Follow along with the video below to see how to install our site as a web app on your home screen.
Huomio: This feature may not be available in some browsers.
Oletteko törmänneet hyvään step-by-step tutoriaaliin, kuinka viritellä reverse-proxy pfsenseen?
Pitäisi saada mahdollisimman "turvallinen" pääsy sisäverkon NASsiin ja siinä pyöriviin dockereihin. (mm. nextcloud ja homeassistant)
Reverse proxy on ymmärtääkseni VPN yhteyden jälkeen turvallisin vaihtoehto?
Ja VPN on poissuljettu, koska?
Itse tein joskus testimielessä täysin toimivan setupin Squidillä. En saanut HAproxyä koskaan toimimaan halutulla tavalla. Katson, jos löydän bookmarkin jostain.
Tilanne, opnsense ja Chromecast boxi (xiaomi mi box s). Kaksi vlania lan ja iot, laitteet lanissa ei saa castattua chromecastille iot verkkoon. Asensin tuon mdns pluginin ja enabloin oikeat interfacet siitä.
Olisiko tässä mitään apuja: Fortinet Knowledge Base - View DocumentKäsitin ettei tarvitse. Täytyy vielä testata.
Tuo mdns ei ilmeisesti toimi muillakaan mutta plugin udp broadcast relayllä pitäisi toimi, vaan ei silläkään.
OpenVPN:Oletteko testanneet OpenVPN nopeuksia pfSensellä ja jos olette niin mihin nopeuksiin olette päässeet?
Testailin omaa palomuuria ja n.630Mbps on paras keskiarvo mihin olen päässyt, siitä ei tunnu pääsevän yli vaikka muuttaa serverin asetuksia. Prossun käyttö jää n.30%, mutta oliko niin, että OpenVPN käyttää vain yhtä ydintä/serveri jolloin tuo prossu rajoittaa suorituskykyä vaikka ei olekaan 100% käytössä?
Laitteena Shuttle Global - DS77U SERIES eli tuo Celeron® 3865U.Niin tuo näyttää olevan. Vaikuttaa sekavalta tuo IPsec käyttöönotto, vaatii enemmän perehtymistä kuin tuo OpenVPN.
Mikä laite sinulla on tuossa palomuurina?
Harmi vain että tuon konffaamiseen tarvitaan macOS-koneen/VM:n.Laitteena Shuttle Global - DS77U SERIES eli tuo Celeron® 3865U.
Mulla on Apple laitteet niin tein seuraavalla ohjeella tuon IPsecin ja "VPN on Demand" on käytössä. Eli kun lähden kodin langattomasta verkosta pois niin VPN yhteys menee automaattisesti päälle. VPN yhteys katkeaa automaattisesti kun laitteet liittyvät kodin langattomaan verkkoon.
Seuraavat muutokset tein vielä eli alla olevasta linkistä tuo "Scaling IPsec".pfSense IKEv2 for iOS/macOS – Part 1
In this article, we’ll configure the certificates necessary to set up an IKEv2 VPN in pfSense. Articles in This Series: Part 1 (Current Article) Part 2 – VPN Configuration Part 3 –…grokdesigns.com
Apple ei tue tuota "AES-XCBC for the hash"VPN Scaling | pfSense Documentation
docs.netgate.com
VPN.IKEv2.IKESecurityAssociationParameters | Apple Developer Documentation
The dictionary that contains security association parameters.developer.apple.com
Edit: Yksi hyvä etu tuossa IPsecissä on Applen laitteissa eli laitteet/käyttikset tukee suoraan tuota IPseciä. Ei tarvi asentaa mitään client ohjelmaa.
Itse pelaisin varman päälle ja hankkisin erillisen kytkimen pfSensen perään.Käyttääkö joku pfsenseä/opnsenseä myös kytkimenä? Onko millaisia kokemuksia ja taipuiko moiseen helposti? Olisi tarkoitus laittaa neliporttinen kortti kiinni ja kaikki portit samaan verkkoon. Ajatus on korvata nykyinen openwrt:llä pyörivä zyxelin wifireititin jollain reititinratkaisulla ja access pointilla.
Tai hallittava malli TP-LINK TL-SG105E -5-porttinen kytkin 24,90 niin saa paremmin segmentoitua.Itse pelaisin varman päälle ja hankkisin erillisen kytkimen pfSensen perään.
Esim tämäkin ajaa asiansa kotiolosuhteissa:
TP-LINK TL-SG105, halvin hinta 16€
Halvin hinta 16 € (22 € toimituskuluineen). Vertailussa 15 kauppaa. Ominaisuudet: Hallitsematon, Gigabit Ethernet (10/100/1000), 2000 entries, Gigabit Etherne..hinta.fi
Tuon perään PoE injektori ja siihen tukari.
