Tee-se-itse: Rautapalomuurit (pfSense, Sophos UTM..) (Mitä käytätte ja miksi juuri se vaihtoehto?)

samim · 19.01.2020

Chronic Pain sanoi:
Mitenkäs saisi estettyä pfsense tai pfblockerng avulla VPN (F-Secure jne) yms. muut salatut yhteydet joilla yritetään ohittaa pfsensen ja pfblockerng avulla tehtyä suoajus?

IPSEC-vpn:n saa estämällä UDP/500 sekä protokollat 50 ja 51. SSL-vpn:n saattaa saada estämällä TCP/443.

escalibur · 23.01.2020

Taas yksi esimerkki miksi pfSensen kehitysmenetelmä on vain niin rautainen:

escalibur sanoi:
FortiSIEM default SSH key for the "tunneluser" account is the same across all appliances

Viime marraskuussa: Hardcoded cryptographic key in the FortiGuard services communication protocol

Vuonna 2018: Weak encryption cipher and hardcoded cryptographic keys in Fortinet products

Vuonna 2016: Et tu, Fortinet? Hard-coded password raises new backdoor eavesdropping fears

Luulisi että enterprise-tasoisiin palomuuri- ja tietoturvalaitteistoon keskittyvällä valmistajalla olisi edes perus asiat kunnossa.

kobedih · 23.01.2020

Minkälaisen raudan tää pfSense vaatii 100/50 kuidulle, jotta nopeukset pysyisi mahdollisimman korkeina?

Khauron · 23.01.2020

kunfu sanoi:
Minkälaisen raudan tää pfSense vaatii 100/50 kuidulle, jotta nopeukset pysyisi mahdollisimman korkeina?

Ei mitään ihmeellistä. Itsellä vastaava yhteys kotona, FTH, ja kuitumuuntimesta seuraava on
APU2D0: 2x Gigabit LAN, Quad Core CPU, 16GB SSD, 2GB RAM
Toimii täydellä nopeudella, tämä on ihan testattukin:
APU2C0 pfSense network throughput test

Fitlet2, Shuttle, muitakin on monia, mitkä eivät syö juuri mitään sähköä ja ovat passiivisella jäähdytyksellä. Ja kaikki toimivat tuommoisella yhteydellä niin nopeasti kuin yhteys periksi antaa.

user9999 · 25.01.2020

Eiköhän kohta ilmesty 2.4.5 RC versio testiin.
2.4.5 - All Open Issues - pfSense - pfSense bugtracker
2.4.5 - All Open Regressions - pfSense - pfSense bugtracker

samim · 25.01.2020

user9999 sanoi:
Eiköhän kohta ilmesty 2.4.5 RC versio testiin.

Muuttuiko tuossa nyt käyttisversiokin, kun 2.4.4 —> 2.4.5 ? Vai vasta 2.5.x?

mikajh · 25.01.2020

samim sanoi:
Muuttuiko tuossa nyt käyttisversiokin, kun 2.4.4 —> 2.4.5 ? Vai vasta 2.5.x?

Varmaan hieman, mutta FreeBSD:n 11/stable-branchissa silti pysytään, eli 11.3 (tai vieläkin .2) OpenSSL v1.0.2u?

Releases — Versions of pfSense and FreeBSD | pfSense Documentation

Rascal · 27.01.2020

On pidemmän aikaan ollut rautapalomuuri / reititin mietintämyssyn alla. Asia nousi taas ajankohtaiseksi kun pitäisi panostaa hiukan kotiautomaatioon ja uusia nykyistä verkkoa. pfSenseä tuntuu sopivalta vaihtoehdolta itselle mutta pitäisi löytää joku sopiva rauta kohtuu hinnalla, jossa 4 ethernet porttia. Ilmeisesti WIFI verkkoa ei kannata yrittää tuommoiseen enää tunkata vaan parempi olisi hoitaa asia erillisellä AP:lla?

Kahlasin ketjun läpi ja varteenotettavimmat vaihtoehdot tuntuisivat olevan pcenginesin apu2/apu4, fitlet2 tai joku mini-itx PC. Jäikö joku pois? Koska joudun laittamaan tuon TV tasolle/hyllylle jossa ennestään tuhottomasti laitteita niin sen koko saisi mielellään olla aika kompakti.
fitlet2 vaikuttaisi muuten olevan aika täydellinen mutta noin nopeasti kun vertailin fit-iot resellers sivua niin europaan hinnat on melkein tuplat jenkkilään verrattuna kun lisää alv+toimituskulut. Tek-lagerilta tuntuisi taas saavan apu pohjaisia laitteita kohtuu hintaan joskin koko hiukan isompi. Niissä ei myöskään taida olla näyttö porttia vaan kaikki hoituu konsolin kautta mutta onko tuosta juurikaan haittaa?

Onko tuossa fitlet2:ssa muuta minkä vuoksi siitä kannttaisi maksaa enemmän?

iccb · 27.01.2020

Katsoitko Shuttlen mallit läpi? Esim. Shuttle Barebone Slim DS77U, musta - 299,00€ on tainnut tässäkin ketjussa olla. Sama prossu kuin fitletissä ja pari Intelin verkkoporttia.
Fitlet2 taitaa olla hiukan pienempi vielä ja siihen saa kätevästi facet-kortilla pari verkkokorttia kiinni lisää, mutta ei siinä mitään ihmeellistä ole, erikoistuotteena siinä on hintaakin sitten enemmän.

