Tee-se-itse: Rautapalomuurit (pfSense, Sophos UTM..) (Mitä käytätte ja miksi juuri se vaihtoehto?)

@escalibur
En tiedä mikä oli; taisi olla koko PFBlockerNG sekaisin, kun noin tein ja ei vaikutusta, mutta vetäisin koko paketin pois (tietysti ruksi pois "keep settings":stä), asensin uudestaan, ajoin wizardin, lisäsin tuon Suomi-listan EasyListin alle, ja kah, toimimaan lähti.

Sitten kun vielä löydän ratkaisun siihen, miten esim. tabletin ja AndroidTV:n Youtubesta saa mainokset pois (kuten selaimessa lähtee uBlockilla), niin olen happy camper. Nyt minulla on neljä eri listaa Youtubelle, ja auttaa, mutta ei täysin. Mitä listoja porukalla on Youtubelle käytössä, tai onko jotain kikka-vitosta, miten AndroidTV:n Youtubesta saa mainokset pois? Mainoksilla tarkoitan siis ennen itse streamia soimaan lähteviä esim. Gigantti, sekä kesken streamissa olevia (näkyy play-janalla keltaisella)?


YouTuben mainoksia on todella, todella vaikeaa estää. I think I've managed to block YouTube ads (with caveats) : pihole

YouTube hakee mainokset käyttäjän ympäröiviltä datakeskuksilta, joten yksittäisen osoitteen blokkaus ei auta.
 
Minä asensin VMware ESXi 6.7:n päälle, ja täysin defaulteilla. Toimihan se, mutta en ole jaksanut syventyä vielä.

Se mikä tuossa hiukan hämää on se, että jonkun vuoden huudeltu, että 2.5.X tarvitsee sitten AES-NI -purkin. Ja tuossa noin kolmannella rivillä huomio, että ähäkutti, eipäs tarvikaan.

Toinen asia minkä huomioin, että WireGuardista ei ole mitään mainintaa. Mahtaako olla työn ja tuskan takana saada se BSD-pohjaisiin... Muista kyllä löytyy, mutta itselläkin on kolmisen purkkia pfSenseä maailmalla jota täytyy tukea, joten mieluusti pidän kotonakin.

Kolmas huomio oli se, että asennuksessa oli valittavana suoraan ZFS. Ja UFS. Mutta ZFS on natiivi-purkissa parempi valinta, koska UFS saattaa heittää itsensä vituiksi jos sähköt lähtee yllättäen.

Taidan odotella pakettien + muiden kamojen päivittymistä, ennen kuin tuota alkaa pitämään primary-purnukassa kotona.
 
Se mikä tuossa hiukan hämää on se, että jonkun vuoden huudeltu, että 2.5.X tarvitsee sitten AES-NI -purkin. Ja tuossa noin kolmannella rivillä huomio, että ähäkutti, eipäs tarvikaan.

Toinen asia minkä huomioin, että WireGuardista ei ole mitään mainintaa. Mahtaako olla työn ja tuskan takana saada se BSD-pohjaisiin...
Wanhan raudan käyttäjät ovat varmasti tyytyväisiä. AES-NI kaiketi parantaa perffiä, jos käyttää sitä esim. VPN:ssä. Yksi benchmark on "openssl speed -evp aes-256-cbc"

WireGuard on sen verran kehityksessä ja Linux-kernelin kanssa naimisissa, että helpointa on tyytyä käyttämään siinä ja kääntää itse.

Minulla oli vuosia sitten FreeNAS:issa ZFS, mutta lopuksi se onnistui sotkemaan itsensä. Nyt voisi viritellä uutta instanssia, kun QNAP:illa alkaa olla ikää. Linuxissa BRFS ei ole myöhemmin koskaan tehnyt vastaavaa.
 
Pc Engines APU2D4 täällä nyt PfSensellä kukkunut muutaman viikon.

Muuten olen erittäin tyytyväinen, mutta ajoittain, lähinnä töiden jälkeen tai muuten kun netti ollut "käyttämättömänä" tunteja nettiyhteys on aivan jumissa. Yhteys PfSense purkkiin paljastaa että State Table size on luokkaa 4000 joka ei sinänsä ole järin suuri, mutta muutama F5 painallus State Tablen ollessa auki saa sen putoamaan sinne 400-600 välille ja netti alkaa toimia normaalisti.

Mistä ihmeestä voi olla kyse?

State tauluja kun katsoo niin se mikä tuon todennäköisesti vetää jumiin on mieletön määrä UDP yhteyksiä porttiin 53. Kaikkien ko. yhteyksien sourcena on PfSensen WAN2 IP (jonka saa siltaavana 4G modeemilta) ja destinationina IP-osoitteita ympäri maailman.
Portti 53 on käytössä yleisesti DNS:llä... Mikä ihme tuollaisen määrän DNS queryjä saa aikaan ja ennenkaikkea miksi ne jäävät jumittamaan state tauluun vaikka state = SINGLE:NO_TRAFFIC

Lisäksi ongelma näyttäisi koskevan vain WAN2 yhteyttä, ei WANia. Näiden välillä tosin on 9:1 Load balancing joten suurin osa pitäisikin keskittyä WAN2:een.
 
