pfSense / OPNSense - Generalna diskusija, pitanja i saveti.

[alex303]

2. da rezimiram, unraid server i svi desktop komjuteri i laptopovi (bilo vezani kablom ili WiFi) da budu u istom opsegu, pa makar i on bio 192.168.x.x (opet sam nesto citao da je taj opseg najlakse hakovati jer se prvo skeniraju te adrese), verovatno kada si iza pfSensa to nema veze.

Tvoje interne privatne adrese nisu vidljive od spolja. I pfSense po defaultu dozvoljava samo odlazeći saobraćaj. Sve što dolazi od spolja, pfSense blokira po defaultu i to je zapravo poenta firewall-a. Niko od spolja ne može da pinguje pfSense uređaj niti da vidi šta se dešava na njemu a pogotovo iza njega.

drugi opseg da budu android uredjaji (ako su u drugom opsegu, da li ce moci da pristupaju Unaraidu, zbog multimedie), dalje rutiranje kada stigne WiFI AP. Ili postoji neki drugi savet

Prvo napraviš statičko DHCP mapiranje za WiFi uređaje sa statičkim IP adresama koje su vezane za MAC adresu uređaja. Onda napraviš novi alias koji ćeš nazvati recimo WiFi. U taj alias ubaciš sve IP adrese koje si dodelio uređajima. Nakon toga, na interfejsu na kojem je WiFi napraviš pass rule gde ćeš kao source staviti tvoj WiFi alias a kao destination ćeš staviti adresu NAS uređaja. Na taj način si omogućio uređajima u, lupam, 10.0.0.0/24 subnetu da komuniciraju sa NAS uređajem koji je u 192.168.1.0/24 subnetu.

3. gde se dodeljuju imena

Ideš na Services / DHCP Server i odabereš tab za koji hoćeš da napraviš statičko mapiranje. A onda skroluješ skroz dole i videćeš dugme Add Static Mapping.
Čim klikneš na njega, pojaviće se ovo


Tebi su potrebna samo ova polja:

MAC Address
Client Identifier
IP Address
Hostname
Description

Ja ih popunjavam na sledeći način:


Iz sigurnosnih razloga IP adresa u statičkom mapiranju mora da bude van DHCP raspona. Tako da ako si DHCP raspon podesio ovako od 10.10.50.1 do 10.10.50.254 nećeš moći da odradiš statičko mapiranje dok raspon ne smanjiš. Na primer ovako: 10.10.50.1 - 10.10.50.10. Ovo znači da su ti za statičko mapiranje dostupne sve adrese posle 10.10.50.10.

 

[artur]

Pojavili su se novi izazovi u vidu Ubiquiti UniFi U6-Pro i TP-Link TL-SG108E, sada ide formiranje Vlan ova, sto mi je jasno kako ide.
Pitanja su sledeca, da li menjati IP adrese doticnih uredjaja ili ne i gde ih staviti u neki Vlan ili ne.
Napomena da imam Unraid server i za njega isto pitanje, gde ga staviti.
Ako se IP adrese ne menjaju da li moguc pristup njima a zakaceni su na pfSense.
Za sada toliko.

 

[mirop]

Menadzment adrese uredjaja stavis u zaseban vlan

 

[alex303]

Pojavili su se novi izazovi u vidu Ubiquiti UniFi U6-Pro i TP-Link TL-SG108E, sada ide formiranje Vlan ova, sto mi je jasno kako ide.
Pitanja su sledeca, da li menjati IP adrese doticnih uredjaja ili ne i gde ih staviti u neki Vlan ili ne.
Napomena da imam Unraid server i za njega isto pitanje, gde ga staviti.
Ako se IP adrese ne menjaju da li moguc pristup njima a zakaceni su na pfSense.
Za sada toliko.

Neko pravilo za storage uređaje je da se ne routiraju. U tvom slučaju, to bi značilo da uopšte ne idu preko pfSense-a. Dakle. Ako ti je Unraid na 192.168.1.0/24 subnetu, onda na U6 Pro treba da napraviš SSID koji će takođe biti u tom subnetu. Tako da komunikacija ide ovako:

Telefon > AP > Switch > Unraid.

