Hirdetés
- Külföldi prepaid SIM-ek itthon
- Fotók, videók mobillal
- Bluetooth-headsetekről általában
- Yettel topik
- Xiaomi 17 - még mindig tart
- Samsung Galaxy S25 Ultra - titán keret, acélos teljesítmény
- Honor Magic5 Pro - kamerák bűvöletében
- T mint tavasz: képeken a közelgő Xiaomi 17T
- Motorola Edge 50 Neo - az egyensúly gyengesége
- Xiaomi 17 Ultra - jó az optikája
Új hozzászólás Aktív témák
-
Csak azért gondoltam, hogy gyorsabb lehetne, mert úgy vettem hogy vagy megnézi kapásból a saját helyén, vagy megkérdezi az unboundot.
[/localdomain/]127.0.0.1:53053
[/1.168.192.in-addr.arpa/]127.0.0.1:53053
127.0.0.1:53053
(ha mindkettő az opnsense alatt van, a localdomain a system-settings-general-domain neve)
Ennyi infót találtam, hogy ezt kell beadni, hogy az AGH ne legyen vak és a cache is jó legyen, ha így van, majd egyszer megtesztelem én is, ha meguntam a Zenarmoros támogatósdit.
-
Én csak egy tippet adtam, lehet ha nem hunban élnék nem foglalkoznék annyit a privacyval. Ugye nálam felesleges az adguard, ha lenne viszont, akkor mivel ő figyeli az 53-as porton érkező kéréseket, lehet az ő cache lenne a leggyorsabb, ha mondjuk a gyorsaság a szempont. De mivel nincs nálam így nem tudok mit mondani. Nálam a Zenarmor egy fejlettebb cucc, ő látja az 53-as portot, amit az unbound kezel.
-
Összehozható, hogy az unbound csak a helyi névfeloldást végezze és a dnscrypt proxy legyen az upstream. Én csak a dnscrypt protokolt használom (Use DNSCrypt Servers pipa),
a Server list mezőbe német szervereket (dnscry.pt-munich-ipv4, dnscry.pt-munich-ipv6, dnscry.pt-frankfurt02-ipv4, dnscry.pt-frankfurt02-ipv6),
a Relay List alatt pedig jelenleg Bécs és Prága van (dnscry.pt-anon-prague-ipv4, dnscry.pt-anon-prague-ipv6, dnscry.pt-anon-vienna-ipv4, dnscry.pt-anon-vienna-ipv6).
Egyrészt szerintem ez a megoldás biztosabban elrejti az infókat az ISP elől, másrészt a tűzfal logjában live view alatt csak relay list alatt lévő címek láthatók, míg böngészőben egy dnsleaktest csak a server list címeit mutatja. Tehát a relay látja az IP címet, de nem látja a kérést magát, a német címek már azonosítják a kérést, viszont lekérdezőnek a relay címét látják.
Nyilván most egy szolgáltatón belül vannak, csak fizikálisan külön helyeken a logok, össze tudnák vetni, ha nagyon akarnák, de van egyéb szolgáltatónak is elérhető szervere, pl. a quad9-nek, csak ott engem el szokott vinni a bécsi kerülővel is bukaresti szerverekre. -
Nekem revolut által perplexity előfizum van, viszont nemrég elkezdett egyre hülyébb lenni, nem volt időm utánalesni hirtelen akkor és a gemini tűnt a legjobbnak becsekkolás nélkül, az hasonlított a legjobban a korábbi színvonalra, ezután rájöttem most már bekért a perplexity egy bankkarit és addig fagyasztották az előfizut, bár előzmények megmaradtak elsőre, az AI hirtelen nagyon buta lett érzésre. Én amúgy a dnscrypt proxy-t ezer éve az 5300 porton használom, soha nem volt gondom vele, nálam ugye maradt 53 az unbound, ott kell beállítani a query forwarding alatt a címet és portot. AGH Zenarmor mellett nem ajánlott.
