Tee-se-itse: Rautapalomuurit (pfSense, Sophos UTM..) (Mitä käytätte ja miksi juuri se vaihtoehto?)

[juhaa]

Täällä on suositeltu Fitlet2:ta, missä prosuvaihtoehtoina X7-E3950, X5-E3930 ja Celeron J3455, jälkimmäinen ilmesesti tähän paras?

Röyhkeästi tähän... Jos et vielä tilannut ja päädyt Fitlet2:seen, niin multa löytyy korkkaamattomat paketit sopivasta muistista ja SSD:stä. Muisti 8GB ja SSD 64GB, myös Fitlet2:n WiFi FACET kortti löytyy mitä en itse varmaan tule tarvitsemaan.

Crucial 8GB Single DDR3 1866 MT/s (PC3-14900) 204-Pin SODIMM RAM
Transcend 64GB SATA III 6Gb/s MTS400 42 mm M.2 SSD Solid State Drive (TS64GMTS400S)

 

[dot1q]

Löytyisiköhän tähän keneltäkään ratkaisua? Vieläkin sama tilanne eli koneet pystyvät yhdistämään verkkoon pelkällä käyttäjätunnuksella ja salasanalla sekä valitsemalla että käyttäjäsertiä ei vaadita debianin verkonyhdistämisikkunassa. Freeradius siis kuitenkin käytössä ja mikrotikin tukiasema sitä käyttää.

Jos tämä olisi m$ ympäristö, olisi virheellinen asetus NPS palvelussa. Siinä missä speksataan liittymisen hyväksyntä kriteerit. Sun setupilla radius serveri, joka ottaa autentikoinnit vastaan, hoitaa samaa roolia kuin NPS hoitaisi. Eli kävisin läpi radiuspannun policyn jonka mukaan autentikoinnit verkkoon hyväksytään.

 

[dataaja95]

Jos tämä olisi m$ ympäristö, olisi virheellinen asetus NPS palvelussa. Siinä missä speksataan liittymisen hyväksyntä kriteerit. Sun setupilla radius serveri, joka ottaa autentikoinnit vastaan, hoitaa samaa roolia kuin NPS hoitaisi. Eli kävisin läpi radiuspannun policyn jonka mukaan autentikoinnit verkkoon hyväksytään.

Mistäköhän nuo radius serverin policyt löytyvät pfSensessä? Webbiguita tutkimalla mitään verkon autentikointipolicyjä ei tullut vastaan radiusserverin asetuksissa. Joutuuko tässä kirjoittelemaan konffit suoraan radiusserverin konffitiedostoihin. Käsittääkseni pfSense ei tätä toimintatapaa suosittele ja konffit mitkä on luotu käsin eikä pfSense guin kautta muistaakseni ylikirjoitetaan päivityksen yhteydessä.

 

[mikajh]

Oletko konffannut System / User Manager / Authentication Servers - Type RADIUS ja siihen liittyvät asetukset? Ks. myös User Management — Configuring User Authentication Servers | pfSense Documentation

 

[sra2010]

Mikä olisi sopiva verkkokortti tähän käyttöön? Mitä olette käyttäneet jos rakennatte itse koneen?
Olen yrittänyt etsiä 4 porttisia Intelin piirillä varustettuja kortteja, mutta ei ole vielä tullut sopivan hintaisia vastaan. Hieman epäilyttää tilata Kiinasta halpoja verkkokortteja tähän käyttöön.

 

[Khauron]

Mikä olisi sopiva verkkokortti tähän käyttöön? Mitä olette käyttäneet jos rakennatte itse koneen?
Olen yrittänyt etsiä 4 porttisia Intelin piirillä varustettuja kortteja, mutta ei ole vielä tullut sopivan hintaisia vastaan. Hieman epäilyttää tilata Kiinasta halpoja verkkokortteja tähän käyttöön.

