- Garmin Forerunner 970 - fogd a pénzt, és fuss!
- Apple iPhone 16 Pro - rutinvizsga
- Xiaomi 14T - nem baj, hogy nem Pro
- iPhone topik
- Samsung Galaxy A55 - új év, régi stratégia
- LTE frekvenciák
- Youtube Android alkalmazás alternatívák reklámszűréssel / videók letöltése
- Honor Magic6 Pro - kör közepén számok
- A sógorokhoz érkezik a kompakt Vivo X200 FE
- Magisk
Új hozzászólás Aktív témák
-
tobi''
tag
Én mikor legutóbb új vasra telepít, megcsinál majdnem 0-ról, legalább gyakorol kicsit a dolgokat (elég régi is volt már a rendszer, illetve alaposan újragondoltam az összes szabályt, azok külön csoportokba rendszerezését is). Ami nagy segítség volt, hogy külön exportálhatóak az Aliasok, anélkül lehet nem vágtam volna bele, mert nagyon sok melóm van abban, szóval ha el is döntötted mit szeretnél, azért érdemes azt külön exportálni is, amennyiben van benne melód.
-
tobi''
tag
Én úgy vagyok vele, hogy majd egyszer ha odaérek fejben akkor megtanulom.
Mire lett optikai netem, egész rákaptam a seedboxokra, van 1-2 app amiket használok ott, illetve van holland proxy is, amivel ki tudok menni úgy a netre, hogy magát a gépet nem engedem ki, csak a firefoxnak nyit egy kiskaput, illetve egy másikat is nyit librewolfnak saját netre squid proxy-n át, asztali gépeimet így használom.
De vissza a torrenthez IPv6-nál amit kipróbálnék, a PF szabálynál Internet protokollt IPv4/IPv6-ra teszem és Redirect IP-nek csinálnék egy Aliast a TM-et futtató gép hálója MAC címének megadásával.
Ha netán működik akkor ez nem volt egy bonyolult dolog.
Ha nem működik (és mondjuk nem a fenti PF szabály a hunyó), előfordulhat egy hibajelenség, mégpedig ugye az alap, hogy PF alatt 'Filter rule association'-t választva auto létrehoz egy szabályt WAN alatt, ott lehet még hibaelhárítás ha NAT Outbound auto-n van, akkor hybridre kell tenni és szerkeszt kézzel, VAGY alternatív opció tesztelni az egészet azzal, hogy nem választjuk a Filter rule association-t PF alatt, hanem Floating szabályt hozunk (WAN IN MAC-Alias Port száma). Ez tán kikerüli a NAT outbound hibát akinél ilyen van anélkül hogy szerkeszteni kellene a NAT Outbound részt, viszont akkor résen kell lenni milyen szabályok lettek hozva LAN alatt, mert ez a Floating szabály elébük kerül. Ezért is ajánlottabb kézzel a WAN-on vagy Filter Rule-t választva auton nyitni.
Amúgy nagyon kíváncsi lennék rá manapság hányan használnak IPv6 protokollt torrentnél, illetve gondolom elég ha kapnak IPv6 címet és csak nálad nyitva a port. -
tobi''
tag
Én a Zenarmor szóval keresek leírásokat, oldalukon sok infó van, érdemes átolvasni, mert adhat extra tipp is, mint pl. hozz létre Tailscale esetén Host aliasokat és azt add be Sourceként, de AI is sok mindenben tud segíteni, ha jól értelmezi a kérdést, ott is DDNS és Port Forward esetén leírja pontosan a szabályt neked, még ő is javasolja csinálj Host Aliast a DDNS névvel, az legyen aztán a Source. Vagy azt is mondja: ”Ha azt szeretnéd, hogy a belső hálózatból is elérhető legyen a szolgáltatás a DDNS címen keresztül, engedélyezd a NAT Reflection-t a Firewall > Settings > Advanced menüben, vagy használj Split DNS-t (Unbound DNS host override).“ Csak jól kell kérdezni, csekkolja az angol forrásokat (mert vannak olyan általános témák ahol totál ellentétest mond magyar és angol forrás), fordítsa le neked ha angolul kérdeztél stb. Én egyre többet használom.
