Új hozzászólás Aktív témák
-
válasz
inf3rno #1253 üzenetére
A routerben a beépített tűzfal szerintem nem frissül, igazán nem is értem, h mi az, mitől véd meg. A szolgáltatói (pl. Yettel előfizetéses) tűzfalakat nem ismerem, de 1. fizetős, 2. mennyire lehet testreszabni?
Az Unbound nagyszerű, de mint írtam, szűrésre AdGuard Home-t használok. Látni jobban, h ki mit keres, mit blokkol, stb. Szűrők brutálisan testreszabhatók, pár klikkel. Listákat hozzáadni is egyszerű (ezeket Unbound is tudja, csak nehezebben átláthatóan).
Listákból a két legjobb a Steven Black és a ShadowWhisperer lista.Jah, és még abban is jobb a saját router/tűzfal/DNS szerver, hogy az Unbound nem fog mindent elküldeni a guglinak. A gyakoriakat tárolja, gyorsabban oldja fel, nem netezik örökké (beállítások kérdése). És azt is meg lehet pakolni mindenféle biztonságot növelő bánattal, ahogy a kedved/időd engedi.
AGH-ban az átírás is menő (van opnsense-ben is, de itt átláthatóbb ez is), megadod az IP címet és oda irányítja, instant DNS. Ez persze nem minden oldalnál jó, de a leggyakoribbakat már kiszórtam ezzel.
Shaper... el lehet osztani a sávszélességet, nem lesz az, h a 80 szálon torrent mellett egy e-mail-t nem lehet megnyitni... Valamint a gyermekem is jobban tanul, amióta pár napra átraktam az 1 MBit-es csőbe... -
Multibit
nagyúr
válasz
inf3rno #1249 üzenetére
Mondjuk egy digis szolgáltatói router miben jobb, mint egy nulla plugines OPNsense vagy Pfsense?
Miért lenne jobb
Ha semmi mást nem nézünk, csak azt, hogy saját routerrel Te magad tartod kézben a hálózatodat, már jobban jártál.
Már csak hab a tortán:
- okosabb tűzfal (automata szabályok, lebegő szabályok)
- alias használat (plusz ezt használó biztonsági megoldások)
- VLAN kezelés
- DNS szűrés (Unbound beépített!)
- 2FA
- rugalmasan paraméterezhető IPv6
- config a fájlrendszeren tárolva (hordozható)
- VPN
... meg egyebekAz már más kérdés, hogy neked ebből mi fontos, mit tudsz használni.
-
-
válasz
inf3rno #1246 üzenetére
Annyira egyformák, h opnsense-nek nincs is topik, mert minek?
Kinézet és a menük más, de amúgy nagyon közeli a kapcsolat. Azt is telepítheted, szerintem többen használjuk (itt), mint a pfsense-t.
Ami még buktató lehet (pl. nálam), h ne akarj mindent elsőre... én is bekapcsoltam mindent IS, végül csak belekeveredtem. A pluginokat előbb olvasd át, nézz videókat, utána rakd fel, ha kell.
Nagyon rárepültem pl. a geo blokkolásra. De nálam semmi értelme (sok videó nézés és tutorial olvasás után)... az annak kell, aki weboldalt üzemeltet, vagy mások kapcsolódhatnak a szerverhez. Alapból a tűzfal befelé blokkol mindent, amit nem bentről kértek, ennyi itthonra elég. Zenarmor is aranyos, de azok a statok... ehh. AdGuard Home ebben jó, egy klikkre lehet tiltani/engedni.
Első körben legyen meg a LAN/WAN port, LAN-ra DHCP, tűzfal be. Az anti lockout szabályt ne töröld... később lehet tiltani a WAN oldalra az SSH-t is, alapból az is engedélyezett, úgy tudom.
