Το προφίλ μας στο Google Plus
60

deltaCast s01e07 | pfSense FTW

Το pfSense είναι ένα θαυμάσιο λειτουργικό σύστημα για τη δημιουργία πανίσχυρων και ικανότατων routers, που διανέμεται δωρεάν. Πέρα από την απόλυτη ασφάλεια και την τεράστια ευελιξία, παρέχει έξτρα δυνατότητες που μόνο τα πανάκριβα routers διαθέτουν -- και δεν συζητάμε καν γι' αυτά που δίνουν οι ISPs!

Στο 7ο επεισόδιο της 1ης σεζόν του deltaCast παρουσιάζουμε το pfSense και τις δυνατότητές του, ενώ δείχνουμε την εγκατάσταση, τη ρύθμιση και τη μετέπειτα χρήση του στα πλαίσια ενός πλήρους, εικονικού δικτύου.

Σημείωση: Τις τρεις διαφορετικές εκδοχές του επεισοδίου (HD, SD, Mobile) μπορείτε να τις κατεβάσετε από εδώ.

Θέλετε ειδοποιήσεις στο email σας κάθε φορά που βγαίνει νέο deltaCast; Γραφτείτε στη σχετική λίστα.

Σπόνσορες του deltaCast είστε εσείς, οι συνδρομητές του περιοδικού deltaHacker. Χωρίς τη στήριξή σας δεν θα μπορούσαμε να φτιάχνουμε αυτά τα επεισόδια. Σας ευχαριστούμε!

===== Σημειώσεις επεισοδίου =====

  • Για το pfSense μπορείτε να μάθετε περισσότερα κι από τον επίσημο δικτυακό τόπο.
  • Για να το κατεβάσετε επισκεφτείτε τη σελίδα με τα mirrors.
  • To pfSense βασίζεται στο FreeBSD και στο pf firewall, το οποίο ξεκίνησε από το OpenBSD.
  • Μάθετε το pfSense και δαμάστε το διαβάζοντας τα άρθρα που φιλοξενούμε στα τεύχη 001 και 002 του deltaHacker. Οι εισαγωγές των δύο άρθρων είναι εδώ και λίγο παραπέρα.
  • Για το πώς θα στήσετε τον δικό σας OpenVPN server εκτός pfSense και σε περιβάλλον Linux, μπορείτε να διαβάσετε στο σχετικό άρθρο του deltaHacker 007. Επίσης, σε αυτό το άρθρο δείχνουμε, αναλυτικά και βήμα προς βήμα, πώς στήνεται το OpenVPN σε περιβάλλον FreeBSD.
  • Σε περίπτωση που οι γνώσεις σας σε βασικά θέματα δικτύωσης χρειάζονται λίγο φρεσκάρισμα, μπορείτε να διαβάσετε τα εισαγωγικά άρθρα που δημοσιεύουμε στα τεύχη 004 (βλ. εισαγωγή) και 005 (βλ. εισαγωγή) του deltaHacker. Αναλυτικά για το IP addressing και το Subnetting θα διαβάσετε στο σχετικό άρθρο που δημοσιεύεται εδώ.

Μοιράσου το:

Google DiGG ReddIt LinkedIn Microsoft Live del.icio.us StumbleUpon RSS PDF Print

60 Responses to “deltaCast s01e07 | pfSense FTW”

  1. nko | 14/03/2013 at 05:27

    Πολύ καλή παρουσίαση και συγχαρητήρια. Το pfsense είναι καταπλητικό firewall/router ακόμα και για εταιρικά δίκτυα. Με ένα καλό hardware μπορούμε να έχουμε φοβερή ασφάλεια, αξιοπιστία και ταχύτητα.
    Ένα μικρό λαθάκι μόνο, για το load balancing σε WAN ή fail over το κάνουμε απο το System -> Routing -> Default Gateways όπου ρυθμίζουμε τα wan interfaces που έχουμε. Από το Load balancing Μπορούμε να έχουμε 2η εγκατάσταση του pfsense για failover σε περίπτωση που πέσει ο ένας, και χρησιμοποιώντας το rsync μπορούμε να έχουμε και συγχρονισμό μεταξύ των μηχανών έτσι ώστε να μην κάνουμε τις ίδιες ρυθμίσεις και στα δύο κάθε φορά, όπως επίσης να συγχρονίζουμε και την cache του proxy.

    Καλή συνέχεια και πάλι συγχαρητήρια.

    • subZraw | 14/03/2013 at 07:27

      Major γκάφα κι όχι μικρό λαθάκι, όπως πολύ ευγενικά το χαρακτηρίζεις :S Σ' ευχαριστώ για την επισήμανση! Και μιας και το ανέφερες, έχεις εμπειρία από εγκαταστάσεις του pfSense σε εταιρικά περιβάλλοντα; Ποια είναι η μεγαλύτερη εγκατάσταση που γνωρίζεις; Αναφέρομαι στο πλήθος των μηχανημάτων πίσω από το firewall...

