Hola, alguien sabe porqué desde DLNA solamente tengo acceso desde la carpeta multimedia y a pesar de haber añadido también las carpetas de homes de los usuarios para ver las fotos del móvil no tiene acceso para poder utilizarse desde el DLNA a pesar de ponerlo desde la cuenta de administrador y tener acceso a todas esas carpetas.
Me pasa igual en las fotos, desde la cuenta del administrador tampoco se pueden ver desde qphoto por ejemplo, sin embargo desde filestation si.
Nota: Las carpetas dichas, tienen acceso total desde la cuenta de administrador.
Algo novato... pero tengo la duda y no sé cómo hacerlo. Tengo un NAS con un HDD montado con Raid 1.
Ahora me he comprado otro HDD con la intención de tener los dos discos en el mismo grupo Raid 1 y obtener los obvios beneficios de la acción.
La cuestión es que el sistema no me está dejando añadir este segundo disco al Raid 1, ¿no se puede? ¿Estoy entendiendo algo mal o es que no encuentro la opción?
Adguard es un programa con un comportamiento muy similar al conocido Pi-Hole que a través de listas de bloqueo DNS nos permite librarnos de los anuncios molestos en internet, nos protege del acceso a webs con malware y sobretodo nos da un plus de privacidad en nuestros dispositivos así que es muy buena idea instalarlo en Opnsense y de esta manera proteger todos los dispositivos de la red local.
Si accedemos al apartado Complementos de Opnsense podemos ver una larga lista de esos complementos que podemos decidir si instalarlos o no pero entre ellos NO ESTA ADGUARD. Para poder instalarlo en Opnsense necesitamos instalar un repositorio de complementos externo pero de total seguridad. Una vez instalado aumenta la lista de complementos para instalar consideráblemente entre los que se encuentran, además de Adguard, programas tan conocidos como Grafana, Home Assistant, Traefik, Unifi, etc.
Para instalar ese repositorio de aplicaciones vamos a acceder por SSH a Opnsense desde un ordenador windows - linux y abrimos un Terminal. La ip local de acceso a Opnsense por defecto es la 192.168.1.1 así que vamos a acceder con esa ip, si vosotros habéis cambiado esa ip por otra modificáis el siguiente comando.
En el terminal ponemos ssh root@192.168.1.1 y al darle a la tecla ENTER de nuestro teclado se nos pedirá la contraseña de acceso a Opnsense
Después de ponérsela nos aparecerá lo siguiente:
De las diversas opciones que nos aparecen nos interesa la número 8 así que ponemos ese número en el terminal.
Le damos a la tecla ENTER del teclado y en unos pocos minutos el repositorio quedará instalado....no pongo imágen sobre esto porque yo ya lo tenía instalado. Una vez que se haya instalado CERRAMOS EL TERMINAL.
Lo siguiente es irnos a Opnsense al apartado Sistema - Firmware - Complementos
El complemento de Adguard tiene el nombre de os-adguardhome-maxit y como se puede ver en la imagen yo ya lo tengo instalado y por tanto me aparece al principio de la lista, a vosotros os aparecerá un poco más abajo y una vez encontrado le tenemos que dar al símbolo + que se encuentra a su derecha para instalarlo así que lo hacemos.
Los siguientes pasos que voy a explicar hay que seguirlos en ESTRICTO ORDEN sino queremos tener problemas con la instalación. Antes de tocar nada más tenemos que verificar un par de cosas. La primera es irnos a Sistema - Ajustes - General y comprobar que NO tenemos ningún DNS puesto
Aparte de lo anterior en la parte de abajo tenemos que tener las opciones que aparecen configuradas tal como se ven en la imagen que acabo de poner.
Hechas las comprobaciones seguimos. Ahora nos vamos a Servicios - Unbound DNS - General y vamos a cambiar el puerto 53 por defecto por el 5353
Cambiado el puerto le damos al botón Guardar que está abajo. Lo siguiente es irnos a Servicios - Adguardhome - General y activamos Adguard.
