Kivettem a két laptopot a hálózatból. Bedugtam őket egy buta switchbe, beállítottam kézzel a ét IP címet aztán hajrá. De, így se semmi. Pingek mennek mindkét irányba, de ennyi.
Sokat próbálkoztam vele, hogy A-ból B-be be tudjak menni egy mappába, majd pillanatnyi elmeháborodásomban megpróbáltam visszafelé B-ből A-ba. Vissza irányba elsőre működik. Oda irányba semmi.

Utasok nincsenek a Föld nevű űrhajón - mindannyian a legénységhez tartozunk.

Szomorúan látom, hogy az OPNsense-ben használatos FreeRADIUS-ból kihagyta a fejlesztő az EAP-TLS hitelesítési módot! Sajnos más RADIUS plugin nincs jelenleg az OPNsens-hez

Köszönöm a tippet. Ez a csoportházirendes "okosság" egyik gépen sem volt bekapcsolva. Fura, hogy az egyik irányban működMasterMarkött, visszafelé nem. Most, hogy mindkettőn átállítottam, így már oda-vissza műküdik. Szuper. Köszi MasterMark

Utasok nincsenek a Föld nevű űrhajón - mindannyian a legénységhez tartozunk.

Sziasztok.

Csatlakozom az elöttem szólókhoz, elégedett vagyok a pfSense által nyujtott szolgáltatásokkal már kb. fél éve produktívan használom mint tűzfal, gyors és megbízható.
Visszont azért fordulok most hozzátok mert beletört a bicskám egy műveletbe.
Jelenleg nálam 5 IP jön a WAN-porton egyszerre, külön a Virtuális IP ként vannak megkülönböztetve a csomagok melyik hova menjen és létre is van hozva 4 interfész ami a "fö" pfSense alatt 4 külön hálozatot lát el.
Na most a feladat az lenne hogy egy komplett ip ami még szabad azt át kéne irányítani egy másik pfSense számára anélkül hogy az adott interfészhez IP-rendelnék hozzá.
WAN->1.2.3.4->Fizikai portra
sajons port nyításnál mindenképp kér tölem egy átirányítási címet a saját hálozaton viszzont a másik pfSense külön kell lennie ettöl a hálozattól.
Sajnálom ha kicsit zavarosan fogalmazok, de próbálok minnél inkább a magyar kifejezésknél maradni .

Válaszaitokat elöre is köszönöm.

Végülis megoldottam No RDR + extra Rules.

Ezt a problémát nem tudom sajnos már egy jó ideje megoldani pfSense-el ha valakinek van tapasztalata VPN-el akkor ne tartsa magában.
Szóval adott egy IPSEC-IKEv1 & L2TP Radius-os VPN.
Ami tökéletesen müködik egészen addig amíg egy külsö hálozatról egyszerre 2 gép ami ugyanazon a hálozaton van és probál meg csatlakozni akkor van az a jelenség hogy amíg az egyik csatlakzova van a másik nem tud. ugyanez a helyzet OpenVPN esetén.
Valakinek ötlet?
Routing probléma esetleg NAT probléma?

Köszi

Üdv
Buster

[ Szerkesztve ]

pfSense-nél nincs ilyen checkbox a Client Export képernyőn?

Köszönöm a tippet, igen most müködik de ez ugye OpenVpn tehát Client szükséges hozzá hogy csatlakozzak a hálozatra Ipsec-et meg tudja a Windows is. Szóval ez most hiányosság a pfSense-böl vagy az én tudásomból ?

[ Szerkesztve ]

Igen, OpenVPN. Írtad, hogy azzal is próbáltad, gondoltam jó lesz. Én is OpenVPN-t használok. Magamból indultam ki

Sziasztok,

DIGI FTTH (bridge mód) + pfSense kombóval akadt már valakinek olyan problémája, hogy a felépült PPPoE kapcsolat 3 másodpercen belül bont, majd újracsatlakozik, és ezt ismétli? Logokban semmi nyomravezető információ. (PC-re dugva hibátlan a net..)
pfSense PPP log

[ Szerkesztve ]

Megvan a hiba. 10.0.0.1 a DIGI gateway címe...

