pfSense / OPNSense - Generalna diskusija, pitanja i saveti.

[artur]

@alex303, uh dobro je, tu si

Mucim se sa Unraid Serverom ne znam gde da ga stavim. Ti si me sve objasnio ali ja ne znam i dalje. Citam ova dva tri dana sveeee i sta sam zakljucio.

Podesavanja na switchu:
pominjem polja jer je tako na gornjoj slici, pa mi lakse
Vlan1 je po default Untagged osim za portove koji su zauzeti i tu je prazno polje
Unraid ide u port 8 na Switchu i tamo treba da podesim za Vlan10 Untagged (ne znam za ostale portove, da li su prazni ili ide Tagged), i Vlan1 je prazan
U6Pro ide u port 7 na Switchu i tamo treba da podesim za Vlan10 isto Untagged a ostalo Tagged, Vlan1 je prazan
pfSense na portu 6 samo je Untagged na Vlan1 a ostali svi Tagged

E sad pfSense LAN port (odnosno IP sa kojom mu pristupam) treba da bude u istom subnetu sa Unraidom i U6 Pro, pitanje?

Da li Unraid i U6Pro treba da budu u recimo Vlan10, npr. Admin_Vlan, buni me sto si napisao da se @alex303 "Storage uredjaji ne rutiraju" sta to zanci? da im se dodeljuju fiksne IP adrese u njima samima,
isto ovo ne znam sta znaci u praksi @alex303 "Kad budeš pravio VLAN-ove u pfSense-u, parent interfejs (trunk ili VLAN 1) mora da bude na subnetu na kojem je Unraid !!!"
Meni to deluje kao da pfSense ne treba da vidi Unraid i da on sa njim nema nikakve veze i zato pominjem 100 puta gde da stavim Unraid i da li da bude u nekom Vlanu.
Molim te mi plasticno objasni.

Na unraidu imam razlicite kontejnere, Unraid podrzava Vlanove i custom network, tako da recimo Jellyfin serveru mogu da pristupaju uredjaji iz Vlan30 gde je NvidiaShield. ako server ubacim u odgovarajuci subnet, ili je to glupo, nego je lakse kroz Firewall rule.

Sve me ovo brine da napravim haos sa IP adresama i da ne mogu da pristupim nicemu vise.

Bitno mi je da podesim taj AdminVlan i mojVlan, da mogu da idem dalje.
Uh, samo toliko

Edited:
da li tacno da je isto Tagged i Trunk
i Untagged i Pvid

 

[alex303]

@alex303, uh dobro je, tu si

Mucim se sa Unraid Serverom ne znam gde da ga stavim. Ti si me sve objasnio ali ja ne znam i dalje. Citam ova dva tri dana sveeee i sta sam zakljucio.

Stavljaš ga u default 192.168.1.1/24 subnet. Samo mu napravi statičko mapiranje.

Podesavanja na switchu:
pominjem polja jer je tako na gornjoj slici, pa mi lakse
Vlan1 je po default Untagged osim za portove koji su zauzeti i tu je prazno polje
Unraid ide u port 8 na Switchu i tamo treba da podesim za Vlan10 Untagged (ne znam za ostale portove, da li su prazni ili ide Tagged), i Vlan1 je prazan
U6Pro ide u port 7 na Switchu i tamo treba da podesim za Vlan10 isto Untagged a ostalo Tagged, Vlan1 je prazan
pfSense na portu 6 samo je Untagged na Vlan1 a ostali svi Tagged

Slikaj mi VLAN podešavanja u sviču i daj da vidim kako si podesio interfejse u pfSense-u. Takođe mi daj VLAN podešavanja da vidim.

E sad pfSense LAN port (odnosno IP sa kojom mu pristupam) treba da bude u istom subnetu sa Unraidom i U6 Pro, pitanje?

Da.

Da li Unraid i U6Pro treba da budu u recimo Vlan10, npr.

Unraid i U6 pro ne idu u VLAN. Oni moraju biti u istom subnetu. Bilo da je to 192.168.1.1/24 ili neki drugi.