-
Amit én le szoktam futtatni frissítés után, az a system-status alatt run an audit: health, vagy AI szerint konzolból a pkg check -sa még beszédesebb hibát ad ha elakad, újra kell telepíteni a hibás csomagot ilyenkor.
“Bár a “Pass” elméletileg egyszerűbb, ha van egy meglévő “Block all” vagy “DNS block” szabálya a LAN interface-en, a Pass néha nem előzi meg ezeket úgy, ahogy kellene.” Azt javasolja tedd vissza Associated rule és kézzel mozgasd a létrejött szabályt legfelülre a Firewall rules alatt, bár ezt úgy gondolom már megcsinálhattad. Mondjuk szerintem ettől még egy Floating Rule - ha van - akkor is beelőzheti, de végső esetben NAT-nál None-ra teszed és kézzel létrehozod a szabályt akár Floating alatt, Quick legyen pipa és tesztel.
Én még nem váltottam, mert írta, hogy lesz egy frissített verzióváltó is, nem szoktam elsietni ezeket még úgy sem, hogy proxmox alól fut. Illetve mivel Zenarmor van fent, így nálam nincs adguard, dnscrypt proxy-t használom, mindig így használtam, de ha jól értelmezem nálad az adguard került az 53-as portra és az unbound az 5335-re (ha fut az os-mdns-repeater vagy os-avahi plugin semmiképp se 5353 legyen a port, 26.1-től az mDNS kezelése még szigorúbb is lett), DNS Query Forwarding kikapcsolva unbound, AGH DNS Setting alatt pedig beadva az UPStream cím és port. -
válasz
Primary92
#1656
üzenetére
Nálam Protectli-s gépnél RAM okozott ilyet, a teszten átment mégis volt nálam másik gépből szinte ugyanaz a RAM és azzal megszűnt a dolog, alzánál cseréltettem is a hibást és solved. Ha egy Windows szerű OP rendszer lenne rajta, akkor a fagyások előtt egyértelműen látszana a lassulás is valószínűleg, sőt lehet fel se menne elsőre, mert már telepítés alatt gondja lenne.
-
válasz
inf3rno
#1605
üzenetére
Tippre többen használjuk itt az OPNsense-t, illetve lehet a ddns+wg helyett a Tailscale-t is, ami NAT mellett is megy, ha ez irányba mennél, Tailscale oldalán látható az összes eszközöd kapott IP-je, amire Aliast kell létrehozni és mikor engeded a Tailscale interfészen a forgalmat, Source alá megy az Alias.
Tailscale esetén fix 100-al kezdődő IP címet kapnak az eszközök, amik nem változnak, ellenben WG alatt max. annyit lehetett tenni, hogy ha csak mondjuk telekomos mobilról akarjuk elérni az otthoni hálót, akkor az Aliast arra a tartományra hozzuk létre (ami nagyjából ismert telekomnál), ha nem elég ez a tartomány akkor lehet nyilván tágabb is, mint magyar IP, lényeg ha nem jársz a világ másik végén, akkor onnan nem kell elérhetővé tenni a VPN-t. Itt is a korábban létrehozott WG interfész alatt ha engeded a forgalmat, akkor a Source alá kerül a létrehozott Alias. -
Én mikor legutóbb új vasra telepít, megcsinál majdnem 0-ról, legalább gyakorol kicsit a dolgokat (elég régi is volt már a rendszer, illetve alaposan újragondoltam az összes szabályt, azok külön csoportokba rendszerezését is). Ami nagy segítség volt, hogy külön exportálhatóak az Aliasok, anélkül lehet nem vágtam volna bele, mert nagyon sok melóm van abban, szóval ha el is döntötted mit szeretnél, azért érdemes azt külön exportálni is, amennyiben van benne melód.
-
Nekem ezzel az a bajom, hogy telekom optika /56 ad (ha minden igaz) és nem szorulok rá, hogy nagyon megértsem hogyan is működik, de talán abból leszűrsz valamit ahogy nálam van állítva.
