pfSense / OPNSense - Generalna diskusija, pitanja i saveti.

[alex303]

Ja sam prestao da koristim DOT, odnosno vratio sam se na default postavke u PfSensu. Unbound (PfSense) mi je jedini DNS server a koji sve upite (sem kiširanih) traži direktno od root DNS servera u suštini isto kao što bi radio i bilo koji drugi DNS server Google, Cloudflare,Quad9 itd. samo ih ovim putem ne uključujem kao posrednike.

Pa i kod mene je unbound jedini DNS server.

 

[everton]

Da ali sa uključenim forward režimom i definsanim upstream DNS serverom, mislim drugačije i ne može ako hoćeš da koristiš DNS over TLS.

 

[alex303]

Da ali sa uključenim forward režimom i definsanim upstream DNS serverom, mislim drugačije i ne može ako hoćeš da koristiš DNS over TLS.

To je tačno, ali još jedan problem sa gašenjem forwarder-a je što pfBlockerNG ne radi kada se koristi VPN.

 

[everton]

Sutra ću da testiram jos al čini mi se da je pfBlockerNG radio kad sam poslednji put koristio VPN

 

[alex303]

Sutra ću da testiram jos al čini mi se da je pfBlockerNG radio kad sam poslednji put koristio VPN

OpenVPN client radi samo ako je aktivna opcija pull routes from remote servers. U suprotnom, imas DNS leak.

 

[everton]

Koristim WireGuard i PfBlocker radi preko VPN-a i ali kao što si rekao postoji DNS leak u koliko ne ukljucim Forwarding Mode u DNS resolver-u i definišem recimo moj VPS (WG server) kao upstream DNS server.
U mom slučaju to i ne vidim kao neki problem jer VPN i ne koristim nikad kop kuće, jedino eto sto moj ISP može potencijalno da vidi moje DNS upite kad nisam kod kuće ali bolje on nego neko na nekom WiFi hot spotu.
Može i bez toga samo da u WG config-u na laptopu stavim DNS WG servera, onda nema DNS leak ali mi ne radi PFBlocker, isto kao sto si rekao.

 

[miltan]

Stigao mi je yanling n100 mini pc sa 4 NICa pa posto sam totalni pocetnik i tek ucim o ovome imam par pitanja. Sve je na nivou hobija i ovo radim u svojoj kucnoj mrezi na kojoj trenutno imam samo SBB ruter Ubee EVW32C. Sto se tice samog yanling uredjaja, on je bare bone i planiram da stavim 16gb RAM i 256gb SSD sto je max velicine koje podrzava.

1. Ako sam dobro shvatio prva stvar je instalirati coreboot. Da li treba neka posebna podesavanja u njemu da izvrsim?
2. Da li staviti pfSense direktno ili preko proxmox? Moja ideja je da idem preko proxmox jer mozda ce mi kasnije pasti na pamet da stavim jos neke low-resource servise koji bi trebali da budu dostupni 24/7 (ili neke koje bih ukljucivao po potrebi). Da li je ovo ok ili da ipak uredjaj koristim samo za pfSense?
3. Kako da povezem mini pc sa SBB ruterom?
4. Da li moram nesto da prespajam TV koji koliko vidim isto je povezan na ovaj SBB ruter?
5. Kada krene saobracaj kroz novi ruter da li cu moci da koristim wifi AP iz starog SBB rutera ili moram da kupim novi dedicated AP da ga prikacim na novi ruter?
6. Da li mi za pocetak treba switch posto trenutno imam samo jedan uredjaj (desktop PC) koji se preko LAN kabla povezuje na internet? Kabl je prosto uboden u ovaj SBB ruter i ide do NIC u PC-u.

 

[alex303]

Koristim WireGuard i PfBlocker radi preko VPN-a i ali kao što si rekao postoji DNS leak u koliko ne ukljucim Forwarding Mode u DNS resolver-u i definišem recimo moj VPS (WG server) kao upstream DNS server.
U mom slučaju to i ne vidim kao neki problem jer VPN i ne koristim nikad kop kuće, jedino eto sto moj ISP može potencijalno da vidi moje DNS upite kad nisam kod kuće ali bolje on nego neko na nekom WiFi hot spotu.
Može i bez toga samo da u WG config-u na laptopu stavim DNS WG servera, onda nema DNS leak ali mi ne radi PFBlocker, isto kao sto si rekao.