Intelin i210AT on kova piiri FreeBSD:n kanssa. Eli pfSense / OPNsense. Mitään kiinakorttia en pistäisi mistään hinnasta.
Itsellä on projektikoneessa tuollainen: QNAP LAN-1G2T-U-I210 -laajennuskortti 60,90

 

[iccb]

Mikä olisi sopiva verkkokortti tähän käyttöön? Mitä olette käyttäneet jos rakennatte itse koneen?
Olen yrittänyt etsiä 4 porttisia Intelin piirillä varustettuja kortteja, mutta ei ole vielä tullut sopivan hintaisia vastaan. Hieman epäilyttää tilata Kiinasta halpoja verkkokortteja tähän käyttöön.

Esim. Saksan ebaystä löytyy:
Intel Pro/1000 PT Quad Port PCI-e Server Adapter Netzwerkkarte - 39Y6138 | eBay

 

[et328]

Esim. Saksan ebaystä löytyy:
Intel Pro/1000 PT Quad Port PCI-e Server Adapter Netzwerkkarte - 39Y6138 | eBay

Kiinalainen myyjä ja kortti saapuu Kiinasta.

 

[mikajh]

Kiinalainen myyjä ja kortti saapuu Kiinasta.

Kaiken lisäksi tuo Pro/1000 PT on jo ikivanha tuote, tullut markkinoille Q3/2006.
Lähes samaan hintaan saa sentään vähän ajanmukaisempaa low profile ja TDP 5W -kamaa, jotka tukevat esim. hardware timestampingia ja VMDq:ta, esim. Intel I350-T4 rev 01.
Mutta noiden sijaan tuo rantakiinalaisten QNAP dual on varmaan vaihtoehto parhaastä päästä. Kahdella Ethernet-portilla pääsee varmasti pitkälle ja jopa yksikin on riittävä määrä. Sitten kun lähdetään suorituskykyä maksimoimaan, mikään ei riitä eikä kovin pitkälle pelkät 1 GB Eth-laitteetkaan.

 

[sra2010]

Comparison: Intel i350-T4 Genuine vs Fake

Tuossa vaikuttaisi olevan hyvää tietoa aidon ja väärennöksen erottamiseksi. Tuon perusteella ensimmäinen amazon:sta löytyvä kortti on väärennös ja hintaa 85€.

https://www.amazon.de/Intel-I350T4-...9388920&ref=pd_sl_35q8ibnq4w_e&language=en_GB

Taitaa olla haastavaa löytää aito järkevään hintaan. Joutuu varmaan kääntymään noiden valmiiden laitteiden suuntaan, koska aito verkkokortti nostaa budjetin jo niin lähelle fitlet2 ym laitteita.

 

[iccb]

Kiinalainen myyjä ja kortti saapuu Kiinasta.

No perskeles. Katsoin huonosti. On tuolla ollut myyjiä mitkä toimittaa Saksastakin, eikä pelkästään Kiinasta.
Pro/1000 PT on toki vanha kortti jo, mutta kyllä se kotikäytössä pfsensessä ajaa hyvin vielä asiansa. Mutta löytyy tuota I350 korttiakin ebaystä ”järkevään” hintaan eikä tartte Kiinan miehiltä tilata.

 

[sra2010]

No perskeles. Katsoin huonosti. On tuolla ollut myyjiä mitkä toimittaa Saksastakin, eikä pelkästään Kiinasta.
Pro/1000 PT on toki vanha kortti jo, mutta kyllä se kotikäytössä pfsensessä ajaa hyvin vielä asiansa. Mutta löytyy tuota I350 korttiakin ebaystä ”järkevään” hintaan eikä tartte Kiinan miehiltä tilata.

Laitatko linkkiä jos on tiedossa?

 

[et328]

Laitatko linkkiä jos on tiedossa?

Tuolla olisi käytettyjä:
NETWORK-SERVERS | eBay Stores

 

[sra2010]

Tuolla olisi käytettyjä:
NETWORK-SERVERS | eBay Stores

Kiitos, kuvan mukaan vaikuttaa jo paremmalta

 

[dataaja95]

Oletko konffannut System / User Manager / Authentication Servers - Type RADIUS ja siihen liittyvät asetukset? Ks. myös User Management — Configuring User Authentication Servers | pfSense Documentation

Eikö tuo konffi vaikuta kaikkiin autentikointia vaativiin asioihin. ELi tuon konffin jälkeen kaikki autentikointia vaativat asiat kulkisivat radiuksen kautta kun tarkoituksena olisi pelkästään wifiautentikoinnin keskittäminen radiukseen certien avulla.

