- Milyen okostelefont vegyek?
- India felől közelít egy 7550 mAh-s Redmi
- iPhone topik
- Android alkalmazások - szoftver kibeszélő topik
- Profi EKG-s óra lett a Watch Fitből
- Honor 400 Pro - gép a képben
- Samsung Galaxy S21 és S21+ - húszra akartak lapot húzni
- Honor Magic7 Pro - kifinomult, költséges képalkotás
- Samsung Galaxy A54 - türelemjáték
- Telekom mobilszolgáltatások
Új hozzászólás Aktív témák
-
freddirty
senior tag
nekem is hasonló (csak több eth porttal) passzív házas kici kínai softrouter üzemel itthon opnsense-et futtatva. Hőmérséklettel nincs probémám venti nélkül sem, 55 fok normálisan, nyáron valamivel több. Kicsit túlbiztosítottam mert duplikáltan oldottam meg a storage-et, egy sata ssd és egy nvme van benne.
nvme-t azért nem ajánlom mert azért az még jobban melegszik ezen felül a zárt házban (60-65 fok simán).
Talán proxmox érdemes opnsense/pfsense alá, mert akkor a teljes rendszerbackup és probléma (upgrade) esetén visszaállás sokkal problémamentesebb. De nyilván a virtualizáció behoz egy újabb réteget amit menedzselni is kell és nem biztos a befektetett idő megéri azt amit a proxmox hoz a konyhára, de persze ha hobbizik az ember akkor ez nem kérdés
.
Szóval tudom ajánlani, nekem bevált több év után is. -
freddirty
senior tag
Vpn sebességre tudok tapasztalat alapon reagálni. Az n100 bőven elég lesz gigabit sebesség kiszolgálásához és wg vpn szerververhez is. Kérdés a wg másik fele mi lesz? Én openvpnről váltottam és a hétvégi ház és a lakás van összekötve telekom optikai neten /1 gbit/sec mindkét oldal/ wireguarddal. Az opnsense van egyik oldalon (kb. N100 sebességű procival) a másik oldalon egy jóval gyengébb asus ax86u pro. Kb 600-700mbit/sec a sebesség a két site között. A bottleneck nyilván az asus de persze a wg-nak is van overheadje.
Én nem használok semmilyen plugint, legyen minden standard és jól kitesztelt. Mint mindennél itt is az üzemeltetés a kulcs. Nem egyszer kellett visszaállnom virtual server backupból, mert opnsense update után mert valamit elcseszerintettek/továbbléptek és már nem működött jól úgy mint előtte. Az openvpn és az idióta állandó konfigurációs változásaik vettek rá pl. a wg migrációra.
Persze akinek van ideje ezzel hobbizni akkor hajrá lehet felfedezni szabadon a sok újdonságot és plugint. -
freddirty
senior tag
válasz
pethy80
#1343
üzenetére
javaslom dobj össze egy homelab környezetet abból nagyon sokat lehet tanulni. Túzd ki mondjuk célnak, hogy fusson egy web server (egy tök default tartalmú wordpress), egy reverse proxy, és egy opnsense. Mellé legyen még távoli hozzáférés a hálózatodhoz mondjuk wireguardon, a mobilodról meg privát notidról. Ez mondjuk két virtuális szerver, az opnsense és az általános homelab szerver.
Ha ez így mind megvan lehet nézehetni a logokat, IDS/IPS-t bekonfigolni, kizárni országokat a hozzáférésből, kínai botokra crowdsecet felhúzni, log bejegyzésekre reagálva IP-ket kitiltani dinamikusan. Szóval minden ami egy jó kis házi szerver üzemeltetéshez kell és tanulni lehet belőle. -
freddirty
senior tag
válasz
freddirty
#1337
üzenetére
Aha, megvan, elméletileg a gateway-ek adják hozzá a route táblába a wg kliens routejait. De picit másképp kell a gway-t konfigolni openvpn és wg esetén. WG esetén ha nem írod bele külön az IP címét a gatewaynek akkor nem fog route-ot kreálni visszafelé. Openvpn esetén ez automatikus.