Pa da. Ima tu dosta gotchas. Na primer, kod ExpressVPN-a može da ostane isključena opcija dont pull routes u okviru podešavanja za OpenVPN client. I što je najčudnije, samo kod ExpressVPN-a čak i kada je ova opcija isključena, dozvoljen je policy routing. Ovo pričam iz razloga što kada je ova opcija deaktivirana, OpenVPN client preuzima kompletnu kontrolu. Apsolutno je nebitno da li je DNS resolver u klasičnom ili forwarder režimu, nikada nema DNS leak. I da stvar bude još zanimljivija, sam firewall, dakle 127.0.0.1 odnosno "This Firewall" kako pfSense sam sebe definiše, takođe ima izlaz na net preko VPN-a. Što recimo nije slučaj sa ostalim VPN provajderima. Da bi tako nešto funkcionisalo kod drugih provajdera, mora se staviti VPN gateway kao izlazni gateway routing podešavanjima. I to radi, do sledećeg reboot-a jer onda nastaje race condition problem gde VPN pokušava da se poveže preko samog sebe. Eto, čisto jedna zanimljivost.

Stigao mi je yanling n100 mini pc sa 4 NICa pa posto sam totalni pocetnik i tek ucim o ovome imam par pitanja. Sve je na nivou hobija i ovo radim u svojoj kucnoj mrezi na kojoj trenutno imam samo SBB ruter Ubee EVW32C. Sto se tice samog yanling uredjaja, on je bare bone i planiram da stavim 16gb RAM i 256gb SSD sto je max velicine koje podrzava.

To će biti sasvim dovoljno.

1. Ako sam dobro shvatio prva stvar je instalirati coreboot. Da li treba neka posebna podesavanja u njemu da izvrsim?

Ne možeš da instaliraš coreboot bios na n100 model jer za njega to ne postoji. To važi samo za Protectli uređaje.

2. Da li staviti pfSense direktno ili preko proxmox? Moja ideja je da idem preko proxmox jer mozda ce mi kasnije pasti na pamet da stavim jos neke low-resource servise koji bi trebali da budu dostupni 24/7 (ili neke koje bih ukljucivao po potrebi). Da li je ovo ok ili da ipak uredjaj koristim samo za pfSense?

Ja uvek preporučujem da pfSense radi solo na bare metal bez virtualizacije jer na tajh način u potpunosti iskorišćavaš potencijal Intel mrežnih kartica. Naravno, moguće je to sve podesiti i u ProxMox-u i to će raditi bez problema ako se odradi PCI pass through, ali je daleko veće cimanje + praviš single point of failure. Drugi problem može da bude brzina neta. Ako si blizu 1Gbps to je već samo po sebi veliki workload za CPU. Još ako u igru uđe VPN, više subnetova, adblocker, onda to sve polako postaje preveliki zalogaj za N100. Virtualizacija ima mnogo prednosti, ali nije bez mana.

3. Kako da povezem mini pc sa SBB ruterom?

Diretkno LAN kablom. Kada se instalira pfSense, port 2 je obično WAN port ako u međuvremenu nisu promenili. pfSense će sam da skonta kako da podesi interface čim pokreneš instalaciju.

4. Da li moram nesto da prespajam TV koji koliko vidim isto je povezan na ovaj SBB ruter?

Ne moraš, ako ne želiš.

5. Kada krene saobracaj kroz novi ruter da li cu moci da koristim wifi AP iz starog SBB rutera ili moram da kupim novi dedicated AP da ga prikacim na novi ruter?

Moći ćeš da koristiš AP iz starog routera, ali imaj na umu da u tom slučaju uređaji koji se kače na taj WiFi ne prolaze kroz pfSense. Ti se bukvalno kačiš na SBB modem i SBB internet i na taj način u potpunosti zaobilaziš pfSense. Da bi to rešio kako treba, potreban ti je neki dedicated access point. Na primer Grandstream GWN7660.

