FreeBSD-all

Adott egy NAS valahol a világ másik végén dupla nat mögött, melyet el kéne érni néha-néha kintről is. Arra gondoltam, hogy a NAS-on futó l2tp/ipsec VPN klienssel becsatlakozok a kedvenc pFsense-emre, majd annak a WAN interfacen a kívánt portot forwardolom a NAS felé. Így egyrészt elérném a pFsense mögötti LAN-ból is a NAS-t, másrészt kintről is tudnék hozzá csatlakozni a pFsense WAN-ján levő port forwardot használva.

Működik is nagyjából, a VPN tunnel létrejön, a pFsense mögötti LAN-ból elérem a NAS-t. Viszont a port forward nem megy, ami nem meglepő, hiszen a NAS def. gw-je nem az l2tp tunnel másik végén csücsülő pFsense, hanem egy helyi router, ami így is kéne hogy maradjon. A problémát az okozza, hogy a pFsense destination nat-ot használ a port forwardhoz, ami teljesen érthető, viszont nekem jelen esetben erre az 1db hostra nem jó.

Tehát egy olyan felállást szeretnék összehozni, ahol a WAN intarfecen bejövő csomagok forráscímét is átírná pFsense pl. a LAN lábának az IP-jére. Tovább bonyolítja a dolgot, hogy ezt a fajta source nat-ot csak erre az 1db hostra szeretném használni, mert vannak a pFsense mögött olyan szolgáltatások, amelyeknél fontos lenne, hogy tudják a forrás valódi IP címét. A megoldás kapcsán elakadtam, és a doksi sem segít :(

Valakinek esetleg van ötlete?

Sziasztok, segítség kellene!

Van egy NAS4Free szerverem (sicc... öreg Fujitsu Siemens K series laptop). Teszi a dolgát, sikerült nyomtató szervert is rávarázsolni, nagyon meg vagyok vele elégedve, by low budget.
Viszont, van egy webkamerám, amit szeretnék rárakni erre a "szerverre" hogy az adatokat broadcast módon közvetítse.

Van vkinek bevált megoldása? Linux-hoz alap-közepes szinten értek, a FreeBSD nagyon új nekem, de nem idegen.

Sziasztok!

Adott egy /29-es publikus ip cím tartomány, ennek felhasználásával szeretnék 2 pfsense tűzfalból álló failover párt összerakni.
A problémát az okozza, hogy az egyik partnerünket csak az egyik publikus ip címről lehet elérni. Ezt az ip-t szeretném beálltítani
úgy, hogy a kimenő forgalom ezen keresztül menjen ki.
Virtual ip-vel próbáltam eddig, de az nem jó. A tűzfalak a saját ip címükön küldik ki a forgalmat. Beállítható valahogy a virtuális
ip cím defautl kimenő ip-nek?

Most, hogy kijött a 11 gondoltam kipróbálom a FreeBSD-t megint. Utoljára valamikor a 8 környékén játszottam vele. Mivel mindig van a gépen egy stable rendszer, dualboot-ban szoktam csinálni. Viszont szerettem volna a zfs fájlrendszert,
így nem maradt más választásom mint a trueos, mivel a Freebsd -n nem találtam megoldást zfs dualbootra. (a másik rendszer xfs)
Szóval a tapasztalatok: Az egy dolog, hogy a saját wm (dm) ükkel alapestben (üres) 1G a used mem. Ez valószínűleg a ZFS nek is köszönhető. De az már csúcs, hogy a saját vackaik pl. a network beállító, media csatoló, a hangkezelő meg sysadm-client bele van drótozva a rendszerbe. Hiába távolítom el a panelről, kijelentkezés után újra rakja.
De ugyan ezt csinálja ha pl.MATE desktopot teszek fel. Az automatikus indításuk benne van a Mate sessionbe, és mint később megtaláltam a leírást, még pár „supported” DM is. Ez azért jó mert pl. a MATE panelen így két mixer applet van. Szuper. De pl. a DragonflyBSD-ből áthozott Herbsluftwm configom nem működik, és ezt pl. nem értem miért.
Minden úgy megy, ahogy megszoktem, csak nem írja ki az időt a panalre (lemonbar). Ha a date parancs ciklusban van nem írja ki, ha csak magában, akkor meg igen. Persze akkor meg énekelhetem, hogy „megáll az idő” :)
Sajnos igazat adok Zahynak „sikítva elszaladtam ettől pár évvel ezelőtt.”. úgy tünik több időbe kerül kigyomlálni a nekem nem tetsző hülyeségeket, mint egy desktopot reszelni a FreeBSD-ből. Így a következő lépés FreeBSD UFS-el.