A continuación abrimos una nueva pestaña en el navegador que estemos utilizando y dando por hecho que la ip local de acceso a Opnsense sea la 192.168.1.1 ponemos lo siguiente: http://192.168.1.1:3000
Como digo yo ya tengo instalado Adguard pero a vosotros al acceder a esa ip os va a aparecer algo muy similar a esto:
De todo lo que os aparezca no tenéis que TOCAR NADA, sólo ir dando a Siguiente, Siguiente, completados esos pasos se os pedirá que pongáis un nombre de usuario y contraseña y una vez puestos llegaréis a la pantalla principal de Adguard.
Antes de continuar con la explicación voy a comentar un par de cosas que se ven en la imagen que acabo de poner. En esa imagen se ven dos cosas tachadas, una es mi IP Wan y la otra es mi red Wireguard en Opnsense. Otra cosa que se ve es la ip 127.0.0.1 que es una ip interna de Opnsense que utiliza "para sus cosas". Lo que quiero decir con esto es que cuando instalamos Adguard detecta sin ningún problema todos los interfaces que tengamos configurados en ese momento en Opnsense. El problema viene si después de tener instalado Adguard creamos nuevos interfaces como podrían ser uno para OpenVPN o una VLAN y ese problema consiste en que Adguard NO SE ENTERA de que hay nuevos interfaces.
Si accedemos por SSH a Opnsense con, por ejemplo, Filezilla y nos vamos a la ruta usr/local/AdguardHome nos encontraremos el archivo Adguardhome.yaml en el que se encuentra la configuración de Adguard
En ese archivo al abrirlo nos encontraremos con el parámetro bind host y parece que modificándolo y añadiendo los nuevos interfaces se soluciona el problema. Lo que ocurre es que no se cómo se hace así que os doy una solución mucho más sencilla para solventar ese problema.....desinstalar Adguard y volverlo a instalar. Sólo tenemos que desinstalar Adguard, el repositorio que instalamos al principio de este tutorial NO HAY QUE TOCARLO. Una vez desinstalado Adguard lo volveríamos a instalar, que se tarda 5 minutos, y Adguard reconocería los nuevos interfaces.
Explicado esto seguimos. En el apartado Configuración del DNS de Adguard tenemos que poner la ip local de acceso de Opnsense con el puerto 5353
En el mismo apartado en el que estamos pero un poco más abajo repetimos la operación
Aparte de eso marcamos la opción Usar resolutores DNS inversos y privados tal como se ve en la imagen. Hecho todo eso le damos al botón Aplicar.
Os explico el funcionamiento de lo que acabamos de hacer. Cualquier consulta DNS de cualquier dispositivo de nuestra red local llega primero a Adguard que la filtra y una vez filtrada la redirige al componente Unbound DNS de Opnsense en el que se supone que tenemos configurados los DNS que vayamos a utilizar. Esto último está explicado en este post: https://www.qnapclub.es/showthread.php?tid=4943
Con esto ya tenemos en funcionamiento Adguard
En la imagen que acabo de poner se puede ver la ip 127.0.0.1 que es la ip interna de Opnsense y se puede ver que hace una buena cantidad de peticiones DNS, el motivo principal de esas conexiones, entre otras, son las actualizaciones de las reglas de Suricata.
El objetivo principal de este post es la instalación de Adguard en Opnsense así que no voy a hablar nada sobre sus posibles configuraciones como pueden ser añadir listas de bloqueo o identificar los dispositvos de la red local en Adguard.
Otra posibilidad que tenemos a la hora de configurar los DNS en Adguard es hacer que no pasen por Unbound y que sea Adguard el que diréctamente los gestione. Para ello en lugar de poner la ip local de Opnsense con el puerto 5353 pondríamos diréctamente los DNS que nos gusten.
