Új hozzászólás Aktív témák
-
Tibro5
senior tag
válasz
Véreshurka #288 üzenetére
Androidon ez úgy néz ki hogy wifi hálózatonként ki tudod választani hogy random mac legyen vagy a saját fix. Szóval én a saját hálózaton az eszköz saját mac-jét használom és fix ip-t oszt neki a dhcp, más ismeretlen wifi hálózatokon meg random mac.
-
Tibro5
senior tag
Bár nem válaszoltatok a kérdésemre, de belevágtam a pfsense-be. A meglévő freenas szerverkémbe vásároltam egy használt inteles dual port hálókártyát (4500 Ft volt) és VM-be feltelepítettem a pfsenset. Szuper jól működik, pfblockerng-t is belőttem így a pihole is feleslegessé vált.
Szóval akinek van egy régi pc-je vagy egyébként is fut egy pc nasként annak elég olcsón be lehet ugrani pfsense használatába. Régi linksys routerem meg bridge módban üzemel switch és ap-ként. -
inf3rno
nagyúr
Az elsőnél elírtam, gondolom firmware-ről volt szó, mert a driver a host gépen van. A negyedikről és ötödikről én se tudtam, de mindjárt előkeresem. A negyediknél elvileg van valami "TCP secure" checkbox a Windows-ban valami nagyon eldugott helyen, amit be kéne pipálni, de én nem találom, majd rákérdek. A lényege úgy emlékszem az, hogy a helyi hálón a TCP titkosítva megy, de nem ment bele részletekbe, hogy milyen titkosításról van szó. Az ötödiknél valami ilyesmire gondolt: [link] [link] Azt mondta az oroszok már felkészültek erre is, és az egész országot le tudják választani az internet többi részéről, ha olyanjuk van. Volt már rá gyakorlatuk is. [link]
Ja hát nekem most max az jönne szóba, hogy kezdésnek veszek valami pfsense-es dobozt, aztán később bővítem switch-el, ap-kkel, de alapból tudnia kéne legalább az n-es wifit úgy, mint egy hasonló áru Asus router, meg kéne rá 2 gigabites port.
[ Szerkesztve ]
-
Egon
nagyúr
Nos, az első pont triviális, a másodikkal és harmadikkal is egyet tudok érteni, a negyedik és az ötödik nem tiszta hogy mire gondolt - viszont ami közös bennük, hogy nagyjából nulla közük van routerekhez, illetve routerek konfigurálásához.
Egyébként a helyedben megnézegetném az Ubiquiti eszközöket is: én abból tervezek hálózatot összerakni majd jövőre. Nálam lehet hogy lesz 300K, de abban lesz 24 portos switch, és 2-3 AP is. -
inf3rno
nagyúr
Nem tudom, eddig ezekről a technikai dolgokról volt szó, de az óra nagy része az alapokkal telt:
- semmi sem biztonságos, amit rá kell dugni a gépre, pl pendrive, mert a driverbe tehetnek személyre szóló vírust, pl urán dúsítót is így állították le az amcsik Iránban. ezen felül valszeg minden hardverben valamilyen sebezhetőség, lehallgató chip, amit a gyártó ország tetet bele (pl Huawei), ugyanez igaz a titkosításokra (pl 3DES)
- a legtöbb protokoll, amit használunk mint IP, DNS, ethernet, stb. egy rakás szemét biztonsági szempontból
- ICMP-t is védeni kell, nem csak TCP-t és UDP-t
- TCP-re be kell kapcsolni a titkosítást az oprendszerben, mert alapból nincs
- kell saját DNS szerver proxy módban, mert amik a neten vannak bármikor elszállhatnak hetekreNagyjából ez a szint, igaz mi csak belekóstolunk, másoknak ugyanezt jóval mélyebben oktatják és nem csak a védekezés részét.
[ Szerkesztve ]
-
Egon
nagyúr
Azért nem feltétlenül kell 300K-t egy jó otthoni hálózatra költeni. Leginkább a switch tud drága lenni, és persze ha sok AP kell, az is meg tudja dobni a költségeket.
A képzésen meg aligha fognak veletek szofisztikált dolgokat beállíttatni: mivel a népek 90%-ának valami kész megoldása van (már akinek van egyáltalán saját routere), így jó eséllyel maradni fogtok a wifi turkálásánál: WPA2/AES/MAC szűrés/rejtett SSID stb., amit kb. minden routeren meg lehet csinálni (mondom ezt olyan emberként, aki már kb. féltucat IT biztonsági képzésen van túl). -
inf3rno
nagyúr
Ja azt kifelejtettem, hogy a FreeBSD-vel már ismerkedek egy ideje, és elvileg akár arra alapozva is meg lehet csinálni ugyanazt a pfsense helyett. A különbség annyi, hogy úgy a FreeBSD fórumon is lehetne segítséget kérni, ahol általában egy napon belül válaszolni szokott legalább egy valaki, aki mélyebben ért a témához.
-
inf3rno
nagyúr
válasz
Multibit #291 üzenetére
Én is erre jutottam, hogy egy 300-at el kéne költeni rá, hogy jó legyen. Igazából most leginkább a tanulás miatt költenék rá, egyébként 30-ért elég lenne bármelyik soho router. Van egy olyan órám a továbbképzésen, hogy információs rendszerek és hálózatok biztonsága, aztán ott valami top hacker az előadó, és ő javasolta, hogy vegyünk otthonra saját routert, és mindent amit mond állítsunk be rajta gyakorlásképp. Sajnos ennél konkrétabbat nem tudok, úgyhogy azt sem, hogy mennyire kell paraméterezhetőnek lennie a kütyünek. :S
-
Multibit
nagyúr
Lehet, hogy most még jobban járnál egy OpenWRT kompatibilis home routerrel (akár használtan). Az OpenWRT is sokkal nagyobb rugalmasságot, paraméterezhetőséget biztosít, mint bármelyik Asus szoft. Pfsense-re/opnsens-re is ezért vált az ember. Majd ha összejön a szükséges mennyiségű pénz, akkor belevághatsz a "sense"-zésbe.
Szerintem pont a szabad hw/sw (el)választás, a funkciők független kezelhetősége az ami a legszebb a sense-ekben. Nem mondj le a külön AP-ról! Remek dolog, hogy a router az router, a switch az switch, az AP meg AP, fizikailag is külön-külön, kezelés tekintetében is elszeparálva -
Multibit
nagyúr
válasz
Véreshurka #288 üzenetére
Azt olvastam erről, hogy a mobil eszközön beállítható, hogy privát MAC címet szórjon az eszköz, vagy sem. Engem nem érint, mert nem osztok statikus IP címet mobil kütyüknek, de megnézem otthon az iPademet, azon már 14.1-es oprendszer van.
-
inf3rno
nagyúr
Sziasztok!
