Iliad box + pFsense

mak3

Ciao, sono anni che utilizzo pFsense CE come router/firewall, non ne posso fare almeno .
Ho attivato la fibra FTTH di Iliad, al primo collegamento al modem ho immediatamente cambiato la modalità in ONT (dopo lo speed test), ho collegato la porta di iliad box da 2.5Gb al mio router pfsense (porta WAN) nelle impostazioni della WAN ho scelto DHCP nella sezione IPv4, per ora l'IPv6 non mi interessa, mi viene assegnato l'indirizzo IP ma non navigo o meglio si apre solo qualche pagina web e di una lentezza assurda . Bisogna configurare il NAT su pfsense giusto?
Saluti

x_term

mak3 devi configurare il SNAT sul range di porte a te assegnato da iliad. Altrimenti chiamare iliad e giustificandolo ti assegnano un IPv4 statico intero. Di default su iliad è condiviso tra 4 clienti.

[cancellato]

mak3 per ora l'IPv6 non mi interessa,

Usare un provider IPv6 nativo per poi non usare IPv6 e ridursi solamente all'IPv4 gestito da qualche sistema CG-NAT è un po' darsi la zappa sui piedi. Le destinazioni raggiungibili in IPv6 sarebbe molto meglio raggiungerle direttamente. Altrimenti tanto vale sceglire un ISP IPv4 nativo.

mak3

x_term
Per sapere quali sono il range di porte che mi hanno assegnato devo chiamare a iliad oppure le posso prendere nel iliad box? Mi sembra che l'indirizzo IP e fisso no dinamico, ho riavviato 3 volte il modem e l'ip era lo stesso, Domani farò altre prove. Forse è un indirizzo IP fisso per 4 clienti

mak3

[cancellato]
Concordo con te, ma dovevo sistemare prima l IPv4 ho sempre utilizzato connessione PPPOE, invece con la fibra e diverso, ho avuto qualche piccolo problema con alcune regole di pFsense , la connessione era lenta e funzionava ad intermittenza. Ora tutto perfetto, in questi giorni mi dedico alla configurazione di IPv6, in passato ho disabilitato il protocollo sul firewall, visto che non lo utilizzavo

x_term
Che vantaggi ho con un ip statico intero?

x_term

mak3 dovrebbero essere scritte nella iliadbox ma devi resettarla per tornare ad accedere.

mak3 Mi sembra che l'indirizzo IP e fisso no dinamico, ho riavviato 3 volte il modem e l'ip era lo stesso

è statico in tutti i casi infatti, cambia solo il condiviso/dedicato

mak3

x_term
Perfetto ti ringrazio, forse non c'è bisogno di fare il reset , in modalitò ONT mi collego ad iliad box digitando 212.27.38.253 nel browser e accedo al box iliad. Domani configuro e aggiorno questo post

x_term

mak3 Che vantaggi ho con un ip statico intero?

Mi pare ovvio, poniamo che tu abbia assegnato il range 16384-32768 e debba esporre qualche servizio su internet (magari un webserver), non potrai usare la porta default (80 o 443). La tua comunicazione esterna è limitata a quel range.

mak3

x_term
Ah ok grazie per l'info , il mio range di porte sono 1:16383 quindi posso stare tranquillo, attualmente espongo solo OpenVpn e Wireguard direttamente su internet, poi utilizzo cloudflare tunnel per l'hosting di app e webserver. Spero che non mi cambieranno il range delle porte, altrimenti farò richiesta.

Ho configurato il NAT come mi hai detto tu ieri , ho inserito il range delle porte , mi funzionava ma era molto lento ad aprire le pagine web e a volte manco le apriva, ho risolto andando a modificare in Advanced/General Setup in questo modo, magari è utile a qualcuno

x_term

mak3 il mio range di porte sono 1:16383

Hai avuto fortuna allora

mak3 Spero che non mi cambieranno il range delle porte

No è tutto molto statico

mak3 ho risolto andando a modificare in Advanced/General Setup in questo modo, magari è utile a qualcuno

Non vorrei fosse perché in ONT mode questi mandano i DNS francesi se non sbaglio

[cancellato]

mak3 ho risolto andando a modificare in Advanced/General Setup in questo modo

La prima serve effettivamente ad evitare che Iliad ti assegni i DNS - che poi diventano anche quelli usati per il forwarding da pfSense. La seconda serve essenzialmente solo per impostare quali DNS può usare pfSense stesso per i suoi servizi. Configurata così userà solo sé stesso come DNS, usando il servizio attivo (dnsmasq o Unbound) - e quindi richiede che ce ne sia uno attivo.

mak3

x_term Non vorrei fosse perché in ONT mode questi mandano i DNS francesi se non sbaglio

Ho selezionato solo ONT mode , i parametri di iliad non li ho modificati, nel mio firewall ho impostato i dns di cloudflare e su ogni interfaccia lan / vlan queste regole, così forzo ad usare i dns che ho scelto nella configurazione ,e mi funziona bene

[cancellato]

mak3

Ma quale servizio DNS stai usando su pfSense? Forwarder (dnsmasq) o Resolver (Unbound)? Perché comunque anche nel primo caso avrebbe dovuto provare prima la risoluzione con il server DNS locale, e se non è attiva direttamente con query ai server remoti.

mak3 su ogni interfaccia lan / vlan queste regole,

Quelle regole mi sembra non po' strane, perché se le hai su tutte le interfacce - incluse le LAN - stai di fatto bloccando le richieste DNS a tutti i client, tranne solo a pfSense verso sé stesso (l'unico che può usare localhost...) - e se funziona qualcosa mi sa che funziona solo via DoH.

