Tee-se-itse: Rautapalomuurit (pfSense, Sophos UTM..) (Mitä käytätte ja miksi juuri se vaihtoehto?)

[tapsa]

Onkohan Telian 6rd gateway kuollut, ei ainakaan pingiin vastaa ja telian asiantuntijat ei tinnyt koko 6rd jutusta mitään sanoivat vain että ipv6:tta ei ole otettu käyttöön

 

[Algron28]

Onkohan Telian 6rd gateway kuollut, ei ainakaan pingiin vastaa ja telian asiantuntijat ei tinnyt koko 6rd jutusta mitään sanoivat vain että ipv6:tta ei ole otettu käyttöön

Todellisia asian_tuntijoita vissiin Telialla.

 

[Sampo_91]

Pystyykö joku testaamaan palvelureitittimellä? Mielestäni se toimi vielä viime viikolla. Sylettää, jos olen debugannut turhaan [emoji3]

Sent from my H8324 using Tapatalk

 

[escalibur]

vaikka käytin VMWarelle suositeltuja asetuksia eli E1000e:tä.

Kuka ihmeessä suosittelee emuloitua legacy NIC:ia nykypäivänä?

Lähes 5 vuotta vanha artikkeli:
VMXNET3 vs E1000E and E1000 – part 2 – Rickard Nobel

 

[Sampo_91]

Kuka ihmeessä suosittelee emuloitua legacy NIC:ia nykypäivänä?

Lähes 5 vuotta vanha artikkeli:
VMXNET3 vs E1000E and E1000 – part 2 – Rickard Nobel

OPNsensen dokumentaatio:

Note

While other network setups may work fine, the e1000 driver seems to work best, certainly when utilizing the traffic shaper.

Pystyykö joku testaamaan palvelureitittimellä? Mielestäni se toimi vielä viime viikolla. Sylettää, jos olen debugannut turhaan [emoji3]

Palvelureitittimellä (valitettavasti) IPv6 muuten toimii.

 

[dataaja95]

Nyt on pfSense asennettu ja mukava palata taas vanhaan tuttuun palomuurijärjestelmään. Suricata sekä freeradius asennettu ja kova konffaus menossa. Pari kysymystä vaan jäi mietityttämään itselläni siis 2-ssd:tä joihin meinasin tuon asentaa ja luoda raid1:n mutta asennuksessa ei annettu tuohon mahdollisuutta. Lueskelin foorumeita ja kuulemma tuo tehtäisiin nykyään zfs mirrorilla onko asia näin, ja onko tyypeillä tuosta kokemusta. Lisäksi miten saan arpwatchin välittämään dataa meiliin ilmeisesti pfsenselle pitäisi luoda oma meiliosoite tuota varten. Vai miten tuo nyt menee. Eikös jollain täällä ollut arpwatch välittämässä tietoja meiliin. Miten tuo siis konffattiin. PfSensen meiliasetuksiin osoitteet kohdilleen ja homma alkaa toimia. Ei voi muuta kuin todeta että kirkkaasti paras palomuurijärjestelmä pfSense jopa oman linuxvirityksen jälkeen jota tuli säädettyä todella paljon. Lisäksi vielä pfSense avointa koodia joka on foliohatulle todella tärkeää. Seuraavaksi vain pfblockeria kehiin.

 

[escalibur]

OPNsensen dokumentaatio:

Itse luottaisin enemmän VMwaren Best Practiseihin kuin OPNsensen koodareihin.

 

[Barbarossa]

Itse luottaisin enemmän VMwaren Best Practiseihin kuin OPNsensen koodareihin.

Ei millään pahalla, mutta ei oikeastaan millään hyvälläkään.

Tuo on kyllä jo huomattu, muistat mainita asiasta melkein joka ikiseen postaukseen jossa mainitaan OPNsense. En tiedä puhutko ihan oikeasta kokemuksesta tai ymmärryksestä, vai toisteletko samoja asioita mitä tuntuvat redditin ja Netgaten forkan raivokkaimmat fanipojat tekevän. Tyyli kuulostaa enemmän jälkimmäiseltä, joten vaikka tietäisitkin mistä puhut niin ainakaan ei sellaista vaikutelmaa välity.


