Kijött a 2.5.2 CE, amiben visszatért a WireGuard.

Eladó: Apple iPad mini 1 (2db)

Azokhoz, akik használnak geo ip szűrést: hogy lehet egy IP-ről biztosan tudni, hogy milyen illetőségű? Azaz, honnan lehet tudni, hogy az a peer, aki kapcsolódni akar hozzám, az biztos, hogy ugandai, vagy iráni? Az ilyen információt tartalmazó adatbázisok mennyire tekinthetők 100 %-osnak?

Van egy olyan kérdésem, hogyha a pfsense-es router előtt van egy szolgáltatói eszköz modem mode-ban, akkor megoldható e valahogy, hogy eldobja a kapcsolatot, ha a szolgáltató gondol egyet, és visszateszi a cuccot router mode-ba? Mármint gondolom megoldható, csak az érdekel, hogy létezik e erre valami kész megoldás? Ugye nekem az egésznek az lenne az értelme többek között, hogy a szolgáltató ne férjen hozzá a belső hálóhoz, amit enélkül úgy gondolom nem lehet biztosítani.

[ Szerkesztve ]

Buliban hasznos! =]

a szolgáltató gondol egyet
Szerintem nem gondol

szolgáltató ne férjen hozzá a belső hálóhoz
Anélkül, hogy tudnánk milyen szolgáltatásod van, az valószínű, hogy szokásos privát címet ad ilyenkor a szolgáltatói eszköz (192.168.x.x). Pfsense-ben van lehetőség a privát címek blokkolására WAN interfészen.

Köszi!

Buliban hasznos! =]

Azt hinnéd, hogy nem gondol egyet, hát a UPC megcsinálta egy csomagváltásnál figyelmeztetés nélkül. Az sem zavarta őket, hogy fix IP-re is előfizetünk a cégnél, nyilván nem azért, hogy a YT/spotify jobban pörögjön ...
Az illetékes kollégát hívták, hogy tudnak nagyobb csomagot adni olcsóbban hűséggel, jobb opció nem látszott, kértük telefonon az upgradet. Következő héten egyik nap elmúltak a szolgáltatások, elérhetetlen volt a kis irodai kiszolgálónk kintről. Némi keresgélés után kiderült, hogy átrakták router módba a kütyüjüket, boldog voltam ... (nyilván nem a probléma volt áthidalhatatlan, csak az időzítés nagyon rossz + állt miatta pár ember)

Viszont abban segítsetek, hol lehet lehet itt a biztonsági probléma (ha DHCP-n osztott publikus IP helyett NAT-oltat kap)?
Eltalálja a szolgáltató pont azt a tartományt, amit belül is használ, és ha interfacetől független szabályoknál LAN-nak tűnik a szolgáltatói eszköze is, és az maga orv támadást indít?
Valahogy mérsékelten tűnik valószínű szcenáriónak. Minden más esetben meg így sem, úgy sem érvényesek rá a LAN-ra osztott szabályok, a távoli eszközök mindenképp külsőnek "látszanak", ha meg PPPoE bridgeről állt át, akkor net se lesz, az tuti feltűnik.

Én nem értek hozzá annyira, hogy ilyenkor pontosan mi történik, és hogy őszinte legyek nem is akarom végiggondolni. Jóval egyszerűbb ellenőrizni, hogy a szolgáltatói szutyok nincs e router-nek beállítva, és lelőni az egészet egy biztonsági riasztás kíséretében. Így is, úgy is foglalkozni kell vele, és mégis kellemesebb, ha kapsz egy hibaüzit, hogy nincs modem mode-ban a cucc, és nem kell keresgélned, hogy miért nem működik az egész. A többi már Murphy törvénye. Amúgy a németeknél volt olyan, hogy feltörték egy internet szolgáltató összes eszközét a kínaiak, szóval nem lehetetlen, hogyha ilyen történik, akkor megpróbálnak belenézni a belső hálóba is. Azt hiszem az említett esetnél csak botnetet csináltak.

[ Szerkesztve ]

Buliban hasznos! =]

Ehhez (szerintem) az is kell, hogy eltalálják a belső hálód DHCP-n osztott tartományát, még ha fel is törték a szolgáltató eszközt.
Elárulod, hogy modem módban hogy kapcsolódsz? Akkor talán egyszerűbben mondunk ellenőrzési metódust is.