6. Da li mi za pocetak treba switch posto trenutno imam samo jedan uredjaj (desktop PC) koji se preko LAN kabla povezuje na internet? Kabl je prosto uboden u ovaj SBB ruter i ide do NIC u PC-u.

Ne treba ti switch za sada. jer ti i pored PC-a ostaje još jedan slobodan port. Ali ja ti svakako preporučujem da u budućnosti razmisliš o nabavci nekog managed switch-a sa VLAN podrškom i možda čak i PoE podrškom.

 

[Apple]

@alex303 koji VPN koristis nisam ispratio?

 

[alex303]

@alex303 koji VPN koristis nisam ispratio?

Mullvad. A imam i sopstveni na Hetzner VPS-u.

 

[alex303]

 

[artur]

Neaktivnost teme samo dokazuje koliko pfSense stabilno radi. Pa shodno tome u par poslednjih dana dobijam poruku
"The following CA/Certificate entries are expiring:..."
i naravno ne znam sta da radim.

 

[alex303]

Neaktivnost teme samo dokazuje koliko pfSense stabilno radi. Pa shodno tome u par poslednjih dana dobijam poruku
"The following CA/Certificate entries are expiring:..."
i naravno ne znam sta da radim.

To je sasvim normalno i očekivano.

Idi na System / Certificates

Ako ti ističe sertifikat za WebUI, samo klikni na dugme Reissue/Renew i potvrdi.

Ako ti ističu sertifikati za OpenVPN, a VPN više ne koristiš, samo ih obriši. Ako i dalje koristiš VPN, onda će VPN provajder na svom sajtu da okači novi sertifikat koji moraš da skineš i importuješ.

 

[artur]

Reseno, bilo je za WebUI,
Koja je razlika ako zelim da pristupim mojoj kucnoj mrezi od spolja, prvenstveno Unraid serveru. Da li je dovoljno da instaliram WireGuard tunel i tako pristupam, s obzirom da imam pfSense.
ili da se koristi Tailscale (nisam bas razumeo razliku izmedju njega i WireGuarda)
Ili pozelim da podelim sa nekim moj Jellyfin server. Samo uopsteno, jos ne zelim, samo razmisljam.
E da, nemam fiksnu IP adresu

 

[alex303]

Reseno, bilo je za WebUI,

Za par godina će opet da te upozori. To je implementirano iz sigurnosnih razloga.

Koja je razlika ako zelim da pristupim mojoj kucnoj mrezi od spolja, prvenstveno Unraid serveru. Da li je dovoljno da instaliram WireGuard tunel i tako pristupam, s obzirom da imam pfSense.

Da. Samo moraš da imaš javnu IP adresu. Bez javne IP adrese, instaliraj Tailscale paket.

ili da se koristi Tailscale (nisam bas razumeo razliku izmedju njega i WireGuarda)

Tailscale isto koristi WireGuard. Razlika je u tome što za WireGuard treba javna IP adresa da bi se povezao od spolja i otvaranje portova na WAN interfejsu. Kačiš se direktno na tvoj pfSense bez posrednika i to punom brziniom bez latencije.

Tailscale ide preko Tailscale coordination servera i ne zahteva javnu IP adresu niti otvaranje portova. Ali problem je u tome što brzina zavisi od toga koliko je coordination server opterećen, a pošto je nama najbliži server u Londonu, ping je poprilično veći. Tailscale takođe nudi Headscale paket koji ti daje mogućnost da digneš sopstveni coordination server na nekom VPS-u ili lokalno ako imaš javni IP, i na taj način eliminišeš 3rd party posrednika.

Ili pozelim da podelim sa nekim moj Jellyfin server. Samo uopsteno, jos ne zelim, samo razmisljam.
E da, nemam fiksnu IP adresu

Kao što rekoh, bez javnog IP-a, Tailscale ti je jedina opcija. Na žalost, streamovanje preko njihovog besplatnog coordination servera neće raditi osim ako ti ne smeta da gledaš u 720p sa povremenim zakucavanjem. A da zakupiš VPS i digneš sopstveni coordination server se ne isplati, jer je jeftinije uzeti javni IP.

