Спасибо за видео ! Я тоже не встречал видео на русском языке про opensens , хотелось бы раскрыть его более детально , установить то я его устанавливал но как жить с ним так и неразобрался (времени не хватило) в итоге ушёл на ideco utm . Хотелось бы видеть продолжения темы :)
Спасибо за урок. Очень интересно и полезно 😊 А без коммутатора хотя бы часть прелестей будет на второй урок? Установка это хорошо, а настройка - дело тонкое. 😊 Надо было привести парочку примеров конкретных моделей коммутаторов, чтобы мы тоже приобрели и были готовы к настройке😂 И да, а зачем точка доступа если мы можем ее сделать из роутера? Или нельзя?😮 Ребята, скидываемся на коммутатор!
@@Stilicho2011 можно же роутер который остался без дела к этому приспособить. да и все равно без коммутатора в первое время придется роутер использовать вместо него. в общем ждем урок по настройке. Спасибо
без Л2 свича можно все сделать, только придется навтыкать в комп сетевух и отдельным бриджем в виртуальном коммутаторе Proxmox разрулить сначала все, а уже потом накатывать OPNsense, что наложит отдельным танцы с бубном к настройки безопасности, плюс opnsense в гипервизоре это отдельным вид секаса. При наличии двух провов две сетевухи(можно и одну, но тогда vlan под каждого прова), если по фейшую все колхозить то Л2 свич провов в него в отдельным vlan изолированный, в него прокинуть сетевуху opnsense из proxmox, и уже там раздергивать провайдеров интерфейсами opnsense, но прям ваще труфейшуй это vlan изолированный, в него две железки с opnsense в haproxy режиме и уже vlan под lan )) пысы: все это можно в гипервизоре заколхозить, но это будет кластер, с ядром на 10Гб Л2 для внешнего хранилища под VM, и отдельным Л2 свичом гигабитным или 2.5гб, ибо opnsense нужно ставить будет в HA режиме с разруливанием по vlan все и вся(под lan отдельным L2 в идеале), ну и вишенка железо под гипервизоры в этом кластере будет не слабым ибо opnsense с ntop, suricata, unbound dns (bind), maltrail, crowdsec жрет не хило и памяти, и проца и диска, особо когда всякие хитрожопые товарищи к тебе 24\7 ломятся по всем портам, а ну еще VPN всякие wireguard и прочие ipsec, поджирают тоже. пысы: у меня под opnsense отдельным железк (две) на xeon E5440 RAM 8Гб SSD 120Гб, а ну да, сеть на Л2 гигабитном свиче (провы 100 и 800мб ток, так что хватает гигабитного, резерв 4G lte там ваще 100мб счастье), и уже гипервизор на proxmox отдельно стоит за всем этим колхозом в кластере из 3х железок на Е5-2670v3 RAM 128G (есть желание NAS на 10Гб перевести, но вроде хватает 2.5)на свиче 2.5гб Л2, но у меня и нагрузки скромные, чисто домашний колхозинг под свои свитоперделки.
Сразу возникают вопросы к формировании цены. Если человек ставит Opnsense значит есть и оборудование для сети уже есть или необходимо в любом случае. Соответственно нужно учитывать цену только на оборудование под Opnsense. Тут есть варианты. Например, как было сказано, купить на али нужный МиниПК. Можно взять старое оборудование на 775 или 1151 сокетах. Даже старенький ноут подойдет. Достаточно докупить USB сетевуху. P/S заметил что автор отправляет по некоторым вопросом в гудг. Для "экономии времени" Подобное смазывает понимание. Лучше потратить время и коротко пояснить. Так будет понятнее. А в гугле можно многое найти. Также раз контент для русскоязычных то и интерфейс желательно по максимуму на русском.
Топ видео попалось! Давно пользуюсь Opnsense, но мало видео от Русскоязычных каналов видел. А так топ решения. Я его на виртуалке в proxmox поднял Xeon 16 ядер 64 оперативы сервак от HPE ML110. Как думаете для Роутера достаточно ?)))))))))))
