Fórum Root.cz
Hlavní témata => Distribuce => Téma založeno: Jaromir108 30. 08. 2013, 02:25:42
-
Zdravim, hledam nekoho kdo ma zkusenosti s N4F - potrebuji nakonfigurovat routing .. neco delam asi spatne ;O)
LAN (re0) ziska IP adr. pomoci DHCP, tady je to OK. Vytvoril jsem OPT1 - bge0. Zadal jsem Activate, static 192.168.1.1 / 24 Save.
Ve Static Routes jsem dal: Interface OPT1, 192.168.1.0 / 24 a gateway jsem dal ip adr. LAN. Co delam spatne? Dekuji za pomoc. Jaromir
-
A o co se vubec pokousis? Nejak nechapu co ti nefacha.
-
To je obecná otázka ohledně fungování IP, Nas4Free se to netýká.
Statické routy se obvykle používají pro posílání paketů do sítí, které nejsou viditelné přes žádnou ze síťovek. Pokud má síťovka IP adresu z jedničkového subnetu, tak počítač sám ví, že pakety mířící do jedničkového subnetu má routovat přes tuhle síťovku. Statická routa není potřeba.
Navíc pokud jsem to dobře pochopil, tak jsi jako gateway zadal IP síťovky, která je na tom počítači, což je špatně. Gateway je vždycky síťovka na jiném počítači, který funguje jako router pro tu cílovou síť, ale ze stejného rozsahu, jaký na počítači máš.
Např. pokud máš počítač A s IP 192.168.1.10 a v síti je router B, který má IP IP 192.168.1.1 a IP 192.168.2.1, tak abys mohl posílat z počítače A pakety do sítě 192.168.2.0, musíš přidat statickou routu:
route add -net 192.168.2.0 192.168.1.1 255.255.255.0
- tím říkáš, že pakety do sítě 192.168.2.0/24 se mají posílat přes počítač s IP 192.168.1.1.
-
Mne to spise prijde, ze se pokousi o portforwarding, ale jenom hadam.
-
Zdravim,
plan je mit domaci all in one box (NAS, FW, router, atd.), ktery ma dve sitovky - jednu do netu a na druhou dat switch (HP NC150t) a pripojit domaci zarizeni ... .
Zjistil jsem, ze std, nema N4F dhcpd, tak jsem alespon prepdokladal, ze kdyz si zadam vyse nastaveni, tak:
a, se pripojim na NAS ze switche a budu ho moci spravovat a pripojovat se na nej. Kdyz si vsak zadam rucne ip adresu, tak se sice na nej dopingnu, ale kdyz zadam do prohlizece adresu, tak se nic nenacte. Tak jsem si rekl (jelikoz stejne chci se pres zmineny PC dostat do netu), ze musim asi nastavit routovani, coz jsem popsal vyse. Ale zadna zmena. Tak predpokladam, ze neco delam spatne.
Mirek Prýmek: Aha, to mne nenapadlo, ze neni treba nastavovat routing .. takze kdyz zadam manualne adresu, tak bych se mel dostat na web rozhrani i be routu ... Proc to teda nejde?
c, stahl jsem si mezitim a naisntaloval dhcpd aby se adresy posktly pres dhcp, ale porad je neco spatne.
Tak diky za tipy, snad je to jasnejsi. Pardon za nesrozumitelnost ;) Jaromir
P.S. Pokud by se nasla dobra duse co by mi stim pomohla treba po telefonu do supesneho konce, tak bych se odvdecil treba lahvinkou domaci slivky (Praha)
P.S. Tak jak to pises, tak s tebou souhlasim ... jenom ja to nastavoval pres web a pode jejich help/navodu ... proto rikam, ze jsem z toho jelen
-
Vubec tomu nerozumim. To mas vyrabis double NAT?
-
Vubec tomu nerozumim. To mas vyrabis double NAT?
Ja take ne - to neres ;O)
-
P.S. Proste bych rad nasel nekoho kdo ma zkusenosi s Freebsd - s konfiguraci a jeho odvozenimami, nejlepe Free4Nas. Dikes
-
Ještě explicitněji:
- NAS vraz za switch
- pokud na tom chceš provozovat třeba DNS, DHCP, radvd apod., není problém
- NAS není firewall/router. Jestli chceš firewall/router postavený na BSD, tak např. m0n0wall nebo pfsense. Dělat firewall z krabice, na které běhaj tři bambilióny služeb, jejichž primárním účelem je sdílet data po síti, je skutečně blbej nápad.
