Nekem duplán natolt a dolog, mert nincs bridge mód a routeren. Bekapcsolt tűzfal a routeren és opnsense-ben mégis vannak letiltott befelé jövő kérések... szal. van olyan biztonságos.
IPS-nek olvass utána, fél éve bugos volt én kikapcsoltam, de lehet már javítva lett.
Hold on, trying to give a fuck... Nope, not Happening • Powered by Fedora Linux • "Az élet olyan sz@r, szerencsére a felén már túl vagyok" Al Bundy
Mondjuk egy digis szolgáltatói router miben jobb, mint egy nulla plugines OPNsense vagy Pfsense?
Miért lenne jobb 
Ha semmi mást nem nézünk, csak azt, hogy saját routerrel Te magad tartod kézben a hálózatodat, már jobban jártál.
Már csak hab a tortán:
- okosabb tűzfal (automata szabályok, lebegő szabályok)
- alias használat (plusz ezt használó biztonsági megoldások)
- VLAN kezelés
- DNS szűrés (Unbound beépített!)
- 2FA
- rugalmasan paraméterezhető IPv6
- config a fájlrendszeren tárolva (hordozható)
- VPN
... meg egyebek
Az már más kérdés, hogy neked ebből mi fontos, mit tudsz használni.
Csak a tűzfalra gondoltam, hogy nem e jobb egy szolgáltatói. De akkor ezek szerint mindkettő rendben van. Pontosan ezért akarok saját routert, hogy ne függjek a szolgáltatótól, mert előfordult már, hogy megtörték az internet szolgáltató eszközeit.
Buliban hasznos! =]
A routerben a beépített tűzfal szerintem nem frissül, igazán nem is értem, h mi az, mitől véd meg. A szolgáltatói (pl. Yettel előfizetéses) tűzfalakat nem ismerem, de 1. fizetős, 2. mennyire lehet testreszabni?
Az Unbound nagyszerű, de mint írtam, szűrésre AdGuard Home-t használok. Látni jobban, h ki mit keres, mit blokkol, stb. Szűrők brutálisan testreszabhatók, pár klikkel. Listákat hozzáadni is egyszerű (ezeket Unbound is tudja, csak nehezebben átláthatóan).
Listákból a két legjobb a Steven Black és a ShadowWhisperer lista.
Jah, és még abban is jobb a saját router/tűzfal/DNS szerver, hogy az Unbound nem fog mindent elküldeni a guglinak. A gyakoriakat tárolja, gyorsabban oldja fel, nem netezik örökké (beállítások kérdése). És azt is meg lehet pakolni mindenféle biztonságot növelő bánattal, ahogy a kedved/időd engedi.
AGH-ban az átírás is menő (van opnsense-ben is, de itt átláthatóbb ez is), megadod az IP címet és oda irányítja, instant DNS. Ez persze nem minden oldalnál jó, de a leggyakoribbakat már kiszórtam ezzel.
Shaper... el lehet osztani a sávszélességet, nem lesz az, h a 80 szálon torrent mellett egy e-mail-t nem lehet megnyitni... Valamint a gyermekem is jobban tanul, amióta pár napra átraktam az 1 MBit-es csőbe... ![;]](http://cdn.rios.hu/dl/s/v1.gif)
Hold on, trying to give a fuck... Nope, not Happening • Powered by Fedora Linux • "Az élet olyan sz@r, szerencsére a felén már túl vagyok" Al Bundy
A legtöbbje szerintem véd port scanning ellen. Nem tudom még mik vannak, ha valakinek nincs fent szervere, akkor nincs túl sok dolog, ami ellen védeni kellhet. Én majd egy VPN-t felteszek később.
[ Szerkesztve ]
Buliban hasznos! =]
A kifele menő forgalmat is érdemes figyelni, szűrni. Ezt a szolgáltatói routerek nem teszik meg.
