Tee-se-itse: Rautapalomuurit (pfSense, Sophos UTM..) (Mitä käytätte ja miksi juuri se vaihtoehto?)

[MOS6510]

Itsellä sama kokoonpano mutta ilmeisesti olet tuunannut enemmän IPS-säännöstöä kun tuollaiseen läpäisyyn pääset? Itsellä jää n.50% yksittäisellä sessiolla vai onko tuo läpäisy testattu rinnakkaisilla sessioilla. IPS käyttää kuitenkin yhteen sessioon vain yhtä corea niin en ole keksinyt miten saisin vähän enemmän vielä irti.

Ajan benchmarkit lähiaikoina uudelleen ja varmistan, että IPS oli varmasti päällä testatessa. IPS on tarpeellisuudeltaan hieman niin ja näin, jos ei ole muurin takana nettiin julkaistuja palvelimia.

Suorituskyvystä vielä sen verran, että Fitlet 2 J3455:n teho vastaa jokseenkin täysin Sophoksen omaa palomuurirautaa XG 135.

Sophoksen oman infon mukaan tämän suorituskyky on seuraava:
Firewall max. (Mbps) 7,000
IPS max. (Mbps) 1,750
IPS Realworld (Mbps) 232
Web Proxy – AV(Mbps) 1,400
Web Proxy – AV Realworld (Mbps) 427
IPS + Web Proxy – AV Realworld (Mbps) 95
IPS + App Ctrl + WebFilter Realworld (Mbps) 133
VPN AES max. (Mbps) 950
VPN AES Realworld (Mbps) 240

https://www.enterpriseav.com/datasheets/sophos_xg_series_sizing_guide_sgna.pdf

Em. perusteella en ilmeisesti ajanut aikoinaan suorituskykytestiäni IPS päällä. Web filter oli testissä kyllä päällä.

IPS:n teho riittää tässäkin hyvin sisäänpäin tulevalle liikenteelle 1000/100 kuituliittymän kanssa. Samoin VPN:n suhteen, tuolla nopeudella pärjää hyvin kotikäytössä etenkin kun ulos lähtevä kaista on kuitenkin selvästi vähemmän.

Pfsensen kanssa vastaava laitemalli teholtaan on SG-2440. Jotain suorityskykydataa tälle mallille löytyy täältä:

Hardware — Hardware Sizing Guidance

 

[escalibur]

Ei Sophos XG Home-versiossa ole mitään muita rajoituksia kuin nuo core- ja muistirajoitukset. Sotket vanhempaan Sophos UTM-versioon, jossa oli mm. rajoituksia sisäverkossa tuetun IP-osoitteiden määrän suhteen.

VPN toimii Sophos XG:ssä upeasti. Itse olen käyttänyt sisään tulevaa tunnelia Iphonesta sekä Windows 10-työasemasta. Molemmissa yhteys toimii natiivilla clientilla ilman mitään lisäasennuksia.

Hyvä että poistivat sen rajoituksen.
Joka tapauksessa minusta pfSense on parempi valinta sen rajoitamattomuuden ja yksityisyyden vuoksi.

 

[MOS6510]

Hyvä että poistivat sen rajoituksen.
Joka tapauksessa minusta pfSense on parempi valinta sen rajoitamattomuuden ja yksityisyyden vuoksi.

No, tämä on jokaisen omakohtainen mielipide. Arvostan mielipidettäsi, mutta itse olen eri mieltä. Kunnioitetaan molemmat toistemme mielipidettä.

Ja tuon Sophos XG:n laiterajoituksella ei ole mitään merkitystä, jos ei aio ajaa palomuuriaan jollakin 8-core i7-prosessorilla. Tämä on kotikäytössä aivan tarpeetonta, kun J3455-prosessorikin riittää gigaiselle kuituliittymälle loistavasti.

 

[escalibur]

No, tämä on jokaisen omakohtainen mielipide. Arvostan mielipidettäsi, mutta itse olen eri mieltä. Kunnioitetaan molemmat toistemme mielipidettä.

Totta kai. Onneksi on vaihtoehtoja.

 

[user9999]

Itsellä on käytössä Cloudflaren DoT (DNS over TLS) ja se konffattu tuohon pfSense purkkiin. Tein säännön ettei mihinkään laitteeseen unohdu mitään esim. Googlen nimipalvelimia.

Spoileri

Näyttäis toimivan.

Spoileri

Pistin myös tuon DoT portin 853 kun AdGuard Home alkaa aina käyttämään tuota (tls://1.1.1.1) päivityksen jälkeen ja on unohtunut muuttaa sen dns asetuksiin pfSensen ip.

 

[escalibur]

Itsellä on käytössä Cloudflaren DoT (DNS over TLS) ja se konffattu tuohon pfSense purkkiin. Tein säännön ettei mihinkään laitteeseen unohdu mitään esim. Googlen nimipalvelimia.

Spoileri

Näyttäis toimivan.

Spoileri

Pistin myös tuon DoT portin 853 kun AdGuard Home alkaa aina käyttämään tuota (tls://1.1.1.1) päivityksen jälkeen ja on unohtunut muuttaa sen dns asetuksiin pfSensen ip.