-
vesmes souhlasim s Lol Phirae, nicmene z ciste edukativnich duvodu si myslim, proc si to nezkusit. Zapomen na to, ze mas N4F. Primarne je to FreeBSD takze tam hledej odpovedi na otazky ktere te zajimaji.
zasadni funkce, kterou ty hledas je portforwarding aby se ti predavaly pakety mezi sitovkami,funkcionalitu routeru na FreeBSD si muzes nastudovat tady:
http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/network-natd.html (http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/network-natd.html)
Jak rikal Mira, staticke routy neres. Dynamicky se ti vytvori potrebne pro jednotlive sitovky.
-
vesmes souhlasim s Lol Phirae, nicmene z ciste edukativnich duvodu si myslim, proc si to nezkusit.
Z edukativních důvodů to taky nemůžu doporučit. Nevím, jak hodně se tohle liší od FreeNAS, nicméně u druhé jmenované distribuce, se kterou nějaké starší zkušenosti mám, byla celá konfigurace vytvářena přes PHP, init kompletně překopaný a prakticky nic z běžných BSD postupů tam nešlo přímo použít. Aby se z toho udělal firewall, tak bych si navíc býval musel překompilovat kernel. Tak asi tak.
-
to Lol Phirae:
Ja presel na N4F prave kvuli nesmyslnejm restrikcim u freenasu a slape vyborne a o dost lepe nez puvodni freenas. Je pravda, ze zrovna funkcionalitu firewallu a tedy ani NAT, sem nezkousel takze nepotvrdim ze to funguje bez vetsich zasahu. Treba se to alespon potvrdi ci vyvrati.
-
Ještě explicitněji:
- NAS vraz za switch
- pokud na tom chceš provozovat třeba DNS, DHCP, radvd apod., není problém
- NAS není firewall/router. Jestli chceš firewall/router postavený na BSD, tak např. m0n0wall nebo pfsense. Dělat firewall z krabice, na které běhaj tři bambilióny služeb, jejichž primárním účelem je sdílet data po síti, je skutečně blbej nápad.
Tomu uz rozumim ... hmm, to uz jsem nekde slysel ;) Prave ze jsem chtel prejit z sesti "krabicek" pouze na tri. Duvody:
- hlavne prostor (uz mne nebavi mit odma pro 1-4 uzivatele farmu HW zarizeni) koupit za 8+ tisic nejake Synology, ktere by to vsechno umelo (NAS, FW, router, survelion station, AP) se mi nechtelo - rikal jsem si, ze zeleza mam doma dost a N4F uz se mi zdalo dostatecne vyspele pro takoveto pouziti. Ted to vypadlo ze si vystacim s tremi (NAS, pojitko/inet a IPbranu) + me PC... a ted to vypada na pet, to abych mel dalsi stul :O(
- sprava/prehlednost/udrzovatelnost - spravovat jeden bod je pro mne jednoduchsi (ve chvili kdy to uvedu do stavu kdy to bude fungovat jak si predstavuji bych rad na dotycne zarizeni zapomel)
- ticho - mam zde AMD 160u, coz je 20W 2,5GHz CPU a i pasivni zdroj jsem mel ... rikal jsem si, ze by to tohle allinone zarizeni sneslo, prinejhorsim bych ho odemknul na dvojjadro za 25, coz porad jde .. s disky jsme na 60+W na zasuvce, coz je OK. Bohuzel vzhledem k 4HDD si netroufam pouzit picoPSU.
- v nepoledni rade treba spotreba el. energie (dalsi zdroj, dalsi CPU, ... dev)
Ze to vyjde draz na zeleze, o tom bych nemluvil. Jelikoz jde o domaci pouziti .. neresim tak extremne bezpecnost - stejne casem se najde nejaky exploit - jestli to nebude v sambe, nebo bude v necem jinem ... .
Pred par dny jsem cetl http://www.pfsense.org/index.php@option=com_content&task=view&id=52&Itemid=49.html a nejaky 3+GHz navic nemam, ale asi to vypada, ze mi nic jineho nezbyde.
Mozna jeste jeden dotaz: dejme tomu, ze bcyh udelal ten extra router na m0n0 ci pf .. ktery umi lepe spravovat APcko na PCIe? O pf jsem cetl ze to umi, ale blbe ... kameru tam budu moci pripojit pomoci nejakeho pluginu? Osobne nemam zkusenosti. Az budou zase stenata rad bych to streamoval ... .
