@plusbil üstadım merhaba makinam üzerinde yapmış olduğum değişiklikler sonrası bendede sıkıntı çözüldü öncelikle bende 3 tane ağ var.

192.168.1.250 wan
192.168.2.1 lan DHCP AKTİF = DNS = 208.67.222.123 - 208.67.220.123
192.168.3.1 ap DHCP AKTİF = DNS = 208.67.222.123 - 208.67.220.123

General kısmında dns kısmını boş bırakmıştım 8.8.8.8 - 8.8.4.4 verdim squid üzerinde yönlendirme yapdım

SSL/MITM Mode " custom "

Custom Options (SSL/MITM) ayarlarım ise

acl splice_it ssl::server_name .microsoft.com
acl splice_it ssl::server_name .windowsupdate.com
acl splice_it ssl::server_name .akamaitechnologies.com
acl splice_it ssl::server_name .akadns.net
acl splice_only src 192.168.3.10
acl step1 at_step SslBump1
ssl_bump peek step1
ssl_bump splice splice_it
ssl_bump bump all
ssl_bump peek step1
ssl_bump splice all
http_access allow whitelist
ssl_bump peek step1
ssl_bump splice whitelist
ssl_bump bump all

bu şekilde çalıştırdım şimdi her siteye akıyor akıllı telefonlarda dahil bir kısıtlama yok acaba bunların hangisinden işi çözdüm acaba setup wizart yaparken 8.8.8.8 - 8.8.4.4 vermediğim için mi tam olarak emin olamadım ama deniyecem.

@plusbil merhaba tekrardan üstadım geç cevap verebildim kusura bakma öncelikle belirli başlı engelleri "splice all" ile ve advantec kısmından "Custom Options (SSL/MITM)" bölümünde farklı kurallar ekliyerek işi şimdilik çözdüm diyebilirim gayet stabil çalışmaktayım.

@halil rica ederim

@ahmetkanar54 2.6 da Openssl 1.xx versiyon kullanıyordu 2.7 ile Openssl 3.x e geçiş yaptılar geç kalınmış bir olaydı. e2guardian eski sürümde kaldığından Openssl 3 ile uyum sağllamıyor.
Ayrıca ya 2.7.0 da ya da 2.7.1 versiyonda açık vardı bi araştır o versiyonu sakın kullanma son sürümü 2.7.2 kullan. Bir kaç gün sonra 2.7.2 yayınlamışlardı o şekilde hatırlıyorum, son version update edin veya sıfırdan kurulum yapın. e2guardian için güncelleme gelmesi lazım.

2.7.0 da sanırım bende hiç çalıştırmadım 2.6.0 dan update ederek gelmiştim sonra 2.7.0 mı birinde açık vardı derken sinirlendim sıfırdan kurulum yaptım 6-7 ay oluyor çok fazla bir şeyde hatırlamıyorum.

Zorla çalıştırdım dokunmuyorum bile. e2guardian resmi github sayfadan desteğini kestiğini duyurdu, pfsense e uyarlayan marcelloc çalıştığı şirketin blogundan e2guardianı son sürüme taşımak için çalışmalara başladık diye duyuru yapmıştı halen ses soluk yok.

Şimdi hatırladım virtual de 2.7.2 de sorunsuz çalışıyor diye hatırlıyorum, transparan proxy seçinde sertifkaya da gerek kalmıyor her ihtimale karşı gpo ile dağıtmıştım.

IDS IPS için ekstra bir eklenti kurmak gerekiyor. snort veya suricata kullanabilirsiniz.

@greenlight Evet server tarafında kullanıyorum. Bu nedenle aslında double nat yapmış oluyoruz. Bu durumda,

mevcut yapımda modem > pfsense > iç network switch yapısı mantıksız bir yapı değil diye anlıyorum

@udede ara ara güncelliyorum, bu adresten alabilirsiniz

https://malatyabilsis.com/pfsense/blacklists_for_pfsense.tar.gz

@Hattushil kurulumunuzda bir hata yok gibi. yalnız yeniden başlattıktan sonra dhcp üzerinden ip adresi alıp internete çıkabildiniz mi, ip mi alamadınız veya ip aldınız internete mi çıkamadınız gibi durumlara göre problem değişiklik gösterebilir.

veya bilgisayarınız pfsense'i boot edememiş olabilir mi? bir monitör ile yeniden başlattıktan sonra makineyi izleme şansınız olabilir mi?

kurulum adımları bahsettiğiniz şekilde oluyor ve sonrasında sistemi kendinize göre özelleştiriyorsunuz o yüzden kurulumda bir problem olabileceğini es geçiyorum.

@VOLCANA hocam yanlış anlamayın kamu kurumunu idare ediyorsunuz, firewall olarak kamu çıkarını gözeterek pfsense kullanıyorsunuz, herşeyi emeğinizle tek başınıza yürütüyorsunuz anlaşılan ama kimse gelip de size bunun için aferin deyip extra maaş vermeyecek, öncelikle büyük ölçek yönetiyorsunuz premium class bir firewall öneririm bir diğer husus ise active directory olmadan siz kullanıcı pclerinde ordan oraya koşturarak heba oluyorsunuzdur, herşey manual nerdeyse, en basitinden şu sertifika dağıtımını bile yapamazsınız he tabi pdqdeploy gibi yazılımlar var ancak her makinede standart yönetici hesap standart şifreniz olmalı ayrıca bu da bir güvenlik açığı, group policy'yi bi basıyorsun abicim te öteki taraftan çıkıveriyor işin şakası :)
yani boşa amelelik değil mi?