Netgaten ohje ulkopuollisten DNS-palvelimien uudelleenohjaamiseen ja blokkaamiseen muilta kuin pfSensen osalta:

Services — DNS — Redirecting all DNS Requests to pfSense | pfSense Documentation

Services — DNS — Blocking DNS Queries to External Resolvers | pfSense Documentation

 

[dot1q]

Vekkuli juttu, uudella softalla aiemmin 94/51M lukeminen kanssa esiintynyt 100/50M FTTH liittymä riipaisi 105/50M ekassa ja toistaiseen ainoassa speedtest.net vedossa.

Edit: jäänyt pysyväiseksi tämä tilanne. Ping 3ms. Wifin läpi. Wifin.

 

[Algron28]

Kuinka ronkeli tuo pfsense on raudalle? koitin sitä asentaa tuollaiseen HP Compaq 8200 elite koneeseen mutta ei tahdo edes asennus buutata. Eli käynnistyy siihen asennuksen alkuvalikkoon mutta sen jälkeen sitten käynnistyy uudestaan.

 

[Asiantuntija]

Kuinka ronkeli tuo pfsense on raudalle? koitin sitä asentaa tuollaiseen HP Compaq 8200 elite koneeseen mutta ei tahdo edes asennus buutata. Eli käynnistyy siihen asennuksen alkuvalikkoon mutta sen jälkeen sitten käynnistyy uudestaan.

Onko siinä aiemmin toiminu mikään muu käyttis? Koita jotain linuxia tikulta. Toi vaikuttaa rautavialta.

 

[mikajh]

Kuinka ronkeli tuo pfsense on raudalle? koitin sitä asentaa tuollaiseen HP Compaq 8200 elite koneeseen mutta ei tahdo edes asennus buutata. Eli käynnistyy siihen asennuksen alkuvalikkoon mutta sen jälkeen sitten käynnistyy uudestaan.

Oletko aloittanut täältä? Itse en muista boottausongelmia asennuksessa. Installing and Upgrading — Troubleshooting Installation Issues | pfSense Documentation

EDIT: Tässä voi olla jotakin relevantteja pointteja "BIOS"-versioista ja UEFI vs legacy bootista. Ilmeisesti ongelmasi on juuri se, ettei koko asennus boottaa USB:ltä eikä se, että FreeBSD:n käynnistyksen jälkeen tulisi crash: HP Compaq 8200 Elite SFF won't boot from USB drive

 

[Algron28]

Onko siinä aiemmin toiminu mikään muu käyttis? Koita jotain linuxia tikulta. Toi vaikuttaa rautavialta.

Oletko aloittanut täältä? Itse en muista boottausongelmia asennuksessa. Installing and Upgrading — Troubleshooting Installation Issues | pfSense Documentation

EDIT: Tässä voi olla jotakin relevantteja pointteja "BIOS"-versioista ja UEFI vs legacy bootista. Ilmeisesti ongelmasi on juuri se, ettei koko asennus boottaa USB:ltä eikä se, että FreeBSD:n käynnistyksen jälkeen tulisi crash: HP Compaq 8200 Elite SFF won't boot from USB drive

Koneessa on tällä hetkellä lubuntu joka on siihen asennettu myös USB tikulta. Alla on pfsense serial console version tuloste:

 +============Welcome to pfSense===========+   __________________________
 |                                         |  /                       ___\
 |  1. Boot Multi User [Enter]             | |                      /`
 |  2. Boot [S]ingle User                  | |                     /    :-|
 |  3. [Esc]ape to loader prompt           | |      _________  ___/    /_ |
 |  4. Reboot                              | |    /` ____   / /__    ___/ |
 |                                         | |   /  /   /  /    /   /     |
 |  Options:                               | |  /  /___/  /    /   /      |
 |  5. [K]ernel: kernel (1 of 2)           | | /   ______/    /   /       |
 |  6. Configure Boot [O]ptions...         | |/   /          /   /        |
 |                                         |     /          /___/         |
 |                                         |    /                         |
 |                                         |   /_________________________/
 +=========================================+

/boot/kernel/kernel text=0x17bfd50 data=0xb93c38+0x517b18 syms=[0x8+0x197280+0x8
+0x197de9]
Booting...
Start @ 0xffffffff8031a000 ...
EFI framebuffer information:
addr, size     0xc0000000, 0x3ff0000
dimensions     800 x 600
stride         800
masks          0x00ff0000, 0x0000ff00, 0x000000ff, 0xff000000

Eli usb tikulta menee tuohon ja oletuksena koittaa valintaa 1. Koitin manuaalisti myös valintaa 2 mutta sama lopputulos. Sen jälkeen tulee alla oleva teksti ja sen jälkeen kone buuttaa taas.

Pitää vissiin kokeilla polttaa image cd:lle.


Edit: Eihän sitä tietenkään ole yhtään tyhjää levyä kun ei niitä tule enää tarvittua oikein.