Jsem se nejak rozepsal, cemuz jsem se chtel vyhnout ;o)) Diky za dalsi napovedu. Snad uz je to jasnejsi. Jaromir
-
Ještě explicitněji:
- NAS vraz za switch
- pokud na tom chceš provozovat třeba DNS, DHCP, radvd apod., není problém
- NAS není firewall/router. Jestli chceš firewall/router postavený na BSD, tak např. m0n0wall nebo pfsense. Dělat firewall z krabice, na které běhaj tři bambilióny služeb, jejichž primárním účelem je sdílet data po síti, je skutečně blbej nápad.
Tomu uz rozumim ... hmm, to uz jsem nekde slysel ;) Prave ze jsem chtel prejit z sesti "krabicek" pouze na tri. Duvody:
- hlavne prostor (uz mne nebavi mit odma pro 1-4 uzivatele farmu HW zarizeni) koupit za 8+ tisic nejake Synology, ktere by to vsechno umelo (NAS, FW, router, survelion station, AP) se mi nechtelo - rikal jsem si, ze zeleza mam doma dost a N4F uz se mi zdalo dostatecne vyspele pro takoveto pouziti. Ted to vypadlo ze si vystacim s tremi (NAS, pojitko/inet a IPbranu) + me PC... a ted to vypada na pet, to abych mel dalsi stul :O(
- sprava/prehlednost/udrzovatelnost - spravovat jeden bod je pro mne jednoduchsi (ve chvili kdy to uvedu do stavu kdy to bude fungovat jak si predstavuji bych rad na dotycne zarizeni zapomel)
- ticho - mam zde AMD 160u, coz je 20W 2,5GHz CPU a i pasivni zdroj jsem mel ... rikal jsem si, ze by to tohle allinone zarizeni sneslo, prinejhorsim bych ho odemknul na dvojjadro za 25, coz porad jde .. s disky jsme na 60+W na zasuvce, coz je OK. Bohuzel vzhledem k 4HDD si netroufam pouzit picoPSU.
- v nepoledni rade treba spotreba el. energie (dalsi zdroj, dalsi CPU, ... dev)
Ze to vyjde draz na zeleze, o tom bych nemluvil. Jelikoz jde o domaci pouziti .. neresim tak extremne bezpecnost - stejne casem se najde nejaky exploit - jestli to nebude v sambe, nebo bude v necem jinem ... .
Pred par dny jsem cetl http://www.pfsense.org/index.php@option=com_content&task=view&id=52&Itemid=49.html a nejaky 3+GHz navic nemam, ale asi to vypada, ze mi nic jineho nezbyde.
Mozna jeste jeden dotaz: dejme tomu, ze bcyh udelal ten extra router na m0n0 ci pf .. ktery umi lepe spravovat APcko na PCIe? O pf jsem cetl ze to umi, ale blbe ... kameru tam budu moci pripojit pomoci nejakeho pluginu? Osobne nemam zkusenosti. Az budou zase stenata rad bych to streamoval ... .
Jsem se nejak rozepsal, cemuz jsem se chtel vyhnout ;o)) Diky za dalsi napovedu. Snad uz je to jasnejsi. Jaromir
-
vesmes souhlasim s Lol Phirae, nicmene z ciste edukativnich duvodu si myslim, proc si to nezkusit. Zapomen na to, ze mas N4F. Primarne je to FreeBSD takze tam hledej odpovedi na otazky ktere te zajimaji.
zasadni funkce, kterou ty hledas je portforwarding aby se ti predavaly pakety mezi sitovkami,funkcionalitu routeru na FreeBSD si muzes nastudovat tady:
http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/network-natd.html (http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/network-natd.html)
Jak rikal Mira, staticke routy neres. Dynamicky se ti vytvori potrebne pro jednotlive sitovky.
No to jsem si take myslel ... i kdyz si rikam, zdali to stoji za tu namahu. Kazdopadne diky za psychickou podporu !!! ;O)
Statiku zrusim a budu doufat ... je zde tedy nekdo kdo by nejlepe nezistne a konkretne poradil ;o) (polopaticky tak abych to pochopil ;O)))
-
vesmes souhlasim s Lol Phirae
Já ani moc ne. Proč NAS nepoužít zároveň jako firewall? Ne domácí použití úplně v pohodě. Spíš bych se obával toho, že tazatel tomu moc nerozumí, čiliž se v tom ztratí a je dost pravděpodobný, že to nenakonfiguruje dobře (bez urážky).
zasadni funkce, kterou ty hledas je portforwarding aby se ti predavaly pakety mezi sitovkami,funkcionalitu routeru na FreeBSD si muzes nastudovat tady:
http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/network-natd.html (http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/network-natd.html)
Ani ne tak portforwarding jako spíš NAT ;) Místo ipfw+natd bych použil raději pf, kterýmu pro natování stačí do konfiguráku jeden řádek:
nat on $ext_if from !($ext_if) -> ($ext_if:0)
($ext_if je vnější síťovka)
Ale jak je to u Nas4Free, to netuším, pro mě je jednodušší použít normální FreeBSD než tyhle klikací nástroje.