 

[TwistedMind]

Reseno, bilo je za WebUI,
Koja je razlika ako zelim da pristupim mojoj kucnoj mrezi od spolja, prvenstveno Unraid serveru. Da li je dovoljno da instaliram WireGuard tunel i tako pristupam, s obzirom da imam pfSense.
ili da se koristi Tailscale (nisam bas razumeo razliku izmedju njega i WireGuarda)
Ili pozelim da podelim sa nekim moj Jellyfin server. Samo uopsteno, jos ne zelim, samo razmisljam.
E da, nemam fiksnu IP adresu

Jos jedna opcija osim tailscale je cloudflare tunel. To je isto sto i tailscale samo sto ga nudi cloudflare.
Mora da se zakupi domen preko njih. .com domen je 10usd godisnje.
Dobijas opciju da koristis isto kao tailscale, na server instaliras serivs, a na telefonu ili bilo kom uredjaju radi app i imas pristup toj lokalnoj mrezi, ali dodatno, mozes da podesis pristup preko domena nekom pojedinacnom servisu. Recimo, jelly.mojdomen.com moze da te vodi na 192.168.1.5:3030 ili gde god da ti je jelly.
Super je jer ogranicavas pristup samo na servise koje zelis da podelis i ne dajes pristup celoj mrezi, plus ti daje mogucnost da taj link koristis tamo gde app ne bi mogao. U mom slucaju je to recimo selfhost bitwarden password manager.

 

[alex303]

Jos jedna opcija osim tailscale je cloudflare tunel. To je isto sto i tailscale samo sto ga nudi cloudflare.
Mora da se zakupi domen preko njih. .com domen je 10usd godisnje.
Dobijas opciju da koristis isto kao tailscale, na server instaliras serivs, a na telefonu ili bilo kom uredjaju radi app i imas pristup toj lokalnoj mrezi, ali dodatno, mozes da podesis pristup preko domena nekom pojedinacnom servisu. Recimo, jelly.mojdomen.com moze da te vodi na 192.168.1.5:3030 ili gde god da ti je jelly.
Super je jer ogranicavas pristup samo na servise koje zelis da podelis i ne dajes pristup celoj mrezi, plus ti daje mogucnost da taj link koristis tamo gde app ne bi mogao. U mom slucaju je to recimo selfhost bitwarden password manager.

Nije isto Cloudflare tunnel i Tailscale. Cloudflare je mnogo restriktivniji što se tiče korišćenja. Pošto se SSL terminacija radi sa njihove strane, oni imaju kompletan uvid u vrstu i tip saobraćaja i rade rate limiting i blokiraju određene vrste saobraćaja kao što je streaming. Ukoliko si baš uporan, mogu i da ti blokiraju pristup servisu. Tailscale nije toliko restriktivan. Jedini problem je potencijalno zagušenje servera.

 

[5xeVo]

Mali off, ako modovi dozvole.
@alex303
Kakvo je tvoje mišljenje o ZeroTier-u naspram Tailscale-a i WG-a?

 

[alex303]

Mali off, ako modovi dozvole.
@alex303
Kakvo je tvoje mišljenje o ZeroTier-u naspram Tailscale-a i WG-a?

Nisam nikada koristio ZeroTier.

 

[TwistedMind]

Nije isto Cloudflare tunnel i Tailscale. Cloudflare je mnogo restriktivniji što se tiče korišćenja. Pošto se SSL terminacija radi sa njihove strane, oni imaju kompletan uvid u vrstu i tip saobraćaja i rade rate limiting i blokiraju određene vrste saobraćaja kao što je streaming. Ukoliko si baš uporan, mogu i da ti blokiraju pristup servisu. Tailscale nije toliko restriktivan. Jedini problem je potencijalno zagušenje servera.

