az volt az eredeti állítás, hogy a layer 4 az alkalmazás, tcp és udp.
erre írtam, hogy a layer4 az nem alkalmazás.
hogy te az én korrekciómon mi kivetnivalót találtál, azt még mindig nem értem, de tévedsz.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Tehát míg egy proxyzott forgalomba bárki bárhol beleolvashat

Téves információkat nem kéne terjeszteni..

Uramboccsá, transportnak hívják, de tcp/udp.

szíszíenpí vájörlesz /én

Jó kicsit túlzó, ettől függetlenül a proxy nem tesz rá extra titkosítást, tehát ha a forgalom útjában állsz olvasni is tudod azt. Persze egy https amúgy is titkosított így a tartalmát nem látod, de a célt igen.
Amúgy igazán konstruktívak az ilyenfajta "hülye vagy fiam" hozzászólások, amik magyarázatot nem adnak, csak vannak. Bambano legalább rendesen belémkötött, végy példát..

szíszíenpí vájörlesz /én

Ha már VPN:

Az Asus routereimen futnak WireGuard szerverek. A célom az lenne, hogy távolból lássam az adott router LAN-ját, ami meg is valósul. Ennek Lawrence-szel örülünk is.
A gondom az, hogy ezzel együtt az internetforgalom is átirányítógik az adott eszközön, ami nem túl szerencsés, amikor a gigabites netemről éppen a 30 Mbites kapcsolaton át netezek.

A kérdés tehát az, hogy a WireGuardot be tudom-e úgy konfigurálni, hogy csak a LAN-kapcsolatot nyújtsa, a netforgalmat viszont ne.

Köszönettel: MaCS

Fán nem lehet motorozni, motoron viszont lehet fázni!

Full tunnel helyett neked split tunnel kell.
Ha jól emlékszem a kliens beállításoknál allowed ips: 0.0.0.0/0

A rosszban mindig van valami megtévesztően jó, különben nem választanánk a rosszat

Segítek csak rosszul, mert a 0.0.0.0 pont a full tunnel, a lan subneted ip-jét add meg.

A rosszban mindig van valami megtévesztően jó, különben nem választanánk a rosszat

Elsősorba a NAS-hoz szeretnék hozzáférést biztosítani a családtagoknak (adatmentés, streamelés, szinkronizálás, közös tárhely).
Erre keresem a lehető legbiztonságosabb, de sebességbe (kb.150-300Mbit/s) is elfogadható megoldást.
Melyik topológia lenne jelenleg a legjobb biztonság szempontjából?
Internet -> Modem -> Router(VPN szerver) -> NAS, PC-k, Laptopok, Mobilok stb.
Internet -> Modem -> Router -> NAS(VPN szerver), PC-k, Laptopok, Mobilok stb.
Internet -> Modem -> VPN eszköz(pl. Nanopi) -> Router -> NAS, PC-k, Laptopok, Mobilok stb.
A tervezett VPN szerverek: OpenVPN vagy WireGuard.

[ Szerkesztve ]

JBL Synthesis -> Egy hangrendszer mind fölött, egy hang kegyetlen, egy a nyomorba dönt ( árával biztos), bilincs az Egyetlen

Ahogy írták split tunneling, az allowed ip-shez a kliensen csak azt írd ami tényleg a VPN felé akarsz használni.

Switch Tax

ArthorShelby, MasterMark, köszönöm!

Most éppen ott tartok, hogy ha csatlakozom a távoli WG szerverhez a távoli routeren, akkor a távoli LAN-t elérem, a helyi viszont elérhetetlenné válik.

A Peer Allowed IP-jében a következő áll:
AllowedIPs = 192.168.1.0/24, 192.168.2.0/24

A 192.168.1.0 a helyi, a 192.168.2.0 a távoli LAN.
Mivel a kettő között szeretnék fájlműveleteket végezni, mindkettőnek egyszerre kellene elérhetőnek lennie.

Köszönettel: MaCS

Fán nem lehet motorozni, motoron viszont lehet fázni!

A peernél nem kell szerepelnie a helyi hálózatnak, elég a 2.0/24.

Allowed IPs azt jelenti hogy azok a hálózatok amit a VPN fele akarsz irányítani. A helyi hálót ne írd bele, mert az nem a VPN fele van.

Ezek routing szabályok lesznek valójában a kliensen.

Switch Tax

Köszönöm mindnyájatoknak -- csak innen indultam. Mármint az AllowedIPs = 0.0.0.0/0-ról.

Csak ugye az a baj vele, hogy amint kapcsolódik a távoli szerverhez, a klienst futtató gép eldobja a helyi hálózati hosztok kapcsolódását.

