amikhez oda van írva a webes vezérlő oldalba, hogy usg kell hozzá /tűzfal szabályok, csomag szűrések összetettebb kliens beállítások stb.

No sziasztok!

OPNSense lett feltéve, tökéletesen működik a balance. 100Mbit-es a súlyozott, és a stabilabb 20 Mbit-es a tartalék, ha a T csoport adná a szokásos formáját!

Az Ubi vezérlőről a tűzfalon lebeszéltek a kollégák, révén, ha túl nagy CPU használatot okozna, az egész ip rendszer a kárát látná, ezért Mikrotik cumókat rendeltem be, egy HEX poe-t, ami vezérlőként fog funkcionálni, és jó néhány CAP lite-ot, amit szét fogok szórni.

Visszatérve az OPNSense-re, nagyon barátságos a felülete, bár még kezdőként bitangul megszenvedek mindenért, de tanulom már a videók alapján

Egy jó tanácsot azért elfogadnék: ha osztom a hálózatot mondjuk 3 alhálózatra, hogy tudom megoldani azt, hogy egy megosztott nyomtató mindhárom hálózatból látszódjon, de más forgalmat azon kívül nem szeretnék átengedni a hálók között,?!

OPNSense rulz, most kezdem (+OpenVPN).

Milyen hardvert ajánlotok alá, ha hardcore púpra kihasználom mindenét a cuccnak ? Most még VM-ben futtatom, ismerkedek vele, néznék alá vmi fizikai vasat és nem szeretnék úgy járni, mint az ASUS Router-emmel, hogy az 1000-es Digi neten a QoS miatt 300-400Mbit fölé képtelen voltam menni vele - mint kiderült, a QoS megette a két proci szálat. Amint kikapcsoltam, hozta buta csomagtovábbító módban a gigát.

Köszi

[ Szerkesztve ]

Üdv az Uraknak!

Adott egy Mikrotik router ami a dhcp-t osztja, a router mögött van a PFsense melyet szeretnék weboldalak logolására használni, viszont a logolás során kizárólag a pfsense (lightsquid) a router ipcímére mutat, hiába van több kliens is a hálózatban aminek a router osztja ki az ip-t, viszont ha statikus címet adok a klienseknek akkor szépen lehet látni, hogy melyik kliens épp mikor és hol barangolt, a kérdésem az lenne hogy be lehet e állítani azt hogy a router által kiosztott címeket is mutassa a log szerver?

Sziasztok!
10 hónapja használom már a PfSense-et egy HP SFF PC-n (i5 + 4GB RAM 3db hálókártya).
Ami jelenleg megy rajta: DNSSEC, DHCP, NTP, PfBlockerNG(BinaryDefense, EmergingThreats, FireHol_Level2) OpenVPN, IPSECVPN, SSH, Suricata(jelenleg IDS módban).
Kérdésem lenne Inline IPS beállítással, WAN kártyán ET Open Rules-ok közül mit érdemes bekapcsolni?
Köszi!

Megjött Koreából a vas, valószínűleg OPNsense kerül majd rá (ha meglesz az SSD is).
Addig is egy kérdés: a tűzfal alapértelmezetten megengedő, vagy tiltó?

pfSense-nél tiltó alapból.

Sziasztok!
Először is Boldog Új Évet Mindenkinek!
Új év, új feladványok . Szeretném a tanácsotokat kérni, hogy a sógoromnak milyen gép lenne megfelelő az alábbi paraméterekkel/feladatokra:
- önálló gép, nem virtuális
- DIGI1000-s net,
- IDS (melyiket javasoljátok : snort / surricata, nekem nincs még benne tapasztalatom)
- pfblockerNG,
- kimenő VPN (NordVPN) : külön VPN szerver torrent (20-30 seed párhuzamosan) és külön az egyéb kapcsolatokra
- bejövő VPN (openVPN) a belső hálózat elérésére,
- proxy azt gondolom nem szükséges ilyen net mellett
- site to site VPN (nyaraló lokális kamera képek áttolása otthoni épített NAS-ra biztonsági mentésként)
A fentiek alapján a CPU / RAM / SSD-ben szeretném a tanácsotokat kérni, 3 gépet néztem:
- J3160 elég vagy i3 ?
- mennyi memória és SSD-t javasoltok?
Én i3, 4 GB RAM-ra gondoltam, és pendrive boot-ra, vagy max minimális SSD, mert nem használja ha jól gondolom működés közben és a telepítendő package-k sem hajtják szét a pendrive-t.

+1 : UPS-t használtok NUT package-el, ha igen, akkor milyen típust?

Segítségeteket előre is köszönöm.

Én ezeket nézegettem:
- Qotom Quad core Mini PC with Celeron J3160 dual NIC
- Pfsense Qotom Mini Pc 4 Gigabit Micro pc Core i3
- Minisys In stock Intel Celeron 3865u Pfsense Mini PC Dual Core 6 Lan Port

Köszönöm! Mivel - elvileg - ugyanaz a motor, remélem OPNsense esetén is ez a helyzet.

