PFSense yapılandırma için yardım
-
resimdeki düzende bir sistemimiz mevcut x le gösterdigim yere firewall koymak istiyoruz kasamız hazır daha dogrusu fazladan i5 li ssd li bir kasamız vardı onu kullanacagız kurulum vs. geçtik ama internette videolardada gordugum kadarıyla hepsi farklı yapılandırma yapıyor birkaçını denedik internete çıkamadık acıkcası ip leri firewallın mı dagıtması gerekiyor öyle gerekiyorsa yine fw 192.168.1.x üzerinden ilerleyecek şekilde nasıl bir yapılandırma yapabiliriz takıldıgımız ver siyah ekrandan sonra arayüze girdigimizdeki sayfalar teşekkürler şimdiden.
-
dhcp server'i pfsense üzerinde çalıştırabilirsiniz. daha sonra sabit ip'ye sahip cihazlarınızın kullandığı ip bloğunu dhcp aralığında olacak şekilde yapılandırın.
örneğin sabit ip adresleriniz 192.168.1.1-192.168.1.100 olsun
dhcp aralığınız 192.168.1.1-.192.168.4.254 olarak belirleyindhcp pool aralığınız 192.168.1.3-192.168.4.254 olarak belirleyin. bunun için subnet mask'ınızın 255.255.252.0 olması gerekir. veya aralığı isteğinize göre daha dar tutabilirsiniz. bunu yapmaktaki amaç kendinize rahat hareket edebileceğiniz sabit ip boşluğu oluşturmak ve dhcp üzerinden ip alacak cihazlarla karışmasını engellemek.
kurulumu yaptıktan sonra lan networkü üzerinde dhcp v4 servisini başlatmanız gerekiyor. sonrasında switch üzerinden lan interfaceine atadığınız ip ile pfsense web arayüzüne erişebilirsiniz.
muhtemelen modeminiz 192.168.1.x olarak ip kullanıyordur. bu yüzden modemin ip bloğunu değiştirmeniz gerekiyor. modem ip adresini 192.168.10.1 ile değiştirebilirsiniz. devamında lan interface'inde 192.168.1.1 adresini kullanabilirsiniz.
-
Yukarıdaki tarif en sağlıklı olanı. Ama;
Statik ipli cihazlardaki, gateway ve dns kullandığım adresleri değiştiririm derseniz, modem ipsi ile oynamanıza gerek yok. Çünkü modemi başka adrese alıp Pf'i modem ipsine alırsanız, modem resetlendiğinde çakışma yaşarsınız.
Pf'i o araya koymadan hariçte kurup, bir switch-bilgisayar yardımıyla x.x.1.1 ile web arayüzüne bağlanın.(konsoldan da yapılır da konsol biraz karışıktır) Wan ipsini statik olarak x.x.1.2(gatewayi x.x.1.1), lan ipsini ise x.x.1.10 yapın. Sonra tekrar x.x.1.10 ile Pf arayüzüne bağlanıp, dhcp dağıtım aralığını x.x.1.200-x.x.1.230 yapın. (Bu aralığı uzatıp kısaltabilirsiniz)
Sonra da dediğiniz araya Pf'yi bağlayarak, statik ipli cihazların -varsa- gateway ve dns adreslerini x.x.1.10 olarak değiştirin. Modem yerine Pf'i görecek yani. Bu kadar...
Yalnız her iki tarifte de wifi ile bağlanan cihazlar pf ağınızı görmez, ona göre. Çünkü onlar(ip blokları aynı olsa bile) modem dağıtımındaki ağda olacaklar.
-
@plusbil o zman diger 2 cihazı ip yi pf den alıcak şekilde yapılandırsam access point şeklinde yine olmazmı hocam ?
-
@plusbil anladıgım kadarıyla 2 bacagıda 192.168.1.x olarak ayarlıcaz ayarı yine lan bacagından yapıcaz ama aygıtlar lan bagacına baglı oldugu ıcın ip yi fw den alıcaklar modemle direk baglantıları olmıcak fakat modemle senkron calısan diger 2 wifi cihazı modemi direk görmeyecegi için senkron calısamıcaklar ama onlarada statik atayıp AP seklinde kullanabilirim diye umuyorum dhcp yi komple yapamayı düşünüyorum dısardan iznim olmadan cihaz baglanmasın diye acıkcası her cihaz tek tek statik vericem. burda wifi yazıcılarımız var onlarda fw sonrası gelen AP lere baglı olması gerek sanırım yani modem yanlız kalıcak görevi sadece 1.1 den fw ye internet vermek olucak peki işim düştügünde modem arayüzüne nasıl baglanıcam wan bacagını cıkarıp direk bi laptopa baglamam gerekiyor sanırım fw sonrası cihazlardan ulasamıcam anladıgım kadarıyla.