Gondoltam belekérdezek itt is, csak hogy biztos legyen. Szeretnék egy új routert és a pfsense és valami custom firmwares router (pl AsusWRT-Merlin) között vacillálok. A keret nem túl magas, 50k-nál többet nem szívesen költenék most erre jó indok nélkül. Nézegetem, hogy a legtöbb kütyü ennél drágább, talán van néhány qotom, ami esetleg beleférne a keretbe, ha kitolom 60k-ig. Na most több dolog is aggaszt. Egyrészt a garancia hiánya, vagy külföldi garancia. Másrészt a wifi hatósugár, mert most nincs pénzem még hozzá külön AP-re, harmadrészt meg, hogy van e egyáltalán értelme szórakozni ezzel. Mivel nyújtana többet, mint mondjuk egy ilyen?[ Szerkesztve ]
-
Véreshurka
senior tag
Sziasztok!
Nemrég olvastam az android és ios telefonok kapcsán a random mac address-ről. Ezt ki hogyan oldja meg, ha statikus IP kellene egy ilyen eszközre? Simán az eszközön megadva az IP címet? Egyáltalán ios-en lehet ilyet? Még itthon nem érint a dolog, de okulás végett kíváncsi lennék a későbbiekre nézve. Illetve aki esetleg olyan helyen kezel AP-t vagy routert ahol mac címek alapján engedik fel a klienseket az hogyan oldja meg?
Előre is köszi!
-
Tibro5
senior tag
Sziasztok, szeretnék pfsense-t használni vm-ként. Most van egy amd (a320+athlon 200ge+16gb ram) szerverkém amin freenas fut. Szerintetek működne ha pfsense-t a freenas-ra telepíteném vmben? Vennék egy 2-4 portos gigabites kártyát és pfsensenek adnám (wan-nak 1, lan switch 1+ap), tudna a freenas a pfsense lanjára csatlakozni? Köszi
-
GoZoL
senior tag
Szia!
Hw passthrough beállítottam a két lan kártyára. Mit kellene látnom? Switchel nincs összekötve ez a két port.
-
GoZoL
senior tag
Sziasztok!
ESXi alá raknám fel a PFsense-t és szeretném az internet forgalmat kezelni (gyerekek miatt), DHCP szervert is csinálnék belőle meg egy normális tűzfalat szeretnék. A host szerveren 4 GBit lan port van, amiből csak 2-őt használok azaz csak 1-et mert az van bekonfigolva az ESXi-nek. VM megvan, hogyan tovább? Köszi!
-
kisskd
tag
Hello!
Kis iroda (4-8 fő), benne egy saját szerver (mail, fájl, samba), digi gigabit. "Elvből" bridge módban a szolgáltatói eszköz, a rackszekrény már így is nagy, hangos, stb., szóval a routert megtartanánk kicsinek, és passzívnak, de bottlenecket nem akarok belerakni.Alaphangon kéne intézni a pppoe-t, NAT-ot, egyszerű tűzfalat (mint egy SOHO router),ha 2-3 külsősnek átvenné az openVPN szerver szerepét, az még "második vonalas" elvárás lenne. Ezen túli funkciók érdekelnek, örülök, ha bírná a vas, de nem elvárás.
Mennyire kompromisszumos (és melyik ponton) egy i5 3337U+ 4GB DDR3 + 120GB SSD + Intel 82579LM + Intel i210 + (esetleg később Intel mPCI-E alapokon wifi)?
(Azt már meg sem merem kérdezni, jut-e arra szufla, h vmi hypervisor alatt fusson, és legyen még mellette 1-2 pianoban ketyegő belső használatra célzott szolgáltatás.)
-
CanibelZ
aktív tag
Kb. 2 hete megjött a PfSense alá szánt Qotom gép, nagyon pöpec kis gép. Sikerült is feltenni meg beállítani a dolgokat viszont a VPN-nel van egy kis problémám.
Kintről szeretnék VPN-en keresztül csatlakozni az otthoni hálózathoz, hogy elérjem a szerveren található dolgokat. Ez megy is, bírok csatlakozni, mindent elérek. Viszont szeretném úgy beállítani, hogyha mondjuk laptopon csatlakozom a VPN-en, akkor csak az otthoni hálózat legyen átküldve rajta, minden más a VPN-en kívül menjen (mintha nem is lenne bekapcsolva). Ezt hogyan tudom megoldani?
Próbáltam neten utánajárni, de vagy nem találtam meg erre a megoldást, vagy én nem értem ezt a tunneling dolgot teljesen. -
haddent
addikt
Igen, emerging threat. Lustaságból, nincs kedvem szemezgetni, elbírja így is
Egy i7 3770 + 12GB ram "szervergépem" van, ezen fut KVM virtualizálva a pfsense és egy docker hoszt "gép". Előbbi 4 virtuálcpu magot kap 2GB rammal és nagyon ritkán, minimálisan korlátozza a digi gigabitet -
Egon
nagyúr
Mi a fenének egyszerre használni suricata és snort szabályrendszert is?
Állítom, hogy 80%-ban közös a szabálykészlet... Az "et" gondolom emerging threat akar lenni, ugye?
Összesen hány szabályt jelent ez a 3 szabálykészlet, és mennyi vasat eszik (cpu, ram)? Melyik szoftver alá töltötted be a szabálykészletet?
Köszi előre is a választ! -
meszimark
tag
Sziasztok.
Nekem olyan problémám lenne a pfSense routerrel, hogy itthon szépen be van állítva, elérem mobilnetről más szolgáltatóról a hálózatomat, de a saját szolgáltatóm internetéről (Tarr) már nem tudom pingelni se a routert. Tudtok valami ötletet mondani erre? -
haddent
addikt
válasz
eladohardver #270 üzenetére
Hacktheboxoztam elég sokat régebben, meg tervben van ill. security analystként dolgozom, de ennek ellenére azért nem hívnám magam (még?) etikus hackernek. Az IPS a betonbiztostól azért messze van, inkább a mennyiségre megy rá (szerintem), mint a kis finomságokra. A Wordpresset nagyon elterjedt, így ha követed a CVE -ket és azonnal frissítesz, amint van hozzá fix, akkor nagy gond nem lehet, szerintem
-
Mr Bond 007
őstag
válasz
eladohardver #272 üzenetére
Nagyon kevered a szezont a fazonnal...
-
eladohardver
őstag
válasz
Mr Bond 007 #271 üzenetére
ja... tuti feleslegesek a szabályok amik pl suricataban vannak...
-
Mr Bond 007
őstag
válasz
eladohardver #270 üzenetére
Nem vagyok az, de a kettőnek nem sok köze van egymáshoz. Akármi mögé rakhatod az oldalad ha a webszerver vagy a site hibáját használják ki.
-
eladohardver
őstag
Nem tudom hogy szabad e ilyet... De van köztünk etikus hacker... ?
Mondjuk aki meg tudná mondani, hogy sebezhető e a weboldal/wordpress... ami pfSense-mögött fut... -
haddent
addikt
válasz
eladohardver #265 üzenetére
Hát így hirtelen passz.. nem igazán foglalkozom vele, nekem nem kezdi el illetve hát nem is bánt az ott senkit. FreeBSD fórumok esetleg, kétlem, hogy pfSense specifikus megoldást találsz könnyebben
-
Véreshurka
senior tag
Végül arra jutottam, hogy egyelőre kikapcsolom a zabbix-ban a triggert ami problémának jelöli a swap-ot. Most nincs sok kedvem újra beállítani mindent, még akkor sem ha ugyan van config mentésem, mert nem tudom, hogy minden ugyanúgy viselkedne-e mint előtte és túl lusta is vagyok hozzá
. Problémát nem láttam, egyedül a zabbix-os figyelmeztetés miatt jött képbe egyébként is. Osztom egyébként haddent véleményét, pláne 16 GB memória mellett, nálam is olyan 5-6 %-on van a memória használat, de akkor sem ment 20 % fölé amikor be volt kapcsolva a snort + pfblockerNG.
