Én azt nem értem, hogy 2Gbps-hez minek PCIE Gen3 x4 foglalat, amikor x1 simán elvisz 8Gbps-t. Nézegettem már régebben, mert az egyik gépbe kellett volna legalább egy kettes, de nevetséges áron vannak, és túl sok lane-t foglalnak le. Gyorsabban találok valami gyors optikait, mint ilyet, vagy jó eséllyel hamisba futok bele.

Buliban hasznos! =]

Szia!

Innen rendeltem igaz 4 portos es magas profil de azt simán leszedtem. Másnapra már hozta a posta.
[link]
Ez hp de Intel i340 felel meg. Pfsense és opnsense alatt is működik 4-5w fogyasztás mellet.

[ Szerkesztve ]

-- PSN_ID: GerY2123

És ha leszeded a profil lemezt, hogy rögzíted a kártyát a gépben? NEm szeretném ha ide-oda billegne a PCIe foglalatban.

Egyenlőre nincs rögzítve. Mivel nincs mozgatva így nem lötyög
Amigy rendeltem AliExpress 1500-ért egyet mikor megvettem a kártyát.

De a [link] marketplace is van jó áron, annyi hogy ez a régebbi verzió. Elég meleg tud lenni ha nincs ventillator ahogy olvastam.

[ Szerkesztve ]

-- PSN_ID: GerY2123

Van egy olyan helyzet itthon, hogy szeretnék egy saját hálózatot kialakítani pfsense-el. Van szolgáltatói router (Vodafone, NAT, DHCP), meg AP-k rákötve, amit a többiek használnak, én ettől szeretnék függetlenedni. Max egy port forwardingot állítanék be rajta, meg egy kábelt rádugnék, de kb. ennyi. Nem akarok fájl megosztást, vagy semmi ilyesmit a többiek gépeivel.

A saját szerver gépen van gigabites rezes kapcsolat, ac wifi kártya és optikai hálózati kártya. Azt szeretném, hogy az én gépeim innen kapják a netet. A gigabitesen jöjjön be a net a szolgáltatói eszköz felől, az optikain és wifin legyen tovább osztva. A lényeg, hogy tudjak csomagokat szűrni, saját tűzfal beállításokat alkalmazni legalább a saját gépeimre.
A másik, amit szeretnék, hogyha utazok, akkor a laptoppal és a telefonnal elérjem az itthoni szerver szolgáltatásait, pl. fájl megosztás, webszolgáltatások. Azt viszont nem szeretném, hogy valaki direktben elérjen SMB vagy HTTP szervert a netről, inkább csak valamilyen titkosított tunneling megoldáson keresztül. A gépek között direktbe nem szeretnék fájl megosztást vagy ilyesmi, csak a szerveren keresztül, szóval a többi gép vagy a teljes saját hálózat távoli elérését nem szeretném, mert felesleges és csak plusz sebezhetőséget rejt. Azt sem szeretném, ami a tipikus VPN-en van, hogyha rácsatlakozok, akkor a VPN szerver internetjét használom, és minden adatforgalmam átmegy rajta, mert elég gagyi az itthoni uploadom.

Egyelőre feltettem egy type1 hypervisort a szerverre, aztán agyalok, hogy mi legyen. Tudtok valami iránymutatást adni, hogy hogyan tudom vagy érdemes elérni a fenti célokat? Leginkább a hálózati része nem világos.

[ Szerkesztve ]

Buliban hasznos! =]

Min futna a pfsense? VM-kent a szervereden?

Igen, arra gondoltam. Régen agyaltam, hogy jó lenne erre saját eszköz meg külön szerver, de aztán úgy döntöttem, hogy olcsóbb is így, a különbözetet meg inkább vasra költöm.

Buliban hasznos! =]

Kétszer is neki futottam de a hw része nekem ködös a configod.

Amúgy amit szeretnél az működne pfsense segítségével minden további nélkül. Ha a hw adott (elegendő port és ap) akkor VM és onnantól mehet a játék.

Mivel le akarsz szakadni a fő hálózatról, így én inkább nem erőltetném a port forwardingot, mert ha valaki pl reseteli vagy babralja a szolgáltatóit, akkor esélyes hogy más ip-t kapsz és máris borul a szolgáltatások amikre használnád.
Inkább nézz körül a Cloudflare tunnel vonalon, egyre több a tutorial hozzá és kb semmi az egész. 1db domain kell hozzá és annyi.

