מאמרים אחרונים

שתף בפייסבוק שיתוף בפייסבוק
RSS - מאמריםמאמרים
RSS - פורומיםפורומים
דווח למנהל דיווח למנהל
קישור לעמוד זה קישור לעמוד זה


התקנת שרת DNS לוקלי


עמוד 2 מתוך 2
עבור לעמוד הקודם  |  1  |  2 
   פורומים > HTPC ומחשוב > רשתות, IT ומחשוב
מחבר הודעה
eran405
חבר ותיק
חבר ותיק

הצטרף בתאריך:
  Feb 27, 2012
הבעות תודה: 550
מספר הודעות: 2587

 #16  נשלח: ו' 20/03/2020 16:29

zork17
·

אני מציע לך בחום לנסות להתקין VPN או על ה-PI או על מחשב לפני שאתה פוסל את זה (כנראה שלהתקין על מחשב יותר פשוט, אבל אולי התקנה על ה-PI תשרת אותך יותר טוב, במיוחד אם אין לך מחשב שרץ 24/7). אל תפחד כל כך מהתגובות של sys_admin, לשימוש ביתי פשוט גם לא חייבים ללכת כזה רחוק כמו שהוא מתאר. יש מלא מדריכים בגוגל, תמצא אחד שמתאים לצרכים שלך ושנראה מספיק פשוט ותלך על זה. לדעתי תתפלא עד כמה זה רק נראה מסובך. אם אתה בכל זאת מסתבך עם משהו תשאל פה וננסה לעזור.
פרופיל | שלח הודעה | חפש
zork17
חבר פעיל במיוחד
חבר פעיל במיוחד

הצטרף בתאריך:
  Mar 09, 2005
הבעות תודה: 31
מספר הודעות: 819

 #17  נשלח: ו' 20/03/2020 16:43

eran405
אני לא אדיוט גמור יש לי pi אחד שהתקנתי עליו homebridge כולל המון קינפוגים ושינויי קוד שעשיתי בכמה פלאגינים.
יש לי pi נוסף שעומד ללא שימוש. לדעתי זה דור 3. בטוח לא 4 האחרון.

איזה vpn אתה ממליץ להתקין? יש לך קשור להדרכה נורמלית?
ואיפה בכלל ממקמים אותו ברשת? באחד הפורטים של ה lan של הudm או בצד ה wan כי אז זה בעייתי כי יש לי 2?

ה pfsense היה מפלצתי ועלה 480$ וכלל i7 16gb 256gb ולא ניצלתי אותו
לא איכפת לי לקנות גם מחשב פשוט יותר וזול יותר כדי לקבל ביצועים סבירים רק ל vpn. מה מומלץ?
מה הביצועים שייתן ה pi?
ולמה כל זה פחות טוב מה vpn של udm?
פרופיל | שלח הודעה | חפש
ilane
חבר פעיל מאוד
חבר פעיל מאוד

הצטרף בתאריך:
  Apr 21, 2006
הבעות תודה: 61
מספר הודעות: 363

 #18  נשלח: ו' 20/03/2020 17:29

לא צריך פאי נוסף, אני מריץ על פאי אחד hombridge, openVPV וpihole כולם עובדים יחד נהדר
תופסים ביחד 47% זיכרון על פאי 3
פרופיל | שלח הודעה | חפש
rm1
חבר ותיק
חבר ותיק