-
@kozuch94 said in PFSense yapılandırma için yardım:
anladıgım kadarıyla 2 bacagıda 192.168.1.x olarak ayarlıcaz
2 bacaktan kastınız modemden gelen ve lan tarafına açılan şeklindeyse yanılıyorsunuz. interfacelerin ip bloklarının birbirinden farklı olması gerekmektedir.
modemden gelen 10.10.10.1 ve lan tarafına açılan 192.168.1.1 şeklinde olabilir.
mesh cihazların modem ile bağını koparıp ap olarak çalıştırabilirsiniz. dışarıdan gelen bağlantıları engellemek için statik ip yerine captive portal da kullanabilirsiniz. kullanıcılar kendi id ve şifreleriyle giriş yapabilir. sürekli bağlı kalması gereken cihazlar için captive portal'ın mac bölümüne cihazların mac adreslerini ekleyebilirsiniz. böylece cihazları bypass etmiş olursunuz.
modeme bağlanabilmek için lan tarafında herhangi bir yerden modem ip adresini yazabilirsiniz. ama şunu unutmayın hem modem hem de lan aynı ip adresine sahip olamaz.
-
@greenlight Pf'i o araya koymadan hariçte kurup, bir switch-bilgisayar yardımıyla x.x.1.1 ile web arayüzüne bağlanın.(konsoldan da yapılır da konsol biraz karışıktır) Wan ipsini statik olarak x.x.1.2(gatewayi x.x.1.1), lan ipsini ise x.x.1.10 yapın. Sonra tekrar x.x.1.10 ile Pf arayüzüne bağlanıp, dhcp dağıtım aralığını x.x.1.200-x.x.1.230 yapın. (Bu aralığı uzatıp kısaltabilirsiniz)
ben burayı yanlıs anladım o zmn 2 bacagıda x.x.1.x olarak denmemişmi yada benim kafa durdu
şuanda şu şekil deneme yapıyorum x.x.3.x üzerinden wan bacagı normal aga baglı lan bacagı suankı kendi kullandıgım pcye baglı iki bacakta statik konumda ben en temizi modemi yanlız bırakıp bunun wanına 192.168.1.2 statik vereyim Lan bacagınada 192.168.3.x üzerinden statik ayarlıyım tüm cihazlara tek tek statik x.x.3.x ip dagıtayım az zamanımı alıcak ama temiz olucak sanırım katlardaki APler içinde aynı şekilde bunun lan bacagından x.x.3.x statik vereyim dhcp komple kapatıcam en garantisi böyle olcak galba başka türlü kafam basmıyor suanda
-
@kozuch94 dhcp servisini kapatırsanız ağda iletişim olmaz. lan tarafında dhcp servisi açık olmalı ancak Deny unknown clients seçeneğini işaretlemelisiniz. böylece statik tanımlaması olmayan cihazlar dhcp kiralayamaz ve ağa erişemezler.
attığınız görsel ile pfsense cihazının ve bağlandığınız laptopun internete çıkıyor olması gerekmektedir. (wan tarafında statik ip vermişsiniz ama modemin dhcp pool aralığında ise bağlantı kuramayabilirsiniz). eğer internete çıkışta problem yaşıyorsanız dns ayarlarınızı gözden geçirmenizi tavsiye ederim. sıfırdan kurulumlarda yeni sürümlerde dns resolver açık geliyor ve bazen problem çıkarabiliyor. bunun yerine dns tanımlarını yaptıktan sonra dns forwarder'ı deneyebilirsiniz.
-
@greenlight anladım hocam bu aksam dediginiz şekilde bir deneme yapacagım
-
@greenlight attıgım gorselde internete cıkabılıyorum hatta ilginç şekilde x.x.1. olan agdaki pc ve cihazlarıda görebiliyorum ama ben x.x.3.x deyim
-
@kozuch94 said in PFSense yapılandırma için yardım:
@greenlight Pf'i o araya koymadan hariçte kurup, bir switch-bilgisayar yardımıyla x.x.1.1 ile web arayüzüne bağlanın.(konsoldan da yapılır da konsol biraz karışıktır) Wan ipsini statik olarak x.x.1.2(gatewayi x.x.1.1), lan ipsini ise x.x.1.10 yapın. Sonra tekrar x.x.1.10 ile Pf arayüzüne bağlanıp, dhcp dağıtım aralığını x.x.1.200-x.x.1.230 yapın. (Bu aralığı uzatıp kısaltabilirsiniz)
ben burayı yanlıs anladım o zmn 2 bacagıda x.x.1.x olarak denmemişmi yada benim kafa durdu
şuanda şu şekil deneme yapıyorum x.x.3.x üzerinden wan bacagı normal aga baglı lan bacagı suankı kendi kullandıgım pcye baglı iki bacakta statik konumda ben en temizi modemi yanlız bırakıp bunun wanına 192.168.1.2 statik vereyim Lan bacagınada 192.168.3.x üzerinden statik ayarlıyım tüm cihazlara tek tek statik x.x.3.x ip dagıtayım az zamanımı alıcak ama temiz olucak sanırım katlardaki APler içinde aynı şekilde bunun lan bacagından x.x.3.x statik vereyim dhcp komple kapatıcam en garantisi böyle olcak galba başka türlü kafam basmıyor suanda
Doğru anlamışsınız aslında. Ipler çakışmadığı ama ip blokları aynı olduğu halde bile; yaparsanız sorunsuz bir şekilde çalışır. Çünkü ağları birbirinden ayıran ip blokları değil, gateway adresleridir. Ama bu attığınız IP görselini yaparım derseniz daha kolay anlaşılır bir ağınız olur elbette. Lan tarafından wana yani modeme ulaşım "siz engellemediğiniz sürece" her cihazdan kurulabilir. O konuyu dert etmeyin.
