Új hozzászólás Aktív témák
-
Melorin
addikt
Még semmilyen tűzfalszabályt nem adtam meg.
Annyit már sikerült kibogoznom, hogy a 443 és a 80-as porton kommunikál a céges gép a külvilággal, viszont a belső hálón már ezerféle porton.
Ha esetleg mégsem működne, az lenne a tuti, ha a céges PC-felé IP cím alapján engedélyeznék mindent?
Pl: külső port 443,
belső port any,
destination: SEH PC IP címe
Még csak találgatózok, lehet, hogy ilyet nem is lehet[ Szerkesztve ]
-
Patice
nagyúr
Ha nem adtál meg olyan tűzfalszabályt ami korlátozná a VPN-t, akkor nem fog belenyúlni a pFSense.
Én is itthonról nyomom céges desktop gépről, VPN-nel csatlakozva a céges belső hálóhoz és semmilyen problémába nem ütköztem (a router gépemen nekem is pFsense fut, alap dolgokkal eddig, meg reklámblokkolóval). -
Melorin
addikt
Összeraktam egy másik mini PC-t amiben Intel NIC van, plusz bepattintottam egy PCI-E Intel kártyát, vettem egy nagy levegőt és elölről kezdtem mindent, pfSense-vel. Kipróbáltam úgy, hogy csak a PC-met csatlakoztattam rá, hogy megnézzem oszt-e IP-t, és igen, osztott. Aztán kikapcsoltam a DHCP-t, nehogy bekeverjen a jelenlegi hálózatomba valami, és rácsatlakoztattam a működő hálózatra. Semmit nem barmolt össze, el is érem a hálózaton a web interface-t, szóval úgy néz ki, hogy már jobban állok mint múltkor. Ismerkedek az interface-szel, beállítgatok alap dolgokat a youtube-os guide szerint, és ha majd úgy érzem minden OK, megpróbálom élesben is, WAN+LAN DHCP-n.
Egy kérdés: jelenleg home office-ban dolgozok, céges VPN-re kapcsolódva egy céges gépről. Vajon kelleni fog neki valami extra engedély a tűzfalon belül, hogy kommunikáljon a céggel? -
Melorin
addikt
válasz
Multibit #494 üzenetére
Nem akartam egyből az egész házban lelőni a netet, először csak az én szobámat szerettem volna tűzfal mögé dugni. Ezért router után kötöttem a tűzfalat, hogy addig a család tudja használni a netet. Mindent elvégeztem telepítéskor. A tűzfal WAN portja ment a router felé, a LAN port pedig a szobámba. A LAN port egy switchbe ment bele, arra vannak rácsatlakoztatva az eszközeim: PC, NAS, stb.
-
Multibit
nagyúr
Néhány kérdés:
- Nincs az opnsense router előtt más router?
- Telepítéskor INSTALLER userrel elvégeztél minden szükséges beállítást (beleértve a NIC-ek hozzárendelését WAN-nak, LAN-nak)?
- Mikor hálózatba illesztetted az opnsense eszközt, az internet szolgáltatód kábelét biztos, hogy a WAN-nak beállított portba dugtad?
- Lefuttattad kezdésként a opnsense által felkínált inicializáló varázslót?
- Ha PPPoE neted van, beállítottad a szolgáltatótól kapott PPPoE usert és a hozzá tartozó jelszót? -
Véreshurka
senior tag
Ha egy hálózaton belül vannak a gépek akkor el kellene érniük egymást, nem kell hozzá tűzfalszabály. WAN címet mi osztott neked? Van mégegy router a hálózaton? Mert nálam pl. a WAN címem a külső publikus címem (PPPoE passthrough van beállítva a T-től kapott modemen). Akkor lenne belső cím ha azt egy másik routertől kapnám. Ha viszont ez így van akkor szerintem valami gubanc lesz a másik routeren. opnSense-t sajnos nem ismerem, ott kicsit másképp vannak a menüpontok mint pfSense alatt. Amit javasolhatok addig amíg nem jön valaki aki jobbam ért hozzá:
- ha a szolgáltatói eszközöd NAT-ol (nem ugyanaz az IP címed a szolgáltatói routeren belül, mint a mondjuk a whatismyipaddress.com oldalon) és ezt nem is lehet átállíttatni, akkor a szolgáltatói eszközön adj az opnSense gépednek statikus IP címet MAC cím alapján,
- ezután én előről kezdeném a telepítését a dolognak: ellenőrizd a letöltött pf/opnsense file-ok sha256 értékét, hogy minden rendben volt, azt töltötted le amit akartál; ha minden stimmel akkor húzd újra a gépet azzal a rendszerrel amivel akarod, esetleg megpróbálkozhatsz újra a pfsense-el, ahhoz sokkal több leírás és youtube videó-t lehet megtalálni a neten (bár opnsense-t nem kerestem): pl. elindulhatnál ennek a videónak a mentén: [link] , itt teljesen az alapoktól kezdik el, és ha jól emlékszem egy teljesen alap rendszert hoznak létre. Hátha csak valamit neked nem sikerült elsőre jól beállítani. Kövesgd pontosan a lépéseket, szerintem akkor nem lesz gond azzal, hogy működjön a net-ed és a hálózatod. Ha pedig fog működni akkor már ismerős lesznek a dolgok és eldöntheted, hogy merre is akarsz továbblépni: maradnál pfsense-en, vagy átmennél opnsense-re.Ha esetleg nincs kedved újra nekiállni a telpítésnek (amit teljesen megértenék, nekem a mostani konfigomat 3-4 nap alatt tudtam elérni, sokszor nem működött ez, vagy az és a vége mindig egy újratelepítés és elejéről kezdés lett, érdemes azért ennek türelemmel nekiállni, főleg ha először csinálsz ilyet), akkor várj egy kicsit, hátha lesz valaki aki tud majd segíteni.