BIOS "legacy"-mod-ban, (alapértelmezett beállítás) Elvileg sikeres telepítés és "reboot" után egyáltalán nem vesz tudomást a rendszerindító meglétéről. - Ilyen nehéz, ezekre a standard ipari cuccokra is jól működő telepítőket írni? - (Csak azért kérdezek, hogy egyáltalán érdemes-e rá időt pazarolni, mert éppen bőven van "mivel" foglalkoznom.)

Frissebb tapasztalatok érdekelnének a $subjecttel kapcsolatban. Néhány szervert migrálnék át valamilyen cloud szolgáltatóhoz. A keret nem túl nagy (ezért is használtam a low-end kifejezést), de nyilván ezen kategórián belül szeretném a legjobb ár/érték arányú szolgáltatót választani, a következő szempontok alapján:

- FreeBSD futtatásának lehetősége
- minél nagyobb rendelkezésre állás (nem a papírforma érdekel, hanem a tapasztalat)
- CPU igény minimális, mondhatni bármi jó, nincs szükség sok magos dedikált erőforrásra
- RAM igény 4GB gépenként
- 80-100 GB disk terület gépenként
- disk i/o minimális, ha 1db jobb minőségű SATA disk teljesítményét hozza akkor már elvagyok vele, de persze nem fogok ellenkezni ha netán SSD van alatta ugyanakkora vagy kicsivel magasabb összegért
- network traffic minimális, 100Gbyte/hó alatti érték gépenként (in/out egyben)

Eddig az alábbiakat próbáltam:

DigitalOcean - ez tetszik a legjobban, de még a $40-es csomag sem fér bele a keretbe, ráadásul ott még a disk méret kapcsán is komoly áldozatokat kéne hoznom
Hetzner - árban és featureben szimpi, a CX30 csomagjuk pont tökéletes lenne, de az 1:1 NAT miatt nem annyira jön be
ArubaCloud - árban hasonló mint a Hetzner, de a felület és az adminisztráció/fizetés horror ahogy kinéz, valamint az általuk deployolt FreeBSD image elég ijesztő (tele van előre telepített csomagokkal, zfs van a rootfs alatt (minek?)

Egyelőre az Aruba felé hajlok, mert a felületet (remélem) ritkán látom úgyis, és sikerült kitakarítanom róla a gyári imaget. Ehhez amúgy rendesen kellett küzdeni, mert nem engednek semmilyen virtuális drive-ról vagy hálózatról bootolni.

Tud valaki ajánlani egyéb alternatívákat (amivel tapasztalata is van) ebben az árkategóriában?

Nem tudom, hogy a Windows 10-es Hyper-V, a PFSense vagy saját hiba miatt nem működik a bridge funkció.
Próbálnék tesztelni OpenVPN (TAP) konfigot PFSense alatt, de a bridge esetén behal a dolog. Próbálnám összebridgelni a LAN és a VPN interfészeket. Beállítottam a két ajánlott rendszerváltozót is (net.link.bridge.pfil_member és net.link.bridge.pfil_bridge), de nem segített, valamint a MAC spoofing is engedélyezett az összes virtuális hálókártyán.
Az OpenVPN túlpartot nem látom a LAN-ról, ha egy bridge-be vannak, de ez a kissebbik gond.
Ha a LAN interfésznek (Hyper-V virtuális hálókártya van hozzárendelve) adok IP címet a többi (ipv4 és ipv6 konfig) none, akkor legalább elérem a saját web gui-t, a túloldalét nem.
Ha viszont a bridge interfész kap ip címet, a LAN és a VPN meg "none", akkor helyi hálóról már pingelni se tudom az adott gépet.
Valaki próbálkozott már ilyennel?