Itse pelaisin varman päälle ja hankkisin erillisen kytkimen pfSensen perään.
Juurikin noin. Samoin helpottuu vianselvitykset yms, kun tweakkaukset ovat minimissään.No juu eipä tuo erillinen kytkin kyllä kauheesti sotkis ja tunkkaaminen jäänee vähemmälle.
Minulla on kohta 3 vuotta ollut tuollainen käytössä, i5 5250U prossu tosin. Ostin pelkän rungon ilman muistia, ssd:tä tai wifiä. Ei mitään ongelmia ole ollut (nyt se varmaan hajoaa...)Olikos täällä Qotomin laitteiden omistajia? 355G4 koneen saisi i5 5200U prosessorilla, 8 Gb ramilla ja 64 Gb SSD:llä 219e hintaan + mahdolliset tullit. Vaikuttaa aika hyvältä laitteelta tuohon hintaan, vai olisiko jotain parempaa? APU2 ei oikein houkuta kun niissä on niin onneton VPN suorituskyky ja onhan ne ikivanhojakin nykyään jo.
Pärjää. Itse lisäsin vielä tämän:Pärjääkö pfBlockerin kanssa noilla listoilla, mitkä löytyy feedistä, vai onko jotain muita hyviä listoja mitä kannattaisi lisäillä?
OK, kiitoksia vastauksesta. Täytyypä tutustua tähän listaan.Pärjää. Itse lisäsin vielä tämän:
Kyseessä on kokoelma eri estolistoja. Tässä on tarkempaa infoa mistä tuo koostuu:
GitHub - stamparm/maltrail: Malicious traffic detection system
Malicious traffic detection system. Contribute to stamparm/maltrail development by creating an account on GitHub.github.com
pfBlockerista on ilmestynyt uusi versio 2.2.5_35.
pfBlocker SANS/DShield feed fix. Issue #10930 · pfsense/FreeBSD-ports@4212278
FreeBSD ports tree with pfSense changes. Contribute to pfsense/FreeBSD-ports development by creating an account on GitHub.github.com
Näin on. Ei näkynyt mulla tuossa Status/Dashboard sivulla vaan piti käydä katsomassa Package Managerista.Nyt tyrkyttää jo versiota 2.2.5_36 . Ainakin itellä.
Dumppasin Ubiquitin reitittimen pois muutama päivä sitten kun meni hermo Ubiquitin tapaan julkaista stable -statuksella aivan luokatonta beta -tason controlleri softaa ja lisäksi en pitänyt siitä, että controlleri ei tarjoa riittävää tietoa siitä mitä verkossa oikeasti tapahtuu.
Kaivoin kaapista vanhan J1900 celeron rouskun (2,4Ghz 4c/4t), 8Gb muistia ja 240Gt SSD ja pistin siihen Sophos XG ilmaisversion. Tuo on siis sama softa mitä Sophos käyttää rautamuureissaan mutta kotikäyttäjille täysin ilmainen.
Tuo jaksaa pyörittää gigabitin nettiyhteyttä erinomaisesti virustorjunta ja webfiltteröinti päällä, kunhan ei yritä IPS:ää laittaa päälle. IPS rajoittaa nopeuden noin 250 megaan. Myöskään SSL purkua en ole jaksanut lähteä virittelemään päälle siihen liittyvien monien haasteiden ja haittojen vuoksi.
Toistaiseksi ei mitään huonoa sanottavaa, kaikki kokeilemani asiat on toiminut ja Sophoksen logit ja raportit on erittäin kattavia. Ubiquitin controlleri ei tarjonnut edes palomuurilogia tai statistiikkaa nettisivujen käytöstä.
Kokeilin myös pikaisesti pfSenseä ja IPFireä mutta niiden käyttöliittymä ei mielestäni pärjännyt selkeydessään Sophokselle.
Sophos oli muuten hyvä kunnes tajusin että mainosten estolistat eivät olleet julkisia eikä ne toiminut läheskään niin hyvin kun pfSensessä. Eikä voinut lisätä omia listoja.
Sophos taitaa tuottaa kaikki webfiltterinsä listat itse, eikä pidä niitä julkisina. Ihan mielenkiinnosta kysyn että miksi listan pitäisi olla julkinen? Itse käytän selaimessa adblockeria ja Sophos saa suodattaa muun haitallisen materiaalin.
Yritetään, yritetään...Itseäni ei kiinnosta mainosten esto, koska se aiheuttaa joskus ongelmia joidenkin palveluiden kanssa. Itse olisin tyytyväinen juurikin siihen, että kaikki haittakikkareet pitäisi saada suodatettua pois pfsensellä. Olen tässä odotellut, josko escalibur kerkeäisi tehdä ne ns. päivitetyt ohjeet siihen.
Ei ole vielä näkynyt..
