PDA

View Full Version : [Thread Ufficiale] pfSense Firewall


malatodihardware
01-11-2012, 13:17
Apro questo thread per una delle migliori e più utilizzate distribuzioni BSD ad uso firewall:
http://www.pfsense.org/templates/modular_plazza/images/logo.PNG
pfSense è una distribuzione open source personalizzata di FreeBSD su misura per l'utilizzo come firewall e router. Oltre ad essere una potente e flessibile piattaforma di firewalling e routing, comprende una lunga lista di funzioni correlate e un sistema di pacchetti che permette grande espandibilità senza aggiungere ulteriori o potenziali vulnerabilità di sicurezza alla distribuzione di base. pfSense è un progetto popolare con più di 1 milione di download fin dalla sua nascita e ha dimostrato di poter gestire innumerevoli applicazioni che vanno da piccole reti domestiche in protezione di un PC e una Xbox a grandi aziende, università e altre organizzazioni che proteggono migliaia di dispositivi di rete.
Questo progetto è iniziato nel 2004 come un fork del progetto m0n0wall, ma si è focalizzata verso installazioni complete per PC, piuttosto che per hardware embedded come m0n0wall. pfSense offre anche un'immagine incorporata per installazioni basate su Compact Flash, ma non è il nostro obiettivo primario.
Traduzione dal sito ufficiale del progetto

Versioni disponibili:
pfSense-2.0.1-RELEASE-arch.iso.gz -> Live CD/Installazione completa
pfSense-memstick-2.0.1-RELEASE-arch.img.gz -> Installazione da chiavetta USB
pfSense-2.0.1-RELEASE-size-arch-nanobsd.img.gz -> NanoBSD/embedded (Console Seriale)
pfSense-2.0.1-RELEASE-size-arch-nanobsd_vga.img.gz -> NanoBSD/embedded (Console VGA)
MIRROR per il download (http://www.pfsense.org/mirror.php?section=downloads)
Versioni BETA (snapshot) (http://snapshots.pfsense.org/)
Guida all'installazione (http://www.pfsenseitaly.com/2012/09/installare-pfsense-20.html)

Link utili:
Sito ufficiale (http://www.pfsense.org)
Forum ufficiale (http://forum.pfsense.org/)
Sezione italiana del forum (http://forum.pfsense.org/index.php/board,8.0.html)
Blog italiano (http://www.pfsenseitaly.com)

Il contenuto di questo post è rilasciato con licenza Creative Commons Attribution-Noncommercial-Share Alike 2.5 (http://creativecommons.org/licenses/by-nc-sa/2.5/it/)

malatodihardware
01-11-2012, 13:18
Hardware consigliato:

CPU
Premettiamo che PFsense funziona solo su hardware x86, quindi niente ARM o simili..
Ovviamente l'hardware su cui far girare il tutto dipende parecchio dalle performance e dal carico che si vuole ottenere.
Partendo dal basso (quindi routing e qualche pacchetto leggero) siamo nella fascia delle Alix (http://www.pcengines.ch/alix.htm), i primissimi Atom da netbook (N270)e pentium II.
Salendo leggermente (e volendo aggiungere qualche pacchetto in più ma con routing limitato tra le interfacce) ci sono le varie serie VIA e i Pentium III.
Per iniziare ad utilizzare routing gigabit verso le interfacce OPT serve almeno un Atom D525, un Penitum-M oppure un Pentium 4 (anche se lo sconglio visto il consumo elevato). Con questi processori si riescono a gestire circa 600 Mb\s in routing puro..
Per raggiungere il gigabit vero serve qualcosa in più, come un G620 oppure un i3.
Altro discorso riguarda le performance in VPN, per cui lascio un link a un piccolo specchietto di comparazione su IPSEC:
http://www.hacom.net/kb/ipsec-performance-pfsense-firewall-appliance
SCHEDE DI RETE
Le schede di rete consigliate sono quelle con chipset Intel, che riescono ad avere migliori performance rispetto alle omologhe Realtek. Consigliabile nell'ottica di un box compatto avere almeno due interfacce gigabit direttamente sulla scheda madre, nel caso ne servano di più ci si può affidare a schede di espansione preferibilmente PCI-Express per evitare colli di bottiglia, oppure a doughterboard specifiche per la motherboard stessa (ad esempio Jetway propone queste soluzioni).
Se non serve un esagerato throughput contemporaneo è consigliabile utilizzare le VLAN con uno switch approrpiato piuttosto che aggiungere schede di rete costose (con 2 o 3 interfacce), per i modelli più economici consigli Mikrotik RB250GS oppure Netgear GS105E.
Se si mettono le VLAN della DMZ\OPT insieme alla WAN e si lascia la LAN sull'altra le performance sono ottime comunque visto che generalmente la banda WAN è decine (se non centinaia) di volte inferiore al gigabit.
VIRTUALIZZAZIONE
Ovviamente è anche possibile virtualizzare PFsense, in tal caso si consiglia la piattaforma ESXI che è ben supportata (anche se le prestazioni sono ovviamente peggiori di un'installazione fisica), discreto anche il supporto a Xen, molto scarso invece quello per Hyper-V.




Installazione su Watchguard X-Core e
Sono necessari i seguenti file:
physdiskwrite (http://m0n0.ch/wall/downloads/physdiskwrite-0.5.2.zip)
BIOS Modificato (https://sites.google.com/site/pfsensefirebox/home/X750EB7.bin)
FreeDos (https://sites.google.com/site/pfsensefirebox/home/FreeDOSBios.img) per aggiornamento BIOS
L'aggiornamento del BIOS è necessario per poter far leggere al Watchguard le CF da più di 256MB.
Copiare con physdiskwrite l'immagine di FreeDOS su una CF di piccole dimensioni (128MB max).
Bisogna innanzitutto eliminare qualsiasi partizione dalla CF (consiglio diskpart da DOS). Quindi riversare il contenuto dell'immagine sulla CF con physdiskwrite. A questo punto inserire l'ultimo bios nella cartella bios sulla CF.

A questo punto inserire la CF nel Watchguard e avviarlo con un pc connesso via seriale in ascolto (con putty) con velocità 9600 8N1. Si sentiranno 3 beep quindi l'output verrà girato sulla seriale e sul pc si avrà il prompt di FreeDOS. Spostarsi nella cartella BIN quindi lanciare biosid.
Se la versione originale del BIOS è la ETAC0017 proseguire, altrimenti non se ne garantisce il corretto funzionamento.
Con il comando awdflash /pn /sy backup1.bin /e si può backuppare il vecchio bios, quindi con awdflash x750eb7.bin /py /sn /cc /e flashiamo il nuovo BIOS.

Collegandosi ora sempre con Putty in seriale ma a una velocità di 115200 e premendo il tasto TAB si potrà accedere al BIOS. Qui bisognerà impostare il numero di "head" del disco primario a 2. Per uscire premere ESC seguito da freccia SU.

Si potrà ora mettere l'immagine embedded di pfSense sulla CF e si vedrà l'avvio di pfSense via seriale (9600).

A questo punto la configurazione di pfSense è quella standard.. C'è qualche altro tweak ma lo indicherò più avanti..




Il contenuto di questo post è rilasciato con licenza Creative Commons Attribution-Noncommercial-Share Alike 2.5 (http://creativecommons.org/licenses/by-nc-sa/2.5/it/)

malatodihardware
01-11-2012, 13:18
Guide per la configurazione (grazie a pfsenseitaly.com)

Creazione server VPN PPTP (http://www.pfsenseitaly.com/2010/12/vpn-pptp-in-pfsense.html)
Integrazione con autenticazione LDAP\Active Directory (http://www.pfsenseitaly.com/2012/07/autenticazione-ldapad-in-pfsense-20.html)
Creazione server VPN OpenVPN (http://www.pfsenseitaly.com/2012/08/configurare-openvpn-server-su-pfsense.html)
OpenVPN con autenticazione LDAP\AD (http://www.pfsenseitaly.com/2012/08/openvpn-con-autenticazione-ldap-su.html)
Limitare la banda in upload\download (http://www.pfsenseitaly.com/2012/08/come-limitare-la-banda-in-upload-e.html)
Accesso WiFi ospiti (http://www.pfsenseitaly.com/2012/08/separare-laccesso-wifi-per-utenti-ed.html)
Alert e reporting (http://www.pfsenseitaly.com/2012/08/alerting-e-reporting-di-pfsense.html)
Attivazione diagnostica SMART (http://www.pfsenseitaly.com/2012/08/attivare-il-controllo-smart-in-pfsense.html)
Configurazione come IDS/IPS con SNORT (http://www.pfsenseitaly.com/2012/08/trasformare-pfsense-in-un-sistema-idsips.html)
Reset password di amministratore (http://www.pfsenseitaly.com/2012/08/resettare-la-password-di-amministratore.html)
Accesso WiFi con CaptivePortal e vouchers (http://www.pfsenseitaly.com/2012/08/accesso-wifi-con-captive-portal-e.html) - Parte 2 (http://www.pfsenseitaly.com/2012/08/accesso-wifi-con-captive-portal-e_30.html) - Parte 3 (http://www.pfsenseitaly.com/2012/09/accesso-wifi-con-captive-portal-e.html) - Parte 4 (http://www.pfsenseitaly.com/2012/09/accesso-wifi-con-captive-portal-e_4.html)
Automatizzare il backup (http://www.pfsenseitaly.com/2012/09/come-automatizzare-il-backup-di-pfsense.html)
MultiWAN (http://www.pfsenseitaly.com/2012/09/multi-wan-con-pfsense-parte-1.html) - Parte 2 (http://www.pfsenseitaly.com/2012/10/multi-wan-con-pfsense-parte-2.html) - Parte 3 (http://www.pfsenseitaly.com/2012/10/multi-wan-con-pfsense-parte-3.html)
HighAviability con CARP e pfSync (http://www.pfsenseitaly.com/2012/10/pfsense-in-alta-affidabilita-con-carp-e.html) - Parte 2 (http://www.pfsenseitaly.com/2012/10/pfsense-in-alta-affidabilita-con-carp-e_19.html)


Il contenuto di questo post è rilasciato con licenza Creative Commons Attribution-Noncommercial-Share Alike 2.5 (http://creativecommons.org/licenses/by-nc-sa/2.5/it/)

trottolino1970
01-11-2012, 13:21
:) iscritto :)


Sent from my iPhone using Tapatalk

anubbio
01-11-2012, 14:08
e io no ??? :)

alfonsor
01-11-2012, 17:34
Hardware consigliato è durissima...

Per fare cosa? Per un piccolo firewall router, qualsiasi atom va benissimo. Anche con scheda PCI e non PCIe; la velocità massima su quella scheda sarà di circa 550 Mbits, ma per le nostre ADSL basta ed avanza.

Ma non dimentichiamo anche i processori a basso consumo: ho in casa due macchine su cui gira pfSense, una con atom, un altra con un G620T; il consumo è identico, la velocità parecchio differente.

La cosa che in casa può risultare noiosa di pfSense, però va scritta: non ci si può installare alcun server o modulo che scarichi, ovvero, salvo pastricciamenti terribili, dementicatevi di transmission, minidlna, samba e via dicendo.

Per quello, ci vuole una macchina più potente e la virtualizzazione...

anubbio
01-11-2012, 19:45
Hardware consigliato:

per un semplice router/fw va benissimo anche una Alix, che rispetto ad Atom consuma parecchio meno. Il vero limite dell'Alix, secondo me, è che è solo FastE. E questo pone grossi limiti se vuoi usare il router per fare routing tra vlan.
La soluzione Atom/G620T secondo me è da considerare in ambito home se non ti serve solo un router/fw ma ANCHE package aggiuntivi pesanti, come squid/snort e/o antivirus.
E' una soluzione che sto seguendo perché è quella che vorrei realizzare tra un annetto (per ora ho un'Alix): un prodotto così configurato con pfSense secondo me non ha rivali per la fascia di prezzo che può costare (circa 300/400 €).

@alfonsor una coriosità:
che te ne fai di due pfSense a casa ? un acquisto "sbagliato" o un upgrade perché sentivi la mancanza di qualche funzione ? scusa se lo chiedo: mi interessa molto l'argomento....


La cosa che in casa può risultare noiosa di pfSense, però va scritta: non ci si può installare alcun server o modulo che scarichi, ovvero, salvo pastricciamenti terribili, dementicatevi di transmission, minidlna, samba e via dicendo.

