Üdv!
Én elértem mindent mivel a kliens gépem egyszerre tudott csatlakozni (két hálókártya végett) a thome eszközéhez és a tűzfalhoz is (nyilván a thome és a pfsense külön hálón, külön címmel kell hogy legyen). Ha thome hálóval raktad fel, akkor proxmox alatt a PVE-NETWORK résznél a VMBR0 alatt a thome által kiosztott címet látod. Ennek a mac címét meg tudod nézni a thome eszköze alatt, majd átdugva a pfsense tűzfal hálójára tudsz kiosztani a mac címnek egy fix címet, amit aztán (egy újabb átdugás után) átírsz VMBR0 alatt (cím/cidr, a gateway pedig a pfsense elérhetősége), katt apply configuration, majd (megint átdugva a kábelt) böngészőben megadod ezt az új címet a portjával és ezután el kellene érned a proxmox és a pfsense felületét is.
Én is átírtam így, hogy minden a tűzfal után legyen, majd a thome eszközén lezártam a tűzfalat minden irányban. A telekom nálam PPPoE és bekapcsoltam a PPPoE passthru-t, ha netre van szükségem a thome hálóján át, hamar rá tudok állni.

Köszi a segítséget, este megpróbálok foglalkozni vele.

Sziasztok!
opnsense kérdéseknek szerintem ennél jobb helyet nem találok
A jelenlegi konfig:
- Huawei 4G modem + router kombó, 3 LAN + 1 WAN/LAN port, wifi
- asztali gép, 1 LAN
- szerver gép: Proxmox+virtuális gépek, 3 db LAN, ebből 2 db opnsense-nek adva (WAN+LAN)
- Tenda router: házat wifivel látja el, AP-ként üzemel.

A tervem az volt, hogy a huawei modemként üzemelne, onnan opnsense, egy switch és abból Tenda router a wifis cuccoknak, + az asztali gép.
Hasonló setup volt már, akkor a Tenda volt a router, egy külön kis router volt az IoT dolgoknak. Ez bukó, a kis router túl kicsi volt...

Huawei router belső antennát kivezettem, így eléri a napelemet is a jel, szal. erre szükség lenne. Amit nem teszteltem még, h rejtett SSID-vel, DHCP nélkül (a routerben fix IP-n van az inverter USB dongle) tud-e csatlakozni...

A másik feladat a családnak egy adblock beüzemelés, ami a gépeken a host fájlos verziót váltaná. Adguard home nálam elvérzett, pi hole előtt még opnsense+unbound-al próbálkozom.

A modem után az opnsense lenne a következő eszköz, DHCP-vel, a megadott gateway és dns szerver is az opnsense lenne a kliensekben. force DNS működne-e a fenti kiépítésben? Így -a napelemen kívül- minden IS ezen keresztül történne, ha jól gondolom.

Korábban a Tendával a hasonló kialakításnál más alhálózaton volt a modem és a router. De jelenleg egy alhálózaton kellene lenniük, mert az inverterből is szeretnék adatokhoz jutni.
Ez mennyire működőképes?

Köszönöm a javaslatokat

Hold on, trying to give a fuck... Nope, not Happening • Powered by Fedora Linux • "Az élet olyan sz@r, szerencsére a felén már túl vagyok" Al Bundy

Sziasztok,

Egy gyors kérdésem lenne.
Van egy belakott OPNSense, benne egy 4 portos NIC, amiből csak két portot használok, egy WAN, 1 LAN, ami switchbe van kötve.
Kaptam most egy 2 portos kártyát, gondoltam kicserélem.
Mennyire problémérá számíthatok?
Gondolom monitorra kéne kötni és úgy újra beállítani a portokat.
Ez után minden eddig beállított port továbbításom megmarad, vagy ezek is el fognak szállni?
A segítséget előre is köszönöm.

Csinálj egy konfig mentést! Használd konzolról, vagy monitorról az eszközt és derítsd ki, hogy mi az új portok fizikai neve! Az új nevekre írd át a konfig xml-ben az összes fizikai port hivatkozást és töltsd vissza a módosított xml-t. Ha van támogatás az új NIC-hez a kernelben, nincs más dolgod.

Köszi a gyors választ.
Intelről Intelre váltok, szerintem ezzel nem lesz gond, a rendszer up to date.
Monitorra lesz kötve, kap billenyűt.
Persze most összeszedek minden infót, mert amig piszkálom, addig nem lesz net a lakásban.
A konfigot lementettem.

Az assigments-ben ilyen igb0-3 a portok jelzése, ezt kell árírnom majd, mert ezt már megtaláltam az xml-ben.
Illetve lehet, hogy probléma, hogy jelenleg a LAN az három port bridge-be kötve.

[ Szerkesztve ]

És jelentem siker.
Az egész művelet kártya cserével 5-6 perc volt.
Végül hagytam az xml szerkesztést, direktben monitoron billentyűvel beállítottam az új LAN és WAN interfészt, utána a webes felületen pontosítottam a port továbbításokat és minden működik rendben.
Szóval már csak ki kell találnom mit csinálok egy I340-T4 kártyával.

Ki, milyen pluginokat használ?
Mi mennyire ver oda a CPU/RAM usage-nak?

DNSMasq vagy Unbound?
Blokkoló listák... mennyit, melyiket?
Megannyi kérdés...

Alapból felraktam sok plugint, amire nincs szükségem valószínűleg, bekapcsoltam egy halom szűrést... és 9 GB körül volt a ram használat proxmox szerint, 3 GB opnsense szerint. Letakarítva 6 GB pve / 2,5 GB opnsense szerint, (qemu aktív, ki téved akkor?)
Zenarmort is leszedtem, de ezt visszarakom, ha nem változik a dolog.
+custom filtert is raktam unboundhoz, a többit szűkítettem, de valószínűleg a "gyári" filtereket elengedem, steven black + no tracking

intrusion detect van bekapcsolva... esetleg ez használ sok ramot?

Amiket kipróbálnék, várom rá a véleményeket:
- HA: ez fent van, HA oldalon még várja, h felrakjam
- OS-cache: webserver cache, fent van, üzemel. szvsz ez nem kellene ramot egyen
- adguard home: hááát, standalone bukott, ha nem tudom cron alá behúzni a listák frissítését, akkor esetleg...
- clamAV
- maltrail
- speedtest

Köszönöm!

Hold on, trying to give a fuck... Nope, not Happening • Powered by Fedora Linux • "Az élet olyan sz@r, szerencsére a felén már túl vagyok" Al Bundy

Azért annyi a proxmox szerint a ram használat mert nincs normális kvm támogatás ha jól emlékszem freebsd alatt így annyi ramot vesz el a rendszer amennyit adsz neki.

[link]
itt is írja valaki.

-- PSN_ID: GerY2123

szép. Akkor nem a pluginek voltak.
Memory leak-ről olvastam, de az korábbi kiadásban volt.
Mennyi az ajánlott ram? 10 GB-t adtam neki, mert ki tudja, de ha kevesebbel beéri -saját dash szerint 4 Gb fölé nem nagyon láttam menni- akkor inkább 6-ra redukálnám.
Fura is volt, h 2 GB rpi-n ezek rohangálnak...

Hold on, trying to give a fuck... Nope, not Happening • Powered by Fedora Linux • "Az élet olyan sz@r, szerencsére a felén már túl vagyok" Al Bundy

(Pfsense +) Nekem 2gb van adva neki és 1gb használ, de nekem nincsenek pluginok. Külön használok AdGuard home és a többit. De azóta 1gb mióta fürdő tettem és zfs cache használ a rendszer. Azelőtt 380mb körül volt.

-- PSN_ID: GerY2123

wowww...
Most 2 GB körül kajál, plugin alig van.
oopsz, Proxmox minimum 2 GB volt megadva

[ Szerkesztve ]

Hold on, trying to give a fuck... Nope, not Happening • Powered by Fedora Linux • "Az élet olyan sz@r, szerencsére a felén már túl vagyok" Al Bundy

Sziasztok.
Nekem még mindig nem tiszta, hogy a proxmox host gép miről kap ip címet, amíg az opnsense nincs felrakva. Rendelnék kínából ezt az intel n5105 procis nucot. Azon 2db port lefoglalva a WAN-ra, 1LAN switchbe. Marad 1 port, ami maga a host gépnek kell? Csak akkor a host gép nem ugyan azon a hálózaton lesz, mint az opnsense és így nem érhető el asztali gépről nem?

A Proxmox csak lehetőség, nem kötelező. Használhatod az új eszközt bare metal.

A proxmoxnak fix IP címet adsz telepítéskor. Ehhez nem kell router, hogy elérhesd.

Routered gondolom most is van, addig az oszt IP-t a népnek.
Nem kell hostnak külön port, telepítéskor lesz egy bridge, ha azt rendeled a VM-ekhez is, akkor kb. ennyi, mindenki mindent lát. Ne a WAN portod legyen az, arra figyelj.

Ha NAS is lenne, akkor VM-hez könnyebb HDD-t átadni, mint konténerhez. Ha formázod és proxmox adja a tárhelyet a konténernek az más, azzal nincs gond. Én nem akartam 2 db ext4 vinyót mentegetni, formázni... majd egyszer, lehet...

Hold on, trying to give a fuck... Nope, not Happening • Powered by Fedora Linux • "Az élet olyan sz@r, szerencsére a felén már túl vagyok" Al Bundy

Tud esetleg valaki 2.5G-s, 4 portos PCIe NIC-t, ami pf/OPNSense alatt rendben látszik és megbízhatóan megy? Tudom, hogy nem túl népszerű a 2.5G, viszont Cat6e kábelezés van és nem szeretnék újrakábelezni optika miatt - plusz akkor új csatlakozók, stb...

10G-s 4 portos RJ45-s NIC-t, ami tud 2.5G-t meg nem igazán találtam.

Link

Eladó: Apple iPad mini 1 (2db)

Sziasztok. PFSense/OPNsense futtatásra milyen hardvert ajánlanátok? Eddig egy HP T620 Plusról ment, de szeretnék valami picit izmosabbat. Lehetőleg hasonló méretű, de passzív hűtésű és alacsony fogyasztású hardver kéne.
Előre is köszi.

... de szeretnék valami picit izmosabbat. Lehetőleg hasonló méretű, de passzív hűtésű és alacsony fogyasztású hardver kéne
Ugye tudod, hogy ezek az igények egymással szemben dolgoznak. Kicsi is legyen, passzív is legyen, alacsony fogyasztású legyen, de izmos is legyen
Az Aliexpressen is olvasható néhány customer review, ami túlmelegedésről, termál stabilitási problémákról szól.
Nálam pl. mSATA és M.2 SATA háttértár melegedése okozott stabilitási problémát. Pro kategóriás (MLC NAND-os) 2.5"-os SSD-vel kellett ezeket kiváltanom. Egy i5 8250U CPU-val szerelt kütyüt cseréltem J4125-ösre. Gyengébb, de nekem elég a teljesítménye.
Szóval, ha tényleg nagy teljesítményre vágysz, inkább válassz nagy, hangos, sokat fogyasztó asztali PC-t, vagy szervert, amit routernek konfigurálsz. A kicsi, cuki, fanless mini PC-k ilyen-olyan módon kompromisszumra kényszerítenek.

Néhány Aliexpress link és idézet:
[link] "Then seller confirmed computer can run 365 days 24 hours 7 days without shutdown. But it has overheat problems, it auto shutdown after use in couple hours."
[link] "With i7 processor, it gets a little hot in he 70 degree F range. Definitely put a slimline fan - a 80x80 15mm fan is perfect.. that brings the temperature down to around 35."
[link] "the device is working great but its get very hot, can be touch from the outside, you could get burn"
[link] "Disappointed. Power supply died after a few days and the temperature of the router is really too hot (>65 C)"
[link] "Running OPNSense with ZenArmor. Great perfomance - no problem with handling 1Gbps fiber. The only downside is that is running a little bit hot under load - would recommend strap a silent fan on top of it."

Köszönöm a gyors választ. Ez esetben mi lenne az arany középút a kettő között? Még egy asztali PCt nem feltétlen akarnék, mert van 2 szerver is plusz a desktopom A passzív hűtés nem is feltétlen szempont, csak ne 200 wattot egyen.

Itt igazából az a kérdés, hogy nálad mit jelent, meddig terjed a picit izmosabbat igény? Számomra router célra megfelelnének az Intel N5105, J6412, N6005 CPU-val szerelt “hűtőborda házas” mini PC-k. Nekem még nem hiányoznak a multigigabites NIC-ekkel szerelt kütyük. Ha ilyen tervem lesz, az előbb a LAN gyorsítását érinti majd. mSATA SSD-s készüléket már nem vennék. A megfelelő SSD kiválasztása kísérletezést igényelhet.

ha van két szerver, akkor ott az egyiken nem tud elfutkározni?
RPi-n is elfut, szal. ahhoz lehet méretezni szerintem (ezt minimumnak véve). Megfigyelésem szerint (nálam, proxmox alatt) 4 GB ram bőven elég, i5-3470T procit 3-5%-ra "hajcsa", nagyobb csúcsokat nem látni, csak induláskor.
Nálam mondjuk csalk mobilnet van, ki-be nincs durva forgalom, helyi hátó is szerény, ha az Iot motyókat nem számolom.

Más: az intrusion-ban láttam, h WAN felől több SSH próbálkozás volt, most drop-ra állítottam a rules-okat. Nem lenne jobb a firewall rules-hoz adni valamit, h WAN felől dobjon el mindent ilyesmit? Valahol listázhatóak a nyitott portok? A 4G modem/Router-ben DMZ-hez adtam az opnsense WAN portot, lehet ott csúsznak át ezek?

Hold on, trying to give a fuck... Nope, not Happening • Powered by Fedora Linux • "Az élet olyan sz@r, szerencsére a felén már túl vagyok" Al Bundy

Virtualizálni nem szeretném

Úgy különben miért érzed kevésnek a HP-t?
Én is azt használom, csak azért kérdezem.

Nyomós okom nincs, csak az zavar, hogy régi a proci és a NIChez nem lehet normálisan hozzáférni

És ezen az Intel i225-tel nincsen gond?

--

Kicsit más téma, ha már felmerült:

Mennyire "para", ha virtualizálom a pfSense-et amúgy? Most egy Ali-s 2.5G-s 4portos J4125-zel szerelt mSATA-s egységem van, amivel összességében elégedett vagyok, kivéve, hogy custom kiskínai BIOS van rajta és az eladónál nincsen hozzá update, a gyártó meg nem válaszol.

Emiatt gondolkoztam el a váltáson - egy HP SFF gép + egy 4 portos NIC bele és akkor a lelkem is nyugodtabb (igaz, COREboot-ot nem hiszem, hogy fel tudok/akarok rakni rá), legalább nem a kínaiakhoz megy az adat

Szerintetek mekkora kockázatot rejt magában így a mostani Ali-s doboz (a kínai fw-vel)? Emiatt a teljes netes forgalmamat nem raknám VPN alá.

Persze elérhető olyan box is, amire rá lehet rakni a coreboot-ot, de többe kerül, mint a már meglévő SFF gép + 4 portos NIC + a meglévő alis box együtt.

Persze elérhető olyan box is, amire rá lehet rakni a coreboot-ot, de többe kerül...
Továbbra is 2.5 Gbps LAN portokkal szeretnél PC-t? Mennyire legyen erős a vas? Mert van az Alin Protectli FW2B (az eredeti Yanling eszköz).

Nem tudom sajnos.
Talán az Intel NIC kevésbé problémás, mint a Realtek.
Olvastam én is a 225-ös NIC hibáiról, nem tudom sajna hogy ezen a kártyán milyen revízió van.
Linux kernelben tudtommal már benne vannak a driverek.

Eladó: Apple iPad mini 1 (2db)

Amíg ellátja a dolgát és elég a teljesítménye nálam addig marad. A cserére max az venne rá, ha fele fogyasztáson kapnék kétszeres teljesítményt gombokért.
Az jogos, hogy nehéz hozzáférni az RJ45-öthöz, ha kártyán van, de én nem nagyon húzogatom ki. Van benne egy 2 portos NIC, egy WAN, egy LAN. A LAN megy egy switchbe.

[ Szerkesztve ]

Hát, visszalépni nem szeretnék feltétlen sebességből (ha már vettem 2.5G switch-et meg NAS, meg AP-t. Csak ugye, akkor meg sokkal zsebbenyúlósabb a mutatvány. Ezért gondoltam, hogy ha már úgyis van egy SFF gép (amit amúgy is PVE-vel használok, szervernek), akkor abba egy 4 portos NIC és jó vagyok.

