Tee-se-itse: Rautapalomuurit (pfSense, Sophos UTM..) (Mitä käytätte ja miksi juuri se vaihtoehto?)

[Desgorr]

Onko tuo tuuletin miten kovaääninen?

Täydellä teholla aivan järjettömän äänekäs, mutta hieman kun säätää tuuletinkäyrää niin tuon saa yllättävän hiljaiseksi ja lämmötkin pysyy vielä noin 46-52 asteessa. Tahnat tuohon cooleriin tuli kanssa vaihdettua, joka hieman auttoi.

Spoileri: Käyrä

 

[escalibur]

Ihan mielenkiintoinen emo. Tuohonhan menisi ehkä joku 120mm AIO:kin.

Itsekin tässä työstän seuraavaa pfSense-rautaa, lähinnä sisällön vuoksi.

 

[user9999]

Tuo pfSense plus version Boot Environments on näppärä jos on ongelmia ja pitää testailla jotain.

Backup and Recovery — ZFS Boot Environments (Plus Only) | pfSense Documentation

docs.netgate.com

A ZFS Boot Environment is a snapshot of the filesystem at a specific point in time, plus a clone of that snapshot.
Mulla oli ongelmia NextDNS CLI 1.43.X versioiden kanssa. Versio 1.42.0 toimi ok, mutta 1.43.X ei sitten yhtään.
Tein kloonin tuosta toimivasta ympäristöstä ja tein siinä testailua. Sain tuon kuntoon.

 

[McPaHa]

Aargh... nyt ei ymmärrä... 2.7.0 pfsense.

DDNS on lopettanut päivittämisen. Mulla on pari osoitetta duckdns:ssä ja eilen kokeilin laittaa Cloudflarea pystyyn, niin huomasin samalla kun ei Cloudflare lähtenyt toimimaan, että kaksi muutakin näyttävät cached ip osoitteena väärää osoitetta vs. mitä interface status näyttää Dashboardissa.

En tätä ole huomannut koska openvpn servu pfsensessä toimii (kännykkäclient) koska osoite ei ole muuttunut niin duckdns:ssä on oikea osoite (vielä).

Onko mitään ajatusta mistä johtuu ja miten voisi lähteä korjaamaan - kyllä - ensimmäiseksi on buutattu - ei vaikutusta.

 

[ale]

Kannattaa katsoa system logeista, oisko sinne tullut virheen syy.

 

[Enforcer]

Asentelin tossa OPNsensen kolmisen päivää sitten ja kaikki toimii muuten melko hyvin paitsi jostain kumman syystä en yhtä konetta pysty pingaa windows pc:tä jolla on static ip 192.168.1.240. Ei edes silloin kun yrittää pi:stä pingaa jolla on sama subnet/netmask ja static ip 192.168.1.230. Ping toimii kyllä toiseen suuntaan eli pystyy pingaa 192.168.1.240 -> 192.168.1.230 ja kaikkia muita laitteita. OPNsense pyörii Proxmoxissa ja Freshtomato on lyöty OPNsensin kaapelil vlan kuvassa WAN0 porttiin, joka muutettu LAN portiksi ja windows pc kiinni LAN0. Laitoin kannettavan kiinni LAN1 ja yritin pingaa 192.168.1.240 windows pc:tä. Ei toiminut eikä myöskään pystynyt pingaa windows pc:llä kannettavaa.

Eli kaikki koneet, jotka on fyysisesti kiinni Freshtomaton porteissa, joka siis kiinni Proxmoxissa joka pyörittää OPNsenseä niin mikään liikenne ei liiku näihin laitteisiin sisäverkkossa. OPNsense kyllä antaa vlanista riippuen kaikille oikeat ip yms. ja interwebbi toimii kaikissa laiteissa normaalisti. Itse epäilen Freshtomaton vlan asetuksia kun ekaa kertaa niillä pelleilen, mutta ei mitään hajua, miten tämän nyt voisi korjata. Kellään mitään hajua, mitä voisi yrittää?

Parit kuvat vielä asetuksista jne.