Con esto doy por terminado "el tema Adguard" pero a continuación voy a explicar una configuración que por seguridad deberíamos hacer. De lo que se trata es evitar lo que se conoce como fugas DNS. Se puede dar el caso de que una aplicación o servicio que tengamos instalada en alguno de los dispositivos de nuestra red local "vaya por libre" y haga sus propias conexiones DNS escapando del control de Adguard. Voy a explicar como solventar eso muy fácilmente y el método para hacerlo es muy similar a configurar una apertura de puertos en Opnsense aunque ya adelanto que NO vamos a abrir ningún puerto sino que vamos a hacer una redirección interna en Opnsense.
Para hacerlo nos vamos a Cortafuegos - Nat - Redirección de puertos
En la imagen se ven varias cosas que paso a explicar. Marcada con una flecha está la regla DNS que ahora explico cómo hacerla y debajo de ella se ve la apertura de puertos del Wireguard que tengo configurado en mi NAS que os puede servir para ver cómo se configuran las aperturas de puertos en Opnsense. Por cierto, aparte del Wireguard en el nas tengo configurado también Wireguard en Opnsense, lo que ocurre con este último es que al estar instalado en el propio Opnsense NO hay que hacer una Redirección de puerto sino abrir diréctamente el puerto que utilice Wireguard en Opnsense en la Wan.
Seguimos. En la imagen que he puesto se ve un símbolo + así que le damos ahí y al hacerlo nos aparecerá lo siguiente que tenemos que configurar tal como se ve en la siguiente imagen
Voy explicando lo que está señalado por las flechas de arriba a abajo. En interfaz ponemos LAN, si tuviéramos más interfaces configurados en Opnsense como por ejemplo VLANS tendríamos que repetir en cada uno de ellos la creación de esta regla. La siguiente flecha indica que el parámetro Destino/invertir lo tenemos que activar, el motivo de hacerlo es porque es una redirección interna, si fuera una apertura normal de puertos este parámetro tendría que estar deshabilitado. Como Destino configuramos Este cortafuegos y como ip host configuramos la ip interna de Opnsense, es decir, la 127.0.0.1 que ya hemos visto antes que es una de las ips reconocidas por Adguard cuando lo instalamos. Configurado todo esto en la parte de abajo le damos al botón Guardar.
Una vez hecho todo lo anterior al ser una redirección en la interfaz LAN si nos vamos a Cortafuegos - Reglas - Lan veremos que sin nosotros hacer nada tenemos ya creada la regla que acabamos de configurar.
Opnsense además de ser un firewall integra de serie un componente esencial de cara a la seguridad que es Suricata, este programa es un Detector de Intrusiones y sirve como complemento al firewall y es treméndamente util tanto si tenemos puertos abiertos como si no. Una vez instalado Opnsense Suricata está instalado pero no está activo como tampoco tiene instaladas las reglas necesarias para su funcionamiento. Lo primero que tenemos que hacer es escoger qué tipos de reglas queremos configurar y utilizar con Suricata y para verlas nos vamos a Sistema - Firmware - Complementos
Si fuéramos a instalar uno de esos tipos de reglas le tendríamos que dar al símbolo + que se encuentra a la derecha, sin embargo NO LO VAMOS A HACER y el motivo es porque vamos a instalar otro tipo de reglas que no aparece en la imagen porque al tenerlas yo instaladas me aparecen en la parte superior de la configuración en la que nos encontramos. Las que vamos a instalar son las etpro - telemetry
Antes de continuar explico las diferencias entre unos tipos de reglas y otras. Como he comentado antes Suricata funciona a través de unas reglas predefinidas que se actualizan diáriamente y estas reglas pueden ser gratuitas o de pago que lógicamente son mucho mejores y también muy caras. Sin embargo Opnsense tiene un acuerdo que nos beneficia a todos que consiste en tener las reglas de pago sin coste alguno a cambio de una telemetría que se cinscunscribe a las ips "que nos atacan" y a las reglas de Suricata encargadas de bloquear esos ataques.....absolútamente NADA MAS. Y estas reglas son las etpro - telemetry así que lo primero que vamos a hacer es darle al símbolo + que se encuentra a la derecha de estas reglas para que se instalen.