Привет! Уникальный контент, спасибо! Планируются ли видео с опенврт в лхс контейнере? Планировал сделать такую миниатюрную связку, чтобы всегда брать с собой: минипк; внутри проксмокс; внутри опенврт в лхс, пайхол в лхс, нжинкс в лхс, убунту вм внутри которой НАС (просто файлы с оболочкой Каса Ос) и плюс все необходимые аппы в докере (плексы, торренты, фото и пр. ) Идею тормознула реализация опенврт в лхс контейнере, а именно не смог прокинуть вай фай свисток в сам контейнер, чтобы опенврт раздавал вай фай, где то видел гайд как это сделать , но на второй раз так и не отчаялся))
Для AP берём на озоне AX6000 (который с 7 антеннами), он там порядка 6500 руб. Мать можно взять любую, лишь бы был PCI-E было и проц нормальный встал, также берём сетевые карты для гигабитных портов i350, для 10Gb X520 или X710.
@@Stilicho2011 Материнка DFI SD106-Q170, процессор Intel E3-1240L v5, сетевая карта под задачи через угловой райзер, всё это внутри корпуса Gainta G758 (260x180x65). БП от ноута 19 вольт. Если на сетевой 4 порта, то получается всего 6 портов, причём сетевая может быть и с 4-мя SFP+. Конечно покрупней, чем тот-же микротик, но зато есть гибкость по конфигурированию.
Про точку доступа поправлю. Спасибо китайцам есть годные варианты с wifi7 за 4к. Например Xiaomi Be3600. Обзоры на Ютубе есть. И да, почти любой бытовой роутер можно переключить в приложении точки доступа. Спасибо за ролик, будет интересно посмотреть про настройку. И есть ли в opnsense аналог PBR из openwrt?
Скажу по PFSense, т.к. начал использовать его с момента его появления, а до него юзал m0n0wall, поэтому форк из PF в OPNSense пропустил. Помимо обычной настройки маршрутов в рулесах файрволла на интерфейсы в правилах можно указывать гейтвей, т.е. с использованием алиасов получается довольно гибкая система.
11:05 так не стоит делать, т.к. на ван больше не будет ничего висеть и мост не нужен при нагрузках на сеть это будет нагружать процессор надо сразу вешать адрес на порт или лучше прокидывать железный порт в гостевую систему, особенно если там будет бегать 10гбит, то софтовый мост не выдержит такую скорость
И зачем я смотрю этот ролик в 01:00 ночи. Я теперь то же хочу такой роутер а то у меня giga на пределе уже). Классное видео 👍. Можете посоветовать мини пк с SFP портом. У меня провайдер Ростелеком и оптика приходит. Сейчас у меня работает giga 1011 через sfp. А ростелекомовское железо я убрал.
у OPNsense документация хорошая, если у тебя пограничка с белым ИП и сервисами наружу лучше отдельную железку сделать, и 120Гб мало будет, под нагрузкой там прилично отжирает памяти и проца с диском, за 30-40Гб логов набегает за 2-3 дня, и это если ничего аврального не было, приходится постоянно скриптиком чистить.
@@АлексейДедюхин-е7с а ты белый ИП наружу открой с хостингом, днс и фтп )) и suricata, ntop, scowdsec и VPN на 4 клиента c VoIP и доступом к nextcloud в "центре", там уже не скоростями подгружать начинает, а в целом нагрузкой, 10Гб в домашних условиях кроме как на ядро сети для гипервизоров и НАСа у меня фантазии не хватает чем загрузить, там 2.5 выше крыши и останется. (ну если ты только видео на прямую с НАСа монтировать не будешь)
Внешний трафик дорогой и это основной критерий. + для продакшина железо только аплинки в 10Г начали появляться не за дорого. 2.5Г вообще не видел. И то что китайцы клепают в большинстве это для дома или малого бизнеса. Ну и заменить железо тоже затратно. По этому возмущаться можно если в этой кухне не варились.