Ota käyttöön DNS Resolver (Unboud), ellei ole

Itseasiassa tuo DNS Resolver oli käytössä. Vaihdoin sen hetkeksi DNS Forwarderiin ja ongelmat tuntuivat katoavan.
Asia jäi kuitenkin vaivaamaan ja aloin hieman tutkia asiaa enemmän.

DNS Resolveria käyttäessä jos "Register DHCP leases in the DNS Resolver" on käytössä, DNS resolver service käynnistyy uudelleen aina DHCP-leasien uudistuessa. Tästä johtunee se kokemani pahin jumitus sillä nyt tarkemmin miettiessä tuota jumitusta on tapahtunut aina hetkinä kun verkkoon kytkeytyy laite pidemmän tauon jälkeen.
Nyt on DNS Resolver taas käytössä ilman tuota DHCP-lease rekisteröintiä ja jumitukset eivät ole niin pahoja, mutta edelleen tuo ajoittain avaa sen 3000-4000kpl yhtäaikaista UDP-yhteyttä joka tuntuu tahmaavan 4G yhteyden.

Lisäksi DNS Resolveria käyttäessä ei tunnu joillekin hosteille löytyvän osoitetta lainkaan... esim. Gigantin mainoksien linkeissä käytetty "t.email.gigantti.fi" ei aukea juuri milloinkaan. Gigantin oma www.gigantti.fi taas toimii.

Ymmärrän Resolverin ja Forwarderin erot ja Resolverilla saatavan teoreettisen nopeusedun, mutta ilmeisesti on jokin muu seikka mitä en ymmärrä mikä aiheuttaa ongelmia Resolverin kanssa näin Dual WAN, ADSL+4G käytössä...?
 
Itsellänikin on PfSensessä multiwan (2x 4G + ADSL) setuppi ja DNS kanssa ongelmia vähän väliä. Resolver on käytössä myös tässä, forwarderia en ole testannut. Traffic shaping on käytössä ja DNS on listalla kärjessä.

En ole keksinyt ongelmaan ratkaisua ja "hyvä" kuulla että muillakin ongelmia, joten ei ole omista konffiksista kiinni :D.

DNS Resolveria käyttäessä jos "Register DHCP leases in the DNS Resolver" on käytössä, DNS resolver service käynnistyy uudelleen aina DHCP-leasien uudistuessa. Tästä johtunee se kokemani pahin jumitus sillä nyt tarkemmin miettiessä tuota jumitusta on tapahtunut aina hetkinä kun verkkoon kytkeytyy laite pidemmän tauon jälkeen.

Tätä voisin itsekkin kokeilla vähenisikö DNS ongelmat. Omassa verkossa DHCP leaset on muistaakseni parin päivän luokkaa, joten en usko että tästä hirveästi on apua mutta täytyy kokeilla.
 
Itsellä on pfSense 2.4.4 ja kolme wan:ia, VDSL siltaavana ja LTE x2 reitittimen ja puhelimen kautta. DNS-ongelmiin en ole törmännyt, v2.4.3:sta lähtien ollut SSL/TLS DNS 853-porttiin
 
Viimeksi muokattu:
Tom Lawrencen kommentteja heidän käyttämistä pfSense-lisäreistä:

 
Ideoita. fitlet2 ja pfsense oli Ok.
(Mielestäni pfsense on huomattavasti selkeämpi kuin Sophos XG Firewall mitä ensin kokeilin)

..mutta lisäsin extra tupla LAN facet kortin, mutta nytpä ei enää WAN tunnistu.
"nolink-up detected" kun asennuksessa yrittää "Assign new interfaces" laitaa. Ei myöskään eloa ollut konsolissa valmiiseen asennukseen kun tuon FACET:n laitoin kiinni, sinne hävisi yhteydet.

edit: toinen on tämä bootissa.
2019-04-18 21-46-06.jpeg - Shared with pCloud

edit2: Link down jos WAN piuhan tyrkkää ihan mihin porttiin vain. Piuha toimiii kyllä.
2019-04-19 00-23-07.jpeg - Shared with pCloud
 
Viimeksi muokattu:
Ideoita. fitlet2 ja pfsense oli Ok.
(Mielestäni pfsense on huomattavasti selkeämpi kuin Sophos XG Firewall mitä ensin kokeilin)

..mutta lisäsin extra tupla LAN facet kortin, mutta nytpä ei enää WAN tunnistu.
"nolink-up detected" kun asennuksessa yrittää "Assign new interfaces" laitaa. Ei myöskään eloa ollut konsolissa valmiiseen asennukseen kun tuon FACET:n laitoin kiinni, sinne hävisi yhteydet.

edit: toinen on tämä bootissa.
2019-04-18 21-46-06.jpeg - Shared with pCloud

edit2: Link down jos WAN piuhan tyrkkää ihan mihin porttiin vain. Piuha toimiii kyllä.
2019-04-19 00-23-07.jpeg - Shared with pCloud

Oho... Ei oo tosin kokemusta tuosta Sophoskesta, mutta yllätyin tuosta sun kommentista: "Mielestäni pfsense on huomattavasti selkeämpi kuin Sophos XG Firewall mitä ensin kokeilin".