Shuttle DS10U ittellä, siihen joku kytkin perään, on toiminut kuin junan vessa.Minkähänlaista viritystä tässä kannattaisi alkaa suunnittelemaan, tilanne seuraava:
pfsense pyörii nyt HPn SFF "business" koneella.
Haitat:
- Syö paljon sähkö
- Koko
- hallinta tietyissä tilanteissa
Nyt tuo teki niin että etäbuutissa yhteys PFsenseen ei palautunutkaan. No ei muuta kuin raahaamaan monitori tuon luokse ja kone ilmoittaa bootissa "no PSU fan detected". Virtalähteen tuuletin kyllä pyörii joten lienee sensorivika. F1 virheen saa ohitettua ja laite jatkaa boottia, mutta tuo nyt aihettaa sen että sitä pitäisi olla painamassa aina paikallisesti. Tuo kone on muutenkin jo aika iäkäs joten liene tarpeen miettiä systeemin uusimista.
Mitähän tuohon kannattaisi tilalle miettiä? Tuo on toiminut VPN gatewayna.
Mielellään:
- Kompakti koko
- Vähän sähköä vievä
- vähintään 4x1G ETH
- VPN suorituskyky ~~100Mbps (openVPN)
Plussa räkkiasennettavuudesta.
Kattelin että tuollainen virallinen Netgate laite olisi päheä mutta hinnassa taitaa aikapaljon "merkkilisää" olla tai ainakin vaikuttavat hieman hintavilta.
Kytkimiä kyllä on. 4x1G pitää olla jokainen L3 interface.Shuttle DS10U ittellä, siihen joku kytkin perään, on toiminut kuin junan vessa.
Kytkimiä kyllä on. 4x1G pitää olla jokainen L3 interface.
Shuttle DS-sarja tai fitlet2 olisivat minunkin valinta.Shuttle DS10U ittellä, siihen joku kytkin perään, on toiminut kuin junan vessa.
Käsittääkseni verkkokortin täytyy sitä tukea ja Intel pohjaisia verkkokortteja kannattaa suosia. Omassa koneessa on yksi Realtek verkkokortti ja se ei ihan täysin toimi pfsensen kanssa, mutta asetuksia muuttamalla on kuitenkin käyttökelpoinen. Vlan ei ole kuitenkaan omassa verkossa käytössä vaan aliverkoille on omat verkkokortit.Miten näiden "normi koneiden" tai lähinnä niiden verkkokorttien kanssa. Onnistuuko VLAN trunkin tekeminen pfsensestä ihan mihin tahansa verkkokorttiin vai vaatiiko se jotain erityistä tukea raudalta?
VLAN-tuki raudassa on melko ubiikki ominaisuus. Varmaan lähes kaikissa Intelin controllereissa ainakin, jotka ovat ikänsä puolesta järkeviä valintoja. Itse olen lähinnä ollut IEEE 1588:n ja virtualisointituen (SR-IOV ja VMDq) perään. Tarkista speksit ark.intel.com:sta.Miten näiden "normi koneiden" tai lähinnä niiden verkkokorttien kanssa. Onnistuuko VLAN trunkin tekeminen pfsensestä ihan mihin tahansa verkkokorttiin vai vaatiiko se jotain erityistä tukea raudalta?
Noissa Netgaten omissa laitteissa on näköjään export työkalut ipsec Windows ja Apple profiileille.Harmi vain että tuon konffaamiseen tarvitaan macOS-koneen/VM:n.
Ärsyttävästi noita kuvia ei näe ilman tunnuksia foorumille. Saako tuon työkalun asennettua muihinkin pfSenseihin?Noissa Netgaten omissa laitteissa on näköjään export työkalut ipsec Windows ja Apple profiileille.
IPSec Menus are different
Ärsyttävästi noita kuvia ei näe ilman tunnuksia foorumille. Saako tuon työkalun asennettua muihinkin pfSenseihin?
Fitlet 2 J3455-prosessorilla toiminut mallikkaasti 1000/100 Mbit/s kuituyhteyden perässä.Mitä rautaa kannattaisi katsella mahdollisen 1000/1000-kuituliittymän perään? Nykyinen APU4C4 ei ilmeisesti riitä PFSensen kanssa ajettavaksi, mahtaako Fitlet2 edes riittää noille nopeuksille?
Ennen kuin lähdet ostamaan yhtään mitään, kannattaa kuitenkin kokeilla riittäisikö nykyinen rauta omiin tarpeisiin. Giganen yhteys kun on aika subjektiivinen asia, riippuen siitä mitä kyseisellä yhteydellä tehdään.Mitä rautaa kannattaisi katsella mahdollisen 1000/1000-kuituliittymän perään? Nykyinen APU4C4 ei ilmeisesti riitä PFSensen kanssa ajettavaksi, mahtaako Fitlet2 edes riittää noille nopeuksille?