Aminél esetleg figyelni kell még, a LAN Rules szekció, amennyiben inactive az alap szabály és sajátokat hoztál. Szerintem jó dolog kontroll alatt tartani a hálót, csak mondjuk nehogy aztán az tréfáljon meg. -
tobi''
tag
Az első képen az átjárók vannak (IP címed az Interface-Owerview WAN résznél láthatod), és mivel a “digi” 10.0.0.1-et használ, ezért a WAN Interface alatt érdemes offolni a Private pipát amit a WIZARD bejelölt neked és esetleg nem vetted ki.
A telekom nem privát címet használ erre, ott nem jött volna elő ez a problémád, ha ez volt a problémád. -
tobi''
tag
Nekem ezzel az a bajom, hogy telekom optika /56 ad (ha minden igaz) és nem szorulok rá, hogy nagyon megértsem hogyan is működik, de talán abból leszűrsz valamit ahogy nálam van állítva.
WAN: IPv6=DHCPv6, Prefix delegation size=56 (diginél ?, ez régen csak 64 volt talán), Request prefix only pipa be, Send prefix hint pipa be.
LAN, VLAN1, VLAN2 esetén mindenhol Track Interface az IPv6-nál (DE lentebb erre kitér), Parent Interface mindenhol WAN, viszont az Assign prefix ID LAN-nál 0, VLAN1-nél 1, VLAN2-nél 2. Ezek alatt RA pipa be, ez ugye megjelenik aztán mindhárom interface esetén a Services fül alatt, ahol Assisted-Normal-Auto, Advertise Default Gateway pipa és Do not send any DNS conf. to clients pipa.
És akkor a Services-ISC DHCPv6-nál mindhárom Interface esetén pipa legfelül Enable DHCPv6 server és a range mindhárom interface esetén from ::1000 to ::2000 .
Amiben eltér a kapott Subnet a három helyi interface esetén esetén az utolsó karakter, a LAN-nál 00-ra végződik, VLAN1 esetén ez 01, VLAN2 esetén pedig 02. De ha VLAN1-re beírok Assign prefix ID-nak 99 (ugye az Interface fül alatt), akkor arra fog végződni DHCPv6-nál is, mert az utosló két karakter is változik /56 esetén (tippre mert 64-8), csak sejtem, hogy /60 esetén az utolsó karakter változik, míg /64 esetén lehet már csak egy helyi interface esetén tudsz megadni Track IPv6-ot, mert nem tudod tovább osztani.
Ami a tűzfalszabályokat illeti, ott pedig az alap (legalsó) szabályom mindenhol az
IPv4+6 can go !HOMELAN NET (ez a LAN+VLAN1+VLAN2 Group neve), majd leginkább MAC aliasokat szeretek használni, úgy nem kell külön szednem IPv4 és IPv6 a szabályoknál, meg nem is kell ilyen fix IPv6 címeket beállítani, mikor Group-ba tettem a helyi interfaceket, akkor az összes IPv4 és IPv6 bekerült és frissül is valamelyik subnet váltása esetén, ezt a firewall-diag-aliases rész alatt hozza, én esetemben __homelan_network néven.
Remélem segít valamit! -
-
tobi''
tag
Pár éve én is sokat szenvedtem vele (ez leginkább a digi hibája), nem is akartam vele foglalkozni míg nem írtad le a gondod, de telekom nettel rendben működik opnsense alatt, illetve a “DHCPv6 server on LAN interface” is adja, beállítva a 2db IPv6 cím mellé egy harmadik is kiosztásra kerül, csak azon a címen át a ping nem olyan jó valamiért, ennek okát majd még kutatom. De itthagyok egy [link] , van egy plusz beállítás azzal, hogy a megfelelő IPv6-kommunikáció érdekében engedélyeznie kell bizonyos típusú ICMPv6-forgalmat, a cikkben megtalálod ezeket, ha netán majd egyszer újra belefogsz.
-
tobi''
tag
Tailscale (wireguard alapú) megy port nyitás nélkül (akár úgy is hogy csak el tudd érni és a net nem azon megy át), én még nem raktam fel, de valamikor lehet rápróbálok, és ha megy akkor nem kell IPv6-al szenvedned, ha jól gondolom.