Admin_Vlan, buni me sto si napisao da se @alex303 "Storage uredjaji ne rutiraju" sta to zanci? da im se dodeljuju fiksne IP adrese u njima samima,

To znači da Unraid nebi trebao da bude na recimo 192.168.1.5 a uređaj koji mu pristupa na 45.1.1.8. Jer u tom slučaju, pfSense mora da radi NAT jedne adrese u drugu. Stvaraš nepotrebno zagušenje i nepotrebno trošiš CPU cikluse. Jednostavno praviš nepotreban trošak i nisi efikasan sa resursima.

isto ovo ne znam sta znaci u praksi @alex303 "Kad budeš pravio VLAN-ove u pfSense-u, parent interfejs (trunk ili VLAN 1) mora da bude na subnetu na kojem je Unraid !!!"

To znači da kad praviš VLAN interfejs u pfSense-u, i kad te pita šta želiš da staviš kao parent interface, moraš odabrati interfejs koji je u 192.168.1.1/24 subnetu ili koji si već subnet iskonfigurisao. Parent interfejs će biti interfejs koji ide u switch i on "nosi" ostale VLAN-ove.

Meni to deluje kao da pfSense ne treba da vidi Unraid i da on sa njim nema nikakve veze i zato pominjem 100 puta gde da stavim Unraid i da li da bude u nekom Vlanu.

Ne treba da bude u VLAN-u kao što sam rekao gore.

Na unraidu imam razlicite kontejnere, Unraid podrzava Vlanove i custom network, tako da recimo Jellyfin serveru mogu da pristupaju uredjaji iz Vlan30 gde je NvidiaShield. ako server ubacim u odgovarajuci subnet, ili je to glupo, nego je lakse kroz Firewall rule.

Zapamti. Sve što je u 192.168.1.1/24 subnetu ima pristup ostalim VLAN-ovima ako su uređaji u tom subnetu VLAN aware. Na primer, ako u switch zabodeš laptop i on preko switch-a od pfSense DHCP servera dobije adresu, lupam, 192.168.1.15 to će raditi. Ako u podešavanjima za mrežni adapter za laptop staviš VLAN40, laptop će se raskačiti i dobiće IP adresu iz VLAN40 subneta. Tako da, ako kontejner unutar Unraid-a ima pristup 192.168.1.1/24 subnetu, i ti mu kažeš nemoj da se kačiš tu, kači se na VLAN40, on će se nakačiti na VLAN40.

Sve me ovo brine da napravim haos sa IP adresama i da ne mogu da pristupim nicemu vise.

Zato u pfSense-u, switch-u i svemu što koristiš, pre svake velike promene snimiš config. Ako uništiš pfSense, on se bukvalno reinstalira za 3 minuta, a config koji si sačuvao ga bukvalno vraća u prethodno stanje sa svim podešavanjima. Isto važi i za switch ako je neki iole normalan. Nemoj da te strah od brljanja IP adresa obeshrabri. Ako negde ne napraviš haos, onda se ne trudiš dovoljno.

Bitno mi je da podesim taj AdminVlan i mojVlan, da mogu da idem dalje.
Uh, samo toliko

Ti možeš da napraviš poseban VLAN samo za web management. Evo kako sam ja to odradio kod mene.

Podešavanje u Grandstream Access Pointu. Kao što vidiš, rekao sam mu da se management interface nalazi na VLAN 75.


I access point dobija IP sa VLAN 75 subneta na kojem nema interneta. Samo lokalna komunikacija. Ovo su pfSense firewall pravila za management interface.


A onda se na interfejsu koji je u potpuno drugom subnetu napravi ovakav firewall rule



"Core" je alias u kojem se nalaze uređaji kojima je dozvoljen pristup. Alias "Routers" sadrži IP adrese svih uređaja koje administriram. Switchevi, access pointovi, SSH, NAS uređaji, NVR...itd.

Edited:
da li tacno da je isto Tagged i Trunk

Da. Može se tako reći.

i Untagged i Pvid

Ne. PVID je kad switch-u na određenom portu zadaš specifičan VLAN.

Evo nacrtao sam ti jedan dijagram kako bi trebao kod tebe da podesiš sve.


Nadam se da je barem malo jasnije. Ko koga vidi i ko kome ima pristup se sve konfiguriše u pfSense-u.