[ Szerkesztve ]
-
Melorin
addikt
válasz
Véreshurka #491 üzenetére
Megnéztem az ARP table-t és ott már látta ma NAS-t viszont elérni sajnos nem tudom azon az IP címen
Alapértelmezetten a hálózati eszközök nem érhetik el egymást? Adnom kéne valami tűzfalszabályt ehhez?
Az hogy van, hogy a LAN 192.168.1.1, a WAN DHCP-n 192.168.0.1 IP-t kapott, NAT = ON, mégis képes a WAN előtti router IP-t osztani a LAN oldali eszközöknek?WAN Intel NIC, LAN Realtec NIC
pfSense-el odáig sem jutottam, hogy elérjem a netet sajna.
[ Szerkesztve ]
-
Véreshurka
senior tag
Bár nekem nem lesz ötletem arra, hogy miért nem éred el a DHCP Leases felületed opnsense alatt, de ahhoz, hogy legalább tudd az ip címeket és esetleg a MACV címeket, hogy statikus IP-t tudj osztani a gépeknek ,keresd meg az ARP Table-t, ott benne lesz minden, remélhetőleg ezt megnyitni nem lesz gond. Bár régi fórumbejegyzést találtam csak, de aszerint itt kellene lennie: Interfaces/Diagnostics/ARP Table. A másik kérdésedre hátha tud majd valaki más mondani valamit.
Alapból a pfSense-el nem próbálkoztál? Milyen hardware-re tetted fel? Még esetleg arra tudnék gondolni, hogy realtek-es NIC-ed van a HW-en és az okoz gondot, elvileg nem szereti ezeket a NIC-eket a freebsd.
-
Melorin
addikt
Sziasztok!
Elkezdtem ismerkedni házilag barkácsolt tűzfalakkal. Végigpróbáltam egy csomó opensource tűzfalat, amik közül egyikkel sem tudtam elérni, hogy betöltődjenek a weboldalak vagy legalább a DHCP működjön LAN-on, kivéve eggyel, az OPNsense-vel.
Kb nulla ismerettel csinálgatom a dolgokat, nagyon nehéz és már feladni készülök, de hátha tudtok segíteni.
Az első problémám az, hogy nem látom, hogy milyen eszközöknek van IP kiosztva. Amikor rákattintok a Services/DHCP/Leases menüre, "A webhely nem érhető el" fogad. Minden más menüpont működik. Így pl nem tudom elérni a NAS-t mert nem tudom mi az IP címe.
Van valami ötletetek erre? -
Multibit
nagyúr
válasz
Véreshurka #487 üzenetére
Igen, minden pöcc-röff volt
Már fel is raktam a Sensei-t. Kíváncsi vagyok, hogy 8250U + 32GB RAM mellett is leülteti-e a routert? -
Véreshurka
senior tag
Én így használom, nincs gond (airvpn + dnsexit ddns, de ennek szerintem nem kellene számítania). Úgyis gond van ha felveszed a ddns címedet a DNS Resolver -> Host Overrides alatt? pl. traders.ddnscímem.hu-t állítod be a nas-ra, így:
Host: traders
Parrent domain of host: ddnscímem.hu
IP to return to host: a NAS belső IP címe
Description: amit akarszEsetleg még tudom ajánlani ezt az oldalt: [link] , én ez alapján lőttem be elég sok mindent. Nyálazd át, esetleg hasonlítsd össze a saját konfigoddal, hogy hol lehet az eltérés.
A kolléga nem otthonra VPN-ezik be, hanem VPN szolgáltatón kersztül éri el a nagyvilágot ha jól vettem ki a hsz-ből és ezért? nem éri el a nas-t ddns-en keresztül.
-
traders
tag
Sziasztok!
Olyan kérdésem lenne hogy használ valaki pfsense-n futó (Open)VPN-t (NordVPN, ExpressVPN, stb) és mellé NAS-t (vagy olyan eszközt amit utána távolról ér el)?
Azért kérdezem mert az tök jó hogy mindent beállítottam és minden működik, de ugye ha aktív a VPN (és miért ne lenne folyamatosan az) akkor megszűnik a ddns elérése a NAS-nak érhető okokból. Gondoltam, mi sem egyszerűbb ennél, írok rá szabályokat hogy a a ddns kivül essen a VPN-en, de így meg ugye az összes NAS forgalom a VPN-en kívül esik. A kérdésem az lenne végső soron hogy erre van-e olyan megoldás hogy csak akkor essen a VPN-en kívülre a forgalom ha ddns-en keresztül érkezik?
Előre is köszönöm ha valakinek van erre valami megoldása!
-
Multibit
nagyúr
Túl vagyok egy sikeres migráláson. Egy belakott opnsense alatt cseréltem vasat. Nagyon simán ment a dolog. Ez az igazi előnye annak, ha nem NVRAM-ban van a konfig, hanem egy fájlban a háttértáron
-
Multibit
nagyúr
Megnéztem én is a p2p letöltés pingre gyakorolt hatását. Nálam Digi 500 FTTB van. 14-15 MB/s sebességgel jött két remux és közben pingeltem. Eredmény: [kép]
Néztem egy darabig, de nem tapasztaltam kiugró értékeket és time out-ot sem.
Kíváncsi vagyok, mit mond a Digi (pingre nincs garantált érték, mint a le-, feltöltési sebességre).[ Szerkesztve ]
-
asdexed
tag
válasz
Véreshurka #480 üzenetére
Találtam közben hasonló problémákkal infókat.