OPNsense alatt csak az RA-t kellett bekapcsolni, ha rossz címek vannak kiosztva lehet jobb ha újraindítod a rendszert. Illetve nekem a switchen nem kellett semmit állítani, viszont anno a digi ipv6-al szenvedtem (/64 csak) és ott egy tp-linkes switchen is állítgatni kellett, de nem működött stabilan, telekomé (/56) azonnal pár kattintás után már működött is. -
tobi''
tag
Teszteltem kicsit a DNS-t, az “Allow DNS server list to be overridden by DHCP/PPP on WAN” résznél a link által javasolt helyett kivettem a pipát. Nálam van egy NAT Port Forward rule DNS Redirect végett, hogy a google eszközök ne menjenek ki a 8.8.8.8 címre [link] , ehhez még unbound alatt be van pipálva a “Use NameServers”. Most érzékeltem, hogy valami elkezdett kimenni IPv6-on át is, ezért csináltam egy IPv6-local névvel ellátott Aliast, content ::1 ,amivel aztán csináltam egy IPv6 DNS redirect rule-t is. Ezt a “Default allow LAN IPv6 to any rule” elé húzva, már vissza is irányítja a kéréseket, mint IPv4 esetén is.
-
tobi''
tag
Nem foglalkoztam vele eddig, de ránéztem neked OPNsense alatt, [link] ezt a leírást követtem, prefix size /56 raktam, majd RA alatt “unmanaged” (mással nem próbáltam), dns szervernek beírtam 2001:4c48:1::1 (nem teszteltem nélküle, ezt beraktam egyébként a System/Settings/General alatt is). Illetve Firewall Lan Rules engedni kell az IPv6-ot.
Wifin át tesztelve adja iOS és gugli eszközön is. -
tobi''
tag
Én az alábbi cikk alapján döntöttem el mit szeretnék használni, szerintem gyorsan meg lehet érteni: https://homenetworkguy.com/how-to/install-and-configure-crowdsec-on-opnsense/
Az országokat célszerű külön aliasokba szedni, pl. nálam drop_russia, drop_china, és az említett network group aliassal hozol egy fő aliast ami alatt ki tudod venni is a pipát azon ország alias alól, amit valamiért engedned kell, pl. az aliespress kezdő oldalát nem tiltja, viszont utána boltokra szűrve vannak akadások már, ilyenkor vagy átmenetileg kiveszed a pipát drop_china alól, vagy van egy böngészős proxyd vagy vpn-ed amire ráállsz ilyenkor. Nekem bár dual optikám van, de sosem torrenteznék itthoni címmel, ultra.cc van előfizum (legolcsóbb aminél már Plex is van), ahhoz van proxy is, openvpn is, de wireguard is amit pofon egyszerű beállít és nem lassú, mértem is egyet gyorsan vpn-en: [link] -
tobi''
tag
Okés, csak én most nem blocklistát adtam neked, hanem full államokat, amiket megtalálsz https://github.com/herrbischoff/country-ip-blocks
ipv4 mappa alatt, persze ettől lehet tiltani ezeket még, aztán ha floating alatt is tiltod, akkor onnantól pingelni se tudod majd egyiket sem.
De ha pl. felteszed a Maltrailt, az is csinál egy blocklistát, amire neked vagy külön tűzfalszabályt kell hoznod, vagy van egy Network Group Aliasod, korábban meghoztad rá a tűzfalszabályt és csak bepipálod az általa generált Aliast, mint tiltandó.
Nálam még CrowdSec van telepítve, Zenarmor, illetve vannak Unbound alatt Blocklisták, pl. az adguardé is, ha nem fontos a felület, nem kell külön telepítgetni, csak kiválasztod Services-Unbound DNS-Blocklist szekció alatt, amelyik lista neked szimpi.
Zenarmor-ra én elő is fizettem mert hasznosnak találom, vannak érdekes szűrései mobiloknál mind xiaomi mind apple irányba is, de ehhez erősebbb gép kell. Egy ryzen 5800-as procival szerelt mini pc-t rendeltem aliról 190e körüli áron, de végül valahogy annyiba se került.
Proxmox szervert raktam rá, azon át fut az OPNsense, eleinte elég meleg vót a kisgép, de biosba ki tudtam kapcsolni a turbos részét, így elég hűvős és halk is, így tudja nálam 1600-1900Mbit körül lefele (az ezres netem.. olyan jól sikerült a NAT alól kivétel, hogy azóta 2000/1000 net van 
).