 

[artur]

Opet teorija kaze da nije dobro da pfSense bude u 192.168.1.x, to je najcesca IP adersa koja se odmah zna. A kazu da nije dobra ni zbog VPN-a, koliko sam shvatio ako se kacis sa adrese koja 192.168.1.x moze da se VPN zbuni i kao zbog "brzine" kucanja
Nisam podesavao Vlan u switchu, nisam smeo
A podesavanja u pfsensu su hibridna, sada mi radi, cekam sve da podesim i samo da prebacim kablove u switch.

trenutno:
pfsense 10.13.13.1
switch 10.50.50.55 zato sto je u TPLINK Interface 10.50.50.x
Unraid 10.50.50.10 zato sto je u switchu
U6Pro 10.50.50.54 zato sto je u switchu
desktop 10.50.50.52 isto

Opet teorija da treba napraviti i VPN_Vlan.

Ne vidim opciju na U6Pro za managment vlan

Evo slika

 

[alex303]

Opet teorija kaze da nije dobro da pfSense bude u 192.168.1.x, to je najcesca IP adersa koja se odmah zna.

192.168.1.1 je default adresa. Ja nju koristim da bi TI znao o čemu pričam. Ti možeš da je promeniš u bilo koju drugu. A te teorije koje si čitao su besmislene. Pričamo o privatnim RFC1918 adresama koje se nalaze iza pfSense-a/NAT-a. Te adrese, kao i bilo koja druga adresa ili bilo šta iza pfSense-a je nevidljivo za uređaje od spolja i to je apsolutno nebitan podatak koji može javno da se deli bez ikakve opasnosti po privatnost i sigurnost.

Smešno je kad vidim da ljudi kače screenshotove pa kao "maskiraju" svoju privatnu IP adresu da ih neko nebi uhakovao. To je smešno i totalno besmisleno.

A kazu da nije dobra ni zbog VPN-a, koliko sam shvatio ako se kacis sa adrese koja 192.168.1.x moze da se VPN zbuni i kao zbog "brzine" kucanja

Ne znam gde nalaziš ove informacije, ali to je totalna glupost. Morate da shvatite razliku između javnih adresa na internetu i privatnih RFC1918 adresa. Svaki VPN, bilo da se radi o WireGuard-u ili OpenVPN-u, kreira svoj interni subnet koji se drastično razlikuje od onog koji koristite u lokalnoj mreži. Ako na VPN interface-u neko svesno pokuša da stavi 192.168.1.1 VPN aplikacija ili sam OS će ga u tome sprečiti.

Nisam podesavao Vlan u switchu, nisam smeo
A podesavanja u pfsensu su hibridna, sada mi radi, cekam sve da podesim i samo da prebacim kablove u switch.

trenutno:
pfsense 10.13.13.1

Ok.

switch 10.50.50.55 zato sto je u TPLINK Interface 10.50.50.x

Ovo ne valja. Switch moraš da prebaciš na 10.13.13.x. Switch mora da dobije IP od pfSense DHCP-a.

Unraid 10.50.50.10 zato sto je u switchu

Nakon što podesiš switch, i Unraid mora da dobije 10.13.13.x adresu.

U6Pro 10.50.50.54 zato sto je u switchu

Ista priča.

desktop 10.50.50.52 isto

I desktop mora da dobije 10.13.13.x

Opet teorija da treba napraviti i VPN_Vlan.

O kakvom VPN-u pričamo? VPN na kojoj relaciji i gde je VLAN u VPN priči ?

Ne vidim opciju na U6Pro za managment vlan

Nije ni bitno. Bitno je da U6 dobije 10.13.13.x adresu.

Za tebe je trenutno najbitnije da prestaneš da čitaš šta god da čitaš, jer ovo što si do sada napisao nema nikakve veze niti logike. Strah moraš da prebrodiš i moraš da počneš da menjaš parametre. Zabrljaćeš sigurno i to je sasvim normalno. Ja sam voljan da pomognem ukoliko si spreman da slušaš, ali da objašnjavam RFC1918 adrese i debunkujem razne internet networking teorije, za to stvarno nemam niti volje niti živaca.

 

[artur]

Ok, Izvinjavam se, u zelji da te malo rasteretim kao pocenem da trazim po netu, pa su tu Reddit grupe, razni forumi, YouTube, ...
Kada podesim ovako kako si napisao, idemo dalje.
🕊️

 

[alex303]

Ok, Izvinjavam se, u zelji da te malo rasteretim kao pocenem da trazim po netu, pa su tu Reddit grupe, razni forumi, YouTube, ...
Kada podesim ovako kako si napisao, idemo dalje.
🕊️

Ne brini ti za mene nego pravac akcija. Tu sam da pomognem ako nešto eksplodira.