      • nko | 14/03/2013 at 14:11

        Βασικός δεν είναι γκάφα γιατί εαν στήσεις 2-3 κουτιά με pfsense μπορείς να συνδιάσεις ταυτόχρονα το multiwan με τον Load Balancer - μόνο έτσι θα δουλέψει σωστά, όπως σε κάθε pfsense εγκατάσταση έχεις και το WAN σου. Σε ένα πιο μεγάλο περιβάλλον το load balancing σε WAN έχει σημασία γιατί θα χρησιμοποιήσεις και τον Load Balancer μεταξύ των μηχανημάτων (βασικός ένα καλό wan balancing είναι πολύ καλός συνδιασμός του gateway - load balancer και των rules που έχεις στο firewall). Θα μπορούσες να στήσεις 3 VM για να δοκιμάσεις ακόμα καλύτερα μία καλή λύση πάνω σε αυτό (αρκετά πολύπλοκο αλλά αξιόπιστο).
        Σε εταιρικά περιβάλλοντα λόγω δουλειάς χρησιμοποιώ αρκετά Exchange Server / Sharepoint μιας και είναι η κατά κόρον επιλογή μία μεγάλης εταιρίας. Μέχρι προσφάτως χρησιμοποιούσα αρκετά ISA/TMG Server (καταργήθηκε δυστηχώς χωρίς να αναμένονται νέες εκδόσεις και υποστήριξη εαν δεν κάνω λάθος μέχρι τέλος 2015) και αυτό πιο πολύ γιατί είναι Layer 7 Firewall και παίζει άψογα με τις υπηρεσίες της M$ - κάνοντας publishing υπηρεσίες του exchange, κλπ . Από εκεί μπορείς να έχεις και ένα περιμετρικό Firewall όπως Checkpoint, Cisco, pfsense μπροστά απο τον ISA/TMG.
        Παλαιότερα (2004-2005) είχα μία εγκατάσταση με smoothwall express αλλά δεν με ικανοποίησε με την πάροδο του χρόνο και πλέον υπάρχει το pfsense σε ανάλογο σενάριο όπως περιγράφω παραπάνω (excgange, isa, etc) με 100 χρήστες περίπου στο εσωτερικό δίκτυο, αλλά ο αριθμός των συσκεύων αγγίζει τις 250 (όπως σωστά ρωτάς για τον αριθμό των μηχανημάτων) και ο λόγος ότι το 90% των χρηστών έχουν εταιρικό έξυπνο κινητό και ένα 80% φέρνει μαζί του το tablet του και το προσωπικό του έξυπνο κινητό, εκεί γίνεται λίγο χαμός γιατί δεν μπορείς να ελέγξεις τι γίνεται με ακρίβεια (android με malware, iphone - ipad που τρελαίνονται και κάνουν άπειρα requests στον smtp/RPC, κλπ). Για αυτό το λόγο προχώρησα σε αναναίωση του policy βάζοντας certificate στις κινητές συσκευές και απαγορεύοντας κατά ουσία τις προσωπικές συσκευές γιατί δεν γινόταν.
        Τώρα προσανατολίζομαι σε εγκατάσταση εσωτερικού firewall (πάλι pfsense λόγω κόστους αλλά και επειδή είναι πολύ γρήγορος δρομολογητής) για να είναι δυνατή η σωστή αντιστάθμιση στη ασφλάλεια του εσωτερικού κινδύνου (servers).
        Οι υπηρεσίες που υπάρχουν στο pfsense είναι πολύ "μετρημένες", βάζοντας επιπλέον πακέτα μπορείς να έχεις μεγάλο utilization σε επεξεργαστή, δίσκους , μνήμη και να καταρεύσει στο τέλος. Σαν IDS είναι άψογο, σαν content filtering και traffic control είναι καλό όπως επίσης και ο squid. Σαν antivirus χρησιμοποιώντας το HAVP/avclam δεν είναι καλό, όπως επίσης και το Anti-spam του.
        Με proxy (squid) σε μεγάλες εγκαταστάσεις θα πρέπει να προσέξουμε αρκετά και το hardware, μερικές φορές προτείνω RAID 10 γιατί τα requests είναι πάρα πολλά και έχεις ένα θέμα με το fragmentation της βάσης του (αρχείων, κλπ), εκεί θέλεις πολύ ταχύτητα στους δίσκους!

        Τέλος να πω ότι σε πιο μεγάλες εγκαταστάσεις χρειαζόμαστε σίγουρα περισσότερα μηχανάκια με pfsense για να μπορέσουμε να μοιράζουμε και το φορτίο γιατί ένα μηχάνημα δεν μπορείς να αντεπεξέλθει, όχι ως fail over αλλά το ένα να διαχειρίζεται άλλο είδος πακέτων / traffic και άλλα το άλλο. Έχω δει (στο εξωτερικό σε παρουσίαση) εγκατάσταση με 5 pfsense και από πίσω 1000+ μηχανήματα ... χαμός με άλλα λόγια ... αλλά τα έβγαλε πέρα ... δεν είδα το δίκτυο αλλά τοπολογικά, την αρχιτεκτονική και πολλές μετρήσεις.

        Αυτά (συγνώμη για το μέγεθος).

        Νίκος

        • subZraw | 14/03/2013 at 14:25

          Όχι και συγνώμη! Ίσα ίσα, ευχαριστώ για τις εξαιρετικά πολύτιμες πληροφορίες, μάλιστα από έναν άνθρωπο με εμπειρία από καταστάσεις και σενάρια του πραγματικού κόσμου!

          Είμαι σίγουρος ότι θα κερδίσεις την προσοχή πολλών αναγνωστών/viewers, οι οποίοι τώρα θα κάνουν σχέδια για καριέρα ως network administrators! Εγώ, π.χ., ήδη πρόβαλα ένα μίνι, φανταστικό σενάριο στο μυαλό μου, στο οποίο είχα το ρόλο του χαμένου στου διάστημα (εντάξει, στο εταιρικό δίκτυο) διαχειριστή :S

          Και για να επιστρέψω στην πραγματικότητα, να πω κι από εδώ ότι το pfSense θέλω να το ψάξω περισσότερο -- και θα το κάνω. Κατά νου έχω κυρίως εφαρμογές για οικιακά δίκτυα ή έστω για μικρές εταιρείες. Σε πρώτη φάση θέλω να δείξω "το multi-WAN του φτωχού", ένα πράγμα (όπου φυσικά ενδιαφέρει κι εμένα, άμεσα).

          Έχω σκεφτεί και πώς θα μπορούσα να κάνω μερικές δοκιμές, πριν ακόμα φέρω ηλεκτρολόγο για να περάσει 2η γραμμή ;)

          • nko | 14/03/2013 at 15:31

            Παρακαλώ! Ένα γρήγορο σενάριο που μου έρχεται και εμένα στο μυαλό για να μπορέσεις να το κάνεις λίγο tricky πριν προχωρήσεις σε δεύτερο πάροχο είναι είτε να κάνει μία νέα ψευτο-WAN χρησιμοποιώντας ένα Access Point (ή το δίκτυο του γείτονα να λόγους εκπαίδευσης) ή ακόμα καλύτερα να στήσεις 1 ή 2 VM με arch linux και να κάνεις 2 ρουτεράκια ή μόνο μία εγκατάσταση arch μιας και έχεις το router του παρόχου. Το ένα όπως είναι ο πάροχος (IP, DNS) και το δεύτερο θα μπορούσες να χρησιμοποιήσεις DDNS και Opendns για λόγους πειράματος έτσι ώστε να "φαίνεται" ότι είναι άλλος πάροχος (άλλη public ip και άλλοι dns servers). Τα προβλήματα στο load balancing εκεί θα φανούνε, θα δεις δηλαδή τη συμπεριφορά όταν για παράδειγμα κάνεις e-banking και ξαφνικά αλλάξεις IP, εκεί η περισσότεροι θα σε πετάξουν έξω, το pfsense έχει λύσεις και για αυτό ...
            Οπότε τα βήματα ειναι κάπως έτσι χονδρικά:
            Ρυθμίζεις το Multi-WAN Configuration, Ρυθμίζεις DNS, ενεργοποιείς τα stick sessions (για θέματα τραπεζών που έλεγα παραπάνω), ορίζεις τα failover gateways, Ρυθμίζεις το Load balancing gateway και τέλος φτιάχνεις του κανόνες για την κίνηση του εσωτερικού δικτύου στον Load balancer

            Και μετά πολλά πολλά πειράματα ... ο squid ας πούμε θέλει έξτρα ρυθμίσεις για το load balancing στο wan ...