Ha saját DNS resolvert is szeretnél, akkor Unbound bekapcsol, tűzfalnál kell egy "terelés", hogy a DNS kéréseket Unbound kapja. Itt is lehet már fekete/fehér listákat kreálni vagy letölteni a netről automatikusan (túlzásba esni nem szabad, vannak jól karbantartott összefoglaló listák). Ehhez nálam jön az AGH, külön konténerben, nem pluginként (ott macerásabb a portokkal variálni, meg így nem egyben pusztul be, van külön mentésem).
A tűzfal az AGH konténerbe tereli a DNS kéréseket, itt csak szűrés van, majd az opnsense/unbound az upstream server, kész.
Utána lehet VPN, tailscale, behúzni az infókat okosotthonba, stb... ha megtetszik, akkor egy (jó hosszú) ideig el lehet vele szórakozni. -
válasz
inf3rno #1241 üzenetére
Nálam opnsense van, az is hasonló. Online nézd át a doksit, keress róla telepítős videót.
Alap dolgokat bekapcsolgatod, a finomítás ráér. Pl. nem biztos, h első nap szuttyognék AGH-val és szűrésekkel, csak net legyen. Utána majd belemerülsz...Jah, linux/BSD ismeret nem kell, minden a webUI-n történik, csak akkor kell a parancssor, ha kizárod magad...
[ Szerkesztve ]
-
-
válasz
inf3rno #1239 üzenetére
Nem tudom, h mennyire vagy otthon pl. router konfigolásban, ez sem bonyolultabb, de lehet cifrázni...
DHCP bekapcsol, mert köll, IP tartományok beállít. Megadod, h melyik port a LAN, melyik a WAN, eszerint kábelezed... unbound bekapcs, ennek a konfigolása, finomítása idő, de alapból is működik. Érdemes egy AdGuard Home-t is felrakni, látványosabb a statja, szűrni tud, upstream-nek csak az unbound, kész.Nálam azzal volt baj, h több portnál egy-egy módosítással kizártam magam, de ez kellett, h módosítsak... a Proxmox ebben nagyon jó, beírkálod, h miket módosítanál, de nem hajtja végre, csak amikor külön erre kattintasz, akkor ír át mindent, egyben.
Szal. jah, ne zárd ki magad, arra vigyázz.
-
freddirty
senior tag
válasz
inf3rno #1018 üzenetére
Hú hát informatikában nincs olyan szerintem hogy mit szabad vagy nem szabad mindig az adott környezetben kell döntést hozni hogy mi a legjobb a kockázatokat figyelembe véve. Egy céges környezetben a vpn szerverek általában a default gway-nek magukat állíttatják be a kliens géppel, hogy minden forgalmat a céges hálón keresztül toljon át. Ebben a környezetben a céges policy ami mindent visz, látni akarják a teljes forgalmat elemezni, tiltani, óvni a céges érdekeket adatokat, az alkalmazott érdekei magasról le vannak ejtve. Otthoni környezetben más a szitu ott csak a te érdeked számít. Nincs elég sávszél, hogy kiszolgáld a távoli vpn gépek netes igényeit? No problem te vagy a local god azt teszel amit akarsz, akkor menjen csak a lokális szerverelérés a vpnen. Mit vesztesz? Némi privacy max. De persze van annyi 3rd party vpn megoldás dunát lehet rekeszteni belőlük. Nem kell feltétlenül a sajátod használni majd ha lesz gigabit net otthon akkor átállsz arra.
-
freddirty
senior tag
válasz
inf3rno #1015 üzenetére
A rollback nagyon egyszerű. Nálam egy külön j6413-as aliexpress célgépen van a proxmox és vmben az opnsense. Proxmoxal scheduleban vagy alkalomszerűen készítek mentést az opnsense gépről (a main server nfs megosztására ha kell). Bármi van akkor abból vissza lehet állni. De van alkalmazásszintű configbackup is a pfsenseben, de azt elég ha csak piszkáltad, ami egy idő után úgyis ritka esemény lesz ha már működik minden ahogy szeretnéd. A proxmoxot magát én nem frissítem. 25+ év után ITban és otthoni hobbiként azt tudom mondani, hogy ami nem romlott el azt nem csesztetjük, kivéve ha látok tényleges biztonsági okot. Pl net felé expozált szolgáltatások. Nyilván enterprise szinten ez már nem áll meg.