 

[Asiantuntija]

Koneessa on tällä hetkellä lubuntu joka on siihen asennettu myös USB tikulta. Alla on pfsense serial console version tuloste:

 +============Welcome to pfSense===========+   __________________________
 |                                         |  /                       ___\
 |  1. Boot Multi User [Enter]             | |                      /`
 |  2. Boot [S]ingle User                  | |                     /    :-|
 |  3. [Esc]ape to loader prompt           | |      _________  ___/    /_ |
 |  4. Reboot                              | |    /` ____   / /__    ___/ |
 |                                         | |   /  /   /  /    /   /     |
 |  Options:                               | |  /  /___/  /    /   /      |
 |  5. [K]ernel: kernel (1 of 2)           | | /   ______/    /   /       |
 |  6. Configure Boot [O]ptions...         | |/   /          /   /        |
 |                                         |     /          /___/         |
 |                                         |    /                         |
 |                                         |   /_________________________/
 +=========================================+

/boot/kernel/kernel text=0x17bfd50 data=0xb93c38+0x517b18 syms=[0x8+0x197280+0x8
+0x197de9]
Booting...
Start @ 0xffffffff8031a000 ...
EFI framebuffer information:
addr, size     0xc0000000, 0x3ff0000
dimensions     800 x 600
stride         800
masks          0x00ff0000, 0x0000ff00, 0x000000ff, 0xff000000

Eli usb tikulta menee tuohon ja oletuksena koittaa valintaa 1. Koitin manuaalisti myös valintaa 2 mutta sama lopputulos. Sen jälkeen tulee alla oleva teksti ja sen jälkeen kone buuttaa taas.

Pitää vissiin kokeilla polttaa image cd:lle.


Edit: Eihän sitä tietenkään ole yhtään tyhjää levyä kun ei niitä tule enää tarvittua oikein.

Mikäs prossu tossa koneessa on? Onko siinä tuki AES-NI:lle? Mistä versiosta lähtien AES-NI tuki tuli pakolliseksi? Nopea googlaus kertoo, että 2.5 lähtien, mutta muistelen että olisi voinut tulla jo nyt.
e: vasta 2.5 lähtien

 

[escalibur]

@Algron28 kokeile toisella tikulla ja USB-portilla? FreeBSD voi olla herkkä esim. Asmedian USB-ohjaimeen.

 

[Algron28]

Mikäs prossu tossa koneessa on? Onko siinä tuki AES-NI:lle? Mistä versiosta lähtien AES-NI tuki tuli pakolliseksi? Nopea googlaus kertoo, että 2.5 lähtien, mutta muistelen että olisi voinut tulla jo nyt.

Tuossa on koneen tiedot:



Tuohon AES-NI hommaan en osaa kyllä sano löytyykö. Ainakaan tuolta bios asetuksista en löytänyt kohtaa tuolle

@Algron28 kokeile toisella tikulla ja USB-portilla? FreeBSD voi olla herkkä esim. Asmedian USB-ohjaimeen.

Kokeiltu kahdella eri tikulla. Toisessa VGA console ja toisessa Serial console versio ja molemmilla sama ongelma. Kokeiltu myös eri USB portteja.

 

[mikajh]

CPU näyttää tukevan AES-NI:tä: Intel® Core™ i5-2400 Processor (6M Cache, up to 3.40 GHz) Product Specifications

Entä Secure vs Legacy -optiot bootissa, kumpi käytössä BIOSissa ja jos vaihtaa toiseen, mikä vaikutus?

 

[Algron28]

Legacy boot päästi pidemmälle ja siinä muuten huomasin että jää jumiin siihen kohtaa missä käy läpi SATA laitteita. Avasin sitten tuon kotelon ja kävin niiden piuhat läpi ja huomasin että dvd-aseman virtaliitin oli huonosti kiinni. Sen kun laittoi kunnolla kiinni jo vain asentui nätisti. Ei ole tuota tullut käytettyä niin ei ole hoksannut ja ilmeisesti lubuntu ei ole ollut asiasta moksiskaan. Kiitos kaikille osallistuineille neuvoista.

 

[MOS6510]

Ajan benchmarkit lähiaikoina uudelleen ja varmistan, että IPS oli varmasti päällä testatessa. IPS on tarpeellisuudeltaan hieman niin ja näin, jos ei ole muurin takana nettiin julkaistuja palvelimia.

IPS päällä Fitlet2:n läpäisykyky Sophos XG 17.5-palomuurilla näkyy olevan noin 220 Mbit/s. Ilman IPS:ää saman verran kuin että palomuuria ei ole välissä ollenkaan - eli noin 870 Mbit/s.

 

[Algron28]

Taas olisi hieman pfsensestä kysyttävää. Miten kannattaisi toteuttaa sellainen homma että pfsensen hallinnan saisi eriytettyä erilliseen verkkoon. Eli hallinnalle pitäisi saada dedikoitu liitäntä ja hallintaan pitäisi päästä käsiksi tämän liitännän kautta myös muista aliverkoista kuin siitä missä hallinta IP on. Tähän verkkoon ei missään tapauksessa pitäisi voida reitittään mitään muuta liikennettä pfsensen kautta.