Arra nem gondoltam korábban, hogy P2P kapcsolatok (még akkor is ha az általuk használt sávszélesség kb. 0) miatt jöhet ez elő, viszont most leteszteltem azt, hogy Windows PC-re rákötöm az ONT-t, beloggolok és elindítok egy Ubuntu letöltést torrenten. Láss csodát, ugyan az a probléma előjött így is, tehát valószínűleg kizárhatom a pfSense problémát. (Elindítottam a pinget google felé, majd elindítottam a letöltést, és nem folyamatosan, de ugyan így x pingenként felment rendesen. [kép] )Megírtam a Diginek a kérdést, hogy ez mi.
Köszönöm szépen a hozzászólásokat, segítséget!
[ Szerkesztve ]
-
Véreshurka
senior tag
Bár tudom, hogy nem vigasz ilyenkor, de az ubiquiti topikban is van akinek problémája van a DIGI nettel, ott is megszakad a net egy idő után ha EdgeRouter-rel csatlakozik fel a netre. Ha jól olvastam a topikot még nem lett rá megoldás. Digis- topikban nmég ráérdeklődhetsz, hátha.
[ Szerkesztve ]
-
asdexed
tag
válasz
Cirbolya_sen #473 üzenetére
Csak a pfSense tűzfalon van ez a gond, Windows és OpenWRT is megfelelően működik ugyan ezzel a kapcsolattal.
Biztos, hogy a pfSense-en nem jó valami, de nem tudok rájönni. Mindent letiltottam, ami nem gyári alap rajta és akkor is előjön.
[ Szerkesztve ]
-
asdexed
tag
Sziasztok!
pfSense 2.4.5 p1 tűzfalon beállítottam PPPoE-vel a digi kapcsolatot, ami tök jól működik kb. 20 percig. A kapcsolat létrehozása után rendszerint 22 perc után minden 6-7. ping 200ms fölé megy, de a többi 15ms alatt. Ez egyre nagyobb lesz, ahogy az idő telik. A végén már egymás után 500+ms ping, de így is van közte olyan, ami 15ms alatt van.
A telepített összes szolgáltatást letiltottam (pfblockerNG, suricata, squid, openvpn (csak site-to-site)), de ugyan ez a hiba áll fenn ekkor is. Ha kihagyom a tűzfalat és PC-ről kapcsolódok, nincs ilyen probléma.
MTU-t beállítottam 1492-re, próbáltam letiltani az összes létező tömörítést, ami alapból auto-n van, de nem segített. Egyszerűen nem tudok rájönni mi lehet.
Ha re-connectelem a PPPoE kapcsolatot, akkor utána jó megint kb. 20 percig.
Akinek van ezzel kapcsolatban tapasztalata, vagy esetleg bármilyen tippje van, hogy mitől lehet ez, írjatok!
Köszi!
Ui: UPC DOCSIS van mellette WAN1 porton (nem pppoe), azzal semmi ilyen probléma nincs már évek óta.
Ui2: Átjárónak egy tök ismeretlen privát címet ad meg (10.0.0.1), de ettől függetlenül működik.
Itt egy példa (ping kimenet): https://pastebin.com/raw/T1rVZgCd -
Multibit
nagyúr
Ahogy írtam, nagyon sok múlik azon, hogy mit futtatsz. Ha csak alapfelhasználás a cél, akkor nem lesz gondod a teljesítménnyel. Nálam azért adódott ilyen memória használat:
Kíváncsiságból felraktam a Sensei-t is (ez csak opnsense-t használókat érint), de csak rövid ideig volt használatban nálam. Hamar kiderült, hogy a J4105 CPU + 8GB RAM nagyon kevés neki. Egyszer-kétszer a rendszert is kiakasztotta, ilyenkor újra kellett indítani az opnsense-t
-
Patice
nagyúr
Én is ilyen vasat szereztem be nemrég, nekem is DIGI optika megy vele PPPoE kapcsolattal, csak pFsense-el. Eddig gyorsabb, mint egy Asus RT-AC68U.
Nálam a sima NAT-olás, DHCP mellett eddig csak pFblockerNG megy rajta deklámblokkolónak, tovább még nem volt időm terhelni egyéb csomagokkal, pár %-on ketyeg csak a CPU, amikor megy a letöltés nagyon, akkor megy csak 20-30% körül.
4GB-ból pár száz MB foglalt csak, 1 GB-ot még sosem lépte át. -
Multibit
nagyúr
A netes urban legend szerint Realtek=sz@r, Intel=királyság - csak ezért javasoltam
Az alaplapi NIC-re tényleg nem szoktak nagy gondot fordítani a gyártók.
A VPN szerver egy olyan alkalmazás, ami meg tudja terhelni a vasat (pl. OpenVPN). A potenciálisan veszélyes helyek, tartalmak kiszűrése azért hasznos funkció, és ez is kívánja az izmos hardvert.
Maga a NAT-olás sajnos csak egy magon történik (FreeBSD sajátosság). De az alkalmazások (egy-két kivételtől eltekintve, pl. OpenVPN) azért kihasználják a több magos CPU-t.[ Szerkesztve ]
-
válasz
Multibit #462 üzenetére
Kösz.
Az az egy port minusz nem nagyon zavar, eredeti elképzelés egy két portos intel volt, de ezt ugyanannyiért kaptam meg, így lett 4 portos. Sok minden nem fog rajta futni, csak a jelenlegi MI3G már kezdett megfeküdni, mikor két felnőtt dolgozott online és aztán jött a kölök Teams-es oktatása. Konkrétan nekem csak egy jól működő router kell, minimális port továbbítás, DDNS szolgáltatás és esetleg VPN. Ez egy openwrt-s router is megoldja, csak ez a cucc nem volt dága és kiváncsi is vagyok egy komolyabb rendszerre. Esetleg reklámszűrő és szülői felügyelet (bizonyos portok időszakosan ne kapjanak netet, de helyi háló legyen). -
Multibit
nagyúr
Használd az Intel LAN kártyát WAN portnak is! Hogy mit bír a vas, azt nem tudom.