Telefon sam naveo kao primer. Naravno, tebe ništa ne sprečava da cela mreža bude segmentirana u posebne VLAN-ove sa različitim subnetovima/SSID-evima. To daje veću sigurnost, a ko će imati pristup čemu, to definišeš firewall pravilima unutar pfSense-a. U tom slučaju, komunikacija ide ovako.

Telefon > AP > Switch > pfSense > Switch > Unraid.

Menadzment adrese uredjaja stavis u zaseban vlan

Ne samo da treba da bude na odvojenom VLAN-u. Nego mora da napravi i statičko mapiranje za uređaj kojem je dozvoljen pristup management interfejsu. Ako je taj uređaj na WiFi, onda taj SSID mora da bude WPA3.

 

[mirop]

Jeidno za taj TPlink switch...? Ako je cloud managed uredjaj ili slicno (kao ubiquiti), nema potrebe. Koliko cesto ce mu prilaziti? Jedino ako ce da primeni striktni firewall rule za pojedine uredjaje.

 

[artur]

Za ovu varijantu
Telefon > AP > Switch > Unraid
Gde stavljam LAN kabl od Unraida
Kako da zaobidjem pfsense a sutra otvaram wire guard tunnel i port da bi pristupio unraid serveru. I na kom uredjaju otvaram port.
Tako sam otvorio port na SBB ruteru pa je bio savet da to nije dobro jer otvaram celu mrezu što I jeste.
Verovatno mesam stvari ali se nadam da će još nekom pomoći. Cela stvar pruza toliko mogućnosti da sam odusevljen.
Hvala na strpljenju

TPlink nije full management, ali mogu da se podesavaju VLanovi na koji port da ide koji, malo je jeftinija varijanta od full management

 

[mirop]

alex303 je dosta objasnio, ali koliko vidim ovo su ti prvi koraci i upoznavanje ne samo sa PFsensom vec i sa osnovama mreza. Moja preporuka je da krenes korak po korak:
1. namesti da su ti svi uredjaji u istom subnetu/vlanu (default 1).
2. Kreni da se igras sa segmentacijom - napravi vlan 100 recimo gde ces postaviti Android telefone. Nauci da im limitiras pristup - recimo samo port 443 ka internetu. Namesti da rade sa Unraidom
3. Napravi novi subnet/vlan gde ces smestiti taj fajl server. Podesi pravila da mu klijenti pristupaju
4. Prebaci sve ostalo iz Vlan-a 1 i tu ostavi samo pfsense/tplink/ubiquiti...

Mislim da ti je bolje da krenes korak po korak barem ako ti je cela prica interesantna i zelis da naucis nesto vise o tome


ps. kada budes setovao Wireguard, podesices ga na PFsensu tako da nemas bojazni da si otvorio ne znam sta ka internetu. Ovo je normalna praksa, samo cuvaj kljuceve od peer-ova (dva ili vise uredjaja koji komuniciraju).

 

[alex303]

Gde stavljam LAN kabl od Unraida

U switch.

Kako da zaobidjem pfsense a sutra otvaram wire guard tunnel i port da bi pristupio unraid serveru.

pfSense uređaj kačiš na switch. Kad danas-sutra napraviš WireGuard tunel, onda ćeš običnim firewall rule-om definisati rutu između WireGuard subneta i fiksne IP adrese na kojoj se nalazi Unraid.

Kad budeš pravio VLAN-ove u pfSense-u, parent interfejs (trunk ili VLAN 1) mora da bude na subnetu na kojem je Unraid !!! A kad budeš pravio SSID-ove na U6 Pro, onda će svaki SSID koji je untagged dobijati default IP koji je u istom subnetu kao i Unraid. I svi uređaji koji se kače na taj SSID će imati pristup Unraid-u. Naravno, pristup možeš sprečiti firewall rule-om.