            Καλό απόγευμα!

  2. h.n.y | 14/03/2013 at 16:08

    Μας έκαψε το μυαλό ο φίλος μας ο Νίκος χαχααχ ...με την καλή έννοια πάντα ;)

  3. subZraw | 14/03/2013 at 16:48

    @nko
    Είχα σκεφτεί αρχικά τη λύση του ψευδό-WAN μέσω wireless access point, αλλά δεν είναι εύκολο να το υλοποιήσω. Θα ήταν αν στην περιοχή μου είχα καλή κάλυψη 3G, όμως εδώ που βρίσκομαι με το ζόρι παίρνω μια μπάρα στο κινητό.

    Εκεί που προσανατολίζομαι λοιπόν είναι ένα καθαρά εικονικό περιβάλλον, στο οποίο τα δύο ADSL modems θα είναι δύο VMs με OpenBSD (ευκαιρία ψάχνω να παίξω και μ' αυτό :D). Επίσης, σε καθένα από τα OpenBSD VMs θα βάλω ένα όριο στο bandwidth (κάτι σε 8Mbps/1Mbps download/upload*), ώστε να εξομοιώσω την περίπτωση όπου κάποιος έχει δύο συνδέσεις ADSL στο σπίτι.

    Πίσω από το pfSense, το οποίο θα έχει δύο WANs προς τα OpenBSD VMs, θα υπάρχουν 2 ή 3 μηχανές. Μεταξύ άλλων, σε μία απ' αυτές θέλω να κάνω και δοκιμές με παράλληλα downloads μεγάλων αρχείων. Καταλαβαίνεις ότι αυτό που κατά κύριο λόγο μ' ενδιαφέρει είναι δω αν και πόσο θα ωφεληθεί από ένα παρόμοιο setup ο μέσος χρήστης/σοβαρός χομπίστας :)

    [*] Υπάρχει σύνδεση VDSL, με αληθινές ταχύτητες 20Mbps/3Mbps.

    • orestis46 | 30/04/2013 at 11:21

      using Linux virtual-machines and interface bonding:
      http://simonmott.co.uk/vpn-bonding

      • subZraw | 30/04/2013 at 11:23

        Πολύ ενδιαφέρον, Ορέστη! Θα το μελετήσω στην πρώτη ευκαιρία.

        • orestis46 | 30/04/2013 at 12:18

          Αν και δεν μπορεί να χρησιμοποιηθεί για όλους τους προοσρισμούς (γιατί απλά είναι μεταξύ 2 τελικών σημείων που χρησιμοποιούν πολλαπλές WAN-ADSL συνδέσεις). Για adsl load-balancing - nic bonding πρός οποιονδήποτε προορισμό υπάρχουν διάφοροι περιορισμοί και προβλήματα (πχ στην περίπτωση διαφορετικών ISP, όπου θα πρέπει να καθορίσεις το outgoing/incoming traffic πχ η μια γραμμή κάνει route συγκεκριμένα destinations με μικρότερο metric και λειτουργεί ως backup με μεγαλύτερο metric για την δεύτερη που κάνει το αντίστροφο). Με κοινό ISP είναι πίο εύκολο εφόσον υποστηρίζει Multilink PPP...

  4. nko | 14/03/2013 at 18:02

    Ακούγεται πολύ καλή η λύση σου και έχεις δίκιο θα τα 2 vm, θα μπορέσεις να τεστάρεις και το failover στις γραμμές κάνοντας pause το ένα vm κάθε φορά. Μπορεί να έχεις ένα θεματάκι με τις public ip αλλά πιστεύω θατο λύσεις.
    Θα περιμένω να το δω στην επόμενη παρουσίαση :)

    Ακόμα VDSL δεν έχω δει ... ούτε με τις εταιρίες που συνεργάζομαι, ούτε σπίτι μου ... οπότε αναμονή για εμένα ακόμα :)

    • subZraw | 14/03/2013 at 18:11

      Χμ, αναφέρεσαι στα public IPs των δύο OpenBSD VMs, πίσω από τον VDSL router; Πες μου αν θέλεις λίγο γι' αυτό: πειράζει που και τα δύο θα είναι από το ίδιο subnet;

  5. nko | 14/03/2013 at 18:37

    Αυτό σκεφτόμουν και εγώ γράφοντας παραπάνω (χρήση ddns), κανονικά το έχω δει μόνο σε διαφορετικά subnet, αλλά το πρόβλημα έρχεται στην Public IP, DNS και αυτό γιατί όταν θα κάνει response ένα public δίκτυο θα κάνει respond στην Public ip σου που είναι στον ρουτερ ... οπότε δεν είναι "πραγματική" εξομοίωση σε WAN. Για παράδειγμα στο κανονικό σενάριο έχεις ένα torrent και 50 connections υπάρχουν στην μία public και άλλα τόσα στην άλλη Public και ανάλογα με τα rules που έχεις και τις προτεραιότητες καθορίζεται και η "χρήση" της κάθε γραμμής, το pfsense μετά θα κανονίσει το balancing στα πακέτα.
    Για αυτό έγραψα παραπάνω μήπως μπορέσεις να κάνεις χρήση DDNS και opendns υπηρεσιών ... δηλαδή στο router για παράδειγμα το dmz να βγαίνει από ddns - άλλες ρυθμίσεις, αλλά δεν ξέρω να σου πω την αλήθεια αν θα παίξει και πως ... επισης δεν ξέρεις κατά πόσο σε αφήνει και ο ρουτερ που παρόχου να κάνεις τέτοιες ρυθμίσεις ή εαν τις υποστηρίζει.
    Το balancing θέλει να έχεις κανονικά 2 public ip's και αυτές να είναι και static, αυτό το προσπερνάς με τα δύο VM. Μετά έρχεται το θέμα των DNS, θέλεις διαφορετικούς έτσι ώστε να δεις τη συμπεριφορά όταν κάνεις resolving στο ίδιο target url έως ότου γίνει το connection, μετά αφού γίνει βλέπεις τη συμπεριφορά σε δύο public ip's.
    Σίγουρα θα μπορέσει να το δοκιμάσεις από τον πραγματικό υπολογιστή που είναι στο "εικονικό" WAN κάνοντας εξομοιώσεις υπηρεσιών αλλά διαφέρει απο το πραγματικό ιντερνετ. Τέλος δεν ξέρω και εαν το ίδιο το pfsense που βλέπει non public ip's πως θα "αντιδράσει" με τα routing tables και τη δρομολόγηση της κίνησης.