-
freddirty
senior tag
Sziasztok,
Routing kérdésem lenne. Opnsense szerveren van négy VPN szerver, két openvpn és két wireguard. Szeretném tesztelni, hogy egy kliens site felől vagy openvpn vagy wireguard szerver-re felépítve milyen a kapcsolat gyorsasága/minősége (kböző beállításokkal és eszközökkel). Igen ám, de a kliens hálózatom minden esetben ugyanaz 192.168.8.0/24. Az opnsense pedig a visszafelé routingot véletlenszerűen(?) teszi be a routing táblába a szerverek indulásakor. Pl. ha megy az openvpn 1 szerver akkor az fogja routolni, ha lelövöm akkor az openvpn2. Így egy irányba megy a szerver hálózat szépen bármilyen vpn-en, visszafelé (tehát a szerver hálózatából a kliens hálózatában levő eszközök elérése) viszont csak akkor ha az openvpn1 megy.
Mi ilyenkor a megoldás? -
freddirty
senior tag
Sziasztok,
Opnsense kérdés.
Most próbálok átállni opevpn VPN-ről wireguardra site to site módban. 1-2 éve jól megy a mobilos wireguard vpn, de lecseréltem a routerem a másik házban és openvpn kliensről átállnék wiregaurdra. Amin meglepődtem, hogy mintha nem lehetne EGY wg csatornán site-to-site forgalmat áttolni (mindkét hálózat látszódjon mindkét oldalon).
Magától értetődőnek tűnt, hogy ha már él egy csatorna akkor azon bármi átmehet csak konfigurálni kelljen. De mintha nem így lenne, az opnsense site to site manual két wireguard szervert húz fel a két site kölcsönös eléréséhez.
Ha valaki használ ilyet akkor az nála is így megy? Csak mert ebben az esetben így mindkét oldalon kell a publikus IP, kell a dinamikus DNS (vagy fix public IP), ami hülyeség otthoni környezetben. Meg tudom oldani persze csak több idő meg macera. -
freddirty
senior tag
Crowdsec-et szerintem akkor érdemes használni ha van valami publikus nyitott portod kifelé és az azt maceráló botokat akarod tiltani.
Tehát bepróbálkozik az adott portra az alkalmazásba egy kínai bot, bedob egy rossz jelszót, a crowdsec kliens olvassa az adott alkalmazás logját, és egyből bedobja a feketelistára aminek az alias listáját a *sense rendszeres időnként frissíti (+ a crowdsec közösség IP feketelistája). Ergo 1-2 bad pw próbálkozás után már megy is banhammer. Fail2ban is hasonló csak ott nincs közösség mögötte. -
freddirty
senior tag
válasz
Multibit
#1093
üzenetére
kicsit különböző architektúrában futtatom a crowdsecet és ott nem történhet ilyen. A szervergépemen a szolgáltatások logjait nézi a crowdsec agent konténer majd összeálít belőle egy privát IP feketelistát. Ezt a listát olvassa az opnsense-en egy WAN rule alias bejegyzése. így ami a listán van az blokkolva lesz. Ergo összeadódik a mások által fekete listára tett IP-k és a saját szolgáltatásaimon próbálkozó botok összessége. Meg persze van egy csomó standard hagyományos IP fekete lista ami be van rakva még aliasnak.
-
freddirty
senior tag
válasz
Henrico
#1021
üzenetére
nincs, a dns alapú reklámblokkolók (pihole, dns listák, stb) nem jók a youtube reklámszűrésre.
Tehát a TV beépíett yt lejátszóján lesz mindig reklám amíg nem fizetsz a googlenak. Alternatív megoldások vannak csak, amik külső forrásból tesznek jelet a tv-dre, Pl hekkelt chromecast vagy valamilyen android boxon youtube (re)vanced.
