Hirdetés
Új hozzászólás Aktív témák
-
Erre valaki?
opnsense dhcp van, meg sok fix IP cím.
opnsense a 192.168.1.1 /gateway
AdGuardHome a 192.168.1.2 /dns serverA dns kérések opnsense alatt AGH-ra erőszakolva.
így viszont sok bejegyzés van AGH-ban, amit még opnsense is szűr.Mi történne, ha DNS szervernek is az opnsense-t adnám meg és a DNS kérés átirányítás elé raknám a szűrős szabályokat?
oopsz, a force dns az port forward, nem a szabályok között van
-
Milyen net és milyen pluginok, ez a fő kérdés. Itt olvasgass.
Ha csak otthonra, egy Adguard Home-al, kevés pluginnal: elég.
Ha van weboldalad, nagy a forgalom, suricata és egy halom plugin, stb... lehet, hogy erősebbet keresnék.
De majd a többiek kiegészítik.
-
ARM nem játszik, szal. máris kiesett egy halom alacsony fogyasztású vas. Igen, elvileg van ARM verzió, de jót még nem olvastam róla, majd kijavítanak, ha nem jól tudom.
Intel NUC-ok szerények, nem tudom, h a kis vékonykliensek mennyire futtatnák jól. Ha gigabit net van és sok plugin, suricata, stb. lenne, akkor azért kell neki kraft is. -
Multibit? lehet az AP-je nem kezeli a vlan-okat, az én switchem sem tudja.
Alias-t kell létrehozni a DHCP tartományra
Firewall rules LAN,
action: block
quick pipa
interface LAN
direction in
ip v4 + v6
protocol any
source: ALIAS
destination: LAN
invert: pipa (így lesz nem a LAN a cél), -
Kár, h nincs összefoglaló. Pár érdekes link:
open port checker
Test Ad Block
AdBlock Tester -
opnsense+AGH kombót használ valaki?
Milyen kiépítésben? opnsense-re van pluginként telepítve, vagy külön docker/lxc az AGH?
Érdekelne egy pro/con lista, tapasztalatok.Nálam most külön vannak, de néha az a gyanúm, hogy nem szűr mindent így a tűzfal.
Pl. kamera web elérését nem tudtam LAN porton blokkolni, csak wan oldalon. Azért lehetett, mert az AGH ott van a kamera és az opnsense között? -
a proxmox stabil, ha nem szemeteled tele. De a host mentése sem árt néha.
Opnsense kezeli szépen a VPN dolgokat, már a Tailscale is van pluginként. Kipróbálásra elég a vas, utána hogy mennyi torrent, plex konvertálás vagy akármi lesz még... akkor majd látod, h mit bír.
Nálam sincs bridge a routeren, dmz van az opnsense, kész. Érezhető hátránya nincs, biztos jobb a bridge, de a kínai fw-t elég macera felrakni, elengedtem. -
Frissítés jött opnSense-re!
Community pluginként fel lehet rakni a tailscale-t, nem kell csillió GB ports telepítés és make install... WebUI-n minden is van, ahogy néztem. -
opnsense alatt Tailscale frissítésnél a compile hibát dob, go123 verzió bánata van...
vki tudja a megoldást, vagy guglizzak tovább? Eddig nem sok használható infót találtam sajnos. -
opnsense-ben nem szeretek bridgelni, több helyen kell átállítani dolgokat.
Mivel PVE a host-od Neked is, egyszerűbb ott bridgelni, mert a beállításokat csak a végén változtatja meg, amikor már mindent átállítottál.
Utána ezt az OVS bridge-t kell Opnsense LAN-nak adni.SW vs HW switch: nálam nem okozott semmit a váltás, de ez nyilván a tereheléstől is függ. Ki kell próbálni, ha nagyon terheli, akkor még lehet HW swicth-re váltani.
-
válasz
Multibit
#1449
üzenetére
Sajnos nem sok minden változott...
Services widget vagy görgetős, vagy dupla széles és ronda... katasztrófa az elrendezése.
FW log widget nincs, live log semmit nem ér, severity beállítás nincs, nem is kattinthatók a bejegyzések. A sok donut és gauge aranyos, de haszontalan.Van még mit reszelgetni rajta, de legalább csinálgatják.
-
-
válasz
Multibit
#1441
üzenetére
Némelyik?
Nálam semmi sem menthető sajnos. Próbálgattam, jött update, de ezt nem javították. Bármit változtatok, save-ra csak keringőzik...
Volt róla már bejegyzés, ezért nem is foglalkoztam vele.
Most is jött frissítés, itt elég hosszú a lista...
24.7_9
system: increase widget timeout to 5 seconds
system: cores and threads flipped in system widget
system: increase the PHP children count of the web GUINah, mindjárt kiderül... nem, sz@r még most is...
De a lényeg műxik, ezt is biztosan javítják. -
jujj...
Ne, inkább ne így! A tűzfalad a hálózatod alapja, ne üss rá réseket...
Proxmoxod van, nem? Akkor fel egy debian lxc és mehet rá a torrent és a samba.PiHole-t nem tudom és pfsense-ben sem vagyok otthon, de opnsense alá/mellé lehet rakni pl. AdGuardHome-t, de itt is azt ajánlom, h rakd külön LXC-be az AGH-t, ezt állítsd be DNS servernek az eszközökön. Az AGH-ban pedig a pfsense-t add meg upstream-nek.