Nem értem. Ez miért hiba? Nálam is ezt írja ki Gateway IPv4 címnek.

szerk:
Most olvasom a másik topikban, hogy ez volt beállítva nálad a LAN interfész IP címének is

[ Szerkesztve ]

Ja.. világ életemben 10.0.0.0/24 volt az otthoni hálózat.. 😂

Itt mindenkinél rendben van a router rendszeridő? Milyen együttállása kell a csillagoknak ahhoz, hogy ez korrekt legyen? Az időzóna és a time szerverek be vannak állítva nálam, de január 20-at mutat a dashboard Befolyásolja ezt az alaplap rendszerideje?

Nálam minden jól működik.

Időzóna: Europe/Budapest
Timeservers: 0.pfsense.pool.ntp.org

El Psy Kongroo

Köszönöm!
Akkor tovább kell nyomoznom. Nálam hasonló beállítások vannak.

Arra sajnos már nem emlékszem, hogy a bios-ban állítottam-e valamit ami az időhöz kapcsolódna...

El Psy Kongroo

Itt is fasza.
0.hu.pool.ntp.org

A #166-ban panaszkodtam, hogy gond van OPNsense alatt a rendszeridővel. Nos, ez az issue csak akkor jelentkezik az OPNsense-ben (és mint kiderült pfSense-ben), ha Odroid-H2 a hw alatta. A megoldást itt találtam meg. Köszönet johnsond fórumtársnak

Köszönjük, hogy megosztottad itt is

vapebook.hu - őszinte ecigi tesztek, vaperektől vapereknek

Sziasztok!

VLAN-al kapcsolatban lenne kérdésem:

Létrehoztam 2 VLAN-t, amit majd az AP-m felé szeretnék továbbítani, ott az egyiket vendég wifiként, a másikat Iot-s cuccoknak tartanám fent.

Létrehoztam a két interface-t, adtam nekik IP címet is, illetve DHCP-n is beállítottam, hogy mettől meddig osszon. Viszont szeretném ha ezek a VLAN-ok nem tudnának sem egymással, sem pedig az alap LAN hálózatommal kommunikálni, viszont nem lenne rossz, ha az alap LAN-ból tudnék kommunikálni feléjük.

Jól gondolom, hogy ezt tűzfal szabályokkal tudnám elérni? Amiket eddig csináltam:

1. Csináltam alias-okat mind a biztonságos hálózatomnak (SecureLANs), mind a vendég (GuestWiFi) és iot (CrapWiFi) hálózatomnak (UnsecureLANs).

2. Létrehoztam az interfészeknek az alábbi tűzfalszabályokat:

GuestWiFi:

CrapWiFi:

Az lenne a kérdés, hogy ezek a szabályok jók-e, illetve, hogy megfelelőek-e arra, hogy egyik VLAN se lássa a másikat (GuestWiFi/CrapWiFi) illetve, hogy ne lássák a saját eredeti LAN-omat (SecureLANs). Amennyiben igen, akkor még az érdekelne, hogy amikor létrehozok egy ilyen szabályt a destination-nél tudom ugye kiválasztani, hogy mire vonatkozzon, ott látok olyat is, hogy pl. GuestWiFi address, vagy GuestWiFi net. Én a net-et választottam, hogy talán az jelenti a teljes hálózatot. Jól gondolkodtam, vagy teljes tévúton járok?

Ha van a saját LAN-omban ilyen szabály:

az már azt jelenti, hogy elérem majd a többi hálózatban lévő eszközöket is, vagy ez nem ennyire egyszerű?

Egyelőre ennyi jutott eszembe, de van még pár homályos terület (mint pl. a splitDNS, illetve van pár dolog amit pfblockerNG DEV alatt sem értek), de azokkal majd később hozakodnék elő

Előre is köszönöm a válaszokat!

El Psy Kongroo

Sziasztok!
Az alábbi hálózatba építenék be egy pfSense tűzfalat (csak tűzfal).
Kérdésem:
- közbe kellene iktatni egy eszközt, pl raspberry, vagy hasonló
- mehetne -e virtuális gépre is
Ez utóbbi jobb lenne, a szervernek bőven van még erőforrása.
Köszi!

