- Kodi és kiegészítői magyar nyelvű online tartalmakhoz (Linux, Windows)
- Telekom otthoni szolgáltatások (TV, internet, telefon)
- Windows 11
- Synology NAS
- Linux kezdőknek
- One otthoni szolgáltatások (TV, internet, telefon)
- Még havi 6 dollárt kérhet a Spotify a plusz funkciókért
- ASUS routerek
- Proxmox VE
- Videó stream letöltése
Új hozzászólás Aktív témák
-
-
Véreshurka
senior tag
válasz
supercharley #711 üzenetére
Velős hozzászólásomat még annyiva egészíteném ki, hogy ahogy nekem a különböző beállításokról szóló videókat és blogbejegyzéseket böngészve az jött le, hogy nem TLD-t (Top Level Domain) kell beáálítanod (mint a példádban a .local), hanem FQDN-t (Fully Qualified Domain Name), ami vagy valami olyan amit soha senki nem fog használni, mint pl. local.lan, vagy olyat amit a neveden regisztráltál.
-
Véreshurka
senior tag
válasz
supercharley #711 üzenetére
Megy.
-
Véreshurka
senior tag
Reklámszűrés mellett lehet a pfBlockerNG-vel IP blokklistákat is használni, azaz tudod szűrni a rosszindulatú hálózatokat, illetve lokáció alapján is tudsz blokkolni akár, ez olyan mint a synology nas-okon a geoip szűrés. Ezt tavaly ugyan már beállítottam, de az IP reputation részt már akkor sem értettem, hogy mi az (pfblockerNG >> IP >> IP reputation fül) és ezt szeretném most megérteni, főleg a Country Code Settings IPv4 Country Exclusion részét. Egy kis beállítási segédlet: [link]
-
Véreshurka
senior tag
Sziasztok!
Lenne itt olyan aki használja a pfBlockerNG IP Reputation opciót?
-
Véreshurka
senior tag
Biztos láttátok már, de nálam most érkezett meg 2.5.1. A legfontosabb, hogy kiszedték a wireguard-ot belőle, szóval akinek volt bekonfigurálva az figyeljen rá.
-
Véreshurka
senior tag
válasz
tradeelek11 #677 üzenetére
Köszi a segítséget!
Most úgy néz ki a cloudflare-el, az oznu-cloudflare-ddns-1 docker image-el és magával simán a synology-val (a beépített cert kezelőjével) összejött a wildcard cert.
Legalábbis nem panaszkodott a syno, és a cert is megjelent a cert-ek között és ki is írja, hogy wildcard. Akit esetleg érdekel holnap megírom a synology forumba hogyan készült, egyébként csak a linkelt oldal-t kellett követni a 2-4 lépéssel, majd a 4. lépés után áttérni az oldal alján található "Getting a 3rd party domain wild card cert using Synology UI and Cloudflare" című részre, majd onnan folytatva beállítani amit kell.
[ Szerkesztve ]
-
Véreshurka
senior tag
válasz
tradeelek11 #672 üzenetére
Köszi!
Nem feltétlenül fontos a router-en a megvalósítás. A legjobban én is a NAS-on történő megvalósításnak örülnék. Miközben tegnap keresgéltem, belefutottam ebbe a cikkbe: [link] . Itt is cloudflare-t ajánlottak, ezek szerint az lesz a megoldás. Még kicsit olvasgatok, meg értelmezek, mert most vissza is kellene vinnem a nethelyre a domain-t, meg ha jól értelmezem akkor utána át kellene vinnem a cloudflare-hez.
[ Szerkesztve ]
-
Véreshurka
senior tag
-
Véreshurka
senior tag
válasz
Multibit #668 üzenetére
Igen, a pfblocker-t tudtam, a sensei-re kíváncsi lennék. Egyelőre felteszem majd virtuáliskörnyezetben, ismerkedem vele aztán meglátom a sorsát. Most jönne majd lassan egy teljes újraépítése a hálózatomnak az elmúlt 1 év tapasztalatát is belevéve, és gondolkodom, hogy esetleg pfsense-en kívül mást is kipróbáljak.
-
Véreshurka
senior tag
Van esetleg valaki aki használja az ACME csomagot pfSense alatt? Itt van arra lehetőség, hogy saját domain alá kérjünk wildcard certificate-et? Most a domain nevem a DNSExit-nél van, mert ahol eredetileg regisztráltam (nethely) ott nem tudtam beállítani sem synology sem pfsense alatt, hogy a dinamikus IP címemet le tudja követni. Tehát van egy domain nevem a DNSExit-nél és dinamikus IP címem a szolgáltatótól. Ezt a kettőt (csak a domain nevet és a saját IP címemet, ha kell domain szolgáltató váltással - persze ami tud jól működő ddns-t) szeretném összehozni Let's Encrypt tanúsítvánnyal.
Illetve OPNSense használókat kérdezném: vannak opnsense alatt ezekhez hasonló csomagok?
- freeradius
- acme
- valamilyen reverse proxy
- zabbix agent
- darkstat
- iperf
- nut (ha jól rémlik ez van) -
Véreshurka
senior tag
Ha beállítod a Status / System Logs / Settings alatt a GUI Log Entries számot nagyobbra, akkor nem csak 100-at fog megjeleníteni. Nálam pl. 500 van beállítva. De egyébként sztem a 100 is elég kell, hogy legyen ha valami gond van. 500 szerintem mondjuk praktikus a tűzfal logokhoz.
-
Véreshurka
senior tag
Kíváncsi vagyok én is, hogy mi lesz a megemelt log level eredménye...
Csak simán megnyitod a pastebin.com oldalt, majd akár regisztráció nélkül csinálsz egy "paste"-et, majd a linket beilleszted ahova szeretnéd. Annyi, hogy reg nélkül kereshető marad a "paste", ha regelsz 10 privát-ot tudsz csinálni, ami nem kereshető, csak ott látják ahova belinkeled.