Eli vielä kertaalleen. pfsense laitteen hallintaverkolle tuleva osoite olisi vaikka 10.55.33.5/27 omassa dedikoidussa portissaan tässä verkkosegmentissä on osoitteessa 10.55.33.1 hallintaverkon reititin jonka kautta muualta verkosta olisi päästävä kepittämään pfsensen hallintaa. mitään muuta kuin tuolta laitteen hallinnalle tulevaa liikennettä ja päinvastoin ei saisi tuohon porttiin reitittää.

Mistään muista porteista ei pitäisi päästä käsiksi hallintaan.

 

[Asiantuntija]

Taas olisi hieman pfsensestä kysyttävää. Miten kannattaisi toteuttaa sellainen homma että pfsensen hallinnan saisi eriytettyä erilliseen verkkoon. Eli hallinnalle pitäisi saada dedikoitu liitäntä ja hallintaan pitäisi päästä käsiksi tämän liitännän kautta myös muista aliverkoista kuin siitä missä hallinta IP on. Tähän verkkoon ei missään tapauksessa pitäisi voida reitittään mitään muuta liikennettä pfsensen kautta.

Eli vielä kertaalleen. pfsense laitteen hallintaverkolle tuleva osoite olisi vaikka 10.55.33.5/27 omassa dedikoidussa portissaan tässä verkkosegmentissä on osoitteessa 10.55.33.1 hallintaverkon reititin jonka kautta muualta verkosta olisi päästävä kepittämään pfsensen hallintaa. mitään muuta kuin tuolta laitteen hallinnalle tulevaa liikennettä ja päinvastoin ei saisi tuohon porttiin reitittää.

Mistään muista porteista ei pitäisi päästä käsiksi hallintaan.

 

[a85]

Onko muilla PfSensessä multi WAN setuppia load balancerilla? Kärsiikö muut jäätävästä bufferbloatista tuon setupin kanssa? Itselläni bloattia tulee tuolla dslreportsin testillä sellaiset 100-400ms.

Edit:
Vika olikin limiterin säädöissä. FQ_Codel olikin vain LANista lähtevässä liikenteessä eikä WANeissa

 

[escalibur]

Tulipa tälläinenkin sivusto vastaan: Best practices for benchmarking Codel and FQ Codel - Bufferbloat.net

Pitää tutustua heti kun on aikaa.

 

[username]

Osaakos kukaan sanoa että miten apu2 eroaisi kotikäytössä Fitlet2/Shuttlesta? Tarkoitus olisi mahdollisimman halvalla rakentaa laatikko nurkkaan.

 

[spoonspoonspoon]

Osaakos kukaan sanoa että miten apu2 eroaisi kotikäytössä Fitlet2/Shuttlesta? Tarkoitus olisi mahdollisimman halvalla rakentaa laatikko nurkkaan.

Itsellä oli apu2, 1000/100 -kuituliittymästä tuli läpi maksimissaan 450/100.
Fitlet2 puskee läpi kevyesti koko 1000/100.

 

[escalibur]

Osaakos kukaan sanoa että miten apu2 eroaisi kotikäytössä Fitlet2/Shuttlesta? Tarkoitus olisi mahdollisimman halvalla rakentaa laatikko nurkkaan.

Tässä on juttua ESPRESSObin:stä: Announcing Netgate’s ESPRESSObin-based SG-1100 : PFSENSE

 

[laavu]

Osaakos kukaan sanoa että miten apu2 eroaisi kotikäytössä Fitlet2/Shuttlesta? Tarkoitus olisi mahdollisimman halvalla rakentaa laatikko nurkkaan.

BSD-pohjaisella systeemillä et pääse apu2:lla gigabitin nopeuteen tällä hetkellä yhden striimin reitityksessä, koska se reititys pyörii käytännössä yhdellä corella. Linux-pohjaisella systeemillä tuo ei ole ongelma. Aikanaan mietin itse apu2d4:n ja fitlet2:n välillä ja valitsin apu2d4:n, koska sillä saa täysin open source -pohjaisen järjestelmän ja tuli myös halvemmaksi.

Esim. täällä pieni benchmarkki tästä reitityskyvystä.

 

[username]

Gigasta piuhaa tuskin ihan heti on tänne tulossa, joten jos muita syitä melkeinpä 1,5x hintaeroon ei ole, niin taidan hommata APU:n. Kiitos vastauksista.

edit: Espressoa en uskalla edes harkita vähäisen muistimäärän vuoksi.

 

[TekLager.se]

Thanks for linking to our side @laavu !

If you guys have any questions about APU routers, I'm happy to answer

Best,
Pawel

 

[juhaa]

Kyllä se pitää varmaan tuollainen fitlet2 pistää, mutta iski pienen dilemman.

fitlet2 J3455 (barebone) $179 + $53 (postit) = $229 = ~200€
fitlet2 E3950 (barebone) $199 = ~174€

Amazon.com:ssa vain tuota Atom versiota.

edit: Jaha, tuo firma onkin Israelissa eikä jenkeissä. Se selittääkin nuo postikulut

Tässä oma kustannuserittely kun tilasin suoraan Compulabilta:
fitlet2 E3950: 154,90 €
UPS Europe -toimitus: 51,07 €
ALV maahantuonnista: 50,32 €
UPS maksupalvelupalkkio: 12,00 €

Kesti muistaakseni 3 viikkoa.