Köszönöm mindenki hozzászólását a témában!
-
Multibit
nagyúr
válasz
eladohardver #265 üzenetére
Swapoff parancs?
-
haddent
addikt
válasz
eladohardver #263 üzenetére
Ezt a megoldást jól kezeli? Volt már olyan, hogy linux esetén csak "jajj véletlen kivettem alólad a swap mountot" megoldást nem kedvelte
-
eladohardver
őstag
válasz
eladohardver #262 üzenetére
Ez nem működik... 2gb memóriával pfblocker mikor chron job fut el kezd swappolni...
Diagnostics/Edit File/Browse
/etc/fstabfájlban a lenti sor elé be kell rakni egy hashtag-et....
/dev/label/swap0 none swap sw 0 0
[ Szerkesztve ]
-
eladohardver
őstag
-
haddent
addikt
válasz
Véreshurka #260 üzenetére
Kétlem, hogy a pfSense -nek kéne swap 2020 -ban ilyen hardverekkel.. Nekem 2GB ramnál 0% a swap usage. A ram olyan 35% -on áll masszív le/feltöltögetés mellett is
-
Multibit
nagyúr
válasz
Véreshurka #258 üzenetére
-
Véreshurka
senior tag
válasz
Multibit #257 üzenetére
Ha nem nagy kérés még a
gpart show 'lemeznév'
parancsot meg tudnád nekem nézni?Én is arra hajlok, hogy nincs létrehozva, pedig telepítéskor particionálásnál az "Auto (ZFS) - Guided root-on-zfs" opciót választottam és nem babráltam az értékekkel, utána pedig rögtön nyomtam az install-ra.
-
Multibit
nagyúr
válasz
Véreshurka #256 üzenetére
CLI-ben a swapinfo parancsot is használhatod.
szerk:
Mondjuk az is érdekes, hogy aswapinfo
parancsra meg nem hoz semmi érdemi info-t...
Akkor neked nincs swapfs létrehozva.
Nálam ez az outputja:[ Szerkesztve ]
-
Véreshurka
senior tag
válasz
Multibit #255 üzenetére
Bár látom, hogy több mindenkinél (youtube-ot böngészve, google képtalálatokat nézve) valóban lehet látni a swap használatot a dashboard-on, de nálam (és még talátam egy ilyen dashboard-ot a neten) nincs ilyen pont. Viszont belépve a shell-be a
gpart show ada0
parancs mutat 2 GB swap-et. Még majd futok ezzel egy kört a netgate fórumon is, hátha... Mondjuk az is érdekes, hogy a
swapinfo
parancsra meg nem hoz semmi érdemi info-t...[ Szerkesztve ]
-
eladohardver
őstag
+ van
Megvilágosodtam
csak a wan-t és a LAN-t(virtuális amit Hyper-gay hozott létre) adtam pfsense-nek a többi kártyából és a LAN-ból csináltam egy Bridge-et és így összes eszköz/hálózat kap ipv6-ot
-
Patice
nagyúr
válasz
Véreshurka #251 üzenetére
"...valószínűleg nálam is 2 GB a swap."
Ezt jó lenne tudni biztosan. Nem tudom hogyan lehetne megnézni, csak elmélkedem. pfSense még csak tervben nálam. -
Véreshurka
senior tag
Ha a zabbix-nak kellene még + swap akkor nem a Zabbix Server-nél kellene lennie egy ilyen hibának: "Lack of free swap space on Zabbix Server"? Mert valóban én is legfőképpen ezt a hibát találtam a google segítségével. De még ha ez is lenne a helyzet, ahogy olvasom a raspberry-n ha sd kártyáról megy a rendszer nem célszerű swap-et növelni, mert a kártya nem bírná.
Amit elfelejtettem megemlíteni, hogy zfs-re particionáltam a lemezeket raid1-be. Egyébként most megnéztem pár youtube videót pfSense telepítéséről, és ahol zfs-t használtak, ott az alapérték mindenhol 2g volt beállítva swap-nek (gondolom 2 GB), így mivel azonkívül, hogy raid1-be tettem a lemezeket, mást nem állítottam, valószínűleg nálam is 2 GB a swap.
-
Patice
nagyúr
válasz
Véreshurka #249 üzenetére
A hibaüzenetből azt következtetem, hogy a zabbix-nak kell swap.
16GB memória mellé gondolom nem hagytál swap-ot, mert minek. Zabbix-nek meg kellene.
Nem tudom, hogy a pfSense újrarakása nélmül ez megoldható-e, mondjzk újrapartícionálással. -
Véreshurka
senior tag
Volt egy feles raspberry pi-om és gondoltam kipróbálom rajta a zabbix-ot, amit összekötnék grafana-val és monitoroznám a különböző eszközeimet. A pfSense-re feltettem a megfelelő zabbix agent-et, és sikerült is összekötnöm őket, viszont a zabbix hibát jelez: "Lack of free swap space on pfSense", a zabbix szerint a rendszer több fizikai memóriát igényelne. A konfigom 120 GB ssd raid1-ben, 16 GB rammal, és Intel i5-7200U Kaby Lake CPU-val. A memóriahasználatom jelenleg 5-6 % között van, ebből arra következtetnék, hogy ezzel nem kéne problémának lennie. Van esetleg valakinek tapasztalata zabbix-al kapcsolatban? Állítsam be úgy a zabbix-ot, hogy ne vegye figyelembe ezt a hibát, vagy valahol a pfsense-en kellene esetleg valamit állítani?
Előre is köszönöm!