 

[VoNpo]

Löytyisikö täältä apuja OpenVPN ongelmaan?

Yritän saada OpenVPN serveriä ja PIA VPN clienttiä toimimaan samalla pfsense laitteella. PIA client toimii ongelmitta ja OpenVPN serverin kautta pääsen puhelimella sisäverkkoon.
Ongelmana on se, että OpenVPN serverin päälle kytkeminen jumiuttaa kaikki sisäverkon laitteet jotka käyttävät PIA clienttiä.

Esimerkiksi tämän sivuston lataaminen voi viedä 10 sekuntia ja joillain latauskerroilla tulee yhteyden aikakatkaisu. Myös WiFi yhteys katoaa puhelimelta ja toimii hyvin sattuman varaisesti.
OpenVPN serverin sammuttaminen ratkaisee ongelmat ja tilanne palaa normaaliksi.

Kuinka tätä voisi lähteä selvittämään?
Voin laittaa avuksi logeja tai kuvakaappauksia asetuksista, kunhan tiedän mitä tarvitaan.

 

[maninthemoon]

Oma epäilys on, että nimen selvitys ei toimi oikein. Mitäs jos kokeilee laittaa muurille samat dns asetukset, kuin Pia käyttää . Ihan siis villi veikkaus.

 

[VoNpo]

Oma epäilys on, että nimen selvitys ei toimi oikein. Mitäs jos kokeilee laittaa muurille samat dns asetukset, kuin Pia käyttää . Ihan siis villi veikkaus.

Jos tarkoitit OpenVPN serverin dns asetuksia, niin eikö tuon pitäisi vaikuttaa vain kotiverkon ulkopuolelta tulevan clientin toimintaan? Nyt nimenomaan sisäverkko menee solmuun serverin käynnistyksen jälkeen.

Löysin ketjun vähän vastaavasta ongelmasta. Siellä ehdotettiin oman interfacen luomista OpenVPN serverille ja NAT asetusten rukkaamista. Kuulostaako loogiselta?
Sitä tarina ei kertonut mitä NAT asetuksille tulisi tehdä.

EDIT:
Sain toimimaan!
Sisäverkon laitteiden hidastelu loppui, kun vaihdoin PIA:lle tehtyjen NAT osioiden interfaceksi OpenVPN -> PIA
Tämän lisäksi kopioin kaikki LAN osiot ja korvasin näiden sourcet VPN tunnelin IP:llä.
Lisäsin 2 rulea OpenVPN osioon netistä kaivamani ohjeen mukaisesti.

Nyt pääsen siis VPN:n kautta sisäverkkoon ja yhteys ulkomaailmaan menee PIA:n kautta. (Myös pfblocker näyttäisi toimivan.)






Vaikuttaako oikealta ja turvalliselta viritykseltä?
Täytyy sanoa, ettei kyllä mitään tietoa mitä ovat NAT:in ::1/128 osuudet...

 

[maninthemoon]

En ota tuohon kantaa, että onko hyvä ja turvallinen, mutta täytyy muistaa tämä, jos taas itsekin joskus haluaa viritellä PIA:n pfsenseen, niin, että kaikki liikenne menee VPN:ää pitkin. Tätä joskus testasin tubesta löytyvän ohjeen mukaan, mutta nopeus oli niin surkea, että en jättänyt käyttöön.

Itsellä toimi aika lailla juurikin noita haasteita surffatessa, kuin mainitsit. Oli väliaikainen viritys netille kunnes sai kunnollisen kiinteän yhteyden. Sitä ennen liikenne meni kolmen NATin kautta. Voin sanoa, että internetissä pyörimen ei ollut kovinkaan kivaa...

Käyttääkö väki OpenVPN serverissä "Redirect IPv4 Gateway" asetusta? Tuota joskus ihmettelin, kun tuo ei ollut asetettu, niin pääsin kyllä sisäverkon laitteisiin kiinni mitä oli asetuksissa määritetty, mutta IP osoite ei vastannut kodin IP osoitetta. Eli toisin sanoen, jos olen reissussa ja haluan tunneloida tuon kautta liikenteen, niin ilman tuota asetusta tulisi joku muu julkmien IP osoite mitä itse en halunnut.