Vanhasta postauksesta hinnat Suomeen tilattuna eli siitä johdettuna Celeron ~270€ ja Atomi Amazonista 174€ eli hintaeroa onkin jo melkein 100€, joka keikauttaa aikalailla tuohon Atomiin.
8GB muistia ja 64GB M.2 kaveriksi ~75€

Lähitulevaisuudessa en usko kuin max 1000/100 liittymään, mikä luulisi olevan Ok tuon Atomin kanssa myös OpenVPN/Wireguardilla. Oli tuohon sitten asennettuna pfsense tai Sophos XG.

 

[MOS6510]

Kyllä se pitää varmaan tuollainen fitlet2 pistää, mutta iski pienen dilemman.

fitlet2 J3455 (barebone) $179 + $53 (postit) = $229 = ~200€
fitlet2 E3950 (barebone) $199 = ~174€

Amazon.com:ssa vain tuota Atom versiota.

edit: Jaha, tuo firma onkin Israelissa eikä jenkeissä. Se selittääkin nuo postikulut

Vanhasta postauksesta hinnat Suomeen tilattuna eli siitä johdettuna Celeron ~270€ ja Atomi Amazonista 174€ eli hintaeroa onkin jo melkein 100€, joka keikauttaa aikalailla tuohon Atomiin.
8GB muistia ja 64GB M.2 kaveriksi ~75€

Amazon.con sanoo toimituskuluiksi seuraavaa: "$86.47 Shipping & Import Fees Deposit to Finland", joten Israel on parempi paikka tilata.

Lisäksi kannattaa harkita seuraavien tilaamista samalla:
- Kiinnitysrauta, jos haluaa ruuvata laitteen telekaappiin: fitlet2 mounting bracket
- Pari ethernet-porttia lisää: FC-M2LAN FACET-Card (2x Gbit Ethernet)
- Sopivien M.2 SATA-SSD-levyjen löytäminen ei välttämättä ole kovin helppoa. Tuolta saa samalla, esim. 64 GB SATA SSD for fitlet2

 

[code.666.]

Palomuuri kiinnostaisi (aikoja sitten ollut jotain smoothwall yms virityksiä käytössä), mutta noiden fitlettien hinta ja koko on aivan liian suuri, onko esim. tästä kokemuksia jollain: https://www.amazon.de/dp/B073TSK26W/ref=cm_sw_em_r_mt_dp_U_FYuwCbWEDKGFC joka näyttäisi sopivan pieneltä. Netgaten sg-1000 ei enää myydä ja korvaavat tuotteet ovat suurempia.

 

[escalibur]

onko esim. tästä kokemuksia jollain: https://www.amazon.de/dp/B073TSK26W/ref=cm_sw_em_r_mt_dp_U_FYuwCbWEDKGFC joka näyttäisi sopivan pieneltä.

Vahva "ehkä" ettei ole jo pelkästään 128MB:n RAM:sta.

Netgaten sg-1000 ei enää myydä ja korvaavat tuotteet ovat suurempia.

SG-1100 ei käy?

 

[juhaa]

Amazon.con sanoo toimituskuluiksi seuraavaa: "$86.47 Shipping & Import Fees Deposit to Finland", joten Israel on parempi paikka tilata.

Lisäksi kannattaa harkita seuraavien tilaamista samalla:
- Kiinnitysrauta, jos haluaa ruuvata laitteen telekaappiin: fitlet2 mounting bracket
- Pari ethernet-porttia lisää: FC-M2LAN FACET-Card (2x Gbit Ethernet)
- Sopivien M.2 SATA-SSD-levyjen löytäminen ei välttämättä ole kovin helppoa. Tuolta saa samalla, esim. 64 GB SATA SSD for fitlet2

Tarkoitus tilata Jenkkeihin. Noita lisäosia vähän katselin, mutta kun tuo Israel selvisi niin joutunee jäämään ilman, huonosti on tarviketta Amazonissa ainakin nyt. Ovat kyllä lupailleet parempaa valikoimaa sinnekkin. mm. Celeron mallia.
Bracketia ja extra portteja nimenomaan katselin, kun hinta olisi sellainen että kannattaisi ostaa vaikka ei tarvetta välttämättä olisi, mutta kumpaakaan ei löydy tietenkään Amazonin toimittamina. 3rd partyltä löytyy 2x LAN FACET, $55 posteineen kylläkin.
Kiinnike on onneksi yksinkertainen tehdä itse.