Sziasztok!

HP N36L max. 5 sata disk, Freenas 9.10.
Hogyan tudnék legfájdalommentesebben migrálni egy titkosított 4x2TB raidz(5) tömböt 2x2TB mirror-ra, szintén titkosított.Amire gondoltam:
1.) Lehet csinálni 1 disk-el degraded mirrort? A gui-n nem látok erre lehetőséget.
update
(http://aarononeal.info/freenas-convert-an-encrypted-disk-to-mirror/)
/update
2.) Átmásolni az adatokat az új volume-ra.
update
snapshot
zfs send -vR Pool_A/Dataset_3@manual-2015-02-09 | zfs receive -vF Pool_B (https://forums.freenas.org/index.php?threads/copy-and-sync-data-between…)
/update
3.) A korábbi raidz tömb deatach.
4.) Az új tömb átnevezése, az előzőére, hogy a megosztások jók legyenek hogyan?
zpool export volume1
zpool import volume1 volume0
detach mirror tomb
rebboot
5.) Ha minden oké, akkor megy a másik hdd is, a korábbi tömb lemezeiből.

Ez így ok, hogy a jogosultságok, megosztások jók maradjanak? Vagy mit javasoltok?

Eredetileg ugy volt, hogy a FreeBSD 11.0-RELEASE-tol kezdve
az alaprendszer kezeleset is a pkg(8)-val fogjak kezelni az eddigi freebsd-update helyett.
Vagyis ha jol ertem, hasonloan a Linux terjesztesekhez, FreeBSD-n is mindent csomagkent fognak kezelni, megszunik az alaprendszer fogalma.
Jol mondom? Jol ertelmezem?
Most viszont ugy tunik, hogy ez kesik es csak a 11.1-re lesz kesz.
Addig is javitgatjak a 10.x-rol frissitest.

Sziasztok!

Szórakoztam ma a google-authenticator nevű csomaggal. Sikerült konfigurálni a /etc/pam.d/ssh-d úgy, hogy a "keyboard-interactive" metódus bekérje a jelszót és a google auth kulcsot is. Valahogy így:

auth required pam_unix.so no_warn try_first_pass
auth required /usr/local/lib/pam_google_authenticator.so

Ezek után, ha a /etc/ssh/sshd_config-ba ezt teszem:

Match User someuser
AuthenticationMethods keyboard-interactive

Akkor bekéri a jelszót és a google auth kódot is. Namost én azon gondolkozom, hogy a wheel csoportban levő (su -zni képes) felhasználóknál kérek be ssh kulcsot, jelszót és google auth kódot is. Ezt így lehetne elérni:

Match User someuser
AuthenticationMethods publickey,keyboard-interactive

Viszont azt is szeretném, ha a "sima" felhasználók ssh kulcs + google auth key megadásával tudnának bemenni. Jelszó nélkül. (Tudom hogy ez nem jó ötlet, de tegyük föl hogy ezt szeretném.) Namármost, az ssh config-ban vagy megadom a keyboard-interactive-ot, vagy nem adom meg. Ha megadom, akkor a jelszót is be kell írni, ha nem akkor meg a google auth kódot se kell beírni.

Nyilván ha a pam.d-ből kiszedem a pam_unix.so sort, akkor a jelszót nem kell beírni - de ez sajnos nem egy felhasználóra vonatkozik, hanem az összesre.

Nekem olyan megoldás kellene, ami egy adott user-re mindent bekér (ssh kulcs, jelszó, google auth key), egy másik adott user-re pedig csak ssh kulcs + google auth kódot.

Lehetséges ez?