Una vez instaladas las reglas en Opnsense requieren un proceso muy sencillo de activación a través de un código Token y para conseguirlo tenemos que acceder al apartado de la web de Opnsense y realizar "la compra" a 0 Euros de las reglas. La web es esta: https://shop.opnsense.com/product/etpro-telemetry/
A la hora de hacer "la compra" no se nos pide ningún tipo de tarjeta bancaria ni nada parecido, tan sólo unos pocos datos nuestros y sobretodo un correo electrónico válido en el que recibiremos el código Token de activación de las reglas. Ese código es válido "para toda la vida" y no necesita ninguna renovación así que haremos bien en guardarlo conveniéntemente.
Lo siguiente que tenemos que hacer es ir en Opnsense al apartado Servicios - Detector de Intrusiones - Administración - Descargar y aparte de ver que ya tenemos instaladas las reglas Telemetry tenemos que poner el código Token recibido
En la imagen que acabo de poner se ve parte de las reglas instaladas pero si bajamos hacia abajo vemos más, en la imagen se ve también que las tengo habilitadas y actualizadas cosa que a vosotros no os va a aparecer
En esta última imagen se puede ver que las últimas reglas OPNsense - App - detect NO LAS TENGO INSTALADAS y el motivo es porque estas reglas no bloquean los ataques externos sino que son reglas de salida que bloquean el acceso, por ejemplo, a Microsoft y otras conocidas webs.
Lo siguiente que paso a explicar es muy recomendable hacerlo EXTRICTAMENTE POR ORDEN para evitar problemas de configuración.
Como hay muchas reglas lo mejor que se puede hacer por comodidad es activar primero el campo Descripción, al hacerlo quedarán marcadas todas las reglas y a continuación vamos DESMARCANDO una a una las que no queramos usar. Aparte de no usar las reglas que he comentado antes si hacéis uso de las descargas mediante torrent veréis en el listado de reglas que hay una regla Telemetry p2p que interesa desmarcar.
Una vez escogidas las reglas le damos al botón Habilitar seleccionadas, a continuación le damos al botón Guardar y para terminar le damos al botón Descargar y Actualizar Reglas......tardará un buen rato en completarse el proceso porque tiene que descargar miles de reglas así que paciencia, en cualquier caso en 15 minutos más o menos podremos ver que están habilitadas y actualizadas.
A continuación nos vamos al apartado Servicios - Detección de Intrusiones - Política
Yo ya lo tengo habilitado, en vuestro caso le tenéis que dar al símbolo + que hay a la derecha y os llevará a la siguiente pantalla
Como se puede ver en la imagen tan sólo tenemos que fijarnos en que esté HABILITADO y si no está lo hacemos. Si os fijáis todos los parámetros están configurados en Nothing selected y hay que dejarlos así porque al contrario de lo que puede parecer al dejarlos así lo que estamos haciendo es HABILITAR TODOS.
En la misma pantalla pero abajo del todo si tenemos que modificar un parámetro
Como se puede ver hay que cambiarlo y dejarlo en Tirar que traducido al cristiano quiere decir BLOQUEAR, a continuación le damos al botón Guardar.