Amazon tarjoaa suoraan näitä bundleksi:

Transcend 64GB SATA III 6Gb/s MTS400 42 mm M.2 SSD Solid State Drive (TS64GMTS400S) $31.99
https://www.amazon.com/Transcend-MT...FE6V6TRM3Z5&psc=1&refRID=R85DG3DC9FE6V6TRM3Z5

Crucial 8GB Single DDR3 1866 MT/s (PC3-14900) 204-Pin SODIMM RAM Upgrade for iMac (Retina 5K, 27… $55.99
(Tämä varmaan sopiva määrä? vai tulisiko 4GB riittämään? Sophos/pfsense)
https://www.amazon.com/Crucial-PC3-...FE6V6TRM3Z5&psc=1&refRID=R85DG3DC9FE6V6TRM3Z5

 

[MOS6510]

Crucial 8GB Single DDR3 1866 MT/s (PC3-14900) 204-Pin SODIMM RAM Upgrade for iMac (Retina 5K, 27… $55.99
(Tämä varmaan sopiva määrä? vai tulisiko 4GB riittämään? Sophos/pfsense)

Sophos XG Home tukee 6GB:n muistia, jolloin 8GB on hyvä määrä. Pfsensestä en osaa sanoa.

 

[MOS6510]

Tarkoitus tilata Jenkkeihin. Noita lisäosia vähän katselin, mutta kun tuo Israel selvisi niin joutunee jäämään ilman, huonosti on tarviketta Amazonissa ainakin nyt. Ovat kyllä lupailleet parempaa valikoimaa sinnekkin. mm. Celeron mallia.
Bracketia ja extra portteja nimenomaan katselin, kun hinta olisi sellainen että kannattaisi ostaa vaikka ei tarvetta välttämättä olisi, mutta kumpaakaan ei löydy tietenkään Amazonin toimittamina. 3rd partyltä löytyy 2x LAN FACET, $55 posteineen kylläkin.

Kyllä nuo 2XLAN Facet löytyy Amazonistakin:
https://www.amazon.com/FC-M2LAN-FAC...UTF8&qid=1549363148&sr=8-42&keywords=compulab

 

[Khauron]

Tuli eteen vehkeitä länsinaapurista:
Best pfsense router hardware with AES-NI (same day shipping from Stockholm)
Halvemmat vehkeet AMD:n prossulla (AES-NI löytyy) ja Intelin verkolla. Otin itselleni kotiin testiin halvimman mallin ( Best pfsense router hardware with AES-NI (same day shipping from Stockholm) ), ja vaikuttaa tähän asti asialliselta vehkeeltä. Toimitus oli alle viikossa. Mitään kytköksiä ei ole tuohon, tuli vain eteen etsiessäni uutta rautaa pfSenselle. Ja suurena plussana pfSense 2.5 -tuki.

 

[escalibur]

Tuli eteen vehkeitä länsinaapurista:
Best pfsense router hardware with AES-NI (same day shipping from Stockholm)
Halvemmat vehkeet AMD:n prossulla (AES-NI löytyy) ja Intelin verkolla. Otin itselleni kotiin testiin halvimman mallin ( Best pfsense router hardware with AES-NI (same day shipping from Stockholm) ), ja vaikuttaa tähän asti asialliselta vehkeeltä. Toimitus oli alle viikossa. Mitään kytköksiä ei ole tuohon, tuli vain eteen etsiessäni uutta rautaa pfSenselle. Ja suurena plussana pfSense 2.5 -tuki.

Nuo taitaa olla samoja laitteita kuin Aliexpressin ja eBayn Protectli, Qotom jne. Varmasti päteviä laitteita mutta kannattaa muistaa ettei noihin taida saada minkälaisia BIOS-päivityksiä ja näin sen osalta tietoturva jää sille tasolle. Sen vuoksi suosittelisin enemmän esim. Shuttlea.

 

[MOS6510]

Nuo taitaa olla samoja laitteita kuin Aliexpressin ja eBayn Protectli, Qotom jne. Varmasti päteviä laitteita mutta kannattaa muistaa ettei noihin taida saada minkälaisia BIOS-päivityksiä ja näin sen osalta tietoturva jää sille tasolle. Sen vuoksi suosittelisin enemmän esim. Shuttlea.

Ja tuo laite näkyy maksavan suunnilleen saman verran kuin Fitlet2 (postikulut ja tullit tekevät Fitletin hieman kalliimmaksi), mutta on selvästi hitaampi.

 

[laavu]

Nuo taitaa olla samoja laitteita kuin Aliexpressin ja eBayn Protectli, Qotom jne. Varmasti päteviä laitteita mutta kannattaa muistaa ettei noihin taida saada minkälaisia BIOS-päivityksiä ja näin sen osalta tietoturva jää sille tasolle. Sen vuoksi suosittelisin enemmän esim. Shuttlea.

Tuossahan on apu2 linkattuna. Avoimempaa laitetta saat hakea, bootloaderista biossiin on kaikki avointa lähdekoodia. Samoin kaikki skemat ja pcb-leiskat ovat julkisia. Näitä on myös Netgate myynyt ja suositellut ennenkuin aloittivat laitteiden myynnin omalla nimellään.