@@Stilicho2011 вы должны понимать, что это бизнес и ничего личного. Если железо работает и 99% это устраивает, его никто менять не будет. И да новое обычно внедряется на новом строительстве сети, а остальное пока не умрёт или уже совсем не устареет как пример фулл 100Мбит коммутаторы с аплинками :) и то работают. Думаю понятно чего внедрение медленное. В Штатах вообще на доксисе сидят и ок :)
Подскажите, пожалуйста, начинаю *arr путь. Есть слабенький synology 213j с парой hdd. Есть Nvidia Shield с Kodi который по самбе берёт с syno файлы. Медиатека на syno руками с Tiny Media Manager сейчас организована, доступ тоже по самбе. Есть Intel NUC 128SSD 16RAM с Proxmox на котором в отдельных lxc: adguard, sonarr, radarr, prowlarr, qbitorrent. Сеть локальная одна, все в 192.168.100.0/24. Сейчас *arr стек в привилегированных lxc с доступом по NFS к Synology. Есть ощущение что мягко говоря всё это очень не оптимально сейчас. Можете пожалуйста направить, (хоть куда копать) на более оптимальный путь? Спасибо большое!
@Stilicho2011 спасибо большое за ваш труд. Много посмотрел за последний год, так тут и оказался. У вас truenas с zfs, но synology в такое не умеет, а я не представляю как правильно оптимально подружить по сети nuc с proxmox и synology.
а как то доступ к проксмокс вернуть? как виртуальным машинам раздавать ip адрес от роутера? у меня выделенный неизменяемый ип адрес от провайдера, нитиво ниполучается. и нету никакой роутера. тока голый кабель
@Stilicho2011 полноценный там роутер и фаервол, но железо херовое, если не из CСR линейки, там уже что-то приличное, OPNsense чем хорош что железо можно подогнать под нужды
Долго боролся с фаерволом в виртуалке, так и не смог побороть. Вот на видео указано что при настройке wan интерфейса используется dhcp, а что если провайдер отдает настройки по mac? У нас на физическом порту один mac, у bridge в pve другой mac и в итоге opnsence не получает ip потому что mac совсем другой, не тот что видит провайдер и на который готов отдать настройки сети. И если ip динамический и доступ снаружи не нужен то и наплевать, а если статический то его получить внутри фаервола невозможно изза бриджа
Зачастую, можно вбить MAC адрес вручную. То есть, взять адрес роутера, и вбить в WAN порт OpenSense. А адрес OpenSense в порт роутера. Не вздумайте оставить один и тот же на двух устройствах у вас в сети. Проблем огребёте знатных.
Нет, вы не поняли, в данном случае на одной железке 2 разных мак адреса, один на физическом порту компьютера на котором proxmox крутится и который видит провайдер и второй на бридже который передается в opnsense
как же много ВОДЫЫЫЫЫЫЫЫЫЫЫЫЫЫЫЫЫЫЫ, я думал там что-то сложное, а тут водааААААААААААА!!!! Если нет нормального свитча, но как вы сказали у вас есть микротик, так заверните трафик провайдера в vlan и пробрось на виртуалку, а потом обратно в микрот так же vlan-ами
@@Stilicho2011 вот давайте конструктивно, о чем ролик? я понял что opensense это больше фаирвол, и какой образ мне качать, понял что в вашей схеме вы хотите подключить сеть прямо в гипервизор, ок. а какие от этого плюшки? где я выигрываю, почему я не юзаю фаирвол в proxnox? что меня должно побудить повторить ваш путь? у вас нет плана сети, потому структура повования гуляет (яркий пример как вы в скользь упомянули о свитчах и как вас несет в дебри закупки железа с али) так что получилось много воды, а по теме мало
1:00 ты путаеш процессорные архитектуры для роутеров с х86 или мобильными, где встроено графическое ядро и поэтому тебе кажется, что 512мб озу это мало 🤣 для спец процессоров сетевых на арм ядре этого достаточно для домашних использований и скоростей даже в гигабит 2:20 ты действительно ничего не понимаеш в микротике полноценный фаервол statless это на свитчах простой фаервол, точее acl микротик тем и хорош, что там полноценный фаерволл
Норм ролик) как раз перевожу свои сервера на 1 физический 10 гигабит, 4 порта, 40 потоков E5-2687W v3 Так вот вопрос: какие ещё есть "роутеры" которые можно так поставить? Что на счёт вебмин? Там вроде тоже есть и файрвол и настройка сети. Что можно поставить сверху дебиана например? Ведь по ресурсам всяко лучше контейнер, чем виртуалка.