AVISO IMPORTANTE: Al igual que pasó antes este proceso puede tardar tranquílamente 15 - 20 minutos ya que tiene que reconfigurar miles de reglas y tenemos que tener paciencia hasta que termine y cuando lo haga es muy probable que nos aparezca una pantalla de error de reconfiguración de reglas. En ese caso NO PASA NADA, luego más adelante explico como se soluciona. Una vez terminado el proceso volvemos a la pantalla anterior en la que debemos dar al botón Aplicar
Lo que acabamos de hacer es configurar todas las reglas que seleccionamos anteriórmente para que en lugar de avisar diréctamente bloqueen que es lo que tienen que hacer. Ahora nos vamos a Servicios - Detección de Intrusiones - Administración - Ajustes
Voy a ir explicando todo los ajustes que se ven en la imagen que acabo de poner y lo haré de arriba a abajo. Lo primero es activar el modo avanzado para que se vean todos los ajustes. A continuación habilitamos Suricata, el siguiente ajuste es habilitar el Modo IPS que lo que hace es poner a Suricata por delante del firewall de Opnsense a la hora de bloquear ataques y escaneos.
El siguiente ajuste es el Modo promiscuo que en mi caso tengo desactivado, si tenéis VLANS configuradas en Opnsense lo tenéis que activar.
El siguiente ajuste marcado con una flecha es la opción Hyperscan en el Patrón de coincidencia, sin extenderme demasiado explicando esto diré que es el mejor motor de Suricata y el que mejor emplea el hardware en que tengamos instalado Opnsense.
Al tener configurado el ajuste Detect Profile en Personalizar podemos configurar los parámetros ToClient y ToServer que recomiendo poner en 100 tal como se ve en la imagen. Estos dos parámetros están referidos a como gestiona Suricata los paquetes de reglas que le tenemos puestas y mejoran el rendimiento general.
El siguiente parámetro es Interfaces en el que se puede ver que lo tengo configurado sólamente en la Wan, sin embargo se puede ajustar también en todos los demás interfaces que tengamos configurados en Opnsense incluido lógicamente la LAN, otra configuración sería dejarlo activo sólamente en la LAN, tan sólo tengo que decir que cualquiera de esas configuraciones es válida, lo que ocurre es que al tenerlo activado en la Wan añade un punto más de seguridad ya que al hacerlo así Suricata bloquea también los escaneos de puertos.
El siguiente parámetro es el de Redes hogar y veréis que ya vienen configuradas por defecto algunas....HAY QUE BORRARLAS TODAS y en su lugar sustituirlas por las redes locales que tengamos. En la imagen se ve que yo tengo configuradas 3, la primera es mi IP WAN que es necesario poner al tener, en mi caso, configurado Suricata en la Wan, si vosotros lo configuráis en la LAN no es necesario ponerla. La segunda red es mi Wireguard y la tercera es la red local gestionada por Opnsense. Cuando instalamos Opnsense la ip local predeterminada de acceso es la 192.168.1.1 así que tengo configurada en ese apartado la red 192.168.1.0/24
Los demás ajustes no es necesario modificarlos así que para terminar le damos al botón Aplicar y con esto ya tenemos Suricata en funcionamiento. Antes he comentado que a la hora de reconfigurar las reglas nos puede aparecer un mensaje de error así que para solucionar eso REINICIAMOS OPNSENSE
Como dije al principio las reglas configuradas en Suricata se actualizan una vez al dia y para que ocurra eso tenemos que configurarlo. Para hacerlo nos vamos a Servicios - Detección de Intrusiones - Administración y le damos a la pestaña Programar
A continuación se nos redirige automáticamente a otro apartado de la configuración de Opnsense
Este apartado de la configuración ya tiene todos los parámetros configurados así que tan sólo tenemos que habilitarlo y guardar los cambios. Al hacerlo todos los dias del año las reglas de Suricata se descargarán y actualizarán automáticamente y sin que tengamos que hacer nada a las 12 de la noche. Al guardar los cambios volvemos a la pantalla anterior en la que nos tenemos que fijar en que esté habilitado y a continuación le damos al botón Aplicar
Si os fijáis en la imagen se puede ver que tengo dos reglas iguales....cosas de Opnsense, lo importante es que tengamos activa la que acabamos de configurar.