    • subZraw | 14/03/2013 at 18:52

      Η πλάκα είναι ότι τώρα θέλω να τα παρατήσω όλα και ν' αρχίσω τις δοκιμές. Και το κακό είναι ότι, πολύ απλά, από θέμα χρόνου *δεν* με παίρνει -- όχι ακόμα, δηλαδή.

      Μεγάλη ζημιά πάθαμε :S

      • nko | 14/03/2013 at 19:04

        χαχα! Έτσι είναι ... και εγώ σκάλωσα.
        Αλλά εκεί που σκάλωσα μου ήρθε η ιδέα ... VPN! Ω ναι! Θα χρειαστείς ένα φίλο με καλό Upstream σε VDSL/ADSL ή εαν έχεις πρόσβαση VPN σε κάποιο πανεπιστήμιο που θα έχει καλό upstream ή κάποια εταιρία.
        Ας πάρουμε για παράδειγμα ότι ένας φίλος έχει VDSL με 20/3 (καλό να είναι σε άλλον πάροχο ή να κάνει χρήση άλλων DNS π.χ. opendns) ... στείνεται έναν VPN Server σε αυτόν (OpenVPN), το δοκιμάζεται και όλα καλός, τότε μπορείς:
        Στο 2ο OpenBSD ρουτεράκι σου να ανοίξεις μία σύνδεση VPN στον VPN server του φίλου με ενεργοποιημένο το use remote default gateway on remote computer (παράδειγμα windows) και τους DNS του ... άρα ότι κίνηση θα κάνει το 2ο ρουτεράκι θα το κάνει με encapsulation μέσω της δική σου γραμμής αλλά από άλλο δίκτυο!!
        Τότε κάνει traffic limit και εαν ο φίλος έχει 20/3 VDSL τότε το μέγιστο που έχεις θεωρητικό είναι 3/3, άρα μπορείς να ρυθμίσεις το limitation σε 1,5m down/768k up και να κάνεις τις δοκιμές σου.
        Πιστεύω ότι είναι ένας καλός τρόπος για να λύσεις το θέμα με τις Public ip's. Το μόνο παραπάνω που θα χρειαστείς είναι Open vpn και ένα φίλο για να γίνει ομαδικά η δουλειά :)

        • subZraw | 14/03/2013 at 19:22

          LOL, τέλεια! Έχω ήδη OpenVPN σε ένα Linode VPS, κάπου στο New Jersey! :D

          Να 'σαι καλά!

  6. Mike | 15/03/2013 at 13:34

    Μόλις έστησα και το δικό μου pfSense router σε ένα παλιό Pentium 4 pc!

    • subZraw | 15/03/2013 at 13:49

      Καλορίζικο! Πώς σου φαίνεται;

      • Mike | 15/03/2013 at 14:04

        Μια χαρά μέχρι στιγμής, το είχα ξαναδουλέψει πριν 1,5 - 2 χρόνια όταν είχε βγει η έκδοση 2.0. Επίσης άλλαξα το αρχικό router μου σε RFC 1483 bridged mode και έτσι πλέον το pfSense παίρνει κατευθείαν ip από τον πάροχο με την ρύθμιση PPPoE στο WAN interface και το αρχικό router χρησιμεύει μόνο ως modem.

        • subZraw | 15/03/2013 at 15:16

          Άριστη κίνηση η εγκατάσταση του pfSense, επίσης και η ρύθμιση στο modem/router! Στείλε PM με το public IP σου, να σου κάνω και κανένα port scan :P

          • Mike | 15/03/2013 at 21:27

            Ορίστε η εγκατάστασή μου στην αποθήκη του σπιτιού: http://i.imgur.com/4S8QB2X.jpg . Λίγο πιο δίπλα βρίσκεται και ο ZFS FreeNAS file server ;). Το router φιλοξενείται σε ένα "custom" κουτί για κρέμασμα στον τοίχο, εφοδιασμένο με 2 καινούριες κάρτες δικτύου (για μελλοντικά project, βλέπε multi-WAN κλπ) και φυσικά το σχετικό λογότυπο για να κάνουμε και λίγο διαφήμιση :P. Πάνω στο δίκτυο έχω μέχρι στιγμής 5 υπολογιστές με σύνδεση gigabit, 4 κινητά android, 2 laptop, home theater και μια συσκευή media center. Σε ώρες "αιχμής" που είναι αρκετοί μέσα το παλιό router δεν σήκωνε και πολλά ακόμα και σε επίπεδο LAN, ας μη μιλήσουμε για το internet. Τώρα είμαι σε στάδιο αναβάθμισης ακόμα και παίζω με το configuration του pfSense αλλά ήδη φαίνεται να έχει πάρει τα πάνω του το δίκτυο.

  7. slapper | 15/03/2013 at 22:01

    Καλησπέρα και από εμένα.Να πω και εγώ με την σειρά μου ότι το pfsense είναι ένα εξαιρετικό εργαλείο για οικιακά αλλά και εταιρικά περιβάλλοντα!!το δουλεύω από την έκδοση 1.2 και είμαι απόλυτα ευχαριστημένος!!Στην δουλεία μου υπάρχουν pfsense που έχουν από πίσω περίπου 200 χρήστες!! Πολύ καλή επιλογή είναι πάντα να έχετε τα modem σας σε bridge mode έτσι ώστε το pfsense να παίρνει πάντα την public ip, θα δείτε μεγάλη διαφορά στο σερφάρισμα και στην ταχύτητα στο internet ειδικά αν έχετε πολλούς χρήστες από πίσω!Και αυτό γιατι το pfsense έχει την δυνατότητα να ανοίξει πολλά συνεχόμενα connections σε σχέση με τα απλά μας modem!!

    Και για να σας ανοίξω την όρεξη να σας πω ότι έχω pfsense σαν firewall μπροστά από αρκετούς server σε vmware-vlcoud υποδομή!!Επίσης εκτελεί χρέη vpn server ( openvpn ) προς άλλα απομακρυσμένα σημεία και δουλεύει άψογα!!! :)

    • subZraw | 15/03/2013 at 23:25

      Καλησπέρα φίλε μας -- μάς πώρωσες, βραδιάτικα! Το είχε αναφέρει ο @Mike πριν και τώρα που το ανέφερες κι εσύ θυμήθηκα να δω για το bridging στον router. Δυστυχώς, απ' όσο κατάφερα να βγάλω άκρη, δεν το υποστηρίζει. Δεν θα έπρεπε να μου προκαλεί εντύπωση βέβαια, μιας και είναι ένα στριμμένο VDSL modem/router (η μάρκα του είναι "ADB" -- ποιος ονομάζει ένα προϊόν "ADB"; :S)

      Πάντως χαίρομαι που ακόμα δεν έχω πάρει το απαραίτητο hardware για να στήσω κι εγώ το δικό μου, φυσικό pfSense-based router/firewall (το οποίο εννοείται ότι θα έχει και OpenVPN): Έχω τα ωραία μπροστά μου! :D

  8. subZraw | 15/03/2013 at 23:17

    @Mike
    Άψογη δουλειά, ζηλευτό setup! Μ' αρέσει που οι βελτιώσεις είναι αισθητές στην πράξη, χωρίς συνθετικά benchmarks, τη στιγμή μάλιστα που (επανα)χρησιμοποιείς ταπεινό hardware!

