Tee-se-itse: Rautapalomuurit (pfSense, Sophos UTM..) (Mitä käytätte ja miksi juuri se vaihtoehto?)

[escalibur]

@user9999 johtuisikohan tuo NordVPN:n omasta perseilystä? Lawsuit Names NordVPN, Tesonet in Proxy Data Extraction Scheme

 

[user9999]

Pari viikkoa ollu pfBlockerNG käytössä Bootissa nollaantuu näköjään nuo aikaisemman viestin NordVPN ip blokkaukset eli näyttää nollaa...

Pitäisköhän ajaa AdGuard Home alas

 

[escalibur]

Pitäisköhän ajaa AdGuard Home alas

"Keep it simple" (palikoiden määrä minimiin), eli pitäisi.

 

[teemz]

Onkos ihmisillä millaisia käytännön kokemuksia näistä vakavammista reitittimistä ja palomuureista kotikäytössä verrattuna valmispurkkeihin tai modeemien omiin toteutuksiin? Mitkä on olleet isoimpia parannuksia jotka kunnollisen reitittimen/palomuurin myötä olette havainneet?

Kun olen itse arponut, että kannattaisikohan sitä hankkia purkki pf/opnSenselle tai Sophos UTM:lle tai XG:lle. Vai riittäisikö Netgear R7800 tai vastaava kunnollinen kotireititin. Vai jatkaisiko sitä samalla linjalla joka on jo vuosia ollut riittävä, eli adsl/vdsl/kaapelimodeemipurkin omilla palomuureilla ja reitityksillä.

Ei ole ihmeemmin osannut kaivata mitään lisää modeemien omien toteutusten ohella, eikä ole ollut ongelmiakaan yhteyden kanssa. Myös kaapelimodeemi hanskaa 1000M/50M yhteyden ongelmitta, dslreportsin testissä tulee A+ kaikista eikä pätkimistä tai muita ongelmia ole ollut, päällä puhaltaa varuiksi tuuletin, ettei laite kuumene liikaa. Eli nopeudessa tai verkon toiminnassa ei ole peruskamppeilla ollut ongelmia, niin mennään sinne featureiden puolelle parannuksen hakemisessa.

Tässä vaihtui liittymä gigabitin kaapelimodeemiin, niin testasin tähän asti tukiasemana olleen Archer C7:n nopeutta, niin eihän se pystynyt likikään gigabitin nopeuteen vaan jäätiin sinne 500 megan paikkeille. Siinä kivaa oli kaikkien verkon laitteiden näppärä näyttäminen, ei vain wlania tai dhcp:tä käyttävien, mutta esim snmp:tä tuossakaan ei ole vaan verkonkäytön tiedot joutuu upnp:llä hakemaan jos niistä haluaa esim mrtg:llä käppyröitä piirrellä.

 

[escalibur]

@teemz Jotta asioita ei tarvitsisi jatkuvasti toistaa, löydät miltei kaikki vastaukset lukemalla tämän ketjun aiempia viestejä. Osa vastauksista löytyy myös YouTube-videoiden muodossa.

 

[teemz]

@teemz Jotta asioita ei tarvitsisi jatkuvasti toistaa, löydät miltei kaikki vastaukset lukemalla tämän ketjun aiempia viestejä. Osa vastauksista löytyy myös YouTube-videoiden muodossa.

Joo, ketju on tullut luettua jo läpi, mutta kaipaisin vertailua vaihtoehtoihin, että mitä parannusta on käytännössä havaittu. Ja toisaalta onko jotain huonompaa havaittu. Tai onko joku todennut, että eipä ollut tarpeen tällainen ratkaisu omassa käytössä ja vaihtaa takaisin yksinkertaisempaan malliin jopa modeemin omilla toiminnoilla. Eli sellaiset korkean tason "mikä on hyvää verrattuna entiseen ratkaisuun" - käytännön kommentit olisi arvokkaita.

Itsellä esim oli ikuisuus sitten pelkän siltaavan kaapelimodeemin perässä linux-purkki joka hoiti reititykset ja muut, mutta kun yhteys vaihtui, niin tuosta oli helppoa luopua kun uusi modeemi hoiti oleelliset toimet yhtä hyvin ja pienemmällä vaivalla. Mutta tässä 15 vuodessa asiat on muuttuneet paljon.