-
Ani ne tak portforwarding jako spíš NAT ;)
Jasny, myslel jsem packet forwarding :D Ale to je jedno. Vsak sem taky psal ze pro domaci ucely (coz jsem ale explicitne neuvedl) a pro edukacni ucely proc ne.
-
Neviem kolko tam mas pamate, ale ja uz by som zauvazoval pouzit virtualizaciu a spravit jeden pfsense virtual na net a NAS4Free na NASko. Vsetko viac menej naklikatelne, stale jedna krabica a na doma ten vykon asi neriesis ....
-
Neviem kolko tam mas pamate, ale ja uz by som zauvazoval pouzit virtualizaciu a spravit jeden pfsense virtual na net a NAS4Free na NASko. Vsetko viac menej naklikatelne, stale jedna krabica a na doma ten vykon asi neriesis ....
Zdravim,
to je nahoda - mne to napadlo vcera pozde vecer, kdyz jsem se vracel domu ;o) Priznam se akorat, ze jsem to takto nikdy od piky nevytvarel .. pred lety jsem kompiloval kernel pro tyto ucely ... jake jsou mim. pozadavky? Je tam ted tusim 6 ci 8GB ... zkusim se podivat na net jestli najdu nejaky step by step guide pro blbce s alheimerem jako jsme ja ;o)
-
Vytvářet virtuál kvůli firewallu je naprostý nesmysl.
- na stroji se dvěma síťovkami to nebude úplně triviální nakonfigurovat (vnitřní síťovka musí poskytovat jednak připojení k netu, jednak ty NASové služby) a dost pravděpodobně to ovlivní výkon těch NASových služeb
- zbytečně se bude plýtvat ramkou, která je na NASu cenná
- z pohledu funkce to nepřinese naprosto nic kromě klikacího razhranní, které by se snad dalo nainstalovat i bez virtuálu
- zmíněný PF má tak přímočarou konfiguraci, že přínosnost webového rozhranní se imho limitně blíží nule
- přínos z hlediska bezpečnosti je diskutabilní a v domácích podmínkách určitě naprosto nulový
-
Taky se spíš kloním k názoru, že to není úplně skvělý nápad kombinovat firewall a NAS. A to primárně z toho důvodu, že když bude jakýkoliv výpadek, ať už kvůli tomu, že se v tom budeš vrtat, nebo Ti něco prostě odejde, přijdeš jak o data na NASu, tak připojení k internetu. Podobně, pokud to budeš chtít spravovat vzdáleně a třeba restartovat. Plus samozřejmě bezpečnostní konsekvence. Takže bych to osobně řešil spíš nějakým TP-linkem za 1300Kč.
Ale co už, kdo chce kam... PF je asi nejlepší varianta
musíš povolit zmíněné forwardování paketů pro ivp4, které je ve výchozím nastavení vypnuté
dočasně (bez rebootu): sysctl net.inet.ip.forwarding=1
trvale: přidej řádek gateway_enable="YES" do /etc/rc.conf
pak ve zkratce nastartovat služby pf a pflog, vytvořit konfigurační soubor firewallu /etc/pf.conf, zavést jí přes pfctl -e && pfctl -f /etc/pf.conf
základní konfigurace je na pět řádek
je to kompletně popsáno tady:
http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/firewalls-pf.html
ještě Ti doporučím poctivě projít tenhle návod:
http://home.nuug.no/~peter/pf/en/
nastavení dhcp serveru je zase zde:
http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/network-dhcp.html
Pokud budeš mít povolené zvenku SSH, tak si pak určitě nezapomeň nastavit sshd v souboru /etc/ssh/sshd_config. Minimálně bych zakázal přihlašování pro roota (PermitRootLogin) a přihlašování bez veřejného klíče (UsePAM), abys předešel bruteforce útokům. Pokud Ti to nic neříká, tak zvenku SSH nepovoluj, dokud si to nedogooglíš.. :-)
-
..a samozřejmě souhlasím s Mirkem, virtualizovat si doma firewall je blbost. Ne že by se to nedalo udělat, ale nedává to moc smysl.
-
pak ve zkratce nastartovat služby pf a pflog, vytvořit konfigurační soubor firewallu /etc/pf.conf, zavést jí přes pfctl -e && pfctl -f /etc/pf.conf
Spíš do rc.conf dát
pf_enable=yes
pflog_enable=yes
a startovat
service pf start
service pflog start
ne?