Abszolút nyugodtan mehet virtualizálva, nekem is úgy van, ESXi alatt. 1mag és 256, esetleg 512 ram bőségesen elég neki és el lesz, mint hal a vízben

vapebook.hu - őszinte ecigi tesztek, vaperektől vapereknek

Köszi
Te hogy csináltad meg?
Külön virtual switch-el? Még nem látom át a hálózati diagramot.

Az esxi-n belül van egy virtuális switch igen, így minden VM natívan kapja virtuálisan a gigabit-et. Aztán a 4 portos gigabites intel kártya egyik portja LAN, ami egy fizikai switch-be megy, és a többi eszköz azon kapja a hálózatot

vapebook.hu - őszinte ecigi tesztek, vaperektől vapereknek

Sziasztok!

Már egy ideje létrehoztam itthon egy wifi hálózatot amit kizárólag akkor kapcsolok be ha itthonról dolgozom. Ehhez csináltam pfSense alatt egy vlan interface-t (wifi4work) amit továbbküldök az AP felé. Eddig minden ok volt de most, hogy a feleségem is itthonról dolgozik nála nem lett jó ez a megoldás mégpedig azért nem, mert pfBlockerNG alatt felvettem egy olyan DNSBL kategóriát amiben különböző Microsoft-os domain-eket tiltok (pl.). Lenne-e valakinek ötlete, hogy hogyan tudnám megoldani azt, hogy ezalatt az interface alatt (wifi4work) csak ezt az egy DNSBL kategóriát kikapcsoljam? Azt tudom, hogy ha az interface-hez társított DHCP szerveren beállítok valamilyen külső DNS szervert akkor megoldódna a problémám, de szeretném ha ezen az interface-en is tovább működhetne a pfBlockerNG.

Előre is köszi a segítséget!

El Psy Kongroo

Visszatalálós "Sziasztok" egy OPNSense-el ismerkedőtől

Lá lá lá lá lááá lááá.. Lá lá lá lá lááá lááá .. Lá lá lá lá lááá lá lááá lá lá lá lááááá láááá

Üdv itt

vapebook.hu - őszinte ecigi tesztek, vaperektől vapereknek

Sziasztok, egy régesrégi mikrotik routeremet szeretném kiváltani pfsense-vel, sajnos már nem tudja lekövetni a sebességet fasttrackel sem. Esxi-ra kerülne az pf egy gen8-as mikroszerveren. Tudom ezt vhogy távolról telepíteni és konfigurálni aktív wan port nélkül, h ne köpjön bele a mostani hálózat dolgaiba és a végén csak egy kábelt belecsattintani a felkonfigurált rendszerbe?

Szia!

Abszolút meg tudod csinálni távolról, de a telepítésnél tudnod kell majd a interfészek (portok) nevét és nem ártana, ha telepítésnél meg lenne neki adva, hogy melyik legyen a WAN, valamint legalább egy LAN port. Az, hogy aktív legyen nem szükséges. Amint ez megvan és feltelepítetted teljesen felkonfigurálhatod, de csak a LAN hálózatán hajlandó kommunikálni alapesetben. Már telepítésnél tudsz megadni neki DHCP tartományt és minden egyebet is, szóval a legalapvetőbb konfigurációt a telepítés alatt már elvégzed. A többi már csak azon múlik, mennyi kedved van szórakozni vele

Hint: Mikrotik Winbox után kicsit azért fura lesz, de szokható.

Más: Ha nyugdíjazni szeretnéd a mikrotiked, ki tudod olvasni belőle a licenszkódot, amit a letöltött és telepített RouterOS-be be tudsz írni Lényegében virtualizálod a routert ugyan úgy, de marad a mikrotik és a konfigurációt is át tudod emelni. Itthon én is pfSense-t használok, de munkám során szinte csak Mikrotikekkel találkozom és azt mondom, ha van rá hardver és lehetőség, mindenképp maradj a tik-nél. Ha szeretnéd, tudok segíteni a tik virtualizálásában