De amiért le is írtam mindezt, hogy sokkal kevesebb próbálkozást látok a tűzfalon, amióta ezeket beállítottam/használom, persze nálad is azért fogni fogja a dolgokat, csak tudom azért idegesítő lehet, ha teletojja a logot valami. -
tobi''
tag
Ha támadásnak érzékeled akkor bár nem jutottak be én akkor is tiltanám, egyrészt Firewall-Rules-Wan alatt egy blocking rule, hogy beírod az IP címet a Source alá, másrészt nálam van egy Floating Rules is any direction-al, ott a Destination alá beírva a címet.
Amennyiben tele vagy listákkal érdemes Aliasban gondolkodni, mint pl. URL Table https://raw.githubusercontent.com/herrbischoff/country-ip-blocks/master/ipv4/cn.cidr amivel pl. teljes Kínát blokollod folyamatosan frissített listával, vagy teljes Russia https://raw.githubusercontent.com/herrbischoff/country-ip-blocks/master/ipv4/ru.cidr ,és ezeket betudod vonni egy csoport alá is ha Network Group választod Aliason belül és az új blokkalandó Aliasokat mindig csak ezen belül bepipálod, ilyenkor nyilván elég egy szabályt hoznod WAN és Floating Rules alatt és ott a Network Group Aliasod nevét megadnod, én így használom. De lehet Aliast arra is használ, ha pl. kinyitsz egy portot VPN miatt, és csinálsz egy szabályt rá, hogy csak magyar IP-ről lehessen elérni. (block invert source https://raw.githubusercontent.com/herrbischoff/country-ip-blocks/master/ipv4/hu.cidr és a VPN destination port) -
tobi''
tag
válasz
csinturi
#1050
üzenetére
Üdv!
Én elértem mindent mivel a kliens gépem egyszerre tudott csatlakozni (két hálókártya végett) a thome eszközéhez és a tűzfalhoz is (nyilván a thome és a pfsense külön hálón, külön címmel kell hogy legyen). Ha thome hálóval raktad fel, akkor proxmox alatt a PVE-NETWORK résznél a VMBR0 alatt a thome által kiosztott címet látod. Ennek a mac címét meg tudod nézni a thome eszköze alatt, majd átdugva a pfsense tűzfal hálójára tudsz kiosztani a mac címnek egy fix címet, amit aztán (egy újabb átdugás után) átírsz VMBR0 alatt (cím/cidr, a gateway pedig a pfsense elérhetősége), katt apply configuration, majd (megint átdugva a kábelt) böngészőben megadod ezt az új címet a portjával és ezután el kellene érned a proxmox és a pfsense felületét is.
Én is átírtam így, hogy minden a tűzfal után legyen, majd a thome eszközén lezártam a tűzfalat minden irányban. A telekom nálam PPPoE és bekapcsoltam a PPPoE passthru-t, ha netre van szükségem a thome hálóján át, hamar rá tudok állni. -
tobi''
tag
válasz
csinturi
#948
üzenetére
Nyitva kell lenni, viszont ha rules-wan alatt engedve van adott porton a forgalom, azt egy aliasba szedett networks gyűjteménnyel lehet szűkíteni (source alá aliasod), pl. hogy csak magyar IP címről lehessen elérni [link] , OPNsense alatt olyan 200-al adagoltam be copy-paste. Talán pfSense pfBlockerNG-vel is lehet szűrni, aki azt használja az majd megmondja, esetleg.
-
tobi''
tag
Szerintem próbáld ki azt is, anno én maradtam is mert sűrűbben kapta a frissítéseket, javításokat, illetve áltláthatóbb, alapon majd minden leírás offon van, adott lapon be lehet kapcsolni egyenként, vagy egyszerre az összest, amennyiben szükséged van extra infora, gondolkodni is egyszerűbb mellette.
GEOIP csak regisztrálós “ingyenes” van, de inkább csak Aliasokat használok, pl. pár perc alatt bevittem a full hun cidr-t és akkor mondjuk az adatokat ellopva se tudna külföldi IP csatizni VPN-en át, portra szűrve. Illetve van Suricata, CrowdSec, Sensei, Adguard (azt én kliensenként használom).