Én speciel egy android boxon használok revanced appot ha tv-n szeretnék yt-ot nézni. Nem feltétlenül a pénz miatt, hanem mert azt látom nagyon rossz irányba megy a google és ezt én nem kívánom még támogatni is. -
freddirty
senior tag
válasz
inf3rno
#1018
üzenetére
Hú hát informatikában nincs olyan szerintem hogy mit szabad vagy nem szabad mindig az adott környezetben kell döntést hozni hogy mi a legjobb a kockázatokat figyelembe véve. Egy céges környezetben a vpn szerverek általában a default gway-nek magukat állíttatják be a kliens géppel, hogy minden forgalmat a céges hálón keresztül toljon át. Ebben a környezetben a céges policy ami mindent visz, látni akarják a teljes forgalmat elemezni, tiltani, óvni a céges érdekeket adatokat, az alkalmazott érdekei magasról le vannak ejtve. Otthoni környezetben más a szitu ott csak a te érdeked számít. Nincs elég sávszél, hogy kiszolgáld a távoli vpn gépek netes igényeit? No problem te vagy a local god azt teszel amit akarsz, akkor menjen csak a lokális szerverelérés a vpnen. Mit vesztesz? Némi privacy max. De persze van annyi 3rd party vpn megoldás dunát lehet rekeszteni belőlük. Nem kell feltétlenül a sajátod használni majd ha lesz gigabit net otthon akkor átállsz arra.
-
freddirty
senior tag
válasz
inf3rno
#1015
üzenetére
A rollback nagyon egyszerű. Nálam egy külön j6413-as aliexpress célgépen van a proxmox és vmben az opnsense. Proxmoxal scheduleban vagy alkalomszerűen készítek mentést az opnsense gépről (a main server nfs megosztására ha kell). Bármi van akkor abból vissza lehet állni. De van alkalmazásszintű configbackup is a pfsenseben, de azt elég ha csak piszkáltad, ami egy idő után úgyis ritka esemény lesz ha már működik minden ahogy szeretnéd. A proxmoxot magát én nem frissítem. 25+ év után ITban és otthoni hobbiként azt tudom mondani, hogy ami nem romlott el azt nem csesztetjük, kivéve ha látok tényleges biztonsági okot. Pl net felé expozált szolgáltatások. Nyilván enterprise szinten ez már nem áll meg.
-
freddirty
senior tag
válasz
inf3rno
#1013
üzenetére
A távoli elérésre wireguard vagy openvpn szolgáltatást kellene felraknod a pfsensre és a kapcsolódni szánt kliensekre. Ezt fel lehet konfigurálni úgy mintha a lokális hálózaton lógnál, akár az internetelérést is át lehet forceolni rajtuk, ami mondjuk hasznos ha el szeretnéd fedni publikus wifin a forgalmadat. Nekem is így megy, openvpn-en lóg a hétvégi ház hálózata, wireguardon csatlakoznak a mobil eszközök.
Nekem is hasonló setup van itthon mint ami az első hozzászólásban írtál, 1-2 plusz tanács:
- A családot nem feltétlenül kell teljesen leválasztani, lehetnek jó és hasznos szolgáltatások a szervereden nekik is. Pl Pihole ami reklámot/nem kívánatos domaint-t szűr, vagy egy security onion ami intrusion detectionként a forgalmukat elemezve gyanús dolgokra mutathat rá mondjuk rosszindulatú fertőzésre/forgalomra (ez mondjuk már kicsit enterprise ízű szolgáltatás).
Egy szerveren a homelab szolgáltatásai és a router azért nem annyira klafa. Fogsz mókolni újraindítgatni, frissíteni nem lesz 100% az internetelérés ami akkor is fájhat ha csak te ill. a szolgáltatásaid használják. Én külön kisebb alacsony fogyasztású eszközre szervezném ki a pfsense-t hasonlóan mint egy routert, aminek a tárhelyét megosztva akár backupja is lehet a main szervernek ha valami nagyobb leállás lenne.
(A felhőt én annyira nem látom alternatívának otthonra. Egy otthoni szerver méretű gép bekerülési költsége a felhőben elég gyorsan eléri a beruházás költségét és utána már negatívba fordul. 32GB RAM, 4-8 mag, videogyorsítás transzkódoláshoz, kamera feed feldolgozáshoz. A felhő inkább enterprise szolgáltatáskupac amivel megspórolhatják a cégek az onprem üzemeltetéséhez szükséges népek bérét, meg még persze sok minden mást. De hát ebben az esetben te vagy a rendszergazda :) -
freddirty
senior tag
nos EU-ból nem, de Aliexpressről vettem a topton store-ból egy J6413-ast. ~270 USD-nek mutatja mivel belekalkulálja a magyar áfát. De fizetésnél igazából ~200USD, a vámáfa meg annyi lesz amennyire értékelik vagy rá van írva, tehát lutri...