WAN: IPv6=DHCPv6, Prefix delegation size=56 (diginél ?, ez régen csak 64 volt talán), Request prefix only pipa be, Send prefix hint pipa be.
LAN, VLAN1, VLAN2 esetén mindenhol Track Interface az IPv6-nál (DE lentebb erre kitér), Parent Interface mindenhol WAN, viszont az Assign prefix ID LAN-nál 0, VLAN1-nél 1, VLAN2-nél 2. Ezek alatt RA pipa be, ez ugye megjelenik aztán mindhárom interface esetén a Services fül alatt, ahol Assisted-Normal-Auto, Advertise Default Gateway pipa és Do not send any DNS conf. to clients pipa.
És akkor a Services-ISC DHCPv6-nál mindhárom Interface esetén pipa legfelül Enable DHCPv6 server és a range mindhárom interface esetén from ::1000 to ::2000 .
Amiben eltér a kapott Subnet a három helyi interface esetén esetén az utolsó karakter, a LAN-nál 00-ra végződik, VLAN1 esetén ez 01, VLAN2 esetén pedig 02. De ha VLAN1-re beírok Assign prefix ID-nak 99 (ugye az Interface fül alatt), akkor arra fog végződni DHCPv6-nál is, mert az utosló két karakter is változik /56 esetén (tippre mert 64-8), csak sejtem, hogy /60 esetén az utolsó karakter változik, míg /64 esetén lehet már csak egy helyi interface esetén tudsz megadni Track IPv6-ot, mert nem tudod tovább osztani.
Ami a tűzfalszabályokat illeti, ott pedig az alap (legalsó) szabályom mindenhol az
IPv4+6 can go !HOMELAN NET (ez a LAN+VLAN1+VLAN2 Group neve), majd leginkább MAC aliasokat szeretek használni, úgy nem kell külön szednem IPv4 és IPv6 a szabályoknál, meg nem is kell ilyen fix IPv6 címeket beállítani, mikor Group-ba tettem a helyi interfaceket, akkor az összes IPv4 és IPv6 bekerült és frissül is valamelyik subnet váltása esetén, ezt a firewall-diag-aliases rész alatt hozza, én esetemben __homelan_network néven.
Remélem segít valamit! -
-
Pár éve én is sokat szenvedtem vele (ez leginkább a digi hibája), nem is akartam vele foglalkozni míg nem írtad le a gondod, de telekom nettel rendben működik opnsense alatt, illetve a “DHCPv6 server on LAN interface” is adja, beállítva a 2db IPv6 cím mellé egy harmadik is kiosztásra kerül, csak azon a címen át a ping nem olyan jó valamiért, ennek okát majd még kutatom. De itthagyok egy [link] , van egy plusz beállítás azzal, hogy a megfelelő IPv6-kommunikáció érdekében engedélyeznie kell bizonyos típusú ICMPv6-forgalmat, a cikkben megtalálod ezeket, ha netán majd egyszer újra belefogsz.
-
Tailscale (wireguard alapú) megy port nyitás nélkül (akár úgy is hogy csak el tudd érni és a net nem azon megy át), én még nem raktam fel, de valamikor lehet rápróbálok, és ha megy akkor nem kell IPv6-al szenvedned, ha jól gondolom.
OPNsense alatt csak az RA-t kellett bekapcsolni, ha rossz címek vannak kiosztva lehet jobb ha újraindítod a rendszert. Illetve nekem a switchen nem kellett semmit állítani, viszont anno a digi ipv6-al szenvedtem (/64 csak) és ott egy tp-linkes switchen is állítgatni kellett, de nem működött stabilan, telekomé (/56) azonnal pár kattintás után már működött is. -
Teszteltem kicsit a DNS-t, az “Allow DNS server list to be overridden by DHCP/PPP on WAN” résznél a link által javasolt helyett kivettem a pipát. Nálam van egy NAT Port Forward rule DNS Redirect végett, hogy a google eszközök ne menjenek ki a 8.8.8.8 címre [link] , ehhez még unbound alatt be van pipálva a “Use NameServers”. Most érzékeltem, hogy valami elkezdett kimenni IPv6-on át is, ezért csináltam egy IPv6-local névvel ellátott Aliast, content ::1 ,amivel aztán csináltam egy IPv6 DNS redirect rule-t is. Ezt a “Default allow LAN IPv6 to any rule” elé húzva, már vissza is irányítja a kéréseket, mint IPv4 esetén is.