Ku jotku sitä on täällä ylistäny todella paljon!

Ja sitten asiaan: Helpointahan toi ois jos selvittäsit vaikka LiveLinuxilla noiden sun koneen porttien MAC-osoitteet, niin ei tarvis arpoa asennuksessa.

Se pfSensen asennuksen tunnistus tuon WAN-portin suhteen on oman kokemuksen mukaan nolla tasolla. Älä luota tuohon "Assing Interfaces" kohtaan vaan:
  • Joko aloita asennus uudestaan ja kerro pfSensen asennus softalle vaan seuraava Interface (sun tapauksessa kuvan mukaan aloittaen igb0, jos ei WAN löytyny, niin seuraavalla kerralla igb1, jne.)
  • Tai sitten vaihtelet kaapelin paikkaa ja olikohan se toi vaihtoehto 2 kuvassa (2019-04-19 00-23-07.jpeg), vaihda kiinteäksi (ei väliä mitkä arvot on kunhan ne jokainen 3-numeron pätkä on välillä 2-254), tallennat ne ja sen jälkeen vaihdat takasin DHCP:lle, niin se käy kyselemässä kuuluuko DHCP-palvelinta. Jos ei kuulu niin:
  • Kaapeli toiseen porttiin ja uus yritys
 
Ei nouse WAN ylös. Kokeilin kaikki portit läpi Linux Mintillä ja kaikki toimi.

WAN nyt igb0, mutta blankkoa ja kokeilin myös muita portteja. Ei saa IP:tä.

Tein myös tuon @mikajh muutoksen. Ei apua.
Kaikki siis toimi ennen kuin otin purkin alas ja lykkäsin 2xLAN FACET kortin sisään. Asensin jopa pfsensen uudelleen kun tuo kortti sisällä.
Yritin myös ottaa korttia pois, mutta ei saanut IP:tä silloinkaan.

Statementti pfsensen helppoudesta verrattuna Sophokseen saa kolauksen :)
Tuo alkuperäinen kommentti liittyi siihen, että asennus vaihessa piti vaihdella porttia 443 -> 4444 tai sinne päin, että pääsi purkkiin edes kiinni ja myös perus portinohjaus näytti vaativan Sophoksessa tietoliikenneinsinöörin papereita, pfsensessä tuo erittäin selkeää.

edit: Näyttää kyllä WAN IP:n kun katsoo Filter Logs tai pftop, mutta esimerkiksi ping ei toimi konsolista.
 
Viimeksi muokattu:
Unboundin kanssa suosittelen Service_Watchdog -pakettia, joka käynnistää kyykänneen servicen uudelleen. Esim. Unbound tarvitsee sitä aina kun WAN interfaceissa tapahtuu muutoksia, sikäli kun käytetään dynaamisia DNS-palvelimia.
 
Moi. Tuntemus pfsensestä tai muista vastaavista on hyvin onnetonta. Pari kertaa nyt olen virtuaali koneeseen saanu asennettua molemmat ipfire ja pfsense ja päässyt näihin jopa selaimella käsiksi. Jostain syystä se selaimen kautta yhteys lopulta katoaa seuraavana päivänä viimeistään eikä projekti etene ei sitte millään. Kävi mielessä että täytyykö edgerouterista luoda vlan jotenkin että virtuaalikone pystyy käsittelemään nettiliikennettä ja pfsense conffaaminen onnistuisi ? Asensin myös virtuaalikoneelle manjaron jonka nettiliikenne kyllä toimii moitteettomasti kokeilu mielessä. Joku joskus sanoi että pfsensen saa toimimaan virtuaalikoneessa ihan samoin kuin fyysisessäkin laitteessa joten sen innoittaamana lähdin tuota projektia viemään eteenpäin.

Ongelma on vain aina se, että conffit on väärin eikä pingit mee suuntaan tai toiseen palomuurilla(virtuaalikoneessa) mistään ja nettihallintakin lopulta kyllästyy minuun ja lakkaa toimimasta. Olen monia videoita katsonu youtubesta, hakenu oppaita googlesta mutta jokin tuossa nyt menee jatkuvalla syötöllä pieleen kun tuota ei saa conffattua kunnolla. Hetkellisesti olen päässyt hallintaan web selaimella osoitteella https://osoite:444 mutta lopulta tuokaan ei toimi, about sen jälkeen kun koneen on käynnistäny uudestaan kerran.