Nekem védelmi eszközként CrowdSec, Zenarmor és NextDNS van hadrendbe állítva.
Köszi mindkettőtöknek!
Buliban hasznos! =]
Hmmm... a Mobilnet modem/router után jön az opnsense nálam. A Mobilnetes cucc is router, egyrészt mert nincs rajta bridge mód, másrészt mert ennek van külső antenna amivel a napelem kap wifit.
A modem logban az van, h az opnsense őt UDP port scan attack-olja 
Ki lehet ezt kapcsolni? Beállítás szerint opnsense nem nézegeti, h van-e net, alfogadja, h van. Private és bogon blokkolva a WAN oldalon. Mi generálja ezt az udp scan-t és miért nem láttam korábban?
Köszönöm! 
Hold on, trying to give a fuck... Nope, not Happening • Powered by Fedora Linux • "Az élet olyan sz@r, szerencsére a felén már túl vagyok" Al Bundy
Sziasztok,
Érdeklődnék a Pfsense iránt szeretném megtanulni. Az lenne az első kérdésem, hogy egy Dell 7040 SFF gép(g4400 proci +4gb ddr4 + 500gb hdd) +1 hálókártya elég lenne-e otthoni tűzfalazásra és tanulásra ?
Nem egy erős gép..., fél Paks kell mikor bekapcsol :D / Minden SIKERES ÜZLET UTÁN JÁR A PIROSPONT!! //
Relative jó egyszálas teljesítmény (ez freeBSD esetén jól jön), AES-NI, tehát a CPU jó lesz. Hosszú távra, kicsit nagy az étvágya, ha ez számít. Érdemes SSD-t használni, HDD helyett. Alapfeladatokra a 4GB RAM elég lesz. Később bővítheted.
[ Szerkesztve ]
4 slotos, szóval bővíteni mind prociban mind memóriában lehet.
Van rajta M2 slot is, akkor beruházok egy m2 re 
. ha összeállt a konfig, jövök a kérdéseimmel 
Nem egy erős gép..., fél Paks kell mikor bekapcsol :D / Minden SIKERES ÜZLET UTÁN JÁR A PIROSPONT!! //
Figyelj, hogy milyen m2 SSD-t választasz! TLC-nél ne legyen rosszabb. Lehet, hogy kell rá hűtőborda. Milyen a ház hűtése?
sima standard Dell. 1 venti van benne a proci hűtésére illetve ha jól emlékszem az elejében van egy másik, de a hűtésre mindig figyelek gépépítéskor a műanyag fekete burkolat alatt a proci mellett van az M2 slot eldugva
Ezen a képen látszik is:
[ Szerkesztve ]
Nem egy erős gép..., fél Paks kell mikor bekapcsol :D / Minden SIKERES ÜZLET UTÁN JÁR A PIROSPONT!! //
Sziasztok,
Új vagyok a Pfsense világában. Egy hibát vettem észre (egyenlőre) amivel nem tudok mit kezdeni a Google sem segít.
A jelenség, ha elindítok egy letöltést ami mondjuk 50Mb/s akkor a CPU kiveri a plafont.
Amit látok, [intr{swi1: netisr 1}] ez a PID használja a CPU-t letöltés közben.
Találkozott már valaki ilyennel?
Sziasztok!
Vki migrált már KEA DHCP-re?
Static DHCP címeket átveszi? ARP-ban is mentve vannak, a régi DHCP-vel.
Nincs kedvem ~80 kütyüt újra végigpötyögni... 
Hold on, trying to give a fuck... Nope, not Happening • Powered by Fedora Linux • "Az élet olyan sz@r, szerencsére a felén már túl vagyok" Al Bundy
Átköltöztem, static címeket kézzel kell bevinni, előtte excelbe mentettem, kopi-pészt cunami volt... műXik, kellett egy patch, kész.