Se il pfSense fa anche da server DNS deve accettare le query DNS sulle interfacce LAN. Se vuoi assicurare che solo il pfSense possa fare da DNS dovresti accettare il traffico DNS verso l'interfaccia LAN sul quale è in ascolto il servizio DNS del pfSense, e bloccarlo verso qualsiasi altra destinazione.

L'ultima regola non dovrebbe matchare mai perché il deny ALL/ALL sulla 53 matcherà prima. Dovresti spostarla sopra.

mak3

[cancellato]
Infatti ho settato i DNS che voglio usare nel General Setup. Se lasciavo le impostazioni che avevo in precedenza ( Use local DNS 127.0.0.1 fall back to remote DNS Servers) internet mi funzionava malissimo e lentissimo. Prima di iliad utilizzavo una connessione PPPOE con modem in full bridge, le regole non le ho modificate, ho solo cambiato (per quando riguarda i DNS) l'impostazione in DNS Resolution Behavior

mak3

[cancellato] Ma quale servizio DNS stai usando su pfSense?

Utilizzo il DNS resolver

Queste sono le regole dell'interfaccia LAN, pfsense viene utilizzato come server dns, se vado ad inserire nell'interfaccia di rete del mio pc un dns diverso da quello che ho impostato in pfsense viene ignorato . Se faccio un test con dnsleak su qualsiasi device lan o wifi noto che effettivamente utilizzo i dns di cloudflare.
Tu dici di spostare l regola dany/all 53 all'inizio?

[cancellato]

mak3 Utilizzo il DNS resolver

Ok, già il fatto che hai bindato specifiche interfacce fa sì che pfSense risponda alle richieste DNS solo su quelle, ad esempio non risponderebbe su "WAN" perché il servizio lì non è in ascolto.

mak3 se vado ad inserire nell'interfaccia di rete del mio pc un dns diverso da quello che ho impostato in pfsense viene ignorato .

I client dovrebbero avere impostato come DNS l'indirizzo del pfSense sulla loro rete (o su una che raggiungono via routing), non un indirizzo di un DNS esterno. Se stai utilzzando "Resolver" con DNS Query Forwarding abilitato ci pensa Unbound a inoltrare le richieste ai DNS esterni configurati per pfSense.

Secondo me le prime due regole sotto DNS non hanno mai avuto match (0/0), quelle sotto di deny sì. Può essere che in realtà il traffico DNS che ti interessa passi grazie ad una regola sopra, a naso quella definita su "LAN subnets"

mak3 Tu dici di spostare l regola dany/all 53 all'inizio?

Così blocchi tutte le richieste DNS. Considerando che pfSense ha una regola DENY ALL di default, su una interfaccia passa solo il traffico che ha una regola ALLOW. Quindi ha senso fare regole più restrittive prima di una ALLOW meno restrittiva. Ad esempio di default pfSense imposta una ALLOW ALL sull'interfaccia LAN - si potrebbe allora decidere di lasciarla ma restringere certi protocolli in uscita come SMTP, FTP, ecc. Se elimini quella ALLOW ALL allora ti basta inserire le specifiche regole di ALLOW, tutto il resto sarà bloccato dalla DENY di default.

mak3

[cancellato] I client dovrebbero avere impostato come DNS l'indirizzo del pfSense sulla loro rete

Si tutti i client delle reti hanno la riservazione del dhcp, li ho configurati tramite mac address, nelle impostazioni dei client e tutto in automatico, lo screenshot è quello del mio pc.

In questi anni ho fatto tante modifiche perchè ho avuto problemi con pfblockNG-dev,poi con la VPN , quindi non ricordo tutto quello che ho fatto. Con queste regole funziona tutto , lo testato più volte, ma sinceramente non sono convinto al 100% che è tutto fatto bene, probabile che c'è qualche regola inutile

[cancellato] Quindi ha senso fare regole più restrittive prima di una ALLOW meno restrittiva. Ad esempio di default pfSense imposta una ALLOW ALL sull'interfaccia LAN - si potrebbe allora decidere di lasciarla ma restringere certi protocolli in uscita come SMTP, FTP, ecc

Provo a seguire il tuo consiglio sulla rete WiFi, ovviamente sulle altre reti l'accesso a pfsense webguiè bloccato, come la porta ssh
Ti ringrazio per i consigli

Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈 🇵🇸
P.I. IT16712091004 - info@fibraclick.it

♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile