Új hozzászólás Aktív témák
-
-
kutga
nagyúr
Hölgyek/urak!
Ha már itt tartunk van itthon a fiókban egy Fujitsu Futro S720, kétmagos proci, 32 giga ssd, 4 giga RAM. Ebben van valami fantázia? Nyilván ez a gép single nic, úgyhogy gondolom kell majd hozzá egy menedzselt switch két vlannal.
-
Multibit
nagyúr
válasz
Sanyi.mTs #1394 üzenetére
A rendszer hw igényét az határozza meg elsősorban, hogy milyen plugin-eket szeretnél használni. Például ha nincs szükséged Zenarmorra, Maltrailre, vagy Suricatara, viszonylag szerény hardveren is elleszel.
HA-n is nézelődj! Időnként megjelennek ott használható mini PC-k, vékony kliensek. -
Sanyi.mTs
addikt
Mi a különbség a pfsense és opnsense között?
Felületes vizsgálatom alapján 1/1Gbps nethez mintha nagyobb lenne a rendszer igény (főleg SSD kapacitás) opnsense esetén.Fontos számomra a kis méret, így először a Zimaboard 432 került a látókörömbe. 160 dolláros (+szállítás +vám) ára kicsit húzós. Tudnátok hasonló (fizikai) méretű, tudású, kis fogyasztasú (dupla ETH portos) eszközt ajánlani kicsit barátobb áron vagy EU-s beszerzésűt?
-
paler
aktív tag
válasz
Multibit #1389 üzenetére
Furcsa, mert sem mobilon, sem pedig PC-n nem látszik egyetlen fájl sem a kliensben (természetesen eddig ez sima routerrel működött), de a letöltés viszont működik, sőt az ablak alján mutatja is az aktuális sebességet amíg megy a letöltés.
A NAS-on újra is indítottam a qBittorrent szolgáltatást, de az sem segített. Nem értem mi a fene van??[ Szerkesztve ]
-
paler
aktív tag
Köszönöm, az útmutatód alapján sikerült bekonfigurálnom a portot. Viszont most pedig azt nem értem, hogy miért nem látszik semmi adat a kliensben .
Erre is valamilyen NAT/Firewall szabályt kellene létrehoznom?[ Szerkesztve ]
-
paler
aktív tag
válasz
Multibit #1386 üzenetére
Nem is, és annyira nem is szívesen használnám az upnp plugint ha egy mód van rá.
De tegnap szerettem volna megnézni egy filmet, és akkor szembesültem hogy nem tudok a kölcsönzőhöz hozzáférni
Néztem videót a PF-ról, ez alapján végig csináltam, és ennek ellenére a példába megadott portot zártnak mutatta. Pedig 3 oldallal is próbáltam pinggelni.
Az egyik oldalon az összes szoba jöhető portot ellenőriztem, és mindet zártnak találta:
Ennek alapjába véve örülök, mert ez a cél, de azért egy-két alkalmazás jó lenne ha továbbra is működne.
Köszi a segítséget, ma meglesem.
[ Szerkesztve ]
-
Multibit
nagyúr
Feltelepítettem az upnp plugint
Mintha ezt írtad volna: "1.nem szeretnék minden is felpakolni a rendszerre"Attól, hogy nincs nyitva port, még lehet torrentezni. Ha ragaszkodsz az aktív módhoz, a tűzfal NAT menüpontja alatt port forwardot kell beállítani. Ez automatikusan létrehozza a szükséges tűzfalszabályt a WAN interfészen. Ezután már aktívan torrentezhetsz. Biztos, hogy nem nyitott a port? Pl. ezzel tudod csekkolni. Persze csak akkor mutatja nyitottnak, ha aktív a szolgáltatás mögötte (QBittorent).
-
-
-
paler
aktív tag
válasz
Multibit #1375 üzenetére
Szia!
Minden tanácsot szívesen fogadok, de
1.nem szeretnék minden is felpakolni a rendszerre
2. illetve csak olyan kiegészítők érdekelnek, amik ténylegesen javítják a tűzfal tudását
3. nem szeretnék rekurzió, azaz nem akarok olyan kiegészítőket feltelepíteni, amik kb. semmit nem adnak a funkcionalitáshoz, csak ugyan azt tudják mint pl. az alap rendszer összetevői.Mibe jobb az általad javasolt DNSCrypt-Proxyt mint az Unbound?
-
-
paler
aktív tag
Az első öt pontig pontosan így csináltam én is. A 6. pont Unbound bekapcsolása nem volt még, de a portáját módosítottam a leírás alapján 5353-ra. Majd holnap megpróbálom újra. Bár szeretném ha az Unbound is működne az AGH előtt, és az összes kérés keresztül menne az Unbound-on is. De azért köszönöm a tippet
[ Szerkesztve ]
-
halisa
tag
Én így csináltam:
AdGuard telepítése:
1. SSH-val bejelentkezni.
2. 8-as menüpontot kiválasztani
3.fetch -o /usr/local/etc/pkg/repos/mimugmail.conf https://www.routerperformance.net/mimugmail.conf
<-beírni, elindítani.
4. átlépni a webes felületre
5. A system->Firmware->Plugins közt megkeresni, majd feltelepíteni.
6. Unbound DNS-t lekapcsolni!
7. AdGurdot elindítani -> router IP címe:3000
8. Figyelő terület a router IP címe és a 3000-es portot megadni
9. DNS szerver figyelő felület a router IP címe a portot nem kell változtatni! /53/
10.Felhasználói név és jelszó megadása és tovább lépegetni.[ Szerkesztve ]
-
válasz
Multibit #1369 üzenetére
Eleinte? Igen...
Kipróbáltam mindent is, viszont nem szeretem, ha tele van szemetelve a rendszer és van, amit nem távolít el maradéktalanul. De azóta már volt reinstall is, egyszer a ZFS miatt, utána meg azért, mert mégsem indokolt a ZFS. De ott az XML mentésből állítottam helyre. Ohh, és a telepítő is fura, elég érdekesen particionál, indokolatlanul sok swap és hasonlók -> reinstall, manualban.
OK, a Proxmoxot is debian minimalra húztam, mert nem igényeltem az LVM-et, itthonra felesleges...
Mindennél számít, h mennyi idő helyrerakni, az opnsense meg a hálózat alapja. Anélkül se okosotthon, se net a családnak... veszélyes...PVE helyreállítás is pár perc, csak ott monitort és bill-t kell dugni a vasra, ami extra idő, de a folyamat már gyors.
-
-
paler
aktív tag
OPNsense a rendszer, és az a baj hogy nem késztettem biztonsági mentést, mert még erősen ismerkedem a rendszerrel, és a beállításokkal. Ma akartam az AGH telepíteni a GitHub-ról, ekkor történt a baki. Annyira már rájöttem, hogy valószínűleg a CrowdSec zárt ki, mert bruteforce támadásnak azonosította a bénázásom
# opnsense web auth bruteforce
type: leaky
#debug: true
name: crowdsecurity/opnsense-gui-bf
description: "Detect bruteforce on opnsense web interface"
filter: evt.Meta.log_type == 'opnsense-gui-failed-auth'
leakspeed: "10s"
capacity: 5
groupby: evt.Meta.source_ip
blackhole: 5m
labels:
remediation: true
confidence: 3
spoofable: 0
classification:
- attack.T1110
behavior: "http:bruteforce"
label: "OPNsense GUI Bruteforce"
service: opnsense
Most már hálózaton belül semelyik eszközzel nem enged csatlakozni a GUI-hoz.Ha hinni lehet ennek a résznek, akkor 24 óráig tart a kizárás:
Since I was running OPNsense in a virtual machine while testing CrowdSec, I actually just tried entering the SSH password incorrectly several times, and I was immediately locked out of SSH for a bruteforce attempt. I believe the ban only lasted maybe 24 hours since I was able to log back in the next day without needing to revert my virtual machine. That was a simple real world test to see CrowdSec in action.Na majd meglátom. Net van, SSH elérés most működik. Most akkor várok...
-
halisa
tag
Eleinte én is jártam így! Volt, hogy nekem sem jött be a GUI. SSH-n belépsz / root felhasználót kellett használnom / majd a 11) Reload all services pontot kiválasztod, újra tölt minden. Nekem utána vissza jött a GUI.
[ Szerkesztve ]
-
paler
aktív tag
Újra indítottam a OPNsense PC-t és a Routert, töröltem az elmúlt 24 óra adatait a böngészőből. Miután a rendszer újra felált, SSH-n be tudtam lépni, de a GUI felületre továbbra sem.
Csak az alábbi üzenet fogad:
A webhely nem érhető elA(z) 192.168.1.1 túl hosszú ideje nem válaszol.
Próbálja ki a következőket:
A kapcsolat ellenőrzése
A proxy és a tűzfal ellenőrzése
A Windows Hálózati diagnosztika futtatása
ERR_CONNECTION_TIMED_OUT
SSH-n keresztül valahogy meg lehet oldani? Egyáltalán ez a blokkolás végleges, vagy csak időkorlátos pl. 24 óra? -
paler
aktív tag
Sziasztok!
Sikerült kizáratni a laptopomat az OPNsense GUI-ból. Sajnos SSH-n keresztül akartam belépni, és 3-4-szer rossz jelszóval próbálkoztam, mire rájöttem, hogy HUN beállításon volt a gépem, miközben a billentyűzetem pedig angol. A jelszó egyik karaktere persze az Y, de mivel magyar beállításon volt, így az Y->Z volt.Így az SSH-n sem enged csatlakozni jelenleg a cucc.
Valaki tud nekem segíteni abba, hogyan tudnám a blokkolást feloldani? Telefonról be tudok lépni a OPNsensebe, de nem tudom hogy hol tudnám feloldani a blokkolást.
[ Szerkesztve ]
-
-
Tamy
senior tag
Új telepítésnél az OpenVPN valamiért nem hozta létre ezt a sort a routing táblában:
10.1.2.2 link#7 UH 631421 1500 ovpns1
Létrehoznám kézzel, de sehogy nem jövök rá, hogy az interfészt hogy adom hozzá. -
Multibit
nagyúr
Amit használok: DNSCrypt-Proxy (Unbound helyett), ACME client, NUT, SMART, Dynamic DNS. Zenarmor mindenképpen! Az ingyenes is kiváló, de most az éves előfizetés 12/15 akcióban nagyon megéri. Crowdsec is ketyeg nálam. Az egyéb blokklistákat dobtam. Csak a Spamhaus aliasok maradtak. Használom még: 2FA, lebegő tűzfal szabályok aliasokkal, WG VPN (telefonom mobilneten keresztül csak ezzel kapcsolódhat netre).
-
SSH WAN felől tiltani kell, kész.
Crowdsec "információkat gyűjt a közösségtől" ehh... 3 blocklist ingyenes, ugye?
Szerintem nem frissebb, mint amiket Github-ról húzok be naponta AGH-ba. Azért majd oszd meg a tapasztalataid.
Csak pár lista, amit érdemes meglesni: Spamhaus, Stewen Black, ShadowWhisperer's Malware list. ~365k URL
AGH pluginként macerásabb, nálam külön van, de majd mondod, h milyen lett. Upstream az unbound opnsense-ben, a tűzfal meg átirányítja a kéréseket AGH-ra. AGH-ban cache kikapcsolva, csak az unbound cache-ol, mert régen ez az AGH-ban problémás volt (nem frissítette).
NTP szerver az a hálózaton az időt adja a kütyüknek, nem kell külső hálóra menniük a pontos időért. Ezt is elfogja a tűzfal és a Chrony diktál. Volt vele egy kis harc, de már műxik jól.
Zenarmor aranyos, biztos jó is, ha van előfizetés. Anélkül egy fancy demo, de ha vki mást mond, elhiszem. Nekem a free nem adott annyi plusszt, h megtartsam. -
paler
aktív tag
válasz
freddirty #1350 üzenetére
Köszönöm a sebesség infókat.,
ezzel a sebességgel én is kiegyeznék. A családba mindenkinek otthon optikai netje van, telefonon pedig a mobil net.
Persze akinek van ideje ezzel hobbizni akkor hajrá lehet felfedezni szabadon a sok újdonságot és plugint.
Én sem szeretném feleslegesen „tele szemetelni” az alaprendszert, csak olyan pluginok érdekelnek amikkel az igényeimet az alaprendszer nem tudja kiszolgálni. Ezért is érdeklődtem pl. a Zenarmorról, hogy mivel jobb mint az alap tűzfal az OPNsensenek.
Én sem szeretnék hónapokig kísérletezgetni különböző pluginok tesztelésével, főleg ha az én felhasználási szokásaimhoz igazából semmi pluszt nem ad.
Igazából kiváncsi lennék hogy a cégünknél nem olyan régen telepített gyári DEC4040 – OPNsense tűzfalra van-e kiegészítő plugin telepítve?Az AGH én pluginként fogom telepíteni, és szükségem van rá.
OS-chrony: saját NTP szerver --> ez mit tud?
Crowdsec-et én azért nem tartom feleslegesnek ezen leírás alapján:
A CrowdSec az OPNsense legújabb kiegészítője az ebben a szakaszban felsorolt lehetőségek közül. A CrowdSec hírszerzési információkat gyűjt a közösségtől, hogy az IP-címek hírnév-pontszámát generálja, amely aztán felhasználható a blokkolási listákon, ha rosszindulatú IP-ként azonosítják őket. A blokklisták segítségével megvédheti az egész hálózatát ezektől a rosszindulatú IP-címektől. A rosszindulatú IP-k hálózati szintű blokkolása mellett a CrowdSec alapértelmezés szerint védi az OPNsense webes felületét és SSH-interfalait a nyers erővel végrehajtott támadásoktól. A CrowdSec-et akár úgy is beállíthatja, hogy többszerveres konfigurációban más egyedi szolgáltatásokat is védjen a hálózatán.
Tailscale telepítés --> köszönöm a linket, majd meglesem… -
válasz
freddirty #1350 üzenetére
+1 a plugin dologra. Mondjuk törést nem okozott, de ez egy tűzfal, a lehető legkevesebb nem odavaló cucc fusson rajta. Még az AGH is külön van...
Telepített:
-OS-cache: webUI gyorsabban tölt be
-OS-chrony: saját NTP szerver
-OS-qemu: Proxmox igényli, adatokat kap opnsense-ből, ill. le tudja állítani
-OS-theme cicada: szép szürkés-feketés téma
Ennyi. Voltak mások, főleg eleinte, ill. amikor kerestem, h mivel monitorozzam, mert nem valami jó grafikonokat prezentál, de ezt az AGH megoldja.
A hirtelen telepítések előtt érdemes keresgélni, Crowdsec és maltrail így esett ki.Tailscale telepítés [link]
-
freddirty
senior tag
Vpn sebességre tudok tapasztalat alapon reagálni. Az n100 bőven elég lesz gigabit sebesség kiszolgálásához és wg vpn szerververhez is. Kérdés a wg másik fele mi lesz? Én openvpnről váltottam és a hétvégi ház és a lakás van összekötve telekom optikai neten /1 gbit/sec mindkét oldal/ wireguarddal. Az opnsense van egyik oldalon (kb. N100 sebességű procival) a másik oldalon egy jóval gyengébb asus ax86u pro. Kb 600-700mbit/sec a sebesség a két site között. A bottleneck nyilván az asus de persze a wg-nak is van overheadje.
Én nem használok semmilyen plugint, legyen minden standard és jól kitesztelt. Mint mindennél itt is az üzemeltetés a kulcs. Nem egyszer kellett visszaállnom virtual server backupból, mert opnsense update után mert valamit elcseszerintettek/továbbléptek és már nem működött jól úgy mint előtte. Az openvpn és az idióta állandó konfigurációs változásaik vettek rá pl. a wg migrációra.
Persze akinek van ideje ezzel hobbizni akkor hajrá lehet felfedezni szabadon a sok újdonságot és plugint. -
Szia!
VPNre Tailscale, WG alapú, de mindent beállít, nem kell szuttyogni semmivel.
Nálam unbound a dns, AGH a szűrő. Többit nem használom, zenarmor ingyenes nem vált be, crowdsec felesleges a szűrőlistáim mellé. Ha nincs webszervered, nem kell bárkinek a külső elérés (vpn-en kívül), akkor már védve is vagy, mert alapból mindent eldob, ami nem belső kérésre érkezik.
YT-hoz Brave browser, jól követi a gugli fasságait. De a tervek szerint a reklámot a streambe kódolják, csak pörgetni lehet, kikerülni nem. de ha ezt meglépik, akkor a népek otthagyják, vagy lesz rá vmi megint... -
paler
aktív tag
Sziasztok!
Elkezdtem használni egy Mini PC-t ami Opnsensevel van felokositva. Bekonfiguraltam alap szinten, telepítettem a CrowdSec is. Telepíteni akarom még a AdGuardHomet is, bár olvastam hogy a YT-os reklámokat nem fogja /tudja blokkolni. Ez kicsit bosszant, mert az egész projekt egyik fő mozgatórugója éppen ez volt, de így jártam. Eddig Asus routerben használtam az Openvpn-t, mert a WG-t nem támogatta. De most az Opnsensen szeretném kipróbálni a WG-t. Mennyire nehéz beállítani az Openvpn-hez képest? Illetve aki használja és elég jó sebességű nettel rendelkezik, milyen sebességet tud elérni vele? Pl.1Gbps le/fel sebességnèl kb. milyen sebességet tud a WG Vpn? Az én mini pc-ben N100-as CPU és 8GB Ram van. Továbbá milyen plugineket érdemes még telepíteni az alaprendszere? Illetve pl.a Zenarmor mivel tud többet, mivel jobb mint pld. az OPNsense beépített tűzfala?
Nálam három terület a fontos:
- védelem főleg a külső támadásokkal szemben
- központi reklám szűrés
- VPNKi milyen programokat használ és miért azt az alap OPNsense beépített megoldásaival szemben?
-
Valaki használ Chrony NTP-t helyi hálón?
Tűzfal beállításokhoz kellene segítség -
freddirty
senior tag
válasz
pethy80 #1343 üzenetére
javaslom dobj össze egy homelab környezetet abból nagyon sokat lehet tanulni. Túzd ki mondjuk célnak, hogy fusson egy web server (egy tök default tartalmú wordpress), egy reverse proxy, és egy opnsense. Mellé legyen még távoli hozzáférés a hálózatodhoz mondjuk wireguardon, a mobilodról meg privát notidról. Ez mondjuk két virtuális szerver, az opnsense és az általános homelab szerver.
Ha ez így mind megvan lehet nézehetni a logokat, IDS/IPS-t bekonfigolni, kizárni országokat a hozzáférésből, kínai botokra crowdsecet felhúzni, log bejegyzésekre reagálva IP-ket kitiltani dinamikusan. Szóval minden ami egy jó kis házi szerver üzemeltetéshez kell és tanulni lehet belőle. -
válasz
pethy80 #1343 üzenetére
Az angol kell. Semmit nem érdemes magyarul használni, mert ha bánat van, akkor előbb még az angol megfelelőt is meg kell találni (pl. hibaüzenetnek) és arra már lesz releváns találat.
OPNsense doksi nagyon alapos, a Zenarmor oldalán is sok adat van hozzá.
Alapból biztonságos, mert amit nem bentről kérsz, hanem jön "csak úgy", azt eldobja. Ezért ha saját webserver is van, ami kifelé nyitott kell legyen, ott utána kell olvasni, h mit-hol lehet beengedni. De -meglepő- erre is van sok és alapos írás.Mivel ez az otthoni hálózat alapja lesz, nem ajánlott belepiszkálni (mittomén megosztott mappát létrehozni, külső alkalmazást telepíteni, stb.) a webUI-n kívül. De szinte minden megoldható onnan (Tailscale telepítés még nem, de remélem ez is hamarosan csak 2 kattintás lesz).
-
pethy80
friss újonc
Köszi ez már elég fogódzó. Hogy miért is/mire akarom használni? Az ügy prózai és ezért kicsit távolabbról indulok. Az új munkahelyemen a pfSensevan beállítva router tűzfal meg egyebek céljára. Mivel én ezt nem ismerem, ezért gondoltam hogy kerítek valami "egyszerű" vasat és felteszek egyet. Informatikában dolgoztam majd' 10 évig, és aztán váltottam egy más munkahelyre (ez 2017ben volt) és azóta az informatikához közöm nem volt. Nos ezalatt a 6 év alatt bozzasztó sok minden változott és újra be kell foltozzak egy hat éves szakadékot. Újra fel kell fedezzem az informatikát. Akkor még nem volt felhő meg azure meg microsoft 365, de most ez mind "berobbant az életembe" A FreeBSD-t anno 2006-van telepítettem, de hát még linux után is más volt. Az OpenBSD-vel már meg sem próbálkoztam. A FreeBSD-ről de még inkább az OpenBSD-ről már akkor is az a hír terjedt, hogy alapból "Minden ajtó és ablak zárva van benne" szuperbiztonságosak. És a FreeBSD-t sem azoknak a linux használóknak ajánlották akik egy disztribúciót amolyan "next, next, next, finish" módon telepítettek, hanem akik ismerték a komponens forrás-kódból telepítést, ne adj isten a kernel-fordítást. Kicsit elkalandoztam Szóval inkább a használatra irányuló kérdésekkel kapcsolatban keresek valami doksit. Igen ha nincs más akkor angolul akár a netgate-en is el tudom olvasni, de -bár még nem vagyok öreg- kényelmesebb vagyok már ahhoz hogy angol nyelvű doksikkal viaskodjak. Na de ha ez is az újra-tanulás része, ám legyen
-
halisa
tag
válasz
pethy80 #1340 üzenetére
Én is OPNsenset használok 2 gépen a wiregarddal. Max 10 perc az alap telepítés. Pofon egyszerű. Telepítettem az adguarddot és zenarmort. Nagy megelégedésemre, nagyon jól működik minden. Előtte asus routerem volt /olyan érzésem volt mintha átjáró ház lett volna a hálózatom/.
[ Szerkesztve ]
-
válasz
pethy80 #1340 üzenetére
Szia!
Jó régi posztra írtál...
Röviden válaszolok, igaz nálam a "tesója", az OPNsense fut. Összehasonlítás, tömören.
FreeBSD-t ezer éve nem telepítettem, ahhoz nem tudom hasonlítani. De egy linux telepítésénél nem bonyolultabb a telepítése.A telepítésről, első beállításokról rengeteg videó és tutorial van a neten (főleg angol és német nyelven, de minimál angol tudás szükséges hozzá amúgy is). Van pár dolog, amit el kell dönteni, pl. fájlrendszer (ZFS vagy UFS), mi a terv vele (sok addon van hozzá, ha sokmindent telepítesz, akkor nagyobb tárhely kell, stb.).
Azt javaslom, h telepítsd, nézd meg mik a lehetőségek, mit bír a vas, amire rakod. Utána eldöntöd, h mire van szükség és egy újrahúzásnál már pontosabban tudod, h milyen fájlrendszer, mekkora tárhely, milyen addon kell.
A rendszer mentése-helyreállítása zseniális, egy XML fájlba ment mindent. Újrahúzáskor pikk-pakk helyreállítható.Miért több vagy jobb, mint átlag router? Huhhh... szabadság, az összerakott progik jók, de bővíthető is. Jó DHCP, UNbound DNS, ha nem elég vagy nem tetszik a log, akkor lehet rakni mellé AdGuardHome-t. Teljesen a kezedben van, h mit engedsz be/ki.
Traffic shaping, rengeteg féle szabály beállítható. Nálam pl. vannak a fix IP cuccok, több kategória, más sávszélességgel. Gyereknek éjjelre a net lekapcsol, stb... Akkor ott a csillió féle VPN, Suricata IPS, meg a fene tudja, h mi minden telepíthető. Gyors és stabil, eddig hááát... nem is tudom, mondjuk legyen 3 alkalom, h bármi gond volt, abból minimum 2× én konfigoltam "túl"
Ha leírod, h mire lenne szükség és milyen HW van hozzá, akkor itt többen tudunk segíteni.
-
pethy80
friss újonc
Szia
Engem érdekelne a pfsense, elsősorban egy bemutatás, egy mi is ez miért több vagy jobb mint egy "mezei router" érdeklődöm ez iránt. Kíváncsi lennék első körben hogy a telepítése mennyiben tér el egy "Classic" FreeBSD-től? valamio kivonatos magyarnyelvű leírás vagy egyéb doksi bármi érdekelhet ebben a témában.
Köszönöm:
Peti
-
Multibit
nagyúr
Opnsense fórumtársakhoz lenne kérdésem. Másnál is láthatók "no active session, user not found" bejegyzések a Backend logban? Nálam telefossa a rendszer a logot ilyenekkel: [kép]
Van megoldás ezek megszüntetésére? Opnsense fórumon mások is jelezték ezt a hibát, de valódi megoldást még senki sem tudott erre. -
freddirty
senior tag
válasz
freddirty #1337 üzenetére
Aha, megvan, elméletileg a gateway-ek adják hozzá a route táblába a wg kliens routejait. De picit másképp kell a gway-t konfigolni openvpn és wg esetén. WG esetén ha nem írod bele külön az IP címét a gatewaynek akkor nem fog route-ot kreálni visszafelé. Openvpn esetén ez automatikus.
-
freddirty
senior tag
Sziasztok,
Routing kérdésem lenne. Opnsense szerveren van négy VPN szerver, két openvpn és két wireguard. Szeretném tesztelni, hogy egy kliens site felől vagy openvpn vagy wireguard szerver-re felépítve milyen a kapcsolat gyorsasága/minősége (kböző beállításokkal és eszközökkel). Igen ám, de a kliens hálózatom minden esetben ugyanaz 192.168.8.0/24. Az opnsense pedig a visszafelé routingot véletlenszerűen(?) teszi be a routing táblába a szerverek indulásakor. Pl. ha megy az openvpn 1 szerver akkor az fogja routolni, ha lelövöm akkor az openvpn2. Így egy irányba megy a szerver hálózat szépen bármilyen vpn-en, visszafelé (tehát a szerver hálózatából a kliens hálózatában levő eszközök elérése) viszont csak akkor ha az openvpn1 megy.
Mi ilyenkor a megoldás?[ Szerkesztve ]
-
-
freddirty
senior tag
Sziasztok,
Opnsense kérdés.
Most próbálok átállni opevpn VPN-ről wireguardra site to site módban. 1-2 éve jól megy a mobilos wireguard vpn, de lecseréltem a routerem a másik házban és openvpn kliensről átállnék wiregaurdra. Amin meglepődtem, hogy mintha nem lehetne EGY wg csatornán site-to-site forgalmat áttolni (mindkét hálózat látszódjon mindkét oldalon).
Magától értetődőnek tűnt, hogy ha már él egy csatorna akkor azon bármi átmehet csak konfigurálni kelljen. De mintha nem így lenne, az opnsense site to site manual két wireguard szervert húz fel a két site kölcsönös eléréséhez.
Ha valaki használ ilyet akkor az nála is így megy? Csak mert ebben az esetben így mindkét oldalon kell a publikus IP, kell a dinamikus DNS (vagy fix public IP), ami hülyeség otthoni környezetben. Meg tudom oldani persze csak több idő meg macera. -
fonok87
aktív tag
válasz
tradeelek11 #1331 üzenetére
Az IGMP proxyt kell beállítani, viszont én ennél az egy infónál többet sajnos nem tudok segíteni, mert sose volt IPTV-m
Szüleimnek van, de ott máshogy van megoldva, mert a T Sagem routere nem tud bridge módban működni. Azon PPPoE passthrough van, saját router PPPoE kapcsolattal megy a netre az IPTV box meg a szolgáltató eszközébe van dugva (amúgy sem tud semmit amiért megérné a LANra kötni)
-
tradeelek11
aktív tag
Segítsetek nekem gondolkodni egy kicsit
Szolgáltató váltás náunk:
Invitel ment, Yettel Otthon net + Yettel TV jöttAmi nálam van ZTE Bridge módban (de a mód ebből a szempontból mindegy is)
Még a kliens is, mert ha ZTE portjába (amit a bridben engedélyeztem) közvetlen dugom akár gépre is, weben keresztül simán megy a YettelTV.
Viszont ahogy ezt a portot ráteszem Opnsensre, utánna már nem.
Így elsőre nekem az ugrott be, hogy valószínű portot kellene nyitni a tűzfalon.
No de melyiket?
(tehát nem a szolgáltató, nem is a ZTE eszköz , és nem is a kliens hibája,
hanem biztos hogy a tűzfalon kell valamit állítani)
(a szolgáltatóval is beszéltem, egy kedves hölggyel
aki még a kérdést sem értette)
Minden ötletet szívesen meghaltatnék
Tisztelettel -
Nah, elnézést a KEA DHCP-től... A hiba a Tenda AP-ben van.
Ma is előjött a dolog, h nincs net, pedig van. Viszont nem "jut" mindenkinek.
PC-m is a tenda AP-hez kapcsolódott a server helyett... lol.OK, akkor tenda megnyit... szerinte nincs upstream -ami igaz volt pár percig, volt egy restart, kis takarítás, stb-, ezért Ő átvette a router szerepet... háteszthogy?
Az a vicc, h nincs upstream ellenére volt net az eszközök többségénél.Miféle retardáltak programozzák így az AP módot?
Miért nincs X percenként upstream teszt? Miért gondolják, ha nincs upstream, akkor igény van lokál wifire, ami a sehova nem vezet? Mondjuk ez még védhető lenne, na de nah... "Igazi" dedikált AP-m még nem volt, ha ez a normál működés, akkor inkább építek...
-
Újrahúztam az opnsense-t, mert a 40 GB ajánlott lemez méret "enyhén" túlzás. Nem ismertem, bedőltem aanno a netes telepítő leírásoknak. Még kiegekkel sem volt ennyi, alapból pedig sokkal kevesebbel beéri. Nálam a belakott rendszer (igyekeztem minél kevesebb bármit ide telepíteni, mégiscsak tűzfal lenne...) alig 10 GB volt, ebből 2,7 GB a ports, meg egy nagy darab SWAP.
Mivel UFS helyett ZFS-t szerettem volna, így új install kellett (PVE alatt klón, majd oda új HDD és arra tiszta install). A 14 GB HDD-n meglepően kevés szabad hely maradt... Az automatikus ZFS install egy 8 GB-os swapot hozott létre... Ráadásul középső partícióként, szal. hamar az újabb telepítés mellett döntöttem. A manuális lehetőséget választottam, guided ZFS telepítés. Itt már csak 2 GB Swap a default...
Ezt is sokallom, de ezzel már lehetne élni, minden esetre 1 G-re állítottam, ha kell, akkor GUI-n is lehet 2 GB-t hozzáadni. -
-
Sok változást nem látni. Kea DHCP fogja váltani a korábbit, nekem volt vele bajom, valamiért az AP szerint nem volt internet, de az eszközeimet és az AP-t is elértem... internet nem volt nekik... Még egyesével kellett kopipésztezni a régiből az IP-ket.
De ez is opcionális, mint sok minden, nem erőltetik a váltást.
Szal. frissítheted nyugodtan, ami új azt vagy kipróbálod vagy nem. -
-
opnsense frissítés jött, sok hasznos dolog van benne, pl.:
- CSV import/export to the Kea DHCP: ezt nagyon kerestem, amikor kipróbáltam
- system: prevent gateway removal when it is currently bound to an interface, ez rendesen megőrített, érdekes, hogy működött, pedig eltávolította... -
-
MasterHUn
senior tag
yeee nagy lépés történt részemről. Sikerült proxmox alatt végre beröffentenem az opnsense-t, egyenlőre 1 lanporttal.
-
-
kisskd
tag
-
Lazán...
Nálam az alaplapi a wan, a 2 portos NIC a LAN. A WAN egy linux bridge (mert egyszerűbb, nem kell esetleg driverrel szívni freeBSD alatt, passthrough nálam nem hozna sokat), a 2 LAN pedig OVS bridge, saját IP címmel, amin a PVE elérhető. Épp ezért ilyen:
Szal. ha nem a Proxmoxot ölöm meg, akkor elérem a vackaim. És a DNS szerver is külön van (csak a helyi, a caching DNS az unbound).
-
válasz
MasterHUn #1315 üzenetére
Má' úgy érted, h kész a Proxmox és egy VM-ben van az opnsense.
Proxmox-nál PVE node, network:
wan portod add hozzá linux bridge-hez, ez a vmbr0 lesz, de lehet passthrough is a fizikai wan portnak a VM-hez.
Egy portot megtarthatsz managementre vagy az extra szervernek, de nem szükséges.
A többi portra hozz létre egy OVS bridge-t. Ez egy switch lesz, mindegyik LAN port ugyan azon az IP címen. Ezt az OVS bridge-t adod opnsense-hez, ez lesz a LAN.
Ha linux bridge-t adtál hozzá, akkor működnie kell, nem értem mi lehetett a hibaüzenet. -
MasterHUn
senior tag
eljött a pillanat amikor feladom az opnsense-t.... fórumhoz híven megpróbálkozok a pf.-el
-
válasz
MasterHUn #1311 üzenetére
ha win-en vagy, akkor CMD-be kell egy
ipconfig /release
és
ipconfig /renew
Mert ő kapott egy IP-t a korábbi routeredtől, amihez ragaszkodik, amíg a lease time tart.
ipconfig /all
és kiderül, h kaptál-e IP-t, meg miegymást.Proxmox topik, összefoglalóban sok infó.
[ Szerkesztve ]
-
Mielőtt nagyon belemélyedsz, gondold át egy Proxmox telepítését hypervisor-nak.
Van PVE topik, részletes leírások, nem bonyolultabb, mint egy átlag Linux telepítése. Kezdésnél van pár lépés, ami opcionális, de előnyös, ha nem lesz cluster/több PVE összekapcsolva. Viszont ha bármikor kizárod magad, akkor opnsense-t kiírni pendrive-ra, monitor, billentyűzet a géphez és újrahúzás, mentés betöltése, frissítés...
Zártam már ki magam, heti 2 mentésem van, HDD-ről SSD-re a mentést visszaállítása max 5 perc. Ahogy egyre inkább használod, kipróbálsz plugint, vagy majd frissíted és valami félremegy... hát nem lennék a helyedben. Nem azt mondom, h ezek megtörténhetnek.
Azt mondom, h ezek meg fognak történni. Lehet nem most, nem a jövő hónapban... de valamikor. PVE-vel nyugodtabban alszolHa ki akarsz vmit próbálni, akkor nyomsz egy snapshot-ot és hajrá. Ha félremegy, akkor visszatölt és annyi. PVE is kb. mint az opnsense, ha beállítod, utána sokat nem kell foglalkozni már vele, teszi a dolgát.