Täytyykö siis edgerouteriin luoda jokin virtuaali lan, vai pitäiskö conffaamisen onnistua ihan ilman sitäkin ? Tahdon ensiksi saada virtuaalipuolen palomuurin pelaamaan ennenkuin tilaan fyysisiä laitteita joihin sitten joskus asennella.

Mutta, virtuaalikoneeseen laitan aina 2 network adapteria. olen koittanu host only, tai bridget kuten monissa videoissa mutta enpä juuri saa palomuureja toimimaan. En tiedä mitä niihin conffeihin pitäis laittaa , että joskus toimis. Testannu nyt untanglemuuria, kerran päästi webhallintaan ja se oli siinä, samat teki pfsense ja ipfire. Eli joku asetus nyt mättää joko conffissa tai virtuaalikoneessa. Tai molemmissa kohdissa.

Mutta avainkysymyksiä nyt on että network adapterit mihin asentoon? Toinen host ja toinen bridge ? Kun itse conffaaminen täytyy tehdä, mitä näihin ? Ja täytyykö edgerouteriin tehdä vlan muurille ? Muuta ei nyt just tule mieleen.

Tässä on esimerkki yhdestä videosta jota orjallisesti noudattamalla ei siltikään homma toimi (eikä vähemmän orjallisestikkaan saa toimimaan)
Linkki vie youtubeen :


Virtuaalikoneen "oikea kone" on lan osoitteessa 192.168.x0.xx, ja virtuaali verkkokorttien osoitteet on ihan muuta. Jotain 192.168.90.123 tyylisiä mitä tuon oikean koneen ipconfig komento osaa kertoa.
 
Viimeksi muokannut ylläpidon jäsen:
Moi. Tuntemus pfsensestä tai muista vastaavista on hyvin onnetonta. Pari kertaa nyt olen virtuaali koneeseen saanu asennettua molemmat ipfire ja pfsense ja päässyt näihin jopa selaimella käsiksi. Jostain syystä se selaimen kautta yhteys lopulta katoaa seuraavana päivänä viimeistään eikä projekti etene ei sitte millään. Kävi mielessä että täytyykö edgerouterista luoda vlan jotenkin että virtuaalikone pystyy käsittelemään nettiliikennettä ja pfsense conffaaminen onnistuisi ? Asensin myös virtuaalikoneelle manjaron jonka nettiliikenne kyllä toimii moitteettomasti kokeilu mielessä. Joku joskus sanoi että pfsensen saa toimimaan virtuaalikoneessa ihan samoin kuin fyysisessäkin laitteessa joten sen innoittaamana lähdin tuota projektia viemään eteenpäin.

Ongelma on vain aina se, että conffit on väärin eikä pingit mee suuntaan tai toiseen palomuurilla(virtuaalikoneessa) mistään ja nettihallintakin lopulta kyllästyy minuun ja lakkaa toimimasta. Olen monia videoita katsonu youtubesta, hakenu oppaita googlesta mutta jokin tuossa nyt menee jatkuvalla syötöllä pieleen kun tuota ei saa conffattua kunnolla. Hetkellisesti olen päässyt hallintaan web selaimella osoitteella https://osoite:444 mutta lopulta tuokaan ei toimi, about sen jälkeen kun koneen on käynnistäny uudestaan kerran.

Täytyykö siis edgerouteriin luoda jokin virtuaali lan, vai pitäiskö conffaamisen onnistua ihan ilman sitäkin ? Tahdon ensiksi saada virtuaalipuolen palomuurin pelaamaan ennenkuin tilaan fyysisiä laitteita joihin sitten joskus asennella.

Mutta, virtuaalikoneeseen laitan aina 2 network adapteria. olen koittanu host only, tai bridget kuten monissa videoissa mutta enpä juuri saa palomuureja toimimaan. En tiedä mitä niihin conffeihin pitäis laittaa , että joskus toimis. Testannu nyt untanglemuuria, kerran päästi webhallintaan ja se oli siinä, samat teki pfsense ja ipfire. Eli joku asetus nyt mättää joko conffissa tai virtuaalikoneessa. Tai molemmissa kohdissa.

Mutta avainkysymyksiä nyt on että network adapterit mihin asentoon? Toinen host ja toinen bridge ? Kun itse conffaaminen täytyy tehdä, mitä näihin ? Ja täytyykö edgerouteriin tehdä vlan muurille ? Muuta ei nyt just tule mieleen.

Tässä on esimerkki yhdestä videosta jota orjallisesti noudattamalla ei siltikään homma toimi (eikä vähemmän orjallisestikkaan saa toimimaan)
Linkki vie youtubeen :


Virtuaalikoneen "oikea kone" on lan osoitteessa 192.168.x0.xx, ja virtuaali verkkokorttien osoitteet on ihan muuta. Jotain 192.168.90.123 tyylisiä mitä tuon oikean koneen ipconfig komento osaa kertoa.