[ Szerkesztve ]

vapebook.hu - őszinte ecigi tesztek, vaperektől vapereknek

Ambivalnes érzéseim vannak a mikrotikkel, szeretem nagyon h atomstabil, illetve az egyszerű DHCP kezelését (make static, komment neki és kész(ilyen van pfsenseben?)), ellenben sosem voltam elég képzett hozzá, h rendesen felkonfiguráljam a tűzfalát, fut rajta ugyan egy l2tp vpn, de az is rakoncátlankodik (simán lehet h a vas kevés neki (rb2011UiAS)) és valójában mivel nem értek hozzá annyira, amennyire kellene. Tudom konzolból nagyon gyorsan lehet konfigolni, de bevallom mivel évente 2x nyúltam hozzá, simán elfelejtettem az addig megtanultakat. VPN-t is inkább úgy oldottam meg h debianra tettem egy openvpn access servert aztán összekattintgattam amit kell, kényelmesebb volt... Ezekért gondoltam, h picit játszanék pfsense-vel (vagy opnsense-vel), talán up to date-ebb (?!) lenne a hálózatom.

[ Szerkesztve ]

Én azt mondom, hogy sokkal értékesebb tudást szerzel, ha elkezdesz komolyabban foglalkozni a MikroTik világával. Lehet egyébként a pfSense-ben is statikus IP-re beállítani valakit, de sokkal macerább, mint a Tik-ben. Tudom, hogy magam és a saját topicom ellen beszélek, de én mindenképp maradnék a Tiknél az esetedben

vapebook.hu - őszinte ecigi tesztek, vaperektől vapereknek

lehet meggyőzöl kereslek privátban. Még1 kérdés, miért maardtál mégis pf-en otthon?

Ez egyszerű. Otthonra sajnálom egy számomra szükséges mikrotik eszköz árat plusz nincs akkora igényem a tudására itthon, valamint a pfSense már rég kész van

vapebook.hu - őszinte ecigi tesztek, vaperektől vapereknek

mondhatni lusta troger kocka vagy, mert éppen fentebb informáltál h fut mikortik szépen vm-ben is. Nekem is fájás a seggbe nekikezdeni ennek, azért kerestem kattintgatós megoldást, erre itt lebeszélsz róla

Neeem, nem lusta tróger kocka vagyok... Lusta rendszerüzemeltető vagyok, aki kapott már eleget az élettől ahhoz, hogy semmi szükség ne legyen még pluszba szívatni magamat

Meg egyébként is. Valóban sokkal nagyobb tudásra teszel szert egy mikrotik eszközzel, mint a pfSense-zel. Én ameddig ki nem estem a suliból azt se tudtam mi az a Mikrotik, mert csak Cisco eszközöket tanítottak. Új világ nyílt meg előttem és örülök, hogy ezt a szakmát választottam Nagyon jó dolog a pfSense, de még nekem is, aki nem 2 napja van a szakmában néha keresgélni kell a dolgokat benne.

vapebook.hu - őszinte ecigi tesztek, vaperektől vapereknek

Áh én már öreg vagyok ahhoz h a mikrotik tudását még magamba szívjam, ennek ellenére ha vmit változtanom kell akkor mindig ujra túrni kell a netet Ellenben ha van mikrotikhoz egy jolly joler tűzfal konfigod máris beljebb vagyok...

Attól függ mit szeretnél csinálni a tűzfalban Én mindenhova egyedi tűzfalat csinálok attól függően mire van szükség.

vapebook.hu - őszinte ecigi tesztek, vaperektől vapereknek

Üdv!
Ki szeretném próbálni pfsense-n a wireguardot, de kicsit elakadtam. Hivatalos telepítőcsomag nincsen még hozzá, de valaki a netgate forumról összerakott egyet, ez alapján vágtam bele én is.
Ameddig jutottam:
-telepítettem ez a két csomagot:
pkg add -f https://pkg.freebsd.org/FreeBSD:11:amd64/latest/All/wireguard-go-0.0.20200320.txz
pkg add -f https://pkg.freebsd.org/FreeBSD:11:amd64/latest/All/wireguard-1.0.20200319_2.txz
-letöltöttem a fájlokat a github-ról a pfsense-re
-belépek a könyvtárba, majd kiadom a make package parancsot, és az alábbi a hibaüzenet:
[2.4.5-RELEASE][admin@pfSense.localdomain]/root/pfSense-pkg-wireguard-master: make package
make: "/usr/share/mk/bsd.port.mk" line 32: Cannot open /usr/ports/Mk/bsd.port.mk
make: Fatal errors encountered -- cannot continue
make: stopped in /root/pfSense-pkg-wireguard-master

Gondolom valami hiányzik neki a fordításhoz. Az az igazság nagyon távol áll tőlem a FreeBSD, nem tudom merre kellene elindulnom.
Köszönöm!