הצטרף בתאריך:
  Mar 11, 2013
הבעות תודה: 125
מספר הודעות: 1178

 #19  נשלח: ו' 20/03/2020 23:31

לא יודע לגבי UDM אבל ב pfsense פתרון ל "DNS פנימי" מאוד פשוט.
קודם כל יש סינכרון בין DHCP ו ה DNS Resolver שרושם כל מכונה שמושכת כתובת IP גם בשרת ה DNS
וגם עבור מכונות עם כתובות קבועות ניתן להגדיר אותם ב DHCP וכך יכנסו גם ל DNS
בנוסף במסך ההגדרות של DNS Resolver למטה מוגדרת רשימת Host Overrides
שם ניתן להגדיר ולשנות כל כתובת/שם של DNS שרוצים לדוגמה:
MyNVR.mydomain.co.il 192.168.1.10
כך שפניה מתוך הרשת תנותב לכתובת הפנימית ופניה מחוץ לרשת תנותב לפי לדוגמה DDNS לכתובת החיצונית של הנתב.
גם הגדרת openvpn וניהול שלו פשוטים מאוד ומספר רב של דוגמאות וסרטונים ברשת.
אם יש לך בעיות עם שרת ה pfsense הסיני שלך בדוק את הזיכרונות וספק הכח בד"כ הבעיה שם.
פרופיל | שלח הודעה | חפש
eran405
חבר ותיק
חבר ותיק

הצטרף בתאריך:
  Feb 27, 2012
הבעות תודה: 550
מספר הודעות: 2587

 #20  נשלח: ו' 20/03/2020 23:51

zork17 כתב:

איזה vpn אתה ממליץ להתקין? יש לך קשור להדרכה נורמלית?


כמו שכבר ציינתי (עדיין) אין לי ניסיון עם זה. אבל לדוגמא:
https://lmgtfy.com/?q=pi vpn
והתוצאה הראשונה נראית די פשוטה (למטה יש לינקים עם הסברים על כל צעד ויש אפילו סרטון למי שלא יודע קרוא וקרוא).

zork17 כתב:

ואיפה בכלל ממקמים אותו ברשת? באחד הפורטים של ה lan של הudm

אני מניח שה-pi או המחשב שאתה תתקין את זה עליו יושב ברשת הפנימית (זה יכול להיות מחובר ישירות לפורט LAN בראוטר הראשי או בעיקיפין דרך סוויטצים וכו'). תתחיל מלראות שאפשר להתחבר מתוך הרשת הפנימית (על אף שכמובן אין שום צורך בלהתחבר ל-VPN של הבית מתוך הרשת הפנימית, זה רק בשביל הבדיקה) ואחרי זה תפנה את הפורטים הרלוונטים ואז זה יעבוד מבחוץ.

zork17 כתב:

או בצד ה wan כי אז זה בעייתי כי יש לי 2?

אין לי מושג מה זה אומר 2? יש לך 2 כתובת WAN? עם 2 חיבורים? אם יש לך שאלה לגבי ה-2 הזה, אז תפתח שירשור מתאים ותפרט בדיוק על מה מדובר ומה הבעיה. זה לא אמור להיות קשור ספציפית לנושא של ה-VPN.

zork17 כתב:

לא איכפת לי לקנות גם מחשב פשוט יותר וזול יותר כדי לקבל ביצועים סבירים רק ל vpn. מה מומלץ?

תתחיל מלהתקין את זה על ציוד קיים. אם תראה שהציוד הקיים חלש מידי, אז צריך פרטים כמו על איזה ציוד התקנת ומה הבעיה (כמו לדוגמא אני מקבל מה-vpn על ה-pi רק 20 מגה ואני צריך 200 מגה) ואז אולי מישהו עם ניסיון יכול להגיד איזה ציוד צריך בשביל מה שאתה מבקש. שם לב שבנושא הזה כנראה שיש גם הבדל בין openvpn ל-wireguard וכו' (לדעתי לטובת wireguard).

zork17 כתב:

מה הביצועים שייתן ה pi?