-
freddirty
senior tag
válasz
inf3rno #1013 üzenetére
A távoli elérésre wireguard vagy openvpn szolgáltatást kellene felraknod a pfsensre és a kapcsolódni szánt kliensekre. Ezt fel lehet konfigurálni úgy mintha a lokális hálózaton lógnál, akár az internetelérést is át lehet forceolni rajtuk, ami mondjuk hasznos ha el szeretnéd fedni publikus wifin a forgalmadat. Nekem is így megy, openvpn-en lóg a hétvégi ház hálózata, wireguardon csatlakoznak a mobil eszközök.
Nekem is hasonló setup van itthon mint ami az első hozzászólásban írtál, 1-2 plusz tanács:
- A családot nem feltétlenül kell teljesen leválasztani, lehetnek jó és hasznos szolgáltatások a szervereden nekik is. Pl Pihole ami reklámot/nem kívánatos domaint-t szűr, vagy egy security onion ami intrusion detectionként a forgalmukat elemezve gyanús dolgokra mutathat rá mondjuk rosszindulatú fertőzésre/forgalomra (ez mondjuk már kicsit enterprise ízű szolgáltatás).
Egy szerveren a homelab szolgáltatásai és a router azért nem annyira klafa. Fogsz mókolni újraindítgatni, frissíteni nem lesz 100% az internetelérés ami akkor is fájhat ha csak te ill. a szolgáltatásaid használják. Én külön kisebb alacsony fogyasztású eszközre szervezném ki a pfsense-t hasonlóan mint egy routert, aminek a tárhelyét megosztva akár backupja is lehet a main szervernek ha valami nagyobb leállás lenne.
(A felhőt én annyira nem látom alternatívának otthonra. Egy otthoni szerver méretű gép bekerülési költsége a felhőben elég gyorsan eléri a beruházás költségét és utána már negatívba fordul. 32GB RAM, 4-8 mag, videogyorsítás transzkódoláshoz, kamera feed feldolgozáshoz. A felhő inkább enterprise szolgáltatáskupac amivel megspórolhatják a cégek az onprem üzemeltetéséhez szükséges népek bérét, meg még persze sok minden mást. De hát ebben az esetben te vagy a rendszergazda :) -
Melorin
addikt
válasz
inf3rno #1011 üzenetére
Jaj, bocsi, azzal a boxxal tényleg nem lehetett ezt megcsinálni elvileg, én is bridge módban használtam. Amikor olyanom volt (az ezelőtti) akkor pfsense-n belül oldottam meg, hogy az egyik lan port függetlenítve volt az én hálozatomtól, csak netet szolgáltatott. Arra kötöttem az AP-t a családnak.
A másik LAN volt az "enyém" amire minden jóságot ráhúztam pfsense-ben. -
Melorin
addikt
válasz
inf3rno #1005 üzenetére
Én úgy csináltam, hogy a pppoe passthrough-ot engedélyeztem a szolgáltatói modemen, majd
- az egyik LAN portjára dugtam a pfsense WAN-t, ami pppoe-n kapcsolódik a netre. Ezen vannak az én készülékeim.
- A modem egy másik LAN portjára pedig egy AP, annak lan portjain csüng a család. Így nekik marad a "gyári" net, ami akkor is működik ha valamit elbabrálok a pfsense-n -
noorbertt
őstag
válasz
inf3rno #1007 üzenetére
Kétszer is neki futottam de a hw része nekem ködös a configod.
Amúgy amit szeretnél az működne pfsense segítségével minden további nélkül. Ha a hw adott (elegendő port és ap) akkor VM és onnantól mehet a játék.
