pfSense / OPNSense - Generalna diskusija, pitanja i saveti.

[KurtK]

Pa ne bih bas bacao brdo love samo zbog temperature koja ako se zameni pasta bude ok.



Inace taj lik koga si quotovao je testirao sa N5105 koji ima TDP 10W, ja sam uzeo N100 koji treba da je hladniji sa TDP 6W.
Svakako kad stigne javljam utiske.

Evo da napisem iskustva posto je stigla masina, za sad prezadovoljan. Ne greje se 40-50 idle, max nesto preko 60.
Na njoj drzim Proxmox sa PfSense i jos neki zezancijama za kucni server. Sve odlicno radi, cak je i njihov NVME 256GB (posto sam uzeo uz njega) dobar.

 

[ness1602]

Da,ok radi proxmox + opnsense, sve proturis kroz njega i nema problema,dokle god znas da resis ako se desi neki problem.

 

[artur]

Koja je vasa preporuka za Pfsense masinu, apsolutni sam pocetnik ali mi se jako dopada ideja. Treba mi za kucnu mrezu,
pored svih prednosti koje ima, bitno mi je da mogu da pristupim kucnoj mrezi od spolja, blokada reklama, za sada toliko.
Koji mini PC preporucujete od ovih koje sam nasao.

Trenutno imam nativ SBB router, znaci ceka me kupovina aktivnog switcha i wifi rutera.

Znaci nesto sto sigurno radi a da nije preterivanje.

 

[alex303]

Uzmi taj sa prve slike, ali bez WiFi modula. WiFi je na pfSense-u skoro pa neuptrebljiv.

 

[castor]

Alex, koliko je upotrebljiva HP EliteDesk/ProDesk G[1/2/3] mašina (ima ih za cca 70ak€ na KP) sa FlexBoard NICom kao sekundarnim za ovo? Ne mislim na mašinu, znam da je više nego što treba, nego na karticu, jer ima i 2.5G kartica za FlexBoard. Ako nisam pogriješio za naziv, čini mi se da jeste FlexBoard kod HPa…

 

[alex303]

Ako misliš na HP Flex IO, to je idealno za pfSense jer ima Intel i225-V čip koji pfSense u potpunosti podržava. Kad kažem u potpunosti podržava, mislim na hardware checksum offloading i TCP segmentation offloading.

 

[castor]

Da, na to mislim. Mislim da je to bolje kombinacija od ovih kineza, jer em je tu, em je standardnija mašina, em možeš da biraš CPU, a RAM i SSD po tvojoj volji nadograđuješ, a imaš i nVME, opet po tvojoj volji. A onda imaš i dijelova. Za 99% korisnika su dva LAN adaptera dovoljna, za ostalo je tu L3 VLANovanje za raspored saobraćaja.
Za 100€ ima da se uzme tipa G3 mašina sa i5-6500/6600 cpu, 4 GB RAM, 128 GB SSD, što će em da pojede ove kineze, em neće doći do thermal throttle-ovanja, em je dovoljno cpu snage za sve što poželiš…

 

[alex303]

Da, na to mislim. Mislim da je to bolje kombinacija od ovih kineza, jer em je tu, em je standardnija mašina, em možeš da biraš CPU, a RAM i SSD po tvojoj volji nadograđuješ, a imaš i nVME, opet po tvojoj volji. A onda imaš i dijelova. Za 99% korisnika su dva LAN adaptera dovoljna, za ostalo je tu L3 VLANovanje za raspored saobraćaja.
Za 100€ ima da se uzme tipa G3 mašina sa i5-6500/6600 cpu, 4 GB RAM, 128 GB SSD, što će em da pojede ove kineze, em neće doći do thermal throttle-ovanja, em je dovoljno cpu snage za sve što poželiš…

Ne.