Naravno da nije isto, imaju drugaciju politiku, ali za kranjeg korisnika za vecinu servisa, radi istu stvar.
Sto se streaminga tice, "navodno" je dovoljno da se iskljuci kesiranje da bi se saobracaj smanjio.
Glavni problem je sto nemaju jasno definisane granice fer koriscenja vec gledaju koga mogu da upecaju da naplate sto vise. Mislim da prosecan kucni korisnik nije posebno zanimljiv da bude flagovan. Pretpostavljam da se stream van kuce svodi na minimum, a kome je to super bitno, 400 rsd za javnu adresu nije problem.

 

[Difermo]

Pozdrav @alex303
Nazalost pare su morale malo da se preusmere na neplanirane troskove (kola itd..) pa se malo sve pomerilo. A nabavka nekih uredjaj ce se malo oduziti.
Sutra mi stize ubiquit lite 8 PoE i ubiquit u6 mesh, pa bih sad porucio neki mini pc.. Vidim da yanling na aliexpress nema nista, tj nije moguce kupiti. Pa razmisljam Qotom. Imas li neki za preporuku?
Meni je za oko zapao ovaj sa izborom N100 i N305. Jedino sto za taj N100 ima slika gde stoji da pfsense nije podrzan. Pa opet da proverim pre nego sto porucim.
Ima i ovaj N100. sta poruciti ?

Iskreno citajuci ovu temu iznova i iznova, nece biti lako ovo podesiti. Jer mreze su mi trn u oku pa ako bas zagusti u podesavanju malo cu cimati ovde..
Do kraja godine planiram NAS i neko integrisano streamer pojacalo.
Dakle u mojoj kucnoj mrezi bice:
1) TV koji bih povezao mreznim kablom
2) mts-ov STB uredjaj
3) PC (planiram kablom da ga povezem na mrezu)
4) Buduci NAS (prvenstveno za plex, ali bice aktivan qbittorent)
5) Buduce pojacalo
6) TV u spavacoj sobi koji ce biti nakacen na WiFi
Dakle stavke 1-5 ce biti jedna pored druge

Pa taman kad se izvestim i sve ovo podesim, da krenem isto to kod matorih.

P.S. da li wireguard + mullvad ili nesto drugo

 

[alex303]

Vidim da yanling na aliexpress nema nista, tj nije moguce kupiti.

Yanling sada vrši prodaju preko sopstvenog sajta koji se nalazi ovde. Ja bi ti preporučio ovaj model.

Pa razmisljam Qotom. Imas li neki za preporuku?
Meni je za oko zapao ovaj sa izborom N100 i N305. Jedino sto za taj N100 ima slika gde stoji da pfsense nije podrzan. Pa opet da proverim pre nego sto porucim.
Ima i ovaj N100. sta poruciti ?

Problem sa ovim Qotom modelima koje si okačio su ona 2 crvena porta na slici. To su dve Marvell AQC113 10Gbps mrežne kartice koje (još uvek) nisu podržane od strane FreeBSD-a na kojem je pfSense baziran. Postoji drajver koji se može naknadno instalirati, ali to je avantura u koju se ja nebih upuštao. Tebe ništa ne sprečava da na ovaj uređaj instaliraš pfSense. On će bez problema raditi na ovom uređaju i preostala 4 porta bazirana na Intel I226V će savršeno raditi. Jedino nećeš videti te 10Gbps portove. Ukoliko ne planiraš uvođenje 10Gbps neta ili nemaš 10Gbps mrežne uređaje u lokalu, onda ovo nije nikakav problem. I jedna i druga mašina su odlične. A u budućnosti će sigurno stići podrška i za te dve 10Gbps kartice.

Iskreno citajuci ovu temu iznova i iznova, nece biti lako ovo podesiti. Jer mreze su mi trn u oku pa ako bas zagusti u podesavanju malo cu cimati ovde..

Za takve stvari i služi ova tema. Tu sam da pomognem šta god treba.

Do kraja godine planiram NAS i neko integrisano streamer pojacalo.
Dakle u mojoj kucnoj mrezi bice:
1) TV koji bih povezao mreznim kablom
2) mts-ov STB uredjaj
3) PC (planiram kablom da ga povezem na mrezu)
4) Buduci NAS (prvenstveno za plex, ali bice aktivan qbittorent)
5) Buduce pojacalo
6) TV u spavacoj sobi koji ce biti nakacen na WiFi
Dakle stavke 1-5 ce biti jedna pored druge

Pa taman kad se izvestim i sve ovo podesim, da krenem isto to kod matorih.