Spoileri: Kuvia

PS. OPNsensellä ip 192.168.1.1 Tomato 192.168.1.5 ja Proxmox 192.168.1.10

 

[Tege]

Windowsin palomuurissa sallittu ICMP?

 

[Pörkyle]

Asentelin tossa OPNsensen kolmisen päivää sitten ja kaikki toimii muuten melko hyvin paitsi jostain kumman syystä en yhtä konetta pysty pingaa windows pc:tä jolla on static ip 192.168.1.240. Ei edes silloin kun yrittää pi:stä pingaa jolla on sama subnet/netmask ja static ip 192.168.1.230. Ping toimii kyllä toiseen suuntaan eli pystyy pingaa 192.168.1.240 -> 192.168.1.230 ja kaikkia muita laitteita. OPNsense pyörii Proxmoxissa ja Freshtomato on lyöty OPNsensin kaapelil vlan kuvassa WAN0 porttiin, joka muutettu LAN portiksi ja windows pc kiinni LAN0. Laitoin kannettavan kiinni LAN1 ja yritin pingaa 192.168.1.240 windows pc:tä. Ei toiminut eikä myöskään pystynyt pingaa windows pc:llä kannettavaa.

Eli kaikki koneet, jotka on fyysisesti kiinni Freshtomaton porteissa, joka siis kiinni Proxmoxissa joka pyörittää OPNsenseä niin mikään liikenne ei liiku näihin laitteisiin sisäverkkossa. OPNsense kyllä antaa vlanista riippuen kaikille oikeat ip yms. ja interwebbi toimii kaikissa laiteissa normaalisti. Itse epäilen Freshtomaton vlan asetuksia kun ekaa kertaa niillä pelleilen, mutta ei mitään hajua, miten tämän nyt voisi korjata. Kellään mitään hajua, mitä voisi yrittää?

PS. OPNsensellä ip 192.168.1.1 Tomato 192.168.1.5 ja Proxmox 192.168.1.10

Proxmoxin palomuuri estää ainakin pingit ellei ole erikseen sallittu kannattaa tarkistaa onko päällä.

 

[Enforcer]

Proxmoxin palomuuri estää ainakin pingit ellei ole erikseen sallittu kannattaa tarkistaa onko päällä.

Ei ole päällä, mutta asiasta juuri luin niin näyttävästi myös windowsin oma palomuuri estää pingit Ja tosiaan kun ottaa pois päältä niin pingi näytti kulkevan. Estääkö tuo kaiken muunkin sitten esim. samba kansio jaon?

 

[Tege]

Ei ole päällä, mutta asiasta juuri luin niin näyttävästi myös windowsin oma palomuuri estää pingit Ja tosiaan kun ottaa pois päältä niin pingi näytti kulkevan. Estääkö tuo kaiken muunkin sitten esim. samba kansio jaon?

Windows vai Proxmoxin palomuuri?
Windowsiin voi erikseen sallita ICMPn jos haluaa.

 

[Pörkyle]

Ei ole päällä, mutta asiasta juuri luin niin näyttävästi myös windowsin oma palomuuri estää pingit Ja tosiaan kun ottaa pois päältä niin pingi näytti kulkevan. Estääkö tuo kaiken muunkin sitten esim. samba kansio jaon?

Vähän riippuu missä se muuri on päällä ja missä jako. Proxmoxissa kun on omat palomuurit virtuaali koneille ja itse Proxmox käyttikselle. Teoriassa Proxmoxin omalla muurilla voi siis estää pääsyn samba jakoihin riippuu täysin missä ne jaot on.

 

[Enforcer]

Windows vai Proxmoxin palomuuri?
Windowsiin voi erikseen sallita ICMPn jos haluaa.

Proxmoxissa ei ole palomuuri siis päällä eikä ole vm palomuuri myöskään päällä ainut palomuuri on opnsense ja softa muurit (windows ja linux servereissä pi ja kubuntu) . Androidtv ei saanut yhteyttä samba jakoon, joka windows pc:ssä molemmat samassa subnetissä, mutta HTPC jakoon pääsee, joka on taas vlan20 eri subnet, mutta tosin kubuntua pyörittää ja serveri käytössä. Testasin ja kytkin windowsin muurin taas pois päältä niin jakoon pääsee käsiksi androidtv:stä. En nyt täysin ymmärrä, miksi toi on ennen toiminut kun kaikki laitteet oli kiinni freshtomatossa fyysisesti tai wlanilla tosin ilman, mitään vlan konffailuja. Pitää alkaa kai sitten konffailemaan tätä windowsin muuria, mutta miksi windowsin oma palomuuri nyt estää liikenteen?