Amúgy az elérhető sebesség nem csak hw függvénye. Az is számít, hogy mit futtat az opnsense, azaz, mivel van terhelve az alapfeladatain kívül. Pl. egy Suricata elég izzasztó tud lenni. A Sensei-ről nem is szólva[ Szerkesztve ]
-
Szisztok!
Új vagyok ebben a témában.
Összeraktam egy kis konfigot amire OPNSenese van telepítve, de remélem tudtok segíteni.
Az első kérdéseim a hw-ra vonatkoznak:
Jól gondolom, hogy gigiás optikai net mellé elég egy HP T620 plus (AMD GX 420CA 4x2 Ghz, 4 GB DDR3)?
A gépnek van egy alap realtek 1 GB lanja és van venne egy 4 portos Intel I340-T4 hálókártya.
Jelenleg a WAN az alaplapi csatoló és az intel csatlakozói LAN-ra vannak konfigurálva. Jobb lenne elfelejteni az alaplapit és mindent az intelre bízni, vagy mindegy?
Jelenleg a mostani hálózatomra van kötve a WAN DHCP, de később ez a doboz lenne a helyi hálózat lelke és bírnia kéne a DIGI PPoPe csatlakozását is.
A válaszokat előre is köszönöm. -
Patice
nagyúr
válasz
Véreshurka #458 üzenetére
Fix IP nem játszik?
Vagy nem ennyire állandóak a VM-ek? -
Véreshurka
senior tag
Sziasztok!
Csináltam pár virtuális gépet amik dhcp-n kapják az ip címüket. Viszont azt vettem észre, hogy hiába törlöm a Status/DHCP Leases alatt a már lejárt címeket, megy sorban a kiosztásokkal. .100 - .200 között vannak a dhcp-n kiosztható címek. A
Show all configured leases
gombbal kilistáztattam az összes eddig kiosztott címet, majd töröltem a már lejárt címeket, de még így is folyamatosan halad a címkiosztás. Amikor észrevettem akkor jártam .122-nél, törlés után mégis a .123-al folytatta. Valamit én csinálok rosszul? Vagy kellene még valamit csinálnom, hogy újra elölről kezdje a kiosztásokat?Előre is köszi!
-
ƬΛЯΛ
senior tag
Áldott, békés karácsonyt kívánok minden kedves topiklakónak!
-
-
Multibit
nagyúr
válasz
Véreshurka #454 üzenetére
Magában az OPNsense NUT pluginban nem sok dolog állítható GUI-ról. Én ezeket állítottam be:
Service mode: standalone
UPS name: ups (ez fontos a Synology NAS-ok miatt)
UPS Type: USBHIDde nem tudom, hogy mi a helyzet a hálózaton lógó gépekkel
Nálam ez két Synology NAS jelenleg. Ehhez innen vettem segítséget.[ Szerkesztve ]
-
Véreshurka
senior tag
válasz
Multibit #453 üzenetére
Leírásból indultál ki, vagy saját kútfőből? Ha leírásból, tudnál dobni egy linket? Bár nem ugyanaz a rendszer, de szerintem a freebsd alap miatt fel tudnám használni. Vagy ha saját kútfőből, akkor nem lenne túl nagy kérés egy kis leírást kérni?
Nálam faszán felismeri az UPS-t, minden frankó, de nem tudom, hogy mi a helyzet a hálózaton lógó gépekkel. Ennyi van beállítva a nut driverben:
Remote IP address or hostname:
a.UPS.LAN.IP.címe
Extra Arguments to driver:
ignorelb
override.battery.charge.warning = 25
override.battery.charge.low = 20
Additional configuration lines for upsd.users:
[remoteuser]
password = mypassword
upsmon slaveA slave config-ot látom ugyan az upsd.users alatt, de még lusta voltam megnézni a nut dokumentációt, hogy mi is az pontosan. Hátha össze lehetne ollózni a beállításokat
-
Multibit
nagyúr
válasz
Véreshurka #452 üzenetére
Használom, de OPNsense alatt. Két NAS lóg rajta slave módban, úgy működik, ahogy kell
-
Véreshurka
senior tag
Sziasztok!
Van aki használja esetleg a nut csomagot pfsense alatt? Ha igen, ez alapján állítottam be: [link] . Ezek a beállítások azt jelentik, hogy így kezelni tudja az UPS a hálózatra és a UPS-re kötött eszközöket és ha bármi van akkor azokat leállítja?
Előre is köszi!
-
Véreshurka
senior tag
Kössz mindenkinek!
#448 HummeRC: Virtualizálni tervezek, de azt inkább próbálgatásnak tekinteném, mi mit okoz stb... Most raktam össze egy itthoni amolyan játszós szervert proxmox-al, abban tervezek majd egy külön hálózatot létrehozni pár klienssel ahol lehet játszadozni mindennel IS
Egyelőre ismerkedem vele...
#449 Patic: Az elején én is nagyon benne voltam, sok különböző beálítást követtem mire eljutottam a mostani állapothoz, akkor egész pengének éreztem magam az alapokhoz, még a pfblockerNG is jól ment, de most azt nem használom, jól el is felejtettem még azt is amit tudtam, pedig tényleg jól ment.
#450 inf3rn: A txt fájl jó ötlet! Linux-al ismerkedem mostanában, ahhoz elég sokat készítek is főleg ugye a parancssorhoz. Amikor a router-t belőttem valamiért erről el is feledkeztem és csak most jövök rá milyen sokat is felejtek elég rövid idő alatt
. A jó beállításoknak hála
De azt hiszem ezt el is kezdem pfsense-nél is... Bash / script még egyáltalán nem ismerős, nem is próbálkoztam még vele, de lassan majd rászánom magam, mert hasznosnak tűnik nem csak itt, hanem linux alatt is.