Varmasti se OPNsense ihan objektiivisesti tarkastellenkin on se huonompi näistä kahdesta, ainakin täälläkin mainitut pfBlockerNG ja arpwatch, sekä laajemman käyttäjäkunnan synnyttämä parempi vertaistuki puhuvat pfSensen puolesta. Hyvinkin mahdollista että lyön tuohon APUun pfSensen ennenkuin edes kunnolla pääsen kokeilemaan OPNsenseä.

Mutta tällaiset "öhö öhö copypaste purkkaa" ja "paskaa se on koska tämä pfSense tubettaja niin sanoo" tason lohkaisut lähinnä saavat miettimään että onko se IPFire sittenkään niin rajoittunut...

 

[escalibur]

@Barbarossa Olisin vastanut samoin vaikka kyseessä olisi ollut vaikkapa pfSensen koodarit. Ei tartuta turhiin sivuaiheisiin varsinaisen pointin ohella.

 

[user9999]

Lisäksi miten saan arpwatchin välittämään dataa meiliin ilmeisesti pfsenselle pitäisi luoda oma meiliosoite tuota varten. Vai miten tuo nyt menee. Eikös jollain täällä ollut arpwatch välittämässä tietoja meiliin. Miten tuo siis konffattiin. PfSensen meiliasetuksiin osoitteet kohdilleen ja homma alkaa toimia.

Laittaa nuo Notifications maili asetukset kuntoon ja testaa (Test SMTP Settings), että toimii.
pfSense email notification when fallback WAN connection goes down - nixCraft
Arpwatchin Notifications recipient kenttään laittaa sitten käytetyn sähköpostiosoitteen. Sitten seuraa postilaatikkoa niin sinne pitäisi tulla viestejä (Arpwatch Notification : new station) verkossa olevista laitteista.

 

[tapsa]

Onkos muilla ongelmia Telian ipv6 6rd palvelussa, mulla lakkas pfsensessä toimimasta (toimi yli vuoden ok) ja Ubiquitin ER-X ei myöskään toimi enää. 6rd gateway ei ainakaan vastaa pingiin.

 

[iccb]

Ei millään pahalla, mutta ei oikeastaan millään hyvälläkään.

Mutta tällaiset "öhö öhö copypaste purkkaa" ja "paskaa se on koska tämä pfSense tubettaja niin sanoo" tason lohkaisut lähinnä saavat miettimään että onko se IPFire sittenkään niin rajoittunut...

Itse pystyn "vauhkoamaan" IPFiren puolesta kun sitä olen monta vuotta jo käyttänyt ja erilaisten PF/OPnsenseilyjen jälkeen olen aina palannut siihen. Yksinkertaisesti se on helpompi käyttää ja siinä riittävästi ominaisuuksia. YT videoita on vähän ja foorumilla on paljon asioita Saksan kielellä, mutta kääntäjän avulla on selvinnyt ne mitä on tarvinnut. Tämän lisäosan timfprogs/ipfblocklist avulla saa osittain samoja ominaisuuksia lisää mitä PFBlocker lisäosa antaa.
Toi arpwatch kuulostaa aika hyvältä paketilta ja sitä ei suoraan ainakaan löydy IPFirelle. En ole sen suuremmin tutkinut asiaa kun sillä ei itselleni ole käytännössä käyttöä.

 

[Barbarossa]

Itse pystyn "vauhkoamaan" IPFiren puolesta kun sitä olen monta vuotta jo käyttänyt ja erilaisten PF/OPnsenseilyjen jälkeen olen aina palannut siihen. Yksinkertaisesti se on helpompi käyttää ja siinä riittävästi ominaisuuksia. YT videoita on vähän ja foorumilla on paljon asioita Saksan kielellä, mutta kääntäjän avulla on selvinnyt ne mitä on tarvinnut. Tämän lisäosan timfprogs/ipfblocklist avulla saa osittain samoja ominaisuuksia lisää mitä PFBlocker lisäosa antaa.
Toi arpwatch kuulostaa aika hyvältä paketilta ja sitä ei suoraan ainakaan löydy IPFirelle. En ole sen suuremmin tutkinut asiaa kun sillä ei itselleni ole käytännössä käyttöä.