  9. slapper | 16/03/2013 at 00:19

    το bridge που θέλουμε είναι το RFC1483 Bridge, το modem δεν χρειάζεται να είναι κάτι ιδιαίτερο,και αυτό που μας δίνει o ISP είναι μια χαρά!! Κλείνουμε τα πάντα στο modem και το γυρνάμε σε RFC1483 Bridge... οπότε στο modem πλέον δεν δουλεύει ούτε nat ούτε τίποτα. Στο status του modem θα βλέπεται μόνο πόσο συγχρονίζει.. Ip κτλ τα παίρνει το pfsense!!

    Επίσης για home use και όχι μόνο & με χαμηλή κατανάλωση ενέργειας σκεφτείτε κάτι τέτοιο : http://pcengines.ch/alix2d3.htm
    είναι με compact flash και είναι αρκετά δυνατό ( το έχω στημένο σπίτι μου μπροστά από vmware-esxi με 8 vlan και αρκετά πράγματα πάνω και παίζει σφαίρα!!είναι σκυλιά δεν παθαίνουν τίποτα!!!

    • subZraw | 16/03/2013 at 00:46

      Ναι, αλλά το δικό μου modem δεν έχει καν αυτές τις επιλογές στο web interface του :S Ούτε το firewall μ' αφήνει να απενεργοποιήσω, ούτε παρέχει κάποια ρύθμιση για bridging. Αλλά εντάξει, θεωρώ ότι αυτό το θέμα θα το λύσω κάποια στιγμή, με αγορά νέου modem.

      Το board που προτείνεις το έχω δει κι έχω ακούσει πολλά καλά! Αλλά επειδή θέλω να βάλω και κανένα Snort στο παιχνίδι, σκέφτομαι κάτι πιο ισχυρό όπως, π.χ., αυτό: http://amzn.com/B0061F5MPG

      Α, και να μην το ξεχάσω: Αν δηλαδή γυρίσουμε τον DSL router σε bridge mode, αρκεί μετά να βάλουμε το WAN interface του pfSense σε PPPoE;

    • ntarkos | 16/03/2013 at 03:51

      Χαζή ερώτηση RFC 1483 Bridge only LLC ή RFC 1483 Bridge only VC-MUX???

  10. slapper | 16/03/2013 at 10:15

    Καλημέρα! Αν έχεις κανένα modem παλιό που κάθετε μπορείς να το δοκιμάσεις ( τίποτα bautech ή thomson που δίνει ote & forthnet )Το bordaki είναι μιά χαρά για απλά πράγματα : firewall,vpn,captive portal dhcp κτλ..Συμφωνώ αν θες να βάλεις snort, squid στο παιχνίδι πρέπει να βάλεις κάτι πιο δυνατό που να έχει και κανονικό δίσκο & πιο δυνατή cpu & ram.Απλώς τα alix επειδή δεν έχουν κινούμενα μέρη ( βλέπε ανεμηστιράκια, hd ) και πάνω σε ένα ups το πολύ πολύ να σου χαλάσει κάποια στιγμή κανένα τροφοδοτικό..έχεις ένα spare και είσαι πάλι up!! :))

    Ναι γυρνάς το modem σου σε rfc 1483 bridge vc-mux και μετά το wan ου pfsense σε pppoe, μόλις το επιλέξεις από κάτω βάζεις τα username & pass που έχεις απο τον isp. Παλιότερα έχω δει προβλήματα καμιά φορά με realtek κάρτες δικτύου αν πας να τρέξεις το pppoe...αν έχετε τίποτα πιο ποιοτικές κάρτες καλό είναι να χρησιμοποιήσετε αυτές!!

  11. subZraw | 16/03/2013 at 11:39

    Επίσης καλημέρα!

    Το box που πρότεινα παραπάνω (http://amzn.com/B0061F5MPG) είναι fan-less κι εννοείται ότι αν καταλήξω σ' αυτό θα το εξοπλίσω με

    α) 4GB RAM
    β) μικρό SSD, χωρητικότητας 64GB

    Νομίζω ότι έτσι το box θα είναι επαρκές για Snort και Squid.

    Περίσσιο VDSL modem δεν έχω και σ' αυτό που μου έστειλε ο ISP μου (Cyta) δεν ορίζεται πουθενά username/password. Υποθέτω ότι ο λογαριασμός πελάτη που μου έχουν ανοίξει είναι κατά κάποιον τρόπο "δεμένος" με τη συγκεκριμένη τηλεφωνική γραμμή, γι' αυτό και δεν απαιτείται η εισαγωγή username/password. Κάτι παρόμοιο συνέβαινε και με τον router που μου είχε στείλει ο προηγούμενος ISP (OnTelecoms), όπου τότε είχα γραμμή ADSL.

    Πάντως φαντάζομαι --για την ακρίβεια ελπίζω-- πως δεν θα 'χω πρόβλημα αν βρω άλλον VDSL router, τον βάλω σε bridged mode και μετά στο pfSense βάλω WAN = PPPoE *χωρίς* username/password.

    • Starion | 17/03/2013 at 22:03

      Άριστη επιλογή, αυτό έχω και εγώ και τρέχει από όλα τα καλά που λες (και μερικά ακόμα) και με 2GB RAM. Τα packages του pfsense να ήταν σταθερά και τι στον κόσμο...

      • subZraw | 17/03/2013 at 22:14

        Από τα packages μ' ενδιαφέρουν εκείνα για το Squid και το Snort (και μόλις είδα ότι αυτό γράφω και στο προηγούμενο post).

