Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Pfsense Vlans

    Scheduled Pinned Locked Moved
    Turkish
    3
    21
    777
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • G
      greenlight
      last edited by greenlight

      bu durum cihaz sayısına ve ağ yapısına göre değişkenlik gösterir. AD olup olmaması da bir etkendir.

      küçük ölçekli networklerde elinizden geldiğince bütün yapıyı tek bir cihaz ve sistemde toplamak yararınıza olacaktır diye düşünüyorum. sistemi düzenli kontrol eder ve yedeklerinizi alırsanız bir çökme durumunda müdahale etmeniz gereken cihaz ve sistem sayısı bir tane olacağı için kısa sürede sistemi yeniden kurabilir ve yedekler üzerinden ayağa kaldırabilirsiniz. kullandığınız her bir yönetim mekanizması kendi tekelinde ara ara kontrol ve yedeklerin alınmasını gerektirdiği için iş yükünü arttıracaktır.

      pfsense özelinde konuşursak, pfsense kurulan cihaz özellikleri karşıladığı sürece bütün hizmetlerin pfsense üzerinden yapılmasından yanayım.

      aslında şu anda pfsense daha çok failover ve captive portal olaylarında çok başarılı. https ve squid'deki sorunlar ile birlikte eskisi gibi loglama ve filtreleme yapılamıyor. bu da şu soruyu beraberinde getiriyor. pfsense'i ne için kullanıyorsunuz?

      G 1 Reply Last reply Reply Quote 0
      • G
        grouppolicy @greenlight
        last edited by

        @greenlight Biraz mevcut yapım ve kullanım amacımdan bahsedeyim hocam, ilk olarak bu yapıyı ev ortamı için kurdum. Aslına bakarsanız, pfsense i nereye konumlandıracağım noktasında çok düşündüm. Hali hazırda 7/24 çalışan bir sanallaştırma ortamına sanal olarak kurabiliyoruz ancak bunun bildiğim kadarı ile güvenlik açısından ve kullanışlılık açısından bir takım sorunları oluyor. Örneğin güncelleştirmelerde sunucunuzu yeniden başlatmak zorunda kalmanız ve internetsiz kalınması gibi. Bu benim için çok önemli değildi ancak sanallaştırma ortamınızı doğrudan dış dünyaya açmış olmak, oradaki zaafiyetin firewall tarafına da etki edecek olması nedeni ile, bu karardan vazgeçip 2 ethernet kartı olan mini bir bilgisayar aldım (nuc benzeri) Superonline fiber müşterisi olduğum ve fiberin doğrudan verdikleri modem içinde sonlanması nedeni ile doğrudan pfsense e bırakamadım işi. Sağolsunlar modemleri bridge mode destekli de olmadığından iki seçeneğim vardı. Ya double NAT yapacaktım, ya da pfsense iç bacağını DMZ olarak gösterecektim. Bu ikisi arasında hangisi mantıklı hala çok emin değilim ama şu an SOL modeminde DMZ olarak pfsense iç bacağı ayarlı. Yani Yapı şu şekilde; İnternet > Sol Modem > Pfsense > Switch > clieantlar Yani Pfsense WAN bacağı aslında Modem ip si.

        Evimde genel olarak bu yapıyı şu amaçla kullanmayı hedefledim;

        • Akıllı ev için kullandığım prizleri, robot süpürgeyi, ip kameraları IoT vlanında toplayıp, bu vlanın LAN erişimini engelleyip sadece internete çıkış vermek

        • Eve gelen misafirler için guest vlanı oluşturmak ve bu vlanda Traffic shapper özelliğini kullanarak bandwith daraltmak ve elbette iç networke erişimi izole bir ağ oluşturmak

        Genel olarak kullanım senaryom bu. Network konusunda çok iyi değilim. Pfsense konusunda hele hiç değilim. O nedenle önerilerinize ve uyarılarınıza açığım. Şu an için bu yapıda wifi tarafı biraz sıkıntılı çünkü vlan desteği olmayan bir TP-Link M4 Mesh sistemi kullanıyorum. Şimdilik IoT networkü için bağımsız bir ap bağladım, oradan dağıtıyorum IoT wifisini ancak planımda Unifi marka 2 adet AP alıp, vlanlara göre 3 farklı Wifi yayını yapmayı planlıyorum

        Desteğiniz ve yorumlarınız için peşinen teşekkürler

        G 1 Reply Last reply Reply Quote 0
        • G
          greenlight @grouppolicy
          last edited by

          @grouppolicy rica ederim.

          DMZ kullanmak yerine belirli bilgisayarlardan ağınıza erişmek istiyorsanız Openvpn

          misafirlerin bağlantısını kısıtlamak için traffic shaper yerine captive portal

          Lokal lan ve iot cihazları ayırmak için de port sayısı daha yüksek bir cihaz bulup interface üzerinden ayırma yapabilirsiniz. interfaceler arasında yazacağınız bir block kuralı işinizi görecektir. söylediğiniz çözümler masrafı biraz yüksek olan çözümler ve başlangıçta uğraştırıcı olacaktır.