Megjött minden fődarab a vashoz (Odroid-H2), összeraktam, működik rendesen (Windowszal teszteltem ).
Próbáltam az OPNsense telepítést, de az installer bejelentkezés után mindig elszállt valahol a telepítés. Teljesen véletlenszerű, hogy hol. Volt, hogy már a billentyűzet kiválasztást sem tudtam elvégezni, volt, hogy az UEFI/GPT kiválasztás után, volt, hogy ez még ment, de miután elindult a bitkolbász, 10-20%-nál lépett ki a telepítőből segmentation error vagy bus error üzenettel. BIOS-ban UEFI van beállítva, a háttértár egy 250 GB-os Samsung 960 EVO NVMe SSD. Ezt a fájlt írtam ki USB-re: OPNsense-19.7-OpenSSL-vga-amd64.img.bz2. Tud valaki segíteni ezzel kapcsolatban?
Próbaként telepítettem a pfSense-t, az hiba nélkül felment.
Amúgy azt olvastam egy 2017-es cikkben, hogy a BSD alapú router szoftverek csak 1 maggal NAT-olnak. Ajánlják az IPFire-t, de az meg nem bootol UEFI-vel Azért jó lenne kihasználni a J4105 Celeroncs összes magját!

Szia!
BUÉK!
IDS esetén én Suricata-t javasolnám, mert az összes magot használja, jelenleg a snort meg nem!
A DIGI ha jól tudom PPPOE-t használ, így a snort és a suricata is csak IDS módban mehet max, IPS módban nem fog működni sajnos, nem oldották még meg BSD-ék!
pfblockerng mehet, lehet vele használni IP blacklist-eket, FireHol, BinaryDefense stb...(az IDS-t hagynám is a DIGI esetén).
Én az i3 + 4GB-re szavazok, nekem i5 4GB-vel megy jelenleg, VPN-ek miatt jól jöhet!
Van itthon pfSense és OPNsense is külön-külön SSD-n.

[ Szerkesztve ]

Lehet i5 is lehetne, az 1000-es net az viszi a procit is!

Szia !
Köszi a segítséget. A VPN-k miatt jogos lehet az i5.
"az IDS-t hagynám is a DIGI esetén" - ez azt jelenti, hogy DIGI esetén nem állítanál be IDS-t? Vagy én értem félre?

Akkor az már csak teoretikus kérdés, hogy a J3160 milyen netre/funkcióra lehet elég a fenitek esetén?
Köszi.

Én IPFire-t raktam egy celeronos mini pc-re, arra felment UEFI-ben, még nem tudtam kipróbálni Digi Gigás PPPoE-n

Köszi! Valahogy sikerült felrakni az OPNsense-t (többszöri próbálkozás után). Már beállítottam az alap dolgokat rajta (szintén Digi PPPoE, csak nálam 500 Mbps).
Amivel jelenleg "játszom", az az Intrusion Detection. Érdekes... a log ilyennel van tele: "suricata: [100320] <Error> -- [ERRCODE: SC_ERR_NETMAP_READ(264)] - Error reading data from iface 'pppoe0': (55u) No buffer space available"

Igen, DIGI esetén hagynám és inkább IP blacklist-eket állítanék be pfblockerng-ben.

PPPOE esetén nem megy az IPS, de lehet az IDS mód is problémás, mint ahogy fentebb is írtam, kapcsold ki!

Az IPS módnál ez áll:
"Enable protection mode (block traffic).
Before enabling, please disable all hardware offloading first in advanced network."

Nálam le van tiltva az összes offloading (alapértelmezetten le volt tiltva). Mikor bekapcsoltam az ID-t (IPS móddal együtt), akkor jött a sok log bejegyzés. Miután leállítottam és újra indítottam, már nem jönnek az üzenetek. Annyi "csak" a változás, hogy a memória használat 800-900 MB helyett 2 GB Azaz, ha működik az ID, több mint kétszer akkora a RAM használat a normál módhoz képest. Nem gond, ezért van a memória.

[ Szerkesztve ]

Szia!

Olvastam külföldi fórumon, hogy az újraindítás megoldja, de újra előjön random és csak az újraindítás segít rajta. A memóriahasználat ilyenkor megugrik, függ, hogy mennyi szabályt töltöttél le/ állítottál be. A hardware offloading-ot ki kell kapcsolni, így van. Milyen típusú a hálókártya?

Szia!

Sokat töltöttem be, kísérletezem. Ismerkedési időszakot élek, mind az ID, mind az OPNsense tekintetében. Szerencsére csak az ID-t kell újraindítani, nem az egész eszközt.
Két Realtek NIC van az ODROID-H2-n.