-
Véreshurka
senior tag
Örülök, hogy végül működött a Watchdog! Nekem is ilyenek vannak a logban. Ahhoz, hogy több mindent mutasson a log, próbáld ki, hogy a Services / DNS Resolver / Advanced Settings alatt a Log level-t átállítod, mondjuk Level 2-re, hátha okosabbak lehetünk, vagy ahogy jónak látod. És legközelebb légyszi pastebin-t, vagy valami hasonlót linkelj a log tartalmakra.
-
Véreshurka
senior tag
Bár triviális a dolog de biztos, hogy a bridge minden portja jó IP címet oszt? Megnézted őket? Egyébként azt hiszem pont itt a topikban valahol az eleje felé írták, hogy a pfsense nem túl acélos bridge-ben. Nem tudom, hogy ez pfsense, vagy inkább freebsd e, de lehet ez is közre játszhat. A switch tényleg megoldás lesz.
-
Véreshurka
senior tag
Aki pfSense 2.5-ön beállította a WireGuard-ot annak nem ajánlott a használata ( [link] ). A következő frissítéssel ki is veszik. opnSense-t nem érinti a dolog.
-
Véreshurka
senior tag
Most egész este szoptam.
Épp reverse proxy-t állítottam be a synology nas-on, majd mentem a gui-ba, hogy felvegyem az engedő port alias-om közé a portot amikor teljesen elszállt minden. Nem tudom, hogy vajon köze lehetett-e hozzá, de a háttérben egy virtuális gépen még éppen a Monero pénztárcával szórakoztam, ami éppen szinkronizált egy elég nagy adagot. Nem tudtam belépni az admin felületre, ssh-n sem. Ping-re érdekes módon válaszolt a gép. Nagyon fura volt. Gondoltam ok, van serial kábelem, legalább használhatom... Annyi volt a gond, hogy előtte egy hard reset-tel (kikapcs gomb hosszan megnyom) próbálkoztam, gondolván, hogy az megoldhatja. Lóf@szt! Ugyan beengedett, de egy újabb hard reset utáni újraindulás után ugyan bebootolt a drága, de nem hozta fel a menüt, ott megállt a foylamat, hogy "Teh boot was succesfull", vagy valami ilyesmi. Olvastam ezután, hogy ez valami fícsör lenne, hogy ne lehessen csak úgy egyszerűen egy hard reset után serial kábellel kapcsolódni hozzá. Mondom szép. Jöhetett egy reinstall, amihez viszont a gépen nem, csak a nason voltak friss mentések, szóval egy ősrégi mentést kapartam elő amit még tavaly júniusban csináltam, csak hogy legalább elérhessem a NAS-t a friss ropogós mentéssel
... Szóval kalandos volt, és valószínűleg nem fog soha kiderülni, hogy mi történhetett... De lassan majd úgyis szeretnék egy teljes reinstallt átgondoltabban, mint most.
-
Véreshurka
senior tag
Sziasztok!
Esetleg valakinek nem lenne tippe, hogy miért állhat le néha a DNS Resolver?
-
Véreshurka
senior tag
válasz
paizinho #601 üzenetére
Nekem is az tűnt fel egyrészt, hogy nagyon meleget mutatott mind a kezdőlap, mind a kezem
. Fórumokon olvastam, hogy egy újratelepítés megoldotta. Lehet egyébként pfblocker-nél nem vált volna be, meg ott azért több a konfig is, mint ntopng-nél. De szerintem csak a verzióváltás miatt akadhatott be valami kinél ez, kinél az a program.
-
Véreshurka
senior tag
Szeparáláshoz, ha pl. ezek az interfészeid vannak: WAN LAN Guest
Firewall >> Rules >> Guest
Action: Pass
Interface: Guest
Address Family: IPv4
Protocol: Any
Source: a legördülőből válaszd ki a Guest NET-et
Destination: Invert match: pipa ; legördülőből válaszd ki a LAN net-et
Log: ha szeretnéd logolhatod, akkor pipa
Description: adj neki valami címetA Guest-et cseréld ki arra ami nálad a neve a vendég hálónak.
Ez egy alap tiltás a hálózatok között. Ebből kiindulva kellene majd engedned a TightVNC portját, hogy azt tudd használni. Pl: csinálj egy alias-t ahova az olyan portokat fogod felvenni amiket szeretnél majd a későbbiekben átengedni. Erre az alias-ra pedig készíts egy tűzfalszabályt, amit a tiltó szabály elé teszel.
[ Szerkesztve ]
-
Véreshurka
senior tag
Igen, azt hiszem erre. Ha jól tudom nem fogja. De nézz szét még itt is: [link] , keresd a clearnet kifejezést, de hasznos egyébként az egészet átrágni. Most én is rosszul emlékeztem, mert úgy látom a DNS forward-el van megoldva a clear VLAN. Szerintem ez egy egész jó kiindulópont konfiguráláshoz, ráadásul már a 2.5-höz ki is egészült.
[ Szerkesztve ]
-
Véreshurka
senior tag
Igen a torrent ment nálam is tovább, sőt tudtam hozzáadni újat is, bár ugyanabból a trackerből adtam hozzá (linux mint ISO-kal próbáltam ki: cinnamon, mate és xfce verziók). Azt még ki fogom próbálni, hogy más trackerből tudok-e hozzáadni torrentet és azzal mit fog kezdeni. A routert nem kell kikapcsolni a teszthez de a gépet lehet, hogy igen. Ezt akarom majd még én is kipróbálni, illetve majd akarok érdeklődni valamelyik külföldi fórumban is, hogy most akkor kihagytam valamit a tiltó szabályból, vagy valamit máshogy kell-e beállítani. Annyi a bajom, hogy a netgate fórumán nem igen válaszolnak ha érződik a kérdezőn, hogy nem egy hálózati / BSD-s ember.