Mivel le akarsz szakadni a fő hálózatról, így én inkább nem erőltetném a port forwardingot, mert ha valaki pl reseteli vagy babralja a szolgáltatóit, akkor esélyes hogy más ip-t kapsz és máris borul a szolgáltatások amikre használnád.
Inkább nézz körül a Cloudflare tunnel vonalon, egyre több a tutorial hozzá és kb semmi az egész. 1db domain kell hozzá és annyi.Amúgy én most mentem át OpenWrt vonalra egy rpi4-el. Idaig elég jó és jobban le tudom kezelni az otthoni lte netet.
https://www.waveform.com/tools/bufferbloat Teszten A és A+ eredményeim vannak, *sense alatt C volt a legjobb.
[ Szerkesztve ]
-
noorbertt
őstag
Elég sokat játszottam hasonló témába mostanában.
Pihole -> AdguardHome -> pfBlockerng -> NextDNS cli pfsense client és most ami jónak tűnik az AdguardHome és ott NextDNS mint upstream.
pihole, AdguardHome es a pfBlockerng idaig 1.1.1.1 vagy a 9.9.9.9 DNS címen futott.
- Valamiert ha a pfsense VM-re bízom a DNS-t nagyon lassú minden. Így egyelőre AdguardHome VM és onnan NextDNS300,000 queries Ingyenes és ott tudsz elég sokmindent beállítani és saját listákat is fel tudsz vinni.
https://oisd.nl/ Listát nagyon tudom ajánlani, kb semmit nem kell whitelist-be tenni mert minden működik.
+ nem otthoni eszközön is működik a beállított DNS, így telon sincs reklam es biztonságos a zinternet.
Ha esetleg adhatok reg linket akkor: https://nextdns.io/?from=9d3yrztr így ha ki futsz az ingyenes kvótából, akkor kapok 30 %offot. Bar ahogy nézem nekem elég az ingyenes (még) -
Multibit
nagyúr
Ide is tartozik. Tartozhat. Egy példa: van egy Poco X3 NFC telefonom (nyilván Androiddal). Eszméletlen módon tolja ki az információt a netre (nagyobb intenzitással, mint minden korábbi telefonunk a családban). Hogy mit, azt nem tudhatom, de hogy hova és mikor és milyen eloszlással, azt igen. Volt olyan időszak, mikor 24 óra alatt több mint 16000 blokkolást végzett a Sensei
Azaz, átlagban kb. 5 másodpercenként tolta (volna) az információt a telefon szerte a nagyvilágba. És ezek csak a blokkolt próbálkozások. Nyilván sok olyan kifele irányuló kommunikációt is kezdeményezett a telefon, amit a Sensei nem ítélt kockázatosnak.
[ Szerkesztve ]
-
Multibit
nagyúr
a szolgáltató gondol egyet
Szerintem nem gondol
szolgáltató ne férjen hozzá a belső hálóhoz
Anélkül, hogy tudnánk milyen szolgáltatásod van, az valószínű, hogy szokásos privát címet ad ilyenkor a szolgáltatói eszköz (192.168.x.x). Pfsense-ben van lehetőség a privát címek blokkolására WAN interfészen. -
Dißnäëß
nagyúr
Igen, azért az árára ránézve most lehet elgondolkodtam, hogy a meglévő ASUS mATX szettemet vagy ezzel ekvivalenset kellene beáldoznom ilyen témára, olcsóbban megúszom 1db duál portos PCIe-es Inteles 10GbE karival + egy riser hozzá, ha a házikó vékony.
Azt hiszem, még kicsit hagyom ezt a dolgot érni. Jó lenne letenni a pincébe "valamit", aminek egyik portjára rácuppan a szolgáltató, akármennyit is adjon, másik portjára pedig ráakasztok amit csak akarok, ma még 1G-s switch-et, holnap lehet egy kis portszámú 10-est, de legalább jövőtálló a motyó valamelyest.
