Tee-se-itse: Rautapalomuurit (pfSense, Sophos UTM..) (Mitä käytätte ja miksi juuri se vaihtoehto?)

Pistetääs nyt tännekin tämä:
pfSensen sai konffattua näköjään kivuttomasti käyttämään tuota DoT:ia, nyt kun tajusin tutkia asiaa :).

Jos jotakin kiinnostaa, niin näitä ohjeita mukaillen näyttäis onnistuvan: Setup DNS over TLS on pfSense 2.4.4 p2 - Guide

Tässä omat asetukset:
dns-server_settings.JPG
General_DNS_Resolver.JPG
 
Pystyykö tuota pfSensen 1-to-1 NAT:ia hyödyntämään dynaamisilla ip:llä?

Mietin, että olisi mukava saada ne liittymään kuuluvat 5 julkista vaihtuvaa ip:tä käyttöön, niin että eri palveluilla olisi oma ip sen sijaan, että joutuu muuttamaan portteja, että saa esim kaksi www-palvelua toimimaan rinnakain.

[edit] Taitaa ainoo mahdollisuus olla hankkia pari verkkorttia lisää WAN-porteiksi.
 
Viimeksi muokattu:
[edit] Taitaa ainoo mahdollisuus olla hankkia pari verkkorttia lisää WAN-porteiksi.
Tämä riippuu myös ISP:n tavasta jakaa julkisia IPv4-osoitteita. Huonoimmassa ja tavallisimmassa tapauksessa yksityiskäyttäjillä useampi WAN-interface olisi helpoin tapa- En nyt tähän hätään löytänyt dokumentaatioreferenssiä tuosta.

Itsellä on sellainen viritys toisen julkisen IP4:n käyttöön, että yhden fyysisen WAN-interfacen kanssa on interface bridge, josta porttien ohjaus (ei 1:1 NAT, ehkä sitäkin voisi käyttää) LAN-interfacen VLANiin. Yksi julkinen IP4 lisää olisi vielä käyttämättä, mutta tuohon viritykseen sitä ei taida enää saada mukaan.
 
Tämä riippuu myös ISP:n tavasta jakaa julkisia IPv4-osoitteita. Huonoimmassa ja tavallisimmassa tapauksessa yksityiskäyttäjillä useampi WAN-interface olisi helpoin tapa- En nyt tähän hätään löytänyt dokumentaatioreferenssiä tuosta.

Itsellä on sellainen viritys toisen julkisen IP4:n käyttöön, että yhden fyysisen WAN-interfacen kanssa on interface bridge, josta porttien ohjaus (ei 1:1 NAT, ehkä sitäkin voisi käyttää) LAN-interfacen VLANiin. Yksi julkinen IP4 lisää olisi vielä käyttämättä, mutta tuohon viritykseen sitä ei taida enää saada mukaan.

Joo löysin itsekkin just muutama minuutti sitten ton, että pfSenseen voi luoda noita interface bridgejä, joilla ton saan varmaankin ratkaistua. Jos ei, niin sitten meen samalla tavalla kuten oot tehny.
 
Tarvitseeko VLANille oman NICin vai onnistuuko samalla kuin LAN? Olen katsellut useampaa tutoriaali videota ja oikeastaan kaikissa käytetään omaa porttia VLANille. :tdown:

Haluaisin laittaa konsoli(t) omaan verkkoonsa ja avata näille UPnP ynnä muut. Homma ymmärtääkseni onnistuisi myös Aliaksella, mutta näin asiasta syvällisemmin ymmärtämättömän korvaan tuo oma VLAN kuulostaisi sisäverkkoa ajatellen turvallisemmalta ratkaisulta?

Täytyykö kaikkien kytkinten tukea VLANia? Käytössä pari TL-SG108E kytkintä, sekä yksi TL-SG1008D.
Riittääkö pelkän staattisen IP:n antaminen halutuille laitteille, vai täytyykö kytkimen asetuksia viritellä?

Hyvää tutoriaalia kenelläkään tiedossa?

Edit: Pfsense käytössä.
 