@tanereda oyunlar modem 1de ve default gateway modem 1 olarak ayarladıktan sonra sadece 2. modem için aliases oluşturup 80 ve 443 portlarını yönlendirmeniz gerekiyor. kesinti durumunda bağlantının devam edebilmesi için failover kullanmanız gerekiyor.

routes > groups sayfasında + işaretine tıklatın bir grup adı verin ve gatewayleri tier 1 olarak seçin. trigger'i packet loss olarak seçebilirsiniz. böylece bağlantı kesilip veri paketi kayıpları olduğu zaman diğer ağ geçidi kullanılmaya başlanır. seçenekler arasında yüksek ping de var onu da seçebilirsiniz.

sonrasında firewall > rules bölümüne gelmeniz gerekiyor. burada any kuralını düzenleyip gateway bölümüne önceki adımda oluşturduğunuz failover grubunun adını yazmalısınız.

eğer ikinci modemde internet gittiği zaman bağlantı birinci modemden de devam etsin internet sörfü durmasın diyorsanız routes bölümündeki default gateway için failover grubunuzu seçebilirsiniz.

Merhaba AvniSari0 Rica etsem benimle çift modem ayarlarını paylaşır mısın yani senin gibi yapmak istiyorum modemin birinden internete çıkış yapılsın diğerinden oyunlar için çıkış yapılsın bu konuda yardımcı olur musun

@ciscolog merhaba

yapıda elde etmek istediğiniz bant genişliği tam olarak kaç gbit hızlarında olacak?

ayrıca carp yaptıktan sonra lagg ve vrrp yaparak tam olarak neyi yedeklemeyi düşünüyorsunuz?

etherchannel yerine fiber bağlantı ile switchleri birbirine bağlayarak istediğiniz bant genişliğini elde edemez misiniz? devamında da switchler arasında cluster oluşturabilirsiniz.

yapıda birden fazla yönetim mekanizması olursa sorunlar da birden fazla yerde baş gösterebilir. benim önerim pfsenseler arasında carp ve devamında switch cluster ile yapının ilerlemesi şeklinde olacaktır.

@jettem default gateway none olarak seçerseniz diğerinden bağlanmaz. ama bunun çalışabilmesi için yazdığım diğer adımların da uygulanması gerekli. istediğiniz ipden çıkış verebilmek için bir çok yöntem var ve bunların herhangi birisiyle ilgili olarak çıkışı veriyor olabilirsiniz.

bu şekilde bir kullanım için aliases ve sabit ip adreslerini kullanabilirsiniz ki bence en sağlıklı yöntem de böyle olur.

anladığım kadarı ile bütün cihazların birbiriyle haberleşmesini ama internetlerinin ayrı olmasını istiyorsunuz. ofisleri lan1 ve lan2 olarak bölmek yerine tek bir lan'da toplayıp sadece rules tablosundan istediğiniz bütün işlemleri yapabilirsiniz. interfaceleri ayırmak cihazların birbirini görmemesi için güzel bir yöntemdir. ama haberleşen cihazlar için normalde switch üzerinden geçecek olan veriyi bir de router üzerinden geçirmiş olursunuz.

merhaba, bendeki nvr cihazlarında 2 adet ethernet çıkışı mevcut birisini kameralar için ayrı bir gateway üzerinden çalıştırıp diğer port ile internet erişimi sağlıyorum. kendimce böyle bir çözüm bulmuştum.

@BigBoss teşekkürler yardımın için bakıcam dediğinize

@greenlight redirect gateway tickli ama hala uzak kullanıcının openvpn trafiği squid üzerinden geçmiyor amibehindproxy sitesinden doğruladım , clamAV de kullanıyorum eicar sitesinden fake virüsü Lan cihazlarında durduruyor ama openvpn ile bağlanınca virüsü açıyor , tabi bende diğer kullanıcılara yardımcı olurum , cevabı bulduğumda yazarım , teşekkürler .

@westxx aslında virtualbox üzerinden mantık yürütüp cevaplamıştım, virtualbox ta bazen güncelleme de farklı uygulamada bağdaştırıcı bozuyordu.

Hyper-v mecbur kaldığım için kullanıyorum ama çokta sevmediğim için açıkcası anlamıyorum ondan, bir çok ayarları saçma sapan.

win ve hyper-v de hele ki güncellemede sorun yaşadıysan yalnız değilsindir mutlaka aynı sıkıntı birilerine de olmuştur.

Küçük bir arama yaptım benzer konular çıkıyor
Link konu dışı olabilir ama güncelleme kaynaklı olduğu belli.
https://learn.microsoft.com/tr-tr/troubleshoot/windows-client/virtualization/cannot-create-hyper-v-virtual-switch

merhaba dediklerinizi tam olarak anlamamak ile birlikte, bulunduğunuz ağ içerisinde yine aynı ağın dış ip adresine erişmek istediğinizi düşünüyorum. bunun için hairpin nat olarak da bilinen nat reflection yapmanız gerekmektedir. gerekli dökümanı aşağıda bulabilirsiniz.

https://docs.netgate.com/pfsense/en/latest/nat/reflection.html