Ezen még kattogok 1-2 kört.
-
haddent
addikt
Hát erre ennyit tudok frappánsan, röviden: https://stallman.org/intel.html
Meg ahogy Qui-Gon Jinn mondta, mindig van egy nagyobb hal -
Véreshurka
senior tag
Világos! Ezzel mélyebben még nem foglalkoztam, de majd beleásom magam! Kössz, hogy rávilágítottál! Akkor ezek szerint ezzel a paranccsal:
hdparm --user-master u --security-erase-enhanced PasSWorD /dev/sdX
sem megyek semmire - feltételezve, hogy az előfeltételeknek már eleget tettem, mint mondjuk a Password létrehozása és ellenőriztem, hogy az adott SSD "not frozen"?[ Szerkesztve ]
-
haddent
addikt
Mindkettő IPS detection tool. Mélyebben nem tudom mi a különbség, de a Suricata (a pfsense -es is) tudja és használja is a snort ruleokat is
Véreshurka szerintem nem virtualizációs probléma, egyszerűen nameserver gond. A pfSense -ben a DHCP server kiküldi a nameservert? (Services ->DHCP server, lap közepe DNS Servers, legyen kitöltve) Választhatod azt, hogy kiküldöd a külső pl 1.1.1.1 vagy 8.8.8.8, vagy küldheted saját magát, a pfSense -t, de akkor a pfSense -nek legyen megadva egy upstream a generalban és legyen engedélyezve a dns forwarding is (az is services)
[ Szerkesztve ]
-
haddent
addikt
Természetesen, a pfSense valóban csak egy BSD + egy jó gyűjtemény pl Suricata stb.
Hogy jobb-e, azt nem tudom. Én előtte évekig ezt csináltam, csak nem BSD hanem Linux -szal meg iptables -sel. Jó azt is tudni és átlátni, de napi szinten, akár csak otthoni mértékben is de nagyobb rendszert fentartani, hát úgy annyira nem márAz is kérdés, hogy mennyire nulláról indulsz? Láttál-e már tűzfalat meg úgy az egész internet architektet átlátod-e alapszinten. Ha nem akkor még a gui is sok leszelsőre, nem egy bsd nesze. Szóval ezek alapján te döntesz, mi való neked
R̲e̲m̲ ez új.. látatlanban sajnos nem is tudnék semmit mondani rá. Ha nem sikerül és számodra elfogadható VPN -en keresztül szívesen megnézem, több szem többet lát
-
haddent
addikt
Hát akkor igazán nem tartok tőled vissza egy kis csemegét, kezdd a ciklussal
Ez akkor jó, ha hibátlanul tudod fejből, de nem azért, mert bemagoltad a random görög betűk sorrendjét, hanem mert érted mit írsz
Kedvencem volt mindig is ez a "első ránézésre kissé bonyolult.... na de lássuk be, hogy triviális!"
Az annyira fizikai rész az már "mocskosfúúúúj" nem elméleti
[ Szerkesztve ]
-
haddent
addikt
Ez kicsit kétoldalú penge, mert mennyire alapoktól kezdenéd pl. a "hálózatok" témát? Layer 1 / hardver? Ha igen, akkor annak némi "kötelező" minimális történelmét, felépítését is? Nem olyan szinten, hogy te tudd a következő szabványt architektúrálisan leírni, de, hogy irodalmi nyelven "legyen fingod róla"? De ha így, innen elkezded, akkor nyilván ugyanezt minimális elméleti szinten el kell végezned magával a számítógépekkel is, mert arra épül. És a végén ott lyukadunk ki, hogy éveket ülsz papír felett, ahol absztrakt görög betűkkel matematikai nyelven halmazelmélettel és logikával írsz programot, papíron
Persze, ez így a szép és kicsit sem bánom, de konkrétan egy profi, ebben dolgozó "hálózatos szakember" sem feltétlen tudja ezt így. Komoly elhivatottság kell ahhoz, hogy ehhez kedved és motivációd legyen végigcsinálni. Ha meg kicsit belekóstolsz előtte a "váó, ezzel így ezt meg tudom csinálni" -ba és utána / mellete / közben érdekességképp utánanézel, hogy "az tök jó, de mi van e mögött, mitől működik?" akkor lehet, hogy fenntartod az érdeklődésed és nem hónapokkal / évekkel később kell összekötni, hogy ahaaaa az ennek volt az előfeltétele és így ez az.
