pfSense / OPNSense - Generalna diskusija, pitanja i saveti.

[alex303]

Pa da, ja sam u odabiru stavio da su oni vlasnici, i daita opcija ukljucena. Pa je dalo par servera i među njima u Švajcarskoj..
Ali kad se vratim sa posla, prebaciću na nas server.. Možda mi proradi i youtube

Ja sam taj problem sa youtube rešio totalnim čišćenjem cookies-a i promenom user agenta. Sad sve radi. Ne traži captcha, ne upozorava da ugasim adblocker, nema reklama, sve ok.

Inace stigao mail od Qotom-a. Izvinjavaju se zbog problema i nelagodnosti koju imam. Po njima ne može da se popravi jer mora se direktno na ploči menjati. Ali to ce promeniti za sledeću seriju. Biće da su znali za problem. Sad daleko je da bih vraćao pa čekao novi, a već sam platio i carinu i sve.

Probaj da se dogovoriš sa njima da snose SVE troškove. Transport + carina.

Svakako mi treba kasnije još jedan, pa možda im tražim neki promo kod
Za ovaj koji imam, samo nalepnice.

Samo im traži da ti spuste cenu za sledeću kupovinu. Sigurno će ti izaći u susret. Ako ne uspeš, kaži im da ćeš da kupiš Protectli. To im je direktan konkurent.

 

[Difermo]

Probaj da se dogovoriš sa njima da snose SVE troškove. Transport + carina.
Samo im traži da ti spuste cenu za sledeću kupovinu. Sigurno će ti izaći u susret. Ako ne uspeš, kaži im da ćeš da kupiš Protectli. To im je direktan konkurent.

Navodno izacice u susret za refundiranje ako zelim. Sad videcu sta ce reci za promo-kod 50%.. Pa da pazarim jos jedan slican.

Nego nesto me malo muci. Preko racunara tj ako se kablom nakacim na igc0 ili igc1 ili na neki od switch portova, mullvad test prodje i sve lepo funkcionise. Ali ako se nakacim na wifi (AP je na switchu), prvo sto mullvad neda da pristupim njihovoj stranici i testiram, drugo neki sajtovi nece da daju pristup. Sta li moze biti?

 

[alex303]

Ako koristiš Quad9 kao DNS, on trenutno ima problema. Idi na System / General setup i stavi ovaj DNS:

DNS Servers: 194.242.2.2
Hostname: dns.mullvad.net

Kao gateway za DNS odaberi Mullvad.

Koje IP adrese dobijaš kada se nakačiš na WiFi ?

 

[Difermo]

na wifi-u dobijam drugu IP nego na racunaru. dobijam telekomovu. A cak i sa ovim DNS ne mogu pristupiti sajtu. Ovako sam podesio.. Mozda da odradim restart svega?

 

[alex303]

na wifi-u dobijam drugu IP nego na racunaru. dobijam telekomovu.

Gde je nakačen switch ?

A cak i sa ovim DNS ne mogu pristupiti sajtu. Ovako sam podesio.. Mozda da odradim restart svega?

Ne diraj ništa. Ostavi tako jer problem nema nikakve veze sa DNS-om.

 

[Difermo]

Gde je nakačen switch ?

switch je nakazen na igc2 tj onaj koji smo konfigurisali kao LAN u pocetku, a to je onaj ispravan port3. Od igc2 ide u port1 na switchu. A na switch nakacen AP, PC, TV

Ne diraj ništa. Ostavi tako jer problem nema nikakve veze sa DNS-om.

do cega moze biti problem? Obrisao sam sve feedove koje sam stavio (hagezi i jednu manju listu odavde gde se spominje amazon u ovoj temi). Ostala samo lista od pfblocker-a

 

[alex303]

switch je nakazen na igc2 tj onaj koji smo konfigurisali kao LAN u pocetku, a to je onaj ispravan port3. Od igc2 ide u port1 na switchu. A na switch nakacen AP, PC, TV

Da li je switch dobio IP u pfSense-u ? Slikaj mi IP adrese koje AP dodeljuje uređaju uključujući i DNS.

do cega moze biti problem? Obrisao sam sve feedove koje sam stavio (hagezi i jednu manju listu odavde gde se spominje amazon u ovoj temi). Ostala samo lista od pfblocker-a

Nisi uradio reload. Svako dodavanje ili uklanjanje vrednosti ili listi zahteva da odradiš reload. Idi na Firewall / pfBlockerNG / Update / klikni na Reload klikni na All i onda na dugme run.