Ihan ekana suosittelisin virtualisointia varten pystyttämään serverin josta löytyy jokin hyperviisori, kuten VMWare ESXi tai Proxmox. Onko sinulla ajatuksena käyttää PfSenseä vain palomuurina vai myös reitittimenä? Et tuota edgerouteria tarvitse mihinkään enää jos haluat sen PfSensellä korvata. Itsellä oli aikoinaan ESXi:llä virtualisoituna PfSense ja ihan hyvin se toimi, pitää vaan tietokoneessa olla se 3 ethernetporttia. Eli yhteen WAN johon tulee varsinainen reititettävä nettiyhteys operaattorilta, toiseen LAN josta lähtee PfSensen jakelema lähiverkko ja kolmanteen kytkimeltä takaisin tuleva management yhteys jota kautta ESXi saa IP-osoitteensa. Tämmöisellä setupilla onnistui oikein kivasti kaikki. ESXi puolella pitää ensin tehdä sellainen virtuaalikytkin, johon löytyy varmasti hyviä ohjeita netistä. Sen jälkeen PfSense näkee itsellään nuo WAN ja LAN yhteydet ja homma toimii kivasti.
 
Tutustuminen on nyt mielessä lähinnä ollut jos sen sais toimimaan. Tutustuminen on edgerouteriinkin vielä kesken(en ole valmis sitä hylkäämään) eli varmaan pelkkä palomuuri olis ajatuksissa kait. VMware:ssa sitä olen nyt tähän asti kokeillut , mutta se nyt tökkii aika huolella. Eli pitäis vielä jokin laite pystyttää että virtualisointia pystyy harrastamaan ?

En tarvitse pitkäaikaista setuppia tälle, vaan ihan semmoinen että saa käyntiin silloin kun huvittaa ja saa poistettua vaivattomasti ja taas uudelleen asentaa niin ehkä oppiskin samalla jotain.
 
Viimeksi muokannut ylläpidon jäsen:
@Vauhtimursu
Konffaa wan puolen virtuaalikortti vmwaresta bridged tilaan ja lan kortti host only tilaan.
Asenna ipfire ja tarkista että ipfiren lan puoleksi tulee eri ip-avaruus mitä käytät omassa kotiverkossasi. Esim. kotiverkossa
Kirjaudu vmwaressa ipfiren konsoliin root tunnuksilla mitkä olet luonut asennusvaiheessa ja kirjoita siellä:

iptables -A INPUT -p tcp --dport 444 -j ACCEPT

Tämä sallii pääsyn selaimella kiinni ipfiren web guihin wan puolelta.
Huom, tämä ei ole hyvä tapa tehtä kun ipfire on ”kunnolla” käytössä, mutta voit sitä kokeilla omassa kotiverkossa turvallisesti.
 
Viimeksi muokattu:
Ideoita. fitlet2 ja pfsense oli Ok.
(Mielestäni pfsense on huomattavasti selkeämpi kuin Sophos XG Firewall mitä ensin kokeilin)

..mutta lisäsin extra tupla LAN facet kortin, mutta nytpä ei enää WAN tunnistu.
"nolink-up detected" kun asennuksessa yrittää "Assign new interfaces" laitaa. Ei myöskään eloa ollut konsolissa valmiiseen asennukseen kun tuon FACET:n laitoin kiinni, sinne hävisi yhteydet.

edit: toinen on tämä bootissa.
2019-04-18 21-46-06.jpeg - Shared with pCloud

Tuohon auttaa sd-korttilukijan pois laitta bios:sista: FAQ:fitlet2 - fit-PC wiki
Asetitko uudestaan kaikki wan ja lan asetukset kun olit lisännyt tuon facet kortin?
 
Viimeksi muokattu:
Tuohon auttaa sd-korttilukijan pois laitta bios:sista: FAQ:fitlet2 - fit-PC wiki
Asetitko uudestaan kaikki wan ja lan asetukset kun olit lisännyt tuon facet kortin?

Kiitos. Täytyypä kokeilla. BIOS:iin en ole koskenut sitten FACET:n laittamisen. WAN/LAN asetukset laitoin uudelleen (tai siis kokeilin laittaa) ennen ja jälkeen pfSensen uudelleen asentamisen.
 
@juhaa
On kyllä jännä tapaus miksei toimi pfsensellä... :confused: Itselläni ei ole facet korttia, että voisin testata miten mulla käy, on ostoslistalla, mutta lista on pitkä ko nälkävuosi, eikä toi kovin tärkeä kikkare ole tällä hetkellä....
Koita pasteta jotain logeja vielä tänne lisää ja varmista MAC osoitteiden perusteella että koitat kytkeä johdot varmasti oikeeseen porttiin...
EI pysty kyllä muuta sanomaan suoraan..
 