IPFire kyllä kiinnostaisi noin yleisestikin, Linux alustana ja ympäristönä on tuttua kauraa kun taas *BSD täydellinen terra incognita. Melkoisesti pienempi kynnys ja luultavasti perusjuttujen kanssa turatessa pärjäisi ihan omillaankin.

Pitää nyt katsella vähän

 

[Obi-Lan]

Mätäisiä omenoita voi olla missä vain korissa. Kerro miten lopulta kävi.

Laite jatkoi random boottailua, sain sen lopulta kaatumaan joka kerta vetämällä iperfiä ~10min sen läpi. Laitoin tuosta viestiä tukeen ja se otettiin suoraan RMA:han. Maksoivat Fedex lähetyksen takaisin Texasiin, vähän tulliselvitysten kanssa piti säätää.

Tuohon tulee Netgatelta valmis image missä on kaikki tehty valmiiksi, bootloaderissa pitää vaan ajaa usb recovery mikä kopioi imagen usb tikulta laitteen muistiin. Positiivista on, että sarjaportti on omalla virransyötöllä eli laitetta voi boottailla ilman että sarjaporttiyhteys katoaa.

 

[escalibur]

Laite jatkoi random boottailua, sain sen lopulta kaatumaan joka kerta vetämällä iperfiä ~10min sen läpi. Laitoin tuosta viestiä tukeen ja se otettiin suoraan RMA:han. Maksoivat Fedex lähetyksen takaisin Texasiin, vähän tulliselvitysten kanssa piti säätää.

Tuohon tulee Netgatelta valmis image missä on kaikki tehty valmiiksi, bootloaderissa pitää vaan ajaa usb recovery mikä kopioi imagen usb tikulta laitteen muistiin. Positiivista on, että sarjaportti on omalla virransyötöllä eli laitetta voi boottailla ilman että sarjaporttiyhteys katoaa.

No niin, hyvähyvä! Hienoa että takuu pelaa myös USA:n rajojen ulkopuolella. Joko sait toimivan yksilön vai onko homma vielä kesken?

 

[Obi-Lan]

No niin, hyvähyvä! Hienoa että takuu pelaa myös USA:n rajojen ulkopuolella. Joko sait toimivan yksilön vai onko homma vielä kesken?

Vasta matkalla amerikkaan. Logistiikka tosiaan hoitunut tähän asti kaikki Fedexillä, en tiedä miten toimii jos ollaan sen toiminta-alueen ulkopuolella.

 

[user9999]

Jotain power ongelmaa varmaankin tuossa SG-1100 mallissa.
FYI to SG-1100 owners, there is a known hardware issue where the device randomly reboots. Seems to be a power issue. Didn't see this posted here yet... : PFSENSE
SG-1100 Intermittent Reboots

 

[tapsa]

No niin, sain tänään puhelun Telian verkonhallinnalta koskien ipv6 6rd palvelua josta olin tehnyt vikailmoituksen toiminnan lakkaamisesta ja viesti telialta oli että ko. palvelu ei pitänyt olla KAMO liittymissä ollenkaan mahdollista mutta kuitenkin se toimi 1,5 vuotta ok mutta nyt sitten sen poistivat joten KAMO liittymän omaavat niin 6rd ei toimi

 

[Sampo_91]

No niin, sain tänään puhelun Telian verkonhallinnalta koskien ipv6 6rd palvelua josta olin tehnyt vikailmoituksen toiminnan lakkaamisesta ja viesti telialta oli että ko. palvelu ei pitänyt olla KAMO liittymissä ollenkaan mahdollista mutta kuitenkin se toimi 1,5 vuotta ok mutta nyt sitten sen poistivat joten KAMO liittymän omaavat niin 6rd ei toimi

Jännä juttu. Siellä on varmaan sitten parametrit vaihtuneet, koska minulla on ethernet-pohjainen, eikä toimi. Saisiko nuo DHCP:ltä? Asuksen reititin osasi ne hakea joskus muinoin.