Következő lépcső, hogy minden DNS kérést a pfsense az AGH-ra irányít, ba-dumm-tsss... a teljes hálózatod reklám (és bármi más) mentes. Kicsi tűzfal szabály mókolás kell ezekhez, de megéri.
-
ha tűzfalnak/routernek dedikált, akkor ott nincs proxmox.
Proxmoxal egyszerűbb az élet, stabil, kezeli a mentéseket, összeköti vagy elválasztja a VMeket, ahogy szeretnéd.Ellenérv lehet, h pici linux tudás, sok olvasás ehhez is kell, főleg, ha vmi spéci dologra van szükség. Itt is lehet bánat egy egy frissítés után, bár nem jellemző. Nálam ennél és az opnsensenél is a lehető legkevesebb extra/külső cucc van telepítve, így atomstabil biztosan.
-
Milyen backup? A teljes VM? Vagy a konfig fájl?
A konfig fájl kell Neked. Feltöltheted bármikor, kell egy restart... és bukta.![;]](//cdn.rios.hu/dl/s/v1.gif)
...a mac addresseket kell módosítani, vagy már a letöltött xml-ben, vagy ha be tudsz lépni konzolon, akkor ott. Nem telepíti automatikusan a pluginokat, de írja, h mit hiányol. Nagyon felhasználóbarát, csak a mac címekre figyelj. -
válasz
Multibit
#1369
üzenetére
Eleinte? Igen...
Kipróbáltam mindent is, viszont nem szeretem, ha tele van szemetelve a rendszer és van, amit nem távolít el maradéktalanul. De azóta már volt reinstall is, egyszer a ZFS miatt, utána meg azért, mert mégsem indokolt a ZFS. De ott az XML mentésből állítottam helyre. Ohh, és a telepítő is fura, elég érdekesen particionál, indokolatlanul sok swap és hasonlók -> reinstall, manualban.
OK, a Proxmoxot is debian minimalra húztam, mert nem igényeltem az LVM-et, itthonra felesleges...
Mindennél számít, h mennyi idő helyrerakni, az opnsense meg a hálózat alapja. Anélkül se okosotthon, se net a családnak... veszélyes...
PVE helyreállítás is pár perc, csak ott monitort és bill-t kell dugni a vasra, ami extra idő, de a folyamat már gyors. -
SSH WAN felől tiltani kell, kész.
Crowdsec "információkat gyűjt a közösségtől" ehh... 3 blocklist ingyenes, ugye?
Szerintem nem frissebb, mint amiket Github-ról húzok be naponta AGH-ba. Azért majd oszd meg a tapasztalataid.
Csak pár lista, amit érdemes meglesni: Spamhaus, Stewen Black, ShadowWhisperer's Malware list. ~365k URL
AGH pluginként macerásabb, nálam külön van, de majd mondod, h milyen lett. Upstream az unbound opnsense-ben, a tűzfal meg átirányítja a kéréseket AGH-ra. AGH-ban cache kikapcsolva, csak az unbound cache-ol, mert régen ez az AGH-ban problémás volt (nem frissítette).
NTP szerver az a hálózaton az időt adja a kütyüknek, nem kell külső hálóra menniük a pontos időért. Ezt is elfogja a tűzfal és a Chrony diktál. Volt vele egy kis harc, de már műxik jól.
Zenarmor aranyos, biztos jó is, ha van előfizetés. Anélkül egy fancy demo, de ha vki mást mond, elhiszem. Nekem a free nem adott annyi plusszt, h megtartsam. -
válasz
freddirty
#1350
üzenetére
+1 a plugin dologra. Mondjuk törést nem okozott, de ez egy tűzfal, a lehető legkevesebb nem odavaló cucc fusson rajta. Még az AGH is külön van...
Telepített:
-OS-cache: webUI gyorsabban tölt be
-OS-chrony: saját NTP szerver
-OS-qemu: Proxmox igényli, adatokat kap opnsense-ből, ill. le tudja állítani
-OS-theme cicada: szép szürkés-feketés téma
Ennyi. Voltak mások, főleg eleinte, ill. amikor kerestem, h mivel monitorozzam, mert nem valami jó grafikonokat prezentál, de ezt az AGH megoldja.
A hirtelen telepítések előtt érdemes keresgélni, Crowdsec és maltrail így esett ki.Tailscale telepítés [link]
-
Szia!
VPNre Tailscale, WG alapú, de mindent beállít, nem kell szuttyogni semmivel.
Nálam unbound a dns, AGH a szűrő. Többit nem használom, zenarmor ingyenes nem vált be, crowdsec felesleges a szűrőlistáim mellé. Ha nincs webszervered, nem kell bárkinek a külső elérés (vpn-en kívül), akkor már védve is vagy, mert alapból mindent eldob, ami nem belső kérésre érkezik.
YT-hoz Brave browser, jól követi a gugli fasságait. De a tervek szerint a reklámot a streambe kódolják, csak pörgetni lehet, kikerülni nem. de ha ezt meglépik, akkor a népek otthagyják, vagy lesz rá vmi megint... -
Valaki használ Chrony NTP-t helyi hálón?
