Új hozzászólás Aktív témák
-
freddirty
senior tag
teház azt szeretnéd elérni hogy az openvpn klliensek minden forgalmukat átküldjék a pfsense-en? Tehát mondjuk egy mobil openvpn klienssel a nem privát hálózat specifikus forgalmát is irányítsa openvpn felé. Mert erre van a redirect gateway. Ez kliens és server oldalon is konfigurálható. Attól függ hogy minden kliensedre rá akarod erőltetni ezt a funkciót vagy szelektíven.
Kliens oldalon ez a sor kell a konfigba:
redirect-gateway def1ha szerver oldalon oldanád meg akkor be kell pipálni a redirect gateway-t. (pfsense-en nem 100% hogy így hívják de opnsense-en ez van)
fred
-
freddirty
senior tag
válasz MasterMark #953 üzenetére
Mi az amit lassúnak találsz? Nekem is opnsense van, miután a pfsense olyan öreg alapokon nyugszik (régi freebsd verzió), hogy nem ment a célhardveremen (aliexpress j6412).
Nincs sebességproblémám, proxmox felett virtuális gépben van az opnsense, a gigabites netet szépen kiszolgálja és a késleltetésben sem látok kbséget egy célhardverhez képest. Ámde elég sok pluszt tud firewall téren ami nekem az otthoni labnak fontos. Mondjuk 10GBit hálózatot nem biztos hogy már kiszolgálna, de egyenlőre emiatt nem aggódomfred
-
freddirty
senior tag
válasz MasterMark #957 üzenetére
nekem nincsenek throughput problémáim, ha fullra kiterhelem az 1Gbit internetet (950-960Mbit, torrentezéssel mondjuk több szálon) akkor sem terhelem ki a procit teljesen. PPOE van, mivel a Telekomtól csak így kapok rendes publikus IP címet, egyébként NAT-olják.
Szóval meg vagyok elégedve. Nem a proxmox emulálja az ethernet kártyát, hanem közvetlenül kezeli az Ethernet portokat az opnsense VM (PCI passthrough).fred
-
freddirty
senior tag
nos EU-ból nem, de Aliexpressről vettem a topton store-ból egy J6413-ast. ~270 USD-nek mutatja mivel belekalkulálja a magyar áfát. De fizetésnél igazából ~200USD, a vámáfa meg annyi lesz amennyire értékelik vagy rá van írva, tehát lutri...
Proxmoxxal voltak gondok, néha a VM-ek minden szó nélkül újraindultak. De végül szoftveres proxmox probléma volt nem hardveres. De ha utánaolvasol akkor vannak problémás alis 5xxx boxok, újraindulással, melegedéssel.
Kicsit kevés a merevlemez csatoló, én toltam bele egy nvme és egy sata ssd-t mirrorozva, usb-re meg egy proxmox bootdriveot (pici SSD).
szerk: a fogyasztás annyira azért nem kedvező, 3 SSD-vel és 32GB RAM-al:
[ Szerkesztve ]
fred
-
freddirty
senior tag
válasz inf3rno #1013 üzenetére
A távoli elérésre wireguard vagy openvpn szolgáltatást kellene felraknod a pfsensre és a kapcsolódni szánt kliensekre. Ezt fel lehet konfigurálni úgy mintha a lokális hálózaton lógnál, akár az internetelérést is át lehet forceolni rajtuk, ami mondjuk hasznos ha el szeretnéd fedni publikus wifin a forgalmadat. Nekem is így megy, openvpn-en lóg a hétvégi ház hálózata, wireguardon csatlakoznak a mobil eszközök.
Nekem is hasonló setup van itthon mint ami az első hozzászólásban írtál, 1-2 plusz tanács:
- A családot nem feltétlenül kell teljesen leválasztani, lehetnek jó és hasznos szolgáltatások a szervereden nekik is. Pl Pihole ami reklámot/nem kívánatos domaint-t szűr, vagy egy security onion ami intrusion detectionként a forgalmukat elemezve gyanús dolgokra mutathat rá mondjuk rosszindulatú fertőzésre/forgalomra (ez mondjuk már kicsit enterprise ízű szolgáltatás).
Egy szerveren a homelab szolgáltatásai és a router azért nem annyira klafa. Fogsz mókolni újraindítgatni, frissíteni nem lesz 100% az internetelérés ami akkor is fájhat ha csak te ill. a szolgáltatásaid használják. Én külön kisebb alacsony fogyasztású eszközre szervezném ki a pfsense-t hasonlóan mint egy routert, aminek a tárhelyét megosztva akár backupja is lehet a main szervernek ha valami nagyobb leállás lenne.
(A felhőt én annyira nem látom alternatívának otthonra. Egy otthoni szerver méretű gép bekerülési költsége a felhőben elég gyorsan eléri a beruházás költségét és utána már negatívba fordul. 32GB RAM, 4-8 mag, videogyorsítás transzkódoláshoz, kamera feed feldolgozáshoz. A felhő inkább enterprise szolgáltatáskupac amivel megspórolhatják a cégek az onprem üzemeltetéséhez szükséges népek bérét, meg még persze sok minden mást. De hát ebben az esetben te vagy a rendszergazda :)fred
-
freddirty
senior tag
válasz inf3rno #1015 üzenetére
A rollback nagyon egyszerű. Nálam egy külön j6413-as aliexpress célgépen van a proxmox és vmben az opnsense. Proxmoxal scheduleban vagy alkalomszerűen készítek mentést az opnsense gépről (a main server nfs megosztására ha kell). Bármi van akkor abból vissza lehet állni. De van alkalmazásszintű configbackup is a pfsenseben, de azt elég ha csak piszkáltad, ami egy idő után úgyis ritka esemény lesz ha már működik minden ahogy szeretnéd. A proxmoxot magát én nem frissítem. 25+ év után ITban és otthoni hobbiként azt tudom mondani, hogy ami nem romlott el azt nem csesztetjük, kivéve ha látok tényleges biztonsági okot. Pl net felé expozált szolgáltatások. Nyilván enterprise szinten ez már nem áll meg.