 

[mikajh]

Käyttääkö väki OpenVPN serverissä "Redirect IPv4 Gateway" asetusta? Tuota joskus ihmettelin, kun tuo ei ollut asetettu, niin pääsin kyllä sisäverkon laitteisiin kiinni mitä oli asetuksissa määritetty, mutta IP osoite ei vastannut kodin IP osoitetta. Eli toisin sanoen, jos olen reissussa ja haluan tunneloida tuon kautta liikenteen, niin ilman tuota asetusta tulisi joku muu julkmien IP osoite mitä itse en halunnut.

Kyllä ja vain sitä tähän saakka. Mutta nyt kun kysyit, niin vihdoista viimein konffasin pfSense-boksiin myös toisen OpenVPN-serverin jossa tuota optiota nimenomaan ei ole käytössä. Eli niitä tilanteita varten, missä haluan samanaikaista pääsyä sisäverkkoon, mutta luotan senhetkiseen internetyhteyden tarjoajaan ja haluan esim. perffisyistä ohittaa VPN:n bulkkiliikenteessä.

 

[Dalle]

Kertokaas viisaammat miksi mulla ei näy pfSensen webGuissa ipsec VPN:ää konffatessa Authentication Method: EAP-TLS:ää? On vaan Mutual RSA ja Mutual PSK. Koitin näitä ohjeita seurata kun piti mobiililaitteelle konffata profiilia
VPN — IPsec — IKEv2 with EAP-TLS | pfSense Documentation

Sen verran katsoin shellistä että StrongWanissa on eap-tls plugin käytössä.

 

[mikajh]

Kertokaas viisaammat miksi mulla ei näy pfSensen webGuissa ipsec VPN:ää konffatessa Authentication Method: EAP-TLS:ää?

pfSense v2.4.4-p3:

(Hybrid RSA|Mutual RSA|Mutual PSK) + Xauth
EAP-(TLS|RADIUS|MSChapv2)
Mutual (RSA|PSK)

 

[user9999]

Kertokaas viisaammat miksi mulla ei näy pfSensen webGuissa ipsec VPN:ää konffatessa Authentication Method: EAP-TLS:ää? On vaan Mutual RSA ja Mutual PSK. Koitin näitä ohjeita seurata kun piti mobiililaitteelle konffata profiilia
VPN — IPsec — IKEv2 with EAP-TLS | pfSense Documentation

Sen verran katsoin shellistä että StrongWanissa on eap-tls plugin käytössä.

pfSense IKEv2 for iOS/macOS – Part 1

Kokeile tuolla ohjeella. Eli teet noi sertifikaatit ja sitten Mobile Client Settings ja sitten Create Phase 1 nappula.

Pitäis alkaa näkymään.

Omassa pfsense koneessa:

 

[maninthemoon]

Mitä en nyt ymmärrä tässä, kun yritän vaihtaa DNS palvelimet esim. Cloudfireen tai OpenDNS:ään, niin DNS leak test näyttää aina vain oman ISP:een? Testasin laittaa koneelle manuaalisesti DNS asetukset, niin sillouin DNS leak test näytti niin kuin pitääkin.

Eli olen tuonne System/General Setup alle laittanut uudet DNS palvelimien osoitteet, mutta ei onnaa.

 

[mikajh]

Mitä en nyt ymmärrä tässä, kun yritän vaihtaa DNS palvelimet esim. Cloudfireen tai OpenDNS:ään, niin DNS leak test näyttää aina vain oman ISP:een?

Jos LAN:issa on DHCP-serveri käytössä, katso ainakin sen kohdasta "Servers - DNS servers" - sen ohjeessa: "Leave blank to use the system default DNS servers: this interface's IP if DNS Forwarder or Resolver is enabled, otherwise the servers configured on the System / General Setup page."