Thermal throtling ne postoji na uređajima koje @artur uzima. Qotom nije tipičan jeftini kinez (TopTon, XCY...itd), već malo ozbiljnija priča. Kod tih mašina nema pokretnih delova, nema ventilatora, nema buke, nema prašine i samim tim nema nikakvog održavanja. To je mašinica na koju instaliraš sistem, staviš je u neki ćošak i zaboraviš da postoji. Takođe, nemoj zaboraviti potrošnju i zagrevanje. Ovo su mašine koje treba da rade non stop. Onaj Qotom od gore sa J4125 procesorom vuče 10W u full loadu naspram 65W kod i5 6500/6600. Taj i5 6600 je jači, to niko ne osporava. Ali je ta snaga, kada je u pitanju pfSense, totalno nepotrebna. Na duži vremenski period, ti ćeš kroz potrošnju električne energije platiti sve što si u startu uštedeo. A ako ideš na virtualizaciju, onda si samo na gubitku.

 

[artur]

Poruceno, videcemo kada i kako ce stici pa idemo dalje.
Hvala na savetima.

 

[artur]

Stigao je relativno brzo, s obzirom da je islo preko FedEx-a i njihove carine, obavestili me mailom da je stiglo, popuni se par ovlascenja, vratis im mailom, i donese postar za par dana.

S obzirom da nemam jos WiFI AP i managed Switch, povezao sam pfSense na SBB router i na njega LAN kablom laptop cisto malo da testiram.

Za pocetak sam odredio koji su portovi WAN i LAN port na pfSense, WAN port je podesen na DHCP (da li je to OK), i dobio IP adresu WAN porta 192.168.1.xx, IP od pfSensa sam podesio na tipa xx.xx.xx.1
Na SBB routeru sam stavio u DMZ, IP adresu WAN porta i to za sada radi. Laptop ima internet koji ide preko pfSensa. Da li potrebno jos nesto uraditi na SBB routeru?

To je za pocetak. pa idemo polako dalje.

Bilo kakav savet je dobro dosao.

 

[alex303]

Stigao je relativno brzo, s obzirom da je islo preko FedEx-a i njihove carine, obavestili me mailom da je stiglo, popuni se par ovlascenja, vratis im mailom, i donese postar za par dana.

S obzirom da nemam jos WiFI AP i managed Switch, povezao sam pfSense na SBB router i na njega LAN kablom laptop cisto malo da testiram.

Boga mi, baš je brzo stiglo.

Za pocetak sam odredio koji su portovi WAN i LAN port na pfSense, WAN port je podesen na DHCP (da li je to OK), i dobio IP adresu WAN porta 192.168.1.xx, IP od pfSensa sam podesio na tipa xx.xx.xx.1
Na SBB routeru sam stavio u DMZ, IP adresu WAN porta i to za sada radi. Laptop ima internet koji ide preko pfSensa. Da li potrebno jos nesto uraditi na SBB routeru?

To je za pocetak. pa idemo polako dalje.

Bilo kakav savet je dobro dosao.

Nema šta. To je to. Možeš da instaliraš pfBlockerNG i da se rešiš reklama i eventualno blokiraš windows telemetriju i ostale gluposti. Vidi ovaj post ako hoćeš da ubaciš dodatne feed-ove.

 

[artur]

CItam neka uputstva, pa je preporuka da se iskljuce ove dve opcije u WAN Interfaces s obzirom da imam fiksnu IP adresu,
da li je to tacno?

 

[alex303]

CItam neka uputstva, pa je preporuka da se iskljuce ove dve opcije u WAN Interfaces s obzirom da imam fiksnu IP adresu,
da li je to tacno?

Nije tačno. Pazi šta čitaš i gde čitaš. Ako nisi siguran, postavi pitanje ovde.

 

[Shomy#1]

Instalirao bih pfsense na qnap nas-u i na njega spojio unraid server, da li je moguće podesiti da ostali uređaji pristupe unraid-u? Konkretno mi treba da kodi pristupi šerovanom folderu a telefon ili pc arr aplikacijama.
Baš me privlači da se poigram sa pfsense a trenutno nemam opremu da pokrijem celu mrežu. Planirao sam nabavku opreme u budućnosti ali se sad desilo da imam par dana slobodnog vremena.

 

[alex303]

Instalirao bih pfsense na qnap nas-u i na njega spojio unraid server, da li je moguće podesiti da ostali uređaji pristupe unraid-u? Konkretno mi treba da kodi pristupi šerovanom folderu a telefon ili pc arr aplikacijama.
Baš me privlači da se poigram sa pfsense a trenutno nemam opremu da pokrijem celu mrežu. Planirao sam nabavku opreme u budućnosti ali se sad desilo da imam par dana slobodnog vremena.