Sve ostale SSID-ove praviš kao VLAN tagged, stavljaš im VLAN ID, i sve što se kači na taj SSID će od pfSense-a dobiti IP iz subneta koji je definisan za taj VLAN. Po defaultu, ni jedan uređaj neće imati pristup Unraid-u jer nisu u istom subnetu.

I na kom uredjaju otvaram port.

Na pfSense-u na WAN portu. Podrazumevam da ti je uređaj od provajdera u bridge mode-u.

Tako sam otvorio port na SBB ruteru pa je bio savet da to nije dobro jer otvaram celu mrezu što I jeste.

Svako otvaranje porta je namerno bušenje rupa u mreži da bi se omogućio rad nekog servisa. Samo za razliku od uređaja koje daje SBB, pfSense ima mnoštvo mehanizama da zaštiti sve uređaje koji su iza njega čak i kada imaš veliki broj otvorenih portova.

Verovatno mesam stvari ali se nadam da će još nekom pomoći. Cela stvar pruza toliko mogućnosti da sam odusevljen.
Hvala na strpljenju.

Polako. Tek si zagrebao površinu. Ovo nije ni 5% mogućnosti.

TPlink nije full management, ali mogu da se podesavaju VLanovi na koji port da ide koji, malo je jeftinija varijanta od full management

Šteta što nema i PoE podršku pa da se oslobodiš PoE injectora sa U6 Pro.

 

[artur]

Mereno na telefonu, duplo mi je brže kada se spoji na SBB WiFi router nego na U6 Pro koji je povezan na pfSense, nisam probao kako je zicna brzina. Da li neko zna razlog. Na U6 Pro nisam nista podesavao. Sve je fabrički.

Edie:
Upravo izmerih i preko lan kabla na desktop racunaru
preko pfSensa DL 869.88 Mbs, UL 96.79 Mbs
preko SBB rutera DL 742.79 Mbs, UL 97.56 Mbs

 

[alex303]

Mereno na telefonu, duplo mi je brže kada se spoji na SBB WiFi router nego na U6 Pro koji je povezan na pfSense, nisam probao kako je zicna brzina. Da li neko zna razlog. Na U6 Pro nisam nista podesavao. Sve je fabrički.

Jesi se zakačio na 5Ghz band i da li si stavio širinu kanala na U6 Pro na 160 Mhz? Da li si ugasio WiFi na SBB routeru prilikom testiranja ?

Edie:
Upravo izmerih i preko lan kabla na desktop racunaru
preko pfSensa DL 869.88 Mbs, UL 96.79 Mbs
preko SBB rutera DL 742.79 Mbs, UL 97.56 Mbs

To je ok.

 

[artur]

Ma mucim se sa U6 pro, ne mogu da mu pristupim kako treba. Kada je prikljucen na pfSense I resetujem ga ne vidi mi se u windowsu sa instaliranim UniFi serverom, ma ne znam ni da objasnim. A kada ga prikljucim na SBB prepozna ga android aplikacija ali kada vratim na pfSense opet ga ne vidim u UniFi serveru a radi hotsopot koji sam setovao na telefonu.

 

[artur]

Da li potrebno otvarati neke portove na pfSense za pristup U6 Pro, nema sanse da ga prepozna, pise mi "No UniFi Devices Have Been Adopted"

 

[alex303]

Da li potrebno otvarati neke portove na pfSense za pristup U6 Pro, nema sanse da ga prepozna, pise mi "No UniFi Devices Have Been Adopted"

Svi Ubiquiti uređaji moraju biti na istom subnetu na kojem je Ubiquiti Network Controler. Ako ti je AP na drugom subnetu, ne pomaže ni port forward ni NAT. To je mana Uniquiti aplikacije koja striknto zahteva direktnu komunikaciju sa uređajima. U slučaju da već jesi na istom subnetu, u pfSense-u idi na Status / System Logs / Firewall i vidi šta blokira pristup sa IP-a Windows mašine ka AP-u. Da bi video logove, u firewall pravilima mora da bude uključeno logovanje kao što je prikazano na slici ispod.

