Opnsense-hez használható könyv

Hálózatok egyéb

Keresek könyvet (preferáltan papír alapú) v. ha más nincs ebook-ot a témában. Inkább FREE, de ha fizetős hát legyen fizetős.

Egyetlen találat a témában: Practical Opnsense, csak hát összesen van róla 2-3 review Amazon-on, oszt csókolom. Ahhoz drágan küldik annyiért megvenni látatlanban.

A gyári dokumentáció csapnivaló, screenshot-after-screenshot, 2 szavas foghíjasan odavetett "magyarázat", bár ne is írtak volna inkább semmit.

Pluralsight-on nincs lófsz sem, Udemy-n van 1 angol nyelvű, de azt is vmi indián adja elő, szarok a review-jai is.

( dentzol | 2020. 05. 25., h – 20:49 )

Mi az amiért feltétlenül szükség van egy dedikált Opnsense könyvre és nem lehet megtudni máshonnan?

pfSense doksik?

Megfújják az ítéletharsonákat mire mindent kiguglizok, kifórumozgatok. Ha megveszek egy könyvet, elvárom h. a szerző helyettem végigkínlódta már ezeket, és a pénzemért cserébe én megspórolom magamnak ezt a temérdek időelbaszást. Ha nem, akkor az bizony eg szar könyv, és elégtelen osztályzattal jutalmazom a review-ban.

Az opensource cuccok dokumentációja kevés kivételtől eltekintve csapnivaló. Kedvenc példám a VNC arrogáns fhanszia developerei, az ipari átlag fölött magasan tahóságujkal, élen a példamutató főnökkel.

Mert a naccságos fejlesztőuraságoknak derogál használható instrukciókat írni a prduktumuk mellé. Illetve sokan jobb h. nem is állnak neki tanítani 0 pedagógiai érzék és az enyhe/dúrva autizmusuk mellett.

Szóval értekelem, ha vki megtalálja a piaci rést, es az amúgy jó szoftver mellé használható irdodalmat is tesz. Ilyen egyszerű. Az opnsense doksik kalap szart nem érnek, de a szomorú az h. azokat aki ezr finoman-dúrván megpróbálják az értésükre hozni, azokat reflexből visszatámadják.

( E-Medve v | 2020. 05. 25., h – 21:18 )

Szerkesztve: 2020. 05. 25., h – 21:19

A Bookdepository-n 7500 forint körüli áron láttam a jelzett könyvet és emlékeim szerint még mindig free shipping van.

Valahogy nem rajongok annyira a Kindle könyvekért. Ha jól emlékszek, akkor volt már rá példa, hogy töröltek könyvet az eszközről távolról (és az árát se kapták vissza a vevők). Ezzel szemben azzal semmi bajom, ha kapok egy vízjeles epub/mobi/pdf fájlt (például O'Reilly, Nostarch, Pragprog, Packtpub, stb.). Tudom, a Kindle kiadás is offline-osítható, de inkább nem küzdök vele.

( SzBlackY | 2020. 05. 25., h – 21:43 )

Ha szar a doksi, csinálj játszóteres példányt és próbálkozz :) (különösen opnSense-nél, ami kenyérpirítón is elfut)

A másik része, hogy azért elég gyorsan változik, pl. nem vagyok biztos abban, hogy a könyvben jó helyen írják a GeoIP szűrést (a 19.1 előtt az IDS-ben kellett kezelni, 19.1-től már aliasként [2019 január, a könyv meg júniusban jelent meg az Amazon szerint - erősen kiadótól függ, hogy mit írhatnak róla]), úgyhogy itt nem biztos, hogy a könyv a legjobb forrás. (az "alap" dolgokban, amikhez keveset piszkálnak, a pfSense doksi tényleg jó lehet)

BlackY

"Gyakran hasznos ugyanis, ha számlálni tudjuk, hányszor futott le már egy végtelenciklus." (haroldking)

( end | 2020. 05. 27., sze – 08:05 )

Az elvemmel itt  meglehetős "olcsó" leszek: Ha már az ég világon mindent megpróbáltál, és semmi nem megy.., - és a leges-leges-legvégén,(!) - na akkor jön a dokumentáció!!!  :)

Nem olvastad a kiindulást: az opnsense docs ócska minőségű, minden apróságért fórumozgatni kell náluk, mert nem ismerik el a hibáit, és hiányosságait ill. nem javítják a dokumentációt: 1x összecsapta valaki 4 éve, azóta jóvanazúgy, mert a core team így is érti hogyan működik a (saját) produktumuk, a többiek meg mind hülyék. Na ezért keresek külsős doksit.

Használom az OpnSense-t. De néha megijedek. perl,php,python,ruby,bash ezek mind kellenek neki. Mintha nem tudták volna eldönteni melyik plugin mit használjon. Másrészt minden root-ként fut! Még az is ami normál esetben általában nem. A lighthttpd,php,radiusd stb. Állítólag ez azért van mert nincs normális privilégium szeparáció a frontend és a backend között. Magyarán a php kénytelen root-ként futni ha bármit kell módosítani interfészt, tűzfalat akármit. Elkezdtek írni valami python backend-et ami pár dolgot már átvett. De ez sincs kész.

https://github.com/opnsense/core/issues/1695

És ez egy security termék.