Amúgy én most mentem át OpenWrt vonalra egy rpi4-el. Idaig elég jó és jobban le tudom kezelni az otthoni lte netet.
https://www.waveform.com/tools/bufferbloat Teszten A és A+ eredményeim vannak, *sense alatt C volt a legjobb.

[ Szerkesztve ]

Én úgy csináltam, hogy a pppoe passthrough-ot engedélyeztem a szolgáltatói modemen, majd
- az egyik LAN portjára dugtam a pfsense WAN-t, ami pppoe-n kapcsolódik a netre. Ezen vannak az én készülékeim.
- A modem egy másik LAN portjára pedig egy AP, annak lan portjain csüng a család. Így nekik marad a "gyári" net, ami akkor is működik ha valamit elbabrálok a pfsense-n

Nem szeretnék a privát dolgaimba külső szolgáltatót bevonni. Ennyi erővel feltehetném az egészet a felhőbe is, aztán megspórolnám magamnak a saját szerver üzemeltetését... Ha VPN, akkor WireGuardot tennék csak fel.

[ Szerkesztve ]

Buliban hasznos! =]

Átnéztem a szolgáltatói cucc menüjét, annyi van benne, hogy modem mode, ami gondolom bridge mode-ot jelent. Ez ilyen fehér UPC connect box, amit a Voda vett át pár éve. Szóval valszeg nem megoldható vele. Viszont van vendég háló, és nekik elég a wifi, úgyhogy arra gondoltam, hogy átrakom vendég hálóra őket, nekem meg jó lesz a normál. Talán ez részben megoldja a szegmentálás problémáját.

Buliban hasznos! =]

Jaj, bocsi, azzal a boxxal tényleg nem lehetett ezt megcsinálni elvileg, én is bridge módban használtam. Amikor olyanom volt (az ezelőtti) akkor pfsense-n belül oldottam meg, hogy az egyik lan port függetlenítve volt az én hálozatomtól, csak netet szolgáltatott. Arra kötöttem az AP-t a családnak.
A másik LAN volt az "enyém" amire minden jóságot ráhúztam pfsense-ben.

Semmi gond, végülis elvezetett a megoldáshoz a javaslatod, mert vendég hálóra kerülnek, aztán kész. Elvileg a CB levisz addig, ameddig kell, a mostani AP is szinte ugyanott van, és hasonló a wifi erőssége, talán egy picit jobb. Szóval ez a része megoldódott. Akkor tulképp egy extra tűzfalat kell csak feltennem gondolom meg valahogy továbbosztani a netet az összes hálózati kártyán. Gondolom ezek viszonylag alap dolgok, úgyhogy meg tudom oldani a manual olvasgatásával vagy tutorialok nézegetésével.

A másik részére még mindig várok tippet, hogy hogyan lenne jó. Volt ilyen vad ötletem, hogy berakok minden webszolgáltatást, samba szervert külön containerbe, aztán VPN szerverre úgy kötöm rá, mintha mindegyik egy-egy külön számítógépen futna. Mindegyik kap külön helyi domain nevet, saját aláírású SSL-t, stb. Elég elborult, de tetszik az ötlet, hogy triplán virtuális magánhálózatot hozok létre. A másik lehetőség, hogy egy IP és minden külön portra kerül. Talán az SSH tunnel erre egyszerűbb, bár egyikkel sem foglalkoztam még behatóbban.

Buliban hasznos! =]

A távoli elérésre wireguard vagy openvpn szolgáltatást kellene felraknod a pfsensre és a kapcsolódni szánt kliensekre. Ezt fel lehet konfigurálni úgy mintha a lokális hálózaton lógnál, akár az internetelérést is át lehet forceolni rajtuk, ami mondjuk hasznos ha el szeretnéd fedni publikus wifin a forgalmadat. Nekem is így megy, openvpn-en lóg a hétvégi ház hálózata, wireguardon csatlakoznak a mobil eszközök.
Nekem is hasonló setup van itthon mint ami az első hozzászólásban írtál, 1-2 plusz tanács:
- A családot nem feltétlenül kell teljesen leválasztani, lehetnek jó és hasznos szolgáltatások a szervereden nekik is. Pl Pihole ami reklámot/nem kívánatos domaint-t szűr, vagy egy security onion ami intrusion detectionként a forgalmukat elemezve gyanús dolgokra mutathat rá mondjuk rosszindulatú fertőzésre/forgalomra (ez mondjuk már kicsit enterprise ízű szolgáltatás).
Egy szerveren a homelab szolgáltatásai és a router azért nem annyira klafa. Fogsz mókolni újraindítgatni, frissíteni nem lesz 100% az internetelérés ami akkor is fájhat ha csak te ill. a szolgáltatásaid használják. Én külön kisebb alacsony fogyasztású eszközre szervezném ki a pfsense-t hasonlóan mint egy routert, aminek a tárhelyét megosztva akár backupja is lehet a main szervernek ha valami nagyobb leállás lenne.
(A felhőt én annyira nem látom alternatívának otthonra. Egy otthoni szerver méretű gép bekerülési költsége a felhőben elég gyorsan eléri a beruházás költségét és utána már negatívba fordul. 32GB RAM, 4-8 mag, videogyorsítás transzkódoláshoz, kamera feed feldolgozáshoz. A felhő inkább enterprise szolgáltatáskupac amivel megspórolhatják a cégek az onprem üzemeltetéséhez szükséges népek bérét, meg még persze sok minden mást. De hát ebben az esetben te vagy a rendszergazda :)