Még ugyan ott lennének a hivatalos doksik is az oldalukon, de azok néha olyan szárazak, hogy sokszor elmegy a kedvem az olvasásától
-
inf3rno
nagyúr
válasz
Véreshurka #447 üzenetére
Nekem előfordult már egy párszor többféle alkalmazásnál, parancssornál, stb. Én mindenről írok egy kis txt-t, hogy hogyan kell megoldani, aztán azt olvasom vissza, ha nem jut eszembe. Esetleg továbbmehetsz annyival, hogyha általános problémád van, akkor írsz rá egy bash fájlt, vagy másfajta scriptet.
-
Patice
nagyúr
válasz
Véreshurka #447 üzenetére
Párszor újraraktam az elején így az alapok nekem megmaradtak, persze idővel halványul az emlék, de mindig van valami, ami miatt belépek néha és így valamennyire gyakorlom a kezelését.
PfBlockerNG-ben kellett párszor whitelist-re raknom pár domain-t, hogy elérhetők legyenek a családban használt szolgáltatások. -
válasz
Véreshurka #447 üzenetére
Pl virtuális gépen? Nekem bevált az ingyenes VirtualBox tesztelni.
-
Véreshurka
senior tag
Tippeket szeretnék kérni:
Aki mondjuk csak otthon használ pfsense-t (igazából bármilyen software-t, a lényeg, hogy nem gyakran találkozik vele), hogyan tartja karban azt a tudást amit már megszerzett? Egy jó fél éve megy hibátlanul a router, max annyit kell tennem, hogy pár portot fel kell vennem néha egy aliasban, de ezen kívül nagyon eseménytelen a helyzet. A hétvégén kellett volna pl. portot nyitnom és totál elfelejtettem, hogy ezt hogyan is kell megcsinálni pedig tudtam. Az a baj, hogyha sokáig nem kell hozzányúlni valamihez akkor az addig megszerzett tudás (legalábbis nálam) kezd szépen lassan feledésbe merülni. Erre van valakinek valamilyen jó tippje?
Előre is köszi!
-
Multibit
nagyúr
válasz
Véreshurka #445 üzenetére
Nekem is tetszenek ezek a Protectli dobozok. Érdekes, hogy az izmosabb FW6 szériába az ősrégi 82583V NIC került, az olcsóbb FW4 meg i210-AT-t kapott. Ennyire nem kéne spórolni
-
Véreshurka
senior tag
válasz
Multibit #444 üzenetére
És tényleg. Kössz, hogy szóltál!
Pedig direkt figyelem az oldalukat. Nem verték nagydobra. Azt hittem volna, hogy több helyen fogják hirdetni, szerintem megnőne a kereslet. Megnéztem a protectli oldalát is, ott sincs róla szó, pedig szerintem tuti összedolgoznak. Most a cyber monday alatt egy hirtelen pillanatra elgondolkodtam, hogy vennék egy Unifi Dream Machine Pro-t, de ezek után már végképp leteszek róla. Jövőre szerintem le is cserélem a Qotom-omat egy Protectli-re, az idénre már kiköltekeztem. Esetleg lelevelezem velük, hogy ha elküldöm hozzájuk akkor nem flashelnének-e a Qotom-ra is egy Coreboot + ME_cleaner kombót
Nem lenne rossz, és szerintem nem lehet nagy különbség a kettő eszköz között, szerintem ugyanazokból az alapokból épül fel egyik is mint a másik.
-
Multibit
nagyúr
válasz
Véreshurka #394 üzenetére
válaszukban írták, hogy nincs kipucolva az IME a Protectli-ken, de elgondolkodnak róla, hogy teszteljék és esetlegesen a későbbiekben ezzel a lehetőséggel is bővítsék a kínálatukat
Ahogy nézem a honlapukat, most már lehet kérni (plusz 20 eruróért). -
Véreshurka
senior tag
válasz
jameshun02 #442 üzenetére
Mármint egy másik interfészen lévő belső hálózaton, esetleg VLAN-on? Szerintem ezt is a tűzfalon kellene megoldani. Nekem olyan szabály van felvéve az egyes VLAN-okhoz tartozóan, hogy csak bizonyos portokat engedjen a belső hálón is. Ehhez csináltam két Alias-t: az egyik alias a belső hálózataimat tartalmazza a másikban pedig a különböző portokat defininálom, majd erre a két aliasra csináltam egy tűzfalszabályt:
Protocol: IPv4 TCP/UDP
Source: amelyik interface-en létre szeretnéd hozni (pl. LAN)
Source Port: any
Destination: az az alias ami a belső hálózatokat tartja nyílván
Destination Port:az az alias ami a portszámokat tartja nyílván
Ha szeretnéd Log-olni akkor bekapcsolod
Nevezd el a szabályt
Save & ApplyUgyanilyen metódussal van pl. megoldva, hogy milyen portokat engedek be.
[ Szerkesztve ]
-
jameshun02
csendes tag
Sziasztok, megint falnak ütköztem..
Most olyan problémám van, hogy van egy médiaszerver azon DLNA megosztás megy, viszont ezt szeretném látni a másik ip kiosztáson is. Ehhez keresem a beállítást, de sehol nem találok róla rendesen infót. -
BeeNiTTo
tag
Speedtest szerint összaadja jelenleg is ,azzal nincs gondom meg letöltés alatt is megvan
-
Véreshurka
senior tag
válasz
BeeNiTTo #439 üzenetére
Szerintem attól, hogy tier1 van megadva mindkét wan-hoz az nem adja össze a sebességet. Nem vagyok elmélyedve a témában, biztos lesz valaki aki jobban ért hozzá. Szerintem ha load balancing van beállítva akkor a csoporton belül lévő kapcsolatok közül mindig a legjobb kapcsolatot preferálja pfsense, ezért is váltakozik gyakran a címed. Ezt szerintem ping-el ellenőrzi a háttérben, és ha az egyiken kisebb a latency akkor azt a kapcsolatot fogja előnyben részesíteni. De ha valamit nem jól írok, remélem kijavít valaki.