Kävin kaikki portit läpi, mutta pitää vielä kertalleen ja facettia vielä poiskin, jos yrittäisi. kuten myös freebsd "Live CD":tä tai jos logeista jotain löytyisi, muutakin kuin se että Filter Logeissa IP näkyy ja myös pftopilla. Kokeilin myös laittaa WAN:n IP:n staattiseksi, mutta ei ainakaan pingi purkista googleen toiminut silloinkaan.
 
Ovatko USB:n kytkettävät verkkokortit käyttökelpoisia pfsensen kanssa?
Nykyinen pfsense pyörii vähän turhan isossa purkissa verkkokorttien takia mutta tarjolla olisi pienempi kone jossa olisi yksi integroitu verkkokortti ja mietin jos tähän yhdistäisi USB verkkokortin mutta USB verkkokortit ovat saaneet kovasti haukkumista tällaisessa käytössä mutta onko joku kokeillut niitä ihan käytännössä?
 
Ovatko USB:n kytkettävät verkkokortit käyttökelpoisia pfsensen kanssa?

USB-verkkokortti tarkoittaa miltei aina Realtekin piiriä -> FreeBSD sanoo hyi!

Muutenkaan palomuurin vakautta ei kannata heikentää tarpeettomilla räpellyksillä.
 
Kokeilin juuri pfSense 2.4.4:ssä "ASIX Elec. Corp. AX88179" USB3-Eth -sovitinta, jota on satunnaisesti käytetty Windows 10:ssä, Rasperry Pi 3B+:ssa ja ensimmäisessä hostissa myös sillattuna VirtualBoxin Ubuntuun. Hyvin tunnistui pfSenseen, tosin koska käytössä on myös LTE USB/Wifi-mokkula niin jotain extroja usb-drivereita voi olla apuna.
 
Statementti pfsensen helppoudesta verrattuna Sophokseen saa kolauksen :)
Tuo alkuperäinen kommentti liittyi siihen, että asennus vaihessa piti vaihdella porttia 443 -> 4444 tai sinne päin, että pääsi purkkiin edes kiinni ja myös perus portinohjaus näytti vaativan Sophoksessa tietoliikenneinsinöörin papereita, pfsensessä tuo erittäin selkeää.
Sophosta hallitaan oletuksena aina portista 4444; en muista, että tuo asennusvaiheessa olisi ollut toisin.

Sophoksen säännöstönhallinta vaikuttaa aivan samalta kuin kaikissa muissakin muureissa (ainakin Ciscon, Checkpointin ja Xyxelin muurien kanssa on joskus tullut oltua tekemisissä). En keksi tuossa mitään poikkeavaa tai normaalia vaikeampaa.

Oma Sophos XG-asennus toimii kotimuurina kuituliittymässä. Muutoin muurissa on aivan normaalit perussäännöstöt, mutta lisäksi olen viritellyt VPN-yhteyden iPhonesta ja Windows-työasemasta. Lisäksi laite rekisteröi itsensä Sophoksen omaan ilmaiseen dynaamiseen DNS-palveluun.
 
Oli pfSense jossain ihme tilassa. Kun yritti asentaa Package Manager kautta softaa niin asennus jäi jumiin "Please wait while the update system initializes".
Korjaantui kun meni ssh yhteydellä kiinni ja valitsi Update from console.

1L9qFtB.png


Tuon jälkeen onnistui paketin asennus.
 
Mulla on ollu Wifissä käytössä Radius EAP-TTLS (pfSense FreeRadius). NAS/Client laitteena Asus ROG Rapture GT-AC5300.
Muutin tuon EAP-TLS kun se kait turvallisempi.
802.1X Overview and EAP Types

Aikamoista säätämistä noitten sertien kanssa :)

Nyt on käytössä MacBook Pro 2017 ja iPhone XS laitteissa. Logia Macbookista noin tunnin välein

G4Vv01a.jpg

Logia pfSensessä:
May 6 18:06:40 radiusd 7160 (6) Login OK: [XXXXXX] (from client GTAC5300 port 95 cli XXXXXXXXXXXX)

Jotain ohjetta:
User Management — Using EAP and PEAP with FreeRADIUS | pfSense Documentation

Täytyy ajaa noilla parilla laitteella kovaa testiä ja jos toimii vakaasti niin ottaa sitten kunnolla käyttöön :)
 
Oliko täällä kellään SG-1100? Olen harkinnut tuollaisen ostamista mutta arveluttaa jaksaako se pyörittää pfBlockeria ja satunnaisia VPN-yhteyksiä kunnolla. Varmaan tuollainen APU2 olisi järkevämpi mutta olisihan se hienoa olla virallinen Netgaten laite.
 