Proxmoxxal voltak gondok, néha a VM-ek minden szó nélkül újraindultak. De végül szoftveres proxmox probléma volt nem hardveres. De ha utánaolvasol akkor vannak problémás alis 5xxx boxok, újraindulással, melegedéssel.
Kicsit kevés a merevlemez csatoló, én toltam bele egy nvme és egy sata ssd-t mirrorozva, usb-re meg egy proxmox bootdriveot (pici SSD).
szerk: a fogyasztás annyira azért nem kedvező, 3 SSD-vel és 32GB RAM-al:
-
#962
freddirty
senior tag
MasterMark
#957
freddirty
senior tag
válasz
MasterMark
#957
üzenetére
nekem nincsenek throughput problémáim, ha fullra kiterhelem az 1Gbit internetet (950-960Mbit, torrentezéssel mondjuk több szálon) akkor sem terhelem ki a procit teljesen. PPOE van, mivel a Telekomtól csak így kapok rendes publikus IP címet, egyébként NAT-olják.
Szóval meg vagyok elégedve. Nem a proxmox emulálja az ethernet kártyát, hanem közvetlenül kezeli az Ethernet portokat az opnsense VM (PCI passthrough). -
#956
freddirty
senior tag
MasterMark
#953
freddirty
senior tag
válasz
MasterMark
#953
üzenetére
Mi az amit lassúnak találsz? Nekem is opnsense van, miután a pfsense olyan öreg alapokon nyugszik (régi freebsd verzió), hogy nem ment a célhardveremen (aliexpress j6412).
Nincs sebességproblémám, proxmox felett virtuális gépben van az opnsense, a gigabites netet szépen kiszolgálja és a késleltetésben sem látok kbséget egy célhardverhez képest. Ámde elég sok pluszt tud firewall téren ami nekem az otthoni labnak fontos. Mondjuk 10GBit hálózatot nem biztos hogy már kiszolgálna, de egyenlőre emiatt nem aggódom -
-
freddirty
senior tag
teház azt szeretnéd elérni hogy az openvpn klliensek minden forgalmukat átküldjék a pfsense-en? Tehát mondjuk egy mobil openvpn klienssel a nem privát hálózat specifikus forgalmát is irányítsa openvpn felé. Mert erre van a redirect gateway. Ez kliens és server oldalon is konfigurálható. Attól függ hogy minden kliensedre rá akarod erőltetni ezt a funkciót vagy szelektíven.
Kliens oldalon ez a sor kell a konfigba:
redirect-gateway def1ha szerver oldalon oldanád meg akkor be kell pipálni a redirect gateway-t. (pfsense-en nem 100% hogy így hívják de opnsense-en ez van)
.
Új hozzászólás Aktív témák
Hirdetés
- Milyen okostelefont vegyek?
- India felől közelít egy 7550 mAh-s Redmi
- Autós topik
- BestBuy topik
- Delta Force (2024)
- Abarth, Alfa Romeo, Fiat, Lancia topik
- A fociról könnyedén, egy baráti társaságban
- Óvodások homokozója
- Kevesebb dolgozó kell az Amazonnak, AI veszi át a rutinfeladatokat
- iPhone topik
- További aktív témák...
- Samsung Galaxy S22 Ultra , 8/128 GB , Kártyafüggetlen
- BESZÁMÍTÁS! CSAK KIPRÓBÁLT! ASUS ROG Ally X (2024) 1TB kézikonzol garanciával hibátlan működéssel
- AKCIÓ! Lenovo Legion Slim 5 Gamer notebook - R7 7435HS 16GB RAM 1TB SSD RTX 4070 8GB GDDR6 WIN11
- BESZÁMÍTÁS! Gigabyte Z370M i5 9400F 16GB DDR4 512GB SSD RX 5700XT 8GB ZALMAN S2 TG Corsair S650W
- Csere-Beszámítás! Számítógép PC Játékra! Intel I7 6700/ RX 580 8GB / 32GB DDR4 / 500GB SSD
Állásajánlatok
Cég: CAMERA-PRO Hungary Kft
Város: Budapest
Cég: Promenade Publishing House Kft.
Város: Budapest