אין לי מושג. תנסה ותראה.

zork17 כתב:

ולמה כל זה פחות טוב מה vpn של udm?
·
גם אני וגם sys_admin פירטנו בהרחבה על הנושא בפוסטים קודמים בשירשור זה, כולל לינקים רלוונטים. תחזור ותקרא יותר בעיון. על אף כל זאת, אתה כמובן חופשי להתעלם מכל החסרונות ולנסות להרים vpn על ה-udm, יתכן ותצליח להרים vpn פחות מאובטח, פחות גמיש ויותר בעייתי על ה-udm ועדיין הוא יהיה מספיק טוב בשביל הצרכים שלך.
פרופיל | שלח הודעה | חפש
zork17
חבר פעיל במיוחד
חבר פעיל במיוחד

הצטרף בתאריך:
  Mar 09, 2005
הבעות תודה: 31
מספר הודעות: 819

 #21  נשלח: שבת 21/03/2020 18:47

eran405
תודה על התשובות המפורטות.

התקנתי dnsmasq על ה PI וזה באמת פשוט וקל.

התקנתי גם WireGuard על פי ההוראות שכאן .
אבל אני לא יודע מה לכניס שם בהגדרות:



ציטוט:
[Interface]
Address = 10.253.3.1/24
SaveConfig = true
PrivateKey = insert server_private_key
ListenPort = 51900

PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -A FORWARD -o %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -D FORWARD -o %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE

[Peer]
PublicKey = insert client_public_key
AllowedIPs = 10.253.3.2/32



1) מה אני צריך להכניס בכתובת (Address)?
2) מה ב AllowedIPs?
3) והאם אני צריך לייצר מפתחות שונים לכל קליינט שאני רוצה לחבר?
פרופיל | שלח הודעה | חפש
eran405
חבר ותיק
חבר ותיק

הצטרף בתאריך:
  Feb 27, 2012
הבעות תודה: 550
מספר הודעות: 2587

 #22  נשלח: א' 22/03/2020 0:46

zork17
·

דבר ראשון כך בחשבון שיש לי אפס ניסיון עם wireguard (אלא אם אתה קורא לקרוא המלצות עליו ניסיון...). אני בכל זאת אנסה לענות כי לדעתי אין מישהו אחר שיענה מתוך ניסיון, אבל בבקשה תרגישו חופשי להוכיח שאני טועה ולענות תשובה יותר מבוססת. בהחלט יתכן שאני טועה בחלק (או כל) מה שאני כותב.

1. למיטב הבנתי, לפחות כרגע, הצורה שבה wireguard עובד הוא ע"י הגדרת כתובת יחודית וקבועה מראש לשרת ולכל קליינט.
(תקרא כאן קצת רציונל למה ואיזה אופציה אחרת הם נותנים, כך בחשבון שלמיטב הבנתי ה-wg-dynamic בפיתוח ואני לא בטוח עד כמה הוא יציב/בשל; כל ההוראות שאתה רואה בכל מקום אחר כולל בשאר הפוסט הזה מניחים שאתה מגדיר כתובות סטטיות).

אם נתסכל על הדוגמא הזאת (מאד דומה לדוגמא שיש בלינק שהבאת אבל לדעתי קצת יותר ברורה):
https://gist.github.com/chrisswanda/88ade75fc463dc...
אז בקובץ של השרת:
תחת [Interface] ה- 10.0.0.1/24 זה הכתובת של השרת ברשת הפנימית (כאן שמים /24 בסוף כדי לייצג שיש לך רשת עם subnet mask של 255.255.255.0). אחרי זה לכל קליינט אתה מוסיף [Peer] ונותן לו כתובת שמורה (מחוץ לטווח של ה-DHCP שלך), באופן אולי מבלבל כאן הכתובות הם עם /32 בסוף, כמו לדוגמא 10.0.0.3/32.
בקובץ של הקליינט:
תחת [Interface] יש את הכתבות שלו עם /24 בסוף, כמו לדוגמא 10.0.0.3/24. תחת [Peer] אתה משתמש ב-EndPoint להגדיר את הכתובת אינטרנט של השרת כולל הפורט, שזה יכול להיות some.domain.com:51820 עם יש לך domain או הכתובת שכרגע קיבלת מהספק כמו לדוגמא 1.2.3.4:51820. מן הסתם אם אין לך כתובת קבועה אז חשוב שיהיה DDNS כדי שלא תצטרך לעדכן את כל הקליינטים כל פעם שהכתובת משתנה (לא חסרים DDNS חינמיים לגמרי).