Esim pfBlockerin tyyppisiä ominaisuuksia ei perusreitittimissä näytä olevan. Ulosmenevän liikenteen rajaus on hyvä tietoturvaparannus, mutta sisääntulevan liikenteen estojen suhteen mietityttää, että onko se kuitenkaan näppärää että mainostenesto on palomuurissa eikä selaimessa. Selaimesta on adblock helppo ottaa pois päältä jos joku sivu ei toimi. Mutta palomuurin säätö kenen tahansa käyttäjän toimesta tarpeen mukaan ei ole toimiva ratkaisu. Paljonko sitten itse ylläpidon roolissa joutuu noiden kanssa säätämään kun sivu tai palvelu x ei syystä y toimi hetkellä z käyttäjällä å.

 

[escalibur]

Joo, ketju on tullut luettua jo läpi, mutta kaipaisin vertailua vaihtoehtoihin, että mitä parannusta on käytännössä havaittu. Ja toisaalta onko jotain huonompaa havaittu. Tai onko joku todennut, että eipä ollut tarpeen tällainen ratkaisu omassa käytössä ja vaihtaa takaisin yksinkertaisempaan malliin jopa modeemin omilla toiminnoilla. Eli sellaiset korkean tason "mikä on hyvää verrattuna entiseen ratkaisuun" - käytännön kommentit olisi arvokkaita.

Itsellä esim oli ikuisuus sitten pelkän siltaavan kaapelimodeemin perässä linux-purkki joka hoiti reititykset ja muut, mutta kun yhteys vaihtui, niin tuosta oli helppoa luopua kun uusi modeemi hoiti oleelliset toimet yhtä hyvin ja pienemmällä vaivalla. Mutta tässä 15 vuodessa asiat on muuttuneet paljon.

Esim pfBlockerin tyyppisiä ominaisuuksia ei perusreitittimissä näytä olevan. Ulosmenevän liikenteen rajaus on hyvä tietoturvaparannus, mutta sisääntulevan liikenteen estojen suhteen mietityttää, että onko se kuitenkaan näppärää että mainostenesto on palomuurissa eikä selaimessa. Selaimesta on adblock helppo ottaa pois päältä jos joku sivu ei toimi. Mutta palomuurin säätö kenen tahansa käyttäjän toimesta tarpeen mukaan ei ole toimiva ratkaisu. Paljonko sitten itse ylläpidon roolissa joutuu noiden kanssa säätämään kun sivu tai palvelu x ei syystä y toimi hetkellä z käyttäjällä å.

Tässä löydät miltei kaikki vastaukset "miksi pfsense eikä purkki xyz":

 

[mikkelson]

Nykyinen reititin Asus RT-N66U on alkanut tuottamaan sen verran paljon ongelmia kotona, että olen alkanut harkitsemaan uuden ostoa ja vaihtoehtoja tutkiessa törmäsin sitten tähän pfSenseen.

Tällä hetkellä kotona on ubuntuserveri pyörittämässä nassia, plex-serveriä ja home assistanttia 24/7 niin ajattelin, että jos tuohon sitten lisäsisi pfSensen virtuaalikoneena. Pitäisi vain hankkia ebaystä joku intelin verkkokortti, että saisi tuohon koneeseen pfSenselle oman wan- ja lan-portin.

Kysymys kuuluu, että jos käytän vanhaa reititintä jatkossa pelkästään langattoman verkon tukiasemana, niin voiko sen yhdistää samaan lähiverkkoon kytkimellä vai tarviiko se kytkeä suoraan tähän serveriin; jolloin tarvitsisin vielä kolmannen verkkoportin tuohon wanin ja lanin lisäksi?

 

[heebo1974]

Kysymys kuuluu, että jos käytän vanhaa reititintä jatkossa pelkästään langattoman verkon tukiasemana, niin voiko sen yhdistää samaan lähiverkkoon kytkimellä vai tarviiko se kytkeä suoraan tähän serveriin; jolloin tarvitsisin vielä kolmannen verkkoportin tuohon wanin ja lanin lisäksi?

Voit kytkeä kytkimeen. Itselläni on juurikin niin tehty. Eli APUD0 purkki jossa pfSense, sitten erillinen gigabitin 16 porttinen kytkin, jossa on sitten vanha Netgear WNDR3700v1 (openwrt) pelkkänä access pointtina.

 

[Khauron]

Asus RT-N66U toimii mallikkaasti, kun pistät sen Access Point modeen ja pamautat samaan lähiverkkoon kytkimen läpi. Et siis tarvitse palvelimessa kuin kaksi verkkoreikää, LANin ja WANin.

