Pfsense Vlans
-
Arkadaşlar Merhaba,
pfsense konusunda yeniyim. Şöyle bir sorunum var, evimde dhcp ve dns işlerini Synology Nas cihazım yapıyor. Synology nas pfsense üzerindeki LAN ağında. Şimdi bir kaç vlan oluşturacağım. Oluşturduğum vlanlarda dhcp ve dns işini synology ile devam ettirmek için nasıl bir yol izleyebilirim? DHCP de ikinci bir havuz oluşturdum synology tarafında ancak ip ve dns almıyor. Vlanlardaki dhcp i kapatırsam ip alamıyor cihazlar
-
dns server olarak nas cihazın adresini göstermeyi denemiş miydiniz?
-
Vlanları nerede oluşturuyorsunuz? Synology'de mi yoksa pfsense üzerinde mi?
-
@westxx Pfsense tarafında unbound olarak ekl hocam
-
@greenlight Vlanlar pfsense tarafında hocam. LAN bacağına synology ip dağıtıyor. Vlanlara da dağıtabilmesi için ne yapmak lazım? Vlanlar ile aynı ip bloğunda havuz oluşturuyorum synology dhcp tarafında
-
oluşturduğunuz her bir vlan'ı ayrı bir lan bacağı gibi düşünmeniz gerekiyor. vlan sadece kendisiyle aynı tag'a sahip olan diğer switchlerdeki portlar ile haberleşir. aksi bir kural oluşturulmadı durumlarda pfsense üzerinde interface'ler birbiri ile haberleşir. doğal olarak oluşturduğunuz vlanların da birbiri ile haberleşmesi gerekiyor.
vlanları doğru tanımlayabilirseniz rules tablosuna girdiğiniz zaman sekmeler WAN-LAN-VLAN10-VLAN20... şeklinde görünecek. sonrasında isterseniz vlanlar üzerinde dhcp server çalıştırabilir, veya synology'ye yönlendirebilirsiniz. ancak her bir tag, ayrı bir dhcp sunucusunu gerektirecektir. bir tane dhcp sunucuyu 10 farklı vlan üzerinde dağıtamazsınız.
düzeltme: dhcp serveri pfsense üzerinde çalıştırarak bunu yapamazsınız. vlanları synologyye yönlendirmeniz lazım.
-
@greenlight Detaylı bilgi için teşekkür ederim hocam, bahsettiğiniz gibi rules tablosunda sekmeler WAN-LAN-WLAN20 şeklinde görünüyor. Şu an için sadece tek bir VLAN oluşturdum;
Synology cihazım LAN bacağına bağlı. VLAN üzerinde değil. Bu nedenle LAN bacağındaki diğer clientlara ip dağıtabiliyor. Bu durumda anladığım kadarı ile, synology sadece hangi networkte ise sadece o networke dağıtabilir. Yani Synolog cihazım VLAN20 tagında olsaydı, VLAN20 ağına ip dağıtabilecekti ancak benim merak ettiğim, Servar yapılarında dhcp serverda tüm vlanlar için ayrı havuz oluşturularak ayrı vlanlara tek bir dhcp server tarafından ip dağıtabiliyorlar. Bunu nasıl yapıyoarlar?
-
@grouppolicy serverda dhcp scope kullanılarak yapılabilir. her bir vlan için scope'lar oluşturarak yapabilirsiniz
-
@greenlight Aslında şu anda da yapmak istediğim bu. Synology tarafında oluşturduğum farklı dhcp ağları scoop olmuş olmuyor mu? Örneğin;
LAN ağı için 192.168.1.10 - 192.168.1.254 aralığını dağıtıyor şuan
VLAN20 ip aralığı 192.168.20.10- 192.168.20.254, bu vlanda dhcp yi kapatıp, synology üzerinde oluşturduğum ikinci havuz (192.168.20.10- 192.168.20.254) ten ip alsın istiyorum ancak yapamıyorum. LAN ağından VLAN20 ağına erişim var. Normalde synology (LAN) VLAN20 ağına ip dağıtabilmesi gerekmez mi? -
@grouppolicy bu adımdan sonra yapmanız gereken switch üzerinde yapılandırmayı tamamlamaktır. cisco switchlerde bunu ip helper ile sağlayabilirsiniz. tabi ki markalara göre isimler farklılık gösterecektir. örnek bir yazıyı aşağıda bulabilirsiniz.