-
Véreshurka
senior tag
Most nincs előttem a router felülete, de amikor létrehozod az új hálózatot akkor ott ahol megadod a DHCP tulajdonságait az adott hálózatnak tudsz külön DNS szervert is adni neki. Bár rég használtam a pfBlocker-t, de szerintem ott is ki lehet jelölni, hogy mely interfészeken működjön. Általában a devel verziót szokták ajánlani pfblocker-ből, ami ugyan beta-ként (?) szerepel a csomagok között, de teljesen stabil. Ezt esetleg lesd meg: [link]
Nálam pl. a fő hálózat VPN mögött megy adguard DNS-el, de van egy VLAN-om ami viszont teljesen sima, mintha nem használnék semmit: nincs VPN mögött, és az ISP-től kapott DNS-t használja. ezen a VLAN-on mennek a dolgozós laptopok.
[ Szerkesztve ]
-
Véreshurka
senior tag
Szia. Megnéztem tegnap, csak már írni nem volt erőm. Érdekes módon a torrent nálam is futott tovább. A ping akkor ment tovább, ha ping közben alkalmaztam a tűzfal szabályt, ha másik ping-et indítottam ott már nem ment, illetve ha leállítottam a pinget majd újraindítottam akkor sem ment tovább. Weboldalak nem jöttek be, egyedül az ahonnan a torrentet töltöttem, gondolom cache-ből(?) mehetett még. Most hirtelen nem tudok másra gondolni mint, hogy a már meglévő, azaz az established kapcsolatokat (Diagnostic >> States menüpont) nem bontja a tűzfal. Hátha jár erre valaki aki jobban képben van ezzel kapcsolatban és jobb magyarázatot tud adni. De most már ez engem is érdekel, majd még próbálkozom utánajárással külföldi fórumokon.
-
Véreshurka
senior tag
Világos, én is csak úgy sunyin fürdés közben frissítettem, hoigy ne legyen gond
. Sorrend egyébként rendben a szabályoknál? Ne feledd, hogy fentről lefelé halad a szabályokkal, szóval ha esetleg egy teljes engedő szabály alatt van a tiltó szabályod úgy nem fog működni, Ha tiltó szabályt használok azt általában legfelülre szoktam beállítani. Pl. legfelül van egy Anti Lockout szabályom, alatta egy Ping-et engedő szabályom, és rögtön alatta a tiltó szabály, majd alatta a többi.
-
Véreshurka
senior tag
Akinek be van üzemelve pfSense alatt a NUT és még nem frissített 2.5-re és nem működik driver hibára panaszkodva a NUT, az frissítsen. Egész délután ezzel szoptam, végül kapott egy frissítést a pfSense és láss csodát működik újból. Pedig még csak nem is volt a NUT csomagnak frissítése.
-
Véreshurka
senior tag
-
Véreshurka
senior tag
válasz
Véreshurka #541 üzenetére
Még egy apróság:
Ha valaki nem akar még frissíteni, akkor csomagot már ne frissítsen (akkor sem ha van elérhető frissítés) addig amíg a rendszert nem frissítette!!!
-
Véreshurka
senior tag
Kössz! Szerintem várok a frissítéssel még egy darabig, kíváncsi leszek a véleményekre ,bár eddig ahogy láttam a frissítést mindig azonnal frissítettem.
UI: a plus verzió nem netgate-es HW-re valószínűleg 2021. június tájékán várható, addig csak a 2.5.0 CE rakható fel.
[ Szerkesztve ]
-
Véreshurka
senior tag
Nálam a Split DNS megoldás vált be: DNS Resolver --> Host Overrides (a lap alján majdnem). Nálam pl. a NAS-ra van irányítva egy:
Host: nas
Domain: duckdns.org
IP Address: a nas belső IP címe
Ha több DDNS neved is van akkor felveheted őket még +-ban. Így a nas.duckdns.org:portszám alapján elérem.szerk.: De látom már működik. Hogyan állítottad be végül?
[ Szerkesztve ]
-
Véreshurka
senior tag
válasz
Véreshurka #503 üzenetére
Amiket eddig megtudtam:
pfSense Plus: closed source, teljesen az alapoktól fog megváltozni a rendszer, lesznek + csomagok amik eddig nem voltak és csak a Plus verzióban lesz elérhető.
pfSense CE: marad open source, viszont a netgate a közösség erejében bízva elengedi a kezét és csak hibajavításokat fog kiadni rá, a Plus verziós + csomagok nem fognak átmenni a CE verzióba.
Ebből kiindulva kérdéses, hogy mi lesz a sorsa egyáltalán a CE verziónak, illetve, hogy pl. a wireguard bekerül-e a CE verzióba. De az is kérdés pl., hogy mi lesz a sorsa az olyan csomagoknak a Plus verzióban mint a pfBlockerNG, az ACME, vagy a HAProxy.
Egyébként a netgate fórumon is tárgyalják a témát, páran meg is vannak lepődve.
-
Véreshurka
senior tag
A wireguard megütötte a fülemet és olvastam egy hírt erről: [link] . Itt pedig megütötte a szememet a pfSense +. Most ha jól értelmeztem akkor lesz egy pfSense Community Edition (CE) meg egy pfSense + verzió? És a + verzióban lesznek olyan funkciók amik nem lesznek elérhetőek a CE verzióban? Bár azt is olvastam a kommentek között, hogy a + verzió ingyenes lesz otthonra és tesztelésre. Nem tudom mi fog ebből kisülni, figyelni fogom a fejleményeket, elvileg februárban fog jönni mind a 2.5 CE, mind a 21.02 +. Valaki esetleg jobban tájékozódott ebben a témában?