 

[teemz]

Tuli testattua muutamaa vaihtoehtoa virtuaalikoneessa. Ja olin yllättynyt, että noitahan voi näppärästi demota ihan yhdellä verkkokortilla ja yhdellä verkolla. Määrittää vain virtuaalikoneelle kaksi verkkokorttia, ei haittaa vaikka ovat fyysisesti samassa verkossa. Lanille uusi ip-alue, niin nattaus toimii nätisti wan-verkon ja lan-verkon ip-osoitteiden välillä.

Pikaisesta demoilusta havaintona, että IPFire, pfSense tai Sophos UTM eivät tarjonneet mitään itsella oleellista parempaa kuin perusreitittimet. Sitten toisaalta ne on kuitenkin tarpeettoman monimutkaisia ja sen myötä käyttöliittymät on epäkäytännöllisiä omaan perus kotikäyttöön. Niitä muutamaa oleellista asiaa joutuu etsimän sadan epäoleellisen joukosta. Sophos XG jäi testaamatta kun ei suostunut asentumaan.

Esim DD-WRT tai Asuksen yms valmisreitittimien käyttöliittymät on omiin pieniin tarpeisiin sopivampia. Kun ei sen erikoisempia tarpeita ole, niin ominaisuudetkin noissa riittää itselle. Tuolla on linkkejä eri reitittimien käyttöliittymä-demoihin, pääsee vähän katsomaan millaisia ovat. Router Emulators | HighSpeed.Tips

Yhteenvetona tässä tapauksessa mun ei kannata lähteä ostamaan Shuttlea tai Fitlettiä ja laittaa siihen tarpeettoman monipuolista ja monimutkaista palomuuria/reititintä. Sophokset ja pfSenset eivät tarjoa itselle oleellista parannusta ja niistä löytyville ominaisuuksille ei ole itsellä käyttöä. Eivät siis tarjoa riittävästi hyötyjä lisääntyneeseen vaivaan ja käytettyyn rahaan nähden. Hienohan noiden kanssa on säätää, mutta säätökuumeseen voi hankkia sitten muita laitteita.

Oli näppärää ja hyödyllistä demoilla noita virtuaalikoneessa, muutaman tunnin kokeilulla oppi paljon.

 

[escalibur]

SACK Panic - CVE-2019-11477 - Multiple TCP-based remote denial of service issues : PFSENSE

New vulnerabilities may let hackers remotely SACK Linux and FreeBSD systems


..meanwhile at pfSense:

CVE-2019-5599 (SACK Panic) : PFSENSE

Spoileri

 

[user9999]

Jotain ei niin vakavaa löytyy näköjään pfBlockerNG:stä.
Fixing PfBlocker-NG weak cipher and DH Strength Vulnerabilities
Täytyy taas jossain vaiheessa ajaa omaan verkkoon Nessus ja Kali linuxilla skannaukset. Aina löytyy jotain pientä.

 

[McPaHa]

Osaisiko joku jeesata tai heittää hyvää linkkiä.. en heti vaan löytänyt oikeaa kvg-ohjetta... Eli tarpeena olisi määritellä 192.168.1.0/24 sisäverkosta vain ja ainoastaan kaksi osoitetta openvpn clientille (nordvpn). Tämän ohjeen mukaan yritin muttei noob vaan osaa modata tuota ohjetta...

How to setup OpenVPN on pfSense | NordVPN

edit: en kovin mielelläni lähtisi noita kahta laitetta laittamaan omaan aliverkkoonsa koska silloin joudun taas tekemään muita reititysmäärittelyitä...

 

[Obi-Lan]

 

[brm]

Osaisiko joku jeesata tai heittää hyvää linkkiä.. en heti vaan löytänyt oikeaa kvg-ohjetta... Eli tarpeena olisi määritellä 192.168.1.0/24 sisäverkosta vain ja ainoastaan kaksi osoitetta openvpn clientille (nordvpn). Tämän ohjeen mukaan yritin muttei noob vaan osaa modata tuota ohjetta...