Tűzfal beállításokhoz kellene segítség -
válasz
pethy80
#1343
üzenetére
Az angol kell. Semmit nem érdemes magyarul használni, mert ha bánat van, akkor előbb még az angol megfelelőt is meg kell találni (pl. hibaüzenetnek) és arra már lesz releváns találat.
OPNsense doksi nagyon alapos, a Zenarmor oldalán is sok adat van hozzá.
Alapból biztonságos, mert amit nem bentről kérsz, hanem jön "csak úgy", azt eldobja. Ezért ha saját webserver is van, ami kifelé nyitott kell legyen, ott utána kell olvasni, h mit-hol lehet beengedni. De -meglepő- erre is van sok és alapos írás.Mivel ez az otthoni hálózat alapja lesz, nem ajánlott belepiszkálni (mittomén megosztott mappát létrehozni, külső alkalmazást telepíteni, stb.) a webUI-n kívül. De szinte minden megoldható onnan (Tailscale telepítés még nem, de remélem ez is hamarosan csak 2 kattintás lesz).
-
válasz
pethy80
#1340
üzenetére
Szia!
Jó régi posztra írtál...
Röviden válaszolok, igaz nálam a "tesója", az OPNsense fut. Összehasonlítás, tömören.
FreeBSD-t ezer éve nem telepítettem, ahhoz nem tudom hasonlítani. De egy linux telepítésénél nem bonyolultabb a telepítése.A telepítésről, első beállításokról rengeteg videó és tutorial van a neten (főleg angol és német nyelven, de minimál angol tudás szükséges hozzá amúgy is). Van pár dolog, amit el kell dönteni, pl. fájlrendszer (ZFS vagy UFS), mi a terv vele (sok addon van hozzá, ha sokmindent telepítesz, akkor nagyobb tárhely kell, stb.).
Azt javaslom, h telepítsd, nézd meg mik a lehetőségek, mit bír a vas, amire rakod. Utána eldöntöd, h mire van szükség és egy újrahúzásnál már pontosabban tudod, h milyen fájlrendszer, mekkora tárhely, milyen addon kell.
A rendszer mentése-helyreállítása zseniális, egy XML fájlba ment mindent. Újrahúzáskor pikk-pakk helyreállítható.Miért több vagy jobb, mint átlag router? Huhhh... szabadság, az összerakott progik jók, de bővíthető is. Jó DHCP, UNbound DNS, ha nem elég vagy nem tetszik a log, akkor lehet rakni mellé AdGuardHome-t. Teljesen a kezedben van, h mit engedsz be/ki.
Traffic shaping, rengeteg féle szabály beállítható. Nálam pl. vannak a fix IP cuccok, több kategória, más sávszélességgel. Gyereknek éjjelre a net lekapcsol , stb... Akkor ott a csillió féle VPN, Suricata IPS, meg a fene tudja, h mi minden telepíthető. Gyors és stabil, eddig hááát... nem is tudom, mondjuk legyen 3 alkalom, h bármi gond volt, abból minimum 2× én konfigoltam "túl" Ha leírod, h mire lenne szükség és milyen HW van hozzá, akkor itt többen tudunk segíteni.
-
Nah, elnézést a KEA DHCP-től... A hiba a Tenda AP-ben van.
Ma is előjött a dolog, h nincs net, pedig van. Viszont nem "jut" mindenkinek.
PC-m is a tenda AP-hez kapcsolódott a server helyett... lol.OK, akkor tenda megnyit... szerinte nincs upstream -ami igaz volt pár percig, volt egy restart, kis takarítás, stb-, ezért Ő átvette a router szerepet... háteszthogy?
Az a vicc, h nincs upstream ellenére volt net az eszközök többségénél.Miféle retardáltak programozzák így az AP módot?
Miért nincs X percenként upstream teszt? Miért gondolják, ha nincs upstream, akkor igény van lokál wifire, ami a sehova nem vezet? Mondjuk ez még védhető lenne, na de nah... "Igazi" dedikált AP-m még nem volt, ha ez a normál működés, akkor inkább építek... -
Újrahúztam az opnsense-t, mert a 40 GB ajánlott lemez méret "enyhén" túlzás. Nem ismertem, bedőltem aanno a netes telepítő leírásoknak. Még kiegekkel sem volt ennyi, alapból pedig sokkal kevesebbel beéri. Nálam a belakott rendszer (igyekeztem minél kevesebb bármit ide telepíteni, mégiscsak tűzfal lenne...) alig 10 GB volt, ebből 2,7 GB a ports, meg egy nagy darab SWAP.
Mivel UFS helyett ZFS-t szerettem volna, így új install kellett (PVE alatt klón, majd oda új HDD és arra tiszta install). A 14 GB HDD-n meglepően kevés szabad hely maradt... Az automatikus ZFS install egy 8 GB-os swapot hozott létre... Ráadásul középső partícióként, szal. hamar az újabb telepítés mellett döntöttem. A manuális lehetőséget választottam, guided ZFS telepítés. Itt már csak 2 GB Swap a default...