Hold on, trying to give a fuck... Nope, not Happening • Powered by Fedora Linux • "Az élet olyan sz@r, szerencsére a felén már túl vagyok" Al Bundy
Vélemény? Pro és contra a két DHCP között?
Beállítása átláthatóbb, még így elsőre is. Mennyire fontos ez? Nem nagyon, mert ugye beállítja az ember és annyi, nagy ritkán kell hozzá nyúlni (átlag user, átlag homelab körülmények között). A subnetek kialakíthatósága a KEA-ban egyszerűbb.
Új, fejlesztik/javítják erősen. Nekem is előjött ez a lease lista üres probléma, volt már rá patch. Nem mintha sokat nézegetném... Működésben semmit nem venni észre, ez is teszi a dolgát. Amiket írnak hivatalos oldalon, h mivel tud többet, azok nagyon nagy része átlag usernek nem fontos, nem használjuk.
Hold on, trying to give a fuck... Nope, not Happening • Powered by Fedora Linux • "Az élet olyan sz@r, szerencsére a felén már túl vagyok" Al Bundy
Sajnos eddig tartott a KEA... 
Tenda AP-m van, 2 nap után nem találja az upstream kiszolgálót. Ami vicces, mert én látom, eszközök csatlakoznak, stb... de DHCP-n nem kapja meg ami kell neki, fix IP-re raktam, az is málnás... Érdekes, h 2 napig működött
Még annyi, h szerencsére semmi nem törlődik a DHCP váltással, szal. lehet játszani vele, 4 kattintás az ide-oda váltás. Majd frissítik...
[ Szerkesztve ]
Hold on, trying to give a fuck... Nope, not Happening • Powered by Fedora Linux • "Az élet olyan sz@r, szerencsére a felén már túl vagyok" Al Bundy
Sziasztok, na végre össze állt a gép.
kapott egy dual gigabites lan kártyát pluszba.
az alaplapit beállítottam PPPoE -re és csatlakozik is.
a bge0 lábát statikra állitottam
a bge1 lábát pedig DHCP-re, de valami okmál fogva nem szór ip-t és netet. Mit rontottam el?
Nem egy erős gép..., fél Paks kell mikor bekapcsol :D / Minden SIKERES ÜZLET UTÁN JÁR A PIROSPONT!! //
mik az interface beállítások?
dhcp service-nél kiválasztottad az interfészt?
Hold on, trying to give a fuck... Nope, not Happening • Powered by Fedora Linux • "Az élet olyan sz@r, szerencsére a felén már túl vagyok" Al Bundy
szerk.: Megtaláltam a hibámat...
[ Szerkesztve ]
Nem egy erős gép..., fél Paks kell mikor bekapcsol :D / Minden SIKERES ÜZLET UTÁN JÁR A PIROSPONT!! //
Sziasztok,
nost IP-t már oszt a szépség, de nem látok ki az internetre még.
A PPPoE működik látom, hogy a szolgáltatótól jön IP.
3 portom van
alaplapi [WAN]
broadcom [bge0][LAN] [fix IP. 192.168.1.1]
broadcom[bge1][LAN2][fix IP: 12.28.1.1]+ DHCPv4 server enabled ezen a porton.
jól sejtem, hogy tűzfal vagy port forward hiányzik? Mivel nekem ez még tanuló fázisba van, így ha valaki segitene a beállításban, vagy elmondaná mit kellene beállítanom kezdésnek, hogy ip-t adjon és netre is kilásson hálás volnék
Nem egy erős gép..., fél Paks kell mikor bekapcsol :D / Minden SIKERES ÜZLET UTÁN JÁR A PIROSPONT!! //
Szia!
Miért van 2 LAN amúgy? Melyiken csatlakozol a tűzfalhoz és honnan nincs internet?
Elsőként a interfaces/WAN-nál is nézd meg, h enabled-e
Interfaces / Overview-ről csinálhatnál képet.
System / Settings / General: itt lehet DNS szervereket és azokhoz gateway-t beállítani.