-
Véreshurka
senior tag
Ha egy hálózaton belül vannak a gépek akkor el kellene érniük egymást, nem kell hozzá tűzfalszabály. WAN címet mi osztott neked? Van mégegy router a hálózaton? Mert nálam pl. a WAN címem a külső publikus címem (PPPoE passthrough van beállítva a T-től kapott modemen). Akkor lenne belső cím ha azt egy másik routertől kapnám. Ha viszont ez így van akkor szerintem valami gubanc lesz a másik routeren. opnSense-t sajnos nem ismerem, ott kicsit másképp vannak a menüpontok mint pfSense alatt. Amit javasolhatok addig amíg nem jön valaki aki jobbam ért hozzá:
- ha a szolgáltatói eszközöd NAT-ol (nem ugyanaz az IP címed a szolgáltatói routeren belül, mint a mondjuk a whatismyipaddress.com oldalon) és ezt nem is lehet átállíttatni, akkor a szolgáltatói eszközön adj az opnSense gépednek statikus IP címet MAC cím alapján,
- ezután én előről kezdeném a telepítését a dolognak: ellenőrizd a letöltött pf/opnsense file-ok sha256 értékét, hogy minden rendben volt, azt töltötted le amit akartál; ha minden stimmel akkor húzd újra a gépet azzal a rendszerrel amivel akarod, esetleg megpróbálkozhatsz újra a pfsense-el, ahhoz sokkal több leírás és youtube videó-t lehet megtalálni a neten (bár opnsense-t nem kerestem): pl. elindulhatnál ennek a videónak a mentén: [link] , itt teljesen az alapoktól kezdik el, és ha jól emlékszem egy teljesen alap rendszert hoznak létre. Hátha csak valamit neked nem sikerült elsőre jól beállítani. Kövesgd pontosan a lépéseket, szerintem akkor nem lesz gond azzal, hogy működjön a net-ed és a hálózatod. Ha pedig fog működni akkor már ismerős lesznek a dolgok és eldöntheted, hogy merre is akarsz továbblépni: maradnál pfsense-en, vagy átmennél opnsense-re.Ha esetleg nincs kedved újra nekiállni a telpítésnek (amit teljesen megértenék, nekem a mostani konfigomat 3-4 nap alatt tudtam elérni, sokszor nem működött ez, vagy az és a vége mindig egy újratelepítés és elejéről kezdés lett, érdemes azért ennek türelemmel nekiállni, főleg ha először csinálsz ilyet), akkor várj egy kicsit, hátha lesz valaki aki tud majd segíteni.
[ Szerkesztve ]
-
Véreshurka
senior tag
Bár nekem nem lesz ötletem arra, hogy miért nem éred el a DHCP Leases felületed opnsense alatt, de ahhoz, hogy legalább tudd az ip címeket és esetleg a MACV címeket, hogy statikus IP-t tudj osztani a gépeknek ,keresd meg az ARP Table-t, ott benne lesz minden, remélhetőleg ezt megnyitni nem lesz gond. Bár régi fórumbejegyzést találtam csak, de aszerint itt kellene lennie: Interfaces/Diagnostics/ARP Table. A másik kérdésedre hátha tud majd valaki más mondani valamit.
Alapból a pfSense-el nem próbálkoztál? Milyen hardware-re tetted fel? Még esetleg arra tudnék gondolni, hogy realtek-es NIC-ed van a HW-en és az okoz gondot, elvileg nem szereti ezeket a NIC-eket a freebsd.
-
Véreshurka
senior tag
Én így használom, nincs gond (airvpn + dnsexit ddns, de ennek szerintem nem kellene számítania). Úgyis gond van ha felveszed a ddns címedet a DNS Resolver -> Host Overrides alatt? pl. traders.ddnscímem.hu-t állítod be a nas-ra, így:
Host: traders
Parrent domain of host: ddnscímem.hu
IP to return to host: a NAS belső IP címe
Description: amit akarszEsetleg még tudom ajánlani ezt az oldalt: [link] , én ez alapján lőttem be elég sok mindent. Nyálazd át, esetleg hasonlítsd össze a saját konfigoddal, hogy hol lehet az eltérés.
A kolléga nem otthonra VPN-ezik be, hanem VPN szolgáltatón kersztül éri el a nagyvilágot ha jól vettem ki a hsz-ből és ezért? nem éri el a nas-t ddns-en keresztül.
-
Véreshurka
senior tag
Bár tudom, hogy nem vigasz ilyenkor, de az ubiquiti topikban is van akinek problémája van a DIGI nettel, ott is megszakad a net egy idő után ha EdgeRouter-rel csatlakozik fel a netre. Ha jól olvastam a topikot még nem lett rá megoldás. Digis- topikban nmég ráérdeklődhetsz, hátha.
[ Szerkesztve ]
-
Véreshurka
senior tag
Sziasztok!
Csináltam pár virtuális gépet amik dhcp-n kapják az ip címüket. Viszont azt vettem észre, hogy hiába törlöm a Status/DHCP Leases alatt a már lejárt címeket, megy sorban a kiosztásokkal. .100 - .200 között vannak a dhcp-n kiosztható címek. A
Show all configured leases
gombbal kilistáztattam az összes eddig kiosztott címet, majd töröltem a már lejárt címeket, de még így is folyamatosan halad a címkiosztás. Amikor észrevettem akkor jártam .122-nél, törlés után mégis a .123-al folytatta. Valamit én csinálok rosszul? Vagy kellene még valamit csinálnom, hogy újra elölről kezdje a kiosztásokat?Előre is köszi!
-
-
Véreshurka
senior tag
válasz
Multibit #453 üzenetére
Leírásból indultál ki, vagy saját kútfőből? Ha leírásból, tudnál dobni egy linket? Bár nem ugyanaz a rendszer, de szerintem a freebsd alap miatt fel tudnám használni. Vagy ha saját kútfőből, akkor nem lenne túl nagy kérés egy kis leírást kérni?