How to setup OpenVPN on pfSense | NordVPN

Ohjeen mukaan ilmeisesti kaikki liikenne LAN verkosta lähtee VPN:n kautta ulos. Joten sen sijaan että muokkaat olemassa olevaa "Default allow LAN to any" sääntöä niin kopioi se ja tee muutokset uuteen sääntöön. Siihen valitaan source kohtaan joko alias joka sisältää halutut ip:t tai sitten ip-alue (jos peräkkäiset). Tämä uusi sääntö siirretään tuon "Default allow LAN to any" säännön eteen.

Jotenkin noin muistelisin että tein sen OPNsensen kanssa, en nyt pääse kurkkaamaan noita asetuksia koska muuri telakalla. Kytkin poltti päreet ja rikkoi samalla lan-portin joten uutta rautaa odotellessa.

 

[Obi-Lan]

Onks jossain oikeat URLit tms noihin ylimääräisiin EasyListeihin? Kokeilin lisätä Suomea DSNBL feediin, mutta:

[ EasyList_Finland ] Downloading update .. 200 OK
Remote timestamp missing

Terminated - Easylists can not be used.

 

[Barbarossa]

Tästä se lähtee.

 

[miikkahoo]

Tästä se lähtee.

Näitä oon pyöritelly tässä viikon päivät eri kauppojen ostoskorissa ja tarve olis tilata.
Mihin malliin päädyit ja mistä tilasit? [emoji848]

Sent from my TA-1004 using Tapatalk

 

[Barbarossa]

Näitä oon pyöritelly tässä viikon päivät eri kauppojen ostoskorissa ja tarve olis tilata.
Mihin malliin päädyit ja mistä tilasit? [emoji848]

Sent from my TA-1004 using Tapatalk

Malli APU2D4, eli 4GB RAM ja 3x i210AT NIC. Paketti sisältää myös kotelon, 16GB mSATA SSD:n ja virtalähteen.

Myyjä oli Varia-Store Saksasta, joskin tilasin liikkeen eBay-kaupasta koska minulla oli eBayssa jostakin tullut -10% alennuskoodi. Eli tämä paketti ja päälle USB-sarjaporttiadapteri, toimituskulut yhdistettynä himpan alle 200e.

Ehkä olisi jostakin saanut halvemmallakin jos olisi jaksanut metsästää, mutta alitti jo kynnyksen nyt

 

[escalibur]

Onks jossain oikeat URLit tms noihin ylimääräisiin EasyListeihin? Kokeilin lisätä Suomea DSNBL feediin, mutta:

[ EasyList_Finland ] Downloading update .. 200 OK
Remote timestamp missing

Terminated - Easylists can not be used.

Ettei vaan olisi hetkellinen ongelma? Time stamp puuttuu tjsp.

Katsoin oman viimeöisen päivityksen ja hyvin näyttäisi toimivan.

[ EasyList_Finland ]         exists. [ 06/27/19 03:30:28 ]
------------------------------------------------------------------------
Assembling DNSBL database... completed
TLD:
TLD analysis. completed [ 06/27/19 03:30:31 ]
TLD finalize..........
 ----------------------------------------
 Original    Matches    Removed    Final     
 ----------------------------------------
 51532       11120      19345      32187     
 -----------------------------------------
TLD finalize... completed [ 06/27/19 03:30:32 ]

Saving DNSBL database... completed
Reloading Unbound Resolver..... completed [ 06/27/19 03:30:33 ]
DNSBL update [ 32187 | PASSED  ]... completed
------------------------------------------------------------------------

 

[escalibur]

Suosittelen kaikille pfSensen käyttäjille arpwatch lisäriä. Se hälyttää sähköpostiin, jos sisäverkossa alkaa ilmestyä uusia osoitteita ts. clienteja. Se on osaamattomille tunkeilijoille todellinen riesa, koska sen olemassaoloa on hankala havaita. Etenkin ilman pääsyä palomuurin hallintaan.

 

[Rensu]

Suosittelen kaikille pfSensen käyttäjille arpwatch lisäriä. Se hälyttää sähköpostiin, jos sisäverkossa alkaa ilmestyä uusia osoitteita ts. clienteja. 

Juu voin suositella, itellä on ollut käytössä pitkän aikaa. Jossain vaiheessa tuon kans oli jotain matoja ja se alkoi puskeen sähköpostia 180viestiä/minuutissa. Muistaakseni jokin päivitys rikkoi jotain ja siitä käynnistyi kaksi instanssia. Viime aikoina on pelannut kyllä normaalisti.

