Tee-se-itse: Rautapalomuurit ja UTM:t (Mitä käytätte ja miksi juuri se vaihtoehto?)

Viestiketju alueella 'Internet, tietoliikenne ja tietoturva' , aloittaja escalibur, 27.01.2017.

  1. Loisteho

    Loisteho

    Viestejä:
    46
    Rekisteröitynyt:
    07.07.2017
    Samaa olen lukenut, ettei USB-kortit ole mitenkään järin suositeltuja pfSensen kanssa. Toisaalta kun ilmeisesti USB on ainoa tapa saada kortti suoraan virtuaalikoneelle ja jos se ei toimi, on sille annettava virtuaalinen NIC, jolloin riittää kunhan laite toimii linuxissa. Tuoreimmat suunnitelmat on tehdä hostin ja palomuurin välille muusta verkosta eristetty virtuaalinen NIC ja hostin puolelta reitittää liikenne sen ja tuon USB-kortin välillä.

    Sen verran alkaa mennä yli oman kokemusalueen, että alkuun tulee pidettyä VDSL puoli ihan vaan reitittävänä siltaavan sijaan, onpahan edes jonkin sortin palomuuri netin ja palvelimen välissä vaikka asetukset menisikin vinoon.
     
  2. mikajh

    mikajh

    Viestejä:
    75
    Rekisteröitynyt:
    27.12.2018
    Itsellä oli Ubuntu-hostissa yhtenä kesänä pfSense virtuaalikoneessa (VirtualBox) palomuurina, 3kpl Intel nic:iä sillattuna pfSenselle. Tätä kirjoitan virtuaali-Ubuntulla, jolle on sillattu 1 kpl nic sen takia, että en ole kaivanut vielä muuta toimivaa tapaa saada VirtualBox Linux-guestiin IPv6:tta.

    Natiiveissa pfSensessä en ole USB-ethernetejä käyttänyt, mutta USB-ethernetiltä näyttävää LTE-modeemia kyllä, samoin Huawein USB-mokkulaa. Pientä säätöä ovat vaatineet, mutta ajaneet kuitenkin asiansa.
     
  3. Loisteho

    Loisteho

    Viestejä:
    46
    Rekisteröitynyt:
    07.07.2017
    Ubuntu server + VirtualBox yhdistelmä täälläkin. Oletko miten sillannut NIC:t pfSenselle? Itse en ole saanut "suoraa siltaa" toimimaan, jos virtuaalinen NIC on sillattu fyysisen kortin kanssa, se alkaa toimimaan vasta kun hostikin saa oman IP:n sille kortille. Lähiverkossa ei teetä ongelmaa, toisin kuin sillatun netin kanssa.
     
  4. Asiantuntija

    Asiantuntija

    Viestejä:
    1 301
    Rekisteröitynyt:
    19.10.2016
    Miksi käytätte ubuntu serverillä virtualboxia? Eikö qemu tai kvm olisi parempi vaihtoehto?
     
    mikajh tykkää tästä.
  5. iccb

    iccb

    Viestejä:
    194
    Rekisteröitynyt:
    17.10.2016
    Itse käytin joskus ipfireä mac minissä virtualisoituna virtualboxilla tai vmwarella, en muista kummalla. Wan korttina oli käytössä applen usb ethernet palikka, tämä oli vaan 100megan kortti, mutta riitti silloisessa ADSL-yhteydessä hyvin. Mitään säätöä se ei vaatinut verrattuna sisäisiin verkkokortteihin ja toimi yhtä hyvin kuin erillisen koneen intel kortitkin.
    Toki olen sitä mieltä, että palomuurikoneessa kuuluu olla intelin kortit, oli tilanne mikä tahansa. :)
     
  6. mikajh

    mikajh

    Viestejä:
    75
    Rekisteröitynyt:
    27.12.2018
    Onko sinulla VirtualBox Managerissa File-Preferences-Extensions pack käytössä? Minulla on ja nic on oikeasti sillattu, ei näy hostilla ollenkaan. Guest additions ei varmaankaan ole tarpeellinen, sillä eihän sitä ole kuin Windows- ja Linux -guesteille, ei pfSense/FreeBSD:lle.