-
MasterHUn
senior tag
WAN porton nem fog IP-t osztani, ez így helyes. A modemből kellene a WAN-ba majd.
digi ONT->opensense WAN
opnsense LAN-ból dugd a switch-be oda, ahova eddig a TP-link routert dugtad, már opnsense a router akkor.
opnsense LAN2 -> tplink 24 uplinkgyakorlatilag ezt tettem. azt a hálózati kábelt amivel a router volt összeköve a switch-el azt a kábelt dutam rá az OPN WAN portjára (ahol a bejövő-kimenő forgalom van).
a Lan2 portra pedig bedugtam egy kábelt és bedugtam a 24.-es UPLINK portba.gyakorlatilag az a tplinkswitch és a router közé raktam be ezáltal az opnsense-t. de amint ezt megtettem még a webes felületet se értem el.
-
-
válasz
MasterHUn #1307 üzenetére
OK, ha a TP link routered is oszt IP címeket, akkor lehet ütközés. Ha azt lehúzod, akkor az eszközeid kapnak IP-t az opnsense-től? Lehet restart kell nekik. A DHCP/Leases-ben látod, h kapott-e vmi IP-t. Ha ez a rész működik, akkor a modemet kellene a WAN portra dugni és beállítani a Gateway-hoz az adatokat, ez nem gond, ha a másik routerrel ment.
Ha minden OK, akkor van net és van belső háló is, DHCP-vel.
Jah, DHCP oldalon a gateway-t hagyd üresen, az a default.
Ha minden OK, akkor mélyvíz jön -
MasterHUn
senior tag
interfaces/WAN alatt beállítod a netre kapcsolódás adatait, az egyszerűség miatt most a régi routered maradjon a switch-ről kábel az opnsense WAN-ba és hagyd DHCP-n.
Enable interface be, block privete networks ki, block bogon be, és upstream gateway-t kiválasztod.System/Gateway: lehet ezt kell előbb, nem tudom... Nem sok dolog van itt, upstream gateway legyen pipálva.
Ezt előbb kell beállítani.
Ha minden igaz, úgy állítottam be mindent ahogy leírtad. -
válasz
MasterHUn #1302 üzenetére
Hááát... Most még az elején van rá lehetőség, h PVE-t rakj alá és VM-ben futtasd. Később lehet mellé mást is rakni, ami nem hátrány. Előny, h a PVE elmenti Neked, nem kell külön mentéssel bajlódni, LAN portok beállítása, kiosztása egyszerűbb.
Hátrány, h PVE-t is néha menteni kell, manuálisan (rajta vagyok, h Clonezilla-t csak indítsam és fusson le a mentés script, de ehh...).
Ha marad így, akkor kellene kép az interfaces/assigments-ről.
Ha 4 van és egyet külön hálónak szánsz (fentebb írtad):
"A Lan1.-en külön szeretnék futtatni egy fizikai szervert, gyakorlatilag elkülönítve.
A lan2 meg lenne a normál otthoni lába amiről menne minden mint eddig."
akkor 3-at lehet ebből bridgelni, a 4. menne a szerverhez. A 3 port az kvázi switch-ként fog működni, de ha megtartod a switchet, akkor ezt kihagyhatod.
Ha az assigments kész, azaz beállítottad a WAN-t, LAN-t, hogy melyik legyen, akkor az interfaces/WAN alatt beállítod a netre kapcsolódás adatait, az egyszerűség miatt most a régi routered maradjon a switch-ről kábel az opnsense WAN-ba és hagyd DHCP-n.
Enable interface be, block privete networks ki, block bogon be, és upstream gateway-t kiválasztod.
System/Gateway: lehet ezt kell előbb, nem tudom... Nem sok dolog van itt, upstream gateway legyen pipálva.
Utána LAN beállítása... enable és a private ne legyen blokkolva, IPv4 konfigra fix IP-t, amin elére majd az opnsense-t. Maradjunk a klasszikus 192.168.0.x és a 192.168.1.x /24 tartománynál. -
MasterHUn
senior tag
Ameddig eljutottam saját kútfőből.
jelenleg a LAN(bge0) porton fix ip-n vagyok benn az opnsensbe. (192.168.0.21)/24
LAN2(bge1) statikusra beállítva. (192.168.12.1) /24
ISC DHCPv4 -> LAN2
- subnet: 192.168.12.0
- mask: 255.255.255.0
- range : 192.168.12.50 - 192.168.12.100
DNS servers: 8.8.8.8, 8.8.4.4
más nincs beállítva. -
válasz
MasterHUn #1300 üzenetére
opnsense van a dellen OSként, vagy VMben fut?
ha proxmox van alatta az jó, sima liba. ha natív, akkor picit macerásabb szerintem, anno én is kizártam magam...
jussunk el a működő belső hálózatig.
kell külön managementnek egy lan port? otthonra felesleges sztem, de ahogy gondolod
pve vagy natív a fő kérdés most.
Új hozzászólás Aktív témák
- Youtube Android alkalmazás alternatívák reklámszűréssel / videók letöltése
- NVIDIA GeForce RTX 5080 / 5090 (GB203 / 202)
- Trollok komolyan
- Kuponkunyeráló
- Samsung Galaxy A55 - új év, régi stratégia
- Linux kezdőknek
- Xiaomi 14T Pro - teljes a család?
- Robogó, kismotor
- One otthoni szolgáltatások (TV, internet, telefon)
- Eredeti játékok OFF topik
- További aktív témák...