-
haddent
addikt
válasz
Mr Bond 007 #247 üzenetére
hyperv, vmware meg társai.. van belőlük elég tapasztalat melóban, botrányosak, de legalább k** drágák
-
haddent
addikt
válasz
eladohardver #241 üzenetére
Na hát ez baromi egyszerű volt pfSense esetén Digivel. LAN interfészen IPV6 -ot állítsd Track interfészre, kicsit lejjebb a tracked interface legyen a WAN interfész, majd Services DHCPv6 bekapcsolod a LAN -ra, prefix delegation size 64 Digi esetén, megadsz 1-2 dns szervert, pl a cloudflare (1.1.1.1 ip4 esetén): 2606:4700:4700::1111 aztán save, reconnect wan -on és kész
-
haddent
addikt
válasz
eladohardver #241 üzenetére
Hogy őszinte legyek eszembe se jutott
A baremetal linux diy router/tűzfalamon megcsináltam anno, ezen ki se próbáltam pedig már vagy 1 éve használom. De most, hogy felhoztad idegesít, hogy nincs megcsinálva, holnap átnézem
#243 Véreshurka Az IDS csak jelez, így az problémát biztosan nem okoz. Mondjuk ebből adódóan hasznot sem hoz, hacsak nem figyeled és reagálsz manuálisan azonnal. Ennek otthonra szerintem végképp nincs létjogosultsága. Melóban mi használunk, de ott van egy teljes eseménykezelő / it sec csoport, aki riasztásokat kezel / reagál. Az IPS nyilván kétélű fegyver. Olyan szinten én sem foglalkoztam eddig vele, hogy saját szabályokat írjak vagy hasonlók, viszont azt elmondhatom, hogy suricata / et / snort ingyenesen elérhető összes szabálya legszigorúbb módon, nagy erőforással rá van engedve kivéve a P2P szabályokat (torrentet azonnal úgy lelövi, hogy csak nézel) és eddig nem találkoztam fals-pozitívval, vagy nem tűnt fel. Szerintem, ha erőforás van hozzá érdemes egy próbát tenni. Ha esetleg nagyon lekorlátoz lehet generikusan állítani, hogy mennyire pattogjon, ugorjon minden szarra. Ha úgy sem, max kikapcsolod. Otthon ugye nem szolgáltatsz, nincs belőle baj sehogy, szerintem
Multibit tökéletesen működik Digi PPPoE -vel és virtuális adapterrel is. Igaz, csak KVM -mel van tapasztalatom, de a többi virtualizációt max viccnek hívnám nem virtualizációnak egyébként is
Ettől függetlenül a hatékonyság érdekében valóban érdemes konkrét fizikai interfészt kiosztani neki
-
Multibit
nagyúr
válasz
Véreshurka #243 üzenetére
- IPS mód nem működik PPPoE-vel
- IPS mód csak fizikai network adapterrel működik, virtuálissal nem -
Véreshurka
senior tag
Nem kifejezetten tőled kérdezném, de ez a hsz. kapcsolódik a kérdésemhez.
Olvasgattam az IPS/IDS-ről, illetve próbáltam videokat is megnézni a témában. Nekem ezek alapján az jött le, hogy:
- csak HTTP forgalom elemzésére jók,
- kezdőként nem ajánlatos használni,
- időigényes és foglalkozni kell velük, főleg a false-pozitívok kiszűrése miatt, ami egy ilyen témában nem jártas egyénnek nem egyszerű feladat, és több probléma lehet belőle, mint haszon.A kérdésem az lenne, hogy valóban ilyenek, mind a suricata, mind a snort? Vagy valami felett átsiklottam és érdemes velük foglalkozni?
A snort community szabályait használtam úgy egy hónapig, de meg kell, hogy mondjam, hogy egyrészt semmit nem értettem belőle
, másrészt nem is volt problémám ugyan, de lehet csak szerencsém volt, viszont lehet, hogy szívesen próbálkoznék valamelyikkel a közeljövőben.
Illetve még egy + kérdésem lenne: a squid csomagban lehet állítani anti vírust. Ezzel kapcsolatban lenne valakinek tapasztalata?
Előre is köszönöm!
-
noorbertt
őstag
Sajnos a pfsense VM-et le kell cserélnem, mert a szerveren túl sok minden fut és előjött az hogy ha a szerverrel probléma van akkor buktam a hálózatot.
Mivel vannak unifi eszkozeim így egy usg lett a befutó.
Köszönöm a sok hasznos infót:) -
eladohardver
őstag
Esetleg egy érthető tutorial hogyan lőjjem be az IPV6-ot? ezer éves Dlink routerben ez 1 menü kipipálás volt...
Kb ennyiben ki is merül a tudásom IPV6-ról
[ Szerkesztve ]
-
Dißnäëß
nagyúr
válasz
Véreshurka #238 üzenetére
Akkor Te sem vagy előrébb ..
De legalább a profiling-ot megússzuk
[link]
-
Véreshurka
senior tag
válasz
noorbertt #233 üzenetére
Nem élek külföldön. Úgy jellemezném magam, hogy még nem hordom annyira szorosan az alusisakot, de érzem, hogy egyre jobban szorul
. (#234) Dißnäëß-el teljes mértékben egyetértek. Még ha nincs is az embernek semmi titkolnivalója, úgy érzem akkor is mindent kell tenni annak érdekében, hogy az online személyiségünk a lehető legnagyobb mértékben privát maradjon.
A LAN kapcsolat nem megy a VPN szolgáltatón keresztül, a kameráidat elérni meg szerintem is sokkal praktikusabb saját VPN szerverhez kapcsolódva elérni
. Az pedig tényleg bizalom kérdése, hogy kiben bízol meg jobban: az állami felügyelet alatt álló telekommunikációs cégekben, vagy magánszemélyek által (akár cégként működtett) VPN szolgáltatókban, amik még mindig lehetnek honeypot-ok. Nálam egyelőre az utóbbiak állnak nyerésre. Az, hogy mennyire jó ötlet VPN-en kiengedni a szervered, még nem tudok mit mondani, csak nem régtől van meg nálam is a lehetőség, ebbe jobban bele kell ásnom magam.
(#236) jegesib: pár évig a NordVPN-nél voltam, de egyre jobban zavart, hogy mindenhol az ő hirdetéseikbe botlok bele, és iszonyatosan tolják az affiliate programjukat is, és még a PH-t sem lehetett elérni velük. Ezért pár hónapja váltottam, most AirVPN-t használok, eddig rendben lévőnek tűnnek, bár tény, hogy nem olyan fasza a VPN programjuk mint más VPN-nek, de meg lehet lenni ezzel is, + routerben már benne vannak, mifi-met is így használom, lényegében nincs is szükségem külön programra.
A végére pedig ajánlanák egy youtube csatornát az erre fogékonyaknak: [link] , illetve egy videót neked Dißnäëß
: [link] . Egyébként én tutanota-t használok
-
Dißnäëß
nagyúr
ProtonVPN.
Gmail fiókom is ürítem le, aztán törlés, a VPN mellé elôfizettem a Protonmail-re is (eddig ingyenesben használtam vagy 2 éve már).
Svájc. Én hiszek nekik, hogy ôk sem látnak bele, komoly kis rendszert tákoltak össze, nagyon beerôsödtek mára.
Mindkét szolgáltatás Android kliense szintén hibátlan, a VPN természetesen klasszik router és egyéb komolyabb eszközökrôl OpenVPN formában is elérhetô, pl. az itthoni, még csak ASUS routeremnek is beadom a részleteket és ollé. (Hamarosan csere).
[ Szerkesztve ]
-
noorbertt
őstag
Persze, minden is lehetseges.. nem vagyok paranoid, de az is jó példa lehet hogy a szolgáltató kitalálja hogy akkor holnaptól illegál a torrent...
Nekem új az hogy a szervert is onnan érjem el és az is hogy azon keresztül menjen a lan kapcsolat. Ebbe nem vagyok biztos hogy mennyire jó ötlet -
Dißnäëß
nagyúr
válasz
noorbertt #233 üzenetére
Én is most fizettem elő vpn-re, kezdem bonyolítani a hálózatom, egyrészt ne statolgassa senki, mikor mit merre nézelődök, meg izzítok egy PiHole-t is a családnak, .. szvsz egyre fontosabb, hogy amennyire csak lehet, próbáljon az ember a szőnyeg alatt maradni, ha lehet. Szteganográfia lenne a legjobb, de a kripto is megteszi magában egyelőre.