    Täytyypä myös kokeilla noita KVM:ää ja QEMUa joskus, vaikka VirtualBoxin sisälmyksissä osia voi jo ollakin. Android Studion AVD QEMUa käyttääkin, ei tosin toimi samaan aikaan VirtualBoxin kanssa.
    [ Vain rekisteröityneet käyttäjät näkevät Spoiler-tagin sisällön. Rekisteröidy foorumille... ]
     
    Viimeksi muokattu: 06.02.2019
  7. Loisteho

    Loisteho

    Viestejä:
    46
    Rekisteröitynyt:
    07.07.2017
    Siltausasetuksia tutkiessa kokeilin vaihtaa virtualisoidun NIC:n paravirtualisoituun ja sillä lähti homma pelaamaan. Purkistakin sain asetukset likimain kohdilleen, joten tässähän on toivoa, että viikonlopuksi olisi palomuuri pystyssä. :eek:
     
    mikajh tykkää tästä.
  8. mikajh

    mikajh

    Viestejä:
    75
    Rekisteröitynyt:
    27.12.2018
    Itsellänikin oli juuri nuo paravirtualisoidut nic:t pfSense-virtuaalikoneessa. Kone on edelleen olemassa, muttei käytössä kun on se natiivi
     
  9. Epäluoma

    Epäluoma

    Viestejä:
    20
    Rekisteröitynyt:
    12.11.2016
    Itselläni on realtekin verkkokortti ja hyvin toimii pfsense. En olisi sitä muuten laittanut, mutta kun sattui olemaan valmiiksi kaapissa pölyttymässä.
     
  10. Rensu

    Rensu

    Viestejä:
    219
    Rekisteröitynyt:
    17.10.2016
    Vihdosta viimein saapui Kettop Mi3855L6 perille, kuukauden päivät sai odotella toimitusta. Tulee korvaamaan pfSensen alustana pari vuotta palvelleen Qotom Q310G4, missä ei ollut AES-NI tukea. Lapsenomaisella innolla siirtämään SSD ja muistit uuteen rautaan kunnes...
    download_20190207_211223.jpg
    Eli uudessa purkissa oli tietysti DDR4 muistipaikka. No ei muuta ku vanha purkki takasin pakettiin ja muistikampa tilaukseen.

    Kaveri olisi kiinnostunut vanhasta purkista, mutta mikä olisi hyvä palomuuri softa? Itse olen täysin myyty pfSenseen, mutta kaverin tarpeet olisi huomattavasti vähäisemmät. Käytännössä tarvitsee helppokäyttöisen palomuurin, missä onnistuu näppärästi porttiohjaukset ja muut perustoiminnot. Aluksi ajattelin kokeilla OPNsenseä, mutta mitä muita vaihtoehtoja kannattaisi kokeilla?
     
    Paris, user9999 ja FireExit tykkäävät tästä.
  11. FireExit

    FireExit

    Viestejä:
    749
    Rekisteröitynyt:
    08.11.2016
    Täällä on pari käyttäjää fanittanu Sophos:ta. Joka vois olla kokeilemisen arvoinen.

    [edit] linkki --> Sophos Home | Cybersecurity Made Simple

    [edit] Toinen linkki erilaisista reititin ja/tai palomuuri käyttiksistä: List of router and firewall distributions - Wikipedia
     
    Rensu tykkää tästä.
  12. juhaa

    juhaa

    Viestejä:
    282
    Rekisteröitynyt:
    17.10.2016
    FireExit ja Rensu tykkäävät tästä.
  13. mikajh

    mikajh

    Viestejä:
    75
    Rekisteröitynyt:
    27.12.2018
    VirtualBoxin vm:ien disk imaget lähti QEMU/KVM:ssa toimimaan heittämällä. Nähtäväksi jää, mitä muita etuja seuraa kuin esim. mahdollisuus ajaa Android-virtuaalikoneita VT-x:llä muiden vm:ien rinnalla, tuo nyt on heti ensimmäinen parannus.
     