Rascal · 27.01.2020

iccb sanoi:
Katsoitko Shuttlen mallit läpi? Esim. Shuttle Barebone Slim DS77U, musta - 299,00€ on tainnut tässäkin ketjussa olla. Sama prossu kuin fitletissä ja pari Intelin verkkoporttia.
Fitlet2 taitaa olla hiukan pienempi vielä ja siihen saa kätevästi facet-kortilla pari verkkokorttia kiinni lisää, mutta ei siinä mitään ihmeellistä ole, erikoistuotteena siinä on hintaakin sitten enemmän.

Näin kyllä että se oli mainittuna muutamaan kertaan mutta taisin sivuttaa sen aiemmin sillä ajatuksella että se ei tule juurikaan halvemmaksi kuin fitlet2 kun siihen on ostanut muistit ja kovalevyn. Toki nyt kun katsoin myös hinta.fi:tä niin saahan sen jo yli 50€ halvemmalla muualta kuin Jimmsistä. Laajennettavuuden osalta varmaan parempi vaihtoehto joten sen varmaan saa taipumaan vähän muuhunkin. Pitää hiukan ihmetellä tuota lisää.

mikajh · 28.01.2020

user9999 sanoi:
Eiköhän kohta ilmesty 2.4.5 RC versio testiin.
2.4.5 - All Open Issues - pfSense - pfSense bugtracker
2.4.5 - All Open Regressions - pfSense - pfSense bugtracker

Nyt olisi tarjolla: hubs.ly/H0mMN9v0
2.4.5-RC (amd64)
Based on FreeBSD 11.3-STABLE@r357046

user9999 · 28.01.2020

mikajh sanoi:
Nyt olisi tarjolla: hubs.ly/H0mMN9v0
2.4.5-RC (amd64)
Based on FreeBSD 11.3-STABLE@r357046

Löytyy ketjukin aiheesta.
2.4.5-RC Now Available

sra2010 · 29.01.2020

Onko kukaan törmännyt ongelmaan pfsensen dns toiminnassa koskien microsoftin osoitteita?

Huomasin tänään, että en pääse microsoftin sivuille lainkaan, unbound:n uudelleen käynnistys ratkaisi ongelman tunniksi, mutta ongelma toistuu.

Kaikki muut sivut toimivat normaalisti, mutta mikään microsoftiin liittyvä ei avaudu ja windowsin komentoriviltä ajettuna nslookup ei löydä mitään microsoftiin liittyvää.

esim. *** pfSense*** can't find www.microsoft.com: Server failed

sekä

xboxlive.com
Server: pfSense****
Address: 192.***.***

DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
*** Request to pfSense*** timed-out

Koskee myös muita laitteita jotka menevät nettiin pfsensen kautta, kännykät ja linux läppäri.

Kaikki muut sivut toimivat oikein ja kaikki muut osoitteet mitä nslookup:n syöttää antavat vastauksen ihan oikein.

Onko ajatuksia, vinkejä?

mikajh · 30.01.2020

sra2010 sanoi:
Onko kukaan törmännyt ongelmaan pfsensen dns toiminnassa koskien microsoftin osoitteita?

Microsoftiin liittymätön sivuhuomautus Unboundista ja tästä optiosta, jota ei missään tapauksessa kannata käyttää, sillä aiheuttaa Unboundin tiuhaa kaatumista:

Koodi:

DHCP Registration   [_] Register DHCP leases in the DNS Resolver

Tässä jokunen päivä sitten pfSense 2.4.4p3:ssa hajosi DNS totaalisesti, ja sen näytti aiheuttavan Snort, joka on päivittynyt tiuhaan viime aikoina. Laitoin muistutuksen, että älä likaa käsiäsi tähän vähään aikaan.

PS. Käytä Diagnostics - DNS Lookup -toimintoa testaukseen ja katso onko logeissa Status/System Logs/System/DNS Resolver mitään erikoista. Tämä tietysti sillä varauksella, että ylipäätään käytät Unboundia (DNS Resolver)

sra2010 · 30.01.2020

mikajh sanoi:
Microsoftiin liittymätön sivuhuomautus Unboundista ja tästä optiosta, jota ei missään tapauksessa kannata käyttää, sillä aiheuttaa Unboundin tiuhaa kaatumista:

Koodi:

DHCP Registration [_] Register DHCP leases in the DNS Resolver

Tässä jokunen päivä sitten pfSense 2.4.4p3:ssa hajosi DNS totaalisesti, ja sen näytti aiheuttavan Snort, joka on päivittynyt tiuhaan viime aikoina. Laitoin muistutuksen, että älä likaa käsiäsi tähän vähään aikaan.