[ Szerkesztve ]

Korrigálom a saját hülyeségemet. User error volt részemről. A lenyíló lista az EAP szekcióban nem a használható hitelesítési módokat mutatja, hanem a kiválasztható alapértelmezetteket.
Működik OPNsense alatt is az EAP-TLS a FreeRADIUS plugin-ben. Már rendeztem a tanúsítványokat és a beállításokat Droid, Alma és Windows klienseken. Almán egy kicsit macerás volt, de semmi gond. Érdekesség: Huawei Androidban van egy "Azonosító" mező a wifi beállításoknál, amibe EAP-TLS esetén bármit írhatok, de üresen nem maradhat
Most a linuxos laposommal küldök. Hiába no, nem vagyok linux guru . De ezt is megoldom majd.

Sziasztok!

A pfBlockerNG-vel kapcsolatban lenne kérdésem:

Az egyik VLAN-om Gateway-eként egy VPN szolgáltató IP címeit használom, és szeretném megoldani azt, hogy bizonyos oldalakat ne a VPN-es címemen érjem el, hanem a szolgáltatóm által adott IP címen tehát, hogy magyarországi IP címem legyen de csak azokon az oldalakon. Ehhez találtam egy egész jó kis leírást. Itt viszont lenne egy kérdésem: jól gondolom, hogy amikor létrehozzuk a "WAN_EGRESS" alias-t akkor tulajdonképpen ide beledobálva a domain neveket, majd lefrissítve azt és beállítva a tűzfalat akkor ezen weboldalaknak úgy kellene látnia, mintha nem lennék VPN mögött? Csak mert az elgondolás alapján pl. az hbogo-t szeretném belőni, ehhez mérten beállítottam a következőképpen:

pfBlockerNG --> IP --> IPv4 --> "WAN_EGRESS" alias szerkesztése/létrehozása --> Add:
Format: Whois
State: ON
Source: hbogo.hu
Header/Label: hbogo_hu -->
--> save --> Update alatt Force Reload --> IP --> Run. Az újratöltés le is fut, bővül is a lista 1 db IP címmel. Viszont ha nslookup-al megnézem az hbogo.hu IP címét akkor azt látom, hogy változik elég erőteljesen és persze nem arra amit a pfBlockerNG bedobott a logoba. Ennek nem az lenne vajon a lényege, hogy a domain név alapján a lehetséges IP címeket megtalálja? Csak mert természetesen nem megy a dolog

Előre is köszi a válaszokat!

El Psy Kongroo

Üdv! No igen! Ezt hogyan is kéne kivitelezni?

/Status/DHCP Leases -nél ezt a hibát dobja... DHCP Servernél elvileg helyesen van bekonfigolva... [link] [link]

Esetleg bármi ötlet hogy tudnám rendbe rakni? Portforwarding miatt nem lenne rossz... így nem megy ki wordpress.

[ Szerkesztve ]

¯¯̿̿¯̿̿'̿̿̿̿̿̿̿'̿̿'̿̿̿̿̿'̿̿̿)͇̿̿)̿̿̿̿ '̿̿̿̿̿̿\̵͇̿̿\=(•̪̀●́)=o/̵͇̿̿/'̿̿ ̿ ̿̿ Battlelog: Rohambili ¤

Egyszerű a probléma. A pfSense nem engedi, hogy DHCP pool-on belülről ossz ki fix IP címet. A megoldás az, hogy mondjuk a DHCP tartomány .100-.150 és a fix IP-t vagy .99-ig bezárólag, vagy .151-től indítva adod ki.