    Asiantuntija tykkää tästä.
  14. Rensu

    Rensu

    Viestejä:
    219
    Rekisteröitynyt:
    17.10.2016
    Kettop Mi3855L6 käyttöönotto
    Paikallisesta ATK-liikkeestä löytyi 4 Gt muistikampa sopuhintaan. Kampa paikalle, SSD vanhasta palomuurista uuteen ja kone tulille. Ensimmäiseksi huomasin, ettei BIOSista pysty valitsemaan mitä laite tekee sähkökatkon jälkeen. Pienen tutkinnan jälkeen selvisi, että emolevyllä on jumpperi millä koneen saa käynnistymään automaattisesti kun sähköä tulee. No jumpperi oli tietysti emolevyn toisella puolen, joten ei muuta kuin laitos palasiksi. Yllätys oli että emolevyltä löytyi paljon mielenkiintoisia liityntöjä, jos tälläista konetta haluaa käyttää johonkin muuhun tarkoitukseen(Lisää USB-liittimiä, GPIO, toinen sarjaportti). Mutta tärkein eli ON_PWR1 jumpperin siirto 1-2 asennosta, 2-3 asentoon ratkaisi automaattisen käynnistyksen ongelman. Laatikko kasaan ja samantien starttasi kun tuikkasin virtajohdon kiinni.

    Tässä vaiheessa kone oli kiinni televisiossa ja helposti käpisteltävissä joten ajattelin tarkistaa miten PFsense käynnistyy ja mihin järjestykseen verkkoliitynnät asettuu. Yllätys oli että mitään ongelmaa ei ollut käynnistyksessä ja verkkoliitynnät 1-6 oli PFsensessä samassa järjestyksessä igb0-5. Purkki sammuksiin, asennus laitekaappiin ja piuhat kiinni. Kaikki toimi suoraan ilman ongelmia.

    Suurin ongelma mitä vanhan purkin kanssa oli, että 4 verkkoliityntää ei mahdollistanut kahden IP:n hakemista ADSL modeemilta. Käytössä oli LAN, WLAN, 4G ja ADSL portit. PFsensen feature request listalla on ollut kahdeksan vuoden ajan (Feature #1337: VLANs with different MAC address than parent interface - pfSense - pfSense bugtracker) ominaisuus pyyntö, että VLANeja käytettäessä voidaan määrittää eri MAC osoitteet samassa fyysisessä portissa oleviin VLANeihin. No nyt se 2.4.5 on tällähetkellä mihin se pitäisi tulla, mutta koska vielä sitä ei ole ratkaisi kaksi uutta fyysistä verkkoliityntää ongelman. Eli kaksi piuhaa ADSL modeemiin kiinni ja näin sain operaattorilta kaksi julkista IP-osoitetta. Toisen osoitteen kautta tulee julkiset yhteydet WEB-palvelimelle ja toisen kautta kulkee kotiverkon normaali liikenne.

    BONUS: Koska kiinalaiset lähetti syystä tai toisesta purkin missä oli WLAN-kortti asennettuna päätin hyödyntää senkin. Lisäsin sen gateway groupiin kolmanneksi yhteydeksi ja se yhdistyy automaattisesti kännykän hotspottiin. Jos ADSL ja 4G on jostain syystä poissa pelistä, voi reititin käyttää puhelimen hotspottia varayhteytenä.

    Mitä kaikkea laite tekee:
    • Toimii reitittimenä 4G, ADSL, LAN ja WLAN verkkojen välillä. Load balancing ei ole käytössä vaan 4G on oletusyhteytenä, ADSL varalla. Osa palveluista reititetty aina ADSL:n läpi.
    • Palomuurina
    • DHCP-palvelimena LAN ja WLAN verkkoihin.
    • NTP-palvelimena sisäverkkoihin, käyttäen GPS-vastaanottimen aikaa.
    • hoitaa DDNS IP:n päivitykset
    • Muodostaa IPv6 tunnelin (kuusitunneli.fi)
    • Ilmoittaa verkkoon liittyneiden uusien laitteiden MAC-osoitteet(ARPwatch)
    • Laitekaapin UPS:n valvonta (Apcupsd)
    • Välillä hoitaa VPN yhteyden ulkomaille jos tekee mieli kiertää geoblokkeja.
    Mitä pitäisi vielä ottaa käyttöön:
    • IDS/IPS toiminto, Surricata tai Snort?
    • VPN-palvelin mahdollistamaan yhteydet kotiverkkoon

    2019-02-08 17.01.35.jpg
     
    Viimeksi muokattu: 09.02.2019
    mikajh tykkää tästä.
  15. Rensu

    Rensu

    Viestejä:
    219
    Rekisteröitynyt:
    17.10.2016
    Kiitoksia vinkeistä, Sophos Home näyttää selkeältä ja demon räpellyksen jälkeen vakuutuin sen verran että pistetään kokeiluun.
     