PS. Käytä Diagnostics - DNS Lookup -toimintoa testaukseen ja katso onko logeissa Status/System Logs/System/DNS Resolver mitään erikoista. Tämä tietysti sillä varauksella, että ylipäätään käytät Unboundia (DNS Resolver)

Muistaakseni tuo mainitsemasi valinta on oletuksena pois, enkä ole tehnyt mitään muutoksia niihin.

En ainakaan huomannut mitään ihmeellistä tuolla loki tiedoissa, kun eilen katselin.

Testaan tuota dns-lookup:a, kun olen taas koneella.

Tuosta snortin aiheuttamasta sekoilusta tuli mieleen, että ntopng on asennettuna, poistan kokeeksi senkin.

Tuo oire on vaan niin kummallisen rajoittunut, kun vaikuttaa vain microsoftin sivustoihin niin voi olla jokin estetty ip, mutta palomuurin lokissa ei kuitenkaan näy mitään.

mikajh · 31.01.2020

Current Base System 2.4.4_3
Latest Base System 2.4.5.r.20200130.1230
---
2.4.5-RC (amd64)
built on Thu Jan 30 12:22:28 EST 2020
FreeBSD 11.3-STABLE

The system is on the latest version.
Version information updated at Fri Jan 31 19:41:30 EET 2020
---
Saas nähdä toimiiko kaikki EDIT: Mitään ongelmaa ei ole vielä paljastunut.

Nämä valinnaiset paketit on asennettuna enkä niitä poistanut päivityksen vuoksi:
pfBlockerNG-devel 2.2.5_28
RRD_Summary 2.0
Service_Watchdog 1.8.6
openvpn-client-export 1.4.19_2
iperf 3.0.2_2
nmap 1.4.4_1
Notes 0.2.9_2

Neljä pakettia uudelleenasennettiin päivityksen yhteydessä, pfBlockerNG yksi niistä

sra2010 · 31.01.2020

Palautin joulukuussa luodun varmuuskopion ja nyt näyttäisi unbound toimivan oikein ja microsoftin sivutkin toimivat.

En ole vielä keksinyt, että mikä ongelman aiheutti, millään asetuksella en saanut toimimaan. Mikäli ongelma toistuu niin perehdyn tarkemmin.

mikajh · 04.02.2020

mikajh sanoi:
Current Base System 2.4.4_3
Latest Base System 2.4.5.r.20200130.1230

pfSense-varoitus! Avoid Update - Version 2.4.5.r.20200203.1429 issue
Törmäsin tähän tietysti itsekin päivittämällä 2-4-5-r-20200202->0203

Noiden 2.4.5-RC:n kanssa on riesa että päivityksiä tosiaan tulee kerran päivässä. Ja todistettavasti siellä muuttuu muutakin kuin päivämäärä

escalibur · 04.02.2020

mikajh sanoi:
pfSense-varoitus! Avoid Update - Version 2.4.5.r.20200203.1429 issue
Törmäsin tähän tietysti itsekin päivittämällä 2-4-5-r-20200202->0203

Noiden 2.4.5-RC:n kanssa on riesa että päivityksiä tosiaan tulee kerran päivässä. Ja todistettavasti siellä muuttuu muutakin kuin päivämäärä

Kehitysversioita ei ole tarkoituskaan ajaa tuotannossa.

mikajh · 04.02.2020

Jooei, tämä on riskiä bisnestä. Toisaalta ellei riittävästi ole testaajia, niin rellua ei tule koskaan ulos. Ja jos testaus on vain leikkisetupeissa, niin ei oikean maailman ongelmat tule esiin.

Tuo boottiongelma puuttuvan ramdisk-skriptin takia on kyllä niin alkeellinen juttu, että ei taida olla minkäänlaista automaattitestausta edes käytössä pfSensen devauksessa.

antero · 06.02.2020

mikajh sanoi:
Jooei, tämä on riskiä bisnestä. Toisaalta ellei riittävästi ole testaajia, niin rellua ei tule koskaan ulos. Ja jos testaus on vain leikkisetupeissa, niin ei oikean maailman ongelmat tule esiin.

Tuo boottiongelma puuttuvan ramdisk-skriptin takia on kyllä niin alkeellinen juttu, että ei taida olla minkäänlaista automaattitestausta edes käytössä pfSensen devauksessa.

Luultavasti kehittäjät ei käytä sitä.

Pfsense ramdisk usage

Since I installed pfsense (full version) on a 16GB mSATA SSD installed on an APU2C4, I removed the swap file during installation and opted to use RAM Disks f...

forum.netgate.com

antero · 09.02.2020

Kertokaapa tietävät miten editoin näitä kun windows koneella nettiselaimen kautta käytän. Vai onko lyötävä pfsense telkkariin ja suoraan sillä muokattava.
Tavoitteena olisi pelikone ohittaa pfBlockerNg:sta, on nyt erillisiessä Lan portissa eli ehkä vlanilla onnistuu.
Pienintä lagia haen.

edit: ilmeisesti Diagnostic-> Edit file onnistuu
/var/unbound/unbound.conf

Bypassing DNSBL for specific IPs

Not sure if this has been posted before but just figured out views are possible in Unbound 1.6 and can be used for bypassing DNSBL zones for specific IPs/ran...

