thảo luận Cộng đồng sử dụng Pfsense

Thấy thread Mikrotik to quá nên cũng đú làm cái cho Pfsense
về cơ bản pfsense dễ cài dễ xài, tuy nhiên gần đây do thằng netgate mất dạy chia ra bản trả phí Plus và bản con ghẻ Community Edition nên xảy ra khá nhiều bug.
Cụ thể vụ Wireguard sida ở 2.5.0, hiện tại đã nâng 2.5.1 để fix, fix xong đẻ ra lỗi to hơn đấy là Multi WAN NAT không chạy đúng nữa.
redmine của pfsense lúc đầu nói là cái này bản Plus không bị, CE chúng mày đợi 2.6.0 tao fix. Xong lên reddit bị chửi ác quá lại đổi xuống 2.5.2
Hiện tại những ai trót lên 2.5.1 mà dùng Multiwan NAT thì chỉ có nước rollback xuống 2.5.0 hoặc xuống hẳn 2.4.5 cho đỡ bug.
Tạm thời em thấy vấn đề đang có như thế, các thím xài có vấn đề gì comment ở dưới để em tổng hợp nhé

Bản tin Internet Explorer:

pfSense CE 2.5.2 release 07/07/21: Fix bug multiwan NAT :v​

Click to expand...

Kinh nghiệm nếu dùng cho cá nhân thì k sao. Update thoải mái. Môi trường công việc doanh nghiệp thì mua trả phí hoặc ổn định ở bản nào thì ở yên bản đó. Ko nên đú update lên làm gì.

Mà đang dùng 2.5.1 đây. Nhưng k dùng multiwan nên ko sao cả

đang suy nghĩ có nên chuyển cha sang opnsense không, pfsense dạo này thấy có dấu hiệu bỏ ngỏ bản CE rồi
còn vụ wireguard thì đúng kiểu tấu hài

netgate thuê 1 ông dev để implement cái wireguard vô kernel của bsd
ông dev dính trúng đợt cách ly covid 19 thế là buồn đời, code chả kiểm tra
deadline dí đến đít, ông dev làm đại để cho xong
anh pạn netgate chả thèm review lại sản phẩm, cứ thế request merge lên repo của freebsd đồng thời tích hợp luôn vào sản phẩm
bên freebsd có ông pạn dev chính chủ wireguard mới lọ mọ review code, thấy code chuối cả nải mới gọi các anh pạn dev freebsd vào review
mấy anh pạn dev mới này bỏ ra 2 tuần hì hục sửa, sửa xong thấy code vẫn khá là ... chưa ổn nên quyết định là không merge vào release 13.0
anh pạn netgate thấy thế, viết mail chửi mấy anh pạn dev kia.
xong bị nguyên cả hội phản pháo
cuói cùng phải gỡ cái wireguard kernel ra vì đúng là code dở thật.
https://lists.zx2c4.com/pipermail/wireguard/2021-March/006499.html

em đang gặp vấn đề này: vlan có ip,trong vlan ping gateway ok, ping dns public ok, truy cập web không được, trong vlan rule udp 53 to pfsense, rule any to any. trong khi dãy lan ok hết. từ lan ping qua vlan ok. xem log thì thấy không có trafic trả về từ dns resolve. cái vlan này em chạy cho smart bulb, không thông net cái timer nó không chạy. các thím giúp em với.

bạn thử đặt tay DNS sang 1.1.1.1 hay 8.8.8.8 xem có phân giải được tên miền không?
nếu được thì xem lại cấu hình dns resolver/dns forwarder (bạn đang dùng thằng nào?)

sigel said:

bạn thử đặt tay DNS sang 1.1.1.1 hay 8.8.8.8 xem có phân giải được tên miền không?
nếu được thì xem lại cấu hình dns resolver/dns forwarder (bạn đang dùng thằng nào?)

Click to expand...

em xài dns resolver, trong pool dhcp của vlan em set dns là ip pfsense với 1.1.1.1. trong access list của dns resolver em add luôn subnet của vlan vào luôn

sigel said:

bạn thử đặt tay DNS sang 1.1.1.1 hay 8.8.8.8 xem có phân giải được tên miền không?
nếu được thì xem lại cấu hình dns resolver/dns forwarder (bạn đang dùng thằng nào?)