  16. Khauron

    Khauron

    Viestejä:
    110
    Rekisteröitynyt:
    23.10.2016
    Päivitystä tilanteeseen:
    Pari viikkoa on vehje ollut tulilla, ja nyt palttiarallaa viikon "production"-konffi sisällä. Tuossa konffissa tuorein pfSense, DHCP, VLANit, VPN site-to-site, OpenVPN, Squid Reverse Proxy, sekä pfBlockerNG.
    Hyvin on vehje toiminut, joksikin pfBlockerin kanssa olen huomannut hidastelua (pfBlockerNG-devel) kun käytössä on paljon listoja sekä IP4-listoja. Täytynee varmaan karsia, ja ehkä testata tuota "tuotanto"pakettia. Hidastelun huomaa esim. siinä, kun raapaisee selaimesta "reload all tabs" (~30 tabia), niin upstream-käsky kestää kauemmin kuin ilman pfBlockeria. Onko jollain muuten heittää paria-kolmea yleispätevää listaa, jossa olisi Youtube-mainokset estetty? TV:nä on AndroidTV, niin sen oma Youtube-app näyttää ärsyttävästi mainoksia... EasyList ja EasyList finland addition ei tuo näemmä onnea.
    BIOSsin päivitys oli melko iisi-piisi, suurin aika meni USB2-tikun sekä USB<->Serial kaapelin löytämiseen.
    Hyvä purkki, olisi pitänyt ottaa kolme- tai neljäporttinen (tässä siis kaksi), niin olisi saanut WIFI-yhteydelle ketterän landing-pagen ja eristettyä sen todella helposti sisäverkosta. Sekä säädettyä VLANien kautta vieläkin tehokkaammin, joksikin hallittava kytkin on pakko-ostos mikäli noiden kanssa haluaa säätää.
    Kysymällä lisätietoa, jos kiinnostaa.
     
  17. TekLager.se

    TekLager.se

    Viestejä:
    3
    Rekisteröitynyt:
    01.04.2018
    @Khauron I would be supper happy to publish your tests in our Knowledge Base . Many customers ask about pfBlockerNG, but I have no experience so I can't answer. Article about pfBlockerNG and APU performance would be highly useful. Let me know if you want to do it :)

    Also, you may want to check out the latest article about fine-tuning pfSense config on APU2 to get 1Gbit thoughput APU2 1Gbit throughput on pfSense (configuration instructions)

    Best,
    Pawel @ TekLager
     
    Khauron tykkää tästä.
  18. Khauron

    Khauron

    Viestejä:
    110
    Rekisteröitynyt:
    23.10.2016
    Thanks for the link on the throughput; I did a test on my own, which I published on my own webpages at pfSense 2.4.4 on Teklager APU2C0 – https://www.testipenkki.com weblog (clean site, no malware, no tracking, no ads, no bull-shit).

    Edit: I could do pfBlockerNG test on this box, but fair and square I don't know how to test it performance-wise. Contact me via Direct Message / Private Message, so maybe we can figure this out.
     
  19. user9999

    user9999 Platinum-jäsen

    Viestejä:
    947
    Rekisteröitynyt:
    17.10.2016
  20. escalibur

    escalibur ATK-harjoittelija Ylläpidon jäsen

    Viestejä:
    2 674
    Rekisteröitynyt:
    17.10.2016
    Otin sen käyttöön heti kun se ilmestyi ilmaisversiossa.
     
  21. escalibur

    escalibur ATK-harjoittelija Ylläpidon jäsen

    Viestejä:
    2 674
    Rekisteröitynyt:
    17.10.2016
  22. steam

    steam

    Viestejä:
    8
    Rekisteröitynyt:
    09.02.2017
  23. andyks

    andyks

    Viestejä:
    31
    Rekisteröitynyt:
    20.09.2018
    Olen tässä nyt yrittänyt ketjua lueskella ja asiaa googletella, mutta en ole oikein päässyt konsensukseen mikä olisi helpoin (ja halvin) tapa toteuttaa Dual WAN.