 

[miikkahoo]

Itselläkin on tuo Arpwatch käytössä, aiheutti myös ihmettelyn aihetta kun tasaisen epätasaisin väliajoin verkkoon ilmestyi WiFin kautta "uusia laitteita" randomeilla MAC osoitteilla.
Kävi ilmi että poika oli päivittäny Win10 läppärin uusimpaan buildiin ja löytänyt WiFi asetuksista vivun joka ottaa joka yhdistämiskerralla uuden MAC osoitteen käyttöön. Ilmeisesti joku seurantaa estävä ominaisuus.
Asetuksen voi onneksi valita SSID-kohtaisesti ja enää ei tule näitä false-positiveja.

 

[user9999]

Otin sitten Arpwatchin käyttöön. Ihan järkevä softa

 

[user9999]

Shuttle XPC slim DS77U ja DS68U laitteisiin julkaistu uudet bios versiot.

Shuttle Global - DS77U SERIES
Shuttle Global - DS68U

Release Date: 2019/07/01
1. Update uCode.
2. Update ME.

 

[Gobi]

Noni, sain APU4C4een viimein toisen SSDn ja molemmat mirroriin. Tuolla haen käyttövarmuutta pitemmällä aikavälillä, saa nähdä miten kiinan-SSDt toimaa. Toinen levy on mSATA-paikassa ja toinen Teklagerilta tilatulla SATA-kaapelilla SATA-väylässä. Levyinä 2x KingSpec 64Gb mSATA SSD ja toisen levyn sain toimimaan SATA-paikassa adapterilla.

PfSensen asetukset ja paketit palautui nätisti Diagnostic - Backup&Restoren kautta.

 

[dataaja95]

Olisi tarkoituksena rakentaa palomuuriratkaisu ttäysin uudelleen ja siirtyä pois debianpohjaisesta shorewallilla hallittavasta järjestelmästä pf:ää käyttäviin ratkaisuihin niin yksinkertainen kysymys on. Kumpi järjestelmistä on parempi OPNsense vai pfSense? OPNsense on forkki pfSensestä ja mitä nopeasti lueskelin niin vaikuttavat suhtkoht samanlaisilta mutta mitä tyypit sanovat onko asia näin. Kumpi on parempi eli kumpi kannattaisi nörtin asentaa. Käyttökokemuksia varsinkin OPNsensestä otetaan vastaan. pfSense jo itselleni suhtkoht tuttu mutta säätäminen uuden kokeilu ja testaaminenhan se kivaa on.

 

[escalibur]

Olisi tarkoituksena rakentaa palomuuriratkaisu ttäysin uudelleen ja siirtyä pois debianpohjaisesta shorewallilla hallittavasta järjestelmästä pf:ää käyttäviin ratkaisuihin niin yksinkertainen kysymys on. Kumpi järjestelmistä on parempi OPNsense vai pfSense? OPNsense on forkki pfSensestä ja mitä nopeasti lueskelin niin vaikuttavat suhtkoht samanlaisilta mutta mitä tyypit sanovat onko asia näin. Kumpi on parempi eli kumpi kannattaisi nörtin asentaa. Käyttökokemuksia varsinkin OPNsensestä otetaan vastaan. pfSense jo itselleni suhtkoht tuttu mutta säätäminen uuden kokeilu ja testaaminenhan se kivaa on.

pfSense on ehdottomasti parempi valinta. OPNSense ei taida tehdä mitään sellaista, mitä pfSensella ei pystyisi tekemään. En näe järkeä asentaa noita sörkittyjä forkkauksia kun alkuperäinen on loistava sellaisenaan.

 

[Barbarossa]

Olisi tarkoituksena rakentaa palomuuriratkaisu ttäysin uudelleen ja siirtyä pois debianpohjaisesta shorewallilla hallittavasta järjestelmästä pf:ää käyttäviin ratkaisuihin niin yksinkertainen kysymys on. Kumpi järjestelmistä on parempi OPNsense vai pfSense? OPNsense on forkki pfSensestä ja mitä nopeasti lueskelin niin vaikuttavat suhtkoht samanlaisilta mutta mitä tyypit sanovat onko asia näin. Kumpi on parempi eli kumpi kannattaisi nörtin asentaa. Käyttökokemuksia varsinkin OPNsensestä otetaan vastaan. pfSense jo itselleni suhtkoht tuttu mutta säätäminen uuden kokeilu ja testaaminenhan se kivaa on.