Click to expand...

ip, dns em set tĩnh luôn trên dt join vào ssid vlan này cũng không truy cập web được. em vào xem network trên con dt khi join bằng dhcp thấy có dns của pf với 1.1.1.1. Nat vlan ra ngoài em cũng làm rồi.

pnhvoz said:

ip, dns em set tĩnh luôn trên dt join vào ssid vlan này cũng không truy cập web được. em vào xem network trên con dt khi join bằng dhcp thấy có dns của pf với 1.1.1.1. Nat vlan ra ngoài em cũng làm rồi.

Click to expand...

thím thử chạy tcpdump trên cái vlan interface xong chạy nslookup hay request dns coi bị gì.
mình không xài vlan nên cũng không biết nguyên nhân chỗ nào nữa.

Nghe mà thảm vậy
Mà trả phí cao lắm hả mấy pro? Em chưa check nữa.

MedSkin said:

Nghe mà thảm vậy
Mà trả phí cao lắm hả mấy pro? Em chưa check nữa.

Click to expand...

hoặc chạy trên thiết bị của netgate onprem hoặc clou AZure hoặc AWS. giá đâu đấy $700 1 năm thì phải

pnhvoz said:

em đang gặp vấn đề này: vlan có ip,trong vlan ping gateway ok, ping dns public ok, truy cập web không được, trong vlan rule udp 53 to pfsense, rule any to any. trong khi dãy lan ok hết. từ lan ping qua vlan ok. xem log thì thấy không có trafic trả về từ dns resolve. cái vlan này em chạy cho smart bulb, không thông net cái timer nó không chạy. các thím giúp em với.

Click to expand...

Vlan set dùng cho mạng Lan hay Wan? Tất cả phải NAT mới ra mạng được.

Gửi từ Samsung SM-N920C bằng vozFApp

sigel said:

thím thử chạy tcpdump trên cái vlan interface xong chạy nslookup hay request dns coi bị gì.
mình không xài vlan nên cũng không biết nguyên nhân chỗ nào nữa.

Click to expand...

để em thử, cái này hơi cao với em

hetien said:

Vlan set dùng cho mạng Lan hay Wan? Tất cả phải NAT mới ra mạng được.

Gửi từ Samsung SM-N920C bằng vozFApp

Click to expand...

vlan set cho Lan. tất cả đã nat ra ngoài hết rồi. trước đang chạy bình thường sau gắn mik vào chạy rồi nhảy lại pfsense thì bị

pnhvoz said:

vlan set cho Lan. tất cả đã nat ra ngoài hết rồi. trước đang chạy bình thường sau gắn mik vào chạy rồi nhảy lại pfsense thì bị

Click to expand...

thím có cấu hình thêm trunk/vlan trên switch rời không vậy?
nếu có thì thử restart switch xem?

sigel said:

thím có cấu hình thêm trunk/vlan trên switch rời không vậy?
nếu có thì thử restart switch xem?

Click to expand...

em mới thử lại, trên dt join vlan (100) đó, ping gateway của vlan ok, ping 1.1.1.1 ko thông, ping ip dns pfsense ok.
AP em cắm thẳng vào router, nhóm switch trên router có 8 port. trên switch này có 3 vlan :1, 100 và 120. 2 con AP chạy trunking vlan1 và vlan 100. nên không ăn qua con switch rời, mà trên switch rời em cũng trunking 2 vlan 100, 120 luôn rồi b. tình trạng này là do nhảy từ mik qua pf

Xài switch managed à? hetien xài switch thường, set vlan mikrotik & pfsense, ap thì xài aruba, set vlan trên ssid.

Gửi từ Samsung SM-N920C bằng vozFApp

rule lan của em

rule vlan

log từ vlan sang lan

rule nat

dns resolver

hetien said:

Xài switch managed à? hetien xài switch thường, set vlan mikrotik & pfsense, ap thì xài aruba, set vlan trên ssid.

Gửi từ Samsung SM-N920C bằng vozFApp

Click to expand...

con router này có 8 port chung 1 chipset nên mình cắm luôn AP vào không qua switch rời thím, mà switch rời mình cũng set trunking trên đó rồi. vlan mình cũng set trên ssid

pnhvoz said:

con router này có 8 port chung 1 chipset nên mình cắm luôn AP vào không qua switch rời thím, mà switch rời mình cũng set trunking trên đó rồi. vlan mình cũng set trên ssid

Click to expand...

Dãy ip 192.168.20.0/24
ip camera 12.12.12.0/24 dãy ip này lạ vậy?
Iot 10.10.10.0/24
NAT: Đẩy rule ip camera/iot ra wan vnpt/fpt lên trên.
Trong nat rule ko set ip cho camera/iot. Gán ip chỗ interface thôi.

Gửi từ Samsung SM-N920C bằng vozFApp