Sent from my H8324 using Tapatalk

 

[heebo1974]

No niin, sain tänään puhelun Telian verkonhallinnalta koskien ipv6 6rd palvelua josta olin tehnyt vikailmoituksen toiminnan lakkaamisesta ja viesti telialta oli että ko. palvelu ei pitänyt olla KAMO liittymissä ollenkaan mahdollista mutta kuitenkin se toimi 1,5 vuotta ok mutta nyt sitten sen poistivat joten KAMO liittymän omaavat niin 6rd ei toimi

Minkälaiset asetukset pitää laittaa pfSensessä WAN:iin että voisi kokeilla toimiiko Telian FTTH liittymällä ?

 

[McPaHa]

Moi!

Löytäisikö joku / osaisiko auttaa (ei oikein netistä löytänyt vaikka yritin etsiä....) eli haluaisin yhdelle sisäverkon ip:lle tehtyä minimikaistan joka olisi aina vähintään käytössä eikä muut voisi sitä ryöstää...

 

[dot1q]

Jahas, oliskohan tästä apua. pfSense Guarantee Minimum Upload Bandwidth? : PFSENSE

Ajatus on siinä että eka bandwidth sääntö on serverille toi minimikaista, ja toka sääntö olis kokonaiskaista. Ja sitte paritat trafficshaperin hoitaa tuon kaistan jaon niin, että vähintään tulee toi minimi yhdelle ja jos tilaa jää, loput on vapaana/tarjolla sille ja muillekin.

Ei, en ole tehnyt vastaavaa itse ja vaikutti hivenen mutkikkaalta tuo juttu.

 

[dataaja95]

Satuimpa löytämään laatikonpohjalta kaverilta saadun pfsense sg-1100 palomuurin. Nyt vain olisi kiva päästä masiinan konsoliin käsiksi katsomaan mikä systeemissä mättää. Webbihallintaan ei pääse ja muurissa kiinni ollut läppäri ei saa dhcp:llä iptä muurilta. Ilmeisesti tuohon vaaditaan joku oma konsolikaapelinsa. Perus konsoliporttiin menevällä usb-kaapelilla yritettäessä ottaa yhteys ainakaan linuxkoneen konsolissa ei näy mitään. Löysin ehkä masiinan oman konsolikaapelin mutta sillä täysin sama juttu. Tekstiä ei tule sarjakonsoliin vaikka painelisi muutaman kerran enteriä. Mitäs seuraavaksi testataan?

 

[mikajh]

Pitää olla USB to serial/uart -kaapeli/muunnin: SG-1100 Security Gateway Manual — Connecting to Console Port | pfSense Documentation

 

[Obi-Lan]

Satuimpa löytämään laatikonpohjalta kaverilta saadun pfsense sg-1100 palomuurin. Nyt vain olisi kiva päästä masiinan konsoliin käsiksi katsomaan mikä systeemissä mättää. Webbihallintaan ei pääse ja muurissa kiinni ollut läppäri ei saa dhcp:llä iptä muurilta. Ilmeisesti tuohon vaaditaan joku oma konsolikaapelinsa. Perus konsoliporttiin menevällä usb-kaapelilla yritettäessä ottaa yhteys ainakaan linuxkoneen konsolissa ei näy mitään. Löysin ehkä masiinan oman konsolikaapelin mutta sillä täysin sama juttu. Tekstiä ei tule sarjakonsoliin vaikka painelisi muutaman kerran enteriä. Mitäs seuraavaksi testataan?

SG-1100 sarjaporttiyhteyteen riittää normi micro usb piuha. USB laitteissa pitäisi näkyä tuo Profilicin usb-sarjaportti muunnin ja nopeuden tosiaan pitää olla 115200 että tekstiä tulee. Piuhan kytkennän jälkeen katso dmesgillä mikäli tuo usb-sarjportti muunnin tunnistautui oikein ja mikä sen oikea portti on. ​

 

[user9999]

Otin pfSensessä tuon ZFS:n käyttöön ja samalla ZFS n-Way Mirror. Näyttäis toimivan kaikki (pfBlockerNG, FreeRadius, OpenVPN jne.). Eli asensin uudelleen ja palautin konfiksen.
Täytyy nyt vielä seurata, että kaikki on kunnossa.