 

[artur]

Stavio u isti subnet i radi, da li na Unraid da instaliram Network Controloer. Bez toga ne moze da radi AP, mora da bude u stalnoj komunikaciji sa njim.

Edit:
Mora da bude iskljucen Firewall na Win 11

 

[alex303]

Stavio u isti subnet i radi, da li na Unraid da instaliram Network Controloer. Bez toga ne moze da radi AP, mora da bude u stalnoj komunikaciji sa njim.

Možeš da ga staviš na Unraid, ali AP-u nije potreban kontroler da bi radio. Kad jednom uradiš adopt i sve podesiš kako treba, kontroler je tu samo da loguje i prikuplja statistiku.

 

[artur]

Da li treba ukljuciti ovu opciju, s obzirom da sigurno nemam sve Intelove LAN kartice

 

[alex303]

Da li treba ukljuciti ovu opciju, s obzirom da sigurno nemam sve Intelove LAN kartice

To je global setting i ako imaš Intel kartice, onda će offloading biti ugašen na njoj. Ako ne koristiš traffic shaper i ako trenutno nemaš problema sa dropovanjem konekcije na interfejsima koju su na non intel karticama, onda ne diraj ta podešavanja.

 

[artur]

dobio sam Wan adresu od SBB rutera, nju sam stavio u DMZ, sta se desava i da li je moguce da kada nestane struje SBB ruter da drugu WAN adresu.
Da li bitno menja stavar da se pfSense sa HTTPS prebaci na HTTP

 

[alex303]

dobio sam Wan adresu od SBB rutera, nju sam stavio u DMZ, sta se desava i da li je moguce da kada nestane struje SBB ruter da drugu WAN adresu.

Nema efekta.

Da li bitno menja stavar da se pfSense sa HTTPS prebaci na HTTP

Pa zavisi koliko ti je sigurnost bitna, koliko si paranoičan i koga sve imaš u lokalnoj mreži.

 

[artur]

Koje je najbolje resenje za raspodelu portova, konfiguracija mi je sledeca
Desktop PC i jedan EON box preko Gb switcha do cvorista
Drugi EON box do cvorista
EON box, Nvidia Shield i Raspberry Pi preko Gb switcha do cvorista
NAS (Unraid) sam do cvorista
na cvoristu pfSense, TP link switch (managed) i WiFI AP U6 Pro i sbb router.

Prvo sam mislio da sve ide u TPlink switch i pravljenje VLan-ova, ali ne znam da li postoji opterecenje jednog kabla od pfSensa ka TP Linku. Usporavanje, Lag, ...
pfSense ima 5 portova a TPlink 8
Ili ima neka bolja sema, savet.
Hvala.

Ideja mi je da napravim VLanove, Kucna mreze, IOT, Android boxovi, Mobilni telefoni, Gosti, mozda Deca

Edit:
imam i laptop koji je povezan preko wifi a, i uglavnom sa njim sve podesavam

 

[alex303]

Koje je najbolje resenje za raspodelu portova, konfiguracija mi je sledeca
Desktop PC i jedan EON box preko Gb switcha do cvorista
Drugi EON box do cvorista
EON box, Nvidia Shield i Raspberry Pi preko Gb switcha do cvorista
NAS (Unraid) sam do cvorista

NAS i Desktop PC direktno u switch u istom subnetu.
EON Box1 i EON Box2 direktno u switch ali na odvojeni VLAN subnet. Staviš PVID na 2 porta za taj VLAN subnet.
Za Shield i RPi ako im treba pristup NAS-u, njih nakači na switch u istom subnetu kao i Desktop PC i NAS. Ukoliko pristup NAS-u nije potreban, onda za njih odradi isto kao i za EON box-ove. Poseban VLAN subnet i odgovarajući PVID na njihovim portovima.

na cvoristu pfSense, TP link switch (managed) i WiFI AP U6 Pro i sbb router.

Ovaj deo mi nije jasan. Tebi je SBB router nakačen na switch ? Ako jeste, to je pogrešno. SBB router mora biti iza pfSense-a. U6 kačiš na switch i on prima default VLAN1 iz pfSense-a i takođe "nosi" ostale VLAN-ove.