Erősségben teljesen elégedett vagyok a mostani J4125-tel is, nem igazán van ez se kipörgetve. Fontosabb inkább a fogyasztás/teljesítmény mutató, mellette a halk működés, mint a nyers erő.

[ Szerkesztve ]

A mostani gépben is i225-V van, én nem érzem amúgy problémásnak és elégedett vagyok vele, csak a fránya fw zavar... És nem is tudom, hogyan tudnám megnézni, hogy egyáltalán "telefonál-e" haza valamit is.

[ Szerkesztve ]

Hát, visszalépni nem szeretnék feltétlen sebességből (ha már vettem 2.5G switch-et meg NAS, meg AP-t.
Ez érthető. Van gigabitesnél nagyobb sebességű internet előfizetésed? Mert a 2.5 Gbps router ahhoz kell ugye. Multigigagbites LAN-hoz elég az említett switch.

Elsősorban a LAN része a fontos, netből csak kinézőben van 2Gbps, de az kérdéses még.

Viszont tegyük fel megveszek egy 2 portos 1GiB-es eszközt, ott hogy tudok elérni csak a switch segítségével 2.5GiB-et LAN-on?

Viszont, ha elég a firewall-nak 1GiB-es portok és switch-el megoldható, akkor van itthon az SFF-be való 4 portos NIC - itt megint csak kicsit sajnálnék ~100k-t rákölteni, ha amúgy itthon van eszköz, amivel meg tudnám oldani a dolgot.

Viszont tegyük fel megveszek egy 2 portos 1GiB-es eszközt, ott hogy tudok elérni csak a switch segítségével 2.5GiB-et LAN-on?
Úgy, hogy az összes 2.5 Gbps kliensedet a 2.5 Gbps switchre kötöd és azok már 2.5Gbps sebességgel kommunikálnak egymással. Ugyanezt tettem anno, mikor az akkori Mikrotik routerem csak 100 Mbps portokkal bírt, de a klienseim már gigabitesek voltak. Egy gigás switch segített.

[ Szerkesztve ]

Valamiért úgy rémlett, hogy a csomagok alapból mindenképpen átmennek a start_kliens -> switch -> router -> switch -> cél_kliens útvonalon. Ez unmanaged switch esetén is így van?

[ Szerkesztve ]

Igen, így van (ha ugyanazon az alhálózaton vannak).

[ Szerkesztve ]

Igen, így van.
A router elég ha csak gigabites, ad IP címet, stb.
A kommunikáció ezután már a switchen keresztül megy csak két kliens között, azonos alhálón.
Csak ezért nem kell 2,5Gbites NIC a routerbe.

Eladó: Apple iPad mini 1 (2db)

OPNsense-t használok. A legutóbbi frissítés (23.1.6) óta a Crowdsec blokkol bizonyos LAN forgalmat, pl. a torrent gépem DNS szerver felé menő kéréseit (router IP:53 port).
A tűzfal live view-ja tele van erre vonatkozó blokkolás log-gal.
Ti nem futottatok bele ebbe?

Suricata volt egy darabig, de feleslegesnek tartom itthonra, másrészt ez is tele volt error-al, leállt, stb... OPNsense viszonylag friss telepítés, nincs is teleszemetelve...

Unbound statisztikára ki mit használ? Adguard kinézet már megfelelne, a zenarmort nem nagyon tudom megkedvelni.

Hold on, trying to give a fuck... Nope, not Happening • Powered by Fedora Linux • "Az élet olyan sz@r, szerencsére a felén már túl vagyok" Al Bundy

Közben kiderült, hogy mi okozta a zavart. A Crowdsec blokklistába bekerült a torrent gépem IP címe Nem tudom, hogy miért, nem tudom hogyan, de miután töröltem, helyreállt a rend (a Crowdsec alias nem egészíthető ki kivételekkel).
Számomra megoldhatatlan feladat volt a Suricata szabályrendszer kezelése. A Zenarmort viszont szeretem. LAN és WG interfészen használom. Informatív, teszi a dolgát.