 

[timop]

Meneekö yhden levyn asennuksen confis zfs asennetun päälle ?

 

[user9999]

Meneekö yhden levyn asennuksen confis zfs asennetun päälle ?

Eli tarkoitat, että UFS confis asennetaan ZFS järjestelmään? Jos tuo niin kyllä.

Itse tein tuon muutoksen seuraavalla tavalla

1. Confis talteen vanhasta (UFS)
2. Vanha levy pois koneesta ja uudet 2kpl:tta tilalle
3. pfSensen asennus ja tuon ZFS n-Way Mirror määritys
PfSense ZFS n-Way Mirror – Thomas-Krenn-Wiki
4. Kun pfSense pystyssä niin asensin nuo lisäpaketit (pfBlockerNG, FreeRadius, openvpn-client-export jne.). En konffannu noita mitenkään
5. Palautin tuon config tiedoston niin pfSense uudelleen asensi nuo paketit.

Noin lähti itsellä toimimaan. En tiedä oliko tuo lisäpakettien asennus tuossa tarpeellista vai olisiko pfSense asentanut ne itse tuon config palautuksen aikana.
Tuohon ZFS riittää myös yksi levy.
Installing and Upgrading — Perform the Installation

stripe
A single disk, or multiple disks added together to make one larger disk. For firewalls with a single target disk, this is the correct choice. (RAID 0)

 

[Gobi]

Palautin yhden levyn ZFS-asennuksen kahden levyn ZFS-mirroriin, lisäpaketit konffeineen asentui ilman niiden asentamista erikseen. Siihen oli oma valinta palautusasetuksissa.

 

[iccb]

Toi on kyllä todella hyvin tehty pfsensessä. Kun otat conffin talteen ei tartte murehtia mitä paketteja on asenneltu tai oliko se tai tämä mukana asennuksessa, sen kuin pistää palauttamaan niin hommaa toimii kuten aikaisemminkin!!
IPfiressä joutuu paketit palauttelee ensin ja sen jälkeen erikseen niiden konffit. Toki ei noita koneita usein tarvii vaihdella, mutta kuitenkin.
Itselleni tulee koneen vaihto kohta eteen, mutta taidan pitäytyä siltä IPfiressä...

Tiedoksi vielä että Fitlet2 kone tulossa myyntiin, kiinnostuneet voi laittaa yksäriä. (Sry, offtopic)

 

[escalibur]

Toi on kyllä todella hyvin tehty pfsensessä. Kun otat conffin talteen ei tartte murehtia mitä paketteja on asenneltu tai oliko se tai tämä mukana asennuksessa, sen kuin pistää palauttamaan niin hommaa toimii kuten aikaisemminkin!!
IPfiressä joutuu paketit palauttelee ensin ja sen jälkeen erikseen niiden konffit. Toki ei noita koneita usein tarvii vaihdella, mutta kuitenkin.
Itselleni tulee koneen vaihto kohta eteen, mutta taidan pitäytyä siltä IPfiressä...

Tuon takia itse en näe suurta hyötyä pfSensen RAID-virityksille. Siitä on usein lähinnä uptimen katkaisemisen viiväistämistä kuin ehkäisemistä, mikäli levyä ei voi vaihtaa lennosta. Silloinkin koko hyöty on vähän niin ja näin, jos konffis on muutenkin tallella. Harrastusmielessä se on varmasti hauskaa puuhaa, mutta muuten itse en tuhlaisi aikaa, levyjä ja rahoja.

 

[dataaja95]

Otin pfSensessä tuon ZFS:n käyttöön ja samalla ZFS n-Way Mirror. Näyttäis toimivan kaikki (pfBlockerNG, FreeRadius, OpenVPN jne.). Eli asensin uudelleen ja palautin konfiksen.
Täytyy nyt vielä seurata, että kaikki on kunnossa.

Minkälainen konffi sulla on freeradiuksessa. Autentikoivatko klientit käyttäen omia sertejään vai miten olet tuon virittänyt.

