Ciao, sono anni che utilizzo pFsense CE come router/firewall, non ne posso fare almeno .
Ho attivato la fibra FTTH di Iliad, al primo collegamento al modem ho immediatamente cambiato la modalità in ONT (dopo lo speed test), ho collegato la porta di iliad box da 2.5Gb al mio router pfsense (porta WAN) nelle impostazioni della WAN ho scelto DHCP nella sezione IPv4, per ora l'IPv6 non mi interessa, mi viene assegnato l'indirizzo IP ma non navigo o meglio si apre solo qualche pagina web e di una lentezza assurda . Bisogna configurare il NAT su pfsense giusto?
Saluti
Iliad box + pFsense
- Modificato
x_term
Per sapere quali sono il range di porte che mi hanno assegnato devo chiamare a iliad oppure le posso prendere nel iliad box? Mi sembra che l'indirizzo IP e fisso no dinamico, ho riavviato 3 volte il modem e l'ip era lo stesso, Domani farò altre prove. Forse è un indirizzo IP fisso per 4 clienti
matteoc ha aggiunto il tag Apparati e reti .
[cancellato]
mak3 per ora l'IPv6 non mi interessa,
Usare un provider IPv6 nativo per poi non usare IPv6 e ridursi solamente all'IPv4 gestito da qualche sistema CG-NAT è un po' darsi la zappa sui piedi. Le destinazioni raggiungibili in IPv6 sarebbe molto meglio raggiungerle direttamente. Altrimenti tanto vale sceglire un ISP IPv4 nativo.
- Modificato
[cancellato]
Concordo con te, ma dovevo sistemare prima l IPv4 ho sempre utilizzato connessione PPPOE, invece con la fibra e diverso, ho avuto qualche piccolo problema con alcune regole di pFsense , la connessione era lenta e funzionava ad intermittenza. Ora tutto perfetto, in questi giorni mi dedico alla configurazione di IPv6, in passato ho disabilitato il protocollo sul firewall, visto che non lo utilizzavo
x_term
Che vantaggi ho con un ip statico intero?
x_term
Ah ok grazie per l'info , il mio range di porte sono 1:16383 quindi posso stare tranquillo, attualmente espongo solo OpenVpn e Wireguard direttamente su internet, poi utilizzo cloudflare tunnel per l'hosting di app e webserver. Spero che non mi cambieranno il range delle porte, altrimenti farò richiesta.
Ho configurato il NAT come mi hai detto tu ieri , ho inserito il range delle porte , mi funzionava ma era molto lento ad aprire le pagine web e a volte manco le apriva, ho risolto andando a modificare in Advanced/General Setup in questo modo, magari è utile a qualcuno
mak3 il mio range di porte sono 1:16383
Hai avuto fortuna allora
mak3 Spero che non mi cambieranno il range delle porte
No è tutto molto statico
mak3 ho risolto andando a modificare in Advanced/General Setup in questo modo, magari è utile a qualcuno
Non vorrei fosse perché in ONT mode questi mandano i DNS francesi se non sbaglio
[cancellato]
mak3 ho risolto andando a modificare in Advanced/General Setup in questo modo
La prima serve effettivamente ad evitare che Iliad ti assegni i DNS - che poi diventano anche quelli usati per il forwarding da pfSense. La seconda serve essenzialmente solo per impostare quali DNS può usare pfSense stesso per i suoi servizi. Configurata così userà solo sé stesso come DNS, usando il servizio attivo (dnsmasq o Unbound) - e quindi richiede che ce ne sia uno attivo.
[cancellato]
Infatti ho settato i DNS che voglio usare nel General Setup. Se lasciavo le impostazioni che avevo in precedenza ( Use local DNS 127.0.0.1 fall back to remote DNS Servers) internet mi funzionava malissimo e lentissimo. Prima di iliad utilizzavo una connessione PPPOE con modem in full bridge, le regole non le ho modificate, ho solo cambiato (per quando riguarda i DNS) l'impostazione in DNS Resolution Behavior
[cancellato]
- Modificato
Ma quale servizio DNS stai usando su pfSense? Forwarder (dnsmasq) o Resolver (Unbound)? Perché comunque anche nel primo caso avrebbe dovuto provare prima la risoluzione con il server DNS locale, e se non è attiva direttamente con query ai server remoti.
mak3 su ogni interfaccia lan / vlan queste regole,
Quelle regole mi sembra non po' strane, perché se le hai su tutte le interfacce - incluse le LAN - stai di fatto bloccando le richieste DNS a tutti i client, tranne solo a pfSense verso sé stesso (l'unico che può usare localhost...) - e se funziona qualcosa mi sa che funziona solo via DoH.