 

[Tege]

Proxmoxissa ei ole palomuuri siis päällä eikä ole vm palomuuri myöskään päällä ainut palomuuri on opnsense ja softa muurit (windows ja linux servereissä pi ja kubuntu) . Androidtv ei saanut yhteyttä samba jakoon, joka windows pc:ssä molemmat samassa subnetissä, mutta HTPC jakoon pääsee, joka on taas vlan20 eri subnet, mutta tosin kubuntua pyörittää ja serveri käytössä. Testasin ja kytkin windowsin muurin taas pois päältä niin jakoon pääsee käsiksi androidtv:stä. En nyt täysin ymmärrä, miksi toi on ennen toiminut kun kaikki laitteet oli kiinni freshtomatossa fyysisesti tai wlanilla tosin ilman, mitään vlan konffailuja. Pitää alkaa kai sitten konffailemaan tätä windowsin muuria, mutta miksi windowsin oma palomuuri nyt estää liikenteen?

Olisiko tuon Windowsin palomuurin profiili muuttua?
Se on ollut joku muu aikaisemmin kuin mitä se nyt on; Private/Public/Domain.

 

[fin_modder]

Ehdottomasti muuri aina päällä! Alotusvalikkoon kun pistää Windows Defender Firewall with advanced settings, sieltä Inbound Rules, ja hiiren oikealla klikkaat säännön nimestä ja enable. Sääntöjen nimessä lukee ICMP.
Koitetaan olla opettamatta seuraavaa generaatiota asiantuntijoita että windows muuri aiheuttaa ongelmia -> muuri pois päältä

Tosin, myönnän että tällaisten ongelmien takia muuria on otettu pois päältä: Windows Firewall Not Logging (Log File Blank)

 

[Enforcer]

Olisiko tuon Windowsin palomuurin profiili muuttua?
Se on ollut joku muu aikaisemmin kuin mitä se nyt on; Private/Public/Domain.

Nonii laitoin verkkoprofiili tyypin privateksi, mikä se taisi aikaisemmin olla niin lähti toimimaan saman subnetin laitteet pingit ja samba jaot Sen verta aikaa kun ton samba jaon kanssa leikin et oisko se jopa vaatinut ton private tyypin toimiakseen. Nyt pitää alkaa miettimään miten dockerissa pyörivät arr softat ei jostain syystä toimi enään. Eivät saa yhteyttä parii muuhun konttiin jota tarvivat.

 

[Enforcer]

Ehdottomasti muuri aina päällä! Alotusvalikkoon kun pistää Windows Defender Firewall with advanced settings, sieltä Inbound Rules, ja hiiren oikealla klikkaat säännön nimestä ja enable. Sääntöjen nimessä lukee ICMP.
Koitetaan olla opettamatta seuraavaa generaatiota asiantuntijoita että windows muuri aiheuttaa ongelmia -> muuri pois päältä

Taidan olla sitä vanhempaa generaatiota ja ei ole tietysti käynytkään mielessä ottaa pois päältä.

PS. Testiksi siis käytin 30sek pois päältä et johtuuko tosiaan tuosta.

 

[fin_modder]

Taidan olla sitä vanhempaa generaatiota ja ei ole tietysti käynytkään mielessä ottaa pois päältä.

Viesti oli osoitettu muille, ketkä foorumia joskus myöhemmin lukevat.
Itse nuorempaa generaatiota, mutta saarnaan koko elämäni että muurit päälle

Tuo ms muuri tosiaan käyttää eri sääntöpatteria, riippuen verkkoprofiilista. Jos haluaa public profiilin mutta SMB:n toimimaan, pitää muokata sitä SMB inbound sääntöä, ja lisätä sinne täppä, että sääntö koskee myös public profiilia.