          G 1 Reply Last reply Reply Quote 0
          • G
            grouppolicy @greenlight
            last edited by

            @greenlight said in Pfsense Vlans:

            bulup interface üzerinden ayırma yapabilirsiniz. interfaceler arasında yazacağınız bir block kuralı işinizi görecektir. söylediğiniz çözümler masrafı biraz yüksek olan çözü

            Aslında şu an kurulumu yaptım ve bu şekilde kullanıyorum ancak Openvpn kısmını tam anlayamadım. Pfsense firewalı iç networkümün önüne almak için, isp modemi bridge mode desteklemediğinden dolayı DMZ yapmak zorunda kaldım. Yani modem gelen trafiği doğrudan pfsense tarafına aktarıyor. Openvpn i bu kurguda nasıl konumlandırabiliriz? Ben openvpn i sadece dışarıdan ev ağıma bağlanmak için kullanıyorum. Bahsettiğim yapıda, pfsense i ISP modemi ile kullanabilmek için farklı bir yol mu izlemeliydim? Yani WAN tarafı public ip olamıyor çünkü modemi devreden çıkartıp doğrudan pfsense bağlayamıyorum.

            G 1 Reply Last reply Reply Quote 0
            • G
              greenlight @grouppolicy
              last edited by

              @grouppolicy modemi devreden çıkartmaktaki amaç nedir?

              G 1 Reply Last reply Reply Quote 0
              • G
                grouppolicy @greenlight
                last edited by

                @greenlight pfsense normalde ortama nasıl entegre edilir hocam? Yani benim bildiğim ya isp den gelen hattı direk pfsense girersiniz (Wan) diğer portuda iç networkünüzde kullanırsınız (Lan) bunu yaparken eğer isp izin veriyor ise modemi tamamen kaldırıp bu işi pfsense e bırakırsınız bu işi. Eğer izin vermiyor ise modem kalmak zorunda ise, modemi ya bridge mode alarak ilerlersiniz ya da benim şu an kullandığım gibi kullanırsınız. Birşeyleri kaçırıyor muyum? Normalde olması gereken nedir?

                1 Reply Last reply Reply Quote 0
                • G
                  greenlight
                  last edited by

                  söylediklerinizi gayet tabi yapabilirsiniz. ama hangi amaçla bunu yapıyorsunuz? ben genelde modemden sonra pfsense'i konumlandırırım. openvpn portlarını modem ve pfsense'ten yönlendiririm. kolay kolay da başka bir portu açmam.

                  özellikle sabit bir ip adresinizin olması ve bazı portları doğrudan dışarıya açmak büyük tehlike arz eder. açık olan uzak masaüstü portları da varsa tahmin ettiğinizden daha kısa süre içerisinde dosya şifreleme virüsüne maruz kalabilirsiniz.

                  sanallaştırma ve hosting yapılan yerler dışında modemi veya pfsense'i doğrudan dış dünyaya açmak beraberinde bir çok tehlikeyi de getirir. düzenli olarak güncelleştirmeleri ve açıkları takip etmeniz gerekir. ayrıca kısa bir süre sonra göreceksiniz ki çok çeşitli ip adreslerinden ve dünyanın çeşitli lokasyonlarından brute force atakları almaya başlayacaksınız. yanlış hatırlamıyorsam çok da uzun olmayan bir süre önce terrapin ssh açığı keşfedildi ve açık kapatılabildi mi emin değilim.

                  G 1 Reply Last reply Reply Quote 0
                  • G
                    grouppolicy @greenlight
                    last edited by

                    @greenlight Aslında şu an bende tam sizin kullandığınız gibi kullanıyorum. Modemden sonra pfsense konumlandırdım. Siz sanırım portu hem modemde hem de pfsense tarafında açıyorsunuz openvpn için değil mi?

                    G 1 Reply Last reply Reply Quote 0
                    • G
                      greenlight @grouppolicy
                      last edited by

                      @grouppolicy openvpn'i pfsense üzerinde kullanıyorsanız gerektirmez. server'da kullanıyorsanız pfsense tarafında tekrar port yönlendirmesi yapmanız gerekiyor.

                      G 1 Reply Last reply Reply Quote 0
                      • G
                        grouppolicy @greenlight
                        last edited by

                        @greenlight Evet server tarafında kullanıyorum. Bu nedenle aslında double nat yapmış oluyoruz. Bu durumda,

                        mevcut yapımda modem > pfsense > iç network switch yapısı mantıksız bir yapı değil diye anlıyorum

                        1 Reply Last reply Reply Quote 0
                        • First post
                          Last post