PFSense yapılandırma için yardım
-
@plusbil o zman diger 2 cihazı ip yi pf den alıcak şekilde yapılandırsam access point şeklinde yine olmazmı hocam ?
-
@plusbil anladıgım kadarıyla 2 bacagıda 192.168.1.x olarak ayarlıcaz ayarı yine lan bacagından yapıcaz ama aygıtlar lan bagacına baglı oldugu ıcın ip yi fw den alıcaklar modemle direk baglantıları olmıcak fakat modemle senkron calısan diger 2 wifi cihazı modemi direk görmeyecegi için senkron calısamıcaklar ama onlarada statik atayıp AP seklinde kullanabilirim diye umuyorum dhcp yi komple yapamayı düşünüyorum dısardan iznim olmadan cihaz baglanmasın diye acıkcası her cihaz tek tek statik vericem. burda wifi yazıcılarımız var onlarda fw sonrası gelen AP lere baglı olması gerek sanırım yani modem yanlız kalıcak görevi sadece 1.1 den fw ye internet vermek olucak peki işim düştügünde modem arayüzüne nasıl baglanıcam wan bacagını cıkarıp direk bi laptopa baglamam gerekiyor sanırım fw sonrası cihazlardan ulasamıcam anladıgım kadarıyla.
-
@kozuch94 said in PFSense yapılandırma için yardım:
anladıgım kadarıyla 2 bacagıda 192.168.1.x olarak ayarlıcaz
2 bacaktan kastınız modemden gelen ve lan tarafına açılan şeklindeyse yanılıyorsunuz. interfacelerin ip bloklarının birbirinden farklı olması gerekmektedir.
modemden gelen 10.10.10.1 ve lan tarafına açılan 192.168.1.1 şeklinde olabilir.
mesh cihazların modem ile bağını koparıp ap olarak çalıştırabilirsiniz. dışarıdan gelen bağlantıları engellemek için statik ip yerine captive portal da kullanabilirsiniz. kullanıcılar kendi id ve şifreleriyle giriş yapabilir. sürekli bağlı kalması gereken cihazlar için captive portal'ın mac bölümüne cihazların mac adreslerini ekleyebilirsiniz. böylece cihazları bypass etmiş olursunuz.
modeme bağlanabilmek için lan tarafında herhangi bir yerden modem ip adresini yazabilirsiniz. ama şunu unutmayın hem modem hem de lan aynı ip adresine sahip olamaz.
-
@greenlight Pf'i o araya koymadan hariçte kurup, bir switch-bilgisayar yardımıyla x.x.1.1 ile web arayüzüne bağlanın.(konsoldan da yapılır da konsol biraz karışıktır) Wan ipsini statik olarak x.x.1.2(gatewayi x.x.1.1), lan ipsini ise x.x.1.10 yapın. Sonra tekrar x.x.1.10 ile Pf arayüzüne bağlanıp, dhcp dağıtım aralığını x.x.1.200-x.x.1.230 yapın. (Bu aralığı uzatıp kısaltabilirsiniz)
ben burayı yanlıs anladım o zmn 2 bacagıda x.x.1.x olarak denmemişmi yada benim kafa durdu
şuanda şu şekil deneme yapıyorum x.x.3.x üzerinden wan bacagı normal aga baglı lan bacagı suankı kendi kullandıgım pcye baglı iki bacakta statik konumda ben en temizi modemi yanlız bırakıp bunun wanına 192.168.1.2 statik vereyim Lan bacagınada 192.168.3.x üzerinden statik ayarlıyım tüm cihazlara tek tek statik x.x.3.x ip dagıtayım az zamanımı alıcak ama temiz olucak sanırım katlardaki APler içinde aynı şekilde bunun lan bacagından x.x.3.x statik vereyim dhcp komple kapatıcam en garantisi böyle olcak galba başka türlü kafam basmıyor suanda
-
@kozuch94 dhcp servisini kapatırsanız ağda iletişim olmaz. lan tarafında dhcp servisi açık olmalı ancak Deny unknown clients seçeneğini işaretlemelisiniz. böylece statik tanımlaması olmayan cihazlar dhcp kiralayamaz ve ağa erişemezler.
attığınız görsel ile pfsense cihazının ve bağlandığınız laptopun internete çıkıyor olması gerekmektedir. (wan tarafında statik ip vermişsiniz ama modemin dhcp pool aralığında ise bağlantı kuramayabilirsiniz). eğer internete çıkışta problem yaşıyorsanız dns ayarlarınızı gözden geçirmenizi tavsiye ederim. sıfırdan kurulumlarda yeni sürümlerde dns resolver açık geliyor ve bazen problem çıkarabiliyor. bunun yerine dns tanımlarını yaptıktan sonra dns forwarder'ı deneyebilirsiniz.