Tarvitseeko VLANille oman NICin vai onnistuuko samalla kuin LAN? Olen katsellut useampaa tutoriaali videota ja oikeastaan kaikissa käytetään omaa porttia VLANille. :tdown:

Haluaisin laittaa konsoli(t) omaan verkkoonsa ja avata näille UPnP ynnä muut. Homma ymmärtääkseni onnistuisi myös Aliaksella, mutta näin asiasta syvällisemmin ymmärtämättömän korvaan tuo oma VLAN kuulostaisi sisäverkkoa ajatellen turvallisemmalta ratkaisulta?

Täytyykö kaikkien kytkinten tukea VLANia? Käytössä pari TL-SG108E kytkintä, sekä yksi TL-SG1008D.
Riittääkö pelkän staattisen IP:n antaminen halutuille laitteille, vai täytyykö kytkimen asetuksia viritellä?

Hyvää tutoriaalia kenelläkään tiedossa?

Edit: Pfsense käytössä.

Ei tarvitse omaa interfacea. Koko VLANin idea on se, että verkkoa ei tarvitse fyysisesti segmentoida.

Vähintään reitittimestä seuraavan kytkimen pitää tukea vlaneja, jotta saat halutut vlanit tiettyihin portteihin. Sen jälkeen voi toki yhden portin takana olla vaikka konsoleille oma tyhmä kytkin mikä segmentoituu tuon ensimmäisen kautta vaikka vain vlaniin X.

Voit tehdä eri vlaneissa oleville subneteille omat dhcp ranget, eli kiinteitä ip-osoitteitakaan et tarvitse.



Tuosta esimerkiksi ihan hyvä video vlanien toiminnasta ja pfsensestä. Kytkimenä unifi, mutta idea ei muutu vaikka eri merkin kytkin olisikin.
 
Viimeksi muokattu:
Tässä on muutamia perusjuttuja mainittu: Virtuaalilähiverkko – Wikipedia

pfSense:n LAN-NIC:ssä olisi hyvä olla VLAN-tuki, jolloin yhdellä pärjää. TL-SG108E ainakin tukee VLANia. Minimissään riittää tuki reitittimen LAN-nic:ssä ja yhdessä switchissä, jos haaroitus sen porteista tavallisiin LAN-laitteisiin riittää. Kytkimeen pitää konffata miten se hanskaa kutakin käytettyä VLANia ja yhdestä verkosta ainakin pitää päästä hallitsemaan VLAN-switchiä. Muuten switchissä ei ole pakollistä säätöä.

Kannattaa ymmärtää mitä on tekemässä, niin tuhraantuu vähemmän aikaa ja hiuksia.
 
Pfsensessä upnp:n saa myös avattua mac-osoitteen perusteella, jolloin se on auki vain määritellyille laitteille. Näin et tarvii erillistä VLAN:nia.
 
Moro!

Onko kokemuksia noista APU-pohjaisista laitteista? Vaikkapa tästä: APU2D4: 3x Gigabit LAN, Quad Core CPU, 16GB SSD, 4GB RAM
Ajatuksena olisi survoa Sophos XG home sisään tuohon, koska työn puolesta noita oikeita XG laitteita tulee käpisteltyä päivittäin.

Sattuuko joku tietämään mihin Sophoksen rautaan tuo APU2d4 esim rinnastuu?

Mulla on jonkin verran kokemusta APU-vehkeistä, kaksi- ja kolmeporttisista. BIOSseista ja eri käyttiksistä, mutta Sophos XG:stä ei sitten yhtään :) Eikös tuo vaadi jonkun lisenssin, että siitä saa järkeviä ominaisuuksia ulos?
Linux-pohjaisuudesta plussaa, että eiköhän se tuommoiseen APU2D4:een mene melko heittämällä. Muistista en tiedä, muuta kuin (Free)BSD -pohjaisille 4GB on passeli.
 
Mulla on jonkin verran kokemusta APU-vehkeistä, kaksi- ja kolmeporttisista. BIOSseista ja eri käyttiksistä, mutta Sophos XG:stä ei sitten yhtään :) Eikös tuo vaadi jonkun lisenssin, että siitä saa järkeviä ominaisuuksia ulos?
Linux-pohjaisuudesta plussaa, että eiköhän se tuommoiseen APU2D4:een mene melko heittämällä. Muistista en tiedä, muuta kuin (Free)BSD -pohjaisille 4GB on passeli.