Pallottelin myös näiden kahden välillä, objektiivista vertailua näiden kahden välillä ei oikein löydy. Ilmeisesti projektien välillä liikaa pahaa verta ja/tai fanaattisia käyttäjiä kummassakin leirissä.

Joutunee kokeilemaan itse kumpaakin. Päädyin aloittamaan OPNsensellä ihan silkan Netgaten osoittaman ammattimaisuuden vuoksi. Jos tuntuu että sillä jää jostakin paitsi niin kokeillaan sitten pfSenseäkin.

pfSense on ehdottomasti parempi valinta. OPNSense ei taida tehdä mitään sellaista, mitä pfSensella ei pystyisi tekemään. En näe järkeä asentaa noita sörkittyjä forkkauksia kun alkuperäinen on loistava sellaisenaan.

Mutta jos molemmat pystyvät samaan niin mikä pfSensestä tekee paremman valinnan?

 

[Khauron]

Samoja paketteja OPNsensen ja pfSensen välillä ei löydy. Vaikka nyt pfBlockerNG ja ARPwatch. ARPwatchista on toisenniminen softa, mutta pfBlockerNG:tä ei löydy. Se on itselle show-stopper.
Mielestäni myös pfSenselle on paremmin vertaistukea; oikeastaan mikä ongelma tahansa, niin ilmaisilta forumeilta löytyy tietoa asiasta.

 

[Matias.H]

Onko kukaan koittanut miten hyvin Celeron J3455 (fitlet2) tai vastaava prossu jaksaa pyörittää OpenVPN servua?

 

[user9999]

Onko kukaan koittanut miten hyvin Celeron J3455 (fitlet2) tai vastaava prossu jaksaa pyörittää OpenVPN servua?

En muista, että kukaan olisi testannut.
Itse testasin alla olevan kokoonpanon

Shuttle XPC slim DS77U, jossa Intel Kabylake-U Celeron 3865U 15W CPU.
Tee-se-itse: Rautapalomuurit (pfSense, Sophos UTM..) (Mitä käytätte ja miksi juuri se vaihtoehto?)

 

[iccb]

Onko kukaan koittanut miten hyvin Celeron J3455 (fitlet2) tai vastaava prossu jaksaa pyörittää OpenVPN servua?

Itselläni pyörii fitlet2:ssa ipfire jossa myös openVPN. En ole nopeusennätyksiä kokeillut, mutta ihan hyvin on riittänyt yhdelle käyttäjälle mitä on tarvinnut koulusta kotiin välillä tarvinnut ottaa yhteyksiä. Nettikaista on 1000/100, mielestäni hyvin riittää sen mitä kotoa päin ulos lähtee...

 

[Barbarossa]

Samoja paketteja OPNsensen ja pfSensen välillä ei löydy. Vaikka nyt pfBlockerNG ja ARPwatch. ARPwatchista on toisenniminen softa, mutta pfBlockerNG:tä ei löydy. Se on itselle show-stopper.
Mielestäni myös pfSenselle on paremmin vertaistukea; oikeastaan mikä ongelma tahansa, niin ilmaisilta forumeilta löytyy tietoa asiasta.

Itse kun siirtymässä Anuksen lelusta ja Asuswrt-Merlinistä oikeaan maailmaan niin ei oikein osaa vielä edes kaipailla kummoisia.

pfBlockerNG käsittääkseni on jonkinlainen DNSBL ratkaisu jolle saa valmiita block listejä haettua, vähän kuin PiHole(?) mutta sulautuu nätisti osaksi pfSenseä. Tälle keksisin kyllä käyttöä, saa nähdä osoittautuuko puute omalta osalta showstopperiksi.

 

[escalibur]

Mutta jos molemmat pystyvät samaan niin mikä pfSensestä tekee paremman valinnan?

Esim se ettei pfsensen kohdalla tarvitse odottaa OPNsensen devaajien copy-pastettavan päivitettyä koodia omaan räpellykseen. Tom Lawrencekin on useasti todennut ettei näe järkeä koko OPNsensessa koska se ei tarjoa yhtään mitään mitä pfSense ei tarjoa. Mitä sivusta seurasin, OPNsensen suosio ei ikinä lähtenyt sen kummempaan kasvuun. Uskon se johtuvan ainakin osittain koko frokkauksen mitäänsanomattomuudesta. "Keep it simple" pätee tässäkin tapauksessa.