 

[artur]

Morace da saceka sutra, ako im sada ugasim net, bicu ☠️

 

[everton]

To da treba izbegavati najčeće upotrebljavani subnet ima smisla da ne bi došlo do preklapanja samo se kolega @artur nije dobro izrazio.
Neće se VPN zbuniti već jednostavno paketi neće doći do njega jer ih router neće ni proslediti.
Ako je kućna mreža ima subnet recimo jedan od najčešćih 192.168.1.0/24 i ti pokušaš da se konektuješ sa mreže iz kafića ili posla koja takođe ima isti subnet 192.168.1.0/24 ti paketi će ostati u lokalu neće ni doći do VPN interfejsa.
Postoji način da se ovo zaobiđe ali najednostavnije u ovom slucaju je dodeliti drugi subnet kućnoj mreži.

 

[artur]

Pao je prvi reinstall pfSensa, bilo mi lakse sve iz pocetka nego nesto da budzim i ovako nije nista namesteno.

Najzad su u istom subnetu pfSense, Unraid, Switch i U6Pro

Pitanje da li fiksne adrese podesiti u uredjajima ili da ostane DHCP pa kroz pfSense fiksirati adrese kroz DHCP Static Mappings?
Odnosi se na Unraid, U6 Pro AP i TPlink Switch
Trenutno mi je fiksna adresa podesena na Unraidu ali ga ne vidim u pfSense u DHCP Leases.
Dok je Switch DHCP i vidm ga u DHCP Leases.

 

[alex303]

Pao je prvi reinstall pfSensa, bilo mi lakse sve iz pocetka nego nesto da budzim i ovako nije nista namesteno.

Biće toga opet.

Pitanje da li fiksne adrese podesiti u uredjajima ili da ostane DHCP pa kroz pfSense fiksirati adrese kroz DHCP Static Mappings?
Odnosi se na Unraid, U6 Pro AP i TPlink Switch

Kroz static mappings.

Trenutno mi je fiksna adresa podesena na Unraidu ali ga ne vidim u pfSense u DHCP Leases.

Ako DHCP nije dodelio adresu, nećeš ga ni videti u leases. Kreiraj statičko mapiranje i za njega i pusti ga da DHCP dodeli tu adresu koju si trenutno stavio kao fiksnu.

Dok je Switch DHCP i vidm ga u DHCP Leases.

Isto važi i za switch.

 

[mirop]

ako bas zelis da promenis default (management) vlan na Unifi uredjajima, mislim da se to radi ovde:


Odes na uredjaj, pa stavis network override. taj vlan ce mu biti default-ni. Vodi racuna da i na swithportu moras podesiti da je taj vlan default (tagovan)

 

[artur]

Da li je ovaj setup za DNS dobar
Da li treba da se iskljuci DNS Server Override?




Da li ovako treba, ili bez server: u drugom redu, samo private-domain: "unraid.net"

 

[alex303]

Da li je ovaj setup za DNS dobar

Nije.

Da li treba da se iskljuci DNS Server Override?

Treba da se isključi ta opcija.

Pogledajte prilog 441960

Umesto 8.8.8.8 bolje stavi 9.9.9.9. Ovo su upstream DNS-ovi. Da bi to radilo, moraš u Services / DNS Resolver / General Settings da uključiš DNS forwarder.

Da li ovako treba, ili bez server: u drugom redu, samo private-domain: "unraid.net"

Pogledajte prilog 441961

Šta pokušavaš da postigneš ?

 

[artur]

Šta pokušavaš da postigneš ?

Prvu liniju "server:include: /var/unbound/pfb_dnsbl.*conf" je dodao pfBlockerNG,
a drugu sam ja. Na 10 mesta sam video da ko ima Unraid bi trebao to da stavi. To je samo za pristup Unraid serveru.

Umesto 8.8.8.8 bolje stavi 9.9.9.9. Ovo su upstream DNS-ovi. Da bi to radilo, moraš u Services / DNS Resolver / General Settings da uključiš DNS forwarder.