A Split Tunnelt érteni valamennyire értem, csak nem tudom, hogyan tudnám beállítani.

Köszönettel: MaCS

[ Szerkesztve ]

Fán nem lehet motorozni, motoron viszont lehet fázni!

Sziasztok!
Jó rég voltam erre, 500 új hozzászólást nyálaztam át. Mindig tanul az ember.
Véleményt és kritikát szeretnék, amennyiben valahol vétettem. A tényállás a következő.

Kis "irodai környezet" 5 helységgel amelyek elég távol vannak egymástól, hogy egy WiFi-vel le lehessen fedni.
Az internet szolgáltató kiépítette a "bővített" hálózatot, amit 4db mezei TP-Link 840-es routerrel és 1db mezei 8 portos TP-Link switch-el oldott meg. Az ISP bejövő kábele a switch-be kötve. A switch-ből kábelek az irodák felé.
-Iroda1:1 db 840-es router,WAN portjába a kábel,
-Iroda2:ugyan az, mint Iroda1,
-Iroda3:ugyan az, mint Iroda1,
-Iroda4:ugyan az, mint Iroda1,
-Iroda5:2db kábel a switch-ből,egyik a PC-nek a másik meg bárminek (hálózati nyomtató lesz)(ezért is született meg ez az iromány).

A négy router mindegyike AP-módba állítva (van ilyen menüpont a setup-ban), viszont a WAN-ba jön a kábel.(??????)
WiFi SSID beállítva az iroda nevének megfelelően, aktív DHCP szerverrel a 192.168.0.100-192.168.0.200 tartományban.
A PC is DHCP-n kapott IP címet, de Ő az ISP eszközétől a 192.168.11.0/24-ből. Ez egy mikrós kültéri egység.
Az Iroda5-ben van 1db helyi nyomtató(bérelt). Fölmerült az igény, hogy legyen hálózaton inkább. Így tudnának a többi irodából is közvetlen nyomtatni. Az egész működésével semmi gond nem volt, ment a "zinternet" és mindenki örült.
Viszont a nyomtató hálózatra lógatása okán, jobban ránéztem a hálózatra. Így derült ki a fenti kép. Ami számomra elég furi.
1: Én úgy tudom, hogy ha AP-nak használok egy "mezei" routert akkor:
-DHCP off,
-kábel a LAN portba,
-Static IP cím ami nem a router tartományában van,
-WiFi-t belőni még a DHCP off előtt.

2: Megkavart kicsit a switch-be kötött mikrós bejövő kábel. Hol az az eszköz ami legelőször kommunikál az ISP-vel? Merült fel bennem a kérdés.
Volt ilyen mikrós netem 4-5 éve. Akkor (most is) a tápfeladóból a POE megy fel a kültéri egységhez, a LAN meg a router WAN portjába.
Akkor még MAC alapján volt a router felengedve a kültéribe. Router csere esetén új MAC (telefonos üi.) vagy az új routeren MAC Clone a régi router MAC címével (ez gyorsabb üi. nélkül kivitelezhető).
Ez ügyben beszéltem egy technikai szakemberrel az ISP-nél. Új módszert alkalmaznak, nincs MAC címhez kötve a felhasználói router vagy eszköz.
Kábel a WAN-ba és AutoDetect a beállításoknál.
Most én úgy gondolom a kiépítésből adódóan, hogy olyan mintha 4 bejövő kábel lenne kihúzva a 4 router-hez. A PC és a nyomtató kábele (Iroda5) meg közvetlen a kültérire lenne kötve. E két kábelen levő eszközöket a kültéri routolja.
Ez elég faramuci? Nem?

3: Ez így a hálózati nyomtatás szempontjából szerintem elég problémás felállás. Van egy eszköz (a kültéri) amihez nem férek hozzá és ahhoz kapcsolódik közvetlen a nyomtató. Annak meg csak egy fix cím lenne a jó. Ugye?

Többször átgondolva a jelenlegi helyzetet és az elérni kívánt célt. Arra a megállapításra jutottam, hogy egyszerűsíteni kéne a hálózaton.
Van eddig 5 eszköz amin DHCP szerver fut (a négy TP-Link WiFin 192.168.0.100/24-192.168.0.200/24-ben, de akkor is!!). Az ötödik az ISP eszköze.