-
Nem foglalkoztam vele eddig, de ránéztem neked OPNsense alatt, [link] ezt a leírást követtem, prefix size /56 raktam, majd RA alatt “unmanaged” (mással nem próbáltam), dns szervernek beírtam 2001:4c48:1::1 (nem teszteltem nélküle, ezt beraktam egyébként a System/Settings/General alatt is). Illetve Firewall Lan Rules engedni kell az IPv6-ot.
Wifin át tesztelve adja iOS és gugli eszközön is. -
Én az alábbi cikk alapján döntöttem el mit szeretnék használni, szerintem gyorsan meg lehet érteni: https://homenetworkguy.com/how-to/install-and-configure-crowdsec-on-opnsense/
Az országokat célszerű külön aliasokba szedni, pl. nálam drop_russia, drop_china, és az említett network group aliassal hozol egy fő aliast ami alatt ki tudod venni is a pipát azon ország alias alól, amit valamiért engedned kell, pl. az aliespress kezdő oldalát nem tiltja, viszont utána boltokra szűrve vannak akadások már, ilyenkor vagy átmenetileg kiveszed a pipát drop_china alól, vagy van egy böngészős proxyd vagy vpn-ed amire ráállsz ilyenkor. Nekem bár dual optikám van, de sosem torrenteznék itthoni címmel, ultra.cc van előfizum (legolcsóbb aminél már Plex is van), ahhoz van proxy is, openvpn is, de wireguard is amit pofon egyszerű beállít és nem lassú, mértem is egyet gyorsan vpn-en: [link] -
Okés, csak én most nem blocklistát adtam neked, hanem full államokat, amiket megtalálsz https://github.com/herrbischoff/country-ip-blocks
ipv4 mappa alatt, persze ettől lehet tiltani ezeket még, aztán ha floating alatt is tiltod, akkor onnantól pingelni se tudod majd egyiket sem.
De ha pl. felteszed a Maltrailt, az is csinál egy blocklistát, amire neked vagy külön tűzfalszabályt kell hoznod, vagy van egy Network Group Aliasod, korábban meghoztad rá a tűzfalszabályt és csak bepipálod az általa generált Aliast, mint tiltandó.
Nálam még CrowdSec van telepítve, Zenarmor, illetve vannak Unbound alatt Blocklisták, pl. az adguardé is, ha nem fontos a felület, nem kell külön telepítgetni, csak kiválasztod Services-Unbound DNS-Blocklist szekció alatt, amelyik lista neked szimpi.
Zenarmor-ra én elő is fizettem mert hasznosnak találom, vannak érdekes szűrései mobiloknál mind xiaomi mind apple irányba is, de ehhez erősebbb gép kell. Egy ryzen 5800-as procival szerelt mini pc-t rendeltem aliról 190e körüli áron, de végül valahogy annyiba se került.
Proxmox szervert raktam rá, azon át fut az OPNsense, eleinte elég meleg vót a kisgép, de biosba ki tudtam kapcsolni a turbos részét, így elég hűvős és halk is, így tudja nálam 1600-1900Mbit körül lefele (az ezres netem.. olyan jól sikerült a NAT alól kivétel, hogy azóta 2000/1000 net van 
).