Vero, ma secondo me non è un grosso limite. E' vero che altri fw come dd-wrt o openwrt offrono (quasi) tutte queste funzionalità, però secondo me il target è diverso, pur rimanendo in ambito home.
Chi usa dd/openwrt vuole un apparecchio "unico" e con quello cerca di fare tutto, comprese le funzioni che hai elencato.
Invece chi sceglie pfSense secondo me è utente più "evoluto" (nel senso che ha necessità più spinte) e sa bene che la specializzazione si ottiene a scapito delle n-mila funzioni di altro genere.
In questi casi credo sia anche un bene separare le funzioni su macchine diverse: a me per esempio darebbe fastidio pensare che la funzione di antivirus o di IPS è rallentata perché mio padre sta guardando un film usando il dlna sulla stessa macchina del firewall..... :)

Giux-900
03-11-2012, 09:49
ah thread nuovo ! mi iscrivo, stavo giusto installando pfsense su vmware...
:)

malatodihardware
03-11-2012, 10:53
Modificato l'hardware consigliato (poi quando avrò più tempo lo migliorerò)..

Oltre ad Atom e G620 tenete in considerazione anche i vecchi Pentium-M, hanno potenza da vendere e consumano poco (oltretutto il prezzo d'acquisto è parecchio più basso, basta solo trovare la MB giusta)

Giux-900
03-11-2012, 22:17
Modificato l'hardware consigliato (poi quando avrò più tempo lo migliorerò)..

Oltre ad Atom e G620 tenete in considerazione anche i vecchi Pentium-M, hanno potenza da vendere e consumano poco (oltretutto il prezzo d'acquisto è parecchio più basso, basta solo trovare la MB giusta)

(concordo, ho da tempo un sistema con pentium m... tdp bassissimo, va anche fanless volendo, forse è possibile trovare ancora delle mb appositamente per s479, magari micro atx o mini itx, oppure p4c+ct479 ma non so se si trova più.. parecchio obsoleto oramai... cmq valido per questa finalità se uno se lo ritrova..)

Allora, ho appena finito di configurare pfsense su vmware(su un pc dedicato), ho messo bridged i due nic, vmnet0, vmnet2.. pfsense assegna em0 la WAN ed em1 la LAN...
Unica domanda, ho un router alice, quindi in realtà la wan che trova pfsense è su un indirizzo di rete del router, e la lan di pf sense è settata praticamente come una sottorete... funziona tutto regolarmente, però non so se i vari servizi che ho caricato (tipo snort) sono efficaci con questa configurazione..

malatodihardware
03-11-2012, 22:40
Dovrebbero funzionare comunque, anche se a livello di performance e debug non è proprio il massimo (soprattutto con il VoIp). Purtroppo il router di Alice non puoi neanche configurarlo in bridge quindi non c'è altra soluzione..

EDIT: Guarda qui (http://www.p2warticles.com/2012/04/menu-avanzato-telnet-alice-wifi-voip-2-plus/comment-page-1/) se ti interessa il bridge

malatodihardware
03-11-2012, 22:48
Ragazzi se avete qualche mini-guida da inserire è ben accetta.. ;)

magullo
08-11-2012, 08:20
Iscritto anche io.
E' da tempo che sto pensando di fare un serio upgrade al mio DGN3500, e tutto quello che vedo in commercio poco mi soddisfa.
Le soluzioni pfSense/monowall/zeroshell mi hanno sempre intrigato parecchio, anche se mi pare di capire che, per avere delle soluzioni paragonabili ai router/access point in commercio, bisogna spendere un po' di più.
Domanda da niubbo assoluto: ma oltre ad alix/soekris e compagnia bella, non essiste nessuno che utilizzia soluzioni amd/intel/via per produrre dispositivi di rete un po' più completi?
Grazie.

malatodihardware
08-11-2012, 11:57
C'è anche Fabiatech, ma i prezzi di queste appliance sono parecchio alti, ti conviene assemblarlo..

malatodihardware
21-11-2012, 11:35
E' Vietato Inserire nelle proprie discussioni link informatici di carattere commerciale, oltre a link relativi a precisi prodotti presenti su aste. L'eccezione è nel caso di un prodotto specifico, che è presente sempre e solo presso un rivenditore in quanto trattato in esclusiva:in questo caso è preferibile consultarsi con un moderatore. Operando in questo modo evitiamo che i messaggi del forum diventino una vetrina di propaganda per le attività commerciali presenti nel web.
PS: I prezzi rispetto a una soluzione home-made non dico siano improponibili ma quasi..

ToO_SeXy
22-11-2012, 20:54
iscritto, sono 3 anni che ho un fw pfSense :)

pegasolabs
22-11-2012, 21:59
PS: I prezzi rispetto a una soluzione home-made non dico siano improponibili ma quasi..
Però segnala ;)

malatodihardware
22-11-2012, 22:42
Però segnala ;)
Sorry.. :-)

Inviato dal mio MB525

malatodihardware
01-01-2013, 13:57
In attesa della nuova versione 2.1 che introdurrà diversi cambiamenti (primi tra tutti l'aggiornamento di FreeBSD alla versione 8.3 e il supporto a IPv6) è stata rilasciata la versione 2.0.2 di pfSense.
E' solo una maintenance release, quindi non sono state introdotte nuove funzionalità ma solo bugfix.
Tra le principali segnalo:
- Patch di sicurezza per FreeBSD 8.1
- Inserito un warning nella creazione di VPN PPTP in quanto insicure e violate da tempo
- Cambio del pacchetto NTP da OpenNTPD a ntp.org NTP daemon
- Fix dell'interfaccia grafica ed errori
- Fix per l'upgrade di OpenVPN server da versioni 1.2.3
- Fix di sicurezza per IPSEC

Release Notes ufficiale (http://doc.pfsense.org/index.php/2.0.2_New_Features_and_Changes)

malatodihardware
06-02-2013, 13:23
Mi è appena arrivato un Watchguard x750e su cui ho immediatamente installato pfSense!
Ho aggiunto all'inizio una mini-guida, è piuttosto sintetica ma si dovrebbe capire..

pegasolabs
06-02-2013, 21:32
E ti è convenuto?

Njon
25-05-2013, 16:56
Ragazzi ho bisogno di una mano:
Ho installato pfsense su virtualbox e creato due schede di rete in bridge. Bene dopo qualche ora di corretto funzionamento (il mio router è settato in bridge), la wan smette di funzionare e la connessione internet defunge. Nei log leggo "multiple interfaces match the same subnet.
Ma perchè esattamente dopo qualche ora smette di funzionare??

Aiuto :muro:

alfonsor
25-05-2013, 17:18
hai sbagliato da qualche parte la configurazione della WAN o della LAN, qualche host della LAN ha preso lo stesso indirizzo della LAN o cosa similare

se ti connetti con una WAN ppoe via il router il full bridge, la WAN deve essere ovviamente settata come ppoe

controlla un pò la configurazione di LAN e WAN

malatodihardware
25-05-2013, 17:19
E ti è convenuto?Scusa ma mi era sfuggito il post, comunque direi di si, per 100 euro ho una appliance con 8 porte gigabit e buone performance generali (in routing puro è sui 650 MB/s)

@njon: già la situazione in bridge puro su hardware fisico va configurata bene, su virtuale potrebbe dare diversi grattacapi.. La scheda di rete fisica che è in bridge ha un ip? Puoi provare con hardware fisico almeno vediamo se è tutto ok come configurazione?

Njon
25-05-2013, 21:06
Allora la configurazione è la seguente:
1 router : ip 192.168.0.2
pfsense virtualizzato : WAN PPoE - LAN 192.168.0.1
eventuali client.
Il tutto è montato così

ROUTER ----------- SWITCH ------------- PFSENSE
\
-------------Altri PC
E fin qui non dovrebbe esserci nulla di male. Il problema è che io vorrei poter usare il wifi del router, quindi probabilmente è per quello che pfsense non capisce più nulla, in quanto vede su quella che è la linea WAN una sottorete uguale alla LAN.
Quello che mi sembra strano è: perchè se ne rende conto dopo un certo periodo di tempo? non dovrebbe non funzionare da subito?

malatodihardware
25-05-2013, 21:32
Può darsi che se ne accorge solo quando un device sotto la lan prende l'ip 0.2, comunque è una configurazione completamente sbagliata, senza le vlan (e quindi un firmware modificato sul modem/router) non ce la farai mai..

Inviato dal mio MB525

alfonsor
25-05-2013, 21:48
basta che dai al router/modem un ip differente dalla rete LAN, per dire 192.168.2.1 e poi segui la guida pfsense modem behind router, cercala su google; devi creare un'interfaccia virtuale sulla wan con indirizzo nella rete che hai dato al modem, aggiungere un nat masquerade e tutto andrà a posto

Njon
25-05-2013, 23:23
grazie mille delle risposte. :)
Per ora ho spuntato l'opzione "Block private networks" e pare che la situazione sia stabile. Però appunto non mi sembra un'ottima soluzione. Appena ho un pò di tempo provo a vedere la guida che mi dici (PS: la trovo direttamente sul sito di pfsense?)

domani vi sarò sapere se il sistema supera la notte ;)

grazie ancora :)

alfonsor
26-05-2013, 07:47
ricapitolo, altrimenti non mi è chiaro

hai un modem (o un router modem in full bridge) con LAN 192.168.2.0/24

hai pfsense (virtualizzato o no non fa niente) con un wan pppoe connessa al modem sopra e una lan 192.168.0.0/24

segui questa guida
http://doc.pfsense.org/index.php/Accessing_modem_from_inside_firewall

malatodihardware
26-05-2013, 08:20
Sì ma il suo problema non è accedere al modem, vorrebbe usare il wifi del modem/router ma con pfsense di mezzo..

Inviato dal mio MB525

Njon
26-05-2013, 08:30
Ha superato la notte :D
Per ora pare funzionare comunque.
Allora il fatto è che il router è nella stessa sottorete della lan perchè voglio poter usare l'access point wifi del router.
Quindi il router ha indirizzo ip 192.168.0.2 e la lan di pfsense 192.168.0.1.
So che se cambiassi sottorete sarei apposto, ma a quel punto renderei inutilizzabile il wifi del router!
Comunque ora provo a leggere la tua guida, molte grazie :)

EDIT: appunto
Note: Your modem's management IP must be on a different IP subnet than your internal network. If it is not, your attempts to connect to it will never go to the firewall to be routed out to the modem, as hosts on your internal network would try to connect to it on the local network and fail.
Il fatto è che virtualizzando il tutto è come se le due interfacce di pfsense fossero collegate direttamente allo switch come due cavi separati: quindi il router è in LAN ed è accessibile attraverso la LAN e non la WAN (quindi no problema)

EDIT2 : ohhh! dite che funzionerebbe?
Instead, under Interfaces > (assign), create a new OPT interface, and assign it to the physical network card that is on WAN. For example, if your WAN on the assignment page is "PPPOE0(fxp0)", choose fxp0, and Save your changes.
Go to Interfaces > (your new OPT interface), and enable the interface. Give it an IP address in the same subnet as your modem, such as 192.168.1.5/24 (For example, the same IP address suggested in for the alias in the previous instructions). Do not set a gateway. If you like, you can rename the interface to something like ModemAccess.
Add an Outbound NAT rule as described above but do NOT choose the WAN interface, choose your new OPT interface.
You should then be able to access the modem from LAN.

Dunque attraverso questa procedura avrei il router (e quindi il Wifi) in un'altra sottorete ma al contempo potrei accedere lo stesso ad internet ed al resto della LAN?

EDIT3: però il dhcp di pfsense non funzionerebbe più ovviamente. Dovrei quindi impostare il dhcp sul router (con altra sottorete ovviamente) e impostare il DNS sulla nuova OPT...mhm ci vorrebbe una sorta di Redirect sul router, ma essendo un cavolo di Belkin senza impostazioni ovviamente non c'è...

malatodihardware
26-05-2013, 09:39
Lo ripeto ancora: tutto quello che hai trovato è soltanto per accedere ad un modem in bridge, non c'è modo (se non forse usando le vlan) per poter riutilizzare il wifi del router!