Nálam is van wan group, és sajnos én is sokszor belefutok abba amit írtál...
-
BeeNiTTo
tag
Megprobálom akkor majd, most tier 1 van mindenhez igy eddig összeadta a sebességet
-
Véreshurka
senior tag
válasz
BeeNiTTo #437 üzenetére
Azt nem tudom, hogy lehet-e olyat, hogy összeadódjon a két sebesség, erre esetleg más majd tud mondani valamit.
A fail over nagyjából az amit mondasz. A lényeg, hogy ha valamiért kiesne a tier1-es wan kapcsolatod akkor a helyét átveszi a tier2-es kapcsolat gondolom addig amíg a tier1-es kapcsolat helyre nem áll.
-
BeeNiTTo
tag
Az volt a cél hogy a 2 modem sebessége összeadodjon, de igymeg eléggé idegesitő folyamatosan bejelentkezni ugyhogy megprobálom
Fail over ugye az amikor csak besegit a második ha gondlenne???
-
Véreshurka
senior tag
válasz
BeeNiTTo #435 üzenetére
És kell neked a teljes load balance, vagy csak fail over-t akartál volna beállítani? A gond az, hogy változik időközben az IP-d (átment a forgalmad a másik wan-ra) és ilyenkor az oldal (főleg ahol be kell lépni) újra kéri az adataidat. Ha nem fontos a load balance, szerintem maradj a fail over-nél: a gateway group-ban azt a kapcsolatot állítsd be tier1-re amit elsődlegesen szeretnél használni, a másikat tier2-re.
[ Szerkesztve ]
-
BeeNiTTo
tag
Sziasztok egy kiss segitséget szertenék kérni tölletek
Most ismerkedem a pfsense-vel eddig nagyon tetszik de van egy érdekes jelenségTeljesen random oldalaknál jön elő főleg torrent oldalakon de nem mindegyiken
Tehát: bejelentkezem az oldalra sikeresen, majd ha bármilyen más lapra mennék pl letöltések fűl vagy akár csak a kövi oldalra akkor bejön megint a login bejelentkezem majd bejön amire előzöleg mentem ha megint a következő oldalra lépek akkor megint a login jön beCsak akkor áll fent a probléma ha pfsense s hálozaton vagyok
Mobilneten minden megy rendben
Milyen beállítás vagy annak hiánya okozhat ilyet???
Semmi extrát nem állitottam be, ami nem alap az annyi hogy 2wan loadbalncing vanUi. Pl most a hsz küldésekor is kidobott a ph
[ Szerkesztve ]
-
ƬΛЯΛ
senior tag
válasz
jameshun02 #430 üzenetére
Alapvetően egy sima előfizetésnél dinamikus IP-d van, ami azt jelenti, hogy adott időközönként változik a publikus IP címed. Erre külön lehet kérni a szolgáltatót, hogy az adott előfizetéshez állítson statikus azaz fix IP címet, innentől nem fog változni. Egyébként mint ahogy írták már, szerintem is a DDNS a legegyszerűbb és leggyorsabb megoldás a problémádra
A no-ip még kompatibilis is a pfSense-zel, így folyamatosan tudja figyelni a publikus IP címed, így kvázi bármikor változik, a ddns címed az aktuális IP-dre fog mutatni
-
Multibit
nagyúr
válasz
jameshun02 #430 üzenetére
viszont mikor újra csatlakozik, mindig más ip címet kap a szolgáltatótól
PPPoE esetén ez normális. -
jameshun02
csendes tag
válasz
Véreshurka #431 üzenetére
Bakker erre nem is gondoltam, meg is csináltam gyorsan. Köszönöm a segítséget!
-
Véreshurka
senior tag
válasz
jameshun02 #430 üzenetére
Ez nálam is így van. Nem tudom, hogy szolgáltató függő-e, vagy attól függ ahogyan a kapcsolat felépül. Miért nem használsz ddns-t? Akkor nem lenne ezzel gond, pfsense-ben tudnád frissíteni is. Megnézed miket támogat (elég sokat) és azok közül választasz egyet.
-
jameshun02
csendes tag
válasz
Véreshurka #429 üzenetére
Sikerült újracsatlakozni, de viszont mikor újra csatlakozik, mindig más ip címet kap a szolgáltatótól. Az asus routernél mindig fix volt az ip cím és így az OpenVPN nem tud csatlakozni.
-
Véreshurka
senior tag
válasz
jameshun02 #428 üzenetére
Szolgáltatót nem kérdezted, hogy szerintük mi lehet a gond? Nálam most volt egy olyan (igaz csak VDSL, de ugyan úgy pppoe), hogy rendszeresen megszakadt a kapcsolatom. Mint kiderült csak kábelt kellett cserélni (ami a modembe megy, RJ11 talán)...
-
jameshun02
csendes tag
Sziasztok!
Egy olyan problémám lenne, hogy a pfsense eldobja a pppoe kapcsolatot pár másodperc után. A szolgáltató a Digi, proxmox-on fut virtuálisan pfsense. Köszönöm előre is a segítséget!
-
Patice
nagyúr
válasz
Véreshurka #425 üzenetére
Nem javult meg, mert visszaáltam WAN-LAN felállásra. Meg mert a család rinyált, hogy nem megy semmi wifin.
Lehet amúgy csak az kavart be, hogy először nem a WAN kapcsolatot állítottam be. Amennyire sikerült felfogni ilyenkor automatikusan létrehoz egy szabályt amivel lesz net, csak nem mindegy, hogy ezek a szabályok milyen sorrendben szerepelnek a tűzfal listáján.
Meg pluszban terhelte a procit 5-10%-kal, ezt meg inkább a pfBlockerNG-nek dedikálom.