Prvo sam mislio da sve ide u TPlink switch i pravljenje VLan-ova, ali ne znam da li postoji opterecenje jednog kabla od pfSensa ka TP Linku. Usporavanje, Lag, ...

Postoji opterećenje. VLAN unosi zanemarljivo opterećenje procesora i zanemarljiv delay. Ako imaš gigabitni net, i neki od uređaja u VLAN-u povuče 800Mbps to je opterećenje za trunk port koji nosi sve VLAN-ove.

pfSense ima 5 portova a TPlink 8
Ili ima neka bolja sema, savet.
Hvala.

Ideja mi je da napravim VLanove, Kucna mreze, IOT, Android boxovi, Mobilni telefoni, Gosti, mozda Deca

Uređaje preko kabla povežeš onako kako sam opisao gore. Za WiFi ćeš morati da uposliš traffic shaper i da malo limitiraš traffic da nebi došlo do međusobnog gušenja.

Kućna mreža, default VLAN1, SSID "Home" statičko mapiranje za svakog klijenta i traffic shaper 100/50 Mbps.
SSID "iOT" VLAN 10, statičko mapiranje svih klijenata traffic shaper na svakom uređaju 10/5 Mbps
SSID "Box" VLAN 20, statičko mapiranje svih klijenata, traffic shaper 50/10 Mbps.
SSID "Gosti" VLAN 30 bez statičkog mapiranja. Captive portal sa traffic shaperom sa 50/20 Mbps limitom.
SSID "Kids" VLAN 40 statičko mapiranje svih klijenata, custom family friendly DNS na njihovom DHCP serveru, traffic shaper 50/10 Mbps ili koliko misliš da je dovoljno.

.....itd.

Edit:
imam i laptop koji je povezan preko wifi a, i uglavnom sa njim sve podesavam

Za laptop možeš napraviti skriveni SSID "Management". Statičko mapiranje se podrazumeva a firewall pravilom dozvoliš samo tvom laptopu pristup web interfejsima. Vodi računa da na access pointu imaš aktivan WPA3 i AP isolation.

 

[artur]

Ovaj deo mi nije jasan. Tebi je SBB router nakačen na switch ? Ako jeste, to je pogrešno. SBB router mora biti iza pfSense-a.

To je bila prva lekcija, SBB router je iza pfSensa, samo se nalazi u ormanu zajedno sa pfSense i U6.

U6 kačiš na switch i on prima default VLAN1 iz pfSense-a i takođe "nosi" ostale VLAN-ove.

Znaci da je U6 u istom opsegu sa Unraidom posto sam na njemu instalirao UniFi server da bi mu pristupio, mora da bude u istom opsegu.

 

[mirop]

Unifi uredjaji ne moraju biti u istom subnetu kao i server. Postoji opcija preko dhcp opcije 46 ako se dobro secam gde ces podesiti ip adresu tvog unifi servera koji je na drugoj mrezi…

 

[artur]

Unifi uredjaji ne moraju biti u istom subnetu kao i server. Postoji opcija preko dhcp opcije 46 ako se dobro secam gde ces podesiti ip adresu tvog unifi servera koji je na drugoj mrezi…

OK, moram malo da proucim, pominju DHCP opcija 43, ne znam ge se to nalazi.

Samo jos jednom da rezimiram, Znaci sve uredjaje kacim na TPLink Switch, ide od pfSensa do Switcha i u njega svi ostali. u pfSEnse nista ne ubacujem osim SBB u WAN i Switcha u LAN.

 

[mirop]

da 43 evo ti kratko uputstvo kako konvertovati IP adresu unifi servera i koji string uneti u PF sense: https://tcpip.wtf/en/unifi-l3-adoption-with-dhcp-option-43-on-pfsense-mikrotik-and-others.htm

Na pfsensu ides na dhcp services, pa tu nadjes IP interfejs u kome ti se nalazi access point. Skroluj dole i naci ces DHCP options ili slicno. Tu ce biti polje u kome ces uneti opciju 43... Ne znam tacno da ti pomognem posto sam prestao da koristim pfsense/opnsense...

ako ne mozes da se snadjes, daj adresu tvog racunara na kome ti se nalazi server pa cu ti ja konverovati.