2. בקובץ של השרת זה הכתובת של הקליינט הספציפי (כמו שמפורט בסעיף 1) ובקובץ של הקליינט זה 0.0.0.0/0 .

3. בגדול כן. אני יכול רק לנחש שבמעשי זה יעבוד גם אם אתה נותן את אותו המפתח לכל הקליינטים אבל זה מפספס את כל הנושא של האבטחה. הרעיון מבחינת אבטחה שלכל קליינט יש מפתח שונה. בין כה וכה אני רואה שב-wireguard אתה צריך להגדיר כל קליינט בנפרד, ומן הסתם תמיד צריך להתקין כל קליינט בנפרד אז זה כבר לא משנה הרבה גם לייצר לכל קליינט מפתח משלו. חשוב רק לשמור על הסדר ולהקפיד שתהיה התאמה בין המפתחות public/private (המפתח ה-public שאתה מגדיר בשרת לקליינט X חייב להיות זה המתאים למפתח ה-private שאתה מגדיר בקונפיגורציה של קליינט X).
פרופיל | שלח הודעה | חפש
zork17
חבר פעיל במיוחד
חבר פעיל במיוחד

הצטרף בתאריך:
  Mar 09, 2005
הבעות תודה: 31
מספר הודעות: 819

 #23  נשלח: א' 22/03/2020 23:51

sys_admin כתב:

ציטוט:
...


·
UDP PRO , זה מוצר מאוד בעיתי מכל הבחינות. גם החומרה שלו מאוד חלשה וגם התוכנה שלו הוא מוגבלת ביותר, גם בעיתית מבחינת היציבות הכללית שלה, גם מבוססת על מודולי תוכנה ישנים ביותר שידועים כמלאים בבעיות אבטחה שנמצאו בהם כבר לפני שנים וכמובן שהתמיכה סבירה בשירות VPN תקין פשוט לא קיימת בו, זה גם ברור, כי שרת OpenVPN דורש חומרה מתאימה לצורה הצפנה של הערוץ. ובהקשר זה גם כל הפניות שנשלחות ליצרן ממש לא הזיזו לו. הנה רק כמה מהפוסטים בהקשר זה רק מהחודש האחרון באתר היצרן:

We need better VPN options on the UDM Pro. There was at least a workaround to get OpenVPN to work on my USG4 Pro but it appears that is no longer an option. Please enable more useful VPN server options on this device. OpenVPN would be prefered
https://community.ui.com/questions/UDM-Pro-Feature...
https://community.ui.com/questions/UDM-Pro-Will-th...
ויש כמובן מספר רב של Tickets פתוחים אצל היצרן בהקשרים אלה ואחרים, כמו שהמכשיר פשוט קופא פתאום ומספסיק לתפקד, שהיצרן כלל לא מתכוון לטפל בהם.
UDM Pro frozen two times within 24 hours
https://community.ui.com/questions/UDM-Pro-frozen-...
UDM Pro Firewall rule modification causes whole network to freeze
https://community.ui.com/questions/UDM-Pro-Firewal...
אופצייה נוספת שיש לך, מבלי לרכוש שום דבר חדש או עד שתרכוש מערכת ניתוב אמתית, היא להתקין את OpenWRT על גבי ה raspberry pi , אם יש לך כבר. ומערכת OpenWRT כבר כוללת בתוכה את שרת OpenVPN שניתן להשתמש בו. כמובן ש raspberry pi לא יתן לך את הביצועים ואת הגמישות או הנוחות של מערכת X64 עם pfSense, אבל זה יותר טוב מכלום:
https://openwrt.org/toh/raspberry_pi_foundation/ra...