fred

Ja ilyesmire gondoltam csomagszűrés alatt: [link] [link] De még valszeg lesz benne más is. Ez az egyik szakmám, aztán kell a gyakorlás.

Max a képeket osztanám meg velük, csak amíg nem képesek tudatosan netezni, aztán bármikor összenyomkodhatnak egy vírust a gépre, addig nem szívesen engedem a szerver közelébe őket.

A pfsense és a hypervisor frissítése érdekes nekem. Részben a kieső net a gond, mert mi van, ha frissítés után úgy dönt, hogy még letölt valamit? Másik részben meg az, hogy van e egyáltalán rollback lehetőség, ha valami elcsesződött... Te ezt hogyan oldottad meg?

[ Szerkesztve ]

Buliban hasznos! =]

A rollback nagyon egyszerű. Nálam egy külön j6413-as aliexpress célgépen van a proxmox és vmben az opnsense. Proxmoxal scheduleban vagy alkalomszerűen készítek mentést az opnsense gépről (a main server nfs megosztására ha kell). Bármi van akkor abból vissza lehet állni. De van alkalmazásszintű configbackup is a pfsenseben, de azt elég ha csak piszkáltad, ami egy idő után úgyis ritka esemény lesz ha már működik minden ahogy szeretnéd. A proxmoxot magát én nem frissítem. 25+ év után ITban és otthoni hobbiként azt tudom mondani, hogy ami nem romlott el azt nem csesztetjük, kivéve ha látok tényleges biztonsági okot. Pl net felé expozált szolgáltatások. Nyilván enterprise szinten ez már nem áll meg.

fred

Bizonyos időközönként azért érdemes a Proxmoxra is biztonsági frissítéseket tenni, bár van némi kockázata.

Aha, akkor a többinél a Proxmox megcsinálja neked a rollback lehetőségét. Végülis így elég egyszerű.

Buliban hasznos! =]

"Ezt fel lehet konfigurálni úgy mintha a lokális hálózaton lógnál, akár az internetelérést is át lehet forceolni rajtuk, ami mondjuk hasznos ha el szeretnéd fedni publikus wifin a forgalmadat."

Ez az, amivel kapcsolatban nem tudom mit csináljak. Nekünk azt oktatták, hogy csak úgy szabad VPN-t használni, hogy a teljes net forgalmad is átmegy rajta. Nem teljesen világos, de valami ilyesmi lehet a háttérben, hogy ne kapcsoljuk össze egy nem megfelelően védett internet kapcsolattal a teljes céges hálózatot. A másik oldalról viszont csak 25 Mbps a feltöltésem a mostani otthoni nettel, ami édes kevés, ha azon keresztül akarok dolgozni úgy, hogy elérem a szervert is. Egyelőre még agyalok, hogy mi legyen. Elvileg nem sokára jön a Telekom optikával a faluba, aztán tudok venni normális 1000/1000 netet majd. A másik opció, hogy átrakom a gépet a barátnőmhöz. Ott viszont a fizikai biztonsága nem garantált. Amit még sokszor hallok, hogyha megszakad valamiért a VPN kapcsolat, akkor automatikusan vissza szokott állni a rendszer a helyi internet kapcsolatra, és simán megy titkosítatlanul az adatforgalom anélkül, hogy tudnál róla. Volt, aki külföldön megszopta így, mert VPN-en keresztül akart torrentezni, aztán rászólt a szolgáltató a tulajra utána.