Toki jokainen voi testata mitä haluaa jos on seikkailuhalukkuutta ja aikaa.

pfBlockerNG käsittääkseni on jonkinlainen DNSBL ratkaisu jolle saa valmiita block listejä haettua, vähän kuin PiHole(?) mutta sulautuu nätisti osaksi pfSenseä. Tälle keksisin kyllä käyttöä, saa nähdä osoittautuuko puute omalta osalta showstopperiksi.

pfBlockerNG ei ole pelkkä DNS-suodatin kuten Pihole, vaan hieman enemmän. pfBlockerNG osaa suodattaa myös IP-liikenteen ilman DNS-nimiä.

Tässä on esim. minun tämänhetkinen setuppi: Tee-se-itse: Rautapalomuurit (pfSense, Sophos UTM..) (Mitä käytätte ja miksi juuri se vaihtoehto?)

 

[Lagittaja]

Mitä sivusta seurasin, OPNsensen suosio ei ikinä lähtenyt sen kummempaan kasvuun.

Tuo näkyy Google trendsissäkin, Worldwide 2004 eteenpäin:

Jos tuosta nappaa 2015 eteenpäin sen CSV:n niin pfSensen keskiarvo kiinnostus näyttäisi olleen 77.7 vs OPNsense 4.4. Viimeisen vuoden ajalta vastaavasti 66.6 vs 7.8.

Numbers represent search interest relative to the highest point on the chart for the given region and time. A value of 100 is the peak popularity for the term. A value of 50 means that the term is half as popular. A score of 0 means that there was not enough data for this term.

En minäkään näe OPNsensessä mitään spesiaalia syytä sen käyttämiseen. Toki jos siltä tuntuu niin mikäs siinä. Mutta onhan se nyt aika selvä asia että pfSense on suositumpi joten siihen myös käytetään enemmän resursseja esimerkiksi niiden lisäosa pakettien kannalta.

 

[dataaja95]

Eli pfSense lähtee siis asennukseen. pf Blockerin puuttuminen OPNsensestä on jo iso show-stopper ja jos tosiaan mentaliteetti on copypastetaan pfSensen koodia omaan tuotantokoodiin ja toivotaan että homma toimii niin ei kuulosta kauhean lupaavalta. Arpwatch pitää kyllä asentaa. Sitä joskus testasinkin ja toimi oikein jees. Ehkä testailen OPNsenseä virtuaaliympäristössä. Mutta pakko kysyä mikä ihme juttu tämä on. Miksi netgate tekisi näin mitä tässä tekstissä kerrotaan?
WIPO Domain Name Decision: D2017-1828

 

[brm]

Esim se ettei pfsensen kohdalla tarvitse odottaa OPNsensen devaajien copy-pastettavan päivitettyä koodia omaan räpellykseen.

Tuskinpa tuo menee copy/pasten kautta, ymmärtääkseni iso osa koodista kirjoitettu uudelleen sen jälkeen kun tuo on forkattu. Mut joo, molemmat ilmaisia joten ei maksa mitään kokeilla ja tehdä omat johtopäätökset.

Itsellä oli aikoinaan pfSense mutta niin paljon ongelmia Realtek korttien kanssa johtuen pääosin vanhoista ajureista, niin pakko vaihtaa pois. OPNsensellä tuolloin (~2 vuotta sitten) tuoreemmat ja niillä toiminut Ok, toki muita ongelmia ollut sitten vastaavasti OPNsensen puolella joita ei pfSensellä ollut.

 

[Obi-Lan]

Reilun viikon kerkesi SG-1100 kukkua ennen kuin katosi verkosta, virta bootin jälkeen jäi boot looppiin josta pääsi pois kun boottasi single modeen ja veti fsck kolme kertaa (tuki kehoitti ajamaan nimenomaan kolme kertaa). Ei nyt kauhean vahva alku ollut vielä.

 

[Barbarossa]

Tuskinpa tuo menee copy/pasten kautta, ymmärtääkseni iso osa koodista kirjoitettu uudelleen sen jälkeen kun tuo on forkattu. Mut joo, molemmat ilmaisia joten ei maksa mitään kokeilla ja tehdä omat johtopäätökset.

Tämä pfSense vs OPNsense keskustelu on niin siiloutunutta joka paikassa että objektiivisuutta saa hakea. Vaikka pitäisi paikkansa niin vaikea siihen on luottaa jos se tulee enemmän tai vähemmän katkeralta kuulostavan parranpärinän seasta. Saa ffmpeg <-> libav skisman tuntumaan sydämelliseltä naljailulta.