Asiakkaalla on tuommoinen satelliittitoimiston palomuurina, minkä olen tuupannut käyttökuntoon. Hienosti menee kymmenisen samanaikaista OpenVPN-yhteyttä ja IPSec pääkallopaikalle. Plus tietysti DHCP:t ja DNS:t sun muut peruskaurat. Symmetrinen 100mbit/s kuitu on yhteytenä.
pfBlockerNG ei ole tuolla käytössä, mutta kun koeponnistin vehjettä, niin oli ajossa. Hyvin tuntui toimivan sekin.
 
Mua on askarruttanut pfsensen tai vastaavan crypto hardwaren tarve. Jos meillä on esin pfsense palomuuripurkki jonka läpi ajetaan VPN yhteys maailmalle niin onko siinä tilanteessa suorituskyvyn kannalta väliä on crypto hardista vaiko ei? Eikös tässä tilanteessa salaus tehdä yhteyden muodostavassa koneessa ja kuvittelen ettei palomuurina toimiva rasitu sen enempää kuin tavallisella yhteydellä?
 
Mua on askarruttanut pfsensen tai vastaavan crypto hardwaren tarve. Jos meillä on esin pfsense palomuuripurkki jonka läpi ajetaan VPN yhteys maailmalle niin onko siinä tilanteessa suorituskyvyn kannalta väliä on crypto hardista vaiko ei? Eikös tässä tilanteessa salaus tehdä yhteyden muodostavassa koneessa ja kuvittelen ettei palomuurina toimiva rasitu sen enempää kuin tavallisella yhteydellä?

Minulla toimii nykyisenä pfSense boksina tuommoinen vanha Lenovon M58p tietokone, siinä on Core 2 Duo E7400 jossa ei kryptokiihdytystä ole. Hyvin se on silti jaksanut 100/100 nettini kanssa täyttä vauhtia puskea VPN yhteyttä.
 
Kaapissa ylimääräisenä 6700K, meinasin jos tuota hyödyntäisi ekaa serveriin kotona. Eikös pfSensen saa virtualisoitua esim. Ubuntun alle? Samaan serveriin ajattelim pykätä varmuuskopionnin ja jotain muuta mitä nyt keksii. Kotona clienttejä 17 ja yhteys ulospäin on tällä hetkellä 4G, pyörii 75-180Mbit/s sisään ja 40Mbit/s ulos. Kannattaa 6700K hyödyntää vai laitanko myyntiin ja toinen prossu tilalle?
 
Itse en kyllä laittaisi mitään 6700K tasoisia prossuja pfSensea varten. Virtuaalisena tai natiivina. Jos hypervisorilla ei ole muuta järkevää käyttöä, myisin sen pois ja ostaisin pienemmän, virtatehokaamman purkin pfSensea varten.

Shuttle DS77u tai fitlet2 palvelevat vuosikausia ja kuluttavat murto-osan mitä 6700K:hon pohjautuva PC-pönttö.
 
Itse en kyllä laittaisi mitään 6700K tasoisia prossuja pfSensea varten. Virtuaalisena tai natiivina. Jos hypervisorilla ei ole muuta järkevää käyttöä, myisin sen pois ja ostaisin pienemmän, virtatehokaamman purkin pfSensea varten.

Shuttle DS77u tai fitlet2 palvelevat vuosikausia ja kuluttavat murto-osan mitä 6700K:hon pohjautuva PC-pönttö.

Onhan se vähän tyyris palvelimeen, mutta siihen oli tarkoitus laittaa muutakin kuin se pfSense (NAS, dedikoitu peliservu) pyörimään. Ja ylimääräisenä kun on niin sopisi hyvinkin tuohon käyttöön, tuo Shuttle ainakin nyt menisi tupla-NICeillä.
 
Onhan se vähän tyyris palvelimeen, mutta siihen oli tarkoitus laittaa muutakin kuin se pfSense (NAS, dedikoitu peliservu) pyörimään. Ja ylimääräisenä kun on niin sopisi hyvinkin tuohon käyttöön, tuo Shuttle ainakin nyt menisi tupla-NICeillä.
Melkoinen kuorma tuollaiselle raudalle, mutta kokeilemalla selviää. :)
 
Melkoinen kuorma tuollaiselle raudalle, mutta kokeilemalla selviää. :)

Saattaa olla. :D Voisihan tuohon laittaa rahaa enemmänkin ja ostaa palvelinprossun + romppeet. Täytyy katsoa mitä on markkinoilla tarjolla, pfSensen nyt ainakin pistän pyörimään jollain raudalla.
 
Kaapissa ylimääräisenä 6700K, meinasin jos tuota hyödyntäisi ekaa serveriin kotona. Eikös pfSensen saa virtualisoitua esim. Ubuntun alle? Samaan serveriin ajattelim pykätä varmuuskopionnin ja jotain muuta mitä nyt keksii. Kotona clienttejä 17 ja yhteys ulospäin on tällä hetkellä 4G, pyörii 75-180Mbit/s sisään ja 40Mbit/s ulos. Kannattaa 6700K hyödyntää vai laitanko myyntiin ja toinen prossu tilalle?