Inviato dal mio MB525

alfonsor
26-05-2013, 10:08
eccerto se vuoi usare la wifi del modem devi avere le vlan sul modem

siccome non ci sono, non si può fare e quello che vuoi fare non è possibile, perseverando con quella configurazione avrai sempre problemi

Njon
26-05-2013, 10:28
maledizione :(
ma nemmeno usando la configurazione dell'EDIT3? io avrei 3 client wifi, basterebbe impostare il NAT per tradurre quei 4 indirizzi (incluso il router) in LAN...

malatodihardware
26-05-2013, 10:49
No, purtroppo non è possibile, non è una questione di NAT ma di suddivisione delle reti e routing..
In ogni caso un access point WiFi ormai lo trovi a poco prezzo, oppure potresti comperare un modem puro e riutilizzare il tuo solo come access-point

Njon
27-05-2013, 13:47
ho capito, peccato! Grazie comunque del supporto :) .
Ora sto provando a far funzionare una chiavetta usb WiFi ma, pur essendo l'hardware teoricamente supportato, ho qualche problema a farla funzionare. Voi avete qualche esperienza in merito? :)

malatodihardware
27-05-2013, 17:14
Purtroppo no, per esigenze di copertura e performance ho sempre preferito access point separati..

Inviato dal mio MB525

random566
27-05-2013, 17:59
purtroppo non conosco bene pfsense, ma qualche tempo fa ho usato un modem/router netgear dgn2200v1 con monowall, utilizzando il 2200 come modem e access point wifi.
lo avevo impostato come modem (quindi router e dhcp inattivi), con un indirizzo lan nella stessa subnet dell'interfaccia ethernet di monowall, e su monowall stesso, per effettuare la connessione adsl avevo usato una connessione pppoe.
magari funzionava solo per fortuna o per grazia ricevuta, comunque funzionava

Njon
28-05-2013, 13:18
La mia configurazione è praticamente la stessa, e dopo aver tolto l'opzione "Block private networks" funziona tutto senza problemi da circa 3 giorni. Mah!

Homer314
15-11-2013, 18:06
Ciao ragazzi, mi accingo ad installare pfsenso 2.1 su un Fujitsu Futro S500, una macchina dotata di CPU AMD 1Ghz, 512Mb di RAM, una eth Gbit ed una aggiuntiva pci 100Mb.
Per le mie esigenze ( abbinarla ad un DrayTek Vigor 120 ed utilizzarlo come router casalingo e server vpn) credo sia perfetto, ma andando a leggere il forum di pfsense la mia configurazione sembra avere un difetto: la CF!

Difatti la macchina non ha storage meccanico, ma una compact flash (una kingston 8Gb nuova). Non avevo mai pensato al problema del ciclo di vita della flash (ho un sistema gemello con Centos installato da mesi e va un amore).

Secondo voi posso procedere e dormire tranquillo per due/tre anni oppure è meglio rivolgermi verso un'altra soluzione hardware ?

Grazie :)

blu(e)yes
16-11-2013, 00:51
Secondo voi posso procedere e dormire tranquillo per due/tre anni oppure è meglio rivolgermi verso un'altra soluzione hardware ?

Grazie :)

Sarebbe meglio usare una cf di tipo industriale, specifica per questo tipo di utilizzi, perché garantirebbe un numero di cicli di scrittura sulla singola cella maggiore, ma costa parecchio.

Comunque fai una prova con pfsense embedded senza swap, io anni fa avevo tenuto per un po' ipcop che girava su una normalissima cf e non mi aveva mai dato problemi (la cf).
Se hai necessità di non rimanere a piedi la soluzione economica che mi viene in mente e prendere un'altra cf e fare copia fisica di backup così da poterla sostituire all'occorrenza se si bruciasse la prima cf in uso.

trottolino1970
16-11-2013, 05:12
tutto sta nel capire cosa ci devi fare e come lo devi fare

malatodihardware
16-11-2013, 07:31
Con la CF non c'è problema, basta che usi la versione embedded e non quella standard.
Per quanto riguarda l'hardware in sé invece sceglierei qualcosa di più risparmioso a livello di corrente elettrica

Inviato dal mio Nexus 5 con Tapatalk

Homer314
16-11-2013, 07:34
Con la CF non c'è problema, basta che usi la versione embedded e non quella standard.
Per quanto riguarda l'hardware in sé invece sceglierei qualcosa di più risparmioso a livello di corrente elettrica

Inviato dal mio Nexus 5 con Tapatalk

La cpu si aggira sui 9w, credo che tutto il sistema non consumi più di 15/17W.

Certo che se ci si aggiungono anche modem, switch ed access point tutto il "macro apparato" inizia a consumare abbastanza, effettivamente non ci avevo pensato

valerio1990
23-12-2013, 14:02
Salve,

Vorrei implementare nella mia rete lan un firewall hardware con pfsense.

La mia rete è così strutturata:

Antenna wireless (internet)----->Router wi-fi----->switch------>(pc1,pc2,print server, nas, ip-cam etcc...)
Ci sono anche client wi-fi.

Vorrei sapere se è possibile mettere il firewall così:

Antenna wireless (internet)----->Firewall---->Router wi-fi----->switch------>(pc1,pc2,print server, nas, ip-cam etcc...)

Io vorrei utilizzare il FW solo per filtrare e analizzare il traffico sulle sue porte, non facendolo diventare un router.
Vorrei utilizzare il FW anche per connettermi da remoto tramite open-vpn.

Se è possibile fare tutto ciò in che modalità devo utilizzare il firewall e anche il router?

malatodihardware
23-12-2013, 14:22
Dipende da come avviene la connessione antenna-router, è un router loro oppure è uno standard magari con PPOE?

Per la VPN inoltre sarebbe meglio se hai IP pubblico direttamente sul pfSense e non sull'antenna

valerio1990
23-12-2013, 15:11
Allora il router è mio e sulla wan è collegato il cavo ethernet proveniente dall'alimentatore poe (che alimenta l'antenna). Quindi:

Antenna wifi<----->POE---->LAN(uscita ethernet per la connessione internet)

A quanto pare il mio indirizzo ip non cambia anche scollegando l'alimentazione dell'antenna quindi credo sia un indirizzo statico.

Inoltre l'altro giorno collegando un router adsl soltanto come switch e access point (quindi disattivando DHCP) e guardando con ipconfig ho trovato l'indirizzo ip dell'antenna; infatti digitandolo sul browser appariva la richiesta delle credenziali di accesso (che non conosco dato che è proprietà dell'ISP).

Il router non è un router ADSL ed è l' EA6700.

Io comunque sul router ho configurazione automatica DHCP. Ma ci sono tutte le opzioni: PPPOE, IP STATICO, BRIDGE, L2TP, PPTP.

malatodihardware
23-12-2013, 15:44
Se sei in DHCP allora non penso che hai IP pubblico (il fatto che sia statico o meno poco cambia), comunque almeno all'inizio non dovrebbe essere un problema.

L'EA6700 andrà configurato come switch+AP dopo pfSense, la configurazione di tutto comunque è quella base anche per pfSense, quindi non penso che avrai troppi problemi..

valerio1990
23-12-2013, 16:05
Quindi disabilito il server DHCP del router e imposto il tutto per utilizzare pfSense come un router con server DHCP giusto?

Siccome con questo router riesco a trasferire a circa il 95% della velocità gigabit ho letto che bisogna utilizzare una cpu con potenza di calcolo elevato (per sfruttare al massimo la rete gigabit) tipo i3 è corretto?

Un FW/router basato sulla scheda GA1037-UN è fattibile?

Quindi lo schema diventa questo:

Antenna--->pfSense (come router)----->switch+AP----->switch----->lan


Ma non esiste un modo per mettere pfSense prima del router e non usarlo come un router ma fargli analizzare solo il traffico tra le sue due porte?
(il router sarebbe l'ea6700)

grazie mille per l'aiuto.

malatodihardware
23-12-2013, 18:47
Un i3 ti serve solo se vuoi fare routing gigabit, ma non è il tuo caso, visto che servirà solo per il traffico internet (pochi Mb). Tutto ciò che colleghi dopo pfSense continuerà ad andare in gigabit passando dallo switch e non dal firewall

Inviato dal mio Nexus 5 con Tapatalk

Abalfor
09-02-2014, 09:34
al momento ho una connessione adsl che passa da un modem vigor120 al quale è collegato uno switch. a questo switch ci sono collegate le mie macchine ed un router che va a gestire una lan separata per mio nipote.
una macchina con pfsense a monte mi permetterebbe di creare delle regole che consentano di non saturare la banda ed offrire una buona fruibilità della connessione ad internet per entrambe le lan? anche attivando il qos di router e switch non ho buoni risultati, se qualcuno impegna la connessione, l'altro ne risente.
eventuali alternative per raggiungere lo scopo?
consigliate pfsense anche per gestire una vpn o ci sono routers migliori?

malatodihardware
09-02-2014, 09:54
La parte di QOS di pfSense secondo me è forse quella meno riuscita, è parecchio complicata e, nonostante ci sia un piccolo wizard, rimane molto "manuale" e "tecnica".

Per quanto riguarda il supporto alle VPN invece è ottimo, ti consiglio OpenVPN con il plug-in Exporter che ti genera direttamente file di configurazione o pacchetti di setup per le piattaforme più diffuse.

Abalfor
09-02-2014, 10:35
grazie, al di là della configurazione, è possibile ottenere buoni risultati?
il traffico incriminato che genera disservizio in genere arriva dal mio muletto (nel quale ho assegnato l'upload dei vari p2p in modo che rimanga una buona latenza ed abbastanza banda per non rallentare il traffico http). purtroppo ho una adsl ballerina che durante il giorno ha dei cali. piuttosto di rimodulare i limiti a seconda degli orari vorrei che un router a monte desse la banda proporzionalmente alla reale disponibilità.
oltre a questo aspetto, un altro problema arriva dall'altra lan quando viene caricato un file su youtube/host vari.. il browser si prende tutto l'upload ed il resto delle reti piange. stessa cosa con download che sfruttano acceleratori software e simili..
certo, ci si può "mettere d'accordo" tra utenti (come già facciamo) per evitare certi comportamenti in momenti di reciproca necessità, però visto che viaggio spesso e non voglio dare l'accesso alle mie macchine, a volte mi arrivano chiamate del tipo "zio, laggo e non posso giocare" e mi tocca aprire il muletto con vnc per limitare ulteriormente la banda..

malatodihardware
09-02-2014, 10:59
Se configurato a dovere funziona, ma ti assicuro che non è per niente semplice.

Tra l'altro dobbiamo fermarci qui perchè nel regolamento del forum è vietato parlare di condivisione ADSL..

Abalfor
09-02-2014, 19:24
lo so benissimo cosa dice il regolamento, qualche giorno fa in un thread ho fatto la stessa osservazione ad un altro utente ;)
viviamo assieme, semplicemente è stato aggiunto il router perché lui aveva bisogno del wifi per ps3 e telefono ed ho colto l'occasione per separare le reti comprando un router piuttosto di un semplice ap visto che il costo dell'apparato era di poco superiore.

Abalfor
10-02-2014, 16:20
ci sarebbero problemi a virtualizzare sulla stessa macchina pfsense e più installazioni di linux client? (una debian da muletto con torrent, amule e forse server opengts (circa 20 mezzi che inviano i dati gps) ed un'altra con installato xbmc)
oppure è meglio tenere pfsense su un hardware a parte?

malatodihardware
10-02-2014, 17:20
A livello di sicurezza sarebbe meglio hardware dedicato, a livello di funzionalità non ci sono problemi..

Inviato dal mio Nexus 5 con Tapatalk

Likn'_ùs
10-02-2014, 19:47
Sera!
Attirato da pfSense ho tirato su una macchina virtuale su VirtualBox..
L'obiettivo è: Internet -> Modem/Router -> pfSense virtualizzato -> Winzoz
Il tutto impostato come:
Scheda rete 1 in bridge sul chipset della mia scheda madre con indirizzo MAC impostato (ultimi due valori finali) 00
Scheda rete 2 sempre in bridge su Microsoft Loopback con MAC che finisce per 01

I due diversi valori finali dei MAC mi servono solo per identificare correttamente le porte..

Lancio pfSense (sia che lanci la iso di 2.1(AMD64 o i686), sia che usi un'immagine nano VGA sempre 32bit):
configuro le varie VLAN.. assegno em0 ed em1 guardando l'indirizzo MAC: quindi per 00->em0->WAN-> ricevo l'IP dinamico dal router visualizzato come:
v4/DHCP4: 192.168.1.104/24
Mentre per 01->em1->LAN->indirizzo IP statico:
v4: 192.168.1.1/24 impostato poi da me in 192.168.1.2 sempre con submask a 24bit

Ebbene.. dovrebbe essere tutto a posto.. ma.. non riesco ad accere alla Web GUI.. :muro: Dove sta l'errore?