forum.netgate.com

mikajh · 09.02.2020

Varsinaiseen Unboundin konffaukseen en ota kantaa, mutta täältä sitä voi tehdä ihan hallitusti normi-web-UI:n kautta:
Services/DNS Resolver/General Settings
Display Custom Options: nappi Display Custom Options
Custom options: text box

antero · 09.02.2020

mikajh sanoi:
Varsinaiseen Unboundin konffaukseen en ota kantaa, mutta täältä sitä voi tehdä ihan hallitusti normi-web-UI:n kautta:
Services/DNS Resolver/General Settings
Display Custom Options: nappi Display Custom Options
Custom options: text box

Kiitti.
edit. kokeilen miten toimii

server:
access-control-view: 192.168.1.0/24 dnsbl
access-control-view: 192.168.2.0/24 dnsbl
access-control-view: 192.168.3.100/32 bypass

view:
name: "bypass"
view-first: yes

view:
name: "dnsbl"
view-first: yes
include: /var/unbound/pfb_dnsbl.*conf

mikajh · 09.02.2020

En ota edelleenkään kantaa, mutta 192.168.3.100/24 tarkoittaa samaa kuin 192.168.3.0/24. Jos haluat spesata vain yhden osoitteen 192.168.3.100, niin 192.168.3.100/32 lienee oikeampi, muuten tuo koskee koko verkkoa 192.168.3.0 eli jokaista osoitetta välillä 192.168.3.1...254

mikajh · 14.02.2020

pfSense 2.4.5-RC Thu Feb 13 17:39 EST 2020
Avoid at all cost - don't update!
Älä päivitä tätä jos reititysominaisuus on sinulle tärkeä. Saman päivän edellinen buildi oli ok, tässä jotain 7 päivityspakettia, mm. ngingx.
Bogonsv6-tablesta runsaasti varoituksia, ehkä jos ei olisi myös IPv6 käytössä tai ainakin bogons-suodatus poistettu käytöstä, saattaisi vähän toimiakin, puhdas arvaus.

EDIT: Toinen bootti saattaa korjata tilanteen

antero · 14.02.2020

mikajh sanoi:
pfSense 2.4.5-RC Thu Feb 13 17:39 EST 2020
Avoid at all cost - don't update!
Älä päivitä tätä jos reititysominaisuus on sinulle tärkeä. Saman päivän edellinen buildi oli ok, tässä jotain 7 päivityspakettia, mm. ngingx.
Bogonsv6-tablesta runsaasti varoituksia, ehkä jos ei olisi myös IPv6 käytössä tai ainakin bogons-suodatus poistettu käytöstä, saattaisi vähän toimiakin, puhdas arvaus.

EDIT: Toinen bootti saattaa korjata tilanteen

Itse katsoin aiemmin että päivitän seuraavan kerran vasta kun tämä on ollu ratkaistuna pari päivää.
Tuntuu sen verran sotkulta että antaa rauhassa korjailla asiat.

Bug #10254: pf error "too many elements" when attempting to load large tables - pfSense - pfSense bugtracker

Redmine

redmine.pfsense.org

user9999 · 24.02.2020

2.4.5-RC Now Available

@seanmcb said in 2.4.5-RC Now Available: How about the fact that there are 9 months of unpatched security vulnerabilities? Take a look a the output of pkg ...

forum.netgate.com

Mielenkiintoiselta näyttää tuo pkg audit -F käsky. Käytössä 2.4.4-RELEASE-p3

Fetching vuln.xml.bz2: .......... done
expat-2.2.5 is vulnerable:
expat2 -- Fix extraction of namespace prefixes from XML names
WWW: VuXML: expat2 -- Fix extraction of namespace prefixes from XML names

expat-2.2.5 is vulnerable:
expat2 -- Fix extraction of namespace prefixes from XML names
WWW: VuXML: expat2 -- Fix extraction of namespace prefixes from XML names

curl-7.64.0 is vulnerable:
curl -- multiple vulnerabilities
CVE: CVE-2019-5436
CVE: CVE-2019-5435
WWW: VuXML: curl -- multiple vulnerabilities

curl-7.64.0 is vulnerable:
curl -- multiple vulnerabilities
CVE: CVE-2019-5482
CVE: CVE-2019-5481
WWW: VuXML: curl -- multiple vulnerabilities

php72-7.2.10 is vulnerable:
php -- env_path_info underflow in fpm_main.c can lead to RCE
CVE: CVE-2019-11043
WWW: VuXML: php -- env_path_info underflow in fpm_main.c can lead to RCE

libnghttp2-1.32.0 is vulnerable:
nghttp2 -- multiple vulnerabilities
CVE: CVE-2019-9513
CVE: CVE-2019-9511
WWW: VuXML: nghttp2 -- multiple vulnerabilities

unbound-1.9.1 is vulnerable:
unbound -- parsing vulnerability
CVE: CVE-2019-16866
WWW: VuXML: unbound -- parsing vulnerability

unbound-1.9.1 is vulnerable:
unbound -- parsing vulnerability
CVE: CVE-2019-18934
WWW: VuXML: unbound -- parsing vulnerability