-
@greenlight anladım hocam bu aksam dediginiz şekilde bir deneme yapacagım
-
@greenlight attıgım gorselde internete cıkabılıyorum hatta ilginç şekilde x.x.1. olan agdaki pc ve cihazlarıda görebiliyorum ama ben x.x.3.x deyim
-
@kozuch94 said in PFSense yapılandırma için yardım:
@greenlight Pf'i o araya koymadan hariçte kurup, bir switch-bilgisayar yardımıyla x.x.1.1 ile web arayüzüne bağlanın.(konsoldan da yapılır da konsol biraz karışıktır) Wan ipsini statik olarak x.x.1.2(gatewayi x.x.1.1), lan ipsini ise x.x.1.10 yapın. Sonra tekrar x.x.1.10 ile Pf arayüzüne bağlanıp, dhcp dağıtım aralığını x.x.1.200-x.x.1.230 yapın. (Bu aralığı uzatıp kısaltabilirsiniz)
ben burayı yanlıs anladım o zmn 2 bacagıda x.x.1.x olarak denmemişmi yada benim kafa durdu
şuanda şu şekil deneme yapıyorum x.x.3.x üzerinden wan bacagı normal aga baglı lan bacagı suankı kendi kullandıgım pcye baglı iki bacakta statik konumda ben en temizi modemi yanlız bırakıp bunun wanına 192.168.1.2 statik vereyim Lan bacagınada 192.168.3.x üzerinden statik ayarlıyım tüm cihazlara tek tek statik x.x.3.x ip dagıtayım az zamanımı alıcak ama temiz olucak sanırım katlardaki APler içinde aynı şekilde bunun lan bacagından x.x.3.x statik vereyim dhcp komple kapatıcam en garantisi böyle olcak galba başka türlü kafam basmıyor suanda
Doğru anlamışsınız aslında. Ipler çakışmadığı ama ip blokları aynı olduğu halde bile; yaparsanız sorunsuz bir şekilde çalışır. Çünkü ağları birbirinden ayıran ip blokları değil, gateway adresleridir. Ama bu attığınız IP görselini yaparım derseniz daha kolay anlaşılır bir ağınız olur elbette. Lan tarafından wana yani modeme ulaşım "siz engellemediğiniz sürece" her cihazdan kurulabilir. O konuyu dert etmeyin.
2 cihaz dediğiniz wifimesh cihazlar ise; mesh sistemi "benim bildiğim" kablosuz çalışır. Kablosuz olarak modeme bağlı olan bu cihazları, önünde pf varken kablolu lan ağına dahil edemezsiniz. O yüzden landaki cihazları, mesh altyapısıyla internet alan cihazlar görmez dedim. Wifimesh yapısını lana dahil etmek istiyorsanız; lan çıkışından sonra her bir cihazı kabloyla -ki o zaman mesh biter, ayrı ayrı ap olarak çalışır wifi cihazlar-, yahut illa mesh istiyorum derseniz lan tarafındaki yeni bir kablolu apye yeni bir mesh kurulumuyla wifi cihazları lan sistemine dahil edebilirsiniz. Yani ya duvarın arkasında modem tarafında kalırlar, yahut duvarın önünde lan ağında kalırlar. Bu ister mesh ister bireysel ap olsun, böyle.
Dhcpyi kapatabilirsiniz, statik atama olmayan cihazlar ip alamazlar bağlanamazlar, doğru. Ama bu sadece yabancılar içindir. Bilen biri için bir cihaza ip ataması yapmak çocuk oyuncağıdır. Ve ip atandığı anda sisteme dahil olurlar.
Bunu kabul ediyorsanız, kullanabilirsiniz. Ama derseniz ki "benim iznim olsun", o zaman ya static arpyi devreye sokmalı yahut sisteme captive portal kurmalısınız. Ancak burada da bir handikap mevcuttur. Captive portalda daima bağlı cihazlar veya static arp olacak ise; özellikle cep telefonlarında rastgele mac özelliği başınızı ağrıtacaktır. Ya her rastgele mac kullanan cihazın bu özelliğini kapatıp, cihazın gerçek mac adreslerini tanımlayacaksınız; yahut sadece captive portal kullanıp süresi dolanın tekrar kullanıcı girişi yapmasını isteyeceksiniz. Yani "istemediğim kişiler sisteme giremesin ama istediğim bazıları da sabit bağlı kalsın" dediğiniz an, karşınıza rastgele mac sorunu çıkacak maalesef.
Pfte wan bacağına sabit ip verecek olursanız "özellikle uydunet modemli sistemlerde" o gatewayin dns adresini(monitor ip) değiştirmeyi unutmayın. Çünkü ister dhcpli ister dhcpsiz bir modemden, statik ip aldığınızda dns farklı olmadığı zaman modem sizin internet çıkışınızı bloklayabilir. Uydunetin kullandığı netmaster modemlerin birçoğu bu konuda sabıkalıdır mesela. Ve bu bloklamayı düzenli de yapmazlar üstelik. Keyiflerine göre takılabilirler. O yüzden open dns adreslerinden herhangi birini mutlaka kullanın.
-
@plusbil hocam tekrar selamlar 192.168.3.x şeklinde tüm ağı kurdum ap leri yazıcıları vs hepsini ayarladım suan modem x.x.1.1 şeklinde pfsense wana veriyor pfsense lan dan ağa 3.x şeklinde dagılıyor 60 küsür cihaz baglı x.100 e kadar statik kullanıyorum 100-245 aralıgını dhpc ye bıraktım ilk sorum şu hocam anlık olarak baglı olan cihaz ve iplerini nerden görebilirim böyle bir tablo varmıdır 2.sorum herhangi bir eklenti kurmadım IDS IPS kendi içinde varmıdır yoksa bişeyler daha kurmam gerekiyormu
-
@kozuch94 Status/DHCP Leases kısmından ip ve mac görünebilir
veya System/Package Manager/Available Packages
kısmından ntopng paketi yüklenebilir bu paket detaylı gösterim için -
IDS IPS için ekstra bir eklenti kurmak gerekiyor. snort veya suricata kullanabilirsiniz.