P.s.: Non ho ancora disabilitato IPv4/IPv6 dalla rete basata sul NIC Realtek.. (da winzoz intendo)..
EDIT1
Solo pfSense per il momento.. niente Snort ne altri servizi..

malatodihardware
10-02-2014, 20:29
Così non funzionerà, ti servono almeno 2 schede di rete fisiche sul pc..

Tra l'altro WAN e LAN è meglio che stiano su due subnet differenti (ad esempio 192.168.1.0/24 e 192.168.0.0/24)

Likn'_ùs
10-02-2014, 20:43
Ok.. ora provo a cambiare una delle due subnet..

Avendo a disposizione un solo NIC fisico ho usato Microsoft Loopback che emula un NIC..! ; )

C'è una guida (http://timita.org/wordpress/2011/07/29/protect-your-windows-laptop-with-pfsense-and-virtualbox-part-1-preamble/) - che ho dovuto spulciare ad un certo punto per risolvere il problema - ma sono ancora inchiodato qui..

EDIT2
Grazie mille malatodihardware.. : ) Vedo che sei l'unico attivo su questo thread.. peccato.. davvero peccato..
OT
PS. Ho visto la tua configurazione casalinga di server.. molto bella.. l'x750e poi..! :) Quanto l'hai pagato? Usato? Baia?
Fine OT

Abalfor
10-02-2014, 21:29
ho visto che ci sono una distro a 32 bit ed un'altra per amd 64. il codice è stato ottimizzato e ci sono evidenti benefici ad installarlo su una macchina con cpu amd64?

Likn'_ùs
10-02-2014, 21:53
Non credo ci sia molta differenza.. pfSense gira di per sè su hardware ridicoli.. la potenza di calcolo della cpu va ad influenzare solamente la capacità di trasmissione.. 32/64bit influenza la quantità di RAM maggiormente.. ma anche qui si ritorna al discorso di prima.. qui (https://www.pfsense.org/hardware/index.html) trovi la pagina ufficiale sull'hardware.. magari spulciando trovi maggiori info sulla versione a 64bit..

Tutto questo imho.. spero di non aver sparato una cavolata! In caso, scusami! : )

malatodihardware
10-02-2014, 22:10
Confermo quanto sopra, al momento non conviene installare 64bit principalmente perchè non tutti i pacchetti sono compatibili.

@Likn'_ùs: Sì, il watchguard l'ho vinto ad un asta sulla baia (mi sembra sui 100 Euro - il prezzo medio però è un pò più alto, tra i 150 e i 200) e poi l'ho moddato un pò per adattarlo alle mie esigenze, tra le vendite UK e DE se si ha pazienza di aspettare viene via a buon prezzo

Likn'_ùs
10-02-2014, 22:43
;)
Preferisco avere un hypervisor che mi virtualizzi qualsiasi cosa in casa! :)
Se non vado errando il 750e usa socket 775, quindi mi sa che consuma un bel po'! :)

Non ho ancora risolto il problema con la mia configurazione.. domani provo un altro approccio! :)

EDIT
Ho provato a mettere il router in bridge mode.. ma ancora nulla! :(

Likn'_ùs
11-02-2014, 15:16
FUNZIONAAA! : )
Ieri ho fatto l'errore più nabbo che si potesse fare.. lol


In definitiva.. ora riesco ad accedere alla webConfigurator GUI di pfSense.. usando una macchina Windows 7 con un solo NIC e simulandone un'altro con Microsoft Loopback Adapter (http://technet.microsoft.com/en-us/library/cc708341(v=ws.10).aspx).

Ora sto installando un distro linux su un'altra VM.. appena finisco di scaricare settare il tutto, forzo windows a convogliare il traffico dati via pfSense virtualizzato, e poi vi aggiornerò definitivamente se si può fare - e se si, come ho risolto l'errore! : )

EDIT
P.s.: scusate per i due post di fila, ma visto le ore passate, ho preferito uppare il 3d e non editare il messaggio precedente! : )

EDIT2
Riesco ad accedere alla webGUI.. ma non appena disattivo IPv4 del NIC fisico da W7 per attivare IPv4 di M.Loopback non riesco più a connettermi ad internet dal browser.. anche se pingando google.com dalla VM con su pfSense risulta che sono connesso normalmente..!
Dovrò testare ancora un po'! :)

La prima occhiata alle impostazioni di pfSense.. :o
Mio dio.. ci si può far veramente di tutto!!!

Art83
04-03-2014, 15:09
ragazzi, ho bisogno di aiuto nel configurare per la prima volta questo firewall per la mia azienda!

la mia situazione è questa:

ho un albergo e utilizzo 2 server per tutto ciò che mi serve:

SERVER 1 - vmware esxi con installate 2 macchine virtuali Windows 2011 SBS standard (controlled di dominio, active directory ed exchange per la posta) + Windows 2012 standard per remote desktop services (pacchetto office + programma gestionale hotel)

SERVER 2 - windows xp professional con software hot-spot per far collegare i clienti dell'albergo

PC 3 - pfsense

----------------------------------------------------------------------------------------

le cose che vorrei configurare sono fondamentalmente 3:

1 - failover (o meglio, balancing + failover)
utilizzare la wan1 (telecom) per me e la opt1 (fastweb) per il Server 2 dedicato ai clienti + alla webcam ip che manda le immagini in streaming sul sito internet
naturalmente in caso di down di una delle 2 wan, l'altra si prenderebbe il carico di tutte e due!!
-----------------------------------------------------------------------------------

2 - antispam (postfix + mailscanner + squid) pacchetti che ho installato
antispam per 3 caselle postali exchange di 3 account utente diversi
-----------------------------------------------------------------------------------

3 - antivirus http
abilitare l'antivirus http almeno per la wan1 (telecom) che utilizzerei io!

nn so veramente da dove iniziare, spero che possiate darmi una mano voi a cominciare a configurare il firewall!!

grazie a tutti!!

malatodihardware
04-03-2014, 18:17
Ciao, innanzitutto premetto che le funzionalità che chiedi non sono tra le più semplici di pfSense (almeno stai evitando il QOS che forse è il peggiore :D).

In ogni caso ti consiglio di partire dalle guide nella documentazione pfSense:
Punto 1 -> https://doc.pfsense.org/index.php/Multi-WAN_2.0
Punto 3 -> https://doc.pfsense.org/index.php/HAVP_Package_for_HTTP_Anti-Virus_Scanning

Per il Punto 2 purtroppo non c'è niente di pronto.
Personalmente partirei dal punto 1 che non è impossibile ed è anche IMHO il più facilmente raggiungibile.

Se hai qualche problema specifico possiamo provare a capire, ma fare tutta la configurazione su un forum è un pò un problema.. :)

Art83
05-03-2014, 11:03
grazie dell'intervento!!

punto 1 configurato perfettamente e funzionante!!
ora passo al punto 3, come suggerito da te e vedo di fare anche quello!!

speriamo che poi con il punto 2 vada tutto bene!

EDIT: configurato anche antivirus in trasparent mode (in modo da non utilizzare squid) e anche questo funziona alla grande!!!

malatodihardware
05-03-2014, 12:38
Bene dai, vedi che non è poi tanto peggio di Endian.. :)

Inviato dal mio Nexus 5 con Tapatalk

Art83
05-03-2014, 15:13
Bene dai, vedi che non è poi tanto peggio di Endian.. :)

Inviato dal mio Nexus 5 con Tapatalk

pensavo che andasse bene, ma sto iniziando a vedere degli errori!!

in pratica la situazione è la seguente:
WAN1 - telecom
OPT1 - fastweb
LAN - rete lan

con le 2 adsl ho creato 3 gruppi sotto System: Gateway Groups:
Gruppo 1 - balancing con entrambe le adsl su tier1
Gruppo 2 - telecom tier1 e fastweb tier2 failover telecom
Gruppo 3 - telecom tier2 e fastweb tier1 failover fastweb

ho poi inserito in System: Gateways (all'interno del menù di ogni adsl), il monitor ip (il dns di ogni linea)

poi in Firewall: Rules --> LAN ho forzato il monitor ip di telecom a uscire con l'adsl telecom e il monitor ip fastweb ad uscire con l'adsl fastweb.

ultimo passo, sempre in Firewall: Rules --> LAN ho inserito la regola che tutte le rischieste verso l'esterno usassero il loadbalancing.

all'inizio funzionava bene, dato che andando sul sito mio-ip, a volte mi faceva vedere l'ip di telecom e a volte quello di fastweb (loadbalancing ROUND ROBIN), ora invece, a distanza di qualche ora mi esce sempre e solo con la adsl di fastweb. non c'è verso di fare altro!!

eppure in Status: Gateways entrambe le connessioni sono in verde (online).

come ultima prova, se provo a staccare il doppino di fastweb (quindi hag acceso, ma senza linea) la connessione relativa a fastweb diventa rossa (offline) e mi esce con telecom!

come risolvo??

malatodihardware
05-03-2014, 18:26
Hai percaso attivato "Sticky connections" negli advanced settings?

In ogni caso potrebbe essere che in caso di linee scariche scelga sempre la route che ritiene migliore, prova con un donwload manager o con un torrent di una distro linux: riesci a saturare entrambe le linee? Se sì non mi preoccuperei troppo del test dell'IP.

In ogni caso per il traffico criptato (HTTPS\SMTPS etc..) devi creare un'apposita regola per uscire sempre su una WAN, perchè il loadbalancing dà problemi visto che cambi IP con la sessione criptata aperta.

Art83
05-03-2014, 20:39
domani controllo se ho attivato quella opzione, e faccio la prova con il download manager!



se può essere un dettaglio in più aggiungo che se da un qualsiasi pc provo a fare un ping verso la OPT1 (fastweb) funziona sempre e cmq!



se provo a fare un ping verso la WAN1 (telecom), a volte nn va e a volte si!



le volte che va, esco con l'ip di telecom, mentre le volte che non va, oltre che non aprirmi neanche la pagina di configurazione del router, mi esce con fastweb!



per quanto riguarda il traffico criptato, ho già provveduto a reindirizzarlo sempre e solo sulla WAN1 e solo in caso di fail di essa, esce sempre e solo con la OPT1!

EDIT: aggiungo che ho seguito questa guida alla lettere per configurare il punto 1...

http://www.pfsenseitaly.com/2012/09/multi-wan-con-pfsense-parte-1.html
http://www.pfsenseitaly.com/2012/10/multi-wan-con-pfsense-parte-2.html
http://www.pfsenseitaly.com/2012/10/multi-wan-con-pfsense-parte-3.html
Solo che mi da i problemi riportati sopra!!!

Art83
06-03-2014, 11:52
credo di aver capito dov'è il problema.....
in pratica, ho creato i 3 gruppi su System: Gateway Groups (gruppo 1 balance, gruppo 2 fail wan1 e gruppo 3 fail opt1).
fin qui tutto ok!
successivamente passo alla sezione Firewall: Rules (sottomenù LAN) e imposto questa configurazione:

interface: lan
protocol: any
source: LAN NET
port: any
destination: any
port: any
gateway: balance
queque: none

FUNZIONA IL BALANCE!!!

poi imposto le regole del traffico criptato (ne metto solo una, per le altre cambia solo la porta):

interface: lan
protocol: any
source: any
port: any
destination: any
port: https
gateway: fail wan1
queque: none

così facendo le porte criptate escono sempre con la stessa connessione. in caso di fail di questa connessione, utilizza sempre l'altra!

IL BALANCE CONTINUA A FUNZIONARE!!

infine configuro il server hotspot per uscire sempre con la connessione opt1 e come failover di opt1 la connessione wan1. lo configuro così:

interface: lan
protocol: any
source: single host or alias
address: xxx.xxx.xxx.xxx/24
port: any
destination: any
port: any
gateway: fail opt1
queque: none

in questo modo se cade la connessione opt1 utilizzerà la wan1, altrimenti va sempre con la stessa!!

Come attivo questa regola, IL BALANCE NON VA PIU', ed esce per tutti i pc con la OPT1!!

come risolvo??

malatodihardware
06-03-2014, 17:49
Scusa ma l'hotspot è in lan? Che IP ottengono i client?