Nyilván más szakmákban nincs megfelelő kompetenciám, de szerintem ez globálisan is elmondható, de az informatikában egész biztosan, vagyis akkor inkább úgy fogalmazok, hogy biztos vannak hozzám hasonló beállítottságúak, akik így sokkal jobban élvezik és könnyebben és nem utolsó sorban 1000x gyorsabban tanulnak ilyen módon.
Azt nem tudom objektíven megítélni, hogy ebben mennyire játszik szerepet egy alapvető világra nyitottság, érdeklődés meg tényleg nagyon alap, de mégis valamelyest dolgokat átlátó előzetes ismeret.A másik véglet persze az, amikor pl. ismerősöm külföldön ment egyetemre, lényegében ugyanerre a szakra. Na ők nem papíron írtak programot csúnya hieroglifákkal, hanem 1. héten "csoportmunka: írjunk egy játékot". Na az lóf*#@ tejszínnel. Kattintgatsz meg húzogatsz mindent össze, mint egy hülye, csak fogalmad nincs róla, hogy ez mitől miért és hogy működik
-
haddent
addikt
Természetesen. Eleve pl. a virtio támogatás, hw checksum offload, tcp segmentation offload, large receive offload.. ezek csak amiket most hirtelen a pfSense grafikus felületéről kiolvastam, biztos van ezer másik amibe nem ástam bele magam. X86 esetén azért ez annyira nem a cpu terhelés elvételéről szól, inkább latency -ben gondolom, hogy lehet különbség.
Nyilván minél közelebb áll / konkrét enterprise chipset, annál több ilyet támogat -
haddent
addikt
Ez a kérdés vagy nagyon komplex vagy nagyon egyszerű
Ennek oka, hogy attól függ, milyen szemmel nézed? A családod valószínűleg ránéz, jó oké, ugyanazt csinálja, van tőle net, tök jó, kit érdekel? Szakértői / érdeklődő / hobbista szemmel viszont köze nincs a két megközelítésnek egymáshoz.
Egy SOHO router az van azt kész, oszt netet, szór wifit ezek az újak tudnak már 1-2 vicces extra dolgot amit jobb esetben a SoC meg a ramjuk el is bír-ogat úgy ahogy aztán viszlát.
Egy pfSense (de talán okosabb lenne úgy fogalmazni, hogy "épített" dolog utalva pl. a bejegyzés első/előző részére) meg annyit úgy és annyira jól fog csinálni, ahogy akarod és meg tudod oldani, nincs határ. Jelenleg hálózatos/szerveres/itsecurityanalyst keverékként dolgozom és őszintén merem állítani, hogy tudja azt amit a több tíz sőt százmilliós Palo Alto, FortiGate, Stormshield vagy mondj akármit, sőt, néha jobban. Ha épp valamit nem tud, akkor megoldod máshogy, mert ahogy helyesen írtad is, egy BSD. UNIX -on pedig mit nem lehet megoldani? Azt, amihez (még) kevés a tudásod, nincs lehetetlenÉn azt gondolom, hogy otthonra, kiscégnek de akár nagy cégnek is, ahol nem az van, hogy a pénz kit érdekel csak ki lehessen tenni a plecsnit, hogy EZ VÉD MINKET közben meg egy elavult szar, ott teljesen racionális választás egy hasonló (nem kötelezően és egyértelműen pfSense de hasonló) megoldás okosan összerakva. Otthonra pedig érdeklődő vagy szakértő embereknek szerintem verhetetlen.