nginx-1.14.1,2 is vulnerable:
NGINX -- HTTP request smuggling
CVE: CVE-2019-20372
WWW: VuXML: NGINX -- HTTP request smuggling

nginx-1.14.1,2 is vulnerable:
NGINX -- Multiple vulnerabilities
CVE: CVE-2019-9516
CVE: CVE-2019-9513
CVE: CVE-2019-9511
WWW: VuXML: NGINX -- Multiple vulnerabilities

pkg-1.10.5_6 is vulnerable:
pkg -- vulnerability in libfetch
CVE: CVE-2020-7450
WWW: VuXML: pkg -- vulnerability in libfetch

libidn2-2.0.5 is vulnerable:
libidn2 -- roundtrip check vulnerability
CVE: CVE-2019-12290
WWW: VuXML: libidn2 -- roundtrip check vulnerability

oniguruma-6.8.1 is vulnerable:
oniguruma -- multiple vulnerabilities
CVE: CVE-2019-13225
CVE: CVE-2019-13224
WWW: VuXML: oniguruma -- multiple vulnerabilities

9 problem(s) in the installed packages found.

mikajh · 24.02.2020

Koodi:

[2.4.5-RC][admin@pfsense]/root: pkg audit -F
Fetching vuln.xml.bz2: 100%  832 KiB 426.1kB/s    00:02    
putty-nogtk-0.70 is vulnerable:
PuTTY 0.72 -- buffer overflow in SSH-1 and integer overflow in SSH client
WWW: https://vuxml.FreeBSD.org/freebsd/5914705c-ab03-11e9-a4f9-080027ac955c.html

putty-nogtk-0.70 is vulnerable:
PuTTY -- security fixes in new release
WWW: https://vuxml.FreeBSD.org/freebsd/46e1ece5-48bd-11e9-9c40-080027ac955c.html

2 problem(s) in 1 installed package(s) found.

mikajh · 24.02.2020

pfSense:ssä näyttää olevan putty-nogtk:sta käytössä vain puttygen avaimien generointia varten, joten nuo haavoittuvuudet eivät varsinaisesti koske sitä?
EDIT: Mikään muu paketti ei näyttänyt kaipaavan tuota, joten poistin kylmästi. Katsotaan tulisiko seuraavassa 2.4.5-RC:ssä takaisin.

Pörkyle · 26.02.2020

IPFireen tuli DNS-over-TLS tuki uusimmassa päivityksesä.

www.ipfire.org - IPFire 2.25 - Core Update 141 released

blog.ipfire.org

Tässä lisää tietoa uudistuneesta DNS systeemistä .

www.ipfire.org - What you can do with the new DNS features in IPFire

blog.ipfire.org

mikajh · 29.02.2020

pfSense 2.4.5-RC:ssä taas pieniä päivityskupruja matkalla revisioon Fri Feb 28 2100 EST 2020, workaround täällä: Bug #10303: pfSense-upgrade is not upgrading itself - pfSense - pfSense bugtracker
Upgrade-paketti hajoaa päivityksessä ja päivitin siis katoaa

Jondeli · 29.02.2020

Mikäs on tällä hetkellä filet2 tilanne, onko sitä saatavilla mistään suhteellisen edullisesti? Amazon.de löytyisi se perusversio ~200e, mutta sitten mistään ei löydy erikseen lisäverkkokorttia. Israelista tilattaessa tulisi noin 100e lisää pelkästään posteista + alveista ja Tanskasta tilatessa puolestaan hinta on tuplat Israeliin. Tarve olisi 4 gigasella ethernet portilla, 8gb muistilla ja nykyaikaisella prosulla. Vanha fanless mini-PC rupeaa jäämään jalkoihin J9000 prossulla ja 4gb muistilla, tosin prosessori jaksaa edelleen hyvin, mutta nykyaikaiseen olisi tarve päivittää jossain vaiheessa.

Toki Fitlet2 vastaavia voisi myös ehdottaa, samaa hintaluokkaa siis.

Khauron · 29.02.2020

Jondeli sanoi:
Mikäs on tällä hetkellä filet2 tilanne, onko sitä saatavilla mistään suhteellisen edullisesti? Amazon.de löytyisi se perusversio ~200e, mutta sitten mistään ei löydy erikseen lisäverkkokorttia. Israelista tilattaessa tulisi noin 100e lisää pelkästään posteista + alveista ja Tanskasta tilatessa puolestaan hinta on tuplat Israeliin. Tarve olisi 4 gigasella ethernet portilla, 8gb muistilla ja nykyaikaisella prosulla. Vanha fanless mini-PC rupeaa jäämään jalkoihin J9000 prossulla ja 4gb muistilla, tosin prosessori jaksaa edelleen hyvin, mutta nykyaikaiseen olisi tarve päivittää jossain vaiheessa.

Toki Fitlet2 vastaavia voisi myös ehdottaa, samaa hintaluokkaa siis.

Oletko Teklagerin tarjontaan tutustunut?