Inviato dal mio Nexus 5 con Tapatalk

Art83
06-03-2014, 18:14
Hot spot ha 2 porte LAN... Una xxx.xxx.xxx.xxx (uguale alla LAN del firewall e alla LAN di tutti gli altri pc.
Ed una seconda scheda di rete collegata ad uno switch con gli access point... Quest'ultima ha indirizzo yyy.yyy.yyy.yyy (completamente diverso).

Su questo hot spot gira un software che altro nn fa che da:
- dhcp server per i vari clienti
- monitorare i log dei clienti e ributtarli sulla LAN principale!!

Naturalmente quando fa le richieste dei clienti sulla LAN normale, le fa lui stesso e poi le rigira ai vari client!!


Sent from my iPhone using Tapatalk

Art83
07-03-2014, 08:00
http://s28.postimg.org/kaovvkoa1/RETE_SEMPLIFICATA.jpg (http://postimg.org/image/kaovvkoa1/)
ora spero vi sia più chiara la situazione!!
vediamo di ricapitolare il tutto:

ho creato il gruppo balance, funziona e non ha problemi!
ho creato le regole che il traffico criptato deve usare il gruppo failover WAN1 (in modo che utilizzi sempre lo stesso ip) e non ci sono problemi
a questo punto, sorgono i problemi:

se imposto il server hotspot ad uscire sul gruppo/gateway failover OPT1, mi ci esce tutta la rete LAN e non solo lui!!
--aggiungo: impostata questa regola, il firewall non mi permette di entrare nel router WAN1... come se la wan1 scomparisse!!

se tolgo questa regola, tutto rifunziona normalmente!

malatodihardware
07-03-2014, 13:02
Il problema è che nella regola non devi mettere /24 altrimenti si applica a tutta la subnet..

In ogni caso gli dedicherei un'altra interfaccia isolata, non lo lascerei in lan

Inviato dal mio Nexus 5 con Tapatalk

Art83
07-03-2014, 13:53
Il problema è che nella regola non devi mettere /24 altrimenti si applica a tutta la subnet..

In ogni caso gli dedicherei un'altra interfaccia isolata, non lo lascerei in lan

Inviato dal mio Nexus 5 con Tapatalk

perfetto provo!
EDIT: provato senza mettere la subnet e funziona!!

ora, se posso, vorrei chiederti anche un'altra cosa!
IL BALANCE FUNZIONA (infatti se vado su siti internet tipo mio-ip.com, mi fa vedere in maniera randomica uno o l'altro IP)!

se attivo l'antivirus HAVP in modalità trasparente e gli faccio monitorare LAN+WAN1+OPT1 (basta anche se monitorizza solo la LAN), l'antivirus funziona, non devo impostare nessun proxi, ma succede una cosa strana:

- il balance continua a funzionare (da speedtest.net ho come velocità la somma delle 2 adsl), ma su internet esce sempre e solo con la WAN1 (infatti tornando al sito di controllo ip, mi da sempre quello della WAN1 e non più tutti e 2 in maniera random)!!
- inoltre, anche sul server hot-spot mi esce con la WAN1 e non più con la OPT1 (è come se bypassa la regola)

da che può dipendere?

malatodihardware
08-03-2014, 09:34
Lo sapevo che saremmo arrivati qui.. :D

Il problema è che il proxy trasparente esce sempre con un IP interno di pfSense e quindi bypassa le regole che gli hai impostato, la cosa non è risolvibile in modo semplicissimo, qui comunque trovi qualcosa: https://forum.pfsense.org/index.php/topic,60977.0.html

Art83
08-03-2014, 10:00
Lo sapevo che saremmo arrivati qui.. :D

Il problema è che il proxy trasparente esce sempre con un IP interno di pfSense e quindi bypassa le regole che gli hai impostato, la cosa non è risolvibile in modo semplicissimo, qui comunque trovi qualcosa: https://forum.pfsense.org/index.php/topic,60977.0.html

eccolo là... lo sapevo che prima o pio mi sarei imbattuto in qualcosa di più grande delle mie possibilità!!

ci ho provato a seguire il link che mi hai dato e a configurare, ma proprio nn so da dove cominciare!!

a questo punto le cose sono 2:

o utilizzo il proxy (di conseguenza anche havp e antispam) non uscendo più con il multiwan
o lascio perdere il multiwan e utilizzo il classico proxy!!

Art83
09-03-2014, 22:21
domani riprovo con la guida che mi hai fornito....
seguendo le immagini, spero di riuscirci!!

ripensandoci, non posso fare a meno dell'antispam!!

br.corona
13-08-2014, 10:51
ciao ragazzi, è ancora attivo questo thread?
Perchè io ho un quesito su pfsense davvero pesante, inerente ai tunnel ipsec.
Confido in voi, non lo nascondo: SONO DISPERATO!!!!! :muro: :muro: :muro:

malatodihardware
13-08-2014, 11:05
Ciao, dicci pure i problemi che vediamo se possiamo risolverli.. :)

anthropic_principle
13-08-2014, 15:35
Passando dalla classica ADSL 7Mb/s alla FTTS di Fastweb mi sono accorto che il mio firewallino pfSense di casa basato sulla classica Alix2d3 comincia ad andare alle corde (CPU > 90% troppo spesso).
Stavo quindi pensando di upgradarlo passando alla nuova generazione di mobo ed in particolare alla Apu1C4 (potendo conservare lo stesso contenitore e alimentatore).
C'è qualcuno che ha esperienze in proposito? Le performance aumenterebbero sensibilmente?

malatodihardware
13-08-2014, 19:58
Ciao, non ho avuto modo di provarla, ma da quello che ho letto sul forum ufficiale dovrebbe gestire fino a 400/500 Mbits/sec in NAT puro (quindi senza Snort, Squid e altri pacchetti pesanti). Non conosco la tua infrastruttura, ma valuta se puoi virtualizzarlo. Ultimamente sta andando parecchio come cosa anche se i puristi storcono sempre un po' il naso.. :)

anthropic_principle
13-08-2014, 21:43
Ciao, non ho avuto modo di provarla, ma da quello che ho letto sul forum ufficiale dovrebbe gestire fino a 400/500 Mbits/sec in NAT puro (quindi senza Snort, Squid e altri pacchetti pesanti). Non conosco la tua infrastruttura, ma valuta se puoi virtualizzarlo. Ultimamente sta andando parecchio come cosa anche se i puristi storcono sempre un po' il naso.. :)
Sì, l'uso è senza troppe pretese: firewall e terminatore di VPN per la connessione di casa... niente Squid e Snort dunque, il pacchetto più pesante è quello di gestione RRD.
L'idea di virtualizzare è senz'altro buona, ma il serverino di casa, per motivi di consumo, è un Brix con una sola NIC e quindi...:(

malatodihardware
13-08-2014, 22:56
Potresti usare le Vlan oppure sostituire anche il serverino, se virtualizzi pfsense, mantenendo lo stesso consumo, potresti avere qualcosa di più potente..

anthropic_principle
14-08-2014, 05:48
Potresti usare le Vlan oppure sostituire anche il serverino, se virtualizzi pfsense, mantenendo lo stesso consumo, potresti avere qualcosa di più potente..
In effetti il Brix è un i7 (solo dualcore però :() con 16 GB di ram e W2K12R2. Si potrebbe attivare il ruolo Hyper-V e piazzarci una VM con pfsense. Usando il più possibile il network interno virtuale ed eventualmente usando lo switch L3 mikrotik che ho in casa per detaggare le VLAN forse potrebbe funzionare...

malatodihardware
14-08-2014, 08:38
Se vuoi virtualizzare su Hyper-V la 2.1 non è proprio semplicissimo ma è fattibile:
https://forum.pfsense.org/index.php?topic=73258.0

Da questo punto di vista molto meglio la 2.2 che però è ancora in Alpha.
Diversi utenti comunque la usano senza problemi se non ti servono funzionalità quali CARP o Multi-WAN

anthropic_principle
16-08-2014, 09:24
Se vuoi virtualizzare su Hyper-V la 2.1 non è proprio semplicissimo ma è fattibile:
https://forum.pfsense.org/index.php?topic=73258.0

Da questo punto di vista molto meglio la 2.2 che però è ancora in Alpha.
Diversi utenti comunque la usano senza problemi se non ti servono funzionalità quali CARP o Multi-WAN
Molto interessante... Ti ringrazio del link e dei consigli.
Sto pensando di seguire entrambe le strade sopratutto per fare un po' di esperienza su virtualizzazione di appliances pfSense. La mobo Apu1c4 l'ho ordinata comunque e penso dovrebbe essere abbastanza più performante della vecchia. Del resto si passa da un single core a 400MHz con 256MB ad un dual core da 1GHz con 4GB e poi le schede di rete della nuova sono Gb con HW offload ma nel frattempo proverò a virtualizzare pfSense 2.2 sul serverino Hyper-V per vedere che ne esce fuori...

anthropic_principle
25-08-2014, 09:52
Alla fine ho istallato la Apu1c4. Niente a che vedere con la vecchia Alix!
Oltre a FW e terminatore VPN adesso ho potuto istallare anche Squid e SquidFilter... veramente notevole!

alfonsor
25-08-2014, 12:15
per curiosità, quanto consuma?

lo chiedo perché faccio girare pfsense su una minitx con celeron 1037U e sta sui 15W senza schermo connesso e mi piacerebbe avere un qualcosa che consumi di meno senza essere troppo lenta

anthropic_principle
25-08-2014, 13:33
per curiosità, quanto consuma?

Con 4GB di RAM e hard disk mSata da 32GB siamo sui 10W in condizioni running "pesante".
Le performance della CPU sono decisamente esuberanti (al contrario dell'Alix) però le NIC continuano ad essere senza nessuna accelerazione HW... :mad:
Per quanto riguarda il case, anche se a prima vista sembra uguale a quello dell'Alix, in realtà bisogna acquistare quello specifico: l'Apu1c infatti ha processore e north bridge sul lato inferiore della mobo per per permetterne il raffreddamento per contatto da parte del case.

tony_tony
10-11-2014, 11:37
Buongiorno a tutti...
Questo argomento è ancora attivo per fare delle domande?
Come si comporta la scheda Apu con questo firewall?
Scalda molto?

anthropic_principle
10-11-2014, 22:41
Buongiorno a tutti...
Questo argomento è ancora attivo per fare delle domande?
Come si comporta la scheda Apu con questo firewall?
Scalda molto?
Le APU1C e 1D vanno molto bene con pfSense, del resto la PC Engines le ha progettate proprio per quello scopo.
La potenza da dissipare tramite il case (che fa anche da dissipatore) varia grosso modo dai 5 ai 10W a seconda del carico e quindi diciamo che in locale non condizionato nella stagione calda una ventolina esterna per assicurare il ricambio d'aria è senz'altro consigliata.

tony_tony
11-11-2014, 00:31
Grazie per la risposta...
Ero indeciso tra la Alix e Apu appunto per il calore generato, ma avere porte gigabit e sata sono un gran vantaggio...
Come consiglieresti di applicare una ventola?
Per l'installazione su ssd, si parte da una key usb bootabile con la versione memory stick e quindi completa giusto per la Apu?
Poi si deve selezionare il kernel embedded anche se installazione su ssd?
C'è qualcosa di particolare da fare oltre che cambiare il baud rate dopo il boot e far partire l'installazione?
Leggevo di cambiare i valori dma...
Grazie...

anthropic_principle
11-11-2014, 05:39
Grazie per la risposta...
Ero indeciso tra la Alix e Apu appunto per il calore generato, ma avere porte gigabit e sata sono un gran vantaggio...
Come consiglieresti di applicare una ventola?
Per l'installazione su ssd, si parte da una key usb bootabile con la versione memory stick e quindi completa giusto per la Apu?
Poi si deve selezionare il kernel embedded anche se installazione su ssd?
C'è qualcosa di particolare da fare oltre che cambiare il baud rate dopo il boot e far partire l'installazione?
Leggevo di cambiare i valori dma...
Grazie...
ALIX ha purtroppo il processore troppo poco performante e può quindi essere idonea solo per funzionalità FW su linee abbastanza lente (ADSL). Per funzionalità ulteriori (web filtering, ecc.) e linee veloci (fibra) serve APU.
Per quanto riguarda la ventolina è sufficiente una esterna appoggiata e sottoalimentata avendo cura di appoggiare il case su piedini piuttosto alti così da assicurare un minimo di flusso d'aria sotto il case ovvero laddove sono a contatto CPU e north bridge.
Per l'installazione si parte da una scheda SD poiché l'USB non è bootable OOB.
Se usi un'APU con 4GB di RAM ti consiglio di usare la versione di pfSense a 64 bit perché la 32 bit non li vede tutti.
La procedura di installazione è semplicissima e in rete trovi parecchie guide dettagliate...

tony_tony
11-11-2014, 11:50
Grazie per i consigli...
Leggevo su molte guide di partire da una chiavetta Usb...forse la d4 ha il boot da usb anche?
Alla scelta del kernel, cosa si deve scegliere? Embedded?

anthropic_principle
11-11-2014, 13:56
Grazie per i consigli...
Leggevo su molte guide di partire da una chiavetta Usb...forse la d4 ha il boot da usb anche?
Alla scelta del kernel, cosa si deve scegliere? Embedded?
Fai conto che di APU ce ne sono diverse revisioni, adesso si trovano sia la C che la D. La mia dovrebbe essere anteriore.
Comunque io ho seguito la procedura standard descritta su pfsense.org che genera un'immagine per CF (Alix) o SD (APU).
La mia immagine di partenza è AMD64 (64 bit), Embedded, Serial console...

tony_tony
04-03-2015, 12:32
Buongiorno,
Come si formatta l'Apu?
Grazie..