 

[maninthemoon]

Kentät olivat tyhjänä joten oletettavasti olisi pitänyt olla asetukset mitä tuolla "General Setupin alla on laitettu? Laitoin nyt kuotenkin sinne vielä haluamani DNS osoitteet, niin nyt näyttäisi toimivan. Kiitos avusta! Jokunen tovi menee, että pääsee edes hiukan kiinni mitä tapahtuu Pfsensen konepellin alla...

Toisaalta olisin halunnut, että kun katsoo IP asetuksia, niin DNS serverinä näkyy muuri eikä nuo määrittelemäni osoitteet. Tapahtukoot muurin sisällä sitten kaikki tarpeellinen. Onko tämä näin vai onko vielä jotain mitä en ole hoksannut?

 

[Kosm]

Kentät olivat tyhjänä joten oletettavasti olisi pitänyt olla asetukset mitä tuolla "General Setupin alla on laitettu? Laitoin nyt kuotenkin sinne vielä haluamani DNS osoitteet, niin nyt näyttäisi toimivan. Kiitos avusta! Jokunen tovi menee, että pääsee edes hiukan kiinni mitä tapahtuu Pfsensen konepellin alla...

Toisaalta olisin halunnut, että kun katsoo IP asetuksia, niin DNS serverinä näkyy muuri eikä nuo määrittelemäni osoitteet. Tapahtukoot muurin sisällä sitten kaikki tarpeellinen. Onko tämä näin vai onko vielä jotain mitä en ole hoksannut?

Mitä sulla näkyy tuossa ihan etusivun system informationissa DNS servers kohdassa? Luultavasti nyt näkyy myös nuo ISP:n ip:t. Ota tuolta general setupista DNS server settings kohdasta pois päältä DNS Server Override -asetus jos se on päällä. Sen jälkeen pitäisi toimia oikein.

Miksi muuten haluat käyttää kolmannen osapuolen DNS palvelimia? DNS resolver toimii ilmankin niitä kutsumalla suoraan DNS root servereitä, teoriassa se on toki marginaalisesti hitaampaa ennen kuin cachet on rakentuneet mutta en itse ainakaan huomaa mitään eroa.

 

[maninthemoon]

Etusivun DNS kohdissa näkuu 127.0.0.0 ja Open DNS osoitteet. Ei ole oman ISP:een osoitteita siis tuolla. Täppä onkin jo pois tuosta "Override" asetuksesta.

Olen jo monta vuotta käyttänyt OpenDNS:sää DNS palvelimena. Ja toisekseen tämä vaivaa itseäni, kun tämä ei toimi halutulla tavalla.

 

[mikajh]

Laita sinne DHCP-serverin clienteille meneviin asetuksiin DNS:ksi pelkästään palomuurin lan-ip.

 

[maninthemoon]

Laita sinne DHCP-serverin clienteille meneviin asetuksiin DNS:ksi pelkästään palomuurin lan-ip.

Tuokaan ei tuonut apua tähän.

Jos laitan asetuksen " DNS Query Forwarding" päälle DNS Resolverista, niin lakkaa DNS kokonaan toimimasta. Tuonhan sen kaiketi pitäisi ohjata tuonne osoitettuihin paikkoihin, mutta jostain syyystä nimen selvitys ei toimi ollenkaan. Jos pinggaa pelkällä IP osoitteella, niin se toimii kyllä.

Edit: Ilmeisesti nyt tilanne parani. Vaati näköjään muurin uudelleen käynnistyksen tiettyjen asetusten jälkeen.

Edit2: Ei se mennytkään ihan niin kuin elokuvissa. Noilla asetuksilla listaan paukahtaa myös ISP:een DNS palvelimet.

 

[mikajh]

DNS Resolverin kanssa on pakko olla Service Watchdog (package Service_Watchdog category=sysutils v1.8.6), joka käynnistää sen tarvittaessa.