Én eleve semmiben nem vagyok a híva a "mindent egyben nagyon tud" eszközöknek, tehát nálam egy hálózat onnan indul, hogy van egy tűzfal, egy managed switch és van(nak) acces point(ok). Az más kérdés, hogy csóróságból ez(ek) nálam is használt TP LINK Archer C5-C7 és társai, mert pl AP -nek marha jók és olcsók, szerintem.
Ha most akarsz nulláról nekilátni és nem tudsz kukázni valami értelmes fogyasztású és erejű PC -t, hanem venni kéne, akkor is ki lehet jönni 50 -ből. Ilyen Ivy Bridge -től felfele induló Dell Optiplexek már vannak 20 körül, 1 éve is voltak, egy kis ram, egy kis ssd, egy 4x intel gigabit dedikált NIC és még mindig hol jársz? 30-40? Régi router beáll AP -nek, maradék 10-20-30 -ból akár most akár később veszel AP -ket, ízlés és pénztárcától függően. El lehet menni akár Ubiquit irányba is, verhetetlenek ár/érték és tudásban is, AP -ben is.
..mindez akkor, ha érdekel, szereted, fogsz vele törődni. Ez egy PC lesz bárhogyan is, nem fogja azt feltétlen tudni, hogy kiveszed a dobozból, bedugod és 10 évig rá se nézel. Tudja és tudhatja ezt is, csak akkor az előnyei eltörpülnek a hátrányai viszont nem
-
Multibit
nagyúr
Csak azért akadtam fenn a dedikált szón, mert - szerintem - éppen egy mini PC-ből lehet dedikált routert csinálni. Attól dedikált, hogy kizárólag router feladatokat lát el. Amúgy nem csak "barkácsolni" lehet ilyet, több gyártó konyhakészen adja ezeket. Más kérdés, hogy a potenciális vásárlók többsége nem igazán akar dedikált routert, mert drága, nem mindig barátságos a beállítása, kell hozzá vásárolni még ezt azt. Éppen ezért én a "wifi-router"-t egy nem létező állatfajnak tartom
A router nem wifi-zik! Az a wireless access point dolga
-
Véreshurka
senior tag
-
Véreshurka
senior tag
Szerintem te most a legjobban azzal járnál, ha vennél egy Asus AC65P-t 25000 Ft környékén, és feltennél rá egy OpenWRT-t. Mind az Asus routereknek, mind az OpenWRT-nek van fóruma itt a PH-n. Persze nem elhajtani akarlak innen, de árban ezzel jönnél ki a legjobban és meglenne a wifi is. Sajnos pfSense-ről én azt olvastam, hogy nem kezeli olyan faszányosan a wifi-t, hiába tudná, illetve hiába van a kiszemelt gépben wifi lehetőség, mint a qotom-oknál lehet kérni. Aztán ha még mindig vágyat éreznél rá és már több befektetni való pénz is a rendelkezésedre áll akkor vissza is térhetnél a pfSense-hez, vagy ha nagyon hajt a kíváncsíság akkor meg dobd fel VM-ként a szerveredre és az OpenWRT-vel egyetemben tudnád tesztelni ezt is. Nekem is van egy asus ac65p-m, 20-ért vettem ismerkedni az openwrt-vel, illetve szemezgetek egy olcsóbb mikrotikkel is. Viszont ha vársz egy kicsit és összejönne egy qotom gép rendelésed, máris kinyílna a világ számodra ami a router os-eket illeti: untangle, sophos, pfsense, opnsense, vyos, stb... Illetve a későbbiekben az asus-t be tudod lőni majd AP-nak is.
-
Egon
nagyúr
Nem teljesen értem az oktatás koncepcióját, de mindegy. A saját kis otthoni SOHO routereken akar állítgatni, közben meg Enterprise rendszereket érintő dolgokról beszél.