 

[dataaja95]

h

Tuon takia itse en näe suurta hyötyä pfSensen RAID-virityksille. Siitä on usein lähinnä uptimen katkaisemisen viiväistämistä kuin ehkäisemistä, mikäli levyä ei voi vaihtaa lennosta. Silloinkin koko hyöty on vähän niin ja näin, jos konffis on muutenkin tallella. Harrastusmielessä se on varmasti hauskaa puuhaa, mutta muuten itse en tuhlaisi aikaa, levyjä ja rahoja.

Totta tämäkin ja kun vanha konffi levyn hajotessa on helppo heittää sisään niin en näkisi itse myöskään mirroria välttämättömänä. Itselläni sattui vain olemaan kaverilta lahjoituksena saatu kone missä on kaksi ssd:tä niin tulee zfs mirrori laitettua siihen pyörimään, ja no harrastuksen vuoksihan tuo tulee tehtyä ei sitä voi kieltää.

 

[mikajh]

Tuon takia itse en näe suurta hyötyä pfSensen RAID-virityksille. Siitä on usein lähinnä uptimen katkaisemisen viiväistämistä kuin ehkäisemistä, mikäli levyä ei voi vaihtaa lennosta. Silloinkin koko hyöty on vähän niin ja näin, jos konffis on muutenkin tallella. Harrastusmielessä se on varmasti hauskaa puuhaa, mutta muuten itse en tuhlaisi aikaa, levyjä ja rahoja.

Mietiskelin myös milloin esim. ZFS:tä olisi hyötyä. Omat pfSense-purkit ovat olleet niin vakaita, että yhtään havaittavaa tiedostojärjestelmän ongelmaa en muista. Mutta tilanne voisi olla eri jos olisi vaikka usein sähkökatkoja ilman UPSia (minulla ei kumpaakaan). Silloin ZFS voisi olla hyvinkin suositeltava.

 

[escalibur]

Mietiskelin myös milloin esim. ZFS:tä olisi hyötyä. Omat pfSense-purkit ovat olleet niin vakaita, että yhtään havaittavaa tiedostojärjestelmän ongelmaa en muista. Mutta tilanne voisi olla eri jos olisi vaikka usein sähkökatkoja ilman UPSia (minulla ei kumpaakaan). Silloin ZFS voisi olla hyvinkin suositeltava.

Suosittelen itsekin ZFS:ää ”aina kun mahdollista”-periaatteella. Kyseessä on yksi parhaimmista, ellei paras levyjärjestelmä.

 

[user9999]

Minkälainen konffi sulla on freeradiuksessa. Autentikoivatko klientit käyttäen omia sertejään vai miten olet tuon virittänyt.

EAP-TLS eli sertit käytössä.

Eli tein omat CA:n, Server sertifikaatin ja Client sertifikaatit
User Management — Using EAP and PEAP with FreeRADIUS | pfSense Documentation

Sitten käytin Apple Configuration 2 työkalua johon lisäsin CA.crt ja Client.p12 sertit. Alla olevan kuvan mukaisesti. Tuossa .p12 pitää olla salasana tai tuon .mobileconfig tiedoston asennus ei onnistu macOS ja iOS laitteisiin

• Client Requires password on .p12
  • If your client will not load the .p12 without a password on it, and space does not work you can add a password with openssl
  • Just download user cert and key vs the p12 and with the ca cert use the following command
  • openssl pkcs12 -export -certfile ca.crt -in user.crt -inkey user.key -out user.p12

Sitten Wi-Fi konfis

Sitten tallennus ja asensin tuon .mobileconfig tiedoston. Se ilmestyy macOS profiles työkaluun.

Noin se lähti toimimaan. Muihin laitteisiin (iOS ja macOS) siirtelin .mobileconfig tiedostot AirDropin yli niin pääsi asentamaan ne.

Windowssiin löytyy ohjeita:
Importing user certificate into Windows 10 | Cookbook
Configuring Windows 10 wireless profile to use certificate | Cookbook

EDIT:
Unohtui tuo FreeRadius konffi. En sinne hirveästi muuttanut

EAP:
Disable Weak EAP Types: tämä taisi olla oletuksena käytössä?
Default EAP Type: TLS
Check Cert Issuer: käytössä
Check Client Certificate CA: käytössä

Kaikki muut on oletuksella.