Lisenssi on kotikäyttöön ilmainen ja sen saa sophokselta rekisteröitymällä. Saat 3-vuotisen täyden version käyttöön ja voit jatkaa lisenssiä sitten kun menee edellinen umpeen.

Tämä on käsitelty jo aikaisemminkin tässä ketjussa mutta nostan pöydälle edelleen virtualisoinnin tuon erillisen fyysisen aparaatin sijasta. Itselläni oma SophosXG -systeemi on NAS:n (Qnap) virtuaalikoneessa ja olen todella tyytyväinen kokoonpanoon. Resursseja saa vähennettyä/lisättyä tarpeen mukaan eli mm. ytimien määrää ja muistia saa vaihdettua miten haluaa sekä fyysisiä LAN-portteja tarpeen mukaan (Qnapissa on 4 fyysistä 1Gb LAN-porttia ja vielä PCIe-kortti jossa 2x10Gb valokuitu eli yhteensä 6 fyysistä LAN-porttia).

Lisäksi virtuaalikoneissa on palomuureja SophosXG:n kaverina tällä tällä hetkellä pfSense, SophosUTM, Untangle ja Fortinet Virtual Appliance. Vaihdan palomuureja ajoon tarpeen mukaan silloin tällöin ajoon kun haluan testata jotain tai täytyy opetella jotain uusia säätöjä irl-caseihin. Nyt ajossa on tuo XG. Muuten palomuurit valmiustilassa ja muurin vaihto kestää noin 5-10 sekuntia siis sen aikaa ei netti toimi muurin vaihdon takia.

Kustannusmielessä taitaa olla melkolailla sama onko Qnap vai joku hieman parempi erillinen tietokone.
 
Suosituksia dynamic dns palveluista?

Mielellään ilmainen, mutta jokin halpa ratkaisukin kelpaa jos pääsee vähemmällä säätämisellä.
Tarkoitus silloin tällöin päästä VPN:llä kotiverkkoon ja mahdollisesti pitää muutaman pelaajan peliservereitä.
 
Itse käytän vielä toistaiseksi noip:n ilmaisversiota, mutta ipv6:n takia ehkä siirryn piakkoin easydns:n maksuversioon.
 
Suosituksia dynamic dns palveluista?

Mielellään ilmainen, mutta jokin halpa ratkaisukin kelpaa jos pääsee vähemmällä säätämisellä.
Tarkoitus silloin tällöin päästä VPN:llä kotiverkkoon ja mahdollisesti pitää muutaman pelaajan peliservereitä.

Itse käytän Free Dynamic DNS - Managed DNS - Managed Email - Domain Registration - No-IP
Toimii mm. pfSensen DynDNS-palvelun kanssa, ja toki Winkkarin ja pingviinin kanssa myös saa myös suoraan update-palvelut. Ilmainen, joksikin ilmaisessa joutuu verifioimaan kerran kuussa hostnamen. Tässä kestää noin 15 sekuntia ja viisi klikkausta.
 
Itse käytän vielä toistaiseksi noip:n ilmaisversiota, mutta ipv6:n takia ehkä siirryn piakkoin easydns:n maksuversioon.

Tuo no-ip on tullut useammassa tutoriaalissa vastaan. Löytyy ainakin valmiina pfsensen valikosta.
ipv6 ei ole itselleni tarvetta.
 
dy.fi, ei taida olla pfsensessäkään. mutta jos joku purkki pyörii sisäverkossa niin siihen clientti
 
Itellä on dy.fi käytössä pfSensessä, kuin myös OPNsensessä. Muistaakseni dokumentaatio asian osalta oli vähän ympäripyöreä, mutta custom DDNS asetuksella sen saa toimimaan.

Service type: Custom
username: sähköposti
update URL: https://www.dy.fi/nic/update?hostname=xxxxx.dy.fi

Suurin ongelma tulee siitä, jos IP-osoite ei muutu tarpeeksi tiheään. Dy.fi vaatii päivityksen enintään 7 vrk välein tai nimi vapautetaan. pfSense tekee päivityksen oletuksena 25 vrk välein jos osoite ei ole muuttunut. Siitä löytyy feature request täältä: Feature #9092: Configurable DDNS update force interval, 25 days is too long for some providers - pfSense - pfSense bugtracker .