Ha nem elérhető a DNS szerver, akkor a rendelkezésre állás sérül az IT biztonság szentháromságából (CIA), ami meg otthoni átlagjóskának a legkevésbé fáj (cégeknek nyilván másképp fájhat). A Google DNS szerverét beállítva (8.8.8.8), eléggé biztonságban érzem magam ezzel kapcsolatban (vannak már eszközök ddos ellen, kisebb szervezeteknél is mint a Google). Ha még beállítunk egy másodlagos DNS szervert, akkor meg végképp nem érzem ezt problémának (saját szerver eléggé overkill lenne erre a célra, ráadásul magánemberként nem is erre való).
Nem hallottam még TCP secure opcióról, nem is értem hogy milyen módon titkosítana. A helyi hálón, bármely környezetben (legyen az otthoni vagy céges), szerintem nem feltétlenül kell titkosítás az adatforgalomban (bár vannak ettől eltérő vélemények). A hálózatot magát kell védeni: a külső részt tűzfallal, belül megfelelő szeparációval (VLAN), a fizikai végpontokat port security-val, és persze megfelelő jogosultságmenedzsmenttel a kliensek vonatkozásában. Ha ez megvan, és esetleg mellé van csattintva még némi logelemzés és hálózati forgalom-elemzés is (persze viselkedés-alapú), akkor lehet próbálkozni. Szerintem. -
Egon
nagyúr
Nos, az első pont triviális, a másodikkal és harmadikkal is egyet tudok érteni, a negyedik és az ötödik nem tiszta hogy mire gondolt - viszont ami közös bennük, hogy nagyjából nulla közük van routerekhez, illetve routerek konfigurálásához.
Egyébként a helyedben megnézegetném az Ubiquiti eszközöket is: én abból tervezek hálózatot összerakni majd jövőre. Nálam lehet hogy lesz 300K, de abban lesz 24 portos switch, és 2-3 AP is. -
Egon
nagyúr
Azért nem feltétlenül kell 300K-t egy jó otthoni hálózatra költeni. Leginkább a switch tud drága lenni, és persze ha sok AP kell, az is meg tudja dobni a költségeket.
A képzésen meg aligha fognak veletek szofisztikált dolgokat beállíttatni: mivel a népek 90%-ának valami kész megoldása van (már akinek van egyáltalán saját routere), így jó eséllyel maradni fogtok a wifi turkálásánál: WPA2/AES/MAC szűrés/rejtett SSID stb., amit kb. minden routeren meg lehet csinálni (mondom ezt olyan emberként, aki már kb. féltucat IT biztonsági képzésen van túl). -
Multibit
nagyúr
Lehet, hogy most még jobban járnál egy OpenWRT kompatibilis home routerrel (akár használtan). Az OpenWRT is sokkal nagyobb rugalmasságot, paraméterezhetőséget biztosít, mint bármelyik Asus szoft. Pfsense-re/opnsens-re is ezért vált az ember. Majd ha összejön a szükséges mennyiségű pénz, akkor belevághatsz a "sense"-zésbe.
Szerintem pont a szabad hw/sw (el)választás, a funkciők független kezelhetősége az ami a legszebb a sense-ekben. Nem mondj le a külön AP-ról! Remek dolog, hogy a router az router, a switch az switch, az AP meg AP, fizikailag is külön-külön, kezelés tekintetében is elszeparálva
Új hozzászólás Aktív témák
- Szívós, szép és kitartó az új OnePlus óra
- Vezetékes FEJhallgatók
- PROHARDVER! feedback: bugok, problémák, ötletek
- AMD Navi Radeon™ RX 6xxx sorozat
- Eredeti játékok OFF topik
- 3D nyomtatás
- Star Trek
- Milyen TV-t vegyek?
- Apple iPhone 15 - a bevált módszer
- Samsung Galaxy S25 Ultra - titán keret, acélos teljesítmény
- További aktív témák...