Nálam faszán felismeri az UPS-t, minden frankó, de nem tudom, hogy mi a helyzet a hálózaton lógó gépekkel. Ennyi van beállítva a nut driverben:
Remote IP address or hostname:
a.UPS.LAN.IP.címe
Extra Arguments to driver:
ignorelb
override.battery.charge.warning = 25
override.battery.charge.low = 20
Additional configuration lines for upsd.users:
[remoteuser]
password = mypassword
upsmon slaveA slave config-ot látom ugyan az upsd.users alatt, de még lusta voltam megnézni a nut dokumentációt, hogy mi is az pontosan. Hátha össze lehetne ollózni a beállításokat
-
Véreshurka
senior tag
Sziasztok!
Van aki használja esetleg a nut csomagot pfsense alatt? Ha igen, ez alapján állítottam be: [link] . Ezek a beállítások azt jelentik, hogy így kezelni tudja az UPS a hálózatra és a UPS-re kötött eszközöket és ha bármi van akkor azokat leállítja?
Előre is köszi!
-
Véreshurka
senior tag
Kössz mindenkinek!
#448 HummeRC: Virtualizálni tervezek, de azt inkább próbálgatásnak tekinteném, mi mit okoz stb... Most raktam össze egy itthoni amolyan játszós szervert proxmox-al, abban tervezek majd egy külön hálózatot létrehozni pár klienssel ahol lehet játszadozni mindennel IS
Egyelőre ismerkedem vele...
#449 Patic: Az elején én is nagyon benne voltam, sok különböző beálítást követtem mire eljutottam a mostani állapothoz, akkor egész pengének éreztem magam az alapokhoz, még a pfblockerNG is jól ment, de most azt nem használom, jól el is felejtettem még azt is amit tudtam, pedig tényleg jól ment.
#450 inf3rn: A txt fájl jó ötlet! Linux-al ismerkedem mostanában, ahhoz elég sokat készítek is főleg ugye a parancssorhoz. Amikor a router-t belőttem valamiért erről el is feledkeztem és csak most jövök rá milyen sokat is felejtek elég rövid idő alatt
. A jó beállításoknak hála
De azt hiszem ezt el is kezdem pfsense-nél is... Bash / script még egyáltalán nem ismerős, nem is próbálkoztam még vele, de lassan majd rászánom magam, mert hasznosnak tűnik nem csak itt, hanem linux alatt is.
Még ugyan ott lennének a hivatalos doksik is az oldalukon, de azok néha olyan szárazak, hogy sokszor elmegy a kedvem az olvasásától
-
Véreshurka
senior tag
Tippeket szeretnék kérni:
Aki mondjuk csak otthon használ pfsense-t (igazából bármilyen software-t, a lényeg, hogy nem gyakran találkozik vele), hogyan tartja karban azt a tudást amit már megszerzett? Egy jó fél éve megy hibátlanul a router, max annyit kell tennem, hogy pár portot fel kell vennem néha egy aliasban, de ezen kívül nagyon eseménytelen a helyzet. A hétvégén kellett volna pl. portot nyitnom és totál elfelejtettem, hogy ezt hogyan is kell megcsinálni pedig tudtam. Az a baj, hogyha sokáig nem kell hozzányúlni valamihez akkor az addig megszerzett tudás (legalábbis nálam) kezd szépen lassan feledésbe merülni. Erre van valakinek valamilyen jó tippje?
Előre is köszi!
-
Véreshurka
senior tag
válasz
Multibit #444 üzenetére
És tényleg. Kössz, hogy szóltál!
Pedig direkt figyelem az oldalukat. Nem verték nagydobra. Azt hittem volna, hogy több helyen fogják hirdetni, szerintem megnőne a kereslet. Megnéztem a protectli oldalát is, ott sincs róla szó, pedig szerintem tuti összedolgoznak. Most a cyber monday alatt egy hirtelen pillanatra elgondolkodtam, hogy vennék egy Unifi Dream Machine Pro-t, de ezek után már végképp leteszek róla. Jövőre szerintem le is cserélem a Qotom-omat egy Protectli-re, az idénre már kiköltekeztem. Esetleg lelevelezem velük, hogy ha elküldöm hozzájuk akkor nem flashelnének-e a Qotom-ra is egy Coreboot + ME_cleaner kombót
Nem lenne rossz, és szerintem nem lehet nagy különbség a kettő eszköz között, szerintem ugyanazokból az alapokból épül fel egyik is mint a másik.
-
Véreshurka
senior tag
válasz
jameshun02 #442 üzenetére
Mármint egy másik interfészen lévő belső hálózaton, esetleg VLAN-on? Szerintem ezt is a tűzfalon kellene megoldani. Nekem olyan szabály van felvéve az egyes VLAN-okhoz tartozóan, hogy csak bizonyos portokat engedjen a belső hálón is. Ehhez csináltam két Alias-t: az egyik alias a belső hálózataimat tartalmazza a másikban pedig a különböző portokat defininálom, majd erre a két aliasra csináltam egy tűzfalszabályt:
Protocol: IPv4 TCP/UDP
Source: amelyik interface-en létre szeretnéd hozni (pl. LAN)
Source Port: any
Destination: az az alias ami a belső hálózatokat tartja nyílván
Destination Port:az az alias ami a portszámokat tartja nyílván
Ha szeretnéd Log-olni akkor bekapcsolod
Nevezd el a szabályt
Save & ApplyUgyanilyen metódussal van pl. megoldva, hogy milyen portokat engedek be.