Ako pod instalacijom pfSense-a na QNAP-u podrazumevaš da pfSense bude glavni OS, onda će to što si zamislio moći bez problema. Ukoliko planiraš da virtualizuješ pfSense unutar QNAP OS-a, to neće raditi nikako.

 

[Shomy#1]

Hvala na odgovoru.
Mislio sam virtuelizaciju uraditi.
Ne bi radilo ni obrnuto ako uradim?
pfSense kao virtuelna mašina na unraid-u a da se pristupa Qnap-u.

 

[alex303]

Može to da radi. Ali to će raditi katastrofalno loše. Pogotovo ako routiraš kompletan saobraćaj. Dolazićeš u situaciju da ti pfSense VM guši lokalni saobraćaj zbog velikog zauzeća procesora ili obrnuto. Da ti puca net zbog toga što je CPU na 100% jer se u mreži radi neko kopiranje. VM treba da bude na nekoj jakoj mašini sa pristojnim procesorom i barem 4GB memorije. Problem može da bude i nedostatak LAN portova.

Koji je procesor u QNAP-u, koliko memorije ima i koliko LAN portova?
Isto pitanje i za mašinu na kojoj je unraid ?
Koja je brzina interneta?
Imaš li neki managed switch koji podržava VLAN i koji?

 

[Shomy#1]

Ma neću onda ni pokušavati dok ne nabavim opremu. Klinka nešto bolesna pa ja sa njom kući i rekoh da malo čačkam dok imam vremena.
Inače Qnap je TS 251 sa Intel dual core procesorom, 4 gb ram-a i 2 lan porta. Baš zbog ta 2 porta sam i mislio da idem na Qnap jer nemam ništa drugo od mrežne opreme, osim 2 neupravljiva switch-a . To bi bilo samo za testiranje i učenje. Qnap sam rasteretio od kako imam Unraid pa i nema nekog posla 😀
Internet je Telekom optika od 500.
Unraid mašina ima dovoljno snage za VM ali ima samo jedan lan port a kako rekoh nemam menaged switch.

 

[alex303]

Preslabo je to. Bolje se strpi dok ne nabaviš adekvatan hardware.

 

[Shomy#1]

Tako ću. Hvala alex!

 

[artur]

Evo ga prvi problem, odnosno ne znanje

Na LAN portu imam internet, na drugim portovima ih nemam, i dalje sam u fazi testiranja.
Na jedan port (LAN) mi je prikljucen LapTop i na njemu sve radi
Na sledecem portu prikljucen EON, Shield, ..
Na sledecem deciji PC
Za svaki port podesen drugi opseg i svi dobijaju svoju IP adresu preko DHCP.
Ali nemaju izlaz na net.

Nadam se da se razumemo

 

[alex303]

Evo ga prvi problem, odnosno ne znanje

Na LAN portu imam internet, na drugim portovima ih nemam, i dalje sam u fazi testiranja.
Na jedan port (LAN) mi je prikljucen LapTop i na njemu sve radi
Na sledecem portu prikljucen EON, Shield, ..
Na sledecem deciji PC
Za svaki port podesen drugi opseg i svi dobijaju svoju IP adresu preko DHCP.
Ali nemaju izlaz na net.

Nadam se da se razumemo

Moraš da napraviš NAT i firewall rule za svaki interface/opseg.

Uradio ovako. Idi na Firewall / Aliases. U tabu IP klikni na dugme add i napravi ovakav alias.


Naravno, IP opsege koji su na slici gore zameni onim opsezima koje si iskonfigurisao kod tebe. Klikni na save pa onda apply.

Nakon toga idi na Firewall / Nat / Outbound i prebaci Outbound NAT Mode u Manual Outbound NAT rule generation.
(AON - Advanced Outbound NAT) i klikni na dugme Add i napravi ovakav rule.


Klik na save pa Apply Changes.

Nakon toga idi na Firewall / Rules i na svakom interface-u za svaki iskonfigurisani opseg napravi ovakav firewall rule.



Klikni na save, Apply Changes. Ako si sve odradio kako treba, to bi trebalo da izgleda ovako.