 

[Khauron]

Reilun viikon kerkesi SG-1100 kukkua ennen kuin katosi verkosta, virta bootin jälkeen jäi boot looppiin josta pääsi pois kun boottasi single modeen ja veti fsck kolme kertaa (tuki kehoitti ajamaan nimenomaan kolme kertaa). Ei nyt kauhean vahva alku ollut vielä.

Ufs vai zfs käytössä?

 

[Obi-Lan]

Ufs vai zfs käytössä?

UFS näyttäis olevan

 

[escalibur]

Reilun viikon kerkesi SG-1100 kukkua ennen kuin katosi verkosta, virta bootin jälkeen jäi boot looppiin josta pääsi pois kun boottasi single modeen ja veti fsck kolme kertaa (tuki kehoitti ajamaan nimenomaan kolme kertaa). Ei nyt kauhean vahva alku ollut vielä.

Mätäisiä omenoita voi olla missä vain korissa. Kerro miten lopulta kävi.

 

[Khauron]

Liittynee varmaan tähän ongelmaan ufs:n kanssa: pfSense UFS filesystem corruption after power loss
Redditissä on tuosta myös juttua. Pelästyin tuota omalla kohdallani sen verran, että vetäisin aikanaan re-installin zfs:llä. Ei ole ollut mitään file-system ongelmia sen koommin.

 

[escalibur]

Liittynee varmaan tähän ongelmaan ufs:n kanssa: pfSense UFS filesystem corruption after power loss
Redditissä on tuosta myös juttua. Pelästyin tuota omalla kohdallani sen verran, että vetäisin aikanaan re-installin zfs:llä. Ei ole ollut mitään file-system ongelmia sen koommin.

Itselläkin on ZFS käytössä.

 

[Sampo_91]

Tuli hankittua jokin aika sitten tuollainan Qotomin Q355G4 (i5 5200U, 8GB RAM, 128GB SSD). Ensimmäisen kerran se laukesi noin kahdessatoista tunnissa ja vietti sitten neljä kuukautta takuumatkalla. Nyt se on jo viikon pyörittänyt ESXi:tä, jolla on kaksi virtuaalia: pfSense ja Windows Server 2019. Lopulta minut sai pfSensen valitsemaan se tosiseikka, että samalla konfiguraatiolla 2vCPU/1GB/8GBHDD saan iperf3-testissä vmxnet3:a hyödyntäen koko gigabitin käyttöön. Samaan aikaan OPNsense jäi vain noin 600 megabittiin, vaikka käytin VMWarelle suositeltuja asetuksia eli E1000e:tä. Toki kokeilin myös VMXNetiä, mutta samankaltaisiin tuloksiin päädyin. Ilmeisesti HardenedBSD ei ole aivan yhtä sopiva VMWarelle.

Oli distro mikä hyvänsä, niin yksi yhteinen ongelma näillä on. Telian 6rd ei lähde toimimaan millään. WANista kun laittaa päällle 6rd:n ja LANista track interfacen, niin vaikka pfSense saakin osoitteet sekä WANin että LANin puolelle, mitään muuta ei sitten tapahdukaan. OPNsensellä luin jotain ongelmista /64 prefixin kanssa, mutta minun IPv6-osaamiseni loppuu, kun pitäisi manuaalisesti prefixejä alkaa määrittää.

Ymmärtääkseni @olkitu on joskus tuota käyttänyt? VIeläkö pfSense pyörii? Palomuurissa on se perus IPV6 -> LAN Net -sääntö, mutta tarvitseeko sinne lisätä jotain muutakin?

 

[tapsa]

Mulla tuo telian 6rd toimii ok, firewall puolelle olen wan interfaceen avannut ipv6icmp liikenteen la lanipuolelle ipv6 liikenteen ja noilla toimii.

 

[tapsa]

No tulipa testattua uudelleen ja ei toimikkaan oliskohan telialla vikaa

 

[heebo1974]

Olisiko pikku tutoriaalia IPv6 autistille ? Kuinka käyttöön pfSensessä Telian kanssa ? Vähän se kyllä pelottaa...
Onko Ipv6:sta oikeasti mitään hyötyä, jos ei oikeestaan edes tajua mikä se on.
Vai luonko vain ongelmia, jos sen ottaisin käyttöön ?