 

[escalibur]

pfBlockerNG:hen vois melkein lisätä pastebinkinkin:


(Kyle on yksi Hunterss Labin perustajista. Aiemmin työskenteli tietoturvahommissa useita vuosia USA:n armeijalle.)

 

[Sampo_91]

Minkälaiset asetukset pitää laittaa pfSensessä WAN:iin että voisi kokeilla toimiiko Telian FTTH liittymällä ?

Kysyin asiaa tuolta Telian foorumin puolelta. Siellä oli muutamat asetukset myös, joita kokeilin, mutta nekään eivät toimineet. Liekö tässä nyt sitten pfSenselläkin jotain tekemistä asian kanssa... Ei jaksaisi testata, värkätä ja säätää tuon Edgerouterin kanssa enää, kun siinä oli omat ongelmansa.

 

[dataaja95]

Onkos porukalla suositella hyvää neliporttista verkkokorttia pfsensen kanssa käytettäväksi. Itse miettinyt tätä korttia. Ilmeisesti toimii pfsensessä koska intel? Onko muuten pfsensessä mahdollista luoda virtuaalisia verkkolliitäntöjä. ELi siis yhdelle verkkoliitännälle luodaan useampi virtuaalinen aliverkkoliitäntä joilla eri mac-osoite. Tämä onnistui oikein hyvin debianilla ja taitaa onnistua myös freebsdllä joten miksi ei pfsensellä?
Intel® Ethernet Server Adapter I340-T4 Product Specifications

 

[dataaja95]

Asensin muuten tuossa pfsensen uudelleen käyttäen zfs mirroria, ja toimii oikein jees. Konffin palautus ja homma jatkuu taas. Eihän tuosta mitään varsinaista hyötyä ole koska konffin palautus niin nopea toimenpide vaikka levy hajoaisikin. No saadaampa pidettyä uptime kunnossa levyrikkojen yli.

 

[Kosm]

Onkos porukalla suositella hyvää neliporttista verkkokorttia pfsensen kanssa käytettäväksi. Itse miettinyt tätä korttia. Ilmeisesti toimii pfsensessä koska intel? Onko muuten pfsensessä mahdollista luoda virtuaalisia verkkolliitäntöjä. ELi siis yhdelle verkkoliitännälle luodaan useampi virtuaalinen aliverkkoliitäntä joilla eri mac-osoite. Tämä onnistui oikein hyvin debianilla ja taitaa onnistua myös freebsdllä joten miksi ei pfsensellä?
Intel® Ethernet Server Adapter I340-T4 Product Specifications

En tiedä onko relevanttia mutta itsellä on I340-T2 ja toimii täydellisesti.

 

[Asiantuntija]

Mulla on pfsensen kanssa käytössä: https://www.amazon.de/NC365T-4-port...ERVER+ADAPTER&qid=1564749979&s=gateway&sr=8-5 ja tuo on muistaakseni HP:n brändäämä Intelin kortti.

 

[Zetbo]

Itsellä käytössä fitlet2 ja OPNSense. 4GB ja 64GB SSD. OPNsense 19.7 asennus meni ilman mitään kikkailuja sisään. 19.1 piti vähän säätää asennuksen kanssa. Muuten toiminu kun junan vessa ja n. 900Megaa jaksaa imeä DNA gigasella kaapelilla. Hintaa tuli 372e Tietoliikenne- ja turvallisuustuotteet | Wintel Finland Oy

 

[user9999]

En tiedä oliko jo täällä, mutta uusi versio Shuttlelta pfSense käyttöön.
Shuttle Global - DS10U SERIES

Intel Whiskey Lake-U Celeron 4205U
Intel® Celeron® Processor 4205U (2M Cache, 1.80 GHz) Product Specifications

 

[Obi-Lan]

Vasta matkalla amerikkaan. Logistiikka tosiaan hoitunut tähän asti kaikki Fedexillä, en tiedä miten toimii jos ollaan sen toiminta-alueen ulkopuolella.