Wolf_666
10-01-2017, 00:10
Thread morto, ma ci provo prima di aprirne uno nuovo.
Qualcuno ha esperienza con le nuove VDSL, vale a dire far funzionare VOIP (col CPE fornito dagli ISP) e configurare su pfSense le VLAN internet e voce?
Io sono in attesa dell'attivazione di Tiscali, userò pfSense + Draytek Vigor 130 (ora con una ADSL 20/1) e vorrei usare il Technicolor come solo client VOIP.

malatodihardware
10-01-2017, 12:49
Non conosco come funziona il Voip sulle VDSL, però ho esperienza su pfSense, se mi dici cosa devi configurare posso dirti se è fattibile..

Wolf_666
10-01-2017, 13:48
Non conosco come funziona il Voip sulle VDSL, però ho esperienza su pfSense, se mi dici cosa devi configurare posso dirti se è fattibile..

Anche io ho tanta esperienza su pfSense dai tempi della v 1.2.3 :D

Il mio problema sarà far funzionare il Technicolor 788 (fornito brandizzato Tiscali e bloccato.....beh..so come sbloccarlo) come Client VOIP, le credenziali non sono note, ma vengono scaricate da Internet tramite TR-069.
Tiscali fornisce internet + voce usando VLAN 835 (Internet) e VLAN 935 (VOIP).

La parte internet è facile, creo la VLAN 835 e la assegno alla WAN (PPPoE).

Ora viene la parte VOIP, questo traffico è taggato 935, secondo te quale è la miglior strategia per connettere il Technicolor?

1 - Creare la VLAN 935, assegnarla alla porta (trunk?) di collegamento del pfSense e poi creare un Bridge con la WAN? Questo comporta l'assegnazione dll'IP pubblico al Tecnicolor (non mi piace avere roba esposta senza controllo)

2 - Creare VLAN 935 assegnarla alla LAN (trunk) del pfSense<->Technicolor e instradare tale traffico verso il gateway WAN_PPPoE, fare port forwarding etc etc.
3- Altro

Il technicolor ha questi IP (credits (http://www.hwupgrade.it/forum/showpost.php?p=43466054&postcount=5683))

ip iplist expand=enabled proto=ipv4
Flags legend: [P]referred primar[Y] [R]oute [H]ost route d[E]precated [i]nvalid
[T]entative d[u]plicated [A]nycast auto[C]onf [D]ynamic [O]perational
Prefix Interface Type Flags Remote IP Origin
------ --------- ---- ----- --------- ------
10.138.X.X/22 Voice Ethernet ...H.......O admin
192.168.X.X/24 LocalNetwork Ethernet PYRH.......O admin
217.133.X.X/32 Internet-vdsl Serial ..RH......DO 213.205.X.X ppp
127.0.0.1/32 loop Internal ...H......DO kernel

Chiaramente col mio setup non ci sarà sessione PPPoE sul technicolor ma solo la parte Voice (VLAN 935, su 10.138.0.0/22) e LAN (192.168.1.0/24).

malatodihardware
10-01-2017, 19:34
A parte la configurazione del pfSense, non mi è chiaro come vuoi far "rientrare" la VLAN nel technicolor: non avendo porta WAN ma solo VDSL, devi per forza usare le LAN, ma queste non credo accettino traffico tagged 935 che si aspetta di ricevere via VDSL..

Wolf_666
10-01-2017, 19:45
A parte la configurazione del pfSense, non mi è chiaro come vuoi far "rientrare" la VLAN nel technicolor: non avendo porta WAN ma solo VDSL, devi per forza usare le LAN, ma queste non credo accettino traffico tagged 935 che si aspetta di ricevere via VDSL..

Si, dopo che ottengo i privilegi admin sul techicolor gli cambio la porta 1 da untagged a trunk con questo comando telnet:

eth bridge vlan ifadd brname=bridge name=Voice intf=ethport1 untagged=disabled

Un utente è poi riuscito collegando ad un router openwrt, con un bridge:http://www.hwupgrade.it/forum/showpost.php?p=44360647&postcount=12700

Io vorrei evitare e preferirei un altro metodo, instradando....se ha senso.

malatodihardware
06-08-2017, 17:14
Yes!

Inviato dal mio Nexus 5X utilizzando Tapatalk

lucfiz
01-11-2018, 10:06
Ciao a tutti, vorrei installare pfsense su un mini pc dual lan (da acquistare appositamente) da collegare allo hub fibra tim per la mia rete domestica interamente clabata. Avete qualche dritta da darmi ? Grazie

lucfiz
01-11-2018, 11:35
di che tipo di dritta hai bisogno? quale sarebbe il mini pc?
grazie pigr8 per la tua risposta.
Come minipc pensavo a Braswell Celeron Quad Core Mini PC:

Graphics Card Type: Intel HD Graphic
Brand Name: HAMSING
Processor Main Frequency: 1.6GHz Turbo 2.08GHz
Use: Commercial/Industrial
Memory: DDR3L Max. 8GB
Processor Brand:Intel
Processor Model:Intel Braswell
Model Number:HS-N3150
CPU: Intel Celeron N3150
Chipset: Intel Chipset
SATA : 1*MSATA3.0 port,support 6Gb/s
1*Mini PCIE; 1*MSATA
RAM: 4G
Hard Drive Capacity: 64G
Video:2*HDMI
Network: 2*Lan(1000M), 1*300M Wifi
USB: 4*usb3.0 + 2*usb2.0
AUDIO-OUT AUDIO-MIC.

lucfiz
01-11-2018, 18:00
si ne ho visti parecchi di questi minipc con su pfsense, è un classico installarlo su queste macchine :) quanto ti costa?

su amazon €160, é uno dei pochi che hanno la doppia lan. Preferisco la doppia lan giá presente per evitare problemi di configurazione. La dritta che chiedo é un consiglio su quale minipc scegliere, magari uno meno costoso.

ginogino65
01-11-2018, 19:25
Come minipc pensavo a Braswell Celeron Quad Core Mini PC:


Ho visto, però, che il chip della rete è un realtek, che da quello che so è sconsigliatissimo con pfsense.

lucfiz
01-11-2018, 19:36
Ho visto, però, che il chip della rete è un realtek, che da quello che so è sconsigliatissimo con pfsense.
acth, grazie.
qualche consiglio?

lucfiz
01-11-2018, 19:45
[QUOTE=Pigr8;45855937]dipende sempre cosa cosa vuoi fargli fare: se usare vpn criptate ......
Quant o mi hai scritto mi è utilissimo, grazie. No, guarda, oltre windos non sò andare e alla mia veneranda età rimettermi a lambiccare la cervice :muro: per imparare questo o que s.o. .....nèèèè :) :) É che tempo fa il mio computer è stato infettato con perdita di dati nonostante avessi un buon firewall.. Da qui all'aggiunta di un firewall hardware il passo è breve.
Ho già provato con ipcop montato un un vecchio portatile (che non ho più purtroppo) e 2a la con usb-eth ... c'ho ancora il mal di pancia :) Per la VPN ho risolto a monte attraverso l'abbonamento ad una delle migliori VPN sul mercato.:D

lucfiz
02-11-2018, 17:40
sulla realtek direi che non ci sono più problemi da quando hanno aggiornato alla nuova base di freebsd, certo intel è sicuramente una scelta più saggia ma non trovi schede intel su minipc di fascia economica....


mmmm non ho pensato di cercare un minipc con intel, dovrò fare qualche ricerca. Grazie per la precisazione :cincin:
Per quanto riguarda la mia rete casalinga l'idea è; hub fibra => mini pc con pfsense => prese rj45. Il wifi è completamente disabilitato e gli smartphone possono entrare in internet solo in connessione dati.

Ritornando all'indicazione che mi hai dato circa un mini pc con 1 porta lan più uno switch vlan. Sapevo che erano necessarie due schede lan, anche usb-eth, per far funzionare pfsense; uno con funzione "in" mentre l'altra "out". Punto di domanda: lo switch vlan, quindi, fungerebbe da lan out?

Poi ogni pc di casa, ciascuno dotato di firewall software, si collega a internet attraverso la VPN. Penso che così dovrei avere un buon margine di sicurezza: oltre non saprei andare per la mia scarsa conoscenza in informatica.

ginogino65
04-11-2018, 08:29
sulla realtek direi che non ci sono più problemi da quando hanno aggiornato alla nuova base di freebsd, certo intel è sicuramente una scelta più saggia ma non trovi schede intel su minipc di fascia economica.

Aggiornato quando, perchè le ultime info (sul forum netgate) sui chip realtek sono di maggio 2018 e sconsigliano sempre come la peste realtek.

Gioioso
26-01-2019, 10:44
Buongiorno cari volevo chiedervi un consiglio volendo creare un router firewall da inserire in una LAN domestica max dieci client e attivando un server vpn openvpn con sistema di autenticazione tramite certificato tra lo smartphone e il mio router di quale hardware mi dovrei dotare?
L'idea è quella di mettere in bridge il mio attuale router Linksys WAG200G (che funzionerà solo da modem) e a cascata collegare il router firewall con pfsense. Le Board Alix so che sono uscite fuori produzione e comunque non supportano le nuove versione di Pfsense che hanno una architettura per CPU a 64bit, potreste suggerirmi marca e modello delle Board per creare un applliance con Pfsense delle dimensioni di un comune router commerciale?
Di quali componenti avrei bisogno?
A spanne penso a questi componenti
1)scheda madre quale? Marca e modello
2)scheda di rete WIFI
3)case
4) Compact Flash marca e modello (caratteristiche)
cosa ho dimenticato?
Grazie mille
Buona giornata


Inviato dal mio ONEPLUS A3003 utilizzando Tapatalk

Gioioso
26-01-2019, 17:05
@Pigr8

grazie mille per il tuo consiglio.
L'idea era di assemblare personalmente un appliance compatto (delle dimensioni di un classico router che si acquista nelle catene commerciali) evitando di acquistare qualcosa di già pronto. Ad esempio acquistare una Board tipo questa Alix
http://www.dnet-distribution.it/opencart/index.php?route=product/product&keyword=alix&category_id=0&product_id=388
e poi configurarla dopo aver caricato la versione adeguata di Pfsense.
L'unica cosa che le Board Alix non supportano le ultime versioni di Pfsense che sono sviluppate per CPU x64.
Infatti volevo capire ci sono Board aggiornate rispetto alle Alix e Via (che sono ormai obsolete) che supportano le ultime versioni di Pfsense per CPU x64?
Grazie mille
Buona serata
Gioioso

Inviato dal mio ONEPLUS A3003 utilizzando Tapatalk

Gioioso
26-01-2019, 18:46
Grazie mille darò uno sguardo
Ciao

Inviato dal mio ONEPLUS A3003 utilizzando Tapatalk

Gioioso
27-01-2019, 09:11
@Pigr8



se vai su miniserver.it è il rivendutore ufficiale per l'Italia, ha anche tante altre board dedicate ai firewall

Caro Pigr8,

ho dato uno sguardo a miniserver. it
https://www.miniserver.it/firewall/apu-2-nic-wifi.html
ma si tratta di dispositivi già assemblati o non riesco io a trovare sul sito i singoli componenti da assemblare (la piastra Apu; il case, quali altri componenti servono? )
Potresti gentilmente indicarmi sul sito di miniserver.it i vari riferimenti a tutti i componenti hardware che compongono il router firewall (compatto) su cui installare l'ultima versione di PFSense ?