Mondjuk pont a linkelt hibajegynél pont leírják, hogy miért van így és hogy sorban haladnak (ezzel egyébként sok más helyen is találkozni náluk, hogy a pfSense-s dolgokat próbálják kidobálni, lassan haladnak vele, mondjuk ha egyszer megnézed azt a spaggetit, amiből indultak, talán te is megértőbb leszel :) )

BlackY

"Gyakran hasznos ugyanis, ha számlálni tudjuk, hányszor futott le már egy végtelenciklus." (haroldking)

Csalóka. Sokat írnak, vannak screenshotok tömegével, csak éppen a körítés hiányzik. Pl. csinálnék egy VPN-t:

https://docs.opnsense.org/manual/vpnet.html

Felsorol 8 lehetőséget:

Integrated VPN options

Integrated solutions are those that are available within the GUI without installing any additional package or plugin. These include:

  • IPsec

  • OpenVPN (SSL VPN)

Plugin VPN options

Via plugins additional VPN technologies are offered, including:

  • Legacy L2TP & PPTP

  • OpenConnect - SSL VPN client, initially build to connect to commercial vendor appliances like Cisco ASA or Juniper.

  • Stunnel - Provides an easy to setup universal TLS/SSL tunneling service, often used to secure unencrypted protocols.

  • Tinc - Automatic Full Mesh Routing

  • WireGuard - Very simple and fast VPN working with public and private keys.

  • Zerotier

 

Semmi összehasonlítás, előnyök, hátrányok, sebesség, crypto képességek, routing hogy működik, melyiknél milyen teljesítményű vasra volna szükség milyen sávszél / egyidejű user darabszám mellett, semmi.

Akkor nézzük az IPSEC roadwarrior setup-ját:

https://docs.opnsense.org/manual/how-tos/ipsec-road.html

Ennyit képesek írni róla:

Road Warriors are remote users who need secure access to the companies infrastructure. IPsec Mobile Clients offer a solution that is easy to setup with macOS (native) and is know to work with iOS as well as many Android devices.

For more flexibility use SSL VPNs, OPNsense utilizes OpenVPN for this purpose.

With this example we’ll show you how to configure the Mobile Client Setup in OPNsense and give you configuration examples for:

  • macOS

  • iOS

  • Android

 

Ok. Első kérdés: mi az a IPSEC Mobile Clients? Az 1 terméknek a neve, vagy általánosságban arra gondol h. 2020 májusban már az elterjedt android és iphone eszközökben egy up-to-date OS-ben már beépítve van hozzá a kliens, nem kell 3rd party-t telepíteni hozzá? Nem derül ki. Egy Windows 7 / 8 / 10 laptop talán nem Road Warrior? Vagy csak egy smartphone lehet roadwarrior?

Aztán a következő sorban:

For the sample we will use a private IP for our WAN connection. This requires us to disable the default block rule on wan to allow private traffic. To do so, go to the Interfaces ‣ [WAN] and uncheck “Block private networks”. (Dont forget to save and apply)

Tehát már az 1. lépéstől egy olyan elbaszott konfig logikáját kell követni, amit kb. a valóságban sehol nem fognak tudni 1:1-ben használni. Mert hát WAN-ra nem privát IP-t állítgatunk otthon, hanem publikusat. De ezt még túl lehetne élni.

Aztán következő:

Firewall Rules Mobile Users

hol állítom be, és mit? Odahány 1 screenshotot, legalább táblázatosan lenne ott hogy melyik mezőbe milyen értéket rakjak. Ha havonta variálják a tűzfal oldal kinézetét, a screenshot-ot 1-2 év után feldughatja az ember, sok sikert kideríteni melyik oszlop mit akart jelenteni (mert persze az oszlopneveket levágta a jóképességű a screenshot-ról, hogy még csak véletlenül se lehessen megfejteni).

 

Folytatnám a Phase1, 2 paraméterekkel, sehol egy épkézláb mondatnyi magyarázat hogy mit miért, mik a következményei, ezt akkor csináld ha A azt meg akkor ha B, ezzel jól bellassítod, azzal nagyjából minden mobil kliens kompatibilis lesz és így tovább. Folytassam?

 

Átnyergelek ide:

https://docs.opnsense.org/manual/how-tos/ipsec-rw.html

IPsec: Setup Remote Access

Akkor eddig vajon a Road Warrior-nál mi az isten haragját állíottam be, az tán nem remote access volt? Vagy a 2 cikk komplementere egymásnak? Vagy ez a cikk a teljes kép, a fentebbi meg csak mobil kliensekre érvényes? Mind a 2 cikken végig kell menni a teljes konfighoz, v. elég csak az egyik? Sehol 1 büdös szó nincs erről.

Pás sorral lejjebb:

VPN compatibility

Kiderül, h. Windows kliensekkel ez nem is kompatibilis? Mit jelent az h. "N" ? Not working vagy Not tested? Nagyon nem mindegy.