Unboundot használsz, vagy csak open DNS-eket?
Ha a fentiek nem oldják meg, akkor kellene több részlet, h mi merre van Nálad.
Érdemes menüpontonkként végigkattintgatni, lehet vmi kimaradt.
Nálam is 3 port van, alaplapi a WAN a másik 2 LAN, de Nekem azokat Proxmox rakta egybe, opnsense-ben bridgelni macerásabb, külön hálóra meg nincs szükségem egyelőre.
[ Szerkesztve ]
Hold on, trying to give a fuck... Nope, not Happening • Powered by Fedora Linux • "Az élet olyan sz@r, szerencsére a felén már túl vagyok" Al Bundy
12.28.1.1 Ez nem privát IP tartomány azt ugye tudod?
Erre így valószínűleg nem alkalmazódik a NAT.
[ Szerkesztve ]
Switch Tax
A Lan1.-en külön szeretnék futtatni egy fizikai szervert, gyakorlatilag elkülönítve.
A lan2 meg lenne a normál otthoni lába amiről menne minden mint eddig.
amit biztos beállitottam és megy.
PPPoE. Csatlakozik és ip-t is kapok a szolgáltatótól.
lan1-en elétem az opnsenset mivel 0.99et adtam neki ipnek.
viszont lan2 nél direkt teljesen másik tartományt szeretnék használni ez a 12.28.1.1.
a LAN2 DHCP megy, a gépem kapott egy 12.28.1.x ip-t.
a tűzfal része még picit homályos, ott ha minden igaz jelenleg minden átmegy 80-443 portig.
minden Lan port /24
MasterMark:
ha jól értem akkor ugyanugy csak 192.168.x.x ből építhetek másik privát halót?
nem úgy van, hogy belül olyan számozással építek hálózatot gyakorlatilag amilyennel akarok?
Nem egy erős gép..., fél Paks kell mikor bekapcsol :D / Minden SIKERES ÜZLET UTÁN JÁR A PIROSPONT!! //
jajj, azt nem is néztem. Vannak private IP címek, azok közül lehet választani, nem lehet akármi. [link] a lap alján, privát címeknél nézegesd.
Hold on, trying to give a fuck... Nope, not Happening • Powered by Fedora Linux • "Az élet olyan sz@r, szerencsére a felén már túl vagyok" Al Bundy
Nem.
Ezeket a tartományokat használhatod belül: [link]
10.0.0.0/8
172.16.0.0/12
192.168.0.0/16
Nem használhatsz bármit, hiszen akkor előfordulhatna ütközés a publikus IP címekkel amiből kavarodás lenne.
szerk.: Plusz ugye a tűzfal szabályok is erre vannak írva alapból, NAT szabályok is, stb.
[ Szerkesztve ]
Switch Tax
Sziasztok!
NIC-et szeretnék vásárolni pf/opensenshez. Tudnátok segíteni, hogy melyik az amelyik biztosan támogatott és 2,5 gigás? 2 portos is elég lenne, de ha 4 van rajta az sem gond.
Egy Lenovo M720q-ba megy majd.
Köszi!
üdv. Laca
Hogy szeretnéd belerakni?
Ez egy mini pc, nincs PC-e csatolója.
Van benne slot, egy L alakú riser-rel lehet bele tenni 1 vékony PCI-e kártyát ahogy nézem. [link]
[ Szerkesztve ]
Switch Tax
(#1282) kallas0520 válasza MasterMark (#1281) üzenetére
Így van, egy L alakú riser kell csak bele, azt már sikerült beszereznem.
üdv. Laca
Köszi.
Ma is tanultam valamit.
Akkor hogy a kérdéseddel is foglalkozzunk:
Ezek a BSD-s cuccok az internet hagyományai szerint nem szeretik a Realtek cuccokat, szóval ha biztosra mész akkor Intel kártyát keress.
szerk:
honnan van a riser? Egy-két hónap múlva szerintem nálam is gépcsere lesz, és akkor egy ilyenre nevezek be.