Itse muutin /etc/inc/dyndns.class tiedostosta rivin 308 $this->_dnsMaxCacheAgeDays = 25; arvoksi 6 ja enään ei ole dy.fi vanhentunut. Olisihan tuo hyvä olla käyttöliittymästä säädettävissä, nyt tuo asetus todennäköisesti katoaa päivitysten yhteydessä...
 
Tuon päivitys tiheyden takia viritteli yhteen palvelimeen cronilla päivityksen 6pv välein plus päivitys jos ip vaihtuu.
Opnsensessä se oli ensin.
 
Päivitys URL pitää olla https, vähän aikaa muistaakseni ihmettelin sitä. Ohjeessa taitaa olla tuo http...

Testailin myös sillä https:llä mutta en saanut sitä silloin toimimaan. Tukeenkaan en saanu yhteyttä silloin, niin pitäkööt tunkkinsa.
 
Mitä etuja tällä domain+cloudflare yhdistelmällä saadaan verrattuna vaikkapa noihin ilmaisiin palveluihin?
Löytyykö tähän hyviä ohjeita jostain?

Nooh, ei varmaan erityisesti mitään. Paitsi, että saa itse päättää domainin, eikä tyytyä pelkästään niihin mitä ne ilmaset palvelut tarjoaa. Oma domain on 5-merkkiä pitkä plus pääte .eu.

Ohjeista en muista mitä käytin, jonkin verran aikaa meni selvittelyihin kun en ollu aikaisemmin hallinnoinut ainuttakaan domainia.

Ohjeet menee todella typistettynä versiona jotenkin näin (muistaakseni):
  1. Osta domain esim. Webhotelli, WordPress ja oma domain kätevästi Hostingpalvelulta
  2. Luo tunnukset Cloudflareen
  3. Muuta domainin nimipalvelimet ostopaikan itsehallinta sivujen kautta, tai heidän tuen avulla Cloudflaren nimipalvelimiksi
  4. Luo DNS-tietueet A ja CNAME Cloudflareen
  5. Konffaa esim. pfSensen ddns-clientti
 
Tuo sama onnistuu ihan ilman CloudFlarea ja vaikka noip:llä, tai millä tahansa muulla DDNS-palvelulla. Omaan domainiin nakkaa CNAMEksi DDNS-palvelun hostnamen, tyyliin "hostname.omadomain.com CNAME omahostname.ddns.net..
Etuna on oikeastaan ainoastaan se, että saa oman kotipurkin oman domain-nimen taakse, eikä tarvitse muistaa IP-osoitetta ulkoa.
 
Protonmailia ei ilmeisesti saa käytettyä SMTP:nä sähköposti ilmoituksia varten?
Mitä suosittelisitte google allergiasta kärsivälle?

Verkossa pyörii myös unraid serveri, saisiko dockerin kautta tähän mitään turvallista ratkaisua?
 
Ei ole. ~50€ / vuosi, ja ominaisuudet ovat kohdillaan ja kiinnittävät huomiota erityisesti tietoturvaan.
Ei kyllä viitsi ainoastaan SMTP:n takia maksaa tuollaisia summia, käytössä kuitenkin maksullinen versio protonmailista.
Täytyy yrittää löytää toinen vaihtoehto.
Harmillista, ettei pfsense tarjoa kuin email ilmoitukset.
 
Harmillista, ettei pfsense tarjoa kuin email ilmoitukset.
Tarjoaahan se myös SNMP:n. En ole tietoinen että mikään muukaan rautapalomuuri tarjoaisi mitään eksoottisempaa. Korkeintaan ehkä SSH:n.
 
pfBlockerNG blokkaa NordVPN Suomen palvelimet :eek:

Zzg17Be.png


Edit: Tällä listalla tuo verkko 196.196.0.0/16
https://rules.emergingthreats.net/fwrules/emerging-Block-IPs.txt
https://www.spamhaus.org/query/ip/196.196.201.221

196.196.0.0/16 Kuuluu virolaiselle? Fibergrid nimiselle firmalle, IP avaruus on rekisteröity Afrinicistä jossa whois person contactina on joku kaveri Californiasta.