A végeredmény a következő lett:
-Iroda4: 1db 840-es TP-Link, ISP-LAN a WAN portba, DHCP:on (default setting tartomány 192.168.0.1/24), WiFi:on,
Iroda5 PC és a nyomtató ide kötve (LAN1 és LAN2), kábel a switch-be (LAN 3),
1db TP-Link switch amiből kábelek az Iroda1-3 felé.
-Iroda1-3: Mindegyik 840-es router AP módban, LAN1-be a kábel a routerből, DHCP:off, WiFi:on.
Static IP címek:
-Iroda1:192.168.10.1
-Iroda2:192.168.10.2
-Iroda3:192.168.10.3

Leteszteltem, működik. A tracert 8.8.8.8 szépen kimegy bármelyik végpontról, ugyan azt az utat mutatva a célig.
Beüzemeltem még egy hálózati nyomtatót az Iroda4-ben a switch-re kötve. A routerben AddressReservation beállítva a PC-re és erre a nyomtatóra.
A nyomtató telepítés sikerült, működik.
Aztán egy notival az egyik tetszőleges WiFi-ről is sikeres volt a nyomtató telepítés.
Az Iroda5-ben lévő bérelt nyomtatóval nem tudtam mit kezdeni, nem kommunikált a LAN portján. Gondolom tiltva van a hálózati nyomtatás.
Amit admin jelszó hiányában nem tudok átállítani. A rendszer infója ugyan mutat egy ip címet (192.168.1.56), ami gondolom egy régi beállítás maradványa. Nem nagy gond, mert a héten ez le lesz cserélve. Az új beüzemelésénél meg ott leszek.

Ha van dedikált AP mód akkor a wan portot is lan portnak állítja be, így lehet oda dugni az uplinket.

Switch Tax

Már leírtuk, de annál egyszerűbben nem lehet, hogy az allowed ips az az amit a vpn-re fog küldeni a gép.

Ha azt írod 0.0.0.0/0 akkor mindent arra küld, hiszen így tulajdonképpen default gateway-nek állítottad be.

Split tunnelingnél ide csak azokat a tartományokat kell beírni amit a vpn másik oldalán el szeretnél érni.

[ Szerkesztve ]

Switch Tax

Ahha. Régebbi TP-Link routerekben még nincs ilyen, ezért volt furi.
A DHCP-t azért illik kikapcsolni ekkor is? Nem?

AP módban nem szokott a dhcp bekapcsolva maradni...

AP módban kikapcsolja a DHCP szerverét. A DHCP kilens maradhat.

Switch Tax

Aktív volt a DHCP szerver, én kapcsoltam ki.

DHCP menüben csak 3 opció van:
-DHCP szerver on/off + a tartomány beállítása,
-DHCP Client List,
-Address Reservation.
DHCP kliensre semmi opció.

Furi nekem ez az egész. Most a jelenlegi beállításokkal az internetet jelző led narancssárga. Holott van internet az eszközökön.

Az internet jelző a wan connectiont mutatja, ha nincs wan akkor nincs mit mutasson.

DHCP kliens az ott van (vagy lehet) ahol fix IP-t is adsz magának a routernek. Nem biztos hogy van. Csak azért írtam hogy tiszta legyen.

Switch Tax

Akkor nem volt AP módban.

Switch Tax

O.K. Ránézek később, van itthon is ilyen eszköz.
Köszi szépen.

Sziasztok.
Van olyan online szolgáltatás a weben amivel egy LAN ról (pl free wifi hotspot) meg tudnám nézni (android mobilról) hogy a 443 porton kívül mely portokon tudok kijutni az internetre?

Szóval nem egy portscanner progi kell.

Sziasztok!

Itthon egy régi Unifi rendszer üzemel (USG, switch, AC AP PRO). Sajnos ők nem tudják amit szeretnék, így kérnék segítséget tőletek:
Mire van szükség ahhoz, hogy monitorozni tudjam a hálózati forgalmat weblap vagy IP szintén?
Olyan elképzelés van a fejemben, hogy kliensenként mint egy böngészési előzményt tárolni, és visszakeresni.
Előre is köszönöm a segítséget.

Ha szeretet van az életünkben, az pótol ezernyi dolgot, ami hiányzik. Ha nincs szeretet, mindegy, mink van, sose lesz elég...

Szerintem dobd az ötletet, mielőtt rááldozol egy rakás energiát, esetleg pénzt, és utána derül ki, hogy értelmetlen.
Először is sok adatod lesz, de minek? soha nem fogod megnézni, adathörcsöt játszani meg értelmetlen.
Másodszor ha nem csak te használod a hálózatot, akkor esélyes, hogy nem fogod tudni úgy megcsinálni, hogy legális legyen. A bírság meg jócskán megdobná a költségvetést.
Harmadszor a switched szinte biztosan tud port mirroringet, a kijárati router felé menő interfészét letükrözve meg tudod nézni, hogy mi történt a hálózatodon. Esetleg lehet (nem tudom, sose volt ubnt a kezemben) wireshark formátumban dumpolni a forgalmat.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Szerintem először itt: [link] érdeklődj, tele van a topic szakemberekkel
A kérdésed többek között azért is értelmetlen, mert semmiféle biztosíték sincs arra, hogy időben és térben konstans kijárási lehetőség/tiltás van.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

oké, és tegyük fel, hogy megnézted a januári listát, és nem találtál semmi gyanús reklámoldalt. akkor most megnyugodtál?