Ezt is sokallom, de ezzel már lehetne élni, minden esetre 1 G-re állítottam, ha kell, akkor GUI-n is lehet 2 GB-t hozzáadni. -
Sok változást nem látni. Kea DHCP fogja váltani a korábbit, nekem volt vele bajom, valamiért az AP szerint nem volt internet, de az eszközeimet és az AP-t is elértem... internet nem volt nekik... Még egyesével kellett kopipésztezni a régiből az IP-ket.
De ez is opcionális, mint sok minden, nem erőltetik a váltást.
Szal. frissítheted nyugodtan, ami új azt vagy kipróbálod vagy nem. -
opnsense frissítés jött, sok hasznos dolog van benne, pl.:
- CSV import/export to the Kea DHCP: ezt nagyon kerestem, amikor kipróbáltam
- system: prevent gateway removal when it is currently bound to an interface, ez rendesen megőrített, érdekes, hogy működött, pedig eltávolította... -
-
Lazán...
Nálam az alaplapi a wan, a 2 portos NIC a LAN. A WAN egy linux bridge (mert egyszerűbb, nem kell esetleg driverrel szívni freeBSD alatt, passthrough nálam nem hozna sokat), a 2 LAN pedig OVS bridge, saját IP címmel, amin a PVE elérhető. Épp ezért ilyen:
Szal. ha nem a Proxmoxot ölöm meg, akkor elérem a vackaim. És a DNS szerver is külön van (csak a helyi, a caching DNS az unbound). -
válasz
MasterHUn
#1315
üzenetére
Má' úgy érted, h kész a Proxmox és egy VM-ben van az opnsense.
Proxmox-nál PVE node, network:
wan portod add hozzá linux bridge-hez, ez a vmbr0 lesz, de lehet passthrough is a fizikai wan portnak a VM-hez.
Egy portot megtarthatsz managementre vagy az extra szervernek, de nem szükséges.
A többi portra hozz létre egy OVS bridge-t. Ez egy switch lesz, mindegyik LAN port ugyan azon az IP címen. Ezt az OVS bridge-t adod opnsense-hez, ez lesz a LAN.
Ha linux bridge-t adtál hozzá, akkor működnie kell, nem értem mi lehetett a hibaüzenet. -
-
Mielőtt nagyon belemélyedsz, gondold át egy Proxmox telepítését hypervisor-nak.
Van PVE topik, részletes leírások, nem bonyolultabb, mint egy átlag Linux telepítése. Kezdésnél van pár lépés, ami opcionális, de előnyös, ha nem lesz cluster/több PVE összekapcsolva. Viszont ha bármikor kizárod magad, akkor opnsense-t kiírni pendrive-ra, monitor, billentyűzet a géphez és újrahúzás, mentés betöltése, frissítés...
Zártam már ki magam, heti 2 mentésem van, HDD-ről SSD-re a mentést visszaállítása max 5 perc. Ahogy egyre inkább használod, kipróbálsz plugint, vagy majd frissíted és valami félremegy... hát nem lennék a helyedben. Nem azt mondom, h ezek megtörténhetnek.
Azt mondom, h ezek meg fognak történni. Lehet nem most, nem a jövő hónapban... de valamikor. PVE-vel nyugodtabban alszol Ha ki akarsz vmit próbálni, akkor nyomsz egy snapshot-ot és hajrá. Ha félremegy, akkor visszatölt és annyi. PVE is kb. mint az opnsense, ha beállítod, utána sokat nem kell foglalkozni már vele, teszi a dolgát. -
válasz
MasterHUn
#1307
üzenetére
OK, ha a TP link routered is oszt IP címeket, akkor lehet ütközés. Ha azt lehúzod, akkor az eszközeid kapnak IP-t az opnsense-től? Lehet restart kell nekik. A DHCP/Leases-ben látod, h kapott-e vmi IP-t. Ha ez a rész működik, akkor a modemet kellene a WAN portra dugni és beállítani a Gateway-hoz az adatokat, ez nem gond, ha a másik routerrel ment.
Ha minden OK, akkor van net és van belső háló is, DHCP-vel.
Jah, DHCP oldalon a gateway-t hagyd üresen, az a default.
Ha minden OK, akkor mélyvíz jön -
válasz
MasterHUn
#1302
üzenetére
Hááát... Most még az elején van rá lehetőség, h PVE-t rakj alá és VM-ben futtasd. Később lehet mellé mást is rakni, ami nem hátrány. Előny, h a PVE elmenti Neked, nem kell külön mentéssel bajlódni, LAN portok beállítása, kiosztása egyszerűbb.
Hátrány, h PVE-t is néha menteni kell, manuálisan (rajta vagyok, h Clonezilla-t csak indítsam és fusson le a mentés script, de ehh...
).
Ha marad így, akkor kellene kép az interfaces/assigments-ről.
Ha 4 van és egyet külön hálónak szánsz (fentebb írtad):
"A Lan1.-en külön szeretnék futtatni egy fizikai szervert, gyakorlatilag elkülönítve.
A lan2 meg lenne a normál otthoni lába amiről menne minden mint eddig."
akkor 3-at lehet ebből bridgelni, a 4. menne a szerverhez. A 3 port az kvázi switch-ként fog működni, de ha megtartod a switchet, akkor ezt kihagyhatod.