Gondolj bele egy hülye ötletbe: holnapután politikus akarnál lenni, valakinek a begyében vagy és elére a keze addig, hogy elővegyék a múltadat a szolgáltatódnál lévő logok alapján. Aztán egy kamu-szellőztetés valami mondvacsinált indokkal és oda az egész. És ez csak 1 "felhasználási" módja a Rólad a rendszerben nonstop képződő digitális identitásépítésnek.
-
noorbertt
őstag
válasz
Véreshurka #232 üzenetére
Köszönöm, elkezdem szépen kicsiben.
Külföldön élsz hogy ennyire kell a vpn neked? A szolgáltató és vagy a másik user nem lát véletlenül sem rá a szerverre pl? Mondjuk ha van port forwarding? Mert nekem pl jó lenne hogy el tudjam érni a kamerákat kívülről, de arra a saját vpn is elég.[ Szerkesztve ]
-
Véreshurka
senior tag
válasz
noorbertt #231 üzenetére
Ezt - vpn szolgáltató - mindenkinek magának kell eldöntenie. Én használom, bár a nasom még nem ezen a hálózaton van, egyedül az eszközeim (telefon, tablet, laptop) vannak ott. Ha el szeretnéd érni kívülről a hálózatod, akkor célszerű ezt úgy megoldani, hogy csinálsz otthon egy vpn szervert (mondjuk ovpn-t), és arra csatlakozva éred el az eszközöket, ezzel kicsit növelve a biztonságon.
Vlan nálam akkor került szóba először, amikor vendégeknek akartam külön wifi-t biztosítani. Majd jött pár iot eszköz is. Ha még most ismerkedsz a vlan-ozással, akkor szerintem célszerű először csak pár vlan-t létrehoznod. Szerintem felejtsd el egyelőre a clearnet-et, meg a vpn-t, stb-t. Készíts egy vlant arra, hogy azon legyen mindened. Ha szoktál vendégeket fogadni akkor csinálj még egy olyan vlan-t amit a vendégek tudnak használni, illetve csinálj még egy vlant amire a kamerákat és az iot-s dolgaidat (ha vannak) teszed. Ha ezek meg vannak és működnek, akkor elgondolkodhatsz, hogy szeretnéd-e mégjobban szétbontani a hálózatodat.
Nálam most ilyenek vannak:
lan - a unifi controller miatt kellett, mert máshogy nem tudtam felvenni a switch-emet a controllerbe, ezt jelenleg ki is kapcsoltam, amint sikerült a switch-et a management vlan-ra helyezni.
vlan1 - otthoni eszközök (nas, media player) és feleségem cuccai vannak rajta (volt pár appja amik vpn mögül nem mentek).
vlan2 - management vlan: router, switch, ap, "szerver", kvm switch van rajta.
vlan3 - vpn vlan: saját eszközök vannak rajta, amiket már említettem.
vlan4 - clearnet: még nem kellett használnom.
vlan5 - olyan vlan amin a munkahelyi eszközeink vannak (2 laptop, 1 telefon és egy tablet).
vlan6 - iot vlan: iot-s eszközöknek.
vlan7 - vlan a kameráknak.Bár a vlan5 csak akkor van bekapcsolva (ap-n), ha itthon dolgozik valamelyikünk), a kamera vlan-on még nincs eszköz, mert a kamerák felszereléséhez még fúrni is kellene + junctoin box-ot sem találok még hozzájuk, de szeretném ezt a 7 vlan-t a későbbiekben lecsökkenteni olyan 4, maximum 5 vlan-ra. Valószínűleg a vlan5+6+7-ből egy vlan-t csinálnék, illetve majd a későbbiekben szeretném még összevonni a vlan1-et a vlan3-al és csak a vpn vlant használni minden saját eszközünknek.
[ Szerkesztve ]
-
noorbertt
őstag
válasz
Véreshurka #230 üzenetére
Amúgy okos dolog egy vpn szolgáltatón keresztül futtatni a szerver elérést és minden eszközt? Pl otthon is fut a vpn hogy elérje az otthoni hálózatot?
Akkor viszont ez a vlan nekem még nem tiszta :)
Vpn nélkül nálatok hogy van beállítva az ökoszisztéma? -
Véreshurka
senior tag
válasz
noorbertt #229 üzenetére
Management VLAN-on csak olyan eszközök vannak amiknek van admin felületük (switch, router, ap, stb...). Clearnet itt arra vonatkozik, hogy ha van olyan alkalmazás ami vpn alatt nem működik (VPN VLAN - VL20), akkor azon keresztül menjen. Kamerának külön VLAN-t csinál. Illetve Clearnet-nél minden marad úgy, mintha nem csináltál volna semmit: szolgáltató dns szervere, reklámblokkolás nélkül, stb... Tehát egy olyan interface, amibe egyáltalán nem avatkkoztál bele. Az eszközök nála a VL20_VPN VLAN-on van.
-
noorbertt
őstag
https://nguvu.org/pfsense/pfsense-baseline-setup/#Initial%20setup
Elkezdtem beallitani a pfsense-t es a vlan beallitasoknal nem teljesen tiszta minden..lehet hogy csak elsiklok felette az angol miatt..
Management VLAN es a CLEARNET LAN Interface kozott milyen kulonbsegek vannak? Csak annyi hogy a pfsense-t eltudjam erni management alatt?
Melyikre erdemes tenni pl a kamerat?
Vagy a sima telefonokat, ipadeket amiknek nem kell elerni a pfsenset?Probalom a logikat kitalalni hogyan lenne jo.
-
Véreshurka
senior tag
válasz
CanibelZ #221 üzenetére
Hát az úgy volt, hogy kerestem msata ssd-t a qotomba, és jó áron találtam a hardveraprón egy bontatlan samsung evo-t. Aztán később szintén jó áron szintén ha-n egy 2,5 samsung pro-t, és meg is lett a 2 ssd
Eleinte arra gondoltam, hogy mindent logolni fogok
ezért gondoltam a nagyobb tárhelyre, de ez inkább zavart ha hibakeresés folyt, így már nem logoglok mindent, viszont az ssd-k maradtak.
Érthető az árérzékenység, azért is linkeltem a kínai verziókat
. Qotomékkal meg vedd fel a kapcsolatot a szállítás miatt, és készülj fel, hogy most sokat csúsznak a pakkok kínából.
-
CanibelZ
aktív tag
Ez egy elég barátságos összeállítás. Hasonlókat néztem már én is, de még össze kellene néznem, hogy milyen rendszerigényei vannak a dolgoknak. De szerintem egyelőre maradok a két gépes felállásnál, majd lehet később én is virtualizálom, ha úgy látom a dolgokat. De köszi a választ, ez is egy jó kiindulópont az egészre nézve.
-
ƬΛЯΛ
senior tag
válasz
CanibelZ #224 üzenetére
Ha hiszed, ha nem, a szerverem az alábbiakból áll:
i3-3220
4x2GB DDR3
7x500GB lemezEzen fut egy VMWare ESXi. Ezen belül 3 virtuális gép.