Tudom, hogy a pfSense egy nagyon profi szoftver, de csak nekem van problémám a beállításokkal? Nem vagyok profi a tűzfalak konfigurációjában! Már egy csomó dokumentációt és oktató videót is megnéztem, de vannak olyan beállítások, melyek nem akarnak működni.
- sávszélességet szeretnék korlátozni, megadott IP című gépeknél, megadott időintervallumban
- FTP hozzáférést szerettem volna külső címről, de ez sem működik megfelelően. Belső hálózatról működik.
Az egyszerű routerekben ezzel sosem volt problémám. A pfSense-t azért szeretném használni, mert sokkal jobban paraméterezhetők a beállítások. De lehet én vagyok kevés hozzá.
A kérdésem csak annyi lenne, hogy másnak is nehézkes a beállítása bizonyos feladatokra vagy nekem kell elgondolkodni egy "gyári" megoldásban?
Nyugodtan lehet kritikus a válasz. Elfogadom, hogy kevés a tudásom hozzá.

Sávszélesség korlátozással nem foglalkoztam, 1 Gbps netnél - nálam - szükségtelen.

Külső FTP hozzáférésnél mi volt a konkrét gondod? Mi a hibaüzenet? Aktív, vagy passzív FTP-ről van szó? Itt van a megoldás egy gyakori problémára, hátha segít: [link]

Passziv FTP.
Total Commander válasza csatlakozáskor: "500 illegal PORT range rejected"
Port parancs hibája.
Ezt le tudom OK-ni és itt véget is ért a kapcsolat.
Olvastam máshol is a további port nyitásokról, de az sem segített.

[ Szerkesztve ]

sziasztok,

tapasztalt már valaki olyat, hogy pfsense alatti openvpn -re, amikor egy kliens felkapcsolódik, akkor másodpercekre teljesen beáll a forgalom a többi, ugyanarra kapcsolódó kliensnél is és az egy szálon, amit fut, ott 100% cpu terhelést tol?

Amd GX-412TC soc-os boardon futó pfsense 2.5.1 ha jól emlékszem. Egyébként amúgy elmegy az átviteli sebesség (30mbps körül, bár ezen úgy olvastam sndbuf rcvbuf fast-io paraméterezéssel még sokat lehetne javítani), elvileg a felület szerint a hw gyorsítás is aktív.
Szóval nem a kapcsolódás utáni átvitel, hanem a kapcsolódás közben a többi user forgalmának megakasztása a probléma.

Túl erős lehet a titkosítás kézfogáskor? cipher AES-256-CBC ncp-ciphers AES-128-GCM auth SHA512.

Per pillanat az a gány megoldás tűnik elérhetőnek csak, ha annyi openvpn futna ahány user, de azt managelni eléggé problémás, mert ez a config.xml-ből generálós dolog nem tesz lehetővé semmi include-ot, hogy közös helyen legyen a konfig közös része. Jól látom, hogy nem tud ilyen template vagy közös részt kiszervézést a pfsense konfigolófelülete?

Sziasztok!

Olyan problémám lenne, hogy van egy szerver azon fut a pfsense és ebből jön ki külön hálózatokon a proxmox, lan, wifi(unifi ap) a wifi vlan tagelve van külön az 2.5ghz és az 5ghz. Proxmoxon fut egy Hassio ezen van a Homekit átjáró. Iphone-ról próbálom eléri a Hassio-n levő homekit-et, de nem sikerül valamiért.. Utána kerestem és a Vlan tag miatt nem lehet. Írták, hogy az Avahi elméletileg megoldja, de nem sikerült azzal se megoldani a problémát. Valakinek van valami ötlete?
Előre is köszönöm a segítséget!

Sensei -> ZENARMOR

Valami ötlet, hogy ez miért lett sárga és miért nem tűnik el restart után sem?

Nem használok pfBlockerNG-t, de a Gugli szerint arról van szó, hogy bizonyos blokklisták frissítése nem lehetséges.

Tényleg ez volt a gond, de teljesen félrevezetett ezzel a fogalmazással. Azt hittem, hogy a widget nem szinkronizál rendesen a blockerrel. Egyesével kikapcsoltam a blokklistákat és az egyiknél megjavult a dolog. Köszi.

Sziasztok!

Ki milyen vasra tette a pfsense-t? Milyen vasra érdemes beruházni, ha gigabit net, médialejátszó, egy media szerver, laptopok, tv-k, telefonok kiszolgálása a cél? Szeretnék 10GbE-t a router és abszerver között is. Valakinek ilyen iranyú tapasztalata van?

OpenVPN-en csatlakozok telefonnal mobilnettel, és az a problémám, hogy a reklámokat nem blokkolja a pfblockerNG. Úgy tűnik, hogy nem ezen keresztül kap DNS címeket a teló hanem a mobilnet szolgáltatótól.
Ezzel mit lehet kezdeni?

Szerk: Azt hiszem megoldódott

Pipa kellett ez elé:
Pull DNS: Add server provided DNS
If this option is set, pfSense will use DNS servers assigned by remote OpenVPN server for its own purposes (including the DNS Forwarder/DNS Resolver).