[ Szerkesztve ]
-
Véreshurka
senior tag
válasz
BeeNiTTo #439 üzenetére
Szerintem attól, hogy tier1 van megadva mindkét wan-hoz az nem adja össze a sebességet. Nem vagyok elmélyedve a témában, biztos lesz valaki aki jobban ért hozzá. Szerintem ha load balancing van beállítva akkor a csoporton belül lévő kapcsolatok közül mindig a legjobb kapcsolatot preferálja pfsense, ezért is váltakozik gyakran a címed. Ezt szerintem ping-el ellenőrzi a háttérben, és ha az egyiken kisebb a latency akkor azt a kapcsolatot fogja előnyben részesíteni. De ha valamit nem jól írok, remélem kijavít valaki.
Nálam is van wan group, és sajnos én is sokszor belefutok abba amit írtál...
-
Véreshurka
senior tag
válasz
BeeNiTTo #437 üzenetére
Azt nem tudom, hogy lehet-e olyat, hogy összeadódjon a két sebesség, erre esetleg más majd tud mondani valamit.
A fail over nagyjából az amit mondasz. A lényeg, hogy ha valamiért kiesne a tier1-es wan kapcsolatod akkor a helyét átveszi a tier2-es kapcsolat gondolom addig amíg a tier1-es kapcsolat helyre nem áll.
-
Véreshurka
senior tag
válasz
BeeNiTTo #435 üzenetére
És kell neked a teljes load balance, vagy csak fail over-t akartál volna beállítani? A gond az, hogy változik időközben az IP-d (átment a forgalmad a másik wan-ra) és ilyenkor az oldal (főleg ahol be kell lépni) újra kéri az adataidat. Ha nem fontos a load balance, szerintem maradj a fail over-nél: a gateway group-ban azt a kapcsolatot állítsd be tier1-re amit elsődlegesen szeretnél használni, a másikat tier2-re.
[ Szerkesztve ]
-
Véreshurka
senior tag
válasz
jameshun02 #430 üzenetére
Ez nálam is így van. Nem tudom, hogy szolgáltató függő-e, vagy attól függ ahogyan a kapcsolat felépül. Miért nem használsz ddns-t? Akkor nem lenne ezzel gond, pfsense-ben tudnád frissíteni is. Megnézed miket támogat (elég sokat) és azok közül választasz egyet.
-
Véreshurka
senior tag
válasz
jameshun02 #428 üzenetére
Szolgáltatót nem kérdezted, hogy szerintük mi lehet a gond? Nálam most volt egy olyan (igaz csak VDSL, de ugyan úgy pppoe), hogy rendszeresen megszakadt a kapcsolatom. Mint kiderült csak kábelt kellett cserélni (ami a modembe megy, RJ11 talán)...
-
Véreshurka
senior tag
Nem javult meg? Nálam is volt ilyen még régebben, főleg az androidos eszközökön. Jelezte, hogy nincs internet de csatlakozni tudott. Itt ƬΛЯΛ pl. nem ajánlotta a switch létrehozását, illetve ezután mintha én is olvastam volna, hogy nem igazán ajánlott a switch. Ha nagyon kell a switch 10 ezer körül már vannak managelhető 5 / 8 portos switchek (pl. netgear, tp-link).
-
Véreshurka
senior tag
válasz
Véreshurka #414 üzenetére
Azt elfelejtettem, hogy a szabályok sorrendje is számít: tedd ezt a szabályt legfelülre. Save + Apply ne maradjon el!
-
Véreshurka
senior tag
válasz
Véreshurka #412 üzenetére
Volt egy ilyen szabályom, így nézett ki:
Alias-al szerintem jól meg lehet határozni, hogy milyen eszközöket szeretnél blokkolni:
Firewall/Aliases/IP:
+Add gomb megnyomása
Name: Elnevezed az Alias-t (pl. Blokkolt_eszkozok)
Description: Ide azt írsz amit szeretnél, hogy a későbbiekben be tudd azonosítani az alias-t
Type: Host(s)
+Add Host gomb megnyomása
Az Address mezőbe beírod a gép IP címét (192.168.x.x), a Description mezőbe beírod mi ez a gép
Save, majd Apply ha kell.Maga a tűzfalszabály:
Firewall/Rules/Az Interface amin létre szeretnéd hozni (pl. LAN):
Action: Reject vagy Block
Interface: Az Interface amin létre szeretnéd hozni (pl. LAN)
Address Family: IPv4 (feltételezve, hogy nem használsz IPv6-ot)
Protocol: Any
Source: Az 1. legördülő menüben kiválasztod: Single host or alias, a jobbra mellette levő mezőbe elkezded begépelni az előbb létrehozott alias-od nevét, vagy csak simán megadod a gép IP címét
Destination: bejelölöd, hogy Invert match, majd vagy kiválasztod azt a hálózatot ahonnan el akarod érni (ha 2 interfaced van ami WAN és LAN akkor a LAN NET kell neked), vagy létrehozol egy új alias-t ahol a helyi hálózatodat, vagy hálózataidat definiálod (ugyanúgy az IP rész kell neked mint az előbb csak Type Network(s) lesz, amikor pedig hozzáadsz akkor így adod meg pl.: 192.168.x.x/24 - persze a saját hálózatodhoz igazítva)
Log: ha szeretnéd logolni bejelölöd
Description: Adsz neki egy egy leírást, hogy a későbbiekben is tudd mi ez a szabály
Save majd ApplyEzután ha minden okés akkor már blokkolva is lesz a gép.
Ahogy olvasom a hozzászólásod, szerintem ott csúszhatott el a dolog, hogy te a WAN interface-en akartad blokkolni az eszközt, miközben azon az Interface-en kell blokkolnod ahonnan pl az IP-t kapja (pl. LAN, avgy ami nálad van).