System / General Setup
- DNS Servers: listassa manuaaliset DNS-palvelimet, mitkä olen kelpuuttanut
- DNS Server Settings
  - DNS Server Override (unselected) Allow DNS server list to be overridden by DHCP/PPP on WAN
  - Disable DNS Forwarder (unselected) Do not use the DNS Forwarder/DNS Resolver as a DNS server for the firewall
--
Services / DNS Resolver / General Settings
- General DNS Resolver Options
  - DNS Query Forwarding (selected) Enable Forwarding Mode
--
Services / DHCP Server / LAN
- Servers
  - DNS servers : pfSense LAN IP

Näillä näkyy Dashboardilla DNS-serverit omasta listasta (ei ISP:n), ylimpänä localhost. Lisäksi minulla on käytössä DNSSEC ja DoT

 

[maninthemoon]

No selvisihän tämä. Ihmettelin, kun laitoin tuon Dns Query Forwarding päälle, niin netti lakkasi toimimasta. Mutta eihän tuo Open Dns tue DNSSECiä ä, niin se rikkoi sen. Jotain turvallisuuteen liittyvää se on, mutta en ole ottanut selvää, että kuinka tärkeä se on.

Vaihdoin kuitenkin DNS palvelun toiseen missä tuo on tuettu, niin nyt homma toimii kuten haluttu. Kiitos avuista kanssa foorumisteille!

 

[user9999]

PfSensen Freeradius 0.15.7_4 päivitys. Jotain ongelmaa.
FreeRadius3: Certificates for TLS gone after updating to 0.15.7_4

Edit: Nyt korjattu
pfsense/FreeBSD-ports

pfSense-pkg-freeradius3: 0.15.7_3 -> 0.15.7_6 [pfSense]

 

[sra2010]

Toimiiko pfsense mikäli asennan koneeseen kaksi erillistä verkkokorttia, toinen olisi wan ja toinen lan? Onko tämä huonompi tai täysin mahdoton ratkaisu verrattuna useampi porttiseen verkkokorttiin?

 

[A Lake Elk]

Toimiiko pfsense mikäli asennan koneeseen kaksi erillistä verkkokorttia, toinen olisi wan ja toinen lan? Onko tämä huonompi tai täysin mahdoton ratkaisu verrattuna useampi porttiseen verkkokorttiin?

Toimii. Itsellä on noin, toinen on integroitu ja toinen pci-e-kortti.

 

[Algron28]

Toimiiko pfsense mikäli asennan koneeseen kaksi erillistä verkkokorttia, toinen olisi wan ja toinen lan? Onko tämä huonompi tai täysin mahdoton ratkaisu verrattuna useampi porttiseen verkkokorttiin?

Itsellä kans toimii hyvin noin. 3kpl erillinen kortti + emon integroitu.

 

[user9999]

Uusi pfBlockerNG päivitys 2.2.5_27

pfSense-pkg-pfBlockerNG-devel: 2.2.5_26 -> 2.2.5_27 [pfSense]

pfsense/FreeBSD-ports

 

[Khauron]

En oikein löytänyt parempaa threadia aiheelle, mutta kyse on pfBlockerNG:n DNSBL:stä Pi-Holen listoilla.
Mitä tarvitsee white-listata, että tuon saa toimimaan? Selaimesta uBlock Origin totta kai, mutta silti kun tuolta koettaa pistää videota pyörimään, niin tulee herjaa "Havaitsimme että käytät mainosten estoa... plaa plaa".
Joskus aikanaan etsin ruutu.fi:lle nuo, ja ne olivat
.ruutu.fi
7caa2.v.fwmrm.net
g3.v.fwmrm.net
Mutta en kuollaksenikaan muista, miten nuo puukotin näkyville.

Apuja?

 

[wwww]

Onko kellään 10Gb itsetehtyä muuria käytössä? Kahlasin mielestäni koko langan läpi ja
Tee-se-itse: Rautapalomuurit (pfSense, Sophos UTM..) (Mitä käytätte ja miksi juuri se vaihtoehto?)
Oli ainut jossa puhuttiin kahdesta 10Gb kuituportista. Mistä qnap hardiksesta tuossa tarkalleen on kyse?

Olisi siis kiinnostusta tyyliin Fillet2 tyylisestä kamppeesta jossa kuitenkin olisi 1Gbit sijasta minimi 2kpl 10Gbit ja siihen riittävästi prosessointitehoa.