Tämä meni n. viikossa Texasiin, emaililla tuli kuitti että joo saadaan vika toistettua ja n. viikko meni niin tuli uusi, tällä kertaa Fedex ei edes säätänyt tullauksiaan vaan toi sen suoraan ovelle. Uusi on toiminut kertaakaan kaatumatta.

 

[MOS6510]

En tiedä oliko jo täällä, mutta uusi versio Shuttlelta pfSense käyttöön.
Shuttle Global - DS10U SERIES

Intel Whiskey Lake-U Celeron 4205U
Intel® Celeron® Processor 4205U (2M Cache, 1.80 GHz) Product Specifications

Celeron 4205U on hieman hitaampi kuin Fitlet2:n J3455. Lisäksi Fitlet2 on selvästi pienempi ja lienee halvempi kuin mainittu Shuttle.

Fitlet2 kuulostaa edelleen paremmalta vaihtoehdolta pienpalomuurikäyttöön.

 

[dataaja95]

Rupesimpa tässä konffaamaan pfsenseen sertifikaattipohjaista autentikointia freeradiukseen. CA, server sekä käyttäjäsertit on luotu mutta koneet pystyvät silti yhdistämään langattomaan verkkoon ilman sertejä. Missäköhän voisi olla vika. Freeradiuksen eap välilehdeltä on muutettu seuraavat asetukset.
Disable Weak EAP Types, käytössää
Default EAP Type: TLS
Check Cert Issuer: käytössä
Check Client Certificate CA: käytössä
Käyttäjäsertit ovat samalla nimellää tehty mikä on laitteiden käyttäjänimi freeradiuksessa.

 

[Barbarossa]

Rupesimpa tässä konffaamaan pfsenseen sertifikaattipohjaista autentikointia freeradiukseen. CA, server sekä käyttäjäsertit on luotu mutta koneet pystyvät silti yhdistämään langattomaan verkkoon ilman sertejä. Missäköhän voisi olla vika. Freeradiuksen eap välilehdeltä on muutettu seuraavat asetukset.
Disable Weak EAP Types, käytössää
Default EAP Type: TLS
Check Cert Issuer: käytössä
Check Client Certificate CA: käytössä
Käyttäjäsertit ovat samalla nimellää tehty mikä on laitteiden käyttäjänimi freeradiuksessa.

Ehkä tyhmä kysymys, mutta onhan AP konffattu käyttämään tuota RADIUSta autentikointiin eikä esim WPA2-Personal / PSK:ta?

 

[dataaja95]

Ehkä tyhmä kysymys, mutta onhan AP konffattu käyttämään tuota RADIUSta autentikointiin eikä esim WPA2-Personal / PSK:ta?

On konffattu käyttämään radiusta autentikointiin. Ilmeisesti homman pitäisi toimia niin että jos käyttäjälle ei ole asennettu koneellen omaa sertiä hän ei pystyisi liittymään verkkoon. Nyt hommahan ei toimi niin vaan käyttäjä voi liittyä verkkoon kaikesta huolimatta freeradiuksessa luodulla käyttäjätunnuksella, ja salasanalla. Pitääkö freeradiukselle kertoa nuo usersertifikaatit erikseen vai riittääkö että ne luo pfSensen certificate managerilla?

 

[VoNpo]

Kuinka alla olevan videon palomuurin asetuksia pitäisi muuttaa, että homma toimisi käänteisesti? Tuossa ohjeessa kaikki käyttää oletuksena WANia ja erikseen määritellään VPN:n kautta menevä liikenne. Tarkoitus olisi saada oletuksena kaikki verkkoon liittyvät laitteet VPN:n taakse ja erikseen antaa lupa tietyille laitteille käyttää WANia.
Voiko LAN puolen "default allow LAN to any rule" muokata vain niin, että gateway on VPN? Tarvitseeko silloin erillistä killswitchiä tuonne floating puolelle?
Voi olla, että kyselen tyhmiä. Tietotaitoa ei kovin kummoisesti ole verkkopuolelta.



Tarkoitus olisi saada samaan purkkiin vielä asennettua ainakin pfblockerNG ja openvpn niin, että pääsen kotiverkkoon ulkopuolelta. Laite on kotikäytössä.