 

[Difermo]

Da li je switch dobio IP u pfSense-u ? Slikaj mi IP adrese koje AP dodeljuje uređaju uključujući i DNS.

dodelio im je 192.168.1.x
Sad sam pokusao mulvad test preko telefona i uspesno je. Sinoc nije hteo sad hoce.. Stim sto sajt na koji pokusavam da udjem nije pristupacan. Mozda je nesto zabagovalo
Potrazio sam svuda u unifi Network webui-ju i nigde nema koji dns je dodeljej.

Nisi uradio reload. Svako dodavanje ili uklanjanje vrednosti ili listi zahteva da odradiš reload. Idi na Firewall / pfBlockerNG / Update / klikni na Reload klikni na All i onda na dugme run.
Pogledajte prilog 498099

mislio sam sa update da odradjuje i Reload.. Svakako odradio sam sad Reload i opet nemam pristup stranici. A obrisani svi feedovi sem ovog sto dolazi po default-u. A sa tom listom je radio


E sad, pokusavam da testiram brzinu i sve je razlicito.. Imam utisak da je usporen net

 

[alex303]

Pogledajte prilog 498147
Pogledajte prilog 498146
dodelio im je 192.168.1.x
Sad sam pokusao mulvad test preko telefona i uspesno je. Sinoc nije hteo sad hoce.. Stim sto sajt na koji pokusavam da udjem nije pristupacan. Mozda je nesto zabagovalo
Potrazio sam svuda u unifi Network webui-ju i nigde nema koji dns je dodeljej.

Opet mi nisi dao ono što sam tražio.

mislio sam sa update da odradjuje i Reload.. Svakako odradio sam sad Reload i opet nemam pristup stranici. A obrisani svi feedovi sem ovog sto dolazi po default-u. A sa tom listom je radio

Pogledaj u logovima šta blokira.

E sad, pokusavam da testiram brzinu i sve je razlicito.. Imam utisak da je usporen net
Pogledajte prilog 498148Pogledajte prilog 498149Pogledajte prilog 498150

Ovo mi apsolutno ništa ne znači.

 

[Difermo]

Opet mi nisi dao ono što sam tražio.

Izvini. Da me neshvatis pogresno, ali nije mi namera da trosim tvoje vreme saljuci bespotrebne podatke. To samo znaci da ne znam gde se to nalazi ili uopste sta trazis. Pod switchom podrazumevas LAN interface?

Pogledaj u logovima šta blokira.

Nadam se da mislis na ove firewall logove.. Ne znam sme li da se deli ovaj Source

Ovo mi apsolutno ništa ne znači.

Kako pouzdano testirati brzinu interneta?

 

[alex303]

Izvini. Da me neshvatis pogresno, ali nije mi namera da trosim tvoje vreme saljuci bespotrebne podatke. To samo znaci da ne znam gde se to nalazi ili uopste sta trazis. Pod switchom podrazumevas LAN interface?
Pogledajte prilog 498155
Pogledajte prilog 498156

Ova tema do sada ima 22 strane, i sva tvoja pitanja su već postavljena, i na njih je odgovoreno, ali izgleda da nema ko da čita. U Status / DHCP Leases možeš da vidiš kojim uređajima je pfsense dodelio adresu i koju. Na toj listi bi trebao da vidiš i tvoj switch. Ja ti ne mogu pomoći oko konfigurisanja switcha, to ćeš morati sam.

Nadam se da mislis na ove firewall logove.. Ne znam sme li da se deli ovaj Source
Pogledajte prilog 498159

Ne. Opet ne razmišljaš logički. Ako je pfblocker blokirao nešto, onda je logično da gledaš pfblocker logove. Pogledaj šta se dešava u pfblocker / report tabu. Ako vidiš da je neka stranica blokirana, ona će se pojaviti u tom reportu. Sa te iste liste možeš da uradiš i whitelisting, to jest da odblokiraš to što je blokirano. Potrudi se malo sunce mu. Zar ti nije palo na pamet da klikneš na svaki tab u pfblockeru i da vidiš šta ima u svakom? Gde je radoznalost i želja da se nešto provali/nauči?

Kako pouzdano testirati brzinu interneta?