        Το Squid στο pfSense το είχα χρησιμοποιήσει αρκετά στην προηγούμενη ζωή, χωρίς κανένα κανένα πρόβλημα. Με το Snort στο pfSense δεν ξέρω τι παίζει, αλλά κάτι μου λέει ότι είναι κι αυτό σταθερό, χωρίς προβλήματα. Ελπίζω να μην κάνω λάθος :)

        • Starion | 21/03/2013 at 01:26

          Και ναι και όχι: κάποιες φορές το package μένει πίσω σε σχέση με πράγματα που υποστηρίζει το ίδιο το snort και ξεκινάνε τα όργανα... Επίσης αν θέλεις να ασχοληθείς σοβαρά με το snort, τα μισά τα κάνεις από το gui και τα άλλα μισά από το παραδοσιακό (για snort) cli, οπότε μπλέκει λίγο το πράγμα. Λόγω snort και ipblocker τελικά πήρα την απόφαση να κάνω NAS το mini pc και να στραφώ σε άλλες λύσεις για firewall+IPS... Για αυτά τα δύο ασχολήθηκα σοβαρά με το pfsense και όταν άρχισαν να κάνουν νερά σχετικά συχνά έπαψε να έχει νόημα πλέον για μένα. Κάτι οι "δεήσεις" που έριχνα κάθε τρεις και λίγο, κάτι που έπεσε στα χέρια μου έξτρα εξοπλισμός το άφησα το σπορ. Πλέον μόνο σε VM για πειραματισμούς το βάζω.

          • subZraw | 21/03/2013 at 10:03

            Καταλαβαίνω. Μιας και δεν έχω εμπειρία με το Snort κι άλλα παρόμοια συστήματα, πιστεύω ότι θα ξεκινήσω, χαλαρά, από μια εγκατάσταση στο pfSense. Αν δω ότι έχει νόημα ν' ασχοληθώ περισσότερο, ε, τότε VM κι Άγιος ο Θεός!

    • tr3quart1sta | 19/03/2013 at 11:22

      Πολύ ωραίο το μηχανάκι που έβαλες στο link. Πώς λέγονται τα pc αυτής της κατηγορίας, για να ψάξω πιο εύκολα δλδ.. Μιλάω για home server που θα είναι ανοιχτό 24/7, με όσο γίνεται χαμηλή κατανάλωση, αθόρυβο κλπ...

      • subZraw | 19/03/2013 at 11:48

        Είναι τα λεγόμενα Small Form Factor PCs. Για τη δουλειά που θέλεις, καλύτερα να στραφείς σε Atom-based PC (και κατά προτίμηση fanless).

        • tr3quart1sta | 21/03/2013 at 23:36

          Βρε, μήπως λέει τίποτα στο 018 (περί Hardware)? Τώρα είδα το εξώφυλλο :P

          • subZraw | 21/03/2013 at 23:44

            Σαν τι να λέει, βρε, περί hardware; :P

  12. ntarkos | 21/03/2013 at 14:29

    Καλησπέρα!
    Μόλις έστισα το δικό μου PfSense αλλά με προβλήματα....
    Το PfSense μπήκε σε ένα παλιό PC με 3 κάρτες δικτύου, δύο συνδέσεις ίντερνετ αλλά χωρίς να καταφέρνω να συνδεθώ στο ίντερνετ όταν είμαι πίσω από το pfsense....

    • Starion | 22/03/2013 at 12:46

      DNS, routing, μπορεί να είναι οτιδήποτε. Κοίταξες στο wiki του pfsense? Οι πολλαπλές συνδέσεις internet θέλουν λίγο παραπάνω setup για να παίξουν.

  13. ntarkos | 02/04/2013 at 12:43

    Μετά από 82 εσπρεσάκια κατάφερα να το κάνω να παίξει!
    Αφού δημιουργήσεις ένα Gateway Group και με τις δύο συνδέσεις πρέπει να πας στο Firewall ->Rulls->Lan και να επιλέξεις στον κανόνα με description <> να έχει για gateway το group που δημιούργησες!

    • subZraw | 02/04/2013 at 19:29

      Τελειότητα! Και δύο ερωτήσεις έχω:

      α) οι συνδέσεις σου είναι από τον ίδιο ISP;

      β) παρουσιάστηκε κάποιο θέμα στην καθημερινή χρήση του Internet;

      • ntarkos | 04/04/2013 at 22:15

        Ναι Χρήστο οι συνδέσεις είναι και οι δύο ίδιες με μόνη διαφορά την ταχύτητά τους (η μία 2Mbps και η άλλη 24Mbps).
        Όσο αναφορά το Internet δεν παρουσιάστηκε κανένα πρόβλημα, ίσα ίσα που μιξάρει τέλεια τις δύο συνδέσεις και πλέων έχω ας πούμε 26Mbps.
        Επίσης θέλω να σου πω(μιας και το ανέφερες στο Cast) ότι δεν χρειάστηκε καμία ρύθμιση το Load Balance, η όλη διαδικασία γίνετε από τα gateways.
        Τώρα βέβαια έχω και 2 προβλήματα...
        Το πρώτο είναι ο θόρυβος από τα 3 ανεμιστηράκια του υπολογιστή-pfsense και το δεύτερο ότι δεν έχω DeltaHacker stickers για να το στολίσω!

        • subZraw | 05/04/2013 at 08:01

          Πάρα πολύ ενδιαφέρον, αυτό το "μιξάρισμα". Να φανταστώ δηλαδή πως όταν κατεβάζεις κάτι μεγάλο σε τμήματα, στον όποιο download manager ή BitTorrent client βλέπεις το *άθροισμα* των επιμέρους *αληθινών* download speeds;

          Για το load balancing έκανα λάθος -- κι ευτυχώς με διόρθωσε ο φίλος @nko (βλ. το πρώτο σχόλιο κάτω από το επεισόδιο).

          Ο θόρυβος είναι άτιμο πρόβλημα! Αλλά, ευτυχώς, υπάρχουν κάποια fanless boxes που είναι ό,τι πρέπει για το pfSense (βλ., π.χ., το http://amzn.com/B0061F5MPG).

          Όσο για τα stickers, μόλις βγάλουμε εννοείται πως θα σας στείλουμε :)

          • ntarkos | 06/04/2013 at 15:59

            Έτσι ακριβός!

  14. atlasx | 29/04/2013 at 17:40

    Καλησπέρα παίδες, Τι σου είναι καμιά φορά η τύχη ε εκεί που έψαχνα για κάποιο software για captive portal και είχα καταλήξει στο pfsense, τσουπ ήρθε και αυτή η ωραία παρουσίαση. Στο δια ταύτα έχουν όλα τρομερό ενδιαφέρον που έχω διαβάσει αυτές τις μέρες για το pfsense και έχω ενθουσιαστεί, αλλά έχω το εξής πρόβλημα και θέλω λίγη βοήθεια: Θέλω να έχουν τη δυνατότητα οι χρήστες του captive portal να κάνουν εγγραφή στο δίκτυο με βάση το email τους. Έψαξα στο forum του pfsense και όχι μόνο αλλά οι διαδικασίες που περιγράφουν δεν με οδηγούν σε κάποιο αποτέλεσμα. Ευχαριστώ εκ των προτέρων!!!