Con el pasar de los dias podemos comprobar fácilmente si se descargan y actualizan las reglas de Suricata corréctamente. Para comprobarlo nos vamos a Servicios - Detección de Intrusiones - Archivos de registro
Configurando la opción Anuncio podemos ver los dias y las horas en que las reglas se han actualizado. En la pantalla principal de Opnsense tenemos una serie de widgets que podemos activar a nuestro gusto para personalizarla con los ajustes que queramos tener a la vista y uno de los widgets está referido a las reglas Telemetry de Suricata
Aunque no se ve en la imagen a la derecha de la flecha existe un botón Añadir complemento en el que podemos activar los widgets disponibles
Para terminar este largo tutorial dos explicaciones más
En la pestaña Reglas podemos ver todas las reglas que tenemos instaladas y como están configuradas y en la pestaña Alertas podemos ver todas las ips que Suricata bloquea.
AVISO: Una de las configuraciones que he explicado antes es configurar todas las reglas instaladas de Suricata para que bloqueen y en mi opinión personal es lo mejor que se puede hacer. Lo que si es conveniente es depués de configurar y activar Suricata como acabo de explicar es estar pendiente unos dias de lo que bloquea que ya he comentado antes que lo podemos hacer en la pestaña Alertas y si hay alguna regla que nos impide el acceso a una web o servicio en internet lo que tenemos que hacer es desactivar esa regla en concreto que es fácil de identificar porque siempre va acompañada de dia y hora
Una vez identificada la regla que molesta en la pestaña Alertas a la derecha tenemos el icono de un lápiz que al darle nos permite editar la regla y desactivarla. Una vez hecho eso tenemos varias opciones, o reiniciar Suricata o diréctamente reiniciar Opnsense.....existe otra forma de que se guarden esos cambios pero es un poco más compleja así que no la explico.
Opnsense actúa una vez configurado como cualquier otro router y una de las cosas que podemos hacer con el es configurar unos DNS para que una vez hecho esto Opnsense asigne esos DNS a todos los dispositivos que tengamos en nuestra red local. A la hora de configurar DNS en Opnsense lo podemos hacer en varios de sus apartados, uno sería aquí:
Y otro sería aquí:
Sin embargo no los vamos a configurar en ninguno de esos dos sitios ya que para hacerlo vamos a utilizar el componente Unbound que viene "de serie" instalado en Opnsense.
Unbound va a ser el encargado de gestionar los DNS que le configuremos y para hacerlo podemos ver que tiene una amplia cantidad de opciones relativas al caché DNS, registros, DNSSEC, etc, etc, que en principio no vamos a tocar. Para configurar los DNS nos vamos a Servicios - Unbound DNS - DNS over TLS
En la imagen que acabo de poner se ve que tengo configurados los DNS de Cloudflare pero lógicamente podemos poner todos los que queramos, a vosotros lógicamente está pantalla estará vacía. Para añadir un nuevo DNS tenemos que darle al símbolo + que se ve en la imagen y al hacerlo nos saldrá una ventana en la que tenemos que poner los parámetros convenientes, en el caso de los DNS de Cloudflare son los siguientes:
Se los ponemos, guardamos los cambios y a continuación le damos al botón Aplicar, si queremos añadir más DNS repetimos la operación.
Otra de las funciones de Unbound que podemos aprovechar es el uso de listas de bloqueo DNS al estilo Pi - Hole o Adguard. Para hacerlo nos vamos a Servicios - Unbound DNS - Blocklist y para ver todas las posibles configuraciones activamos el modo avanzado
En el apartado URLs of Blocklists podemos especificar direcciones ips de internet en las que haya listas de bloqueo de DNS para que se descarguen y activen al igual que se hace con Pi - Hole o Adguard.