Ha az assigments kész, azaz beállítottad a WAN-t, LAN-t, hogy melyik legyen, akkor az interfaces/WAN alatt beállítod a netre kapcsolódás adatait, az egyszerűség miatt most a régi routered maradjon a switch-ről kábel az opnsense WAN-ba és hagyd DHCP-n.
Enable interface be, block privete networks ki, block bogon be, és upstream gateway-t kiválasztod.
System/Gateway: lehet ezt kell előbb, nem tudom... Nem sok dolog van itt, upstream gateway legyen pipálva.
Utána LAN beállítása... enable és a private ne legyen blokkolva, IPv4 konfigra fix IP-t, amin elére majd az opnsense-t. Maradjunk a klasszikus 192.168.0.x és a 192.168.1.x /24 tartománynál. -
válasz
MasterHUn
#1300
üzenetére
opnsense van a dellen OSként, vagy VMben fut?
ha proxmox van alatta az jó, sima liba. ha natív, akkor picit macerásabb szerintem, anno én is kizártam magam...
jussunk el a működő belső hálózatig.
kell külön managementnek egy lan port? otthonra felesleges sztem, de ahogy gondolod
pve vagy natív a fő kérdés most. -
-
A frissírtés után a mimugmail repo megkergült... 5 percenként küld egy rakat lekérdezést az opn-repo.routerperformance.net-re.
Rájöttem, h nincs is onnan már semmi telepítve, így töröltem a repót.
SSH belépve, 8-as pont (Shell),cd /usr/local/etc/pkg/repos/ls -lrm mimu*Utána a webUI-n a system/ firmware-ben frissítés keresés, utolsó fülön packages-nél a maradék csomagokat megnéz, SSH-n töröl:
pkg remove csomagnév
Zenarmor is hagyott sok vackot itt... -
válasz
MasterHUn
#1273
üzenetére
Szia!
Miért van 2 LAN amúgy? Melyiken csatlakozol a tűzfalhoz és honnan nincs internet?
Elsőként a interfaces/WAN-nál is nézd meg, h enabled-e
Interfaces / Overview-ről csinálhatnál képet.
System / Settings / General: itt lehet DNS szervereket és azokhoz gateway-t beállítani.
Unboundot használsz, vagy csak open DNS-eket?
Ha a fentiek nem oldják meg, akkor kellene több részlet, h mi merre van Nálad.
Érdemes menüpontonkként végigkattintgatni, lehet vmi kimaradt.Nálam is 3 port van, alaplapi a WAN a másik 2 LAN, de Nekem azokat Proxmox rakta egybe, opnsense-ben bridgelni macerásabb, külön hálóra meg nincs szükségem egyelőre.
-
Sajnos eddig tartott a KEA...
Tenda AP-m van, 2 nap után nem találja az upstream kiszolgálót. Ami vicces, mert én látom, eszközök csatlakoznak, stb... de DHCP-n nem kapja meg ami kell neki, fix IP-re raktam, az is málnás... Érdekes, h 2 napig működöttMég annyi, h szerencsére semmi nem törlődik a DHCP váltással, szal. lehet játszani vele, 4 kattintás az ide-oda váltás. Majd frissítik...
-
válasz
azsak79
#1267
üzenetére
Beállítása átláthatóbb, még így elsőre is. Mennyire fontos ez? Nem nagyon, mert ugye beállítja az ember és annyi, nagy ritkán kell hozzá nyúlni (átlag user, átlag homelab körülmények között). A subnetek kialakíthatósága a KEA-ban egyszerűbb.
Új, fejlesztik/javítják erősen. Nekem is előjött ez a lease lista üres probléma, volt már rá patch. Nem mintha sokat nézegetném... Működésben semmit nem venni észre, ez is teszi a dolgát. Amiket írnak hivatalos oldalon, h mivel tud többet, azok nagyon nagy része átlag usernek nem fontos, nem használjuk. -
Sziasztok!
Vki migrált már KEA DHCP-re?
Static DHCP címeket átveszi? ARP-ban is mentve vannak, a régi DHCP-vel.
Nincs kedvem ~80 kütyüt újra végigpötyögni... -
Hmmm... a Mobilnet modem/router után jön az opnsense nálam. A Mobilnetes cucc is router, egyrészt mert nincs rajta bridge mód, másrészt mert ennek van külső antenna amivel a napelem kap wifit.
A modem logban az van, h az opnsense őt UDP port scan attack-olja
Ki lehet ezt kapcsolni? Beállítás szerint opnsense nem nézegeti, h van-e net, alfogadja, h van. Private és bogon blokkolva a WAN oldalon. Mi generálja ezt az udp scan-t és miért nem láttam korábban?
Köszönöm! -
válasz
inf3rno
#1253
üzenetére
A routerben a beépített tűzfal szerintem nem frissül, igazán nem is értem, h mi az, mitől véd meg. A szolgáltatói (pl. Yettel előfizetéses) tűzfalakat nem ismerem, de 1. fizetős, 2. mennyire lehet testreszabni?
Az Unbound nagyszerű, de mint írtam, szűrésre AdGuard Home-t használok. Látni jobban, h ki mit keres, mit blokkol, stb. Szűrők brutálisan testreszabhatók, pár klikkel. Listákat hozzáadni is egyszerű (ezeket Unbound is tudja, csak nehezebben átláthatóan).