 

És ilyen idiótaságok végig akármit megnyitok. Ne vezessen félre, kilóra megvan, csak szart nem ér!

Volt külföldi kolléga előző multi munkahelyen, 100+ oldalas rendszerterveket "csinált" projectekre. Laikusok (kb. az ügyfél managerei) elégedetten hümmögtek mikor átvették, h. jó vastag, meg sok szép színes ábra van benne, biztos jó lesz. Csak éppen mikor 1 hozzáértő (a közvetlen kollégám, az előbbi kókler alatt dolgozott) kinyitotta, és beleolvasott, azonnal kiderült h. copy-paste volt a 95%, amúgy teljesen irrieleváns gyártói doksikból. A saját hozzáadott érték 5% alig volt, az is hibás és sokszor baromságokat képes volt beleírni. De emberünk jól eladta magát ezzel. Végül valamiért elment a cégből, de gondolom maradtak haverjai, ezért tripla pénzért vissza szerződtették külsősként. Hát így megy ez a doksigyártás.

azert amiket hianyolsz (kulonbozo vpn-ek osszehasonlitasa, mobil kliensek protokoll supportja stb) nem is tartozik oda. ezeket neked kell tudni halozat uzemeltetokent, vagy altalanossagban utananezni, az adott doksi csak azt irja le, hogy az adott tuzfalon hogyan kell azt bekonfiguralni. ha azt sem tudod, mit akarsz, az nem az o hibajuk...

a benchmarkok meg ugye fuggenek a vastol, es mivel ez nem egy dobozos hw termek, megis mi alapjan adnak meg? merjed ki, ha erdekel, vagy keress olyat a neten aki mar kiprobalta olyan hardveren, amin te is futtatni akarod. de pl. mikrotiknel sem adjak meg, ott is forumokbol kellett kivadasznom melyik eszkozuk mit bir vpn-en. igaz tikOS-t is lehet pc-n is futattni, de nem az a jellemzo. ubiquiti bezzeg le tudja irni, meg a cisco is...

ettol fuggetlenul multkor en is szivtam vele mert a doksi outdated volt, ujabb verzioban maskepp kellett az ipsecet beallitani. de 2 perc google es megvolt.

A'rpi

Ezt a "nem-a-mi-dolgunk-nézz-utána-máshol" arrogánskodást hagyjuk meg a nagy mammut vendor-ok játékának! A hobbirúter-projectek lehetnek annyira agilisak (nem arrogáns, agilis!), hogy erre is kitérnek, és nem rázzák le a usereiket a fenti hárítással.

Az meg a másik, hogy hiába találok fasza Linux-os benchmarkokat az OpenVPN, IPSEC, és tsai összehasonlítására, ha közben meg a gennyesre patch-elt Hardenedbsd 1szálon tudja mindegyiket futtatni, és aminek jó a sebessége Linux alatt, az vánszorgóan lassú még 3+Ghz-en is opnsense alatt.

Pfsense doksikat se érdemes nézni, annyira szétfelé ment a 2 rivális banda az elmúlt 4-5 évben.

Mondjuk az időmmel? Bugreportoltam egy csomót, teszteltem a patch-eket, adtam róla feedback-et, tettem javaslatot amikor valami kérdés felmerült, olyan nézőpontból világítottam meg problémákat amikre a developer nem gondolt.

Mielőtt tovább fröcsögsz, lesszíves nézz el ide, olvasd végig, és ha még mindig úgy érzed (szíved joga) utána hőbörögj tovább -szerintem- indokolatlanul:

https://hup.hu/node/160279

A fizetésemet nem tudom miért kevered ide. A linkelt írást pl. saját privát szabadidőmben követtem el, senki 1 büdös fillért nem adott -eddig még- érte. De ha kell, küldök számlaszámot...

pont a mammut vendoroktol varhato el hogy azert a rengeteg penzert amit adtal nekik gondolkodjanak es dolgozzanak is helyetted.

a hobbi projektek - ahogy a neve is sugallja - hobbibol keszulnek, elsosorban sajat felhasznalasra. persze ha az lenne a hobbija hogy halozat uzemeltetesi oktatokonyvet ir, az mas lenne, de akkor konyvet irna, es nem tuzfalat...

en azert is szoktam le a hobbi projektjeim kozzetetelerol, mert mindig jottek a hozzad hasonlo arrogans (nem agilis, arrogans!) userek es koveteloztek, reklamaltak. en meg mar untam lerazni oket a fenti haritassal.

Tyúkszemedre léptem, v. miért kezdtél el személyeskedni?

Az OPnsense köré építettek egy céget, DECISO-nak hívják. Lehet tőlük venni opnsense-vasat, ésvagy fizetős szapportot. Ott van kint a főoldalon a könyvük is, na azt megvettem. Ne mondhassad h. a következő gúgölt az ilyen és hasonló free software-eken felmászva alapítottam meg, és a community-nek demmiféle fizetséget nem juttattam vissza. (Ugye az is leesett h. nem a gigacégem perimeter network-jét akarom védeni ingyenes opnsense-el, hanem az otthoni internetelőfizetésemet?)