    Olisi siis tarkoitus yhdistää 4G ja ADSL yhteys. 4G nopeuden vuoksi ja ADSL jää rinnalle etätöitä varten tasaisemman pingin ja varmempien yhteyksien vuoksi.

    Käytännössä siis riittäisi Dual WAN setup jossa kahden työläppärin kaikki liikenne reititetään ADSL-kautta ja kaikki muu liikenne 4G kautta. Lisäksi toki olisi mukavaa jos failsafe toimisi molempiin suuntiin...

    Googlailemalla sain selville että mm. Asuswrt tukee Dual WANia. Flashasin Asuswrt Merlinin tuohon Linksysin routeriin ja kaikki toimii muuten hyvin, mutta jotta tuossa firmiksessä saa ip-pohjaisesti pakotettua liikenteen source/destination IP:n mukaan, on pakko ottaa käyttöön Load Balancing Dual WAN jossa max. jakosuhteeksi saa 9:1. En tiedä johtuuko tuosta vai mistä, mutta kun Dual WAN on päällä ajoittain (usein) uusien yhteyksien muodostaminen ei onnistu kerralla. Esim. selaimessa pakko painaa refreshiä muutaman kerran ennenkuin alkaa sivu latautua... Tuo Asuksen firmis ei siis liene ratkaisu tilanteeseeni.

    Mutta mikä olisi? Miten helposti/hyvin/toimivasti tämä onnistuu esim. pfSensellä? Mikä tälle olisi halvin mahdollinen rauta? Nurkissa on jo 24/7 yksi sähkösyöppö AMD A8-3870K pohjainen PC, jossa pyörii Ubuntu serverin päällä dockerissa Mqtt,Influxdb,grafana,homeassistant jne... Tuo serveri olisi looginen paikka Dual WAN toteutukselle (vaatii lisää NICejä), mutta ajatus pfSensen ajamisesta KVM:n päällä Ubuntussa hieman kauhistuttaa. Olen jo nyt välillä aika solmussa containerien ip-osoitteiden kanssa enkä löytänyt selkeää ohjetta pfSensen asennukseen ubuntun päälle ilman "virtualmachine manageria"... Selkeämpää olisi toteuttaa tämä omalla raudallaan (esim. Netgate), mutta nuo 200-500e hinnat raudasta ja lisää sähkönsyöppöjä ei ajatuksena houkuta. Olisiko siis joku muukin vaihtoehto...?
     
  24. Khauron

    Khauron

    Viestejä:
    110
    Rekisteröitynyt:
    23.10.2016
    Puolueettomana vieläkin: Best pfsense router hardware with AES-NI (same day shipping from Stockholm) ja pfSensellä tai OPNsensellä. Vaihtoehtoina tietysti enemmän portteja ja / tai / sekä enemmän portteja. Nopea toimitus, ei sählingiä tullin kanssa, raudat open-sourcea, toimii.
     
  25. dome

    dome

    Viestejä:
    31
    Rekisteröitynyt:
    17.10.2016
    Ei nyt ihan tämän ketjun genreen varsinaisesti kuulu, mutta jos valmis toteutus ja kohtuullinen hinta painaa enemmän kupissa niin kannattaa myös ubiquitin edgerouterit tsekata. Esim ERL on aika pystyvä laite hyvällä hinnalla.

    EdgeRouter - WAN Load-Balancing
     
  26. MOS6510

    MOS6510

    Viestejä:
    50
    Rekisteröitynyt:
    23.01.2018
    Tuolla hinnalla olisi jo saanut Fitlet2:n, joka on aivan eri teholuokan laite ja rakenteeltaan tukeva metallinen - vaikka teollisuuskäyttöönkin sopiva.
     
    escalibur tykkää tästä.
  27. Khauron

    Khauron

    Viestejä:
    110
    Rekisteröitynyt:
    23.10.2016
    Ja TekLagerin ison purkin, ja Shuttlen iso purkin... Fitlet2 on kova purkki, mutta toimitusaika on aivan järjetön. Ja jos tarvitsee miettiä, että joskus se purkki hajoaa ja toinen vastaava tilalle... Fitlet2 ei ole vaihtoehto.