kicsit különböző architektúrában futtatom a crowdsecet és ott nem történhet ilyen. A szervergépemen a szolgáltatások logjait nézi a crowdsec agent konténer majd összeálít belőle egy privát IP feketelistát. Ezt a listát olvassa az opnsense-en egy WAN rule alias bejegyzése. így ami a listán van az blokkolva lesz. Ergo összeadódik a mások által fekete listára tett IP-k és a saját szolgáltatásaimon próbálkozó botok összessége. Meg persze van egy csomó standard hagyományos IP fekete lista ami be van rakva még aliasnak.

fred

Nálam most először történt ilyen furcsaság. Nem tudom miért (nem érték hozzá).
Egyéb blokklistákat használok én is. Az iplists.firehol.org szerint elég nagy átfedés van az népszerűbb blokklisták között. Mert hogy egy-egy ismert blokklista része néhány nagyobb, gyűjtő blokklistának. Ezek mellett még a NextDNS védelmét használom.

fain, akkor az megoldódott.
Igen, a Suricata szabályok macerásak, egy szint után írja is, h már policy kell, mert sok a szabály. Ezekhez még jön az Unbound listák... ehh. Majd rájöttem, h nincs rá szükségem, ahogy geoIP blokkolásra sem, nem nekem való (nincs honlap vagy bármi nyilvános stuff, csak az IoT cuccok, de így rém egyszerű a szabály: amit nem kértem, az drop...)

Zenarmornál többször kellett az adatbázist resetelni, mert hibás lett. Utána egy darabig jó. De pár fület még így sem tudok használni, mert nem tölt be semmit, csak lefagy (opnsense nem, csak a zen gui). Adguard faék egyszerűsége és átláthatósága után az unbound report vagy a Zenarmor egy katyvasz kicsit.

freddirty: igen, sok a duplázás a listákban. Steven Black is összevont lista, elég alapos. NoTracking is jó, ez is összevont, deduplikált, optimalizált és a dead site-okat kiszedik. Steven Black-hez kellene ilyen, mert marha nagy lista, host-ba kompressed változatot raktam a laptopokra, mert fogta a gyenge vasat.

Multibit: a linkelt oldal is említi a spamhouse drop/edrop lisátát, nekem az a WAN oldalon a tűzfalban működik, Steven Black pedig az unbound-ban. SSH és GUI WAN oldalról letiltva (amúgy is mindent drop-ol onnan). NAS-nak olyan jól konfigoltam a tűzfalát (opnsense mögött van, de nah... köll), hogy nem frissített. Ki gondolta volna, h vannak frissítések, amik csak IPv6-al tölthetők?
Tetszik, amit az oldalukon írnak, kíváncsi lennék, h Steven Black-el mennyi az átfedés, lehetne-e azt is ezzel a szkriptjükkel ide mergelni. Azt azért szeretem, mert vannak kategóriák, jobban alkalmazható, nem csak malware/advert/stb. lista.

Hold on, trying to give a fuck... Nope, not Happening • Powered by Fedora Linux • "Az élet olyan sz@r, szerencsére a felén már túl vagyok" Al Bundy

Majd rájöttem, h nincs rá szükségem
Az IP blokklisták nálam jó szolgálatot tesznek. A tűzfal log live view nézete egyértelműen mutatja, hogy aktívak. A WAN-ról amúgy is visszapattannak a próbálkozások, de az aktív torrentezés miatt van egy nyitott portom. Jól látszik, hogy sok a feketelistáról blokkolt IP (in/out irányban egyaránt). Igaz, így a state table size (egyidejű aktív session-ök) nálam mindig 3000-3500 körül van, de ez már moderált érték. Korábban ez 8-10 ezerre is felment
A Zenarmor és a NextDNS a DNS/alkalmazás szűréshez, valamint a reklámblokkoláshoz hasznos. A kifele irányú forgalmat is figyelni kell. Unbound DNS bloklistákat már nem használok.

[ Szerkesztve ]

IP blokkolás van, de nem GeoIP és nem Suricata.
Reklámokat Steven Black list is tartalmazza, meg a Zenarmor is nálam, ezek LAN oldalon vannak, WAN oldalon spamhouse, drop all és azért biztos, ami biztos alapon még SSH és HTTP is blokkoltam az OPNsense-hez.

Hold on, trying to give a fuck... Nope, not Happening • Powered by Fedora Linux • "Az élet olyan sz@r, szerencsére a felén már túl vagyok" Al Bundy