Open Source Router and Firewall hardware (same day shipping from Stockholm)

APU and Intel routers. Hardware dedicated for pfSense, OPNSense and IPFire. VPN routers. Low power, fanless, open-source, gigabit routers.

teklager.se

Nopeasti katsottuna TLSense i5: 4x Gigabit LAN, Intel i5 CPU, 60GB SSD, 8GB RAM olisi sinun speksit täyttävä. Ja on varmasti halvempi, mitä Fitlet2:n vastaava.

Ihan mielenkiinnosta, minkälaiseen ympäristöön / käyttöön tulee? Melko rajua saa olla käyttö ja kaikenmaailman add-onia asennettuna (IDS / IDP) että saa pfSensen kanssa 8GB RAMia tuhlattua.

Jondeli · 29.02.2020

Khauron sanoi:
Oletko Teklagerin tarjontaan tutustunut?

Open Source Router and Firewall hardware (same day shipping from Stockholm)

APU and Intel routers. Hardware dedicated for pfSense, OPNSense and IPFire. VPN routers. Low power, fanless, open-source, gigabit routers.

teklager.se

Nopeasti katsottuna TLSense i5: 4x Gigabit LAN, Intel i5 CPU, 60GB SSD, 8GB RAM olisi sinun speksit täyttävä. Ja on varmasti halvempi, mitä Fitlet2:n vastaava.

Ihan mielenkiinnosta, minkälaiseen ympäristöön / käyttöön tulee? Melko rajua saa olla käyttö ja kaikenmaailman add-onia asennettuna (IDS / IDP) että saa pfSensen kanssa 8GB RAMia tuhlattua.

Vähän hintava tuokin, kun samaan hintaan saa jo sen fitlet2:den. 8gb on toki vähän overkill, mutta 4gb meinaa jäädä vähän vähälle ajoittain, kun Suricata blokkaamassa useammassa interfacessa, tai tarkemmin yhdessä blokkaa ja kahdessa hälytys-moodissa. 4gb riittää 99% ajasta, mutta muutaman kerran kaatunut pfsense muistin takia, kun Suricata pyörimässä ja samalla konffailee esimerkiksi pfblockerng juttuja.

Zetbo · 29.02.2020

Jondeli sanoi:
Vähän hintava tuokin, kun samaan hintaan saa jo sen fitlet2:den. 8gb on toki vähän overkill, mutta 4gb meinaa jäädä vähän vähälle ajoittain, kun Suricata blokkaamassa useammassa interfacessa, tai tarkemmin yhdessä blokkaa ja kahdessa hälytys-moodissa. 4gb riittää 99% ajasta, mutta muutaman kerran kaatunut pfsense muistin takia, kun Suricata pyörimässä ja samalla konffailee esimerkiksi pfblockerng juttuja.

Tietoliikenne- ja turvallisuustuotteet | Wintel Finland Oy

Wintel on tietoliikennetuotteisiin ja turvallisuustuotteisiin erikoistunut maahantuoja, jolla on vankka osaaminen ip-verkkojen hyödyntämisestä reaaliaikaisissa sovelluksissa, kuten ip-kameravalvonnassa ja teollisuuden sovelluksissa. Wintel sulautui FSM Groupiin lokakuussa 2019.

www.wintel.fi

Itse tilasin tuolta viime kesänä. Joutuu kyllä lähettämään sähköpostia ja kysymään. Lähetä sposti, että minkälaisilla osilla haluat fitletin. Mulle vastasi ainakin nopeasti.

user9999 · 29.02.2020

Olikos kenelläkään käytössä tuo IKEv2 VPN pfSensessä? Onko toiminut vakaasti?
Ajattelin, jos kokeilisi sitä tuon OpenVPN tilalle. Olisi muutamia etuja Applen laitteisiin eli ei tarvitsisi mitään client ohjelmistoa, koska tuo IKEv2 löytyy suoraan macOS, iOS ja IPadOS käyttiksistä.
Sitten mulla on ollut aikoinaan OpenVPN Access Serverissä käytössä VPN On-Demand niin senkin voisi virittää tuohon IKEv2 yhteyteen.

pfSense IKEv2 for iOS/macOS

pfSense IKEv2 for iOS/macOS – Part 1

In this article, we’ll configure the certificates necessary to set up an IKEv2 VPN in pfSense. Articles in This Series: Part 1 (Current Article) Part 2 – VPN Configuration Part 3 &#8211…

grokdesigns.com

On Demand VPN

pfSense IKEv2 for iOS/macOS – Part 4

In this article, we’ll configure On Demand VPN for iOS and macOS devices to connect to the VPN we created. Articles in This Series: Part 1 – Certificate Configuration Part 2 – VPN…

grokdesigns.com

Can I use iOS 6+ VPN-On-Demand with OpenVPN?

Can I use iOS 6+ VPN-On-Demand with OpenVPN? | OpenVPN

VPN-On-Demand (VoD) allows a VPN profile to specify the conditions under which it will automatically connect. OpenVPN on iOS fully supports VoD.

openvpn.net

user9999 · 01.03.2020

Asensin tuon IKEv2 VPN pfSenseen. Näyttäisi toimivan eli tein EAP-TLS ratkaisun. Laitoin VoD:n kanssa toimimaan.