Buliban hasznos! =]

Hú hát informatikában nincs olyan szerintem hogy mit szabad vagy nem szabad mindig az adott környezetben kell döntést hozni hogy mi a legjobb a kockázatokat figyelembe véve. Egy céges környezetben a vpn szerverek általában a default gway-nek magukat állíttatják be a kliens géppel, hogy minden forgalmat a céges hálón keresztül toljon át. Ebben a környezetben a céges policy ami mindent visz, látni akarják a teljes forgalmat elemezni, tiltani, óvni a céges érdekeket adatokat, az alkalmazott érdekei magasról le vannak ejtve. Otthoni környezetben más a szitu ott csak a te érdeked számít. Nincs elég sávszél, hogy kiszolgáld a távoli vpn gépek netes igényeit? No problem te vagy a local god azt teszel amit akarsz, akkor menjen csak a lokális szerverelérés a vpnen. Mit vesztesz? Némi privacy max. De persze van annyi 3rd party vpn megoldás dunát lehet rekeszteni belőlük. Nem kell feltétlenül a sajátod használni majd ha lesz gigabit net otthon akkor átállsz arra.

fred

Félreérted. Vannak a vállalkozásomhoz kapcsolódó üzleti titkok a gépen. Abban mondjuk igazad van, hogy kockázat arányos védelem kell, és általában ez okozza a feszültséget, hogy minél szigorúbb a védelem, annál használtatatlanabb a rendszer. Majd agyalok rajta, hogy mi legyen.

Buliban hasznos! =]

opnsense - látom, már kérdezte egy kolléga korábban a reklámszűrés lehetőségét. Számítógép, android pipa arról az oldalról, de pl egy 2016-os samsung TV-n hogyan lehetne segíteni, amin tizen rendszer van? Nem alternatívákra gondolok, hanem konkrétan a TV-t szeretném használni youtubra, de lehetőleg reklámrengeteg nélkül. Van rá megoldás?

Tapasztalt már valaki olyat, hogy a CPU órajele nem mozdul meg terhelés hatására sem?
Azt írja, hogy 800MHz jelenleg, az alap órajele a procinak 3900MHz. De bármit csinálok a hálózaton, nem ugrik feljebb 800-nál. Kipróbáltam, hogy mi történik ha kikapcsolom a power saving-et az advanced settingsben, de ugyanígy viselkedik.

Hol nézed ezt? Vagy terminálból valahogy?

-- PSN_ID: GerY2123

A webes felületen, dashboard.

Nekem ezt írja ki :

Intel(R) Core(TM) i5-6400T CPU @ 2.20GHz2 CPUs : 1 package(s) x 2 core(s)AES-NI CPU Crypto: Yes (active)
QAT Crypto: No

vm megy? Cpu type “host”

[ Szerkesztve ]

-- PSN_ID: GerY2123

Akkor te nem így látod? (ez nem az én képem, nekem a max 3900MHz)

Az előző gépemen futó pfsense-ben a Current órajel változott ha dolgozott a tűzfal, nagy sebességgel ment a torrent, ilyesmi. Most fixen 800MHz

Nálam így néz ki, ha ez segít valamit:

Verzió: 23.01-RELEASE

Nálam is ugrál (800, 1200, 1400, 1600 és 2000-et láttam eddig) - bár túl nagy terhelést nem kap, de így is van hogy 2000 MHz-et mutat.

[ Szerkesztve ]

El lehet a biosban állítani a C-stateket úgy, hogy azt okozza, hogy 800MHz-ről nem mozdul ki a proci?

Én inkább kikapcsolnám először az energiatakarékos üzemmódot BIOS-ban, hogy úgy normálisan működik e.

Buliban hasznos! =]

Nem én így látom! Lehet azért mert nekem vm -be működik?

-- PSN_ID: GerY2123

Szerintem ezen menj végig, vszleg csak a kijelzés nem jó.
https://www.baeldung.com/linux/check-cpu-speed

fred

Azt hiszem be kell kapcsolni a State Table Size opciót is, különben nem jelzi a CPU-t rendesen.

Mindent megpróbáltam a biosban, de továbbra sem moccan meg, most már képet is tudok mutatni az én pfsense-mről, hazaértem:

A linken lévő dolgok meg nekem kínaiak, fogalmam sincs mi mit jelent/csinál.

[ Szerkesztve ]

Lehet ahhoz köze a dolognak, hogy nem ebben a gépben lett feltelepítve a pfsense, egyszerűen át lett téve az SSD ebbe?