Микротик крут, спору нет, настроил и забыл, интерфейс так себе) было бы более дружелюбный был бы вообще топ, с вторички дома гигабитную Лан сделал не дорого)
Микротик, даже если закрыть глаза что это прибалты, эта контора может всеравно навязать свою волю, цену итд. А opensense встает на любую железку какую я захочу
Спасибо, очень понятно рассказываешь. Буду ждать следующий ролик
просто чаловеческое СПАСИБО!!
Спасибо за видео! Очень интересная подача, интересно смотреть 👍👍
все ждем следующего видео лайк
Жду ролик про установку и настройку Wazuh + OwlH. Плюс настройка кастомных правил. Это будет эпичное видео.
А вот и сделаю. Но не сейчас
Спасибо за видео ! Я тоже не встречал видео на русском языке про opensens , хотелось бы раскрыть его более детально , установить то я его устанавливал но как жить с ним так и неразобрался (времени не хватило) в итоге ушёл на ideco utm . Хотелось бы видеть продолжения темы :)
Спасибо за урок. Очень интересно и полезно 😊
А без коммутатора хотя бы часть прелестей будет на второй урок? Установка это хорошо, а настройка - дело тонкое. 😊
Надо было привести парочку примеров конкретных моделей коммутаторов, чтобы мы тоже приобрели и были готовы к настройке😂
И да, а зачем точка доступа если мы можем ее сделать из роутера? Или нельзя?😮
Ребята, скидываемся на коммутатор!
А без точки доступа ты как вайфай сеть дома будешь организовывать?
@@Stilicho2011 можно же роутер который остался без дела к этому приспособить. да и все равно без коммутатора в первое время придется роутер использовать вместо него. в общем ждем урок по настройке. Спасибо
без Л2 свича можно все сделать, только придется навтыкать в комп сетевух и отдельным бриджем в виртуальном коммутаторе Proxmox разрулить сначала все, а уже потом накатывать OPNsense, что наложит отдельным танцы с бубном к настройки безопасности, плюс opnsense в гипервизоре это отдельным вид секаса. При наличии двух провов две сетевухи(можно и одну, но тогда vlan под каждого прова), если по фейшую все колхозить то Л2 свич провов в него в отдельным vlan изолированный, в него прокинуть сетевуху opnsense из proxmox, и уже там раздергивать провайдеров интерфейсами opnsense, но прям ваще труфейшуй это vlan изолированный, в него две железки с opnsense в haproxy режиме и уже vlan под lan ))
пысы: все это можно в гипервизоре заколхозить, но это будет кластер, с ядром на 10Гб Л2 для внешнего хранилища под VM, и отдельным Л2 свичом гигабитным или 2.5гб, ибо opnsense нужно ставить будет в HA режиме с разруливанием по vlan все и вся(под lan отдельным L2 в идеале), ну и вишенка железо под гипервизоры в этом кластере будет не слабым ибо opnsense с ntop, suricata, unbound dns (bind), maltrail, crowdsec жрет не хило и памяти, и проца и диска, особо когда всякие хитрожопые товарищи к тебе 24\7 ломятся по всем портам, а ну еще VPN всякие wireguard и прочие ipsec, поджирают тоже.