אני עכשיו חושב שאני מבין למה אתה לא מתלהב מיוביקוויטי.
בכל מקרה הזמנתי את זה כבר... נראה מה יהיה...
אבל השכן שלי/חבר מעוניין גם לקנות ראוטר שיעבוד עם 2 חיבורי wan ויאפשר vpn טוב ופיירוול ברמה. הוא לא רוצה pfsense.

על מה אתה ממליץ בתקציב של סביבות $400 בחו״ל?
הוא שמע על סיסקו rv345p. מה דעתך?
פרופיל | שלח הודעה | חפש
zork17
חבר פעיל במיוחד
חבר פעיל במיוחד

הצטרף בתאריך:
  Mar 09, 2005
הבעות תודה: 31
מספר הודעות: 819

 #24  נשלח: א' 22/03/2020 23:53

eran405
סיוט. ניסיתי לקנפג וזה תקע את ה pi. גם אחרי כיבוי והדלקה הוא לא מגיב אפילו לפינג.
עכשיו צריך להתקין הכל מהתחלה.
מזל שלא השתמשתי ב pi של homebridge.
פרופיל | שלח הודעה | חפש
eran405
חבר ותיק
חבר ותיק

הצטרף בתאריך:
  Feb 27, 2012
הבעות תודה: 550
מספר הודעות: 2587

 #25  נשלח: ב' 23/03/2020 11:36

zork17
·

אם זאת הגישה שלך, אז כנראה שאתה צריך להצמד לציודים פשוטים כמו ציוד ביתי או אולי כמו ה-UDM (כמובן עדיף לבחור דגם יותר מוצלח מה-UDM; אפילו ל-Ubiquiti יש הרבה דגמים הרבה יותר מוצלחים ושם לב שזה חלק גדול מהטענות נגד ה-UDM, שהוא צעד אחורה בסדרה של ה-Unifi; אם תעשה חיפוש פשוט פה בפורום, תוכל גם לראות בדיוק מה הדעות של sys_admin לגבי Ubiquiti ואיזה טיעונים עניינים הוא מביא נגד הדגמים היותר מוצלחים שלהם - אם אתה מוצא כאלה אנא שלח לי אותם...).

עריכה: שמתי לב שאין לי מושג עד כמה זה מסובך או פשוט לקנפג UDM. עשיתי חיבור זריז באינטרנט ובסרטון הראשון שמצאתי זה מתחיל יחסית פשוט (עדיין יותר מסובך מציוד ביתי) ודי מהר הוא גם פותח CLI וכו'. לא התעמקתי בנושא אז אין לי מושג עד כמה צריך את זה אבל אפילו בנושא הזה ה-UDM לא נראה כזה מוצלח. למיטב ידעתי דגמים אחרים בסדרת ה-Unifi מקנפגים דרך ה-controller שלהם (בערך ברמה של ציוד רשת ביתי רק עם הגדרות יותר נרחבות ומתקדמות). ב-APs שלהם יש גם standalone mode שאפשר להגדיר דרך אפליקציה וזה מאד מאד פשוט (בערך ברמה של mesh ביתי) אבל עם אופציות יותר מוגבלות:
https://help.ubnt.com/hc/en-us/articles/1150123604...

אם בכל זאת יש לך זמן ורצון להתעסקות ולמידה תחפש איפה הטעות שלך. די בטוח שלא "תקעת" את ה-pi, אבל כנראה קילקלת משהו בהגדרות רשת שלו כגון: שינוי כתובת (כלומר הוא מגיב אבל בכתובת אחרת ממה שאתה מצפה) או חסימת תקשורת ברמה של ה-iptables וכו'. תמיד תעשה הגדרות חדשות ללא "שמירה" שלהם, כך שתוכל לעשות ריסט למכשיר והוא יחזור להגדרות הקודמות שעובדות טוב. אחרי שאתה רואה שהגדרות החדשות עובדות בסדר רק אז "תשמור" אותם. במקרה של דברים כמו wireguard אמור להיות אפשרי לא להפעיל אותו בכלל בעליה של המכשיר ולהתחיל מהפעלה ידנית שלו (עד שאתה רואה שהכל עובד).