    • subZraw | 29/04/2013 at 18:09

      Αχά. Στο τεύχος 019 (http://deltahacker.gr/?p=8568) του περιοδικού έχουμε άρθρο (http://deltahacker.gr/?p=8568) στο οποίο μεταξύ άλλων καταπιανόμαστε *και* με το captive portal του pfSense. Παρέχει πολλούς τρόπους για authentication, η αλήθεια όμως είναι ότι για τις ανάγκες των δικών μας δοκιμών δεν στήσαμε κάτι σύνθετο. Ελπίζω πάντως κάποιος άλλος να σε βοηθήσει...

  15. DrCHaNaS | 18/05/2013 at 11:33

    Εχω στησει και εγω pfSense. Η μεγαλυτερη εγκατασταση ειναι σχεδον 200 H/Y σε μια 100mbit σε νοσοκομειο σε εναν ερμο Athlon 2600 (4-6% CPU). Μαζι με αλλα 2 pfSense εχω κανει και site 2 site VPN με OpenVPN και διασυνδεσα τα παραρτηματα με απλες DSL για να βλεπουν το κεντρικο δικτυο. Κιχ δεν εχει πει ως τωρα, ξεχνας οτι υπαρχει! Το μονο κακο οτι δεν παιζει σε Hyper-V ακομα ενω σε VMware/KVM ολα ΟΚ.

  16. iosmaris | 07/10/2013 at 14:05

    Θέλω να στήσω σε ένα pc με Pfsense για να έχω ένα all-in-one-box (Gateway/firewall/router).
    Αυτό που δεν κατάφερα να βρω μετά από πολύ ψάξιμο είναι κάποιο συμβατό adsl2+ pci modem
    Για αποφυγή παρεξηγήσεων έχω βρει pci modem με ενσωματωμένο ethernet controler αλλά αυτό δεν είναι κάτι που ζητάω μιας και έχει ξεχωριστό interface για dialing κτλ. ενώ θα προτιμούσα να γίνεται μεσα απο το pfSense.
    Συνεπώς, γνωρίζει κάποιος κάποια συμβατή κάρτα να κάνει αυτό που ζητάω? Τι εναλλακτικές έχω?

    • subZraw | 08/10/2013 at 15:29

      Περίμενα μήπως απαντήσει κάποιος, όμως δεν μπορώ να κρατήσω περισσότερο την απορία: Γιατί να θέλεις να κάνεις κάτι τέτοιο; Τι κακό έχει το modem του ISP σου;

  17. andr3 | 26/02/2014 at 10:15

    Έχω 2 ερωτήσεις πριν αρχίσω να το μαθαίνω και να το χρησιμοποιώ.

    1) Μπορώ να γράψω δικά μου script όπως στο ddwrt ? Ένα παράδειγμα. Όταν ζητάει πακέτα η ip x.x.1.10 να τις δίνει περισσότερο bandwith και προτεραιότητα από όλες τις άλλες αιτήσεις του δικτύου εκείνη τη χρονική στιγμή.

    2) Μπορώ να ρυθμίσω μέσω του web interface ποιος θα παίρνει περισσότερο bandwith για x χρονική περίοδο? Π.χ. σε μια ip x.x.1.25 κάποιος ψάχνει στο google ενώ ταυτόχρονα στην ip x.x.1.30 γίνεται ένα video conference. Επομένως, όπως καταλαβαίνετε θέλω η ip x.x.1.30 να έχει καλύτερο bandwith και προτεραιότητα σε σχέση με την x.x.1.25 και μάλιστα σε σχέση με όλο το δίκτυο για 1 ώρα.

    Είναι περίπου το ίδιο αυτό που ζητάω απλά στο 1 είναι μια πιο σταθερή λύση ώστε να μη χρειάζεται να συνδέομαι κάθε φορά στο web interface.

    Υ.Γ.: Μήπως να ψάξω κάποια άλλη λύση (ίσως ένα router για ddwrt) ??

    ~andr3

  18. h.n.y | 26/02/2014 at 17:41

    You can implement traffic prioritization based on the destination port / IP.As the traffic shaper selects traffic by firewall rules,so everything the firewall can filter (by source/destination addresses, ports, protocols, DSCPs, VLANs, interfaces, directions, whatever) can be traffic shaped.You can also raise or lower the priority assigned to different applications on an individual basis.Also support deep packet inspection, a.k.a layer 7 shaping,identifies traffic based on the content of the packets,classifying the traffic so the traffic can then be policed.
    Also pf is used for the firewall rules, but there is not currently an automated way to fully manage the rules from the CLI. The rules are stored in the config.xml and not directly in any ruleset file (e.g. pf.conf).

    https://forum.pfsense.org/index.php/board,26.0.html
    https://doc.pfsense.org/

    Ελπίζω να βοήθησα :)

    • subZraw | 26/02/2014 at 17:43

      Κάποιος ετοιμάζεται για τη διεθνή έκδοση του deltaHacker ή είναι η ιδέα μου; :)

  19. h.n.y | 26/02/2014 at 18:31

    Ε πως να το κάνουμε δηλαδή...πλέον φυσάει άλλο αεράκι στην Parabing Creations :)

    Πληροφορίες λένε ότι πολλοί (ακόμα κι αν δεν το ξέρουν lolz) το αναμένουν

    https://lh5.googleusercontent.com/-7NJzMQ3A4VU/TYcPAfVgHFI/AAAAAAAAEY4/IoAHfF7TX3Q/s200/%25CE%25B9%25CE%25B3%25CE%25BA%25CE%25BB%25CE%25BF%25CF%2585.jpg

  20. andr3 | 26/02/2014 at 19:28

    Ομολογώ είμαι λίγο απαράδεκτος. Βιάστηκα και έγραψα την ερώτησή μου πριν να δω όλο το βίντεο. Σε ένα σημείο ο αγαπητός subZraw αναφέρεται στο traffic shapper. Έστω λέει ότι υπάρχει :P Όσο για την απάντηση του h.n.y είναι σημαντική βοήθεια thx guys !!