Opet mašiš poentu. Ovde se ne radi o tome kako da testiraš brzinu. Okačio si 3 screenshota, i ni jedan opis. Sa čega je mereno? Telefon? Laptop? PC? Na šta su nakačeni ? WiFi ? Port na pfsense-u? Na kom portu ? Na kom subnetu? Sa kakvim podešavanjima ? Da li su zakačeni na switch ? Na kom portu? Stičem utisak da sve ovo radiš sa 0% interesovanja i entuzijazma. Da se sve što pre iskonfiguriše, i ispodešava, i da to više nikada ne pipneš. Prelistaj ovu temu u nazad, ali ne moje postove, nego @artur - ove. Obrati pažnju na njegova pitanja, screenshotove i opise. On je istovremeno bio aktivan u ovoj temi, i na Netgate forumu. Ako nemaš vremena zbog posla, onda bolje batali do godišnjeg odmora.

 

[Difermo]

Stičem utisak da sve ovo radiš sa 0% interesovanja i entuzijazma. Da se sve što pre iskonfiguriše, i ispodešava, i da to više nikada ne pipneš. Prelistaj ovu temu u nazad, ali ne moje postove, nego @artur - ove. Obrati pažnju na njegova pitanja, screenshotove i opise. On je istovremeno bio aktivan u ovoj temi, i na Netgate forumu. Ako nemaš vremena zbog posla, onda bolje batali do godišnjeg odmora.

Upravu si nemam nimalo vremena zbog posla. Kada radis od 7-17h, stignes kuci u 18h i jos poneses posao kuci, slobodnog vremena i nema. Do sada ni vikend da mogu da sednem natenane. Ali upravo interesovanje da ovo savladam me drzi da neodustanem. Definitivno se ne bih upustao u ovo, trosio pare tek tako. I apsolutno sam svestan cinjenice da ovo nije da se ispodesava i ostavi za lifetime. Vec ce biti konstantnog utezanja.
Samo je moj pristup bio brzoplet da to sve sto pre proradi. A na moju kolicinu neznanja za mreze definitivno kontraproduktivno.
Za mesec dva dok se malo gradiliste stabilizuje, dodje pojacanje sa drugog projekta, imacu mnogo vise vremena. Tada natenane prvo netgate user manuel za pfsense. Upoznavanja sa osnovama mreze pa onda u akciju.
Hvala tebi na tvom vremenu.

 

[artur]

Uzeo sam TP-Link smart uticnicu da vidim kako radi, odnosno da vidim koliko mi trosi struje Unraid server, posto radi 24/7. Radi mi sve ali samo da proverim da li je dobro podeseno.
Uticnica je povezana na IoT wifi vlan, dobija dobru IP adresu. Vidi je aplikacija na telefonu koji je povezan na kucni wifi vlan. Probao da povezem laptop na IoT vlan, ping ka google radi. ping ka kucnim adresama ne rade (sto i treba). Ovo sam uradio da proverim da li je IoT vlan izolovan od ostatka vlan-ova.

Pod Interfaces je selektovan LAN i IOT, ne moze screenshot da uhvati


Mozda ne treba prvi rule.

Nesto me buni na UniFi konfiguraciji za WiFI. Mada mislim da ona nije bitna kada je pFsense ovako podesen.
Saljem kasnije.

Istekao edit.
Ovo mi nije jasno i da li je uopste potrebno

 

[alex303]

Uzeo sam TP-Link smart uticnicu da vidim kako radi, odnosno da vidim koliko mi trosi struje Unraid server, posto radi 24/7. Radi mi sve ali samo da proverim da li je dobro podeseno.
Uticnica je povezana na IoT wifi vlan, dobija dobru IP adresu. Vidi je aplikacija na telefonu koji je povezan na kucni wifi vlan. Probao da povezem laptop na IoT vlan, ping ka google radi. ping ka kucnim adresama ne rade (sto i treba). Ovo sam uradio da proverim da li je IoT vlan izolovan od ostatka vlan-ova.
Pogledajte prilog 498974
Pod Interfaces je selektovan LAN i IOT, ne moze screenshot da uhvati

Ja utičnicama, sijalicama i ostalim iOT glupostima ne dozvoljavam izlaz na net i ne koristim njihove spyware aplikacije koje su bušne. Moj predlog ti je da hostuješ Home Assistant. Na pfSense digni Tailscale, a onda koristeći Home Assistant aplikaciju na telefonu preko Tailscale VPN-a možeš da kontrolišeš sve iOT gluposti.

Pogledajte prilog 498975
Mozda ne treba prvi rule.

Ova pravila nemaju nikakvog smisla. Prvo pravilo dozvoljava pristup sa iOT subneta na iOT subnet ?!? Na ovaj način nisi odradio izolaciju, jer je u pitanju pass rule. Dakle, nakon što se taj rule isprocesira, onda ide sledeći rule. Pass rule-om odredi samo uređaj kojem želiš da omogućiš pristup nečemu. Za blokiranje i logovanje pristupa napravi block rule sa kojim ćeš blokirati sve ostalo. Uključujući i pristup ostalim subnetovima. Evo kako to izgleda za moju WiFi mrežu za goste.