[ Szerkesztve ]
+1 az Intelre, több helyen olvastam. Nekem Intel 2 portos lett apróról, azonnal működött.
Hold on, trying to give a fuck... Nope, not Happening • Powered by Fedora Linux • "Az élet olyan sz@r, szerencsére a felén már túl vagyok" Al Bundy
Ehhez valami speciális riser van, az alaplapon lévő slot az nem szabványos.
Switch Tax
Köszi!
Chipsetben i225 vagy i226? Esetleg tudtok webshopot, fórumot, piacteret ahol viszonylag kedvező áro hozzá lehet jutni? Hardveraprón most nem találtam. 
MasterMark: Elvileg szabványos One PCIe 3.0 x8, low-profile [link]
Elvileg a 01AJ940 a típusszámú a x16, a 01AJ929 pedig a rövidebb. Ha jól tudom ezek működnek a M720Q és az M920Q-val.
üdv. Laca
Akkor 192.168.12.1 el lehet játszani.
hazaérek és nekiesek ujra 
Nem egy erős gép..., fél Paks kell mikor bekapcsol :D / Minden SIKERES ÜZLET UTÁN JÁR A PIROSPONT!! //
tehát akkor ez a NATolás így jónak kellene legyen ha jól értem.
LAN 2 statik ip-t átlöktem 192.168.12.1 re.
dhcp 12.100-12.200ig szór.
Nem egy erős gép..., fél Paks kell mikor bekapcsol :D / Minden SIKERES ÜZLET UTÁN JÁR A PIROSPONT!! //
Azért öntsünk tiszta vizet a pohárba. Nézd meg itt a dátumot [link] . A pfSense használta a Realtek 2,5G LAN-t. Nálam a T-s 2000-s netet simán hozta bármilyen letöltésnél ha a másik tudta tolni, és igen jobb volt mint az Intel. Gyorsabb, stabilabb volt. Nem ez az általános, de ott a link ha még működik. Az bizonyítja, hogy az Intel elszabta azt a chip-et (Intel Foxville I225-V). Jól meg kell nézni, hogy ne az legyen. A duál, és a négy portos LAN kártyák talán nem azt használják. Én, ha tehetem ma is kerülöm ezt a kis mini Intel LAN chip-et.
[ Szerkesztve ]
Semmi gond, ahányszor rákeresek valamire a TrueNAS forumain (nálam is van, igaz egy hónapja már nem Core, hanem Scale, mindenhol kerülendőnek írják a Realtek kártyákat. Ezért írtam, hogy "Ezek a BSD-s cuccok az internet hagyományai szerint nem szeretik a Realtek cuccokat", úgy különben sok OPNSense írás is írja, hogy kerülendő.
Örülök, hogy valaki ezt megcáfolja, mert én is gondolkodom a 2,5 Gbs váltásra, és hát Kínából nagyon jó áron beszerezhetők a Realtek kártyák.
Nem ilyen NAT kell, az internetre kimenésre masquerade NAT-ot szoktak használni ami egy SNAT (vagyis Source NAT).
Switch Tax
megyek és utána olvasok, hogy azt hogyan smint
Nem egy erős gép..., fél Paks kell mikor bekapcsol :D / Minden SIKERES ÜZLET UTÁN JÁR A PIROSPONT!! //
Én csak ebay-en és alixepressen találtam januárban és az utóbbi mellett döntöttem. Ezt vettem: [link]
üdv. Laca
(#1295) kallas0520 válasza kallas0520 (#1294) üzenetére
Az M720q-ban és az M920q-ban is van PCIe slot. (Illetve az újabbakban, de nem mindben, ha újabban gondolkodsz nagyon figyelj a típusszámra mert nem mindegy hogy gen1 vagy gen3). Az M7/920q-at szerelték 8. és 9. gen intellel is, csak az alaplapi chipset a különbség köztük.