 

[artur]

Hvala, nasao sam i ja par uputstava i youtube objasnjenja, kao i kalkulator za IP adrese bas za UniFi i pfSense.

Koja je razlika u Switchu za Tagged i UnTagged portove

Nije slika mog switcha, samo kao primer

 

[alex303]

Untagged portovi ti omogućavaju da unutar managed switch-a imaš dumb switch. Kako podaci ulaze, tako i izlaze. Untagovani portovi se koriste za uređaje koji nisu VLAN aware. Smart tv, jeftini dumb switchevi, jeftini access pointovi...itd. Untagged portovi takođe stripuju VLAN tagove ako postoje. Tako da, ako na untagged portu zakačiš uređaj koji razume VLAN tagovanje, do njega ti tagovi neće stići. Taj uređaj će uvek biti VLAN1 member odnosno default VLAN.

Tagged, kao što mu ime sugeriše, je VLAN aware. Na switchu možeš tačno da odrediš koji će port biti član kojeg VLAN-a. To jest, koliki će biti njegov trunk (koliko VLAN-ova "nosi" sa sobom"). Ako na taj port zakačiš uređaj koji je VLAN aware, kao na primer tvoj U6 Pro, on će po defaultu primiti default IP adresu iz default VLAN-a 1. Ali, ako na AP-u praviš SSID i u okviru SSID podešavanja odrediš da taj SSID bude na, recimo VLAN45, onda će svi uređaji koji se kače na taj SSID dobiti IP iz VLAN45 subneta. Upravo ovo ti umogićava da na AP-u imaš različite SSID-ove koji su u potpuno drugom subnetu.

PVID koji se vidi na slici ti omogućava da određeni port na samom switcu taguješ VLAN-om. Na primer, ako staviš PVID 45 za port 1, onda će svaki uređaj koji se zakači na taj port dobiti adresu iz VLAN45 subneta.

 

[3katana]

Da li neko imao iskustva sa Jellyfin pravilima za OPNSense...izgleda da mi blokira pristup prema LG tv-e od NAS uredjaja unutar lokalne mreze?

 

[alex303]

Da li neko imao iskustva sa Jellyfin pravilima za OPNSense...izgleda da mi blokira pristup prema LG tv-e od NAS uredjaja unutar lokalne mreze?

Uključi logovanje u firewall pravilima a onda pogledaj firewall log i videćeš tačno šta je blokirano. Iz sekcije gde su logovi, možeš odma da napraviš quick rule i propustiš to što je blokirano.

Sa Jellyfin sajta:

Spojler

Static Ports

8096/tcp is used by default for HTTP traffic. You can change this in the dashboard.
8920/tcp is used by default for HTTPS traffic. You can change this in the dashboard.
1900/udp is used for service auto-discovery. This is not configurable.
7359/udp is also used for auto-discovery. This is not configurable.

HTTP Traffic: 8096

The web frontend can be accessed here for debugging SSL certificate issues on your local network. You can modify this setting from the Networking page in the settings.

HTTPS Traffic: 8920

This setting can also be modified from the Networking page to use a different port.

Service Discovery: 1900

Since client auto-discover would break if this option were configurable, you cannot change this in the settings at this time. DLNA also uses this port and is required to be in the local subnet.

Client Discovery: 7359 UDP

Allows clients to discover Jellyfin on the local network. A broadcast message to this port with Who is JellyfinServer? will get a JSON response that includes the server address, ID, and name.

[HEADING=3]Dynamic Ports[/HEADING]
Live TV devices will often use a random UDP port for HDHomeRun devices. The server will select an unused port on startup to connect to these tuner devices.

Da li je sve na istom subnetu?

 

[3katana]

Odlicna ideja, nije mi do sada padala na pamet. Puno hvala!