Listákból a két legjobb a Steven Black és a ShadowWhisperer lista.Jah, és még abban is jobb a saját router/tűzfal/DNS szerver, hogy az Unbound nem fog mindent elküldeni a guglinak. A gyakoriakat tárolja, gyorsabban oldja fel, nem netezik örökké (beállítások kérdése). És azt is meg lehet pakolni mindenféle biztonságot növelő bánattal, ahogy a kedved/időd engedi.
AGH-ban az átírás is menő (van opnsense-ben is, de itt átláthatóbb ez is), megadod az IP címet és oda irányítja, instant DNS. Ez persze nem minden oldalnál jó, de a leggyakoribbakat már kiszórtam ezzel.
Shaper... el lehet osztani a sávszélességet, nem lesz az, h a 80 szálon torrent mellett egy e-mail-t nem lehet megnyitni... Valamint a gyermekem is jobban tanul, amióta pár napra átraktam az 1 MBit-es csőbe... -
-
válasz
inf3rno
#1246
üzenetére
Annyira egyformák, h opnsense-nek nincs is topik, mert minek?
Kinézet és a menük más, de amúgy nagyon közeli a kapcsolat. Azt is telepítheted, szerintem többen használjuk (itt), mint a pfsense-t.
Ami még buktató lehet (pl. nálam ), h ne akarj mindent elsőre... én is bekapcsoltam mindent IS, végül csak belekeveredtem. A pluginokat előbb olvasd át, nézz videókat, utána rakd fel, ha kell.Nagyon rárepültem pl. a geo blokkolásra. De nálam semmi értelme (sok videó nézés és tutorial olvasás után)... az annak kell, aki weboldalt üzemeltet, vagy mások kapcsolódhatnak a szerverhez. Alapból a tűzfal befelé blokkol mindent, amit nem bentről kértek, ennyi itthonra elég. Zenarmor is aranyos, de azok a statok... ehh. AdGuard Home ebben jó, egy klikkre lehet tiltani/engedni.
Első körben legyen meg a LAN/WAN port, LAN-ra DHCP, tűzfal be. Az anti lockout szabályt ne töröld... később lehet tiltani a WAN oldalra az SSH-t is, alapból az is engedélyezett, úgy tudom.
Ha saját DNS resolvert is szeretnél, akkor Unbound bekapcsol, tűzfalnál kell egy "terelés", hogy a DNS kéréseket Unbound kapja. Itt is lehet már fekete/fehér listákat kreálni vagy letölteni a netről automatikusan (túlzásba esni nem szabad, vannak jól karbantartott összefoglaló listák). Ehhez nálam jön az AGH, külön konténerben, nem pluginként (ott macerásabb a portokkal variálni, meg így nem egyben pusztul be, van külön mentésem).
A tűzfal az AGH konténerbe tereli a DNS kéréseket, itt csak szűrés van, majd az opnsense/unbound az upstream server, kész.
Utána lehet VPN, tailscale, behúzni az infókat okosotthonba, stb... ha megtetszik, akkor egy (jó hosszú) ideig el lehet vele szórakozni. -
válasz
inf3rno
#1241
üzenetére
Nálam opnsense van, az is hasonló. Online nézd át a doksit, keress róla telepítős videót.
Alap dolgokat bekapcsolgatod, a finomítás ráér. Pl. nem biztos, h első nap szuttyognék AGH-val és szűrésekkel, csak net legyen. Utána majd belemerülsz...Jah, linux/BSD ismeret nem kell, minden a webUI-n történik, csak akkor kell a parancssor, ha kizárod magad...
-
válasz
inf3rno
#1239
üzenetére
Nem tudom, h mennyire vagy otthon pl. router konfigolásban, ez sem bonyolultabb, de lehet cifrázni...
DHCP bekapcsol, mert köll, IP tartományok beállít. Megadod, h melyik port a LAN, melyik a WAN, eszerint kábelezed... unbound bekapcs, ennek a konfigolása, finomítása idő, de alapból is működik. Érdemes egy AdGuard Home-t is felrakni, látványosabb a statja, szűrni tud, upstream-nek csak az unbound, kész.Nálam azzal volt baj, h több portnál egy-egy módosítással kizártam magam, de ez kellett, h módosítsak... a Proxmox ebben nagyon jó, beírkálod, h miket módosítanál, de nem hajtja végre, csak amikor külön erre kattintasz, akkor ír át mindent, egyben.
Szal. jah, ne zárd ki magad, arra vigyázz.
-
-
#1228
ViZion
félisten
SwissAirplan
#1227
válasz
SwissAirplan
#1227
üzenetére
Nem ismerem a Netgear-t, de az opnsense-ben a router rész vállalható, az unbound jó DNS feloldásra. Csak kell mellé egy Adguard Home, mert a logokon elmenni macerás.
Majd jönnek a tapasztaltabbak.
Igen, dedikált wan és LAN port kell, ha több port lenne LAN-nak, akkor azt is tudja kezelni, akár VLAN-t is csinálhatsz csak a gépeidhez. -
#1226
ViZion
félisten
SwissAirplan
#1225
válasz
SwissAirplan
#1225
üzenetére
Hááát... ha tűzfalként a sokadik eszköz, az nem szerencsés. Viszont a pf/opnsense olyan szerény kraftot használ, h valami mini vasat rakhatnál a modem és a belső háló közé. Ennyi gépnél a +15W már semmi. WAN port a modemhez, LAN meg befelé.