    Hyvä veto ostaa tuo, ja nyt kuumottaa ostaa tuolta tuo 1100... Kolme porttia, mistä yhden saisi pelkästään WIFIlle...
     
  28. MOS6510

    MOS6510

    Viestejä:
    50
    Rekisteröitynyt:
    23.01.2018
    Hollannista tilattuna näkyy toimitusaika olevan n. 2 viikkoa:
    fitlet2

    Hinnaksi tulee 370 € + VAT + toimitus, kun mukana on:
    - Fitlet2 J3455
    - 8 GB RAM
    - 64 GB M.2 SATA SSD
    - VESA-Bracket
    - 2 x Ethernet FACET-card

    Jos oikein budjettilinjalla mennään, niin 211 € + VAT + toimitus, kun tilauslista on:
    - Fitlet2 J3455
    - 4 GB RAM
    - 32 GB M.2 SSD tilattuna erikseen Ebaystä hintaan 30 € toimituskuluineen (Transcend MTS 400 32GB)

    Ja jos tuo laite hajoaa, niin ainahan sen palomuurin voi asentaa tilapäisesti jollekin muulle laitteelle. Mutta moiseen varautuminen on ehkä hätävarjelun liioittelua huomioiden, että tuo Fitlet2 on 5 vuoden takuulla toimitettava teollisuus-PC.
     
    Viimeksi muokattu: 19.02.2019 klo 23:44
  29. andyks

    andyks

    Viestejä:
    31
    Rekisteröitynyt:
    20.09.2018
    Kiitoksia vastauksista. Tutustuin hieman näihin ja heräsi lisää tyhmiä kysymyksiä :)

    Ubiquitin Edgerouterit vaikuttavat helpolta ratkaisulta. En äkkiseltään kyllä löytänyt miten ER:lle konffataan Dual WAN failoverina niin että tietyt IP:t ovat aina reititetty "backupin" puolelle. Ehkä se onnistuu, mutta muuten kyllä tuntuu että tuosta purkista loppuvat ominaisuudet heti kesken jos myöhemmin haluaa laajentaa käyttötarkoitusta. (esim. VPN throughput kai käytännössä jotain max. 10-20M luokkaa...). No mutta laitetaan tämä harkintaan helppona ja halpana vaihtoehtona.

    TekLagerin APU2C2 vaikuttaa mielenkiintoiselta, mutta miten se vs. Netgaten SG-1100. Hintaluokka näissä tasan sama (Layer8.se:ltä tosin järjettömät 31.52e postikulut...).
    Netgatelle tukea lienee paremmin saatavilla kun on pfSensen "oma" merkki, mutta miten näiden kahden käytännön suorituskyky on verrattavissa?
    APUssa ainakin tuplaten RAMia, yhtäaikaisia yhteyksiä saa 100k vs 200k? Onko tällä sitten kotikäytössä mitään merkitystä?
    Suorittimet ovat niin eri puusta veistettyjä että ei ole kyllä mitään mutua mikä niiden nopeusero on...?
     
  30. MOS6510

    MOS6510

    Viestejä:
    50
    Rekisteröitynyt:
    23.01.2018
    Noiden embedded ARM-prosessorien vertailu PC-prosessoreihin on hieman hankalaa, kun niistä ei löydy samoilla benchmark-ohjelmilla tehtyjä mittaustuloksia, mutta lienee jotain tällaista:
    - Netgate SG 1100: 0.3x
    - APU2C2: 1 (baseline)
    - Fitlet2 J3455 1.5x
     
    Viimeksi muokattu: 20.02.2019 klo 09:22
  31. dome

    dome

    Viestejä:
    31
    Rekisteröitynyt:
    17.10.2016
    Voit luoda erilaisia lb grouppeja esim lan source addressin pohjalta minkä perusteella ne reitittyy ulos eri interfacesta ja failoveraa toiseen.

    Juu toki tietyistä asioista joutuu tinkimään. VPN throughput on usein asia mistä joutuu jo maksamaan, tai tekemään omalla raudalla. Ei pikkupurkeissa riitä vääntö kun pyöritellään salausta.

