešava je upravo ono što jedan firewall čini firewall-om. Ovo što ti pokušavaš da uradiš je svesno bušenje rupa u mreži što pfSense čini beskorisnim i nepotrebnim. U tom slučaju možeš isključiti firewall funkciju u System / Advanced / Firewall & NAT / pa skroluj dole do advanced options.
Firewall rule koji si napravio na WAN portu u ICMP Subtypes treba da ima Any parametar a kao destination treba da stoji "WAN address" umesto "Any" ili "This Firewall" i to je to što se tiče pfSense strane. ICMP može da blokira i telekomov uređaj tako da, proveri i to.
Za port forward ideš na Firewall / Nat / Port Forward a onda po potrebi koristiš firewall rule da usmeriš saobraćaj gde treba. Ti pokušavaš da odradiš port forward koristeći samo firewall rule, a to neće moći.
Firewall rule koji si napravio na WAN portu u ICMP Subtypes treba da ima Any parametar a kao destination treba da stoji "WAN address" umesto "Any" ili "This Firewall" i to je to što se tiče pfSense strane. ICMP može da blokira i telekomov uređaj tako da, proveri i to.
Za port forward ideš na Firewall / Nat / Port Forward a onda po potrebi koristiš firewall rule da usmeriš saobraćaj gde treba. Ti pokušavaš da odradiš port forward koristeći samo firewall rule, a to neće moći.