Biztosan megoldható úgy is, h a végén van (router, DNS resolver biztosan), de a tűzfal ehh... nah...
Lehetne a modemtől bridgelni a műhely pfsense wan-ra is, majd vissza a LAN-ról. De ez sem tűnik a legjobbnak, a lakás forgalma is átmenne itt oda-vissza, feleslegesen. -
válasz
Multibit
#1192
üzenetére
Igen, ellenőrzésnél az x.15-x.60 range szerinte 6 db host volt...
Egyesével beírva OK, ellenőrzéskor is.
Szerk.: esetleg az lehet a baja, h nincs mindenhol kliens? Mondjuk nem csak az első 6-ot listázta, hanem vegyesen. Ezek az IoT bigyók, nincs minden online folyamatosan. -
Nem azt mondom, h égbekiáltó bajok vannak. Akkor én sem használnám.
Ami engem zavar (tehát szigorúan szubjektív, user oldali vélemény):
- a nekem felesleges, nem használt modulok eltávolítása: captive portal, DNS masq, openDNS, webproxy, VPN, IPSec, stb. Fórumokban felmerült, nem ajánlott birizgálni...
- alap block logok katasztrófa kategória. Nekem is AGH van, unbound upstream-el
- alias-ban IP range nem műXik (előzőekben sem), minden IP-t be kell pötyögni. Kopi/pészt lehetőség van, de a paste-olt cuccokra hibát ír.
- Shaper-ben nem használható alias: megint pötyögés...
- az egész UI-ra ráférne egy "rácfelvarrás": a shaper+alias cuccal kezdve. De nem ártana pár extra gomb, h egy kattra az ARP-ból vagy a leases-ből aliashoz/grouphoz lehessen adni... -
-
Teljesen jogos érv.
Megvallom, h mikor mondták, h jön, akkor vártam pár napot, mert olvastam, h unbound-al voltak bajok és én is azt használom. Mikor jött az első patch, akkor frissítettem, hiba nélkül szerencsére. Backup is van, a sajátját kikapcsoltam, mert nekem is egyszerűbb a pár napos VM-et visszatenni, ha kell. Asszem heti 2 vagy 3 mentést készít a PVE és 3-4-et tart meg, nem is tudom, szerencsére nem sokszor kell. -
Szia!
Nálam a frissítéssel sem volt para. Elvileg voltak gondok, de hamar jött pár patch.
Érdemes-e frissíteni? Megolvasod itt és itt, majd eldöntöd... Nem mondhatom, h valami látványosan jobb lett, annyira nem értek a lelkéhez. Kicsit lassan indul, talán az UI gyorsabb, pár dolgot még most is hiányolok...
Amúgy nem 22. akármid van?
...és miközben ezt írtam, meg is jött az újabb frissítés.
-
-
Ha nem üzemeltetsz pl. weboldalt, akkor nem kell foglalkozni vele. Ha van olyan szolgáltatásod, amit kintről el kell érni bárkinek, akkor lehet szűrni országra, stb.
Amúgy alapból a tűzfal mindent dobni fog, ami nem egy bentről indult kérésre válaszként érkezik. Ezért felesleges további szabályokat erre hozzáadni.
De ha van a lanodnak publikus része, akkor kell szuttyogni....Zenarmort macerásnak találtam, a free-ben nem nagyon lehet állítgatni, visszatértem az unbound+AGH (csak black/whitelist van ezen) kombóra. IPS is csak a logokat növelte, nem is volt stabil anno, nem tudom, h ez változott-e.
-
Ez csak a szolgáltatásokra igaz, vagy az egész opnsense (nálam az van) csak 1 szálat tud használni?
Különösebb terhelés nincs rajta, de nah... Suricata-t kipróbálnám újra, korábban nagyon bugos volt, de csak eltelt fél év már... Nálam az terhelte sztem, mert kiugró CPU-t rég nem láttam már. -
-
opnsense az a tűzfal, azon keresztül lehet VPN-t beállítani és oda terelni a forgalmat.
Tailscale-t használok, ez is Wireguard alapú, de a konfigolós-macerálós rész nélkül. Nekem egy Dockert lehet elérni kintről ezzel, mást nem. Semmi port forward, tűzfal szabály vagy akármi nem kell, Tailscale intéz mindent is. -
Nincs OPNsense topik, szal. itt kérdezgetek...
Unbound-al nem jutok előrébb, teszi a dolgát, minden OK, de a reportokat átfutni egy rémálom. Volt tétova próbálkozás külső adatbázisra, de ehhh... nem mélyedtem bele.
Találtam viszont ezt: Technitium DNS Server Valaki ismeri, használja esetleg? Nem sok infó volt róla így elsőre, inkább AdGuard/PiHole/Unbound infó van mindenhol.Kiválthatja ez az unbound-ot? Átolvasva ez is tudja ami nekem kell és jóval átláthatóbb, mint az unbound. [link]
-
-
válasz
Multibit
#1095
üzenetére
fain, akkor az megoldódott.