пысы: у меня под opnsense отдельным железк (две) на xeon E5440 RAM 8Гб SSD 120Гб, а ну да, сеть на Л2 гигабитном свиче (провы 100 и 800мб ток, так что хватает гигабитного, резерв 4G lte там ваще 100мб счастье), и уже гипервизор на proxmox отдельно стоит за всем этим колхозом в кластере из 3х железок на Е5-2670v3 RAM 128G (есть желание NAS на 10Гб перевести, но вроде хватает 2.5)на свиче 2.5гб Л2, но у меня и нагрузки скромные, чисто домашний колхозинг под свои свитоперделки.
@@pavelbolkhovitin3687 я пока далек от понимания сие текста)))
Красавчик. Продолжай))
Буду
Если будет возможность расскажите пожалуйста про работу ceph в proxmox в будущих сериях
У меня одна нода
Заставка супер
Спасибо🎉
Сразу возникают вопросы к формировании цены. Если человек ставит Opnsense значит есть и оборудование для сети уже есть или необходимо в любом случае. Соответственно нужно учитывать цену только на оборудование под Opnsense. Тут есть варианты. Например, как было сказано, купить на али нужный МиниПК. Можно взять старое оборудование на 775 или 1151 сокетах. Даже старенький ноут подойдет. Достаточно докупить USB сетевуху.
P/S заметил что автор отправляет по некоторым вопросом в гудг. Для "экономии времени" Подобное смазывает понимание. Лучше потратить время и коротко пояснить. Так будет понятнее. А в гугле можно многое найти.
Также раз контент для русскоязычных то и интерфейс желательно по максимуму на русском.
Топ видео попалось! Давно пользуюсь Opnsense, но мало видео от Русскоязычных каналов видел. А так топ решения. Я его на виртуалке в proxmox поднял Xeon 16 ядер 64 оперативы сервак от HPE ML110. Как думаете для Роутера достаточно ?)))))))))))
Спасибо за ролик!
Подскажите пожалуйста, что у вас за домашний сервер такой? (Много виртуальных машин).
Сколько оперативки и какой процессор?
Спасибо!
Это разве много?! На винду уже не хватает ресурсов
Привет! Уникальный контент, спасибо! Планируются ли видео с опенврт в лхс контейнере? Планировал сделать такую миниатюрную связку, чтобы всегда брать с собой: минипк; внутри проксмокс; внутри опенврт в лхс, пайхол в лхс, нжинкс в лхс, убунту вм внутри которой НАС (просто файлы с оболочкой Каса Ос) и плюс все необходимые аппы в докере (плексы, торренты, фото и пр. ) Идею тормознула реализация опенврт в лхс контейнере, а именно не смог прокинуть вай фай свисток в сам контейнер, чтобы опенврт раздавал вай фай, где то видел гайд как это сделать
, но на второй раз так и не отчаялся))
Не надо прокидывать свисток. Поставить дешевого китайца в режиме точки доступа
Для AP берём на озоне AX6000 (который с 7 антеннами), он там порядка 6500 руб. Мать можно взять любую, лишь бы был PCI-E было и проц нормальный встал, также берём сетевые карты для гигабитных портов i350, для 10Gb X520 или X710.
И как она по качеству? Я конечно наверно максималисткими желаниями руководствуясь, когда говорио о ценах, но тот же tp link от 9 стоит.
А мать, проц, это уже место занимает, поэтому тут как мне кажется без вариантов коробки от китайцев
@@Stilicho2011 Как AP - замечательно, как маршрутизатор - для дома вполне достаточно. На 4PDA есть ветка по нему.