VPN yhteys menee poikki kun laite saa DNS palvelimeksi kotiverkon palvelimen (pfSense) ja liittyy kotiverkon WLANiin.
DNSServerAddressMatch: DNS palvelimen ip (pfSense)
SSIDMatch: langattoman verkon SSID

Muussa tapauksessa VPN yhteys nousee automaattisesti. Toimii iOS, macOS ja iPadOS käyttöjärjestelmissä.

Tuon voi ottaa pois käytöstä noista Connect on demand (Yhdistä tarvittaessa) valinnoista. Kännykästä kun pistää WLAN:n pois niin VPN yhteys menee välittömästi päälle.
Täytyy vielä miettiä, minkälaista VoDia sitä tarvitsee eli tuo on yksinkertainen viritys.

antero · 01.03.2020

Khauron sanoi:
Oletko Teklagerin tarjontaan tutustunut?

Open Source Router and Firewall hardware (same day shipping from Stockholm)

APU and Intel routers. Hardware dedicated for pfSense, OPNSense and IPFire. VPN routers. Low power, fanless, open-source, gigabit routers.

teklager.se

Nopeasti katsottuna TLSense i5: 4x Gigabit LAN, Intel i5 CPU, 60GB SSD, 8GB RAM olisi sinun speksit täyttävä. Ja on varmasti halvempi, mitä Fitlet2:n vastaava.

Ihan mielenkiinnosta, minkälaiseen ympäristöön / käyttöön tulee? Melko rajua saa olla käyttö ja kaikenmaailman add-onia asennettuna (IDS / IDP) että saa pfSensen kanssa 8GB RAMia tuhlattua.

Itse en tajua miksi kaikki pitää hommata kerralla, itse laitan riisutun version ja vaikka vanhan läppärin muistin ja edullisen ssd:n lyön laitteeseen.
Itsellä j1900 ja siinä 8Gb 256GB SSD. Miksi pitäisi etsiä jokin minimi määrä kun hinta ei edes muutu kuin muutaman kympin asetta suuremmilla kamppeilla.
Toki oma tilanne on varmaan erilainen kun omasta hyllystä löytyy erilaisia kamppeita heti.
Puhtaasti surkeiden virtalähteiden sijaan kokeeksi tilasin tuollasen, saa nähdä mitä laatu on. Mutta nuo mukana tulevat 5A antaa monesti todellisuudessa 2.5A ja ylivirtasuojaus suuressa osassa puuttuu. Osassa toimii jokin suojaus. On itsellä ollu vakaa mukanankin tulleet, mutta kun pari virtalähdettä avannu on mieli alkanu muuttua.

(JP) Transmit MEAN WELL GSM60A09/A12/A15/A18/A24/A48-P1J Power Supply 60W Medical Adapter - AliExpress 13

Smarter Shopping, Better Living! Aliexpress.com

www.aliexpress.com

tuokin varmaan olisi ok jos laite on mitä luvataan.

Steady MEAN WELL GST60A12-P1J 12V 5A meanwell GST60A 60W AC-DC Industrial Adaptor 3 plug energy-saving Replace GS - AliExpress 13

Smarter Shopping, Better Living! Aliexpress.com

www.aliexpress.com

user9999 sanoi:
Asensin tuon IKEv2 VPN pfSenseen. Näyttäisi toimivan eli tein EAP-TLS ratkaisun. Laitoin VoD:n kanssa toimimaan.

VPN yhteys menee poikki kun laite saa DNS palvelimeksi kotiverkon palvelimen (pfSense) ja liittyy kotiverkon WLANiin.
DNSServerAddressMatch: DNS palvelimen ip (pfSense)
SSIDMatch: langattoman verkon SSID

Muussa tapauksessa VPN yhteys nousee automaattisesti. Toimii iOS, macOS ja iPadOS käyttöjärjestelmissä.

Miten tuo toimii jos useampi laite yhteydessä, toinen yrittää VPN ja toinen ei?

mikajh · 01.03.2020

antero sanoi:
Miten tuo toimii jos useampi laite yhteydessä, toinen yrittää VPN ja toinen ei?

Tuohan on clientin oma päätös käyttääkö se VPN:ää (esim. kotiverkon ulkopuolella) ja droppaa sen tarpeettomana sen kotiverkossa. VPN serveri ei tähän osallistu, eikä muilla clienteilla ole vaikutusta.

user9999 · 01.03.2020

Mulla on tuo vielä vähän kesken eli on käytössä puhelimessa ja koneessa sama profiili. Jos ottaa koneella ja puhelimella samaan aikaan VPN yhteyden tuohon pfSenseen niin molemmat saa saman ip:n

Ei toimi kummallakaan netti. Testailen nyt jonkin aikaa ja sitten täytyy tehdä joka laitteelle oma profiili, jossa omat user sertit.

Sen verran tuossa testasin eli kävin ulkona niin hienosti tuo toimii. Esim. iPhonen Apple Music ei häiriinny millään lailla tuosta, että WLAN tippuu ja VPN nousee ylös ja päinvastoin.

mikajh · 01.03.2020

Kun on kaikkea Krackia ja Kr00kia liikenteessä, niin eipä se VPN:n käyttö kotiverkossakaan ole haitaksi. Taisi joku asiantuntija (Schneier?) suositella jopa kotiverkon pitämistä avoimena, jotta on suojaukset käytössä koko ajan.