Meg rendeltem egy Netgear switchet. -
Geby
senior tag
válasz
Véreshurka #425 üzenetére
Sziasztok!
Még csak barátkozok a pfSense-zel, de nekem sikerült összehozzam a bridgelt lan interfacet 3 porton egy Qotom 4 portos Aliexpresszről rendelt cuccal. Eddig nincs vele gondom, szóval gyanítom nem lehetetlen. Pontosan nem emlékszem melyik leírás alapján csináltam, de ha kéne segítség akkor összeszedem, hogy mit kattintottam össze.Update, szerintem ez alapján lőttem össze: [link]
[ Szerkesztve ]
-
Véreshurka
senior tag
Nem javult meg? Nálam is volt ilyen még régebben, főleg az androidos eszközökön. Jelezte, hogy nincs internet de csatlakozni tudott. Itt ƬΛЯΛ pl. nem ajánlotta a switch létrehozását, illetve ezután mintha én is olvastam volna, hogy nem igazán ajánlott a switch. Ha nagyon kell a switch 10 ezer körül már vannak managelhető 5 / 8 portos switchek (pl. netgear, tp-link).
-
Patice
nagyúr
Sziasztok!
Egy kis problémám adódott a pfSense konfigommal.
Tegnap éjszaka bridge-eltem a maradék LAN portokat, hogy switch-nek is használhassam a pfSense dobozomat.
Ez sikerült is, de valamiért minden kliens az itthoni hálózaton azt "mondja", hogy nincs internet, de a net mégis működik.
Ez valamilyen tűzfal szabály miatt van, vagy szabály hiánya miatt? -
válasz
Véreshurka #414 üzenetére
Köszönöm, lépésről lépésre követve a leírásod, sikerült. És igen, jó volt a megérzésed a hibámról. Köszönöm.
-
inf3rno
nagyúr
Olyat lehet szerintetek, hogy fokozatos átmenet pfsense-re? Már úgy értem ezt, hogy először csak a két vezetékes gépet tenném rá, és utána ha úgy néz ki, hogy minden működik, akkor kapcsolnám be a NAT-olást, és tenném a szolgáltatói eszközt bridge mode-ba.
-
R̲e̲m̲
senior tag
válasz
Véreshurka #419 üzenetére
Köszönöm, ez elég hasznos infócsomag
-
R̲e̲m̲
senior tag
köszben a LACP-t megoldottam a másik gépen is
-
R̲e̲m̲
senior tag
Estét!
megérkezett a switch, neki is ugrottam
első pofáraesés az volt, hogy nem fértem hozzá a management felülethez, mert sajnos default másik subneten lakik. én 1.xxx, ő meg 2.10 - ezt gyorsan orvosoltam egy usb-s hálókártyával, ne kelljen már mindig átirogatni
sikerült hozzáférni, a lagg-ot meg is csináltam pfsense oldalrol, megy szépen
a másik szervert még nem sikerült ráakasztani, azon win s2019 van, switch oldalról a trunk kész, win oldalrol is elvileg (márha a teaming az amit keresek)
a másik amivel felakadtam a vlan.
ebben szeretnék egy kis segítséget kérni, hogy hogy is fussak neki, mit hol kell létrehozni - beállítani
elsősorban a management cuccokat szeretném másik vlan alá dugni
előre is köszi -
válasz
Véreshurka #415 üzenetére
Köszönöm. Hétfőn jelentkezem.
-
Véreshurka
senior tag
válasz
Véreshurka #414 üzenetére
Azt elfelejtettem, hogy a szabályok sorrendje is számít: tedd ezt a szabályt legfelülre. Save + Apply ne maradjon el!
-
Véreshurka
senior tag
válasz
Véreshurka #412 üzenetére
Volt egy ilyen szabályom, így nézett ki:
Alias-al szerintem jól meg lehet határozni, hogy milyen eszközöket szeretnél blokkolni:
Firewall/Aliases/IP:
+Add gomb megnyomása
Name: Elnevezed az Alias-t (pl. Blokkolt_eszkozok)
Description: Ide azt írsz amit szeretnél, hogy a későbbiekben be tudd azonosítani az alias-t
Type: Host(s)
+Add Host gomb megnyomása
Az Address mezőbe beírod a gép IP címét (192.168.x.x), a Description mezőbe beírod mi ez a gép
Save, majd Apply ha kell.Maga a tűzfalszabály:
Firewall/Rules/Az Interface amin létre szeretnéd hozni (pl. LAN):
Action: Reject vagy Block
Interface: Az Interface amin létre szeretnéd hozni (pl. LAN)
Address Family: IPv4 (feltételezve, hogy nem használsz IPv6-ot)
Protocol: Any
Source: Az 1. legördülő menüben kiválasztod: Single host or alias, a jobbra mellette levő mezőbe elkezded begépelni az előbb létrehozott alias-od nevét, vagy csak simán megadod a gép IP címét
Destination: bejelölöd, hogy Invert match, majd vagy kiválasztod azt a hálózatot ahonnan el akarod érni (ha 2 interfaced van ami WAN és LAN akkor a LAN NET kell neked), vagy létrehozol egy új alias-t ahol a helyi hálózatodat, vagy hálózataidat definiálod (ugyanúgy az IP rész kell neked mint az előbb csak Type Network(s) lesz, amikor pedig hozzáadsz akkor így adod meg pl.: 192.168.x.x/24 - persze a saját hálózatodhoz igazítva)
Log: ha szeretnéd logolni bejelölöd
Description: Adsz neki egy egy leírást, hogy a későbbiekben is tudd mi ez a szabály
Save majd ApplyEzután ha minden okés akkor már blokkolva is lesz a gép.