2 cihaz dediğiniz wifimesh cihazlar ise; mesh sistemi "benim bildiğim" kablosuz çalışır. Kablosuz olarak modeme bağlı olan bu cihazları, önünde pf varken kablolu lan ağına dahil edemezsiniz. O yüzden landaki cihazları, mesh altyapısıyla internet alan cihazlar görmez dedim. Wifimesh yapısını lana dahil etmek istiyorsanız; lan çıkışından sonra her bir cihazı kabloyla -ki o zaman mesh biter, ayrı ayrı ap olarak çalışır wifi cihazlar-, yahut illa mesh istiyorum derseniz lan tarafındaki yeni bir kablolu apye yeni bir mesh kurulumuyla wifi cihazları lan sistemine dahil edebilirsiniz. Yani ya duvarın arkasında modem tarafında kalırlar, yahut duvarın önünde lan ağında kalırlar. Bu ister mesh ister bireysel ap olsun, böyle.
Dhcpyi kapatabilirsiniz, statik atama olmayan cihazlar ip alamazlar bağlanamazlar, doğru. Ama bu sadece yabancılar içindir. Bilen biri için bir cihaza ip ataması yapmak çocuk oyuncağıdır. Ve ip atandığı anda sisteme dahil olurlar.
Bunu kabul ediyorsanız, kullanabilirsiniz. Ama derseniz ki "benim iznim olsun", o zaman ya static arpyi devreye sokmalı yahut sisteme captive portal kurmalısınız. Ancak burada da bir handikap mevcuttur. Captive portalda daima bağlı cihazlar veya static arp olacak ise; özellikle cep telefonlarında rastgele mac özelliği başınızı ağrıtacaktır. Ya her rastgele mac kullanan cihazın bu özelliğini kapatıp, cihazın gerçek mac adreslerini tanımlayacaksınız; yahut sadece captive portal kullanıp süresi dolanın tekrar kullanıcı girişi yapmasını isteyeceksiniz. Yani "istemediğim kişiler sisteme giremesin ama istediğim bazıları da sabit bağlı kalsın" dediğiniz an, karşınıza rastgele mac sorunu çıkacak maalesef.
Pfte wan bacağına sabit ip verecek olursanız "özellikle uydunet modemli sistemlerde" o gatewayin dns adresini(monitor ip) değiştirmeyi unutmayın. Çünkü ister dhcpli ister dhcpsiz bir modemden, statik ip aldığınızda dns farklı olmadığı zaman modem sizin internet çıkışınızı bloklayabilir. Uydunetin kullandığı netmaster modemlerin birçoğu bu konuda sabıkalıdır mesela. Ve bu bloklamayı düzenli de yapmazlar üstelik. Keyiflerine göre takılabilirler. O yüzden open dns adreslerinden herhangi birini mutlaka kullanın.
-
@plusbil hocam tekrar selamlar 192.168.3.x şeklinde tüm ağı kurdum ap leri yazıcıları vs hepsini ayarladım suan modem x.x.1.1 şeklinde pfsense wana veriyor pfsense lan dan ağa 3.x şeklinde dagılıyor 60 küsür cihaz baglı x.100 e kadar statik kullanıyorum 100-245 aralıgını dhpc ye bıraktım ilk sorum şu hocam anlık olarak baglı olan cihaz ve iplerini nerden görebilirim böyle bir tablo varmıdır 2.sorum herhangi bir eklenti kurmadım IDS IPS kendi içinde varmıdır yoksa bişeyler daha kurmam gerekiyormu
-
@kozuch94 Status/DHCP Leases kısmından ip ve mac görünebilir
veya System/Package Manager/Available Packages
kısmından ntopng paketi yüklenebilir bu paket detaylı gösterim için -
IDS IPS için ekstra bir eklenti kurmak gerekiyor. snort veya suricata kullanabilirsiniz.