Na LAN interface-u ne moraš da praviš ovaj rule jer ti LAN strana već radi sa automatski generisanim firewall rulom. Nakon toga idi na Status / DHCP Leases i klikni dole na crveno dugme Clear All DHCP Leases.



Nakon ovoga net bi trebao da proradi na svim portovima.

 

[artur]

Da odgovorim samom sebi,
radi, samo sam resetovao sve uredjaje

Sada cu proveriti sta je alex303 napisao

 

[artur]

Podesio kako si i rekao i RADIIIIII
Stvarno si Master
Da li je ovako OK

 

[alex303]

Prva slika je WAN interface to je ok.
Druga slika je LAN interface to je isto ok. Samo ovde možeš slobodno da obrišeš taj zadnji rule za IPv6.
Daj da vidim rulove za interface TV i ALEKSA.

 

[artur]

Evo

 

[alex303]

Evo

Pogledajte prilog 439139Pogledajte prilog 439140

Dobro je.

 

[artur]

Jos par pitanja

1. da li pfSense usporava internet i sam odziv i ucitavanje stranica
2. imam Unraid server koji je podesen na fiksnu IP adresu 192.168.x.xx, sa brdo kontejnera, VM. Da li je pametno menjati njegovu IP adresu ili da ga ostavim i stavim na poseban port u njegovom opsegu.
3. da li mogu da dodelim imena uredjajima, kao sto mogu da fiksiram adresu u DHCP Leases, za naprimer EON, NVIDIA Shield, ...

 

[alex303]

Jos par pitanja

1. da li pfSense usporava internet

Postoji zanemarljivo mali delay jer imaš uređaj između glavnog routera i klijent uređaja. Pošto ti koristiš pfBlocker, ti zapravo ubrzavaš internet i to osetno jer imaš lokalni DNS resolver koji blokira nepotreban saobraćaj. Tako da overall, ti ubrzavaš net i to drastično. I taj minimalan delay je moguće eliminisati ako tvoj provajder dozvoljava da njihov router prebaciš u bridge režim a onda pfSense podesiš kao glavni router.

2. imam Unraid server koji je podesen na fiksnu IP adresu 192.168.x.xx, sa brdo kontejnera, VM. Da li je pametno menjati njegovu IP adresu ili da ga ostavim i stavim na poseban port u njegovom opsegu.

Ne. Ostavi sve kako jeste. Takav vid saobraćaja se nikada ne routira. NAS uređaji uvek treba da budu u istom subnetu kao i uređaji koji mu pristupaju. U slučaju da je potrebno da uređaj iz različitog subneta ima pristup NAS-u, samo tada se pravi ruta u pfSense-u za pristup.

3. da li mogu da dodelim imena uredjajima, kao sto mogu da fiksiram adresu u DHCP Leases, za naprimer EON, NVIDIA Shield, ...

Možeš i to je preporučljivo kao dodatna mera sigurnosti.

Pogledajte prilog 439137

Ovo sam prevideo. Ovaj reject rule pfB_PRI1_v4 je rule koji je napravio pfBlocker. Taj rule mora da bude u tabu Floating rules. Slobodno ga obriši sa LAN interfejsa. A onda idi na Firewall / pfBlockerNG i u tabu IP proveri da li je uključena ova opcija.



Čisto da znaš. Firewall rule koji se nalazi u Floating rules tabu ima efekat na sve interfejse. Tako da nema potrebe da ta pravila budu na svakom interfejsu posebno.

 

[artur]

1. SBB ne da Bridge mod
2. da rezimiram, unraid server i svi desktop komjuteri i laptopovi (bilo vezani kablom ili WiFi) da budu u istom opsegu, pa makar i on bio 192.168.x.x (opet sam nesto citao da je taj opseg najlakse hakovati jer se prvo skeniraju te adrese), verovatno kada si iza pfSensa to nema veze. drugi opseg da budu android uredjaji (ako su u drugom opsegu, da li ce moci da pristupaju Unaraidu, zbog multimedie), dalje rutiranje kada stigne WiFI AP. Ili postoji neki drugi savet
3. gde se dodeljuju imena
4. Nije bio ukljucen Floating rules, ukljucio i obrisao rule pfB_PRI1_v4