@@Stilicho2011 Материнка DFI SD106-Q170, процессор Intel E3-1240L v5, сетевая карта под задачи через угловой райзер, всё это внутри корпуса Gainta G758 (260x180x65). БП от ноута 19 вольт. Если на сетевой 4 порта, то получается всего 6 портов, причём сетевая может быть и с 4-мя SFP+. Конечно покрупней, чем тот-же микротик, но зато есть гибкость по конфигурированию.
у мя ax3600 вроде норм но за одной несущей уже минус пол сигнала. до этого асус брал с того же места до улицы, а это так то 22 этажа))))
Так как у вас ручная настройка DNS-сервера надо било убрат галочку??
Про точку доступа поправлю. Спасибо китайцам есть годные варианты с wifi7 за 4к. Например Xiaomi Be3600. Обзоры на Ютубе есть. И да, почти любой бытовой роутер можно переключить в приложении точки доступа.
Спасибо за ролик, будет интересно посмотреть про настройку. И есть ли в opnsense аналог PBR из openwrt?
Скажу по PFSense, т.к. начал использовать его с момента его появления, а до него юзал m0n0wall, поэтому форк из PF в OPNSense пропустил. Помимо обычной настройки маршрутов в рулесах файрволла на интерфейсы в правилах можно указывать гейтвей, т.е. с использованием алиасов получается довольно гибкая система.
11:05 так не стоит делать, т.к. на ван больше не будет ничего висеть и мост не нужен
при нагрузках на сеть это будет нагружать процессор
надо сразу вешать адрес на порт или лучше прокидывать железный порт в гостевую систему, особенно если там будет бегать 10гбит, то софтовый мост не выдержит такую скорость
И зачем я смотрю этот ролик в 01:00 ночи. Я теперь то же хочу такой роутер а то у меня giga на пределе уже). Классное видео 👍. Можете посоветовать мини пк с SFP портом. У меня провайдер Ростелеком и оптика приходит. Сейчас у меня работает giga 1011 через sfp. А ростелекомовское железо я убрал.
Дружище, а есть вариант установки какого-то клиента XRAY на Opnsense??? Не могу найти такой. А без него грустно стало в наше время.
Не знаю рабочего варианта. Но есть openconnect
у OPNsense документация хорошая, если у тебя пограничка с белым ИП и сервисами наружу лучше отдельную железку сделать, и 120Гб мало будет, под нагрузкой там прилично отжирает памяти и проца с диском, за 30-40Гб логов набегает за 2-3 дня, и это если ничего аврального не было, приходится постоянно скриптиком чистить.
Отдельная железка по многим причинам лучше, чем вм. Тут двух мнений быть не может
На каких скоростях и с какими сервисами? У меня на pfSense подгружает проц E3-1240L v5 только на скоростях 10Gb и когда по OpenVPN трафф гоняешь.
@@АлексейДедюхин-е7с а ты белый ИП наружу открой с хостингом, днс и фтп )) и suricata, ntop, scowdsec и VPN на 4 клиента c VoIP и доступом к nextcloud в "центре", там уже не скоростями подгружать начинает, а в целом нагрузкой, 10Гб в домашних условиях кроме как на ядро сети для гипервизоров и НАСа у меня фантазии не хватает чем загрузить, там 2.5 выше крыши и останется. (ну если ты только видео на прямую с НАСа монтировать не будешь)
шеф, а есть резон ставить сервер паролей? если да запиши в свою книжечку планов на будущее ^^
Смысл есть. Запишу
а про кого говорить (СДЕК) что это можете подсказать ?
Внешний трафик дорогой и это основной критерий. + для продакшина железо только аплинки в 10Г начали появляться не за дорого. 2.5Г вообще не видел. И то что китайцы клепают в большинстве это для дома или малого бизнеса. Ну и заменить железо тоже затратно. По этому возмущаться можно если в этой кухне не варились.