Saa Ubuntun alle, siihen suosittelen KVM/QEMU ja virt-manager joilla noita virtuaalikoneita saa sitten hallittua. Kannattaa myös harkita ihan oikeata type-1 hyperviisoria kuten ilmainen Proxmox tai sitten VMware ESXi josta löytyy kotikäyttöön ilmaisversio. Itsellä on ESXi serverissä ja olen ollut erittäin tyytyväinen siihen.
 
Kokeilin juuri pfSense 2.4.4:ssä "ASIX Elec. Corp. AX88179" USB3-Eth -sovitinta, jota on satunnaisesti käytetty Windows 10:ssä, Rasperry Pi 3B+:ssa ja ensimmäisessä hostissa myös sillattuna VirtualBoxin Ubuntuun. Hyvin tunnistui pfSenseen, tosin koska käytössä on myös LTE USB/Wifi-mokkula niin jotain extroja usb-drivereita voi olla apuna.

Kokeilitko tuleeko mitään ongelmia jos siirtelet isompia määriä dataa sisään/ulos USB-verkkokorttia käyttäessä?
 
Kokeilitko tuleeko mitään ongelmia jos siirtelet isompia määriä dataa sisään/ulos USB-verkkokorttia käyttäessä?
En tuolla nimenomaisella ASIX USB3-Eth3:lla, koska se ei kuulu vakituiseen kokoonpanoon. Sen sijaan USB:llä liitetty Huawei E5573s-320 (Elisa) on siirtänyt pelkästään tänä vuonna in+out n. 154 GB samantyyppisellä ue-interfacella.
 
Itselle tulossa Telian kuitu, tosin otan varmaan aluksi vain 100/100, mutta nälkä voi kasvaa syödessä. Tällähetkellä on reitittimenä Netgear WNDR 3700V1 openwrt:llä. Nykyisen VDSL2:n (50/10) kanssa tuossa on riittänyt vielä potkua SQM QOS (cake) shaperiin. Osaako joku sanoa, riittääkö enää jatkossa?
No helpoinhan se on toki testata, kun liittymä tulee. Olen nyt vain alkanut vähän katsella vaihtoehtoja, ja tuollanen pc enginen APU2 vekotin olisi kyllä kiva. Kallishan se toki on. WIfin kanssa hinta oli jossain 260€ tuntumassa kaiken kaikkiaan. Openwrt:llä haluaisin jatkaa. Olen myös miettinyt helppoja vaihtoehtoja kuten Netgear R7800, Linksyssin WRT1900ACS ja WRT3200ACS:ää, mutta epäselvää on vähän niidenkin tehot shaperin kanssa.
 
Itselle tulossa Telian kuitu, tosin otan varmaan aluksi vain 100/100, mutta nälkä voi kasvaa syödessä. Tällähetkellä on reitittimenä Netgear WNDR 3700V1 openwrt:llä. Nykyisen VDSL2:n (50/10) kanssa tuossa on riittänyt vielä potkua SQM QOS (cake) shaperiin. Osaako joku sanoa, riittääkö enää jatkossa?
No helpoinhan se on toki testata, kun liittymä tulee. Olen nyt vain alkanut vähän katsella vaihtoehtoja, ja tuollanen pc enginen APU2 vekotin olisi kyllä kiva. Kallishan se toki on. WIfin kanssa hinta oli jossain 260€ tuntumassa kaiken kaikkiaan. Openwrt:llä haluaisin jatkaa. Olen myös miettinyt helppoja vaihtoehtoja kuten Netgear R7800, Linksyssin WRT1900ACS ja WRT3200ACS:ää, mutta epäselvää on vähän niidenkin tehot shaperin kanssa.
Mihin ja miksi noin raju traffic shaper? CodelQ olisi kevyempi.
Itsellä on tuo APU2, ja CodelQ:lla ajelen siksi, että AndroidTV:n appit saavat pakettia sisään ja ulos samaan aikaan kun linux-distroa lataan torrentilla. Tuommoista APU2 jaksaa mainiosti.
 
Mihin ja miksi noin raju traffic shaper? CodelQ olisi kevyempi.
Itsellä on tuo APU2, ja CodelQ:lla ajelen siksi, että AndroidTV:n appit saavat pakettia sisään ja ulos samaan aikaan kun linux-distroa lataan torrentilla. Tuommoista APU2 jaksaa mainiosti.
APU2 varmasti jaksaakin, en epäile yhtään. Siis eikai tuo piece-of-cake nyt mikään raju ole ? Eikös sen pitänyt olla kevyt kuin höyhen verrattuna vanhoihin ?
 

Uusimmat viestit

Statistiikka

Viestiketjuista
257 526
Viestejä
4 475 628
Jäsenet
73 945
Uusin jäsen
JsKK

Hinta.fi

Back
Ylös Bottom