בנוסף כנראה שלפחות במקרה של ה-pi יותר פשוט להתקין את ה-openvpn, אולי שווה להתחיל עם זה ולראות אם זה מספיק טוב לצרכים שלך.
פרופיל | שלח הודעה | חפש
zork17
חבר פעיל במיוחד
חבר פעיל במיוחד

הצטרף בתאריך:
  Mar 09, 2005
הבעות תודה: 31
מספר הודעות: 819

 #26  נשלח: ב' 23/03/2020 11:55

eran405
זה לא עניין של גישה אני פשוט חסר ניסיון ולא מקצועי כמוכם. ולפעמים זה מתסכל. אני לא רגיל ששינוי כלשהו פשוט גורם למכונה לא לעבוד...

מה הכוונה בהגדרות ללא שמירה?
מה ששמרתי זה את הקובץ הגדרות של wireguard
איך אפשר להפעיל את המכשיר מבלי שה SERVICE שלו יעלה?
פרופיל | שלח הודעה | חפש
eran405
חבר ותיק
חבר ותיק

הצטרף בתאריך:
  Feb 27, 2012
הבעות תודה: 550
מספר הודעות: 2587

 #27  נשלח: ב' 23/03/2020 17:24

zork17 כתב:

איך אפשר להפעיל את המכשיר מבלי שה SERVICE שלו יעלה?
·

לדוגמא במדריך שאתה הבאת לעיל, יש פרק עם כותרת "Start Up WireGuard". הייתי מתחיל להריץ אותו מבלי להפעיל אותו "automatically on reboot".

כמו שאתה אומר זה עניין של ניסיון אבל ניסיון מקבלים מזה שלא מתייאשים, מחפשים מידע נוסף ועזרה באינטרנט ומבינים איפה טעינו. שלא תבין אותי לא נכון, זה ממש לא לכל אחד. אין שום בושה בזה שאין לך רצון או כח להתעסק עם דברים כאלה, ובמקרה כזה תחפש ציוד יותר פשוט כמו ציוד רשת ביתי. אין ארוחות חינם ובציוד ביתי אופציות כאלה (כמו VPN לדוגמא) יהיו הרבה יותר מוגבלות אם בכלל הם זמינות ועובדות. או שתמצא בעל מקצוע עם ידע מתאים.
פרופיל | שלח הודעה | חפש
zork17
חבר פעיל במיוחד
חבר פעיל במיוחד

הצטרף בתאריך:
  Mar 09, 2005
הבעות תודה: 31
מספר הודעות: 819

 #28  נשלח: ב' 23/03/2020 18:44

eran405
אכן זה היה ב WIREGUARD שתקע את התקשורת, כנראה בגלל ההגדרות שלי.
התחברתי למכשיר עם מוניטור ומקלדת+עכבר ואז אפשר היה לבטל את עליית הסרוויס שלו ועכשיו יש רשת.
אנסה עכשי ולהתקין את PIVPN...
פרופיל | שלח הודעה | חפש
כל הזמנים הם שעון קיץ - ישראל (GMT+3) הצג הודעות קודמות:    
פורומים > רשתות, IT ומחשוב עבור לעמוד הקודם  |  1  |  2 


  
    שם משתמש:
נתוני כניסה לכל אתרי HT:

  סיסמא:
 

  


 | 

קפוץ אל: 
לא ניתן לשלוח הודעות בפורום זה
לא ניתן להגיב להודעות בפורום זה
לא ניתן לערוך את הודעותיך בפורום זה
לא ניתן למחוק את הודעותיך בפורום זה
לא ניתן להצביע לסקרים בפורום זה
לא ניתן לצרף קבצים בפורום זה
לא ניתן להוריד קבצים בפורום זה

תקנון / תנאי השימוש באתר צור קשר / contact us כל הזכויות שמורות לקבוצת ht