PfSense Donanım Yeterliliği

Merhabalar. PfSense konusunda acemiyim ve yeni bir altyapıda nasıl bir donanım kullanmam gerektiğini hala anlayamadım. Yapılacak senaryoyu aşağıya yazıyorum.

Bir üniversite yurdu var. Tek wan üzerinden 1 gigabit download / 50 mbps upload internet alıyoruz. İnternet gpon üzerinden direkt olarak pfsense üzerine gelecek ve 1 vlan olacak.

Yurtta bir çok wifi6 router ile internet dağıtımı yapılıyor. Herkes wifi ile internete erişiyor. Bu yurtta 120 kişiye yakın insan kalıyor. Herkes aynı anda kullanım sağlamıyor. Aynı anda 50-70 kişi arası kullanım oluyordur. Öğrenciler genelde youtube, online oyun ve sosyal media kullanıyor.

Öğrencilerin erişimi için Captive Portal üzerinden kullanıcı adı ve şifre ile internete erişim sağlıyorlar. Ve bir kişi interneti tamamen zayıflatmaması için kişi başı 50 mbps indirme - 10 mbps yükleme limiti sağlanacak. Herhangi başka bir işlem yapılmayacak cihaz üzerinde.

Elimde şuan bu özelliklerde bir mini pc var:
Cpu: Intel Celeron J1800 2C/2T 2.41GHz
Ram: 4 GB DDR3
Rom: 32GB MSata
Port: 2 x Gigabit Ethernet

1-) Sizce bu cihaz yeterli mi?
2-) Yeterli değilse nasıl bir şey almam gerekiyor?
3-) Bu senaryo için en F/P ne olur? Yani pfsense yerine ne kullanılabilir?
(Captive Portal ile kullanıcı adı ve şifre sistemi olmalı ve Hız kısıtı olmalı diğer sistemler için de)

Hocam firewall olarak hiç pfsense yazılımını kullanmadım ancak switchden Aplere vereceğiniz porta ki interneti kısıtlamak daha mantıklı olacaktır firewall’a abanmaya gerek yok.

O zaman olmuyor. Mesela kişi başı 50 mbps sınır koyarsak portlar yine tam verim çalışacak. Ama porta 50mbps sınır koyarsam porttan sadece 50 mbps çıkış olacak. Bu insanlara ulaştığında internet kalmayacak.

Şunu yaparsak yine internet kullanılmaz hale gelebilir. Mesela cihazımda 4 port var. Her porta 250 mbps limit koydum. Ap’ler 250 verecek. Bu kez birisi 250e abandığı zaman o AP’deki insanlar interneti kullanamayacak.

Okurken direk switchten sadece akan bandwithi kısıtlamak istiyorsun gibi düşündüm. mac adresi başına kısıtlamak istiyorsan haklısın firewalldan kısıtlaman lazım. Sistem çok ağır yükte kalmayacaksa video yükleme face time etc 70 kişinin casuel kullanımını kaldırır gibi geliyor test etmeniz lazım.

1 Like

Unifi’nin cihazlarını daha önce değerlendirme şansınız oldu mu acaba? Captive portal ve birçok güzel ek özelliği mevcut :thinking:

Şuan yurtta bu cihaz kullanılıyor. Cihaz önceden alınmış. Gigabit için sıfırdan kurulumunu ben yaptım. Ama bu cihaz pahalı. Ben daha ucuza daha performanslı bir sistem yapmaya çalışıyorum. Neredeyse yarı fiyatından daha ucuza 2 kat daha güçlü bir sistem yapılabiliyor anladığım kadarıyla. Yoksa mikrotik sistemi kolay ve işimi hemen yapıyorum. Mikrotik yazılımını mini pc üzerine proxmox kurarakta kullanabiliyoruz ama lisans ücretleri çok fazla. Bu yüzden pfsense öğreniyorum. Aynı işi yapıyor ve ücretsiz.

Teşekkürler. Ben de öyle olacağını düşünüyorum. Bakalım 2 ekimde okullar başlayınca daha iyi deneyimleme fırsatım olacak.

deneme şansınız olursa mini pc ye openwrt kurup sqm ayarınını yapıp deneyiminizi bizimle paylaşabilirmisniz

1 Like

Bunu denersem paylaşım yapacağım. OpenWrt kurdum ama internete bağlayıp sqm denemedim bu cihazda.

Eğer DPI (Deep Packet Inspection) gibi resource-intensive işlemlerde bulunmayacaksınız yeterli gibi geldi bana.

1 Like

Dediğiniz işlem hakkında bilgim yok. Ama yapacaklarım sadece yukarıda yazdıklarım.

Bir filtreleme yapılacak mı acaba diye sorulmuş. Yani kullanıcılar şu sitelere girsin girmesin veya belirli hizmetleri kullanmasınlar. Hatta bazı durumlarda paketleri inceleyip ayrıntılı bilgi toplansın mı denilmiş. Yurtdan böyle bir talep geldi ise bu da düşünülmeli :thinking:

Website yasakları çok rahat bir biçimde domain bazlı bloklanabilir.
Fakat DPI, Torrent gibi şeyleri bloklamakta efektif (ve neredeyse tek yol) ve bayağı resource istiyor.
Böyle ayırmış olalım.

Bunu nextdns ile hallediyoruz. Yıllık 130TL’ye almıştık. Şuan zam gelmiş.

Dediğim gibi nextdns ile yasaklama işlerini hallettik. Ama torrent çekmesini yasaklıyor ondan emin değilim.

Yasaklamıyor, yasaklayamaz. Ya IPTables ile şansınızı deneyeceksiniz ki biz yaptık olmadı, ya da DPI yapacaksınız ki o makineye o kadar kullanıcıyla DPI yapmanız epey zor.

O zaman gerek yok. Zaten önceden de yasaklama hiç yoktu. Nextdns ile istenilmeyen sitelere girilmesini engelledik zaten. Yeterli olur gibi.

Kişiler kendi dnslerini kullanarak bahsettiğiniz engeli çok kolay aşabilir.

Anlamadığım konu: Elde hazırda bulunan mikrotik router’i niye kullanmak istemiyorsunuz?
İstediğiniz şeyleri RouterOS ile yapmanız mümkün.

Bunların dışında dışında Traffic Shaper — Limiters | pfSense Documentation
Traffic Shaping — OPNsense documentation
Bu adreslerde ki dökümasyonu takip edebilirsiniz.
Ben OPNSense kullanmanızı öneririm, mevcut pfsense configini aktarmakta mümkün :slight_smile:

1 Like

Yok şuan zaten elimizdeki mikrotği kullanıyoruz. Ama bu sistem 2-3 yurda daha yapılacak. Onlara daha gigabit takılmadı ve ana cihazlari yok. Şuan bu yurtta sistemi öğrenme şansım var. Burada önceden öğreniyorum. Diğer yurtlarda buna benzer yapılarda olacak zaten.

Teşekkürler Opnsense’e bakayım ben o zaman. Zaten benzer diyorlar.

Bu arada kendi dnslerini girerek nextdns’i alabiliyorlar biliyorum. Ama biz katı bir şekilde engel koymak istemiyoruz. Zaten isteyen her şeye bir şekilde ulaşıyor. Ama biz bu tarz şeyleri engellediğimizi bu şekilde göstermiş oluyoruz.

1 Like