De amiért le is írtam mindezt, hogy sokkal kevesebb próbálkozást látok a tűzfalon, amióta ezeket beállítottam/használom, persze nálad is azért fogni fogja a dolgokat, csak tudom azért idegesítő lehet, ha teletojja a logot valami. -
Ha támadásnak érzékeled akkor bár nem jutottak be én akkor is tiltanám, egyrészt Firewall-Rules-Wan alatt egy blocking rule, hogy beírod az IP címet a Source alá, másrészt nálam van egy Floating Rules is any direction-al, ott a Destination alá beírva a címet.
Amennyiben tele vagy listákkal érdemes Aliasban gondolkodni, mint pl. URL Table https://raw.githubusercontent.com/herrbischoff/country-ip-blocks/master/ipv4/cn.cidr amivel pl. teljes Kínát blokollod folyamatosan frissített listával, vagy teljes Russia https://raw.githubusercontent.com/herrbischoff/country-ip-blocks/master/ipv4/ru.cidr ,és ezeket betudod vonni egy csoport alá is ha Network Group választod Aliason belül és az új blokkalandó Aliasokat mindig csak ezen belül bepipálod, ilyenkor nyilván elég egy szabályt hoznod WAN és Floating Rules alatt és ott a Network Group Aliasod nevét megadnod, én így használom. De lehet Aliast arra is használ, ha pl. kinyitsz egy portot VPN miatt, és csinálsz egy szabályt rá, hogy csak magyar IP-ről lehessen elérni. (block invert source https://raw.githubusercontent.com/herrbischoff/country-ip-blocks/master/ipv4/hu.cidr és a VPN destination port) -
válasz
csinturi
#1050
üzenetére
Üdv!
Én elértem mindent mivel a kliens gépem egyszerre tudott csatlakozni (két hálókártya végett) a thome eszközéhez és a tűzfalhoz is (nyilván a thome és a pfsense külön hálón, külön címmel kell hogy legyen). Ha thome hálóval raktad fel, akkor proxmox alatt a PVE-NETWORK résznél a VMBR0 alatt a thome által kiosztott címet látod. Ennek a mac címét meg tudod nézni a thome eszköze alatt, majd átdugva a pfsense tűzfal hálójára tudsz kiosztani a mac címnek egy fix címet, amit aztán (egy újabb átdugás után) átírsz VMBR0 alatt (cím/cidr, a gateway pedig a pfsense elérhetősége), katt apply configuration, majd (megint átdugva a kábelt) böngészőben megadod ezt az új címet a portjával és ezután el kellene érned a proxmox és a pfsense felületét is.
Én is átírtam így, hogy minden a tűzfal után legyen, majd a thome eszközén lezártam a tűzfalat minden irányban. A telekom nálam PPPoE és bekapcsoltam a PPPoE passthru-t, ha netre van szükségem a thome hálóján át, hamar rá tudok állni. -
válasz
csinturi
#948
üzenetére
Nyitva kell lenni, viszont ha rules-wan alatt engedve van adott porton a forgalom, azt egy aliasba szedett networks gyűjteménnyel lehet szűkíteni (source alá aliasod), pl. hogy csak magyar IP címről lehessen elérni [link] , OPNsense alatt olyan 200-al adagoltam be copy-paste. Talán pfSense pfBlockerNG-vel is lehet szűrni, aki azt használja az majd megmondja, esetleg.
-
Szerintem próbáld ki azt is, anno én maradtam is mert sűrűbben kapta a frissítéseket, javításokat, illetve áltláthatóbb, alapon majd minden leírás offon van, adott lapon be lehet kapcsolni egyenként, vagy egyszerre az összest, amennyiben szükséged van extra infora, gondolkodni is egyszerűbb mellette.
GEOIP csak regisztrálós “ingyenes” van, de inkább csak Aliasokat használok, pl. pár perc alatt bevittem a full hun cidr-t és akkor mondjuk az adatokat ellopva se tudna külföldi IP csatizni VPN-en át, portra szűrve. Illetve van Suricata, CrowdSec, Sensei, Adguard (azt én kliensenként használom).