Perché forse sbaglio nel cercare su miniserver. it i vari componenti che compongono l'appliance.
Grazie mille
Buona Domenica

Inviato dal mio ONEPLUS A3003 utilizzando Tapatalk

Gioioso
27-01-2019, 13:00
su miniserver ti danno la piastra il case l'alimentatore e il disco, non era quello che volevi tu?



se vuoi solo la piastra su wispmax vendono la apu2d2 solo piastra, poi compri il resto tu...



https://www.wispmax.com/pc-engines-apu2b2-system-board.html



..ovvero case alimentatore e disco :DSi l'idea era di comprare ogni singolo componente hardware e poi assemblarlo io, così imparo cose nuove.
Su miniserver. it c'è già il prodotto finito( già assemblato) quello che io spero di riuscire a creare :) per cui grazie di avermi indicato l'altro sito dove c'è la piastra "sfusa " :) poi compro gli altri pezzi e li "cucio" tutti insieme come un vero artigiano digitale :)
Ce la posso fare.
Grazie per la tua disponibilità
Un caro saluto
Buona domenica
Gioioso

Inviato dal mio ONEPLUS A3003 utilizzando Tapatalk

Gioioso
27-01-2019, 17:34
@Pigr8

;)

Inviato dal mio ONEPLUS A3003 utilizzando Tapatalk

lucfiz
09-10-2019, 08:55
Buongiorno a tutti, ho bisogno di un aiuto per installare pfsense su un mini pc; premetto che non sono pratico di hardware.

Il mini pc è un Qtom Q190G4 con 4 porte LAN, processore Intel Celeron j1900v(Quad-Nucleo s2M Cache, 2GHz), hd 64Gb mSATA SSD, Ram 2Gb (1Rx8 DDR3 PC3L-10600S).
Sono intenzionato a cambiare il banco ram con uno da 8Gb solo che tutti quelli che sono riuscito a trovare sono di dimensioni più grandi.

Il banco da 2ram ha come dimensioni 6,8x3 ed entra alla perfezione nello slot del minipc mentre il più piccolo che sono riuscito a trovare da 8Gb misura 7,2x3 (Vedi ad esempio su Amazon Crucial CT102464BF160b da 8Gb DDR3L) e quindi non entrerà nello slot di dimensioni più piccole.

Qualcuno può aiutarmi a trovare una soluzione?

Giux-900
09-10-2019, 12:58
Buongiorno a tutti, ho bisogno di un aiuto per installare pfsense su un mini pc; premetto che non sono pratico di hardware.

Il mini pc è un Qtom Q190G4 con 4 porte LAN, processore Intel Celeron j1900v(Quad-Nucleo s2M Cache, 2GHz), hd 64Gb mSATA SSD, Ram 2Gb (1Rx8 DDR3 PC3L-10600S).
Sono intenzionato a cambiare il banco ram con uno da 8Gb solo che tutti quelli che sono riuscito a trovare sono di dimensioni più grandi.

Il banco da 2ram ha come dimensioni 6,8x3 ed entra alla perfezione nello slot del minipc mentre il più piccolo che sono riuscito a trovare da 8Gb misura 7,2x3 (Vedi ad esempio su Amazon Crucial CT102464BF160b da 8Gb DDR3L) e quindi non entrerà nello slot di dimensioni più piccole.

Qualcuno può aiutarmi a trovare una soluzione?

strano non sono so-dimm ? ma hai errori sul banco di ram ? io ho pfsense su un pc con 2GB e va più che bene..

Dovresti chiedere nella sezione hardware dedicata alle ram, magari qualcuno sa a riguardo di formati più piccoli di so-dimm

lucfiz
09-10-2019, 13:22
Grazie Giux-900 per la risposta e sopratutto per la tua informazione sui 2Gb. Visto quanto mi scrivi, quindi, non starò li a impazzire a cercare gli 8Gb cui ero interessato solo per aver letto un post nella ricerca google "Istalling pfsense on Q190G4" in cui consigliavano gli 8Gb. Solo una domanda se posso, la versione di pfsense, dato che parliamo di 2Gb, è quella da 32bit e non da 64bit, giusto?
Grazie nuovamente

Giux-900
09-10-2019, 23:24
Grazie Giux-900 per la risposta e sopratutto per la tua informazione sui 2Gb. Visto quanto mi scrivi, quindi, non starò li a impazzire a cercare gli 8Gb cui ero interessato solo per aver letto un post nella ricerca google "Istalling pfsense on Q190G4" in cui consigliavano gli 8Gb. Solo una domanda se posso, la versione di pfsense, dato che parliamo di 2Gb, è quella da 32bit e non da 64bit, giusto?
Grazie nuovamente

da intel leggo che la cpu supporta set 64bit, quindi puoi usare la versione a 64bit.

p.s. In uso normale mi occupa circa il 10% della ram (2GB)..

lucfiz
10-10-2019, 08:39
Giux-900, ottimo, seguo il tuo consiglio :)
Grazie per l'aiuto che mi hai dato.

lucas72
29-10-2019, 21:12
Ciao a tutti.
Ho deciso di iniziare a studiare il funzionamento di pfsense.
Ho installato l'ISO pfSense-CE-2.4.4-RELEASE-p3-amd64 su Vmware workstation che a sua volta è installata in windows 10 64bit su un notebook hp piuttosto datato.

questa la configurazione in VMware:

https://funkyimg.com/p/2YgmC.jpg (https://funkyimg.com/view/2YgmC)

Il notebook è al momento collegato in wifi al mio router casalingo.
A fine installazione mi ritrovo nel prompt di pfsense che ha attribuito alla connessione wireless la porta WAN con IP 192.168.2.112 (assegnato dal dhcp del router) e come LAN ho un IP, diciamo, del tipo 192.168.10.1/24

tutto ok

Apro il browser del mio notebook e inserisco l'indirizzo IP della LAN e mi ritrovo alla pagina di login di pfsense e quindi nella dashborad.
Il problema è che dopo un po' non riesco più a navigare nell pannello e mi butta fuori in pratica.
Mi sono accorto che cambiando IP della lan (ad esempio dal precedente 192.168.10.1 a un 192.168.20.1) riesco ad entrare nella dashboard di nuovo ma poi mi ricapita lo stesso problema e ridevo ricambiare l'iP per poter rientrare.
Non ho capito quale possa essere il problema?
Potete aiutarmi?
Grazie

ps: poi non ho capito perché non riesco in alcun modo ad entrare nella dashborad quando il notebook è collegato in tethering al mio cell in tethering (nemmeno cambiando IP lan), ottenendo quindi l'iP della porta WAN da quest'ultimo.

Giux-900
30-10-2019, 12:21
la wide area network wan deve corrispondere all'indirizzo ip pubblico, se connetti pfsense come un normale host della lan tramite dhcp del router sarai con doppio nat.
Inoltre il consiglio è di dedicare un pc con due schede di rete, la scheda 1 con wan dal router settato solo come modem, la scheda 2 come interfaccia lan.

Non mi è chiara la topologia della tua configurazione, stai usando due notebook o sei sempre nello stesso notebook con vmware ?

lucas72
30-10-2019, 15:13
la wide area network wan deve corrispondere all'indirizzo ip pubblico, se connetti pfsense come un normale host della lan tramite dhcp del router sarai con doppio nat.
Inoltre il consiglio è di dedicare un pc con due schede di rete, la scheda 1 con wan dal router settato solo come modem, la scheda 2 come interfaccia lan.

Non mi è chiara la topologia della tua configurazione, stai usando due notebook o sei sempre nello stesso notebook con vmware ?

Un solo notebook con Vmware.
La wan non ha un'indirizzo pubblico nel mio caso, ottiene l'ip dal mio router/AP casalingo per poi creare la LAN con la propria subnet e dhcp.

Ho adottato la stessa tipologia anche in altre occasioni con un router che otteneva un ip da un'altra rete dalla porta wan per poi "isolare" la mia LAN interna con differente subnet. In pratica ora vorrei replicare la stessa cosa, ma utilizzando PFsense in VM come router/firewall (vedi sopra per altre informazioni).

Il problema non è questo e in verità sono due i problemi.
Il primo è che pur ottenendo regolarmente l'IP dal router in collegamento wifi
(attribuito in pfsense alla porta WAN) e impostato l'indirizzo della rete LAN
come puoi vedere dall'immagine sotto:

https://funkyimg.com/p/2YhKx.jpg (https://funkyimg.com/view/2YhKx)

una volta avviato il browser dallo stesso notebook , faccio il login ed entro regolarmetne nella pagina di impostazioni di pfsense.
Solo è che dopo un po' vengo "buttato fuori", la pagina cioè non risulta più raggiungibile. Cambiando l'indirizzo LAN e riprovando riesco di nuovo a loggarmi per essere però sempre e inesorabilmente ributtato fuori dopo un po'.

Il secondo problema è che quando lo collego in wifi al mio cell in tethering (quindi Ip wan fornito dal cellulare e non dal router/ap casalingo)non riesco in alcun modo a loggarmi nella dashboard di pfsense.

In poche parole ho fatto la stessa cosa dell'utente S.Faisal in questa discussione:

https://community.spiceworks.com/topic/2191969-deploy-pfsense-on-my-home-desktop

e questo invece un diagramma di quello che vorrei realizzare

https://funkyimg.com/p/2YhPb.jpg (https://funkyimg.com/view/2YhPb)

Ci sto sbattendo la testa.
Spero che tu possa darmi qualche suggerimento. Grazie ancora

xm4rcell0x
12-11-2019, 22:57
Salve a tutti, ho scoperto il mondo pfSense da quasi un anno, ma non sapevo di questo thread ufficiale qui.
Buono a sapersi 😊
Ultimamente sto "combattendo" con due cose su pfSense
DNSBL e DNS over TLS
DNSoTLS l'ho configurato e impostato le floating rule e la regola di port forwarding sulla porta 53 in modo che tutto il traffico venga reindirizzato sul firewall .
Tuttavia con packet capture trovo ancora qualcosa che tenta di usare la 53 invece che la 853 (non so se ci riesce tenendo conto che ho la floating che blocca la 53).
Resto tranquillo o devo controllare altro?

Per quanto riguarda DNSBL, nonostante abbia settato i custom feed, vedo ancora gli ads 😅 (uso pfblockerng-devel)
Uso queste liste qui:
https://raw.githubusercontent.com/hoshsadiq/adblock-nocoin-list/master/hosts.txt
https://mirror1.malwaredomains.com/files/justdomains
https://dbl.oisd.nl/
https://www.squidblacklist.org/downloads/dg-ads.acl
https://www.squidblacklist.org/downloads/dg-malicious.acl
https://raw.githubusercontent.com/StevenBlack/hosts/master/hosts

Grazie 😊

xm4rcell0x
14-11-2019, 13:48
Mi autorispondo, potrebbe essere utile per qualcuno.
Con DNSoTLS viene abilitato il forwarding mode da parte del resolver, quindi DNSBL non va come dovrebbe, perciò vedo ancora gli ads.

xm4rcell0x
14-11-2019, 22:12
Grazie 😊
Quindi hai un Pi che filtra gli ads.
Ad oggi è l'unico modo per avere entrambe le cose?

xm4rcell0x
15-11-2019, 14:58
Piccolo aggiornamento, sono riuscito a fare andare DNSBL su pfSense
Avevo erroneamente impostato un VIP non facente parte dell' RFC1918.
Ora funziona, insieme a DoT.
@pigr8 ti consiglio di dare un' occhiata a come è implementato "pihole" su pfSense.
(Consiglio di usare la developer edition)

xm4rcell0x
15-11-2019, 20:05
In pfblockerng-devel c'è la sottosezione feeds, dove ci sono tutte le black list possibili ed immaginabili, sia per IPv4 che IPv6 fino a quelle per il filtraggio DNS.
È di una semplicità disarmante, non devi nemmeno girare i forum per cercare i link .
A seconda della lista che utilizzi può esserci bisogno di mettere in whitelist qualche dominio.
Se può servire posso postare qualche screen.

lucas72
06-12-2019, 18:41
Ciao ragazzi, sono nuovo di pfsense.