50-50 onko jotain shady veivausta vai osteltu vaan IP avaruuksia mistä saadaan, IPv4 osoitteet kun on kaikki jo jaettu käyttöön.
 
Emerging threatsin tiputtaisin pois. Suuret määrät false positive blokkeja kun malware c2 palvelimien hostaamisen takia esim OVHn ipt listalla jatkuvasti

Taas yksi syy jatkaa ET:n listojen käyttöä:


pfBlockerNG blokkaa NordVPN Suomen palvelimet :eek:

Zzg17Be.png


Edit: Tällä listalla tuo verkko 196.196.0.0/16
https://rules.emergingthreats.net/fwrules/emerging-Block-IPs.txt
https://www.spamhaus.org/query/ip/196.196.201.221

NordVPN confirms it was hacked – TechCrunch
 
Mitä purkkia suosittelisitte mulle kun tilanne on seuraava:

2kpl HP Proliant DL380 -palvelinta (kolmas tulossa ensi kuussa), VMware esxi:t + vCenter.
Nyt pfsense on virtuaalikoneena yhdessä hostissa mutta se ei liene järkevää, kun esim päivityksen aikana pitää olla virtuaalikoneet alhaalla ym.
Nyt OpenVPN-käyttäjiä voi olla max 4-5kpl yhtaikaa ja se toimii todella hyvin, ei tunnu rajoittavan kaistaa yhtään (töissä 100/100 valokuitu).

Täällä on suositeltu Fitlet2:ta, missä prosuvaihtoehtoina X7-E3950, X5-E3930 ja Celeron J3455, jälkimmäinen ilmesesti tähän paras?
Pari sivua taaksepäin oli juttua, että kyseinen fitlet2, ei välttämättä pysty suoriutumaan OpenVPN 100/100 yhteydestä täysin.

Onko jotain muita ehdotuksia, etten vaihtaisi huonompaan/hitaampaan ratkaisuun?
 
Mitä purkkia suosittelisitte mulle kun tilanne on seuraava:

2kpl HP Proliant DL380 -palvelinta (kolmas tulossa ensi kuussa), VMware esxi:t + vCenter.
Nyt pfsense on virtuaalikoneena yhdessä hostissa mutta se ei liene järkevää, kun esim päivityksen aikana pitää olla virtuaalikoneet alhaalla ym.
Nyt OpenVPN-käyttäjiä voi olla max 4-5kpl yhtaikaa ja se toimii todella hyvin, ei tunnu rajoittavan kaistaa yhtään (töissä 100/100 valokuitu).

Täällä on suositeltu Fitlet2:ta, missä prosuvaihtoehtoina X7-E3950, X5-E3930 ja Celeron J3455, jälkimmäinen ilmesesti tähän paras?
Pari sivua taaksepäin oli juttua, että kyseinen fitlet2, ei välttämättä pysty suoriutumaan OpenVPN 100/100 yhteydestä täysin.

Onko jotain muita ehdotuksia, etten vaihtaisi huonompaan/hitaampaan ratkaisuun?

Ehdotus 1: osta Fitlet2 tai vastaava, esim. Teklagerin APU4, tai joku tuollainen. APU2:sta ja OpenVPN 1000Mbit/s on ollut aiemmin juttua, mutta se on bunkattu ja testattu (toimii 100 / 100 yhteydellä mainiosti, niin että sisäverkko on gigainen:
APU2 - VPN Performance
APU2 1Gbit throughput on pfSense (configuration instructions)
Ehdotus 2: tee pfSensestä noille kolmelle hostille HA, eli kaksi saa olla samaan aikaan alhaalla, niin silti verkko rokkaa.
 
Ehdotus 1: osta Fitlet2 tai vastaava, esim. Teklagerin APU4, tai joku tuollainen. APU2:sta ja OpenVPN 1000Mbit/s on ollut aiemmin juttua, mutta se on bunkattu ja testattu (toimii 100 / 100 yhteydellä mainiosti, niin että sisäverkko on gigainen:
APU2 - VPN Performance
APU2 1Gbit throughput on pfSense (configuration instructions)
Ehdotus 2: tee pfSensestä noille kolmelle hostille HA, eli kaksi saa olla samaan aikaan alhaalla, niin silti verkko rokkaa.