[ Szerkesztve ]

Következő kérdés a témában
Minden működik, én legalábbis így ítélem meg, viszont két helyen is hibát jelez a pfsense a VPN-el kapcsolatban:

Indítsd el a services fülön az OpenVPN client-et (play gomb), ha nem indul, nézd meg a logot, mi a gond.

Saját kérdésem visszakanyarodva: megy valakinek PPPoE WAN + openVPN kombó 500+ Mbit/s-kel? Ha igen, milyen CPU-val? Keresem, mi az a minimum ár/méret/fogyasztás, amit ezért be kéne áldoznom.

bugos ez a szar 2.4.5 nél minden ok müxik ipv6... 2.5.1 nél is már tudták és azóta se javították mer minek?

¯¯̿̿¯̿̿'̿̿̿̿̿̿̿'̿̿'̿̿̿̿̿'̿̿̿)͇̿̿)̿̿̿̿ '̿̿̿̿̿̿\̵͇̿̿\=(•̪̀●́)=o/̵͇̿̿/'̿̿ ̿ ̿̿ Battlelog: Rohambili ¤

megy valakinek PPPoE WAN + openVPN kombó 500+ Mbit/s-kel?
Az OpenVPN nálam max 200 Mbps-t tud. Szerver (router): i5-8250U, kliensek: J5005, i5-3340M.

A fenti vasakkal, WireGuard VPN-nel a max sebességem 500 Mbps.

[ Szerkesztve ]

A DNS Resolver amikor egy új weboldalt nyitok meg a böngészőből, lekéri a DNS címet és eltárolja a cache-be, hogy amikor legközelebb megnyitom az oldalt, már tudja hová kell irányítani. Ez jól látszik a Diagnostics/DNS Lookup menüben. Először néhány száz millisec amikor lekéri, a következőnél 0ms.
Viszont egy kis idő múlva amikor ezt újra eljátszom, megint úgy tesz mintha nem tudná a címet, és ismét hosszabb idő lekérnie.
Hiába kapcsolom be ezt a funkciót a DNS Resolver / Advanced Settingsben:
Prefetch Support: Message cache elements are prefetched before they expire to help keep the cache up to dateWhen enabled, this option can cause an increase of around 10% more DNS traffic and load on the server, but frequently requested items will not expire from the cache.

Van arra megoldás, hogy a sűrűn látogatott oldalakat ne felejtse el vagy frissítse a háttérben?

[ Szerkesztve ]

Miért van az, hogy pfblockerNG-ben az alertoknál nem működik a szűrés?
A képen látható, hogy vannak blokkolásaim, logolja is, de ha beírom fent a keresőbe az IP Source-hez az egyik eszköz IP címét, semmi találatot nem mutat:

Gutentááág !
Esetleg valaki tudja, hogy a jó életbe kell belőni, a traffic shapingnél hogy enemy territory szervereimet ne p2p-nek érzékelje? (ami nekem nagyon nem jó, mert az eléggé low priority)
Lehet egyenként kéne neki beadni? Nem portranget?
Másoljam a szabályt és egyenként amelyik portokat használnak a szerverek megadogatni

[ Szerkesztve ]

¯¯̿̿¯̿̿'̿̿̿̿̿̿̿'̿̿'̿̿̿̿̿'̿̿̿)͇̿̿)̿̿̿̿ '̿̿̿̿̿̿\̵͇̿̿\=(•̪̀●́)=o/̵͇̿̿/'̿̿ ̿ ̿̿ Battlelog: Rohambili ¤

Én már rég feladtam az ilyen portonkénti szűréses traffic shapinget, sosem működött rendesen. Helyette inkább ezt ajánlom.

Nyilván nem korlátozgatni akarom a sebességet hanem prioritizálni. a csomagokat....
De azért köszi a linket...
Ma amikor többen voltak már látszódott hogy qGames-nek nézte azt a forgalmat... Szóval műxik...

[ Szerkesztve ]

¯¯̿̿¯̿̿'̿̿̿̿̿̿̿'̿̿'̿̿̿̿̿'̿̿̿)͇̿̿)̿̿̿̿ '̿̿̿̿̿̿\̵͇̿̿\=(•̪̀●́)=o/̵͇̿̿/'̿̿ ̿ ̿̿ Battlelog: Rohambili ¤

Amit linkeltem az priorizálja az adatforgalmat, nem korlátozza. Minimális korlát kell (a max internetsebességed kb. 90%-a körül) szinte minden normálisan működő QoS traffic shapinghez. (cake, fq_codel, PIE)
[link]

[ Szerkesztve ]

Ezt úgy érted, ha játszom be tudnak törni a gépemre?