Ho appena installato Pfsense CE-2.4.4 su un vecchio PC.
L'installazione è andata apparentemente liscia e riesco ad accedere alla GUI.

Come WAN ho collegato un adapter usb-Rj45 (amazon basic) che prende direttamente l'indirizzo WAN dal mio router che a sua volta è collegato a un modem router Vodafone. Per il momento ho preferito fare cosi, prima di collegare Pfsense direttamente al router principale. Giusto per fare delle prove in sicurezza e senza al momento fare cambiamenti.

La porta Ethernet del PC di cui sopra fa da porta LAN (ip rete interna 192.168.5.1), ho collegato ad essa un netbook giusto per gestire il firewall dalla GUI e navigare. Il problema è che il netbook non riesce ad accedere ad internet (icona rete con segno giallo). Dallo strumento ping di pfsense in Diagnostics riesco a pingare Google.com. Non ho capito quale sia il problema.
Potete aiutarmi?
Grazie

lucas72
07-12-2019, 09:12
posta le regole del firewall, nat outbound

intendi queste?

https://funkyimg.com/p/2ZjfS.jpg (https://funkyimg.com/view/2ZjfS)

https://funkyimg.com/p/2ZjfT.jpg (https://funkyimg.com/view/2ZjfT)

https://funkyimg.com/p/2ZjfU.jpg (https://funkyimg.com/view/2ZjfU)

https://funkyimg.com/p/2ZjfV.jpg (https://funkyimg.com/view/2ZjfV)

Per la cronica. Stamattina ho avviato di nuovo pfsense e il netbook collegato alla LAN aveva l'icona attiva del collegamento ad internet.
Ho fatto un ping dalla finestra dei comandi dal netbook all'indirizzo IP di google (lo stesso usato in pfsense) con successo. Non riesco però ancora a navigare. Grazie

malatodihardware
07-12-2019, 09:38
A parte quella regola any any sulla WAN che ti sconsiglio di attivare quando sarai con la configurazione definitiva (per ora per fare delle prove va bene), il resto mi sembra ok.
Hai verificato che non sia un problema di DNS?

Inviato dal mio MI 8 utilizzando Tapatalk

lucas72
07-12-2019, 09:57
A parte quella regola any any sulla WAN che ti sconsiglio di attivare quando sarai con la configurazione definitiva (per ora per fare delle prove va bene), il resto mi sembra ok.
Hai verificato che non sia un problema di DNS?

Inviato dal mio MI 8 utilizzando Tapatalk


Ho inserito manualmente i dns di google o openDNs direttamente nella configurazione IPV4 della scheda di rete del netbook. Non cambia niente.
Grazie

Aggiornamento: Ho notato che all'avvio l'icona di rete del netbook appare sempre con il segno giallo di "collegamento internet" assente. Se poi lancio un ping il collegamento internent si stabilisce ("accesso ad internet").

malatodihardware
07-12-2019, 10:29
Sinceramente non e' mai stata molto affidabile l'indicazione di Windows, quindi non mi baserei su quella

lucas72
07-12-2019, 10:56
Sinceramente non e' mai stata molto affidabile l'indicazione di Windows, quindi non mi baserei su quella

Eh si, mi sa che hai ragione:)

Sto comunque al punto di partenza.

Aggiornamento: Comuqnue pare sia proprio un problema di DNS.
Ho inserito gli indirizzi IP di due siti nella barra degli indirizzi del browser del netbook e vengono caricati e visualizzati regolarmente.
Il problema è che adesso non so dove mettere le mani per risolvere.

Aggiornamento 2: Azz! Ho risolto! Ho disabilitato il DNS resolver e abilitato il DNS Forwarder. Non ho capito perché e se è la situazione ottimale ora?
Qualcuno può darmi delle delucidazioni?

xm4rcell0x
07-12-2019, 13:18
Non la so spiegare questa
Io uso il resolver e non ho problemi

lucas72
08-12-2019, 15:51
Voi quale tool usate per monitorare il traffico internet? Intendo sia il traffico prodotto dai singoli host che gli ip che contattano.
Grazie

xm4rcell0x
08-12-2019, 17:01
Ntopng secondo me é uno dei migliori

lucas72
08-12-2019, 18:07
Ntopng secondo me é uno dei migliori

Appena possibile lo provo. Grazie

xm4rcell0x
17-01-2020, 20:32
Buonasera a tutti, vorrei un parere sulle regole del firewall che ho creato per varie interfacce
Ho impostato 3 VLAN e fatto in modo che quella Guest e IoT escano solo su internet senza poter interagire con nessun dispositivo LAN o della VLAN camera.
Per la VLAN camera ho pensato di bloccare tutto tranne il traffico verso il server Blueiris .
Voi come le avreste fatte queste regole? Cosa cambiereste?
Secondo voi il server Blueiris faccio bene a farlo stare nella LAN o sarebbe meglio spostarlo nella VLAN Camera?
Grazie mille in anticipohttps://uploads.tapatalk-cdn.com/20200117/1e823070385f1ba8abb9e2f1989758b9.jpghttps://uploads.tapatalk-cdn.com/20200117/c68829c34252e320504399c2b960f391.jpghttps://uploads.tapatalk-cdn.com/20200117/55e57827df35f1b43d4cdc7cf6403ca1.jpg

Mamukata
20-01-2020, 11:15
Qualcuno ha mai usato e sa configurare TINC con Pfsense come VPN?
Avrei bisogno di uno scambio di idee.

Grazie

xm4rcell0x
24-06-2020, 11:32
Qualcuno usa con buoni risultati l'LTE come failover?
Se si, come si comporta quando il gateway a più alta priorità, dapprima down, ritorna up?
Switcha in automatico sul prioritario e resetta la state table o continuano ad esserci connessioni sul 4g?
Grazie 😊

EDIT: dopo qualche giorno che ho configurato il tutto devo dire che funziona senza intoppi.

ninoo
31-08-2020, 20:24
Ciao a tutti
avrei bisogno di un vostro supporto .Sto cercando di configurare openvpn come client su pfsense di una mia rete per poter avere un ip pubblico sulla wan 4g natata.
C'è qualcuno che mi puo' aiutare ?La rete è molto complicata ma si puo' semplificare come dall'immagine allegata .Riesco a collegarmi alla vpn esterna ma mi ritrovo il gateway offline e non riesco piu' a navigare in internet .

apez84
24-11-2020, 20:58
Ho acquistato un qotom j1900 e ci ho installato un pfsense , sto cercando disperatamente di collegarlo a una ont Tiscali fibra senza successo. C'è qualcuno che ha avuto esperienza?
Grazie in anticipo

Allego foto della Wan collegata alla ont e configurata come ppoe

Inviato dal mio M2003J15SC utilizzando Tapatalk

xm4rcell0x
26-11-2020, 00:03
Non ho esperienza diretta con le ftth e gli ont, però il funzionamento dovrebbe essere uguale a quello di una fttc, cioè il modem deve essere trasparente (modalità bridge) e far fare autenticazione a pfSense, compresa la gestione VLAN.
Qui in Italia si usa prevalentemente pppoe.
Tu dove ti blocchi?

G30
29-01-2021, 06:37
Ragazzi sono abbastanza novizio con pfsense. Ho dato un'occhiata ai link in prima pagina ma non ci sono molte risorse.
Avete da consigliare qualche guida ben fatta?
Io vorrei realizzare un router/firewall dual wan con load balancing ed imparare a controllare il traffico di tutti i miei client di rete che tra telecamere, allarme, domotica e tutto il resto superano i 50 client!
Grazie mille

xm4rcell0x
29-01-2021, 08:55
Su YouTube trovi i video di Lawrence, Matt's homelab che bene o male coprono un po' tutti gli argomenti.
Io ho un setup simile al tuo, dual Wan ma in failover. Oltre 50 dispositivi, 3 o 4 VLAN e niente, grazie a questi che ho citato, reddit e il forum di netgate sono riuscito a fare tutto e pure di più .

Giux-900
29-01-2021, 11:03
che hardware e schede di rete usate su pfsense ?

Mamukata
29-01-2021, 16:12
visto che il post è tornato in auge... nessuno che usa TINC vpn ?

grazie

Giux-900 pfsense digerisce di ogni, io nel mio caso uso un Intel NUC con la sua scheda di rete onboard, sempre Intel e una scheda di rete USB, dall'altra parte lo faccio girare in virtuale dentro al NAS Qnap

xm4rcell0x
30-01-2021, 09:38
No, io personalmente non uso VPN . Hai dubbi sulla configurazione su pfSense?

-giux io uso schede Intel , ho due gigabit integrate sulla scheda madre e una scheda sempre Intel, sfp+ presa usata su eBay (attenzione alle schede cinesi contraffatte) .

Reload 371
15-02-2021, 11:49
Ciao ragazzi, ho fatto la migrazione da fttc a ftth vodafone, dopo una serie di mancati appuntamenti sono riuscito ad avere l'ONT (ZTE).

Sfortunatamente non riesco a far funzionare il tutto:
L'ONT è connesso alla fibra (e presumo sia funzionante, visto che il rispettivo led è acceso), su pfsense ho impostato la VLAN 1036 e la connessione WAN con PPPoE, scegliendo come interfaccia la VLAN precedentemente creata e inserendo le credenziali "vodafonedsl".
Con lo stesso setup l'fttc funzionava a meraviglia, ora invece la WAN resta sempre down e non riesce a connettersi.

Guardando il log ho una raffica di:
PPPoE connection timeout after 9 seconds
Link: DOWN event
LCP: Down event

Ho ricontrollato più volte tutto e non riesco a capirne il perchè.
Potreste darmi una mano?
Grazie mille :)

G30
15-02-2021, 15:03
Ciao ragazzi, ho fatto la migrazione da fttc a ftth vodafone, dopo una serie di mancati appuntamenti sono riuscito ad avere l'ONT (ZTE).

Sfortunatamente non riesco a far funzionare il tutto:
L'ONT è connesso alla fibra (e presumo sia funzionante, visto che il rispettivo led è acceso), su pfsense ho impostato la VLAN 1036 e la connessione WAN con PPPoE, scegliendo come interfaccia la VLAN precedentemente creata e inserendo le credenziali "vodafonedsl".
Con lo stesso setup l'fttc funzionava a meraviglia, ora invece la WAN resta sempre down e non riesce a connettersi.

Guardando il log ho una raffica di:
PPPoE connection timeout after 9 seconds
Link: DOWN event
LCP: Down event

Ho ricontrollato più volte tutto e non riesco a capirne il perchè.
Potreste darmi una mano?
Grazie mille :)

Ti faccio una domanda idiota forse:
Hai provato a connetterti escludendo pfsense?

Mamukata
15-02-2021, 15:04
Le credenziali Ftth sono univoche... le trovi nella tua pagina del gestore.
Ftth non è come fttc

Inviato dal mio SM-G965F utilizzando Tapatalk

Reload 371
15-02-2021, 15:16
@G30
Poco fa ho provato a configurare un technicolor tg789vac con firmware modificato, e anche mettendo vlan e credenziali non riesce ad autenticarsi

@Mamukata
Stavo utilizzando le credenziali generiche che specifica vodafone per l'ftth (https://www.vodafone.it/portal/Privati/Supporto/Assistenza-dispositivi/Modem-Alternativo) , non credevo esistessero credenziali specifiche, vedo se riesco a recuperarle dall'area "fai da te".

Vi ringrazio :)

Reload 371
15-02-2021, 16:06
Allora, nell'area "fai da te" sono riportate le stesse credenziali generiche ("vodafoneadsl" sia per username che per password), quindi credo siano corrette.
Ho provato a collegare il portatile direttamente all'ont, e impostando la vlan 1036 e la connessione pppoe da windows non funziona niente comunque.
Ho provato anche ad accedere all'ont, ma purtroppo è stato "blindato" da open fiber e riesco ad accedere solo nella modalità user dove non c'è praticamente niente.
O sto sbagliando qualcosa, o c'è un problema con l'ont... cosa potrei fare? :mc:

xm4rcell0x
19-02-2021, 13:01
2.5. CE disponibile
Per ora stanno uscendo un po' di bug lato packages (Avahi e HAproxy in primis), e lato VPN (IPsec ) oltre DNS resolver.
Consiglierei di aspettare almeno una versione di ogni plugin aggiornata e magari la risoluzione dei bug su DNS resolver e IPsec