1. pfSense
2. Ubuntu (Unifi controller)
3. xpenology (Virtualizált Synology DS3615xs)Tökéletesen elvannak egymás mellett. Természetesen a VM-ek nincsenek fizikálisan összekötve. A pfSense megkapta bypass-ban az egyik LAN portot WAN-nak, egy másikat LAN-nak, a virtuális gépek pedig egy Virtual Switch-csel vannak összelőve
Nekem ez így tökéletes volt, mert alacsony a fogyasztás, mégis mindent kiszolgál, amire igényem van, sőt, erőforrástartalékom is van, ha esetleg egy teszt windows-os gépet akarok feltenni vagy valami. A későbbiekben lehet bővítek 16GB RAM-ra, de ennyi az összes.
És tévedtem, a pfSense-nek 1 vCPU van adva 512MB memóriával és így is hozza a gigabitet
[ Szerkesztve ]
-
CanibelZ
aktív tag
válasz
Multibit #223 üzenetére
Azt a 7-800-at találtam, annyival én is megelégednék.
Munkahelyről sokszor elég nagy fájlokat meg adatbázisokat mozgatok haza, mellette távoli asztali elérés és jó lenne, ha tudnék haladni. VPN-en 100 Mbit lenne igazából a cél, de ezek szerint csak kéne tudnia ezt, szóval lehet ennél maradok akkor, sokkal nem tűnik erősebbnek a J4105 a J3160-tól. -
CanibelZ
aktív tag
Na, ezzel a válasszal most aztán tényleg nem tudom eldönteni, hogy akkor hogyan is.
Látom te virtualizálod, összességében az lenne talán a legolcsóbb, ha úgy nézzük, de nem értek annyira ehhez még, tanulnom kellene a dolgokat hozzá.
Meg akkor a következő kérdés, hogy a teljes szerver alá akkor milyen hardvert rakjak, annak még neki se álltam gondolkodni és érdeklődni. -
Multibit
nagyúr
válasz
CanibelZ #219 üzenetére
nem viszi ki a Gbit-et, csak 7-800-at
Micsoda gond...
Nekem is 500 Gbps netem van, tehát nem tudom, hogy a jelenlegi routerem (J4105 alapú SBC + OPNsense) "ki viszi"-e a gigabitet, de igazából nem is érdekel. Akkor sem fog érdekelni, ha ideér a Digi az FTTH-val és itt is 1 Gbps lesz a névleges letöltési sebesség.
Persze más a helyzet akkor, ha az erős vas valós igény/probléma kielégítésére kell. Ilyen kérdés lehet pl. az elérhető VPN sebesség. Nálam a fent említett router OpenVPN-nel (AES-256-CBC, SHA512) 110 Mbps tud lefele irányban, 130-at felfele, belakott tűzfallal, sok aliassz. Nos, ha valakinek ennél több kell, az szerezzen be erősebb vasat a Celeronos gépeknél! Ekkor bizony jól jön az általad linkelt Qotom (pl. egy Q375G4). -
ƬΛЯΛ
senior tag
válasz
CanibelZ #219 üzenetére
Hát nem tudom, nekem kezdetben egy Core2Duo E8400 + 4GB RAM pároson futott a pfSense kb egy évig. 500/22-es netem van, simán kihajtotta, belső hálón pedig jött a gigabit is. Igaz, nekem külön egy 4 portos gigabit kártya volt benne, de az alaplapi volt a WAN. Szóval ami ezt a teljesítményt meg tudja lépni, az kell, hogy tudja kezelni a gigabitet
Szerk:
Jelen pillanatban virtualizálva ezt nyújtja úgy, hogy fut a torrent 100+ torrenttel, 3-4 egyidejű VPN kapcsolat (dolgozom) és hasonlók. Szerintem elég jó. 2 vCPU és 512MB RAM van neki adva[ Szerkesztve ]
-
CanibelZ
aktív tag
válasz
Véreshurka #220 üzenetére
Az oldalukon is megtaláltam, a kisebbnél 300Mbit-et írták garantálnak inkább, ha DHCP, VPN stb. is ezen az eszközön menne, Gbit esetén a nagyobb modell ajánlottabb, szóval legalább i3. Szóval szerintem megrendelem ezt és akkor a jövőre nézve is be vagyok biztosítva.
Te miért raktál 2*120 GB SSD-t bele? Nem lenne elég mondjuk egy 64 GB, vagy akár 32 GB is, ha csak a PfSense megy rajta?Igen, ebből a szempontból gondoltam én is rendelni tőlük, de miután egyedül vagyok most egy lakásra és a PhD fizetés nem a legtöbb, nem tudok túl sokat félrerakni, így most más megoldást nézek inkább. Szoktam pár dollárt itt-ott adományozni, de ez most egyszerre sok lenne, főleg ez minimum i3 miatt.
-
Véreshurka
senior tag
válasz
CanibelZ #219 üzenetére
Nálam sajnos 40/4 -es net van
(Bp. XII. kerület, inkább nem mondanék semmit
), mint az elérhető leggyorsabb, szóval ehhez sajnos nem sokat tudok hozzászólni. A Qotom-ot úgy vettem az I5-el, hogy annak tudnia kell (fórumozók szerint) elvileg a gigabit-et, hogyha egyszer ide is ideérne egy olyan szolgáltató, akkor ne legyen gond. Egyébként szerintem simán írhatnál a Protectli-nek, hogy ők mit mondanak. Nyilván nem fognak maguk ellen beszélni, de azt szerintem megmondják, hogy a J3060, vagy a J3061 bírná-e a gigabit-et, vagy inkább valamelyik i-s processzoros gép.
Gondoltam, hogy felmenne rájuk, bár őszintén szólva nem nagyon jártam utána... Úgy voltam vele, hogy ezzel is támogatok egy számomra szimpatikus céget, illetve itt Európában pedig azokat akik aktívan fejlesztik a Coreboot-ot a Protectli-s gépekre.
-
CanibelZ
aktív tag
válasz
Véreshurka #218 üzenetére
Sebességet mennyire figyelted/tesztelted? 500Mbit-es netem van, amennyire lehet kihasználnám, de elég vegyes dolgokat találtam ezzel kapcsolatban. Valahol azt írták a J3060 és J3160-as eszközökre, hogy nem viszi ki a Gbit-et, csak 7-800-at vagy sokkal kevesebbet, de valaki meg azt írta, hogy neki probléma nélkül ment. Ezzel szemeztem eddig, de ezek most elbizonytalanítottak kicsit benne. Ha valóban nem jó, akkor szerintem maradok ennél, ez már biztos jó lesz.
Nézelődés közben találtam pár hozzászólást, hogy az aliexpressről rendelt "Protectli" eszközt (Yanling/minisys-ként hivatkozta rá, előbbiként meg is találtam) és simán felment rá mind az eredeti (zárt) BIOS, mind a coreboot (telepítés).