  21. sdy | 23/03/2014 at 20:43

    καλησπερα!
    προσπαθησα να κανω κ εγω την προσπαθεια μου να στησω το Pfsense πανω σε ενα παλιο υπολογιστη pentium 4 που ετυχε να βρισκεται στα χερια.
    το "εγδυσα" τελειως, εφτιαξα μια προχειρη βασουλα για να μην εχω στην μεση το ογκωδη case του, αγορασα μια καρτουλα ethernet, ειχα κ αλλη μια απο εναν παλιο υπολογιστη κ ετσι κατεληξα στο εξης μηχανημα: pentium 4 στα 2,2, 512mb ram, hdd 70gb, motherboard asus και 3 θυρες ethernet(2 σε pci και μια στην motherboard).
    κανω εγκατασταση του Pfsense και ολα καλα.
    αρχισω το σεταρισμα αλλα...δεν μπορει να παρει Internet το Lan μου.
    απο το web interface του pfsense κανω κανονικα Ping στον εξω κοσμο αλλα οι υπολογιστες του δικτυου δεν βλεπουν τον εξω κοσμο.
    εκανα πολλες δοκιμες αλλα τιποτα.
    ολες οι δοκιμες εγιναν με το adsl router-modem να λειτουργει σε pppoe και το wan του Pfsense να ειναι ειτε με static ειτε με dhcp.
    εννοειται οτι ακολουθησα τις οδηγιες απο το παραπανω βιντεο.
    μηπως εχετε καμια ιδεα, τι βλακεια μπορει να εχω κανει?
    μια παρατηρηση, οταν αφαιρουσα την gateway απο το lan interface στιγμαια αποκτουσε internet το lan μου αλλα μετα ερχοταν η καταστροφη.
    δεν μπορουσα καν να μπω στο web Interface του Pfsense.

    τωρα το μονο που μου μενει να δοκιμασω ειναι να γυρισω το router-modem μου σε bridged mode.

    ευχαριστω και καλως σας βρηκα.

  22. skordonis | 05/05/2014 at 19:59

    Θέλω να με διαφωτίσετε για το πως μπορω να να δίνω names στα μηχανήματα του δικτύου μου. Αυτό που εννοώ είναι πως έχω παρατηρίσει στα deltacasts πως κάθε μηχάνημα που είναι στο δίκτυο σας έχει ένα όνομα του τύπου "something.parabing.com" . Θα ήθελα να πετύχω το ίδιο αλλά δεν ξέρω πως...
    Θα ήθελα λοιπόν να μου πείτε αν χρειάζομαι στατική IP ή κάτι άλλο και τι πρέπει να κάνω..

    Αυτα που έχω είναι:
    1.Router: DrayTek Vigor 2760 (stock firmware)
    2.Κατοχειρομένο domain
    3.Διαθέσημο laptop για να τρέξει pfSense ή οτι ειναι απαραίτητο.

    • subZraw | 07/05/2014 at 19:35

      Είναι δυνατόν να υποδείξεις ένα domain στον router σου και μετά να του πεις να το "διαφημίζει" στους DHCP clients, πίσω του. Το domain αυτό ενδέχεται να 'ναι κάποιο που έχεις ήδη αγοράσει (π.χ., parabing.net) ή και κάποιο generic, που δεν "κυκλοφορεί" στο Internet αλλά μόνο σε τοπικά δίκτυα (π.χ. this-aint-jimbeam.local). Από εκεί και πέρα, οι DHCP clients έχουν τη δυνατότητα να χρησιμοποιούν κι αυτοί ένα δικό τους hostname και το domain να το παίρνουν από τον DHCP server του router). Εναλλακτικά, μπορείς να κάνεις κι εσύ αντιστοιχίσεις συγκεκριμένων IPs και hostnames σε μηχανήματα με συγκεκριμένα MAC addresses. Μπορείς, π.χ., να ορίζεις κανόνες που λένε κάτι σαν "ο DHCP client με MAC address 00:11:22:33:44:55 να παίρνει πάντα ως IP το 192.168.1.20 και το hostname του να είναι thor". Μένοντας στο παράδειγμα, το μηχάνημα με MAC address 00:11:22:33:44:55 στο εξής θα είναι γνωστό στο LAN ως thor.parabing.net ή thor.this-aint-jimbeam.local ή thor.όποιο_domain_έχεις_προκαθορίσει.tld.

      Όλα τα προηγούμενα αποτελούν ρυθμίσεις που ίσως προσφέρει ο router σου, ίσως και όχι. Με το pfSense, πάντως, τις έχεις :)

  23. sip03ds | 13/06/2014 at 16:25

    Hi,

    Με αφορμή το pfsense θα χρειαζόμουν βοήθεια για το πως θα βάλω pfsense σε ένα υπάρχον μικρό corporate δίκτυο που έχει εξοπλισμό cisco.

    SITE 1
    - 1x Cisco 1941 με 2 ADSL interfaces (ADSL γραμμές σε διαφορετικούς ISPs)
    - 2x Cisco 3560e-12d (L3 switch)
    - 2x Cisco 2960s (L2 switch)

    SITE 2
    - 1x Cisco 1841

    Έχουμε
    - site to site VPN ανάμεσα στα 2 sites (1941 και 1841)
    - remote VPN για clients (στο 1941 του site 1)
    - ADSL load sharing στο 1941 Cisco
    - 10 VLANs - τα 2 private στα L3
    - EIGRP για intervlan routing τα L3 switches καθώς και ανάμεσα στο 1941 (192.168.x.x - link ανάμεσα σε switch και router) και τα 3560 (10.0.0.0 - τα vlans)
    - HSRP στα L3 switches
    - με NAT γίνονται expose servers από 1 VLAN προς τo Internet

    Οι απορίες μου είναι αν θέλω να βάλω ένα pfsense ανάμεσα στα L3 και στο 1941:
    1) Πως θα γίνεται το routing ανάμεσα στα L3 και στο Router;
    2) Πως θα γίνονται expose οι servers από το 1 VLAN προς το Internet;
    3) Τι configuration πρέπει να αλλάξει όσον αφορά τα VPN;

  24. Nten0 | 26/06/2014 at 00:27

    Καλησπερα... Πολυ ωραιο το αρθρο σας και αρκετα διαφωτιστικό!!! Ομως, θα ηθελα να ρωτησω αν υπάρχει καποιος τροπος να εγκαταστησω pfsense η κατι αντίστοιχο πανω σε modem/router???

    • subZraw | 26/06/2014 at 01:27

      Σε consumer grade routers είναι μάλλον απίθανο να βρεις το κατάλληλο hardware :/ Μπορείς βέβαια να μετατρέψεις ένα υπάρχον PC σε pfSense router ή να φτιάξεις ένα νέο, επιλέγοντας τα κατάλληλα εξαρτήματα ώστε να είναι αθόρυβο, με χαμηλό ενεργειακό προφίλ κ.ο.κ. Δες επίσης κι αυτό: https://www.pfsense.org/hardware/#pfsense-store

Leave a Reply

You must be logged in to post a comment.

Σύνδεση

Google Site-Search

Πρόσφατα

  • Tabber

Σχόλια

Άρθρα

Θέματα

Αρχείο