Kao što se vidi gore, na trećem rule-u, neko ili nešto je sa mreže za goste pokušalo da prisupi core mreži i to je blokirano. Pošto je uključen logging, može se tačno videti koji je to uređaj. Ova pravila moraju biti ispred pass pravila. Dakle prva na listi. Nakon ovih pravila, praviš svoja pass pravila koja dozvoljavaju pristup, a nakon njih napraviš jedno block all pravilo koje izgleda ovako.

Ako nekim uređajima sa jednog subneta, želiš pristup uređaju sa drugog subneta, onda napraviš rule koji izgleda ovako.


Dakle, eksplicitno odrediš sve parametre. Tačan protokol, tačan source, port ...itd. Ja koristim aliase na ovom primeru jer je lakše dodati neki uređaj. Imaj na umu da ovo pravilo mora biti ispred pravila koje zabranjuje core uređajima pristup camz subnetu. Ovo navodim kao primer, ali isto se odnosi na tvoje subnete, uređaje i aliase.

Nesto me buni na UniFi konfiguraciji za WiFI. Mada mislim da ona nije bitna kada je pFsense ovako podesen.
Saljem kasnije.

Istekao edit.
Ovo mi nije jasno i da li je uopste potrebno

Pogledajte prilog 498982

Nije potrebno.

 

[artur]

Super, od sutra sam na odmoru pa kada se vratim pozabavicu se time.
Ne dozvoljavaš izlaz na net i ne koristis orig app. Kako se onda update firmware tog uredjaja?

 

[alex303]

Ne dozvoljavaš izlaz na net i ne koristis orig app. Kako se onda update firmware tog uredjaja?

Više im ne dozvoljavam firmware update jer su offline. Tako da nema potrebe.

Ali pre sam to radio ovako. Napraviš schedule koji okida jednom mesečno u zadato vreme koristeći Firewall / Schedules. A onda taj schedule staviš na firewall rule koji dozvoljava iOT uređajima pristup netu a koje je disabled by default. Kad schedule okine u zadato vreme, firewall rule postaje enabled, uređaji provere firmware i odrade update. Schedule traje 5 minuta, i nakon isteka, automatski gasi firewall pravilo i uređaji više nemaju izlaz na net.

 

[artur]

Koliko taj pfsense pruža mogućnosti. To je progamerska gromada mogućnosti. U stvari sve ali baš sve što zamisliš a ima veze sa mrežom, može.
Nego, moram da pitam, da li si i ti neki developer za pfsense. Stvarno bas bas mnogo znaš.

 

[alex303]

Preteruješ. Nisam developer i znam možda 10%.

 

[artur]

A da li je potrebno konfigurisati i ukljuciti Avahi servis? i cemu on sluzi?

 

[alex303]

A da li je potrebno konfigurisati i ukljuciti Avahi servis? i cemu on sluzi?

To od tebe zavisi. Da li imaš uređaje na različitim VLAN-ovima koji koriste neki vid broadcast/discover servisa kojima treba međusobna vidljivost ?

 

[kartingdriver]

Pozdrav svima. Zelim da smart televizorima koji se nalaze u mrezi 192.168.1.0 (yettel internet) da omogucim Nasu koji se nalazi iz pfsensa na adresi 10.1.1.234. Kako da to uradim?

Unapred se zahvaljujem.

 

[alex303]

Pozdrav svima. Zelim da smart televizorima koji se nalaze u mrezi 192.168.1.0 (yettel internet) da omogucim Nasu koji se nalazi iz pfsensa na adresi 10.1.1.234. Kako da to uradim?

Unapred se zahvaljujem.

Idi na Firewall / NAT / Outbound, i napravi novi rule gde ćeš kao interface odabrati onaj na kojem je NAS. A onda u polju Source odaberi Network or Alias, i u polje Source network for the outbound NAT mapping, upiši 192.168.1.0/24. Skroluj do sekcije Translation, i u Address polju odaberi NAS Address ili kako ti se već zove interfejs na kojem je NAS. Nakon toga, idi na Firewall / Rules, i u tabu na kojem su televizori, napravi novi pass rule tako što ćeš kao soruce odabrati subnet na kojem su televizori, a u destination odaberi subnet na kojem je NAS. Onda idi na Status / Filter Reload / i klikni na Reload Filter i to je to.

 

[kartingdriver]

To je to. Hvala jos jednom...