https://medium.com/@sametkarademir244/ip-helper-nedir-cisco-cihazlarda-nas%C4%B1l-kullan%C4%B1l%C4%B1r-b873c4cf24c6
-
@greenlight Ok, şimdi oldu hocam. Sanıyorum elimdeki Basit TPlink switch buna izin vermeyecektir. Vlan yönetimi var ancak kapsamlı bir cihaz değil. Yani ip helper adresi tanımlatmayacaktır. Bilgi için çok teşekkür ederim. Son olarak, Best practiceste, pfsense firewall olan bir yapıda, vlanları pfsense üzerinde sonlandırmak mı mantıklıdır yoksa yönetilebilir bir switch üzerinde mi? Benim örneğimdeki switch değilde L3 bir switch var ise, pfsense üzerinde mi sonlanmalı yoksa Switchtemi? Hangisinin ne avantajı/dezavantajı vardır?
-
bu durum cihaz sayısına ve ağ yapısına göre değişkenlik gösterir. AD olup olmaması da bir etkendir.
küçük ölçekli networklerde elinizden geldiğince bütün yapıyı tek bir cihaz ve sistemde toplamak yararınıza olacaktır diye düşünüyorum. sistemi düzenli kontrol eder ve yedeklerinizi alırsanız bir çökme durumunda müdahale etmeniz gereken cihaz ve sistem sayısı bir tane olacağı için kısa sürede sistemi yeniden kurabilir ve yedekler üzerinden ayağa kaldırabilirsiniz. kullandığınız her bir yönetim mekanizması kendi tekelinde ara ara kontrol ve yedeklerin alınmasını gerektirdiği için iş yükünü arttıracaktır.
pfsense özelinde konuşursak, pfsense kurulan cihaz özellikleri karşıladığı sürece bütün hizmetlerin pfsense üzerinden yapılmasından yanayım.
aslında şu anda pfsense daha çok failover ve captive portal olaylarında çok başarılı. https ve squid'deki sorunlar ile birlikte eskisi gibi loglama ve filtreleme yapılamıyor. bu da şu soruyu beraberinde getiriyor. pfsense'i ne için kullanıyorsunuz?
-
@greenlight Biraz mevcut yapım ve kullanım amacımdan bahsedeyim hocam, ilk olarak bu yapıyı ev ortamı için kurdum. Aslına bakarsanız, pfsense i nereye konumlandıracağım noktasında çok düşündüm. Hali hazırda 7/24 çalışan bir sanallaştırma ortamına sanal olarak kurabiliyoruz ancak bunun bildiğim kadarı ile güvenlik açısından ve kullanışlılık açısından bir takım sorunları oluyor. Örneğin güncelleştirmelerde sunucunuzu yeniden başlatmak zorunda kalmanız ve internetsiz kalınması gibi. Bu benim için çok önemli değildi ancak sanallaştırma ortamınızı doğrudan dış dünyaya açmış olmak, oradaki zaafiyetin firewall tarafına da etki edecek olması nedeni ile, bu karardan vazgeçip 2 ethernet kartı olan mini bir bilgisayar aldım (nuc benzeri) Superonline fiber müşterisi olduğum ve fiberin doğrudan verdikleri modem içinde sonlanması nedeni ile doğrudan pfsense e bırakamadım işi. Sağolsunlar modemleri bridge mode destekli de olmadığından iki seçeneğim vardı. Ya double NAT yapacaktım, ya da pfsense iç bacağını DMZ olarak gösterecektim. Bu ikisi arasında hangisi mantıklı hala çok emin değilim ama şu an SOL modeminde DMZ olarak pfsense iç bacağı ayarlı. Yani Yapı şu şekilde; İnternet > Sol Modem > Pfsense > Switch > clieantlar Yani Pfsense WAN bacağı aslında Modem ip si.
Evimde genel olarak bu yapıyı şu amaçla kullanmayı hedefledim;
-
Akıllı ev için kullandığım prizleri, robot süpürgeyi, ip kameraları IoT vlanında toplayıp, bu vlanın LAN erişimini engelleyip sadece internete çıkış vermek
-
Eve gelen misafirler için guest vlanı oluşturmak ve bu vlanda Traffic shapper özelliğini kullanarak bandwith daraltmak ve elbette iç networke erişimi izole bir ağ oluşturmak
Genel olarak kullanım senaryom bu. Network konusunda çok iyi değilim. Pfsense konusunda hele hiç değilim. O nedenle önerilerinize ve uyarılarınıza açığım. Şu an için bu yapıda wifi tarafı biraz sıkıntılı çünkü vlan desteği olmayan bir TP-Link M4 Mesh sistemi kullanıyorum. Şimdilik IoT networkü için bağımsız bir ap bağladım, oradan dağıtıyorum IoT wifisini ancak planımda Unifi marka 2 adet AP alıp, vlanlara göre 3 farklı Wifi yayını yapmayı planlıyorum
Desteğiniz ve yorumlarınız için peşinen teşekkürler
-
-
@grouppolicy rica ederim.