Aparte de lo anterior Unbound ya trae por defecto una larga lista de listas de bloqueo que podemos activar a voluntad
Una alternativa a la hora de usar listas de bloqueo DNS con Unbound es la instalación de Adguard en Opnsense que explicaré en otro post. La ventaja de usar Adguard con listas de bloqueo DNS sobre Unbound es que permite un mayor control de lo que se bloquea o no y lo hace de una manera mucho más visual y cómoda.
En el "mundo nas" la seguridad es algo que no debemos despreciar y uno de los mejores métodos para aumentar esa seguridad es el uso de firewalls también llamados cortafuegos. Los operadores de internet que contratamos nos ofrecen en la mayoría de los casos un firewall extremádamente básico en los routers que nos proporcionan. En el caso de los nas de Qnap podemos también utilizar uno que es Qufirewall que también es muy básico. Una de las formas para obtener mucho más respecto a esto es Opnsense que es un sistema operativo completo que actúa como router - firewall con una amplia cantidad de funciones y complementos suplementarios como pueden ser Detectores de Intrusiones, implementacion de VPN tanto con OpenVPN como con Wireguard, uso de proxys, etc, etc, sin olvidar que también nos ofrece un control excepcional sobre todos y cada uno de los dispositivos que tengamos en nuestra red local.
Opnsense se puede instalar en los nas de Qnap mediante máquina virtual, el problema está en que no todos los nas tienen la potencia suficiente para ejecutar con soltura máquinas virtuales eso sin contar que también es necesario que el nas tenga un mínimo de dos tarjetas de red para uso exclusivo de Opnsense. En cualquier caso en algunos nas se puede instalar sin problemas. Otros sistemas de instalación consistirian en hacerlo en algún ordenador que tengamos tirado por casa y que tenga dos tarjetas de red y otra opción sería comprar un mini-pc dedicado para ello de los que se venden en Aliexpress que es una excelente opción ya que no tienen un coste elevado. Sea cual sea el sistema elegido para su instalación tenemos que tener en cuenta que Opnsense actúa como router - firewall y por tanto sustituye al router de la operadora de internet que tengamos. Para conseguir eso lo primero que hay que hacer es conseguir las claves de acceso a internet de nuestro operador, y para conseguirlas podemos encontrar mucha información buscando en Youtube, Google o en algunos canales especializados de Telegram. Una vez conseguidas esas claves de acceso el router de nuestra operadora de internet se configura en bridge ( modo puente ) para que deje de actuar como router y a continuación conectamos Opnsense que pasa tanto a darnos acceso a internet como a proteger y controlar nuestra red local y sus dispositivos.
Este post y los siguientes que voy a publicar sobre Opnsense no van a tratar sobre su instalación que se va a dar por hecha sino que van a tratar sobre su configuración para obtener de este sistema el mejor rendimiento y la mayor seguridad centrándome en los aspectos primordiales que en mi caso utilizo. Opnsense para el usuario novel puede resultar abrumador cuando uno mira la cantidad de opciones, complementos y configuraciones a su disposición. El que haya mucho donde elegir no significa que sea ni necesario ni obligatorio utilizarlo todo y una vez que uno se pone con el podrá comprobar que su utilización es mucho más sencilla de lo que parece sin olvidar que una vez que esté configurado prácticamente nos vamos a olvidar de el.
Para empezar con esta serie de post voy a comentar y explicar unas primeras configuraciones básicas y sencillas:
1 - Configurar ips fijas para los dispositivos de nuestra red local
Una de las mejores cosas que podemos hacer es asignar ips fijas a los dispositivos que tengamos de tal manera que los tengamos siempre localizables fácilmente. A la hora de hacerlo en Opnsense se puede conseguir de varias formas y voy a explicar la forma en la que lo hago yo que funciona perféctamente.