P.S. da li wireguard + mullvad ili nesto drugo

WireGuard + Mullvad najbolja kombinacija.

 

[MegaSkot]

Kako rade USB to LAN(2.5gbs) adapteri na pfSense, ima nekih problema ili ih je ok koristiti?

 

[alex303]

Kako rade USB to LAN(2.5gbs) adapteri na pfSense, ima nekih problema ili ih je ok koristiti?

Izbegavati po svaku cenu.

 

[Difermo]

Porucen ovaj qotom sa N305. Bilo mi lakse poruciti na aliju, a i svakako 10gb mrezu nemam, i pitanje je za stan dal cu ikada uvoditi vise od gigabitnog. Za stan 10gb mi je overkill 😅. Kad budu podrzana ta dva porta imacu dva vise i to je to. Kad stigne javljam

 

[alex303]

Porucen ovaj qotom sa N305. Bilo mi lakse poruciti na aliju, a i svakako 10gb mrezu nemam, i pitanje je za stan dal cu ikada uvoditi vise od gigabitnog. Za stan 10gb mi je overkill 😅. Kad budu podrzana ta dva porta imacu dva vise i to je to. Kad stigne javljam

10Gbps može biti jako korisno u lokalnoj mreži. Može da bude korisno i ako koristiš mnogo VLAN-ova, a ne želiš saturaciju trunk portova na 1Gbps ili 2.5Gbps.

 

[Difermo]

Da li je moguce i koliko je pametno koristiti chatgpt za ucenje o mrezi?

 

[alex303]

Da li je moguce i koliko je pametno koristiti chatgpt za ucenje o mrezi?

Ja sam ga testirao. Zna dosta o samom umrežavanju, i može dosta da pomogne oko nekih osnovnih stvari. Ali za neke kompleksnije stvari kao što je pfSense ili MikroTik, tu kreće da brljavi i da preporučuje nepostojeću sintaksu i tera te da ideš u menije koji ne postoje. Ili ti jednostavno da instrukcije koje rade, ali nisu optimalno i sigurno rešenje. Ovo je problem, pogotovo sa pfSense-om koji je ekstremno fleksibilan, i istu stvar možeš da odradiš na više različitih načina od kojih je samo jedan način optimalan i zapravo ispravan. A to je ogroman problem za početnike, jer ti pratiš šta ti ChatGPT kaže, odradiš, sve radi, i ti misliš da si sve odradio kako treba, a zapravo si napravio veliki propust.

 

[Difermo]

Ja sam ga testirao. Zna dosta o samom umrežavanju, i može dosta da pomogne oko nekih osnovnih stvari. Ali za neke kompleksnije stvari kao što je pfSense ili MikroTik, tu kreće da brljavi i da preporučuje nepostojeću sintaksu i tera te da ideš u menije koji ne postoje. Ili ti jednostavno da instrukcije koje rade, ali nisu optimalno i sigurno rešenje. Ovo je problem, pogotovo sa pfSense-om koji je ekstremno fleksibilan, i istu stvar možeš da odradiš na više različitih načina od kojih je samo jedan način optimalan i zapravo ispravan. A to je ogroman problem za početnike, jer ti pratiš šta ti ChatGPT kaže, odradiš, sve radi, i ti misliš da si sve odradio kako treba, a zapravo si napravio veliki propust.

Mislio sam neke osnove. To sto meni treva ima google sigur o, ali kontam sa bi ovako bilo brze. Tipa sta je dhcp i cemu sluzi. Tako neke sitnice, osnove

 

[alex303]

Mislio sam neke osnove. To sto meni treva ima google sigur o, ali kontam sa bi ovako bilo brze. Tipa sta je dhcp i cemu sluzi. Tako neke sitnice, osnove

Za to je dobar. Mada, ja preferiram da se takvim informacijama snabdevam iz prve ruke, to jest na sajtu vendora. Evo na primer za DHCP je sve lepo objašnjeno na ISC-ovom sajtu.