Ainoastaan pari seikkaa voi houkuttaa tinkimään oman VPN:n jatkuvasta käytöstä: perffi laskee (downlink on enintään kotiverkon uplink), latenssi ja virrankulutus nousee.

user9999 · 01.03.2020

mikajh sanoi:
Kun on kaikkea Krackia ja Kr00kia liikenteessä, niin eipä se VPN:n käyttö kotiverkossakaan ole haitaksi. Taisi joku asiantuntija (Schneier?) suositella jopa kotiverkon pitämistä avoimena, jotta on suojaukset käytössä koko ajan.

Ainoastaan pari seikkaa voi houkuttaa tinkimään oman VPN:n jatkuvasta käytöstä: perffi laskee (downlink on enintään kotiverkon uplink), latenssi ja virrankulutus nousee.

Akkua tuo syö, muttei paljon. Akku oli täysi niin tunnin kuunnellu Apple Music niin 89% jäljellä. En muista miten OpenVPN syö akkua.

mikajh · 01.03.2020

Keepalive-asetuksilla tuota voi hieman ehkä tuunata

user9999 · 02.03.2020

user9999 sanoi:
Mulla on tuo vielä vähän kesken eli on käytössä puhelimessa ja koneessa sama profiili. Jos ottaa koneella ja puhelimella samaan aikaan VPN yhteyden tuohon pfSenseen niin molemmat saa saman ip:n
Ei toimi kummallakaan netti. Testailen nyt jonkin aikaa ja sitten täytyy tehdä joka laitteelle oma profiili, jossa omat user sertit.

Sen verran tuossa testasin eli kävin ulkona niin hienosti tuo toimii. Esim. iPhonen Apple Music ei häiriinny millään lailla tuosta, että WLAN tippuu ja VPN nousee ylös ja päinvastoin.

Tuo IP ongelma on nyt korjattu. Jokaisella laitteella on oma user sertifikaatti ja oma profiili

maninthemoon · 02.03.2020

Open VPN:llä toimii yhden käyttäjän takaa useampi laite (sama ip). Olisihan tuo tietty kiva, että jokainen laite saisi oman ip osoitteen riippumatta käyttäjästä, muttta ei viitsi ja jaksa tehdä useampaa profiilia.

user9999 · 08.03.2020

Tuo IKEv2 VPN on jonkin verran nopeampi gigasella yhteydellä kuin Openvpn. Pfsense koneena Shuttle XPC slim DS77U, joka hoitaa gigasen netin leikiten.

OpenVPN: Testattu 2018 kesällä

IKEv2 VPN:

mikajh · 08.03.2020

user9999 sanoi:
Tuo IKEv2 VPN on jonkin verran nopeampi gigasella yhteydellä kuin Openvpn. Pfsense koneena Shuttle XPC slim DS77U, joka hoitaa gigasen netin leikiten.

Hyvät lukemat varsinkin iperf3:lla, itse pääsin vain 233 Mbit/s lukemiin (233 up + 233 down). Tämä yhdellä clientilla.

Tässä on vain se outous, että 2/4 corea idlaa, eikä openvpn-serverikään pyöri läheskään 100%:lla yhdessä coressa. Verkostakin on käytössä vain 25%.
Voisin kokeilla käyttää toistakin openvpn-instanssia samaan aikaan, josko yhteistulos siitä tuplaantuisi, kuten voisi odottaa.

user9999 · 08.03.2020

mikajh sanoi:
Hyvät lukemat varsinkin iperf3:lla, itse pääsin vain 233 Mbit/s lukemiin (233 up + 233 down). Tämä yhdellä clientilla.

Tässä on vain se outous, että 2/4 corea idlaa, eikä openvpn-serverikään pyöri läheskään 100%:lla yhdessä coressa. Verkostakin on käytössä vain 25%.
Voisin kokeilla käyttää toistakin openvpn-instanssia samaan aikaan, josko yhteistulos siitä tuplaantuisi, kuten voisi odottaa.

Joo openvpn vaatii kustomointia, että sen saa kulkemaan. Katoin niin mulla ei ole nyt tuossa mitään Custom Options kohdassa kun tuo pfsense meni aikoinaan sekaisin niin unohtunut laitaa nuo viritykset.
Muistaakseni olen dokumentoinut nuo.

user9999 · 09.03.2020

mikajh sanoi:
Hyvät lukemat varsinkin iperf3:lla, itse pääsin vain 233 Mbit/s lukemiin (233 up + 233 down). Tämä yhdellä clientilla.

Tässä on vain se outous, että 2/4 corea idlaa, eikä openvpn-serverikään pyöri läheskään 100%:lla yhdessä coressa. Verkostakin on käytössä vain 25%.
Voisin kokeilla käyttää toistakin openvpn-instanssia samaan aikaan, josko yhteistulos siitä tuplaantuisi, kuten voisi odottaa.

Tässä jotain arvoja. Tuossa ollut Intel i7-7700T kokoonpano niin vähän nopeampi kuin Shuttle