Podeseno.

Trebace mi i port forward za Qbittorrent koji je na Unraidu.

 

[alex303]

Prvu liniju "server:include: /var/unbound/pfb_dnsbl.*conf" je dodao pfBlockerNG,
a drugu sam ja. Na 10 mesta sam video da ko ima Unraid bi trebao to da stavi. To je samo za pristup Unraid serveru.

Takve izmene treba praviti samo ako imaš problem sa pristupom.

Trebace mi i port forward za Qbittorrent koji je na Unraidu.

Port forward je u Firewall / NAT / Port Forward.

Obavezno pročitaj ovo pre nego što se baciš na podešavanja.

 

[artur]

Da li ima neko pametnije resenje. Koliko vidim UPnP je jos opasniji.

 

[alex303]

Da li ima neko pametnije resenje. Koliko vidim UPnP je jos opasniji.

Pametnije rešenje za šta ? Šta je zamisao i cilj ?

 

[artur]

Za nesmetani rad qBittorrenta i privatnih trackera koji zahtevaju da konekcija nije iza Firewall-a.

 

[mirop]

U torrent klijentima uvek imas podesavanje za dolazni saobracaj gde ce ti se ostali peer-ovi obracati. Definisi taj port u torrent klijentu i na firewallu uradi port forward.

 

[TwistedMind]

Treba mi mala pomoc ako je ovo upopste moguce.
Kucna mreza mi je u opsegu 192.168.1.0/24. Isto kao i mreza na poslu.
Na kucnom serveru sam napravio jednu virtuelnu masinu win11 koju bih hteo da povezem na mrezu na poslu. Imamo VPN (ne znam da li je ipsec ili l2tp. nisu openvpn ili wg).
Konekcija radi i uredjaji na poslu mogu da pristupe kucnom VM jer on dobija adresu kao da je tamo.
Problem je sto dolazi do konflikta opsega i VM kada je na VPN vidi oba opsega i preferira kucni. Ja bih da on koristi poslvni opseg kao primarni jer zelim da pristupm servisima na poslu.
Na poslu ne mogu nista da uradim na mrezi i mreznoj opremi.
Kuci ne zelim da menjam opseg samo zbog ovoga.
ipv6 ne mogu nigde.

Ideja je da taj VM izolujem iz kucne mreze jer mu ne treba apsolutno nista od kucnih servisa, samo pristup internetu.
Bilo bi lepo, ali ne i neophodno, da drugi racunari iz kucne mreze ipak mogu da mu pristupe zbof RDP.
Moze li i kako?

Edit: dok sam trazio resenja po internetu, vidim da je moguce to uraditi dodavanjem novog interfejsa za masinu koju treba izolovati. To nije problem jer je sve pod proxmox.
I dalje ne znam kako da izvedem celu stvar, ali eto, moguce je dodati interfejs

 

[alex303]

Na pfSense-u napravi novi VLAN 30 u recimo 30.1.1.1/24 subnetu i stavi da mu parent interface bude LAN interface u 192.168.1.0/24 subnetu na kojem ti je VM. VM-u "reci" da IP preuzme od VLAN 30 subneta. Nakon toga napravi outbound NAT rule na L2TP/IPSec interfejsu i kao source mu stavi 30.1.1.1/24 ili single IP koji je dodeljen VM-u. Na ovaj način je VM potpuno izolovan od ostatka mreže i može da komunicira samo sa VPN subnetom na poslu.

U slučaju da nekom od uređaja u kući treba pristup VM-u, onda treba da napraviš još jedan NAT rule, ali ćeš kao interfejs odabrati VLAN 30 interfejs a u destination ćeš staviti IP samog uređaja ili ceo subnet. Nakon toga na LAN interfejsu napraviš ovakav firewall rule:

Source: IP adresa uređaja kojem je potreban pristup.
Destination: IP adresa VM-a.

 

[TwistedMind]

hmm, zabo sam na 1. koraku
Ne mogu da postavim parent interfejs da bude lan, samo fizicki interfejsi.
Osim toga, citam dalje korake, ja nemam l2tp interfejs jer je moja strana klijent.

 

[TwistedMind]

Uspeo sam prateci ovo uputstvo

Netgate 7100 Security Gateway Manual — Configuring an OPT interface as an additional LAN | Netgate Documentation

docs.netgate.com

To sam vec probao da uradim samostalno, ali nisam dobro podesio firewall.
Moj pokusaj je bio allow !LAN destination i to nije radilo.
Zaboravio sam da je moguce podesiti overlaping rules i da pravila idu redom.

Sad imam jos jedan problem, a to je da nakon povezivanja na VPN, ne mogu vise da pristupim tom vm preko rdp lokalno.
Dok je vm bio u lan, cak i nakon povezivanja preko vpn, rdp je radio lokalno.

 

[alex303]

hmm, zabo sam na 1. koraku
Ne mogu da postavim parent interfejs da bude lan, samo fizicki interfejsi.

Kako ne može? Šta je kod tebe LAN interface. Slikaj mi sekciju Interface / Assignmentes


Ako si na VM-u, zašto nije odrađen PCI passthrough ?

Osim toga, citam dalje korake, ja nemam l2tp interfejs jer je moja strana klijent.

Nebitno da li je server ili client. Čim se VPN poveže, u pfSense-u se automatski pojavljuje virtuelni interfejs u Interface / Assignmentes. Samo je potrebno dodati ga i odraditi podešavanja.

Uspeo sam prateci ovo uputstvo

Netgate 7100 Security Gateway Manual — Configuring an OPT interface as an additional LAN | Netgate Documentation

docs.netgate.com

To sam vec probao da uradim samostalno, ali nisam dobro podesio firewall.
Moj pokusaj je bio allow !LAN destination i to nije radilo.
Zaboravio sam da je moguce podesiti overlaping rules i da pravila idu redom.

Pravila se izvršavaju kao kod u skripti. Od gore na dole koristeći per match logiku. Prvi match uvek biva isprocesiran i onda se procesiraju ostala pravila.

Sad imam jos jedan problem, a to je da nakon povezivanja na VPN, ne mogu vise da pristupim tom vm preko rdp lokalno.

To je zato što nemaš virtuelni interfejs za VPN. Nemaš na osnovu čega da napraviš NAT i firewall rule i da odradiš policy routing.

Dok je vm bio u lan, cak i nakon povezivanja preko vpn, rdp je radio lokalno.

Iako je radilo, ovo je skroz pogrešan način povezivanja.

 

[TwistedMind]

Kako ne može? Šta je kod tebe LAN interface. Slikaj mi sekciju Interface / Assignmentes

Pogledajte prilog 442994
Ako si na VM-u, zašto nije odrađen PCI passthrough ?


Nebitno da li je server ili client. Čim se VPN poveže, u pfSense-u se automatski pojavljuje virtuelni interfejs u Interface / Assignmentes. Samo je potrebno dodati ga i odraditi podešavanja.

Pravila se izvršavaju kao kod u skripti. Od gore na dole koristeći per match logiku. Prvi match uvek biva isprocesiran i onda se procesiraju ostala pravila.

To je zato što nemaš virtuelni interfejs za VPN. Nemaš na osnovu čega da napraviš NAT i firewall rule i da odradiš policy routing.

Iako je radilo, ovo je skroz pogrešan način povezivanja.

LAN je bridge nekoliko portova. opt1 opt2 opt3. to su bridge interfejsi iz proxmoxa. pf ih vidi kao fizicke portove 10gb.

vtnet0 je proxmox bridge za fizicki adpater na kome mi je komp povezan na server.
1 je obican proxmox bridge kako bi sve vm medjusobno mogle da se vide.
2 je bridge za drugi fizicki port koji je povezan na AP
i sada je dodat vtnet3 kao opt4, to je proxmox bridge namenski za taj win11 VM.

Nisam radio passthrough fizickog adaptera da bih mogao isti da koristim vise puta. Samo je port za WAN prosledjen ceo. Mogao sam i ovaj za AP, ali nije sada bitno.

VPN je povezan direktno u VM OS, ne na pfsense. Nemam opciju da koristim pfsense kao klijent, verovatno mi treba dodatni paket

 

[alex303]

LAN je bridge nekoliko portova. opt1 opt2 opt3. to su bridge interfejsi iz proxmoxa. pf ih vidi kao fizicke portove 10gb.
Pogledajte prilog 443006
vtnet0 je proxmox bridge za fizicki adpater na kome mi je komp povezan na server.
1 je obican proxmox bridge kako bi sve vm medjusobno mogle da se vide.
2 je bridge za drugi fizicki port koji je povezan na AP
i sada je dodat vtnet3 kao opt4, to je proxmox bridge namenski za taj win11 VM.

Nisam radio passthrough fizickog adaptera da bih mogao isti da koristim vise puta. Samo je port za WAN prosledjen ceo. Mogao sam i ovaj za AP, ali nije sada bitno.

VPN je povezan direktno u VM OS, ne na pfsense. Nemam opciju da koristim pfsense kao klijent, verovatno mi treba dodatni paket

Ovo je katastrofa kako si podesio. Da bi uređaji u istom ili različitom subnetu mogli međusobno da komuniciraju potrebno je napraviti firewall pravila i odraditi rutiranje na taj način, a ne pravljenjem bridge-a između interfejsa. Ovo je jako neefikasan način povezivanja pogotovo ako su uređaji u istom subnetu, jer za rutiranje između njih nema trošenja CPU ciklusa, dok u bridge modu, svaki paket mora da prođe kroz CPU što unosi nepotreban delay i CPU waste. I još na sve to imaš LAN interface koji je deo bridge-a i sada ne možeš njega da staviš kao VLAN parent interface. Haos. Ne znam ni odakle da krenem da bi ti nekako pomogao jer ne razumem šta pokušavaš da povežeš od spolja i kako. Možda da nacrtaš neki dijagram ?

 

[everton]

Pa da, bridge-ovanjem NIC-ova od pfsens-a se pravi switch i lokalni saobraćaj se gura kroz firewall, iako može ne znači da bi rebalo.
Switch od 10evra će taj posao da uradi jednako ili bolje.

 

[alex303]

Upravo tako. Ceo ovaj njegov setup mora da se uradi sa switch-em i VLAN tagovanjem a bridge-ove treba u potpunosti izbaciti.

 

[TwistedMind]

Jos se naljutili ljudi na mene
krastavac, ispratio sam uputstvo sa neta za multi nic setup. Nije tako uradjeno samo na jednom mestu.
Hajd da zanemarimo pricu oko jedne virtuelne masine, to sam resio za sada.
Koji je predlog, idejno, kako resiti mrezu sa vise NIC, a da svi budu na istom subnetu?
Recimo da sve treba da bude poseban interfejs. Imam 2.5G nic, virtuelne masine, 1g nic koji ide na AP.

BTW, stara PF instalacija koju sam migrirao na novi server vise nije aktivirana sa plus. To je i dalje plus, ali ne moze da se update i upgrade. Reko', dobro ajd da predjem na CE po netgate predlogu, ali kao ono nece da moze. Novi CE je iskljucivo online instaler i ne moze bez veze sa netom da se odradi, a nema mogucnosti za podesavanje ppp tako da do neta nije ni moguce doci tokom instalacije.
Probacu da migriram na opnsense

 

[alex303]

Jos se naljutili ljudi na mene
krastavac, ispratio sam uputstvo sa neta za multi nic setup. Nije tako uradjeno samo na jednom mestu.

Nismo. Samo pokušavamo da ti stavimo do znanja ono što je everton rekao. Just because you can, doesnt mean you should.

Koji je predlog, idejno, kako resiti mrezu sa vise NIC, a da svi budu na istom subnetu?
Recimo da sve treba da bude poseban interfejs. Imam 2.5G nic, virtuelne masine, 1g nic koji ide na AP.

Nikako. Samo je switch pravo rešenje. Bridge u najboljem slučaju treba da bude privremeno rešenje dok ne nabaviš switch. I nije mi jasno zašto insistiraš na istom subnetu ?

BTW, stara PF instalacija koju sam migrirao na novi server vise nije aktivirana sa plus. To je i dalje plus, ali ne moze da se update i upgrade. Reko', dobro ajd da predjem na CE po netgate predlogu, ali kao ono nece da moze. Novi CE je iskljucivo online instaler i ne moze bez veze sa netom da se odradi, a nema mogucnosti za podesavanje ppp tako da do neta nije ni moguce doci tokom instalacije.
Probacu da migriram na opnsense

Instalacioni image-i za offline instalaciju su i dalje dostupni ovde. I link u prvom postu ove teme takođe radi.