Az első képen ott a General Options-ben a Range rész. Ott most az egész subnet DHCP-ben van /24-es maszkkal. Állítsd be a 192.168.0.1 helyett, hogy 192.168.0.100 mondjuk, a felső értéket pedig 192.168.0.150-re és így a 192.168.0.2-192.168.0.99-ig, valamint 192.168.0.151-192.168.0.253-ig tudsz fix IP-t osztani bárminek

[ Szerkesztve ]

vapebook.hu - őszinte ecigi tesztek, vaperektől vapereknek

Köszönöm!
Be állítva statikusnak, hozzáadva http protokol NAT/Portforward-részhez. De weboldal továbbra is off kintről.

¯¯̿̿¯̿̿'̿̿̿̿̿̿̿'̿̿'̿̿̿̿̿'̿̿̿)͇̿̿)̿̿̿̿ '̿̿̿̿̿̿\̵͇̿̿\=(•̪̀●́)=o/̵͇̿̿/'̿̿ ̿ ̿̿ Battlelog: Rohambili ¤

Ha kintről szeretnéd elérni, akkor az vagy a külső IP címeddel tudod megtenni (nem ajánlom) vagy egy DDNS címfordítóval (Én pl a No-IP-t használom). Ezt fel tudod venni a pfSense-ben mint DDNS kliens (figyeli a külső IP-d és mindig az aktuálisra irányít) és így mennie kell.

vapebook.hu - őszinte ecigi tesztek, vaperektől vapereknek

Yeah! Ez megvan! Még nem álítottam be a domain nevet... Belső hálózaton elérhető a wordpress telepítés, de ha telóba bepötyögöm mobilnet kapcsolatnál a pfsense nyilvános ip-címét Edge azt dobja Lap nem érhető el. Port scanner oldalon azt írja 80-as port nyitva. Pfsense egy Windows 2012R2 -ben fut Hyper-V-ben. host OS-en van telepítve wordpress.

¯¯̿̿¯̿̿'̿̿̿̿̿̿̿'̿̿'̿̿̿̿̿'̿̿̿)͇̿̿)̿̿̿̿ '̿̿̿̿̿̿\̵͇̿̿\=(•̪̀●́)=o/̵͇̿̿/'̿̿ ̿ ̿̿ Battlelog: Rohambili ¤

Sziasztok,

ha VM-en akarom kipróbálni mondjuk az OpnSense-t, hogy érdemes beállítanom a virtuális hálózatát ? Van vmi spéci megkötés, vagy ajánlás ?

Azt tervezem, hogy csinálok vagy 2-3 VM-et, ebből 1 lenne az OpnSense mint router és tűzfal, a többi meg ilyen-olyan kliens.

Mivel a Qemu/KVM alatt az alap hálózati interfész egy natolt alháló eleme lenne, érdemes 2 hálózati interfészt is hozzárendelni, a második interfészt pedig egy külön izolált, nem-natolt hálóba tenni a kliens gépekkel ?

Egy életszerű-szagú felállást akarnék, amikor az OpnSense az internet kapcsolatot osztó router gép és tűzfal mindenes, a kliensek csak rajta keresztül látnak ki. Vmi egyszerűn agyalok.

Másik: mennyi SSD-t tegyek alá ? 1-5G ?
Köszi.

[ Szerkesztve ]

Lá lá lá lá lááá lááá.. Lá lá lá lá lááá lááá .. Lá lá lá lá lááá lá lááá lá lá lá lááááá láááá

20gb helyet adtam meg hyper-v-ben, a lemezkép 3gb. Kell egy LAN intrefész aminek majd opensensben fix ip-t adsz illetve egy WAN interfész ami majd felmegy a netre. Keresgélj youtubeon tutorialt. Gondolom ugyanaz érvényes rá mint pfsense-re. szóval az is jó lehet.

[ Szerkesztve ]

¯¯̿̿¯̿̿'̿̿̿̿̿̿̿'̿̿'̿̿̿̿̿'̿̿̿)͇̿̿)̿̿̿̿ '̿̿̿̿̿̿\̵͇̿̿\=(•̪̀●́)=o/̵͇̿̿/'̿̿ ̿ ̿̿ Battlelog: Rohambili ¤