    Hintalaatusuhde kuitenkin noissa kohdillaan ja tarvittaessa saa tehtyä melko monimutkaisiakin juttuja vaikka cli:n puolelle joutuukin äkkiä hyppäämään.

    Pohjimmiltaan siis kyse siitä mitä haluaa/tarvitsee, minkä verran on valmis laittamaan rahaa ja miten paljon tahtoo säätää itse.
     
  32. mikajh

    mikajh

    Viestejä:
    75
    Rekisteröitynyt:
    27.12.2018
    Tämäkin pitäisi onnistua, ks. esim. Installing pfSense on KVM (CLI/Headless) : sysadmin
    Itsellä ei ole vielä kokemusta, mutta lähitulevaisuudessa kyllä. Pitäähän pfSense-boksillakin olla rinnalla toinen (tai kolmas router) ihan vikasietomielessä. Samalla tuo seuraava olisi DMZ Docker-alustana, joten natiivi pfSense ei tule kysymykseen, ja desktop/GUI-kilkkeitä ei kannata ottaa mukaan.
     
  33. FireExit

    FireExit

    Viestejä:
    749
    Rekisteröitynyt:
    08.11.2016
    Mikä olis paras tehdä backuppi pfSensestä, joka on VM:nä ESXi:n ilmaisversiossa?
    1. pfSensen oma "Backup and Restore" (palauttaako toi myös asennetut paketit?)
    2. Snapshot VM:stä
    3. Kopioida VM:n tiedostot talteen hostista
    4. Vai jokin muu?
     
  34. Khauron

    Khauron

    Viestejä:
    110
    Rekisteröitynyt:
    23.10.2016
    1. Eli sen XML:n ottaminen. Ja kyllä, paketit voi palauttaa restoressa, tai olla palauttamatta. Ykkösvaihtoehto. Helppo, nopea, luotettava.
    2. Snapshot ESXi:ssä ei ole backup!
    3. Mahdollisuus, mutta todella työläs palautettava. En edes harkitsisi.
    4. Esimerkiksi VEEAM, tai sitten ilmaisista 'GhettoVCB.sh' (lamw/ghettoVCB)
     
    Viimeksi muokattu: 21.02.2019 klo 10:30
    mikajh ja FireExit tykkäävät tästä.
  35. FireExit

    FireExit

    Viestejä:
    749
    Rekisteröitynyt:
    08.11.2016
    Taidan pitäytyä tuossa pfSensen omassa Backup and Restoressa. Tuota GhettoVCBtäkin vois tosin koeponnistaa :hmm:.
     
  36. FireExit

    FireExit

    Viestejä:
    749
    Rekisteröitynyt:
    08.11.2016
    @Khauron Missä tilanteissa noita Snapshottei käytetään? Ite oon mieltäny ne jotenki samanlaiseksi ku Windowssin Palautuspisteet, eli jos tulee räpeltäessä jokin pahempi errori, niin sieltä saa palautettua tilanteen ennen räpellyksen alkua.
     
  37. a85

    a85

    Viestejä:
    577
    Rekisteröitynyt:
    24.10.2016
    Meillä on laneilla PfSense setuppi 2x4G + ADSL yhteydellä. 4G yhteyksien kesken on loadbalancing ja failoverit, ADSL on erillään näistä. 4G yhteyksien kautta menee kaikki ns. bulkki liikenne ja ADSL on varattu peleille. Käytännössä käsityönä on säädetty porttiohjaukset ADSL:n puolelle kaikista peleistä. Bufferbloat on myös vieläkin hieman ongelmana, isommilla käyttäjämäärillä, mutta siihen lienee osasyynä 4G yhteyksien suurestikkin vaihtelevat nopeudet... Eli vaatii jonkin verran säätämistä jotta saa toimimaan.

    Rautana tälle on i5-2400, 16gb ram, neljällä verkkokortilla. PfSenseä ajetaan Win10:n Hyper-V:ssä. Samalla palvelimella pyöritetään myös joitain peliservereitä.
     