 

[mikajh]

Vuosikausiin tai ainakin tosi pitkään aikaan anomalia pfSensen kanssa. Huomasin sattumalta, että 2/4 corea eli 55% CPU:sta koko ajan käytössä ja lämmöt 55 degC.

USER      PID  %CPU %MEM    VSZ    RSS TT  STAT STARTED         TIME COMMAND
root       11 196.2  0.0      0     64  -  RNL  10Jul19 743627:36.10 [idle]
root    15215 100.0  0.2  96520  26996  -  Rs   23Nov19  16392:02.71 /usr/local/bin/php-cgi -f /usr/local/pkg/servicewat
root    62353 100.0  0.2  96520  26832  -  Rs    8Nov19  38384:27.47 /usr/local/bin/php-cgi -f /usr/local/pkg/servicewat
unbound 42642  18.3  0.9 270244 140692  -  Ss   17:33       11:17.62 /usr/local/sbin/unbound -c /var/unbound/unbound.con

Varmaankin pakettiin Services Watchdog liittyen pari epäilyttävää prosessia jatkuvasti 100%. Tapoin nuo, asensin varmuudeksi paketin uudelleen ja kokeilin stopata Unboundin, jolloin se lähti taas ajoon tovin kuluttua, eli nyt watchdog toimii ja loadit normaalit. Idle-prosessi käynnistynyt 10 July 2019, kun oli sähkölaitoksen kämmäyksen takia 5 minuutin sähkökatko.

 

[DaMan]

Onko kellään 10Gb itsetehtyä muuria käytössä? Kahlasin mielestäni koko langan läpi ja
Tee-se-itse: Rautapalomuurit (pfSense, Sophos UTM..) (Mitä käytätte ja miksi juuri se vaihtoehto?)
Oli ainut jossa puhuttiin kahdesta 10Gb kuituportista. Mistä qnap hardiksesta tuossa tarkalleen on kyse?

Olisi siis kiinnostusta tyyliin Fillet2 tyylisestä kamppeesta jossa kuitenkin olisi 1Gbit sijasta minimi 2kpl 10Gbit ja siihen riittävästi prosessointitehoa.

Taisit viitata tohon mun vanhaan tarinaan joten:

Tällä hetkellä: Qnap TVS-473e + Intel X520-DA2 verkkokortti jossa 2x 10Gtek 10Gb MM kuitupalikoita.

Tuossa Qnapin purkissa prossuna on AMD RX-421BD (tunnistuu Opteron-sarjalaisena). Keskusmuistia 40Gb ja käyttis ja softat on raidattuna 2x 1Tb Samsung 960 Pro m.2 korteilla (tosin Qnapin käyttis QTS on kaikilla levyillä aina. Vain asennetut lisäohjelmat on yhdellä levyllä tai oli se sitten raidissa tai ei). Purkissa on 4x Seagate Ironwolf 10Tb lättyjä.

Qnap tukee vakiona Intelin 10Gb verkkokortteja eikä tarvitse mitään ajureita tms säätöä. Toimii suoraan out-of-the-box.
6 palomuuria asennettuna VM:n (5 pausella ja 1 ajossa, valinta aina tilanteen/tarpeen mukaan. Vaihto kestää noin 10 sekuntia = ajossa ollut pauselle ja samanaikaisesti valittu ajoon).

Todella tyytyväinen olen tähän settiin. Hiljainen kun huopatossutehdas ja riittävän ripeä melkein mihin tahansa mihin tällaista purkkia yleensä nyt käytetään. En vaihtaisi erilliseen laitteeseen. Ehkä varalla pöytälaatikossa jos luunappi joskus päästää savut.

 

[maninthemoon]

Ihan mielenkiinnosta, niin mitä hyötyä on 10 gb muurista? Eikös se pääasiallinen liikenne kulje kytkimien kautta ja piisaa, jos ne on 10 gigaset ?

 

[user9999]

Laitetaan tänne myös tuo CVE-2019-14899 haavoittuvuus.
oss-sec: [CVE-2019-14899] Inferring and hijacking VPN-tunneled TCP connections.
CVE-2019-14899
No flaws found in OpenVPN software | OpenVPN

 

[McPaHa]

Ihan mielenkiinnosta, niin mitä hyötyä on 10 gb muurista? Eikös se pääasiallinen liikenne kulje kytkimien kautta ja piisaa, jos ne on 10 gigaset ?