-
Véreshurka
senior tag
válasz
CanibelZ #217 üzenetére
Szerintem nem koppintás. Inkább azt tudnám elképzelni, hogy az OEM gyártó árulja a különböző webshopokban a kis minPC-jét, amit egyébként a nyugati cégek megvásárolnak majd eladnak. Mást szokott ez zavarni, engem annyira nem zavar a dolog, hiszen egy nyugati cégen szerintem jobban be lehet hajtani a garanciát, mint egy kínain, ahova még vissza is kell küldeni, és ki tudja mit küldenek vissza. + van egy olyan elképzelésem (lehet csak álom), hogy a nyugati cégek még +-ban tesztelik mindegyik kis PC-t és tényleg csak a jól működőt küldik. Bár amazonon pl. sok negatív véleményt lehet olvasni pl. az általam használt kis J3060-as protectli gépről. Nálam eddig egy hete nagyon jól teszi a dolgát, azért mertem ajánlani. Illetve bár nem közvetlenül a protectli-től vettem, de eddig bármilyen kérdésemre 1 napon belül (leszámítva a hétvégét) mindig válaszoltak, és a lengyelek is 1 napos határidővel válaszoltak.
Qotomból nálam ez megy a pfSense alatt. A USPS szállítással tudtam úgy rendelni, hogy ne kelljen ráfizetnem, most csak olyat látok, hogy seller's shipping method, lehet ez azt takarja. Ha érdekel a dolog vedd fel velük a kapcsolatot, ők is nagyon segítőkészek. Barebone-ként rendeltem, majd itthon beletettem 16GB RAM-ot, és 2x120 GB SSD-t (samsung evo msata + samsung pro 2,5-ös ssd) raidben. Volt amikor különböző alapbeállítások mellett fent volt még az openVPN szerverként és kliensként is, ment a pfblockerNG mint reklámblokkoló, feltelepítettem a Snort-ot, illetve a haproxy-t, nagyon jól vette az akadályt a gép. A ram az kellett, mert a snort / suricata tudja szívni rendesen. Most ez alapján állítottam be a pfsense-t + multi vpn wan + pfblocker geoblocking módban + openVPN szerver, kicsivel több, mint egy hónapja használom így a routert, és nagyon kis terhelésen megy. Most már annyira nem szükséges itthon a stabil net kapcsolat, szóval lassan a saját szám íze szerint fogom beállítani, de persze felhasználva az nguvu-s leírást, csak nem akarom teljesen ugyanazt használni. Illetve gondolkodom, hogy a squid-en elérhető vírusirtóval is tennék egy próbát, így a pfblockerNG-vel, valamelyik IPS/IDS-el és a Squid-el akár egy jó kis UTM-et is lehetne csinálni. Én az IPS/IDS-ről egyelőre lemondtam, mert sok helyen olvasni, hogy egyrészt érteni kell amit csinálsz, másrészt figyelni és szűrni a sok false positive-ot. Nos érteni azért nem értek még hozzá, + egyelőre a false positive-ot sem tudnám rendesen kiszűrni
.
-
CanibelZ
aktív tag
válasz
Multibit #213 üzenetére
Közben nézegettem a dokumentációkat és láttam pár érdekességet. Úgy néz ki nem kell erre az eszközre virtualizáció, vannak olyan pfSense csomagok, amikkel tudom a leírtakat helyettesíteni: openvpn hivatalosan van, wireguard még nem, de csomag már letölthető hozzá, DNS resolver-ként alapból tudja az Unbound-ot használni, piHole helyett meg van pfBlockerNG, ami kb ugyanazt tudja. Biztonsági szempontból nem tudom mit lehetne érdemes még felrakni. Az IPD/IDS eddig nem jutott eszembe, de jó ötlet, fail2ban majd valamilyen módon azokhoz az alkalmazásokhoz, amiket kiengedek netre, network monitor meg majd kiderül, nem tudom van-e benne alapból és az milyen.
Eszközök szempontjából úgy nézne ki, hogy lenne egy szerverként használt gép, egy asztali PC, egy router (OpenWRT), amit acces pointként és switchként is használnék 2-3 eszköznek.Véreshurka
Köszi a linkeket, este én is találtam ilyen eszközöket a kínaiaktól, konkrétan ezt nézegettem, nem tudtam, hogy ez is koppintás. Ha ez elég lenne teljesítményben az én igényeimnek, akkor lehet a lengyel barátainktól rendelek egyet, kínából ki tudja mennyi idő amíg ideér (ha ideér, de nem jártam még így szerencsére), vámmal kapcsolatban meg még soha nem volt dolgom. Ha jól számoltam, talán nem jönne ki sokkal olcsóbbra, de sose tudom ezeknél hogy megy. Ha mégis kijönne annyival olcsóbban, hogy megérje szórakozni vele, akkor rendelek egyet és feltelepítem a coreboot-ot, a laptopomra is fel akarom valamikor úgy is.
Megkérdezhetem, hogy te melyik Qotom gépet vetted és mi megy rajta? -
Véreshurka
senior tag
válasz
Multibit #215 üzenetére
Igen, ezt el is felejtettem írni, pedig itt volt a
nyelvemenbillentyűmön... Bár egyébként elvileg még a 2.5-ös pfsense sem fogja kérni, de VPN-nél jobb a tudat, hogy van hw-es titkosítás.Illetve ha már CPU-k, akkor a virtualizációs technológiával bíróakat is szűrni kell: legalább vt-x, de lehetőleg vt-d is legyen, bár a j3060 (FW2B) csak vt-x-et tud. Ha tényleg virtuális környezet a cél.
-
Multibit
nagyúr
válasz
Véreshurka #214 üzenetére
Plusz egy szavazat a Qotom-nak.
Arra kell figyelni ezeknél a mini PC-knél, hogy olyan típust válasszunk, aminek a CPU-ja AES-NI támogatással bír! Van ugyanis a választékukban nem egy olyan, aminél ez nincs meg. -
Véreshurka
senior tag
válasz
CanibelZ #212 üzenetére
Szia!
Amíg a nálam tapasztaltabb, nagyobb tudású forumtagok is kifejtik a véleményüket, addig adnék pár tippet, hátha szimpatikus lesz valamelyik:
1. Protectli miniPC-k. Nálam most van egy FW2B, pont az általd emlegetett játszós gépnek. Nem egy gyorsasági világbajnok, de 8GB rammal, 120GB ssd-vel VMWare ESXI alatt elfut egy win10 pro elég jó sebességgel, illetve mellette egy fedora 31. Nálam szempont volt, hogy legyen rá Coreboot, így innen rendeltem, mert nem voltam biztos benne, hogy egyrészt hogy ér ide az USA-ból, és hogy milyen + vonzatai vannak, illetve szimpatizáltam is a céggel, így egy támogató rendeléssel tudtam segíteni őket.
2. Amennyiben neked túl drága lenne a protectli, akkor tudom ajánlani ezt az alixpreess-es eladót, nekem úgy tűnik, hogy ugyanazokat árulja, mint a protectli. Ez pl. egy az egyben az FW2B.
3. Qotom shop az ali-n. Nálam egy 6 portos, I5-ösre van telepítve a pfSense, 16GB rammal, 2x120GB ssd-vel, rendben teszi a dolgát már lassan fél éve. Megbeszélésre és némi + pénzért vállaltak olyan szállítási módot, hogy ne kelljen extrát fizetnem kézhezvételkor.