Olisiko Netgate SG-5100 (4GB, 4x GbE RJ45 Intel SoC Integrated MAC, 2 x GbE RJ45 Intel i210) parempi/tehokkaampi kuin APU2D4 (4GB, i210AT) tai Fitlet2 (4 tai 8GB, i211)?
 
Olisiko Netgate SG-5100 (4GB, 4x GbE RJ45 Intel SoC Integrated MAC, 2 x GbE RJ45 Intel i210) parempi/tehokkaampi kuin APU2D4 (4GB, i210AT) tai Fitlet2 (4 tai 8GB, i211)?

Nyt on kyllä paha.
Intel i210 on kyllä kova kortti, mm. tuossa APU2D4:ssa. JA APU2D4 taitaa olla halvempi kuin Fitlet2(?).
Netgaten kun ostaa, niin saa oikein "virallisen" ja lisensoidun pfSensen. Samahan se on, mutta voipahan brassailla.

Paljon sulla on verkossa koneita, ja paljon on pahimmillaan samanaikaisia OpenVPN-käyttäjiä? Kaista on 100/100 kuitu? Noiden hinnat kun vielä jaksat kaivaa, niin voidaan valita siitä sitten paras ;)
 
Nyt on kyllä paha.
Intel i210 on kyllä kova kortti, mm. tuossa APU2D4:ssa. JA APU2D4 taitaa olla halvempi kuin Fitlet2(?).
Netgaten kun ostaa, niin saa oikein "virallisen" ja lisensoidun pfSensen. Samahan se on, mutta voipahan brassailla.

Paljon sulla on verkossa koneita, ja paljon on pahimmillaan samanaikaisia OpenVPN-käyttäjiä? Kaista on 100/100 kuitu? Noiden hinnat kun vielä jaksat kaivaa, niin voidaan valita siitä sitten paras ;)

Verkossa on noin 30 tietokonetta (joista noin 16 toimiston koneita, aktiivisessa käytössä ja noin 14 yleiskoneita/työaikaleimaus koneita).
100/100 DNA kuitu ja tällä hetkellä maksimissaan 5 käyttäjällä on yhtaikaa OpenVPN auki. (Voin harkita WireGuardia ym. vaihtoehtoja)
Tarkoitus on käyttää pfsensessä mainosten blokkaajaa pfBlockerNG tjs ja buffer bloatin hillitsijää, CodelQ tai vastaavaa.

Verkkokauppojen hinnat (alv 0%, ilman posteja):
APU2D4 2065SEK=192,4€
Fitlet2 4GB, 16GB, 4xGbit $256=230,1€
Fitlet2 8GB, 32GB, 4xGbit $295,6=265,7€
Netgate SG-5100 4GB, 8GB $699=628,2€
 
Netgaten laitteet on aika ylihintaisia, mutta sisältävät tosiaan hieman kustomoidun version pfSensestä, joka on Netgaten itse optimoima kyseiselle raudalle. Ainakin SG-5100 pitäisi hyvinkin jaksaa pyörittää OpenVPN, ennen julkaisua Netgaten benchmarkit oli 300Mbps+ OpenVPN:llä: SG-5100 Desktop Available for Pre-order


Suosittelen myös palomuurin kahdennusta, varsinkin jos työpaikan palomuurista on kyse. Sitten ei menisi koko firman verkko alas palomuurin lahottua tai pfSenseä päivittäessä. pfSensen HA:ssa pitää tosin ottaa huomioon, että se taitaa yhä vaatia 3 julkiverkon osoitetta (yksi kummallekin palomuurille ja yksi jaettu).
 
Onkohan PFsensessä jotain helppoa tapaa toteuttaa seuraavanlainen homma:

Mikäli yhteys internettiin katkeaa(ajoittain ping toteamiseen?), reititin tekee automaattisesti puhtaan DHCP kyselyn (ei renew) ja jatkaa tämän yrittämistä niin kauan kunnes osoite saatu ja internet toimii jälleen. Tämä siinäkin tapauksessa että olevassa DHCP leasingissä olisi aikaa jäljellä.
 