Ide is tartozik. Tartozhat. Egy példa: van egy Poco X3 NFC telefonom (nyilván Androiddal). Eszméletlen módon tolja ki az információt a netre (nagyobb intenzitással, mint minden korábbi telefonunk a családban). Hogy mit, azt nem tudhatom, de hogy hova és mikor és milyen eloszlással, azt igen. Volt olyan időszak, mikor 24 óra alatt több mint 16000 blokkolást végzett a Sensei Azaz, átlagban kb. 5 másodpercenként tolta (volna) az információt a telefon szerte a nagyvilágba. És ezek csak a blokkolt próbálkozások. Nyilván sok olyan kifele irányuló kommunikációt is kezdeményezett a telefon, amit a Sensei nem ítélt kockázatosnak.

[ Szerkesztve ]

Tudom, hogy mire való, de a konkrét hozzászólásomhoz hogy kapcsolódik?

Ha tudod mire való, akkor hogy nem tudod ki bogarászni, hogy mit küld és micsoda küld a telefonodról ennyi csomagot

¯¯̿̿¯̿̿'̿̿̿̿̿̿̿'̿̿'̿̿̿̿̿'̿̿̿)͇̿̿)̿̿̿̿ '̿̿̿̿̿̿\̵͇̿̿\=(•̪̀●́)=o/̵͇̿̿/'̿̿ ̿ ̿̿ Battlelog: Rohambili ¤

Sziasztok. Olyan kerdesem lenne, hogy CGNAT mogul megoldhato az otthoni halozat elerese az internetrol? Ha igen milyen lehetosegeim vannak. Nem vagyok profi a pfsensben de probalkozom. Egyenlore a nat kikapcsoltatasa csak dragabb csomag eseten opcio. Elore is koszi a segitseget.

Targytalan a NAT kerdes.

Sziasztok,

Olyan kérdésem lenne, hogy ki milyen vason használja a pfSense/OpenSense-t?

Reklámblokkolás, egyéb szűrések, egy-két vpn kapcsolat lenne a fő feladat. Első körben egy pc és két mobileszköz lenne mögötte. Ez később bővülne egy htpc-vel, amin több rendszert futtatnék win10, debian/ubuntu és OMV-t (rajta docker-ben torrent, jellyfin, vpn kapcsolat és még pár apróság).

Az mennyire lenne elvetemült, ha ezen a htpc-n menne a pfSense is?

Olvastam, hogy régebbi vékony kliensek simán jók, pl egy HP T620 Plus (lassan kb fehér holló kategória), HP T730, Fujitsu Futuro 920 esetleg Dell wyse 5070 is szóba jöhet. Vagy ott vannak a Protectli és Qotom cuccok is.

Előre is köszi a segítséget!

Nokia 3310 - SonyEriccson w200i - Nokia N8 - Honor H60-L04 - Xiaomi Mi 8 /128 black

Nálam HP T620 Plus-on megy hibátlanul.
Eddig alap router feladatok + reklámblokkolás fut rajta, de alig eszi a procit (5-10%) között ingadozik.
Nem lehetetlen egy vason VM-ként futtatni, csak figyelni kell arra, ha valami miatt restart kell.
Idővel én beszereznék neki egy dedikált vasat, vagy figyelném az apróhirdetéseket...

Eladó: Apple iPad mini 1 (2db)

Nekem lenne egy eladó XCY Mini PC X33. Tesztre vettem.
Más lett a befutó, így ez most csak a port fogja.

Esetleg nézhetsz PCEngines APU cuccokat is, kb. az a bele, mint a T620 Plusnak, ritka, de cserébe még kisebb, és hálókártyát sem kell kergetni (manapság az i350 is eléggé ritka kincsnek tűnik... vagy én keresek rossz helyen?).

A VM-ként való futtatás is megoldható, de sok olvasgatás, meg agyalás után nekem úgy tűnik, 1-2 alkalom után, amikor a hypervisor-router egymásra utaltság megszívat, megunod.

Erőforrásban kérdés, VM-ként mire raknád, illetve mit értesz pár VPN alatt (milyen protokollal, milyen sebességet akarsz, hány szálon).

Btw. ha már virtualizálva van az OMV is, miért jó azon belül, dockerbe futtatni ezt-azt, meg vpn-ezni is róla? VPN-t intézze a pfSense, a docker meg kapjon egy külön VM-t. Mifelénk a router után a második legfontosabb pont a NAS, minden más arra van utalva, ha a virtualizálás miatt nem fáj plusz 1 rendszert üzemben tartani, én tuti nem raknék smit az OMV-re, ami nem szorosan a fájlkiszolgálás részért felelős.

Sziasztok!

OPNSense alá szeretnék valami reklámszűrőt felrakni, ami könnyen felrakható, beállítható.
A cél, hogyha két kisfijam Youtube videókat néz tableten, akkor ne jöjjenek reklámok.
Még csak most ismerkedem komolyabban a rendszerrel, szóval a szájbarágós leírás előny.
Egy T620 plus a HW, benne Intel I340-T4.
A segítségetek előre is köszönöm.