 

[juhaa]

Kyllä nuo 2XLAN Facet löytyy Amazonistakin:
https://www.amazon.com/FC-M2LAN-FAC...UTF8&qid=1549363148&sr=8-42&keywords=compulab

Juu tuon takaa löytyy juuri se 3rd party myyjä Amazonissa.
$50+$5 posteja.

Tällä hetkellä Atomit on loppu Amazonista, mutta hetken tiedon mukaan saapuisivat 14.2. Amazoniin, pitää seurailla ovatko toimittamassa muutakin tavaraa Amazonin varastoon samassa köntässä, mutta eivät ole niitä vielä sinne aktivoineet.

 

[escalibur]

Tuossahan on apu2 linkattuna. Avoimempaa laitetta saat hakea, bootloaderista biossiin on kaikki avointa lähdekoodia. Samoin kaikki skemat ja pcb-leiskat ovat julkisia. Näitä on myös Netgate myynyt ja suositellut ennenkuin aloittivat laitteiden myynnin omalla nimellään.

En tarkoita etteikö laitteet olisi "avoimia" vaan sitä ettei niihin välttämättä löydä BIOS-päviityksiä, vai olenko väärässä?

 

[MOS6510]

Tuossahan on apu2 linkattuna. Avoimempaa laitetta saat hakea, bootloaderista biossiin on kaikki avointa lähdekoodia. Samoin kaikki skemat ja pcb-leiskat ovat julkisia. Näitä on myös Netgate myynyt ja suositellut ennenkuin aloittivat laitteiden myynnin omalla nimellään.

Itsekö aioit sen uuden BIOS-version lähdekoodista kääntää?

 

[Lagittaja]

En tarkoita etteikö laitteet olisi "avoimia" vaan sitä ettei niihin välttämättä löydä BIOS-päviityksiä, vai olenko väärässä?

PC Engines - github pages

 

[laavu]

Itsekö aioit sen uuden BIOS-version lähdekoodista kääntää?

Kyllä. Ja olen niin tehnytkin. Yleensä ei kuitenkaan tarvitse, koska PC Engines itse julkaisee uusia versioita varsin usein.

 

[escalibur]

PC Engines - github pages

Äkkiseltään en löytänyt ohjetta kuinka noiden bioksia päivitetään ilman suurta säätöä ja räptellystä?

 

[juhaa]

Äkkiseltään en löytänyt ohjetta kuinka noiden bioksia päivitetään ilman suurta säätöä ja räptellystä?

Eipä tuo suurta räpellystä näytä aiheuttavan. Kun tikun kerran tehnyt, niin kohdat 4-7

Step by Step instruction for the update:
1. get the newest BIOS version from here
2. get the TinyCore Linux installer from here
3. create a usb boot installer
4. copy the newest BIOS Update files to the root of the boot installer
5. boot into the TinyCore Linux
6. navigate to into the root of the installer (to your bios update files)
7. and run the update with: flashrom -w apu160211.rom -p internal

edit: BIOS linkki vaihdettu

 

[Khauron]

Nuo taitaa olla samoja laitteita kuin Aliexpressin ja eBayn Protectli, Qotom jne. Varmasti päteviä laitteita mutta kannattaa muistaa ettei noihin taida saada minkälaisia BIOS-päivityksiä ja näin sen osalta tietoturva jää sille tasolle. Sen vuoksi suosittelisin enemmän esim. Shuttlea.

Ainakin tuon mukaan: APU bios upgrade BIOSseja tulisi ilahduttavan useasti.

 

[Loisteho]

Ketjun innoittamana on jo jonkin aikaa ollut työn alla tehdä kotiserveristä samalla myös rautamuuri. Lähtötilanne on se, että netti tulee VDSL:n kautta ja modeemin yhteydessä on myös kytkin ja WLAN, joiden liikenne pitäisi siis saada ohjattua palomuurille ja sieltä nettiä kohti. VLANeja tuo purkki (VMG3925) ei kovin hyvin tue, mutta "Interface group"pien avulla saa ohjattua WLANin ja LAN1-3 -portit WAN -porttiin, mistä sitten piuha serverin verkkokorttiin ja palomuurin kautta toiselta verkkokortilta piuha LAN4 -porttiin, joka puolestaan on sillattu VDSL:n kanssa.

Ideana kuulostaa toimivalta, mutta käytäntöä en ole päässyt testaamaan. Palomuuriksi suunnittelin virtualisoitua pfSenseä ja toisena verkkokorttina käytössä on USB-kortti (RTL8153), joka ei jostain syystä kuitenkaan tahdo toimia BSD:ssä. Tunnistaa kyllä kortin, mutta kertoo sen tilaksi "down", eikä saa mitään liikennettä kulkemaan sitä kautta. Sama ongelma OpnSensen kanssa, kun taas linuxissa kortti toimii. Tämä siis kun kortti on annettu suoraan virtuaalikoneelle, jos puolestaan sille antaa virtuaalisen NIC:n, joka on sillattu tuohon korttiin, data liikkuu sen läpi. Mutta vain silloin kun hostillakin on oma IP kyseiselle laitteelle ja kun kuitenkin tarkoitus olisi sillata netti, ei samaan sovittimeen taida pystyä kytkemään kahta järjestelmää.