Да вроде никто не возмущался. Тае, удивление от медленно внедрения стандартов
@@Stilicho2011 вы должны понимать, что это бизнес и ничего личного. Если железо работает и 99% это устраивает, его никто менять не будет. И да новое обычно внедряется на новом строительстве сети, а остальное пока не умрёт или уже совсем не устареет как пример фулл 100Мбит коммутаторы с аплинками :) и то работают. Думаю понятно чего внедрение медленное. В Штатах вообще на доксисе сидят и ок :)
@@partizanbanec8305 я в гермашке и пишу с доксиса
последние дни доживает, уже куплен роутер для гпон
AX3000 за десяточку? У меня xiaomi ax3000t за 3 тыши просто пушка на openwrt
Можно сказать немного переборщил, но я смотрел на современные топовые решения от тп линк
Подскажите, пожалуйста, начинаю *arr путь. Есть слабенький synology 213j с парой hdd. Есть Nvidia Shield с Kodi который по самбе берёт с syno файлы. Медиатека на syno руками с Tiny Media Manager сейчас организована, доступ тоже по самбе.
Есть Intel NUC 128SSD 16RAM с Proxmox на котором в отдельных lxc: adguard, sonarr, radarr, prowlarr, qbitorrent. Сеть локальная одна, все в 192.168.100.0/24.
Сейчас *arr стек в привилегированных lxc с доступом по NFS к Synology.
Есть ощущение что мягко говоря всё это очень не оптимально сейчас.
Можете пожалуйста направить, (хоть куда копать) на более оптимальный путь?
Спасибо большое!
посмотреть мои видео, и вычеркнуть все, что не подходит под установку в lxc контейнер
@Stilicho2011 спасибо большое за ваш труд. Много посмотрел за последний год, так тут и оказался. У вас truenas с zfs, но synology в такое не умеет, а я не представляю как правильно оптимально подружить по сети nuc с proxmox и synology.
@Alexei_Shikit нет никакой разницы. Ну просто не надо создаваиь датасеты, а создаются обычные папки. Монтирование nfs или smb шар одинаковое везде
@@Stilicho2011 благодарю, пересмотрю еще раз внимательно про *arr стек. Спасибо!
а как то доступ к проксмокс вернуть? как виртуальным машинам раздавать ip адрес от роутера? у меня выделенный неизменяемый ип адрес от провайдера, нитиво ниполучается. и нету никакой роутера. тока голый кабель
В следующих сериях. Этот ролик и так очень длинный. И можно на английском писать, если что
как это микротик stateless? А это тогда что? chain=forward action=accept connection-state=established,related log=no log-prefix=""
Хорошо, согласен. Там и то, и то. Но все таки в микрлике полноценный statefull firewall или нет?
@@Stilicho2011 как понять полноценный или нет? Как настроишь, таким и будет.
в микроте файрвол по гибкости на уровне иптаблес и он работает с состояниями пакетов
@@Олег-б3ц9б и с состояниями пакетов, и с состояниями соединений
@Stilicho2011 полноценный там роутер и фаервол, но железо херовое, если не из CСR линейки, там уже что-то приличное, OPNsense чем хорош что железо можно подогнать под нужды
Kinetic, mikrotik, openwrt те роутер ос самии лучии для организации сети
Спасибо! А можешь показать как настроить vpn vless xray?
Не могу. Нет такой возможности на фрибсд
@@Stilicho2011 А какой то другой не остлеживаемый vpn?
Zerotier, openconnect
Долго боролся с фаерволом в виртуалке, так и не смог побороть. Вот на видео указано что при настройке wan интерфейса используется dhcp, а что если провайдер отдает настройки по mac? У нас на физическом порту один mac, у bridge в pve другой mac и в итоге opnsence не получает ip потому что mac совсем другой, не тот что видит провайдер и на который готов отдать настройки сети. И если ip динамический и доступ снаружи не нужен то и наплевать, а если статический то его получить внутри фаервола невозможно изза бриджа
Зачастую, можно вбить MAC адрес вручную. То есть, взять адрес роутера, и вбить в WAN порт OpenSense. А адрес OpenSense в порт роутера. Не вздумайте оставить один и тот же на двух устройствах у вас в сети. Проблем огребёте знатных.