Szerintem első kör klónoznám ugyanarra a vasra, illetve lenne kéznél egy rendszer backup is, ha aztán mégis pfSense maradsz. -
válasz
noorbertt
#858
üzenetére
Kicsit átfogalmazom akkor. Ha van cast eszközöd, akkor az a 8888-on megy ki, hiába használsz nextdns-t. Ha holnap a mozilla lefrissíti a szoftverét hardcoded dns-re, akkor az is kizárólag a sajátján fog kimenni, ha utána az apple tesz így, akkor az is sajáton, végül aztán azt veszed észre mennyire jól beleférsz next-nél az ingyenes kvótádba.
-
#819
tobi''
tag
jameshun02
#818
válasz
jameshun02
#818
üzenetére
Szia!
Nálam opnsense van, de belefutottam én is, hogy telekom mobilnetről elértem, digis mobilról nem. Vedd ki a pipát Interface WAN alatt a 'Block private networks' mellől, majd ha úgy adja, csinálj rá egy floating szabályt.
[link] -
Bár ha nincs AP mód mert mondjuk régi a router akkor gondolom nem értetted mi volt a gondja:
Ha az Asus wifi router címét nem a pfSense osztja, hanem fix címen hagytad a protokolt (tehát beírtál egy címet és tiltottad a dhcp-t ahelyett hogy csak a protokolt átraktad volna dhcp-re Asus wifi LAN résznél), akkor Asus wifi nem ismeri az átjárót, tehát ott ahol fix címet kapott a gateway részen be kell írni a saját átjáróját (két átjáró is van ugye, ajánlott a sajátját beírni ha már elszeparáltad, nem pedig a fő routerét). -
Destination legyen !LAN NET, tehát invert használod. Akinél több háló is van LAN, VLAN stb. ott meg alap hogy létre kell hozni egy Aliast, Networks kell választani és beadni a címeket mint pl. 192.168.1.0/24, 192.168.2.0/24, majd rules alatt !LAN NET helyett !Local_NET, tehát VLAN is engedted.
-
Rátesztelve sikerült elérnem a WAN címemről (80.0.X.X:9091) a belső hálón lévő transmissiont:
NAT-Outbound átraktam "Manual outbound NAT rule generation", SAVE, ezután kézzel beadtam a szabályokat, amik auton voltak és a végén adtam egy szabályt, hogy
Interface=WAN, Source=LAN TCP, Destination=WAN address, Translation / target (NAT address)= 192.168.0.2/32...talán segít valamit.
Proxmox szervert raktam rá, azon át fut az OPNsense, eleinte elég meleg vót a kisgép, de biosba ki tudtam kapcsolni a turbos részét, így elég hűvős és halk is, így tudja nálam 1600-1900Mbit körül lefele (az ezres netem.. olyan jól sikerült a NAT alól kivétel, hogy azóta 2000/1000 net van 
).
Új hozzászólás Aktív témák
Hirdetés
- GAMER PC! Ryzen 9800X3D / RTX 5080 / B650 Strix / 32GB 6000MHz / 1000w Gold! BeszámítOK
- Iphone 17 Air 256GB fekete független
- Asztali PC , Ultra 245K , RX 6900 XT 16GB , 32GB DDR5 , 1TB NVME , 2TB HDD
- Ps5 Spider-Man 2 limitált kiadás szobor és kontroller
- X13 Gen4 13.3" FHD+ IPS i7-1365U 16GB 256GB NVMe magyar vbill ujjlolv gar
- 27% - Erazer P20 GAMER PC! i7-14700F / RTX 4070 / 16GB DDR5 / 1TB NVMe / B760
- Apple iPad 7 32GB (3 hó Garancia)
- Samsung Galaxy Watch6 Classic 47mm LTE, Újszerű, 1 Év Garanciaval
- Steam, EA, Ubisoft és GoG játékkulcsok, illetve Game Pass kedvező áron, egyenesen a kiadóktól!
- Panasonic LUMIX G 25mm f/1.7 ASPH objektív
Állásajánlatok
Cég: Laptopműhely Bt.
Város: Budapest