Varmaankin yrityskäytössä... Ja ei tuo netti varmaan 10 Gbs ole [emoji1787]. Tietysti jos dmz:lla tavaraa ja paljon liikennettä sisäverkon ja dmz välillä niin mikä ettei.. parempi että on tehoja

Lähetetty minun SM-N975F laitteesta Tapatalkilla

 

[mikajh]

pfSense:ssä OpenVPN ja Multi-WAN? Jos kyllä, niin kannattaa laittaa OpenVPN kuuntelemaan localhost:ia ja tehdä WAN:eista port forward:ing: Routing and Multi-WAN — Using OpenVPN with Multi-WAN | pfSense Documentation

 

[escalibur]

Kun säädätte pfBlockerNG:ta ja estolistoja, tässä on Googlen näkemys millaisessa maailmassa eletään: Google Transparency Report

Google jos kukaan tietää mitä netissä liikkuu.

 

[mikajh]

pfSense oli aamulla boottiloopissa, kernel panic /-mountin (ufs) epäonnistumisen vuoksi. Nyt syvennyin ongelmaan ja kokeilin aluksi boottia safe-moodiin ja single-useriin. Useaan kertaan /sbin/fsck -y / näytti auttavan, pfblockerng-devel v2.2.5_27 jokin alihakemisto/lock-tiedosto ilmeisesti rikki.
Nyt taitaa olla hyvä hetki ottaa uunituore backup ja myös RRD-data talteen, kun systeemi nousi vielä pystyyn ja kaikki alkaa vaikuttaa olevan pikku hiljaa kunnossa.

 

[user9999]

pfSense asennettu ja käyttöä opeteltu. Kaikki muu lähti pelaamaan ongelmitta mutta iptv:tä en saa näkyviin millään. Tulee paikallisen operaattorin kautta (Kaisanet) ja laitteena Motorolan purkki. Vanhalla Asuksen reitittimellä (ennen pfSensen asentamista) pelasi ilman mitään säätämistä. Ongelma on varmaankin siinä etten osaa säätää tuota IGMP proxyä ja oikeanlaisia palomuurisääntöjä. Ohjeita on kyllä yritetty netistä tavata mutta ei lähde millään pelaamaan.. Palomuurin logissa näkyy estettyjä IGMP yhteyksiä. Voisiko joku vääntää rautalangasta miten tuo proxy ja palomuurisäännöt tulee määritellä?

Jotain ohjeita. Ei ole itsellä kokemusta noista.
Multicast IPTV, igmpproxy issues, BT TV, BT Sport 4K
pfSense and IPTV IGMP Proxy : PFSENSE

 

[sra2010]

pfSense asennettu ja käyttöä opeteltu. Kaikki muu lähti pelaamaan ongelmitta mutta iptv:tä en saa näkyviin millään. Tulee paikallisen operaattorin kautta (Kaisanet) ja laitteena Motorolan purkki. Vanhalla Asuksen reitittimellä (ennen pfSensen asentamista) pelasi ilman mitään säätämistä. Ongelma on varmaankin siinä etten osaa säätää tuota IGMP proxyä ja oikeanlaisia palomuurisääntöjä. Ohjeita on kyllä yritetty netistä tavata mutta ei lähde millään pelaamaan.. Palomuurin logissa näkyy estettyjä IGMP yhteyksiä. Voisiko joku vääntää rautalangasta miten tuo proxy ja palomuurisäännöt tulee määritellä?

Elisa viihde toimii ainakin vaikka igmp proxy ei ole päällä, eikä upnp, mitään porttiohjauksiakaan ei vaatinut. Palomuurini on perus asetuksilla eli kaikki wan:sta sisään tuleva liikenne on estetty ja lan-->wan on sallittu.
Löytyisikö operaattorilta ohjeita, että mitä vaatimuksia tuolle iptv:n toiminnalle on?

 

[mikajh]

Ks. myös Services — Configuring the IGMP Proxy Daemon | pfSense Documentation