Netgaten laitteet on aika ylihintaisia, mutta sisältävät tosiaan hieman kustomoidun version pfSensestä, joka on Netgaten itse optimoima kyseiselle raudalle. Ainakin SG-5100 pitäisi hyvinkin jaksaa pyörittää OpenVPN, ennen julkaisua Netgaten benchmarkit oli 300Mbps+ OpenVPN:llä: SG-5100 Desktop Available for Pre-order


Suosittelen myös palomuurin kahdennusta, varsinkin jos työpaikan palomuurista on kyse. Sitten ei menisi koko firman verkko alas palomuurin lahottua tai pfSenseä päivittäessä. pfSensen HA:ssa pitää tosin ottaa huomioon, että se taitaa yhä vaatia 3 julkiverkon osoitetta (yksi kummallekin palomuurille ja yksi jaettu).
Itsellä olisi juuri tuo palomuurin kahdennus projektina edessä, ja meneekö tuo tosiaan noin että HA-systeemi vatii kolme julkista ip:tä. Itse olen ymmärtänyt että julkisia ip-osoitteita vaaditaan kummallekkin palomuurille omansa kuten normaalisti sekä yksi sisäverkon virtuaalinen ip jonka kautta ilmeisesti tuo failover toimii. Käytössä tosiaan siis pfSense. Onko sulla tuosta tarkempaa kokemusta?
 
Ei kait se julkiverkosta 3 ip:tä vaadi, lani puolelta kyllä, virtuaali ip määritellään laitteiden gatewayksi. Toimintatapahan on samanlainen kuin Ciscon HSRP ja VRRP.
 
Kyllä suositeltu tapa on käyttää kolmea julkista osoitetta.

Nykyään on toki mahdollista käyttää privaatiosoitteita palomuureilla ja jaettuna osoitteena julkiverkon osoitetta. Muistaakseni aikaisemmin tuollainen konfiguraatio toi mukanaan ongelmia, esimerkiksi toisen muurin internetyhteys vaati jotain säätöä, että toimi muurin ollessa slavena. Ehkä slavemuurille voisi laittaa masterin osoitteen toiseksi gatewayksi, jolloin liikenne kulkisi slavena ollessa masterin kautta. En ole itse koskaan testannut tuollaista konfiguraatiota, koska omassa asennuksessa oli /29-linkkiverkko käytettävissä.

Lisää voi lueskella täältä: High Availability | pfSense Documentation

A High Availability cluster using CARP needs three IP addresses in each subnet along with a separate unused subnet for the Sync interface. For WANs, this means that a /29 subnet or larger is required for an optimal configuration. One IP address is used by each node, plus a shared CARP VIP address for failover. The synchronization interface only requires one IP address per node.

It is technically possible to configure an interface with a CARP VIP as the only IP address in a given subnet, but it is not generally recommended. When used on a WAN, this type of configuration will only allow communication from the primary node to the WAN, which greatly complicates tasks such as updates, package installations, gateway monitoring, or anything that requires external connectivity from the secondary node. It can be a better fit for an internal interface, however internal interfaces do not typically suffer from the same IP address limitations as a WAN, so it is still preferable to configure IP addresses on all nodes.
 
Viimeksi muokattu:
Rupesimpa tässä konffaamaan pfsenseen sertifikaattipohjaista autentikointia freeradiukseen. CA, server sekä käyttäjäsertit on luotu mutta koneet pystyvät silti yhdistämään langattomaan verkkoon ilman sertejä. Missäköhän voisi olla vika. Freeradiuksen eap välilehdeltä on muutettu seuraavat asetukset.
Disable Weak EAP Types, käytössää
Default EAP Type: TLS
Check Cert Issuer: käytössä
Check Client Certificate CA: käytössä
Käyttäjäsertit ovat samalla nimellää tehty mikä on laitteiden käyttäjänimi freeradiuksessa.
Löytyisiköhän tähän keneltäkään ratkaisua? Vieläkin sama tilanne eli koneet pystyvät yhdistämään verkkoon pelkällä käyttäjätunnuksella ja salasanalla sekä valitsemalla että käyttäjäsertiä ei vaadita debianin verkonyhdistämisikkunassa. Freeradius siis kuitenkin käytössä ja mikrotikin tukiasema sitä käyttää.
 

Statistiikka

Viestiketjuista
262 489
Viestejä
4 553 849
Jäsenet
74 993
Uusin jäsen
hollow

Hinta.fi

Back
Ylös Bottom