[ Szerkesztve ]
-
-
Véreshurka
senior tag
& inf3rno meg akit esetleg érdekel
Az Intel Management Engine-el tisztában vagyok. Pont múlt hónapban vettem fel a kapcsolatot újra a 3mdeb csapattal és érdeklődtem tőlük úgy nagy vonalakban a Coreboot-ról és, hogy esetleg az általuk is forgalmazott Protectli gépeken az IME ki van-e pucolva annyira amennyire lehetséges és ha nincs, akkor hallottak-e a me_cleaner-ről. Viszont válaszukban írták, hogy nincs kipucolva az IME a Protectli-ken, de elgondolkodnak róla, hogy teszteljék és esetlegesen a későbbiekben ezzel a lehetőséggel is bővítsék a kínálatukat. És ez szerintem nem csak a Protectli gépeket érintené hanem a mellette is forgalmazott PCEngine APU-kat is amik már most is ugyanúgy Coreboot+SeaBIOS-al is kérhetőek. Azért is van nagy bizodalmam a lengyel srácokban, mert nagyban hozzájárulnak - amennyire meg tudom ítélni - a Coreboot fejlesztéséhez. Úgyhogy lehet, hogy nem csak régi HW-ekre lehet majd megbízhatóan pfSense-t, vagy bármi tűzfal programot rakni, hanem egy kicsit modernebb gépekre is. Én már nagyon várom... Remélem jövőre már a boltokba is kerül
-
Véreshurka
senior tag
Igen! Mostanában sok linux ISO-val próbálkozom virtuális gépként és mindig csak akkor telepítek, illetve hagyom meg az ISO-t ha nem csak a SHAxxx, vagy MDA értékeket tudom ellenőrizni, de ha az aláírásokat is a megfelelő GPG kulcsokkal. Sajnos a pfSense ISO-hoz még csak SHA256-os ellenőrzést találtam, ha jól néztem körbe a dokumentációjukban sajnos GPG kulccsal aláírt ISO még nincs a repertoárjukban.
[ Szerkesztve ]
-
Véreshurka
senior tag
Világos! Ezzel mélyebben még nem foglalkoztam, de majd beleásom magam! Kössz, hogy rávilágítottál! Akkor ezek szerint ezzel a paranccsal:
hdparm --user-master u --security-erase-enhanced PasSWorD /dev/sdX
sem megyek semmire - feltételezve, hogy az előfeltételeknek már eleget tettem, mint mondjuk a Password létrehozása és ellenőriztem, hogy az adott SSD "not frozen"?[ Szerkesztve ]
-
Véreshurka
senior tag
Nevezzetek alusapkás, paranoid, chemtrail hívőnek, de mielőtt belevágtam a pfsense-be sok helyen olvastam - ok, főleg kínai minipc-kre előre telepített verzióval kapcsolatban -, hogy nem célszerű előre telepített alapokról építkezni, főleg egy tűzfalnál és én ezzel csak egyet tudok érteni.. Bár kicsi a valószínűsége bármilyen hátsó ajtónak, de az ördög sosem alszik... Én még az SSD-t is gyalulnám első használatkor mondjuk egy live linux alól dd paranccsal és /dev/urandom-al, vagy a kényesebbek kedvéért valamilyen az SSD-t jobban kímélő módszerrel. Szerintem érdemes elgondolkodni rajta, és még legalább tapasztalatot is lehet szerezni közben.
-
Véreshurka
senior tag
DHCP-n nincs DNS beállítva, illetve a forwarder service sincs engedélyezve, csak a resolver. Most úgy sikerült működésre bírnom, hogy a Services --> DNS resolver menüben a DNS Query Forwarding-ot engedélyeztem, így már van névfeloldás. Esetleg erre gondoltál a forwarding-nál, vagy magára a DNS Forwarder menüre? Ehhez viszont lenne egy kérdésem. Megnéztem pár video-t amiben pfsense-t telepítenek, és sehol nem engedélyezik a DNS Query Forwarding-ot és így is működik a névfeloldás, illetve én sem emlékszem, hogy bármikor be kapcsoltam volna ezt, vagy adtam volna a DHCP szerveren belül bármikor DNS szerver címet, mégis mindig ment a névfeloldás. Ez így akkor most hogyan működik? Pl. ebben a videóban [(link)] sincs semmi extra állítva, csak az elején a gui alapján az a pár dolog ami van, mégis rögtön utána be tudott tölteni egy weboldalt.
-
Véreshurka
senior tag
Egy kis segítséget kérnék én is. Próbálok egy külön hálózatot létrehozni virtuális környezetben (Virtualbox / KVM), de nem igazán sikerül a dolog. A pfsense-re kötött vendég op. rendszereken nem működik a névfeloldás. Magán a virtuális pfsense-en tudom pingelni a goolge.com-ot, vagy bármit amit szeretnék, de ha ezt egy olyan op. rendszerről teszem ami a virtuális pfsense-hez kapcsolódik és onnan kapja az IP címét akkor ezt a hibaüzenetet kapom:
ping: google.com: Temporary failure in name resolution
.Még amit próbáltam:
- pfsense shell alól aping google.com
működik
- pfsense shell alól aznslookup google.com
ezzel jön vissza:Server: 192.168.122.1 --> ez a KVM alap hálózatának a gateway címe
Address: 192.168.122.1#53
Non-authorative answer
... (itt behozza az infokat)
- pfsense shell aznslookup google.com 127.0.0.1
ezzel jön vissza:Server: 127.0.0.1
Address: 127.0.0.1#53
** Server can't fiond google.com: SERVFAILpfSense WAN címe: 192.168.122.95 --> ezt a címet kapja a KVM alap hálózatától
pfSense LAN hálózat: 192.168.1.1/24
pfSense LAN címe: 192.168.1.1
kapcsolódó op. rendszer IP címe: 192.168.1.100 --> még DHCP-n kapja a címétHa megváltoztatom a pfsense-re kapcsolódó op. rendszer resolve.conf fájlában a nameserver-t 192.168.1.1-ről 192.168.122.1-re akkor működik újra a névfeloldás. A System --> General Setup alatt már ezek kombinációit remélhetőleg mind végigvettem: DNS szerver, DNS Server Override, Disable DNS Forwarder de még mindig nem sikerült megoldani a gondot. Egyébként ugyanez a gondom Virtualbox alatt is. Néztem egy youtube videót erről, ott csak annyit csinált emberünk, hogy adott a pfsense-nek egy + NIC-et amit Internal Network-ként allított be, elnevezte a hálózatot (pfsense), telepítette a pfsense-t, a virtuális op. rendszer beállításaiban a hálózati beállításnál a NIC-et a már létrehozott (pfsense) internal network-re állította, telepítette az op. rendszert, a gui segítségével bekonfigolta a pfsense-t, majd már működött is a névfeloldás. Én viszont el nem tudom képzelni, hogy mi lehet a gondom. Elég új nekem a virtualizáció, és mivel látom, hogy itt azért használják jó páran a pfsense-t virtuálisan is, gondoltam tudnátok segíteni.