DMZ kullanmak yerine belirli bilgisayarlardan ağınıza erişmek istiyorsanız Openvpn
misafirlerin bağlantısını kısıtlamak için traffic shaper yerine captive portal
Lokal lan ve iot cihazları ayırmak için de port sayısı daha yüksek bir cihaz bulup interface üzerinden ayırma yapabilirsiniz. interfaceler arasında yazacağınız bir block kuralı işinizi görecektir. söylediğiniz çözümler masrafı biraz yüksek olan çözümler ve başlangıçta uğraştırıcı olacaktır.
-
@greenlight said in Pfsense Vlans:
bulup interface üzerinden ayırma yapabilirsiniz. interfaceler arasında yazacağınız bir block kuralı işinizi görecektir. söylediğiniz çözümler masrafı biraz yüksek olan çözü
Aslında şu an kurulumu yaptım ve bu şekilde kullanıyorum ancak Openvpn kısmını tam anlayamadım. Pfsense firewalı iç networkümün önüne almak için, isp modemi bridge mode desteklemediğinden dolayı DMZ yapmak zorunda kaldım. Yani modem gelen trafiği doğrudan pfsense tarafına aktarıyor. Openvpn i bu kurguda nasıl konumlandırabiliriz? Ben openvpn i sadece dışarıdan ev ağıma bağlanmak için kullanıyorum. Bahsettiğim yapıda, pfsense i ISP modemi ile kullanabilmek için farklı bir yol mu izlemeliydim? Yani WAN tarafı public ip olamıyor çünkü modemi devreden çıkartıp doğrudan pfsense bağlayamıyorum.
-
@grouppolicy modemi devreden çıkartmaktaki amaç nedir?
-
@greenlight pfsense normalde ortama nasıl entegre edilir hocam? Yani benim bildiğim ya isp den gelen hattı direk pfsense girersiniz (Wan) diğer portuda iç networkünüzde kullanırsınız (Lan) bunu yaparken eğer isp izin veriyor ise modemi tamamen kaldırıp bu işi pfsense e bırakırsınız bu işi. Eğer izin vermiyor ise modem kalmak zorunda ise, modemi ya bridge mode alarak ilerlersiniz ya da benim şu an kullandığım gibi kullanırsınız. Birşeyleri kaçırıyor muyum? Normalde olması gereken nedir?
-
söylediklerinizi gayet tabi yapabilirsiniz. ama hangi amaçla bunu yapıyorsunuz? ben genelde modemden sonra pfsense'i konumlandırırım. openvpn portlarını modem ve pfsense'ten yönlendiririm. kolay kolay da başka bir portu açmam.
özellikle sabit bir ip adresinizin olması ve bazı portları doğrudan dışarıya açmak büyük tehlike arz eder. açık olan uzak masaüstü portları da varsa tahmin ettiğinizden daha kısa süre içerisinde dosya şifreleme virüsüne maruz kalabilirsiniz.
sanallaştırma ve hosting yapılan yerler dışında modemi veya pfsense'i doğrudan dış dünyaya açmak beraberinde bir çok tehlikeyi de getirir. düzenli olarak güncelleştirmeleri ve açıkları takip etmeniz gerekir. ayrıca kısa bir süre sonra göreceksiniz ki çok çeşitli ip adreslerinden ve dünyanın çeşitli lokasyonlarından brute force atakları almaya başlayacaksınız. yanlış hatırlamıyorsam çok da uzun olmayan bir süre önce terrapin ssh açığı keşfedildi ve açık kapatılabildi mi emin değilim.
-
@greenlight Aslında şu an bende tam sizin kullandığınız gibi kullanıyorum. Modemden sonra pfsense konumlandırdım. Siz sanırım portu hem modemde hem de pfsense tarafında açıyorsunuz openvpn için değil mi?
-
@grouppolicy openvpn'i pfsense üzerinde kullanıyorsanız gerektirmez. server'da kullanıyorsanız pfsense tarafında tekrar port yönlendirmesi yapmanız gerekiyor.