Ahogy olvasom a hozzászólásod, szerintem ott csúszhatott el a dolog, hogy te a WAN interface-en akartad blokkolni az eszközt, miközben azon az Interface-en kell blokkolnod ahonnan pl az IP-t kapja (pl. LAN, avgy ami nálad van).
[ Szerkesztve ]
-
válasz
Véreshurka #412 üzenetére
Szia. Köszönöm. Én is így tudtam, befelé nincs is semmi gond. Kifelé viszont mindenkit enged. Legközelebb hétfőn leszek a közelében, akkor csinálok képernyőképeket. Csak gondoltam addig is agyalok a kérdésen, esetleg megnézem, más hogyan oldja meg a kérdést.
-
Sziasztok.
Ti milyen ingyenes, hatékony, de nem pilótavizsgás tűzfalat használtok pfsense alá?
Az alap firewall/rules-nél hiába állítom be, hogy a fixip-vel rendelkező kliensgép ne menjen netre (wan net blokkolása, ip cím számára), csak a helyi hálót lássa, mindenképpen kimegy. Így viszont a helyi kamerarendszert felügyelő gépen nem a kamerák mennek, hanem pornó.
Valami ötlet valakinek? -
inf3rno
nagyúr
Én bhyve-ot próbálom ki majd itthonra, az egyiken egy FreeBSD lesz, a másikon meg egy pfsense, aztán meglátjuk ez félig router megoldás mennyire válik be. Rendeltem két Mellanox kártyát Kínából, amint megjöttek indul a projekt. Egyelőre nem teljesen világos, hogy hogyan fogom elérni a szerver részt a pfsense-en keresztül, gondolom valahogy a bhyve-ban be lehet állítani majd, hogy lássák egymást.
[ Szerkesztve ]
-
haddent
addikt
Szerintem semmivel nem bonyolultabb, sőt. Melóban mi hyperv + esxi használunk, hát előbbi egy ideggörcsrángás a 26 felugrós windowsos ablakos guis hányással, amit nem lehet konfigurálni, mert majd ő jobban tudja bezony, utóbbi meg ugyanez csak megspékelve webes elavult felülettel. A kvm, ahogy én használom, legalább őszintén cli + vim
Egy rövid példa kedvcsinálónak saját logoutból, ha érdekel: https://logout.hu/cikk/diy_x86_gateway_v2/elokeszuletek.html
[ Szerkesztve ]
-
haddent
addikt
Abszolut semmi. Azt tudom (és igen, van elfogultság a hangomban, de megalapozottan. nem fanboyság, oda húzok ami jó nekem, ennyi
), hogy a kvm/qemu -nál többet fog enni bármelyik másik virtualizáció. Alapvetően manapság már nem kellene, hogy egyik virtualizációtól is számottevően sokkal sokkal több erőforrást egyen bármi. Amire figyelj, hogy hardveres hálókártya támogatás megmaradjon, különben nem fair összehasonlítás.
Én egyébként azt hiszem 1-2GB rammal meg 1 cpu -val használtam virtualizálva is, vpn is ment meg minden egyéb hibátlanul. Egyedül az IPS szabályok aktiválásával vált szükségessé 3 magra emelni, 4 már nem kellettMásik kérdésedről szintén fogalmam sincs sajnos. KVM -nél biztosan átadhatsz bármit is natívan, konkrétan odáig lemenve, hogy 1-1 teljes pci lane -t odadobhatsz amit bootkor a host OS leválaszt, ellök magától és fogalma sincs róla, azon felül, hogy a guest tudja hol keresse. Nem látom akadályát és elég vicces lenne, ha a nagy fizetős menő esxi meg társai ezt ne tudnák, szerintem.
-
R̲e̲m̲
senior tag
van esetleg tapasztalatod abban, hogy pfsense esxi alatt mennyire erőforrásigényes?
Alapból tudom, hogy elvegetál egy magon, de mi a helyzet egy vpn-el? a titkosítás is menni fog egy magon? Illetve esxi alatt mondjuk a torrentekkel foglalkozó guest os egy nagy datastore-t kap, vagy natívan eléri a raidvezérlőt? -
R̲e̲m̲
senior tag
-
haddent
addikt
Az tökéletesen hangzik, akkor pfSense -en megcsinálod a vlanokat a pfSense -en a lan portra (ekkor alapból a lan porton a natív vlan a sima lan és taggelve küldi a többit), így switchen minden port lan lesz, kivéve amit átállígatsz majd a vlan felvétele után, hogy natívan a vpn legyen, oda dugod a wifi ap és elvileg kész és megy
Na meg ha már managelt switch akkor unalmadban megcsinálhatod ami nálam szintén megy, hogy LACP / LAGG -vel van felkötve a pfSense -re, azaz 2x1GBit -enSajnos 1 stream továbbra is csak 1Gbit/s tud, viszont pl lan és vpn már nem fog egymás gigájból lopni, nem mintha az kevés lenne, de miért ne
[ Szerkesztve ]
-
R̲e̲m̲
senior tag
Köszönöm a gyors és kielégítő választ, Te legalább konyítassz hozzá Velem szemben
Managelt L2-es switchem van, ha jól tudom nem is kell a layer3 a vlanhoz - még úton ugyan, de lassan ideér, hálókártya meg a g8-as microserver integrált NC332i-je 2 portal, illetve egy intel 4portos ET szerveradapter.
AP-nak a levedlett asus routeremet használom egyelőre....[ Szerkesztve ]
Új hozzászólás Aktív témák
- VR topik (Oculus Rift, stb.)
- Folyószámla, bankszámla, bankváltás, külföldi kártyahasználat
- Külföldi rendelések: boltok, fizetés, postázás
- Milyen egeret válasszak?
- Kerékpárosok, bringások ide!
- Házimozi belépő szinten
- Ukrajnai háború
- Amazon Fire TV stick/box
- PlayStation 5
- Milyen TV-t vegyek?
- További aktív témák...