Mitenhän tästä lähtisi eteenpäin? Saako tuota USB-verkkokorttia toimimaan pfSensen kanssa vai etsinkö joko linux-pohjaisen muurin tai jonkun toisen verkkokortin?

 

[kuukie]

Ketjun innoittamana on jo jonkin aikaa ollut työn alla tehdä kotiserveristä samalla myös rautamuuri. Lähtötilanne on se, että netti tulee VDSL:n kautta ja modeemin yhteydessä on myös kytkin ja WLAN, joiden liikenne pitäisi siis saada ohjattua palomuurille ja sieltä nettiä kohti. VLANeja tuo purkki (VMG3925) ei kovin hyvin tue, mutta "Interface group"pien avulla saa ohjattua WLANin ja LAN1-3 -portit WAN -porttiin, mistä sitten piuha serverin verkkokorttiin ja palomuurin kautta toiselta verkkokortilta piuha LAN4 -porttiin, joka puolestaan on sillattu VDSL:n kanssa.

Ideana kuulostaa toimivalta, mutta käytäntöä en ole päässyt testaamaan. Palomuuriksi suunnittelin virtualisoitua pfSenseä ja toisena verkkokorttina käytössä on USB-kortti (RTL8153), joka ei jostain syystä kuitenkaan tahdo toimia BSD:ssä. Tunnistaa kyllä kortin, mutta kertoo sen tilaksi "down", eikä saa mitään liikennettä kulkemaan sitä kautta. Sama ongelma OpnSensen kanssa, kun taas linuxissa kortti toimii. Tämä siis kun kortti on annettu suoraan virtuaalikoneelle, jos puolestaan sille antaa virtuaalisen NIC:n, joka on sillattu tuohon korttiin, data liikkuu sen läpi. Mutta vain silloin kun hostillakin on oma IP kyseiselle laitteelle ja kun kuitenkin tarkoitus olisi sillata netti, ei samaan sovittimeen taida pystyä kytkemään kahta järjestelmää.

Mitenhän tästä lähtisi eteenpäin? Saako tuota USB-verkkokorttia toimimaan pfSensen kanssa vai etsinkö joko linux-pohjaisen muurin tai jonkun toisen verkkokortin?

Tuntematta tuota DSL-modeemia veikkaan että homma ei tule toiminaan. Saako tuosta vehkeestä diabloitua dhcp palvelimen ja reitityksen noista lan-porteista vaikka yksi olisikin sillattuna? Kuulostaa ominaisuudelta, jota en usko kotipurkkeihin sisällytetyn.

Sillatusta portista yhteys muurille, antaa muurin hoitaa reititykset ja muurilta sitten erillisen kytkimen kautta asiakaslaitteille.

Vahva suositus hankkia intelin piirillä oleva kortti, jolloin se varmasti toimii käytännössä kaikkien muuridistrojen kanssa ongelmitta.

 

[Loisteho]

Tuntematta tuota DSL-modeemia veikkaan että homma ei tule toiminaan. Saako tuosta vehkeestä diabloitua dhcp palvelimen ja reitityksen noista lan-porteista vaikka yksi olisikin sillattuna? Kuulostaa ominaisuudelta, jota en usko kotipurkkeihin sisällytetyn.

Sillatusta portista yhteys muurille, antaa muurin hoitaa reititykset ja muurilta sitten erillisen kytkimen kautta asiakaslaitteille.

Vahva suositus hankkia intelin piirillä oleva kortti, jolloin se varmasti toimii käytännössä kaikkien muuridistrojen kanssa ongelmitta.

Purkki antaa määritellä jokaiselle interface groupille omat DHCP asetukset ja jokaiselle "WAN interfacelle" (VDSL, WAN, 3G) voi määritellä omat reititys-/siltausasetukset, eli pitäisi kyllä tuon puolesta toimia.

Mielellään en hankkisi toista kytkin+WLAN -purkkia ellei pakko ole. Säästyy hankintahinta, tilaa ja sähköä. Koneesta löytyy vain yksi PCIe x1 paikka, jossa on tällä hetkellä kiinni SATA -adapteri, sekä half-mini PCIe paikka, johon ilmeisesti löytyy niin SATA kuin LAN adaptereita. Intelillä ei taida olla myynnissä kortteja muihin kuin tuohon PCIe paikkaan, eli pitäisi samalla ostaa uusi SATA -adapteri. Ja ratkaiseekohan PCIe -verkkokorttikaan tätä ongelmaa, koska rauta ei tue PCIe passthrough:ta ja kortti pitäisi siksi virtualisoida, jolloin tulee siltauksen kanssa sama ongelma eteen kuin tämän USB-kortin kanssa.

 

[escalibur]

Henkilökohtaisesti jättäisin nuo USB-purkkaviritykset suosiolla väliin. USB + Realtek on lähinnä ongelmien kaivamista pfSensessä (FreeBSD:ssä). Säätämiset säätämisinä, mutta jos laitos on tulossa tuotantoon, kannattaa suosiolla valita toimivaksi todettuja vaihtoehtoja.