üdv. Laca
NAT szabályokat majd megcsinálja, vagy átraktad manuálisra? Miért?
Nálam ennyi a NAT (router/modem mögött van az opnsense, ami szintén NATol, meg lehet az ISP is... hehe... nájsz, de ez van)
Hold on, trying to give a fuck... Nope, not Happening • Powered by Fedora Linux • "Az élet olyan sz@r, szerencsére a felén már túl vagyok" Al Bundy
A frissírtés után a mimugmail repo megkergült... 5 percenként küld egy rakat lekérdezést az opn-repo.routerperformance.net-re.
Rájöttem, h nincs is onnan már semmi telepítve, így töröltem a repót.
SSH belépve, 8-as pont (Shell), cd /usr/local/etc/pkg/repos/ls -lrm mimu*
Utána a webUI-n a system/ firmware-ben frissítés keresés, utolsó fülön packages-nél a maradék csomagokat megnéz, SSH-n töröl:pkg remove csomagnév
Zenarmor is hagyott sok vackot itt...
Hold on, trying to give a fuck... Nope, not Happening • Powered by Fedora Linux • "Az élet olyan sz@r, szerencsére a felén már túl vagyok" Al Bundy
Sziasztok, mostmár kb a 100adik factory reset után inkább segítséget kérek.
Valaki tudna nekem segíteni távoli eléréssel beállítani ezt az opnsense-t 
Nem egy erős gép..., fél Paks kell mikor bekapcsol :D / Minden SIKERES ÜZLET UTÁN JÁR A PIROSPONT!! //
Milyen jellegű a vészhelyzet?
Segíteni nem nagyon lehet, ha nincs éppen net...
Első körben kellene egy rövid leírás, h hogy néz ki a hálózatod, min fut az opnsense, milyen interfészek vannak, mik a hibák.
Hold on, trying to give a fuck... Nope, not Happening • Powered by Fedora Linux • "Az élet olyan sz@r, szerencsére a felén már túl vagyok" Al Bundy
válaszolok
Első körben kellene egy rövid leírás, h hogy néz ki "jelenlegi" a hálózatod,
digi ONT bridge módba -> TP-link router->tp-link tl2424 switch->eszközök
rövid leírás, h hogy néz ki "jelenlegi" a hálózatod
az új hálózat elgondolásom pedig a köetkező lenne:
DIGI ONT->opnsense->tp-link switch->eszközök
min fut az opnsense,
Dell7040 (I5 6500, 4gb ram, 240gb M2.ssd
milyen interfészek vannak
plusz pci-e 4x broadcom dual GBE netkártya.
mik a hibák.
Azt szeretném elérni, hogy az alaplapi gigabit lankártya legyen a WAN port. (ez oké)
a GBE0 és a GBE1 portok lan portok. ebből az egyik port fix ip-s, hogy eltudjam érni a gépet. a másik DHCP-n szórná a megadott tartományt.
A hiba mivel hálózati tudásom nagyon mély még nincs, ott elbukok, hogy, ha beállítom mit hogyan szeretnék, akkor 2 verzió áll elő.
A: vagy nem érem el onnantól az opnsese webes felületét
B: elérem, de nem látok ki vele a netre.
A segítség kérésem jelenleg az volna, hogy egy mezei NATolás meglegyen, hogy a tp-link routert ki lehessen rakni végre. egyszerűen nem értem mit rontok el az átfordításoknál, vagy mit hagyok ki. Többi viedót is megnéztem és az alapján próbáltam beállítani de sajna nem sikerült még.
Netem jelenleg van a tp-link routeren keresztül
[ Szerkesztve ]
Nem egy erős gép..., fél Paks kell mikor bekapcsol :D / Minden SIKERES ÜZLET UTÁN JÁR A PIROSPONT!! //