Igen, a Suricata szabályok macerásak, egy szint után írja is, h már policy kell, mert sok a szabály. Ezekhez még jön az Unbound listák... ehh. Majd rájöttem, h nincs rá szükségem, ahogy geoIP blokkolásra sem, nem nekem való (nincs honlap vagy bármi nyilvános stuff, csak az IoT cuccok, de így rém egyszerű a szabály: amit nem kértem, az drop...)Zenarmornál többször kellett az adatbázist resetelni, mert hibás lett. Utána egy darabig jó. De pár fület még így sem tudok használni, mert nem tölt be semmit, csak lefagy (opnsense nem, csak a zen gui). Adguard faék egyszerűsége és átláthatósága után az unbound report vagy a Zenarmor egy katyvasz kicsit.
freddirty: igen, sok a duplázás a listákban. Steven Black is összevont lista, elég alapos. NoTracking is jó, ez is összevont, deduplikált, optimalizált és a dead site-okat kiszedik. Steven Black-hez kellene ilyen, mert marha nagy lista, host-ba kompressed változatot raktam a laptopokra, mert fogta a gyenge vasat.
Multibit: a linkelt oldal is említi a spamhouse drop/edrop lisátát, nekem az a WAN oldalon a tűzfalban működik, Steven Black pedig az unbound-ban. SSH és GUI WAN oldalról letiltva (amúgy is mindent drop-ol onnan). NAS-nak olyan jól konfigoltam a tűzfalát (opnsense mögött van, de nah... köll), hogy nem frissített. Ki gondolta volna, h vannak frissítések, amik csak IPv6-al tölthetők?
Tetszik, amit az oldalukon írnak, kíváncsi lennék, h Steven Black-el mennyi az átfedés, lehetne-e azt is ezzel a szkriptjükkel ide mergelni. Azt azért szeretem, mert vannak kategóriák, jobban alkalmazható, nem csak malware/advert/stb. lista. -
válasz
Multibit
#1093
üzenetére
Suricata volt egy darabig, de feleslegesnek tartom itthonra, másrészt ez is tele volt error-al, leállt, stb... OPNsense viszonylag friss telepítés, nincs is teleszemetelve...
Unbound statisztikára ki mit használ? Adguard kinézet már megfelelne, a zenarmort nem nagyon tudom megkedvelni.
-
ha van két szerver, akkor ott az egyiken nem tud elfutkározni?
RPi-n is elfut, szal. ahhoz lehet méretezni szerintem (ezt minimumnak véve). Megfigyelésem szerint (nálam, proxmox alatt) 4 GB ram bőven elég, i5-3470T procit 3-5%-ra "hajcsa", nagyobb csúcsokat nem látni, csak induláskor.
Nálam mondjuk csalk mobilnet van, ki-be nincs durva forgalom, helyi hátó is szerény, ha az Iot motyókat nem számolom.Más: az intrusion-ban láttam, h WAN felől több SSH próbálkozás volt, most drop-ra állítottam a rules-okat. Nem lenne jobb a firewall rules-hoz adni valamit, h WAN felől dobjon el mindent ilyesmit? Valahol listázhatóak a nyitott portok? A 4G modem/Router-ben DMZ-hez adtam az opnsense WAN portot, lehet ott csúsznak át ezek?
![;]](http://cdn.rios.hu/dl/s/v1.gif)
PVE helyreállítás is pár perc, csak ott monitort és bill-t kell dugni a vasra, ami extra idő, de a folyamat már gyors.
Szal. ha nem a Proxmoxot ölöm meg, akkor elérem a vackaim. És a DNS szerver is külön van (csak a helyi, a caching DNS az unbound). 
Új hozzászólás Aktív témák
- Apple iPhone 14 Pro Max 128GB, Kártyafüggetlen, 1 Év Garanciával
- Dell Latitude 5421 i7-11850H/16GB RAM/512SSD/MX 450 VGA/300 nit display
- Xiaomi 12T Pro 256GB, Kártyafüggetlen, 1 Év Garanciával
- KAMIKÁZEE!!! Egér Olcsón CSaK a hétvégén! 2 NAP!
- 2080Ti / i5 12600KF / 32GB 3200Mhz / 1TB SSD / 750W 80+ Bronze / NZXT H440 / Gigabyte B760
- BESZÁMÍTÁS! Gigabyte B760M i5 13600KF 32GB DDR4 1TB SSD RTX 3070 8GB CM CMP 510 Corsair 750W
- ÁRGARANCIA!Épített KomPhone Ryzen 7 5800X 16/32/64GB RAM RTX 4070 12GB GAMER PC termékbeszámítással
- LG 32GR93U-B - 32" IPS - UHD 4K - 144Hz 1ms - NVIDIA G-Sync - FreeSync Premium - HDR 400
- Csere-Beszámítás! AMD Számítógép játékra! R9 3900X / X570 / 6700XT / 32GB DDR4 / 512GB Nvme SSD
- ÁRGARANCIA!Épített KomPhone Ryzen 7 5700X3D 32/64GB RAM RX 7800 XT 16GB GAMER PC termékbeszámítással
Állásajánlatok
Cég: PCMENTOR SZERVIZ KFT.
Város: Budapest