Se il pfSense fa anche da server DNS deve accettare le query DNS sulle interfacce LAN. Se vuoi assicurare che solo il pfSense possa fare da DNS dovresti accettare il traffico DNS verso l'interfaccia LAN sul quale è in ascolto il servizio DNS del pfSense, e bloccarlo verso qualsiasi altra destinazione.
L'ultima regola non dovrebbe matchare mai perché il deny ALL/ALL sulla 53 matcherà prima. Dovresti spostarla sopra.
- Modificato
[cancellato] Ma quale servizio DNS stai usando su pfSense?
Utilizzo il DNS resolver
Queste sono le regole dell'interfaccia LAN, pfsense viene utilizzato come server dns, se vado ad inserire nell'interfaccia di rete del mio pc un dns diverso da quello che ho impostato in pfsense viene ignorato . Se faccio un test con dnsleak su qualsiasi device lan o wifi noto che effettivamente utilizzo i dns di cloudflare.
Tu dici di spostare l regola dany/all 53 all'inizio?
[cancellato]
- Modificato
Ok, già il fatto che hai bindato specifiche interfacce fa sì che pfSense risponda alle richieste DNS solo su quelle, ad esempio non risponderebbe su "WAN" perché il servizio lì non è in ascolto.
I client dovrebbero avere impostato come DNS l'indirizzo del pfSense sulla loro rete (o su una che raggiungono via routing), non un indirizzo di un DNS esterno. Se stai utilzzando "Resolver" con DNS Query Forwarding abilitato ci pensa Unbound a inoltrare le richieste ai DNS esterni configurati per pfSense.
Secondo me le prime due regole sotto DNS non hanno mai avuto match (0/0), quelle sotto di deny sì. Può essere che in realtà il traffico DNS che ti interessa passi grazie ad una regola sopra, a naso quella definita su "LAN subnets"
mak3 Tu dici di spostare l regola dany/all 53 all'inizio?
Così blocchi tutte le richieste DNS. Considerando che pfSense ha una regola DENY ALL di default, su una interfaccia passa solo il traffico che ha una regola ALLOW. Quindi ha senso fare regole più restrittive prima di una ALLOW meno restrittiva. Ad esempio di default pfSense imposta una ALLOW ALL sull'interfaccia LAN - si potrebbe allora decidere di lasciarla ma restringere certi protocolli in uscita come SMTP, FTP, ecc. Se elimini quella ALLOW ALL allora ti basta inserire le specifiche regole di ALLOW, tutto il resto sarà bloccato dalla DENY di default.
[cancellato] I client dovrebbero avere impostato come DNS l'indirizzo del pfSense sulla loro rete
Si tutti i client delle reti hanno la riservazione del dhcp, li ho configurati tramite mac address, nelle impostazioni dei client e tutto in automatico, lo screenshot è quello del mio pc.
In questi anni ho fatto tante modifiche perchè ho avuto problemi con pfblockNG-dev,poi con la VPN , quindi non ricordo tutto quello che ho fatto. Con queste regole funziona tutto , lo testato più volte, ma sinceramente non sono convinto al 100% che è tutto fatto bene, probabile che c'è qualche regola inutile
[cancellato] Quindi ha senso fare regole più restrittive prima di una ALLOW meno restrittiva. Ad esempio di default pfSense imposta una ALLOW ALL sull'interfaccia LAN - si potrebbe allora decidere di lasciarla ma restringere certi protocolli in uscita come SMTP, FTP, ecc
Provo a seguire il tuo consiglio sulla rete WiFi, ovviamente sulle altre reti l'accesso a pfsense webguiè bloccato, come la porta ssh
Ti ringrazio per i consigli