Взять мак адрес роутера от провпйдера и вбить в опнсенсе. Роутер от прова в режим бридж или просто отелюсить и положить нп полку, если пров позволяет
Нет, вы не поняли, в данном случае на одной железке 2 разных мак адреса, один на физическом порту компьютера на котором proxmox крутится и который видит провайдер и второй на бридже который передается в opnsense
@@flomazter Пробросьте сетевую карту вовнутрь виртуалки с OPNSense, будет один MAC железной сетевой.
@@flomazter Это была информацию для размышления. Вы её проанализировали, и для конкретной ситуации приняли правильное решение.
Как доступ к проксмокс вернуть?
Айпи адрес проксмокса поменять в разделе сеть
@@Stilicho2011 В самом проксмоксе поменять, в настройках vmbr0 ?
как же много ВОДЫЫЫЫЫЫЫЫЫЫЫЫЫЫЫЫЫЫЫ, я думал там что-то сложное, а тут водааААААААААААА!!!!
Если нет нормального свитча, но как вы сказали у вас есть микротик, так заверните трафик провайдера в vlan и пробрось на виртуалку, а потом обратно в микрот так же vlan-ами
Как мне с микротом жить я знаю. Тема про opnsense
@@Stilicho2011 вот давайте конструктивно, о чем ролик?
я понял что opensense это больше фаирвол, и какой образ мне качать,
понял что в вашей схеме вы хотите подключить сеть прямо в гипервизор, ок.
а какие от этого плюшки? где я выигрываю, почему я не юзаю фаирвол в proxnox?
что меня должно побудить повторить ваш путь?
у вас нет плана сети, потому структура повования гуляет (яркий пример как вы в скользь упомянули о свитчах и как вас несет в дебри закупки железа с али)
так что получилось много воды, а по теме мало
1:00 ты путаеш процессорные архитектуры для роутеров с х86 или мобильными, где встроено графическое ядро и поэтому тебе кажется, что 512мб озу это мало 🤣
для спец процессоров сетевых на арм ядре этого достаточно для домашних использований и скоростей даже в гигабит
2:20 ты действительно ничего не понимаеш
в микротике полноценный фаервол
statless это на свитчах простой фаервол, точее acl
микротик тем и хорош, что там полноценный фаерволл
У мтс есть тариф 10ГБ
Гигабит? Для дома?
@@Stilicho2011мтс - в каждую квартиру по датацентру!)
Больше половины ролика вода =\
Ужас конечно
Так, а зачем тебе микрот перед опнсенс, если он по цене и возможностям не хуже...
Чтобы снять ролик. Казалось, это очевидно
@@Stilicho2011 не очевидно)
Норм ролик) как раз перевожу свои сервера на 1 физический 10 гигабит, 4 порта, 40 потоков E5-2687W v3
Так вот вопрос: какие ещё есть "роутеры" которые можно так поставить?
Что на счёт вебмин? Там вроде тоже есть и файрвол и настройка сети.
Что можно поставить сверху дебиана например? Ведь по ресурсам всяко лучше контейнер, чем виртуалка.
От потребностей же зависит. Ддя обычного домашнего использования и opnsense, pfsense может быть много
MikroTik это топ за свои бабки , а те кто на них наговаривают просто "не смогли в настройки".
Согласен. Хотя иногда подбешивает
Микротик крут, спору нет, настроил и забыл, интерфейс так себе) было бы более дружелюбный был бы вообще топ, с вторички дома гигабитную Лан сделал не дорого)
Микротик, даже если закрыть глаза что это прибалты, эта контора может всеравно навязать свою волю, цену итд. А opensense встает на любую железку какую я захочу
Микротик это от нищеты....