Szerintem első kör klónoznám ugyanarra a vasra, illetve lenne kéznél egy rendszer backup is, ha aztán mégis pfSense maradsz. -
tobi''
tag
válasz
noorbertt
#858
üzenetére
Kicsit átfogalmazom akkor. Ha van cast eszközöd, akkor az a 8888-on megy ki, hiába használsz nextdns-t. Ha holnap a mozilla lefrissíti a szoftverét hardcoded dns-re, akkor az is kizárólag a sajátján fog kimenni, ha utána az apple tesz így, akkor az is sajáton, végül aztán azt veszed észre mennyire jól beleférsz next-nél az ingyenes kvótádba.
-
#819
tobi''
tag
jameshun02
#818
tobi''
tag
válasz
jameshun02
#818
üzenetére
Szia!
Nálam opnsense van, de belefutottam én is, hogy telekom mobilnetről elértem, digis mobilról nem. Vedd ki a pipát Interface WAN alatt a 'Block private networks' mellől, majd ha úgy adja, csinálj rá egy floating szabályt.
[link] -
tobi''
tag
Bár ha nincs AP mód mert mondjuk régi a router akkor gondolom nem értetted mi volt a gondja:
Ha az Asus wifi router címét nem a pfSense osztja, hanem fix címen hagytad a protokolt (tehát beírtál egy címet és tiltottad a dhcp-t ahelyett hogy csak a protokolt átraktad volna dhcp-re Asus wifi LAN résznél), akkor Asus wifi nem ismeri az átjárót, tehát ott ahol fix címet kapott a gateway részen be kell írni a saját átjáróját (két átjáró is van ugye, ajánlott a sajátját beírni ha már elszeparáltad, nem pedig a fő routerét). -
tobi''
tag
Destination legyen !LAN NET, tehát invert használod. Akinél több háló is van LAN, VLAN stb. ott meg alap hogy létre kell hozni egy Aliast, Networks kell választani és beadni a címeket mint pl. 192.168.1.0/24, 192.168.2.0/24, majd rules alatt !LAN NET helyett !Local_NET, tehát VLAN is engedted.
-
tobi''
tag
Rátesztelve sikerült elérnem a WAN címemről (80.0.X.X:9091) a belső hálón lévő transmissiont:
NAT-Outbound átraktam "Manual outbound NAT rule generation", SAVE, ezután kézzel beadtam a szabályokat, amik auton voltak és a végén adtam egy szabályt, hogy
Interface=WAN, Source=LAN TCP, Destination=WAN address, Translation / target (NAT address)= 192.168.0.2/32...talán segít valamit.
Proxmox szervert raktam rá, azon át fut az OPNsense, eleinte elég meleg vót a kisgép, de biosba ki tudtam kapcsolni a turbos részét, így elég hűvős és halk is, így tudja nálam 1600-1900Mbit körül lefele (az ezres netem.. olyan jól sikerült a NAT alól kivétel, hogy azóta 2000/1000 net van 
).
Új hozzászólás Aktív témák
Hirdetés
- BESZÁMÍTÁS! GigabyteA620M R5 7500F 32GB DDR5 500GB SSD RX6700XT 12GB Bitfenix Nova Mesh Enermax 750W
- HP Probook 450 G5 - 15", i5-8250U, 8GB RAM, 128GB SSD
- BESZÁMÍTÁS! Gigabyte A620M R5 7500F 32GB DDR5 500GB SSD RX 6700XT 12GB Cooler Master CMP 520L 750W
- Samsung SD590C 27" Full Hd monitor
- Creality Ender 3 Pro 3D nyomtató
- BESZÁMÍTÁS! ASRock Z370 i5 8500 16GB DDR4 512GB SSD 2060 Super 8GB Zalman Z9 Plus Enermax 750W
- Azonnali készpénzes Microsoft XBOX Series S és Series X felvásárlás személyesen/csomagküldéssel
- Bomba Ár! Dell Latitude 3190 - Intel N4120 I 4GB I 64GB SSD I 11,6" HD I Cam I W11 I Garancia!
- Új monitor állvány - csak össze lett szerelve
- VÉGKIÁRUSÍTÁS - REFURBISHED - Lenovo ThinkPad 40A9 docking station
Állásajánlatok
Cég: CAMERA-PRO Hungary Kft
Város: Budapest
Cég: Promenade Publishing House Kft.
Város: Budapest