En Opnsense nos vamos a Servicios - DHCPv4 - LAN y nos fijamos en el rango DHCP que tengamos puesto y que podemos configurar como queramos
Las ips fijas para nuestros dispositivos las vamos a configurar con ips fuera de ese rango DHCP que tengamos establecido así que es conveniente reducirlo para dejar ips libres sin asignar. Hecho eso y en la misma sección de Opnsense en la que estamos pero un poco más abajo vamos a activar la opción Activar entradas ARP Estaticas
Para añadir una ip estática a uno de nuestros dispositivos le vamos a dar al símbolo + que se ve en la anterior imagen abajo a la derecha, al hacerlo nos lleva a una nueva ventana
Aquí ponemos la dirección MAC del dispositivo, le asignamos una ip fija que esté fuera del rango DHCP que tengamos configurado, le ponemos un nombre identificativo y marcamos la opción Entrada Estática Tabla ARP, hecho todo esto guardamos los cambios.
Con esto ya tenemos asignada una ip fija a un dispositivo, como lo lógico es que en la red local tengamos más dispositivos repetimos la misma operación con los demás
Una vez configurados todos los dispositivos tenemos la opción de aumentar la seguridad habilitando la opción Denegar clientes desconocidos
Activando esta opción sólo tendrán acceso tanto a internet como a nuestra red local los dispositivos que hayamos configurado con ip fija, si quisiéramos dar acceso a un nuevo dispositivo tendríamos que asígnarle primero una ip fija tal como hemos hecho antes. Como esta configuración segúramente la estamos haciendo desde un ordenador que préviamente opnsense le habrá otorgado una ip por DHCP al asignarle a ese ordenador una ip fija distinta y marcar la opción de Denegar clientes desconocidos nos quedaremos tanto sin acceso a internet como a la red local. Reiniciando el ordenador se solventa el problema ya que al hacerlo Opnsense le asignará la nueva ip fija que le hayamos configurado.
2 - Aumentar la seguridad del propio Opnsense
Cuando instalamos Opnsense viene permitido por defecto el acceso al propio Opnsense desde la Wan y lo mismo ocurre con el acceso por SSH y por seguridad ninguna de esas dos configuraciones son recomendables así que vamos a desactivarlo dejando activos esos dos accesos sólamente accesibles desde la LAN, para ello nos vamos a Sistema - Ajustes - Administración
En los dos apartados Interfaces de Escucha sólo dejamos habilitado el acceso desde la LAN
Estoy pegandome para instalar pi-hole pero no consigo hacerlo funcionar bien:
Instalo pi-hole con el container station, en modo bridge, dandole una IP unica. Esto me crea un virtual switch.
Todo parece funcionar bien, pero al cabo de unas horas, dejo de tener acceso a mi nas desde dentro de mi red. La unica solucion es entrar desde fuera de mi red, parar el contenedor de pihole y eliminar el virtual switch. Entonces ya puedo acceder al nas desde mi red local.
Incluso he probado a instalar pihole, pero no configurar el router ni ningun cliente para que use pihole como dns, en las estadisticas de pihole me aparece que no lo esta usando nadie (detecta que hay dispositivos conectados a la red). PEro al cabo de unas horas vuelve otra vez a perderse el acceso al nas desde la red local.
Hola, tengo unos problemas técnicos que no logro solucionar, y no se si lo estoy haciendo mal por la ubicación de las bibliotecas.
Tengo 3 cuentas: Una de Administrador y Pedro y Leti (cuentas normales).
Pedro y Leti tiene los siguientes directorios para Qmagie: Homes/Pedro/QMagie y Homes/Leti/QuMagie. Aquí cada uno sube sus fotos desde el movil, por lo que Leti no tiene acceso a las fotos de Pedro y viceversa. Hasta aquí todo correcto.
El problema de ejemplo que tengo: Pedro etiqueta sus fotos con caras, luego Leti las ve y sus fotos etiquetadas han sido eliminadas las caras, además salen nombres que Pedro tiene fotos y Leti puede verlas pero no hay fotos.
Ejemplo: Cuenta administrador puede ver nombres pero no hay fotos ni caras. Mando 2 capturas