Ha a WebUI-on a "Diagnostics" > "Command Prompt" > "Execute Shell Command" boxba beírod ezt: sysctl dev.cpu.0.freq és többször lefuttatod egymás után, akkor is fixen mindig 800-at ad vissza?

Igen.

Hm. Gépen UEFI beállításokat lehet exportálni? Mert akkor lehet kellene csinálni magadnak egy snapshotot a mostani beállításokkal róla, majd nyomni egy resetet és megnézi úgy, hogy mit mutat a pfSense - akkor kiderül, hogy most BIOS beállítás kérdése vagy valahol máshol megy el a dolog. Aztán a lementett beállításokat visszatölteni - hogy ne kelljen mindent megjegyezni/kézzel visszaállítgatni.

[ Szerkesztve ]

Egyébként elképzelhető, hogy egy 2 magos proci 800MHz-en PPPoE kapcsolaton 900Mbit-es sebességgel tölt le fq_codel limiterrel, és közben csak 5-6% a proci terhelése? Nekem az a gyanúm, hogy csak a kijelzés rossz, nem gondolom, hogy ilyen sebességre képes lenne egy 800Mhz-es proci.

[ Szerkesztve ]

Egy BIOS frissítés megoldotta a dolgot

Mikor még megvolt az Alis mini PC-m, rá tudtam tenni a hozzá való Protectli-s AMI BIOS-t, majd a Coreboot-ot. Mint kiderült, a kütyüm szögre megegyezik az FW6D modellel. Coreboot maradt rajta eladásig. Frissítés is jött ki rá.

Sziasztok.
Engem is érdekel ez a házi router téma, lenne is hozzá egy alap vasam amiben P55 chipset van és a Lynnfield (2009. 3. negyedév) időkből az i7 860. Ezt valahogy passzív hűteném a csend miatt. Nektek mi a tapasztalt cpu terén, a gigabites natolást hogy bírják a régebbi cpu-k? Nálam 2x 1gbit wan-t kellene natolni (2 ISP jön be), majd azt lanba tolni 2gbittel. Ehhez keresek még jelenleg quad portos hálókártyát vagy dupla portos is megfelel, az egyik 2x 1gbit wannak + a másik 1x 2,5gbit lannak. Az alaplapon van 2db PCIE 2.0 x1 slot az 500MB/s tehát elég sávszél lenne még a quad portos kártyának is egy slot elméletileg, összesen 400MB mozogna rajta.

Üdv!
Alaplamon 4db lan port található. Pfsense pppoe módban, 1 wan, 3 lan. A 3 lan-ból ezerrel jön a net. Az egyikre rákötöttem egy régebbi routert, hogy wifi is legyen . Az is ok.
A problémám, nem érem el a proxmox felületét, és a rajta lávő virtuális gépeket sem. Előzőleg a szolgáltatói routerem volt pppoe módban, és úgy konfiguráltam a proxmoxot. Aztán áttettem
dhcp-be, a pfsensét ppp-be. Net ok, vm nem ok. Mit kellene állítanom a pfsensében, hogy visszakapjam a vm-eket?

Nem pfsense, hanem általános hálózati hibakereséssel kezdenék:
Első körben a kiosztott, foglalt IP címek között néznék körül, hogy a keresett gép kapott-e és ha igen mit kapott. Ha kapott, akkor azon el tudod érni, ha nem kapott, akkor kéne kideríteni, hogy miért nem kapott? A VM Hostnak nem volt beállítva fix IP?

[ Szerkesztve ]

Csak egy tipp: ugyanazon az alhálózaton vannak a gépek? Pl.: 192.168.0.x

Ha jól emlékszem a proxmox szereti a statikus címet, lehet a korábban beállítotton elérhető.
A VM-ek dhcp-re vannak konfigurálva?

[ Szerkesztve ]

Az egész így néz ki: szerveren van a proxmox alatta fut 3 vm, köztük a pfsense, kliens egy windowsos kis gép. Thome router dhpcben, pfsense pppoe-ban. Ha a kis gépet kötöm össze a thome-os routerrel, akkor elérem a proxmox felületét, a vm-eket, kivéve a pfsensét.
Net van a kliensen.
Ha a klienset kötöm össze a szerverrel, akkor a proxmoxot nem érem el, se a vm-eket, csak a pfsensét.
Net van a klienesen.
Biztos valami bagatel dolgot nem csinálok meg, vagy csinálok amit nem kéne. a cél az, hogy a klienset összekötöm a szerverrel, akkor elérjem a proxmoxot.

[ Szerkesztve ]