4. Kicsit merészebb, és jóval drágább is a többitől, legalábbis a kínaiaktól mindenképpen, de akár érdemes lehet megnézni ezt is. Ugyan még nem mélyedtem el a részletekben, illetve csak játszósnak lehetne jó (1 db NIC) de a Coreboot megléte és a titkosítás nálam nagy + pont, lehet bevállalnék egy fél év vajaskenyeret, hogy vehessek egyet
-
Multibit
nagyúr
válasz
CanibelZ #212 üzenetére
Gondolom a router gépnek nem kell túl combosnak lennie
Ez az igényeidtől függ. Ha nagy lesz a terhelése, akkor bizony érdemes lehet akár x86 alapú routert építeni/konfigolni. Mindenféle jóval "teleszórt" tűzfal, erőforrás igényes alkalmazások (pl. intrusion detection/prevention, VPN szerver, stb) igénylik az izmos vasat. -
CanibelZ
aktív tag
Sziasztok!
Szeretnék egy fasza kis itthoni hálózatot kialakítani. Két fő gépet üzemelnék be, egy "routert" (hálózati szempontból kritikusabb dolgok, proxmox alatt pfsense, wireguard/openvpn, pihole, unbound) és egy szervert, amin minden mást futtatnék, illetve ezen játszadoznék, tanulnék.
Gondolom a router gépnek nem kell túl combosnak lennie, de nem akarom alulméretezni teljesítményben, így inkább megkérdezem az ebben okosabb fórumtagokat. Mit ajánlotok, milyen hardvereket nézegessek?Segítséget előre is köszönöm!
-
Véreshurka
senior tag
válasz
noorbertt #210 üzenetére
Még megpróbálhatod a Telenor topikban, hátha valaki tud segíteni.
Unifi topik ha arra lenne szükséged, illetve ha nem sikerül a bridge / passthrough mód, akkor az Otthoni hálózat és internet megosztás topikban megtudakolhatod a DMZ feltételeit, és hogy miket kell beállítani a routeren.
A switch-es kérdésedre: nálam a gen2-es 24 portos poe switch van. Hőmérsékletet nem ír ki (mivel fanless, gondolom unifi nem akarta, hogy hüledezzenek a népek
) de jól szellőző helyen van, van 1u hely alatta is és felette is, kézrátétellel nem érzem melegnek.
Hogy ON is legyek: ha már belaktad a pfsense-t az alapbeállításokkal, tudom ajánlani ezt az oldalt, onnan is főleg az alapbeállításokat. Sokat lehet tanulni a pfsense-ről és vlan-ozásról.
-
noorbertt
őstag
válasz
Véreshurka #209 üzenetére
Most hívtam őket és azt se tudták hogy hol vannak...
A megoldás amit kaptam a nőtől hogy tegyem a kártyát egy másik routerba.
Végülis csak 50 papír volt...:D[ Szerkesztve ]
-
noorbertt
őstag
Lenne egy kisse noob kerdesem
Van egy telenoros wifis routerem es azt allitottam be wan-nak.
Telenor routeren belul a pfsense ip cimet fixre allitottam es maradt a DHCP bekapocsolva.
A routeren belul kell valamit allitani? Sajnos bridge mod nincs a beallitasok kozott. DHCP maradjon bekapcsolva (csak a pfsense log rajta, wifi is off)? UPNP, esetleg DMZ-t be kellene allitani?Probalom a wireguard vpn-t eletrekelteni ugy hogy a szerveren menne a wireguard es a pfsense kiengedi a kapcsolatot, de sehogysem sikerul. Szerintem a telenor router miatt lehet valami.
-
noorbertt
őstag
válasz
Véreshurka #206 üzenetére
Szia,
Koszonom, kicsit mas a logikaja mint a gyari cuccoknak de sikerult egy alapot beloni. NEm sokara haladok tovabb
unifi switch nalad is tul meleg? neten olvasva ez normalis, de azert ez nem tetszik.. 8 60W
[ Szerkesztve ]
-
Véreshurka
senior tag
válasz
noorbertt #205 üzenetére
Szia!
Nálam unifi switch van. pfSense-en csinálj egy alap konfigot, pl. ez alapján (a csatornán egyébként vannak unifi-os cuccok is). Ha megvagy egy alap beállítással a pfsense-en, akkor simán a pfsense-re kötöd a unifi switchet, majd abba beledugod a unifi ap-t. Mielőtt azonban ezeket meglépnéd, kelleni fog neked egy unifi controller amit vagy egy cloud key-en futtatsz, vagy windows-on / linux-on / mac-en, esetleg nas-on. Ha összekötötted a rendszert, akkor a unifi controlleren keresztül adoptálod a switch-et és az ap-t a controllerbe, onnantól kezdve a unifi eszközöket a controllerben fogod tudni elérni / konfigurálni. Először javasolnám, hogy egy alap konfigon keresztül ismerkedj meg a rendszerrel, majd ha már kezded kiismerni akkor lehet vriálni is a dolgokat (vln-ozni pl.)
-
noorbertt
őstag
Sziasztok,
Egy kis segítség kellene.
Vettem egy UniFi Switch-et és egy unifi ap-t.
Így most úgy állok hogy van a pfsense és az unifi cuccok és 0 tapasztalattal nekifogok :)Pfsense részről miket kell beállítani hogy haladjak tovább az unifi beállításokhoz?
Az AP lógjon a UniFi Switch-en?
Ha több hálózatot szeretnék pl kamerának vagy okos kínai cuccoknak akkor a pfsense belül kell vlan és az unifi-n belül is? -
eladohardver
őstag
válasz
eladohardver #198 üzenetére
be kellett kapcsolni DNS Forwardert... Így már látom netfelől az oldalt, és be van állítva dlinkddns... Viszont DynamicDNS/Cloudflare el, vagy DNSOmatic se frissíti be.
Próbáltam ahogy leírta ezen az oldalon. Próbáltam ahogy leírta pfsense dynamic helyett @. Nemjó sehogy. Csak manuálisan tudom befrissíteni az IP-t cloudflare-es domain-nevemnél. -
noorbertt
őstag
Sziasztok,
Egy kis segitseget szeretnek kerni, remelem jo helyen vagyok
Mar egy ideje keszulok pfsense fele nyitni, de most mar nem tudom tovabb halogatni, mert megyek falura..
Elkepzeleseim es elvarasaim:
Mivel ott ar/ertek aranyban nem a legjobb azinternet, ezert arra gondoltam hogy a nem hasznalt korlatlan hypernetes kartyamat es a hozza vasarolt routert hasznalom majd mint fo internet plusz szerzek hozza akar meg egy hasonlo adottsagu korlatlan mobilnetet igy a ket ISP-t egyszerre hasznalnam fel.Azt tudom hogy letezik olyan opcio hogy a ket WAN-t be lehet allitani:
-Egymast kiegeszitik es ezzel gyorsabb lesz a sebesseg
-Ha az egyik kiesik akkor kapcsoljon at a masikra
DE az lehetseges hogy ezeket kombinaljam?opnsense vagy pfsense a jobb szerintetek? wireguard es zerotier is erdekel majd ha sikerul mindent beallitani
-
Dißnäëß
nagyúr
válasz
eladohardver #200 üzenetére
Értem mit mondasz. Nagyjából ezekre volt szükségem, köszönöm.