-
pak ve zkratce nastartovat služby pf a pflog, vytvořit konfigurační soubor firewallu /etc/pf.conf, zavést jí přes pfctl -e && pfctl -f /etc/pf.conf
Spíš do rc.conf dát
pf_enable=yes
pflog_enable=yes
a startovat
service pf start
service pflog start
ne?
Je to tak, původně jsem to chtěl rozepsat celé. Ale pak zjistil, že je to hezky popsáno na jedné stránce v Handbooku, tak jsem zmínil jen obecné kroky. Snad to není moc matoucí, jestli si Jaromír přečte ty odkazy, tak mu to zapadne do kontextu.
-
..a samozřejmě souhlasím s Mirkem, virtualizovat si doma firewall je blbost. Ne že by se to nedalo udělat, ale nedává to moc smysl.
Hmm, tak dik za rady. Takze zas asi blbe. Uz se smiruji z tim, ze budu mit o dalsi bednu vice, nez jsem si predstavoval ... kokal jsme na ruzna reseni - ma nekdo zkusenosti s IPFire?
Na prvni pohled asi bude nevice splnovat co od toho cekam ... router/FW/AP a video server v jednom. Kdyz jsem koukal na pf, tak jsem nic nenalezl o poslednim a ohledne AP si mnoho lidi stezovalo ... taky IPFire je zalozen na Linuxu, coz by znamenalo lepsi podporu HW.
Dekuji vsem! Jaromir
-
Uz se smiruji z tim, ze budu mit o dalsi bednu vice, nez jsem si predstavoval ...
Nesmysl. Pokud pred tim NASem bude nejaka krabicka, ktera firewall umi (napr. modem), tak ho vyuzij. Pokud ne, udelej si firewall primo na tom NASu.
Kdyz jsem koukal na pf, tak jsem nic nenalezl o poslednim a ohledne AP si mnoho lidi stezovalo ...
Nepletes si PF a PFsense? To prvni je firewall, ktery je k dispozici v kazdem FreeBSD nebo OpenBSD. Cili jako iptables v Linuxu. PFsense je "distribuce", ktera PF jenom obaluje nejakym uzivatelskym rozhranim. Ktere - jak znovu opakuju - je podle myho nazoru naprosto zbytecny, protoze pro domaci potreby staci pro pf jeden konfiguracni o odhadem tak cca dvaceti radcich. Instalovat kvuli tomu nejake webove rozhrani (webserver, tuna skriptu) nebo dokonce samostatnou distribuci do virtualu mi prijde naprosto ujety.
-
Uz se smiruji z tim, ze budu mit o dalsi bednu vice, nez jsem si predstavoval ...
Nesmysl. Pokud pred tim NASem bude nejaka krabicka, ktera firewall umi (napr. modem), tak ho vyuzij. Pokud ne, udelej si firewall primo na tom NASu.
Mam na strese mam tusim M5ku, ale neni moje a nedostanu se do ni - minule jsem chtel otevrit port, abych neco otestoval a cekal jsem cca tri tydny ... tak jsem se domluvil, ze mi z nej udelaji bridge a navazou na nejakou MAC adr. jednu verejnou IP a dal si vse zmanaguji sam. Tak nevim.
Kdyz jsem koukal na pf, tak jsem nic nenalezl o poslednim a ohledne AP si mnoho lidi stezovalo ...
Nepletes si PF a PFsense? To prvni je firewall, ktery je k dispozici v kazdem FreeBSD nebo OpenBSD. Cili jako iptables v Linuxu. PFsense je "distribuce", ktera PF jenom obaluje nejakym uzivatelskym rozhranim. Ktere - jak znovu opakuju - je podle myho nazoru naprosto zbytecny, protoze pro domaci potreby staci pro pf jeden konfiguracni o odhadem tak cca dvaceti radcich. Instalovat kvuli tomu nejake webove rozhrani (webserver, tuna skriptu) nebo dokonce samostatnou distribuci do virtualu mi prijde naprosto ujety.
Aha, myslel jsem pf jako pfsense ... pf prave ze pokud jsem to dobre pochopil neni std. v N4F.
Kazdopadne nejdrive jsem uvazoval o pfsense a ted alespon papirove se mi zda nejlepsi IPFire. Nejake zkusenosti, porovnani ci recenze? Jak jsem psal vyse, jeden z duvodu je lepsi podporas HW dana jadrem, druha moznost AP a neposledni rade video server pro pripojeni web kamery, coz pokud jsem se dval dobre pfsense neumi. Nebo mate jie zkusenosti?
Dekuji, Jaromir