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Ezt értsem úgy hogy ott megsértődtél valamin?

Nekem az is jó lenne ha bárhol a neten lenne egy olyan IP cím amit egy portscannerrel megszólítva válaszol bármelyik porton.
Ebből már kideríthető ha nem jön valahol válasz.

RITA-t is érdemes elvileg használni, az jelzi, ha a fertőzött gép kommunikálni próbál a szerverrel. [link] Ez csak ilyen pollinggal megy, hogy ő üzen a szervernek viszonylag sűrűn, hogy van e új parancs, aztán ez erősen meglátszik a statisztikán.

Buliban hasznos! =]

Igen egy ehhez hasonló oldal kellene: https://pentest-tools.com/network-vulnerability-scanning/tcp-port-scanner-online-nmap
Csak nem tőle felém scannelne, hanem fordítva.

Nem ragaszkodok mind a 65'536 hez, elég a leggyakoribb 10 +manuálisan megadott egyedi számok egyenként.

Igen nyilván elég a tcp és https, inkább azon csodálkozok hogy én lennék az egyedüli a 8 milliárd emberből akiben felmerül hogy ilyen online teszt is kellene?
És soha senki nem csinált még ilyet..?

[ Szerkesztve ]

Kifele nem szoktak portot szűrni, ha meg igen akkor általában csak a 80/443 van kiengedve, más nem.

Switch Tax

Nagyon köszönöm! Így, ha kizárólag a távoli interface-t állítom be, érdekes módon jó.

Az a fő gondom, hogy a WG nekem eleve új, a mögöttes ismereteim elég hézagosak, miközben a hozzám eljutó tanácsok finoman szólva ellentmondásosak.

Sajnos tematikusan levezetett, tanulni való anyagot még nem találtam a WireGuardhoz, de amint látom, erre mások is panaszkodnak.

Amit viszont még mindig nem látok, az az egyik eredeti problémám: hogyan állítom be (oldom meg), hogy a pillanatnyi igényeim szerint az internetre kilépő pont a saját gép (hálózat) vagy a távoli WG szerver legyen.

Köszönettel: MaCS

Fán nem lehet motorozni, motoron viszont lehet fázni!

Annyira nem érdekes, mert így kell működnie.

Úgy állítod be, hogy a default gatewayt a VPN-re állítod vagy nem. Azaz az allowed ips vagy 0.0.0.0/0 vagy azok a hálózatok amiket a vpn-en akarsz elérni.

Legegyszerűbb két profilt csinálni a kliensre, egyikben így van, másikban úgy, és azt kapcsolod be amit épp akarsz.

Switch Tax

De néhol szoktak portot szűrni. Pl Auchanban nem működik se a 853-as DNS port, se a wifi-hang szolgáltatás M.Telekom felé, se az FTP...

Ftp-t esetleg át tudnám tenni a 80/443-ra, de a többit nem.

[ Szerkesztve ]

Kellene egy "SARCASM" emoji...

De azt hogyn oldom meg, hogy a saját LAN-t is lássam, és a távoli hálózaton lépjek ki a netre?

Köszönettel: MaCS

Fán nem lehet motorozni, motoron viszont lehet fázni!

De más megy?
Pont ennek kiderítésére kellene. 443 biztos megy. 80-at nem tudtam tesztelni, de el is felejtettem.

Hát azt többféleképp is megoldható, esetleg legkönnyebb úgy hogy marad az split tunnelinges konfig kiindulásnak, és extrában hozzáadsz egy olyan routing szabályt, hogy azt használja default gateway-nek.

Switch Tax

Ha szűrve van, akkor szinte biztos hogy minden blokkolva lesz a 80/443 TCP-n kívül, pont ezt mondom.

Annak ugye mi értelme lenne, hogy úgy szűrnek, hogy random portokat nyitva hagynak...

Néha talán az 53 UDP is nyitva marad a DNS-nek, de az ritka.

Ezt a három portot érdemes egyáltalán megpróbálni is, ha látod hogy szűrés van.

[ Szerkesztve ]

Switch Tax