  38. Khauron

    Khauron

    Viestejä:
    110
    Rekisteröitynyt:
    23.10.2016
    No juuri tuollaisessa tilanteessa. Sulla on vaikka palvelin, joka on tilanteessa A1. Nyt julkaistaan patch, jonka ajat ja se vetää palvelimen aivan solmuun. Snapshotista tilanne takaisin ja kaikki hyvin.
    Mutta tilanne, jossa sulla on esim. 3 kuukautta vanha shapshot, ja olet pelannut snapshottien kanssa sekä hyppinyt niissä edes-takaisin, niin et pysty palauttamaan tuota 3 kuukautta vanhaa snapshottia. Snapshotit ovat parent-child -tyyppisiä, jossa kumpaankin tiedostoon (alkuperäiseen levyyn sekä snapshot -levyyn) kirjoitetaan. Ne siis eivät ole backup, vaan tietyn ajan tilanne, johon pystyt hyppäämään.
     
    FireExit tykkää tästä.
  39. Lagittaja

    Lagittaja

    Viestejä:
    1 721
    Rekisteröitynyt:
    05.11.2016
    Ei sille bufferbloatille itse voi oikein mitään mobiili yhteyksien kanssa. fq_codel tai vastaava siihen tarvittaisiin ja tämä sitten vaatii sen yläkaton nopeudelle eikä sen saisi vaihdella (alaspäin). Kiinteällä yhteydellä tuo ei ole ongelma kun maksimit eivät vaihtele samallalailla kuin mobiilissa eli mobiilissa pitää mennä surkeimman testinopeuden mukaan mutta jos se nopeus tippuukin tuosta vielä alemmas niin sitten algoritmi ei enää toimi oikein.

    Yksi vaihtoehto tuohon on koodata joku skripti ajamaan nopeustestiä tasaisin väliajoin joka sitten päivittäisi sitä fq_codel limiter setuppia. Ongelmana tuossa toki on se että jos on jotain muuta raskaampaa liikennettä samaan aikaan niin tulokset voi heitellä miten sattuu..
     
  40. a85

    a85

    Viestejä:
    577
    Rekisteröitynyt:
    24.10.2016
    Joo tuo on se hankala homma. Taitaa konffissa olla vieläkin liian korkea maksiminopeus suhteessa, etenkin vuorokauden ajoista riippuvaan nopeuden heittelyyn.

    Vähän tuota on saanut sillä suitsittua kun on laittanut käyttäjä/ip kohtaisen kaistarajoituksen, yhdessä kokonaiskaistarajoituksen kanssa, mutta vaatii vieläkin hienosäätöjä.

    Tässäkin ketjussa oli linkki fq_codel säätöihin ja niiden perusteella hieman säätelinkin, mutta ihan täyttä ymmärrystä ei itselläni vielä ole mihin mikäkin säätö vaikuttaa. DSLReportsin bufferbloat testissä kuitekin jo A ja B arvosanoja noilla säädöillä sain.
     
  41. iccb

    iccb

    Viestejä:
    194
    Rekisteröitynyt:
    17.10.2016
    Conffailen tässä virtuaalikoneessa pfsenseä ja tuli sellainen kysymys, että mulla on sääntö sallia portista x yhteydeyt sisäverkon porttiin x, niin miten rajoitan sallituiksi yhteyksiksi pelkästään suomalaiset ip:t?
    Ipfiressä tämä käy helposti laittamalla source:ksi geoip Finland, mutta ainakaan ihan vastaavaa ei suoraan pfsensestä löytynyt...
     
  42. FireExit

    FireExit

    Viestejä:
    749
    Rekisteröitynyt:
    08.11.2016
    En oo satavarma, mut taitaa vaatia pfBlockerNG-paketin asennettavaksi. Siellä on GeoLocation-säädöt.
     
  43. steam

    steam

    Viestejä:
    8
    Rekisteröitynyt:
    09.02.2017
    Juurikin pfblockerng:llä hoituu ja toimii. Tässä yks tutoriaali (kannattaa Lawrence Systemsin muutkin pfsense- videot tsekata):
     
  44. iccb

    iccb

    Viestejä:
    194
    Rekisteröitynyt:
    17.10.2016
    Kiitoksia. Noita Lawrencen videoita tulee säännöllisesti katottua, mutta en välttämättä ole tuota pätkää juuri kattonut... :)
    Katsotaan josko saataisiin pfsense ipfiren tilalle testiajoon...