fred
-
freddirty
senior tag
válasz inf3rno #1018 üzenetére
Hú hát informatikában nincs olyan szerintem hogy mit szabad vagy nem szabad mindig az adott környezetben kell döntést hozni hogy mi a legjobb a kockázatokat figyelembe véve. Egy céges környezetben a vpn szerverek általában a default gway-nek magukat állíttatják be a kliens géppel, hogy minden forgalmat a céges hálón keresztül toljon át. Ebben a környezetben a céges policy ami mindent visz, látni akarják a teljes forgalmat elemezni, tiltani, óvni a céges érdekeket adatokat, az alkalmazott érdekei magasról le vannak ejtve. Otthoni környezetben más a szitu ott csak a te érdeked számít. Nincs elég sávszél, hogy kiszolgáld a távoli vpn gépek netes igényeit? No problem te vagy a local god azt teszel amit akarsz, akkor menjen csak a lokális szerverelérés a vpnen. Mit vesztesz? Némi privacy max. De persze van annyi 3rd party vpn megoldás dunát lehet rekeszteni belőlük. Nem kell feltétlenül a sajátod használni majd ha lesz gigabit net otthon akkor átállsz arra.
fred
-
freddirty
senior tag
válasz Henrico #1021 üzenetére
nincs, a dns alapú reklámblokkolók (pihole, dns listák, stb) nem jók a youtube reklámszűrésre.
Tehát a TV beépíett yt lejátszóján lesz mindig reklám amíg nem fizetsz a googlenak. Alternatív megoldások vannak csak, amik külső forrásból tesznek jelet a tv-dre, Pl hekkelt chromecast vagy valamilyen android boxon youtube (re)vanced.
Én speciel egy android boxon használok revanced appot ha tv-n szeretnék yt-ot nézni. Nem feltétlenül a pénz miatt, hanem mert azt látom nagyon rossz irányba megy a google és ezt én nem kívánom még támogatni is.fred
-
freddirty
senior tag
válasz Multibit #1093 üzenetére
kicsit különböző architektúrában futtatom a crowdsecet és ott nem történhet ilyen. A szervergépemen a szolgáltatások logjait nézi a crowdsec agent konténer majd összeálít belőle egy privát IP feketelistát. Ezt a listát olvassa az opnsense-en egy WAN rule alias bejegyzése. így ami a listán van az blokkolva lesz. Ergo összeadódik a mások által fekete listára tett IP-k és a saját szolgáltatásaimon próbálkozó botok összessége. Meg persze van egy csomó standard hagyományos IP fekete lista ami be van rakva még aliasnak.
fred
-
freddirty
senior tag
Crowdsec-et szerintem akkor érdemes használni ha van valami publikus nyitott portod kifelé és az azt maceráló botokat akarod tiltani.
Tehát bepróbálkozik az adott portra az alkalmazásba egy kínai bot, bedob egy rossz jelszót, a crowdsec kliens olvassa az adott alkalmazás logját, és egyből bedobja a feketelistára aminek az alias listáját a *sense rendszeres időnként frissíti (+ a crowdsec közösség IP feketelistája). Ergo 1-2 bad pw próbálkozás után már megy is banhammer. Fail2ban is hasonló csak ott nincs közösség mögötte.fred
-
freddirty
senior tag
Sziasztok,
Opnsense kérdés.
Most próbálok átállni opevpn VPN-ről wireguardra site to site módban. 1-2 éve jól megy a mobilos wireguard vpn, de lecseréltem a routerem a másik házban és openvpn kliensről átállnék wiregaurdra. Amin meglepődtem, hogy mintha nem lehetne EGY wg csatornán site-to-site forgalmat áttolni (mindkét hálózat látszódjon mindkét oldalon).
Magától értetődőnek tűnt, hogy ha már él egy csatorna akkor azon bármi átmehet csak konfigurálni kelljen. De mintha nem így lenne, az opnsense site to site manual két wireguard szervert húz fel a két site kölcsönös eléréséhez.
Ha valaki használ ilyet akkor az nála is így megy? Csak mert ebben az esetben így mindkét oldalon kell a publikus IP, kell a dinamikus DNS (vagy fix public IP), ami hülyeség otthoni környezetben. Meg tudom oldani persze csak több idő meg macera.fred
Új hozzászólás Aktív témák
- Futás, futópályák
- plevips: Építkezünk 3. rész (2024)
- Telekom mobilszolgáltatások
- Honor Magic6 Pro - kör közepén számok
- bb0t: Gyilkos szénhidrátok, avagy hogyan fogytam önsanyargatás nélkül 16 kg-ot
- Adóbevallás
- Skoda, VW, Audi, Seat topik
- Politika
- AMD K6-III, és minden ami RETRO - Oldschool tuning
- exHWSW - Értünk mindenhez IS
- További aktív témák...
Állásajánlatok
Cég: Ozeki Kft.
Város: Debrecen
Cég: Promenade Publishing House Kft.
Város: Budapest