Előre is köszönöm a válaszokat!
-
Véreshurka
senior tag
Újra is indítottad a routert? Hátha... Egy gyors keresés után pedig a legtöbb helyen ezt tanácsolják.
Amíg nem jön valaki aki tudna érdemben is válaszolni, addig ezt akár áttanulmányozhatod: Redirecting Client DNS Requests. Mintha ilyesmire lenne kitalálva.
-
Véreshurka
senior tag
1. Ok, lehet hagyom akkor az egyedi portokat. De gondolom ha bármikor meggondolnám magam akkor csak szerkesztem a fájlt.
2. Csak a description tartalmazza a pfsense szót:
"description": "Analyse OPNSense Logs and maybe pfsense too". De ahogy lesz időm majd rámegyek és meglátom mi lesz belőleJelentkezem még...
-
Véreshurka
senior tag
Nos, fut a Graylog, kapja a logokat a pfSense-től. Mielőtt nagyon beszaladnék abba a bizonyos erdőbe:
1. Ha vannak olyan portjaim amik egyediek azokat fel kell vennem külön a service-names-port-numbers.csv -ben? Vagy ezt nem piszkálnom?
2. A graysense-contentpack.json fájlban az opnsense szavakat simán átírhatom pfsense-re?,
3. Tudom, hogy az opnsense egy pfsense fork, de vajon mindent ugyanolyan logika mentén logolnak mint pfsense-ben? Tehát betölthetem majd nyugodtan a contentpack-ot? -
Véreshurka
senior tag
Graylog-hoz és Cerebro-hoz egyszer már volt szerencsém amikor Grafana-ban akartam logot megjeleníttetni, de sajnos nem jártam sikerrel. Odáig már eljutottam, hogy a Graylog megkapta a pfSense-től a logokat, de a nyers logokat már nem tudtam szétválogatni, úgy meg azért még elég erősnek éreztem, hogy bármit kezdjek vele, így azt a projektet egyelőre jegeltem és a VM-et is töröltem, de ennek fényében nekiállok akkor majd még egyszer valamikor a közeljövőben. Amennyiben kérdés lenne (és tuti lesz
, pl. mit kezdjek a linkelt repo-val
) jöhetek velük? Illetve nem gondolkodtál-e esetleg egy logout-os íráson, hogy mindenki okulhasson belőle? És köszönet a munkáért!
-
Véreshurka
senior tag
Sziasztok!
Kérdés: van-e arra bevált gyakorlat, hogy egy kommunikációs portot meghatározzak ha az nincs megnyitva a tűzfalon?
Mire is gondolok: csak azokon a portokon tudok kommunikálni amik ugye meg vannak nyitva a tűzfalon, erre létre van hozva egy port alias, és szabályként fel van véve a tűzfalon. Most például elég sok linux ISO-t töltöttem le és nem csak azon tracker-ek portszámát kellett felvennem az alias-on, hanem mivel ellenőrizni is szeretem a letöltött ISO-kat (sha256, gpg) így néhányszor belefutottam abba, hogy pgp kulcsszerverek-hez is kellett kérést intéznem és az elején nem igazán akart létrejönni a kapcsolat. Persze jó pár fórum átolvasásával meglett a portszám ami kellett, de gondolom célszerűbb lenne ezt a pfsense-es logokból kiolvasni. Ezzel csak az a bajom, hogy ugyan megvan az alap "block IPv4" szabályom a WAN interface-en és logolom is azt, de olyan sok log gyűlik össze már akár csak egy adott percre is, hogy nem fogom tudni melyik lenne az amire figyelnem kellene. Tulajdonképpen ennek a szűrési lehetősége felől érdeklődnék, hogy ki hogyan oldja meg ezt.
Előre is köszönöm!
-
Véreshurka
senior tag
Sajnos ezt hirtelen nem tudom de most, hogy említed, valóban mintha olvastam már volna erről, hogy nincs hardveres NAT. Át kéne futni ehhez az Asus Routerek topikot, hogy volt-e erről szó, mert ott sokan használják a 65P-t gigabit-es nettel és openWRT-vel. Azt viszont tartom, hogy ha minden kell olcsón (router + AP egybe + jó konfigurálhatóság) akkor nem egy rossz vétel a 65P ismerkedni a hálózatozással, persze ha csak nincs egy felesleges gép otthon amire mehet a pfsense
Mert 25-ért olyan fogyasztással, mint az Asus nem sok minden van. Akár a hiányosságaival együtt.
Új hozzászólás Aktív témák
- Kertészet, mezőgazdaság topik
- Eredeti játékok OFF topik
- Milyen okostelefont vegyek?
- Ukrajnai háború
- Samsung Galaxy S24 Ultra - ha működik, ne változtass!
- Milyen légkondit a lakásba?
- Honor 200 Pro - mobilportré
- Kingdom Come: Deliverance II - Túl a 2 millión
- Jogász topic
- Apple iPhone 16 Pro - rutinvizsga
- További aktív témák...