Tee-se-itse: Rautapalomuurit (pfSense, Sophos UTM..) (Mitä käytätte ja miksi juuri se vaihtoehto?)

No joo. Rautalankaa tässä todellakin tarvitaan :)
Heti alkuun tarve on 3:lle IP:lle, joten Alias on varmasti se oikea polku, lisää tavaraa tuohon tulee kun pääsen kankeudesta ohi.

Kokeilin nyt alkuun näin. Se todettakoon, että on ollut liian pitkä prosessi erotella IoT vehkeet pois normaalista verkosta, ehkä tämä on sen alku... :)

1609881152509.png


1609881189083.png


1609881287301.png


1609881368127.png


1609881433889.png


edit: Pilvestä saan noita vielä ohjattua, mikä ei ollut suotavaa.
Mitä tässä kohtaa tarkoittaa pilvestä? Noihin laitteisiin toki pääsee kiinni (ei toki internetistä jos et ole mitään aukonut sinne päin), mutta niillä ei pitäisi olla pääsyä nettiin. Kokeile vielä niin, että lisäät oman koneesi millä noita sääntöjä teet Alias listaan ja katso onko sillä pääsyä nettiin. Jos haluaa testata nettiin pääsyä, niin liitä tietokoneen ip osoite Alias listalle, niin näet, että pääseekö se nettiin.
 
Mitä tässä kohtaa tarkoittaa pilvestä? Noihin laitteisiin toki pääsee kiinni (ei toki internetistä jos et ole mitään aukonut sinne päin), mutta niillä ei pitäisi olla pääsyä nettiin. Kokeile vielä niin, että lisäät oman koneesi millä noita sääntöjä teet Alias listaan ja katso onko sillä pääsyä nettiin. Jos haluaa testata nettiin pääsyä, niin liitä tietokoneen ip osoite Alias listalle, niin näet, että pääseekö se nettiin.

Pilvestä meinaan, että pystyn ohjaamaan noita omalla valmistajan appilla internetin kautta.
Hyvä vinkki. Kokeilen. Ei ole mitään tietoa että pääsevätkö palikat internettiin vai tuleeko sisään vain komentoa valmistajan pilven kautta, kun sitä puhelimella käskytän.
 
@juhaa
Kerro muuten se verkko Allow listalle näin 192.168.1.0 /24. Nyt sinulla on se siellä 192.168.1.1 /24.

Muutettu .1 -> .0
Kompuutterin lisäsin alias listalle ja tosiaan internettiin ei ollut asiaa sen jälkeen koneelta.
Silti pystyn ohjaamaan noita ulkoverkosta puhelimella, eli palikat eivät pääse nettiin, mutta valmistaja saattaa tunkea firmis updaten sisään, kun yhteys on?
WAN ruleseissa on yksi portti (SSH) auki sisään.

1609882987507.png
 
Muutettu .1 -> .0
Kompuutterin lisäsin alias listalle ja tosiaan internettiin ei ollut asiaa sen jälkeen koneelta.
Silti pystyn ohjaamaan noita ulkoverkosta puhelimella, eli palikat eivät pääse nettiin, mutta valmistaja saattaa tunkea firmis updaten sisään, kun yhteys on?
WAN ruleseissa on yksi portti (SSH) auki sisään.

1609882987507.png
Jännä homma, että pilvestä vielä pääsee vaikka noitten ei pitäisi nettiin mennä. Kokeile tätä kikkaa vielä, jos yhteydet on auki, niin sääntö ei välttämättä toimi vielä (näin olen ainakin kuullut ja onnistunut todentamaan omissakin testailuissa). Eli ota Satus välilehden alta Filter Reload ja lataa filteri uusiksi. En tiedä onko tuolla mitään merkitystä vai onko urbaani legenda, mutta jollain videolla näin tuon kikka kolmosen.

Voit vielä laittaa sääntöön täpän että logittaa muurin sääntöä, niin jos sieltä selviää jotain.

1609883561392.png
 
No joo, testasin nyt itsekin, niin eihän tuo filterin lataaminen mitää auta, Pistin pingin juoksemaan googlea vasten ja sen jälkeen pistin blokki säännön päälle tälle koneelle ja se pääsi läpi niin kauan, kunnes istunnon (pingin) katkaisi ja sen jälkeen uudelleen, niin enää ei pingannutkaan.
 
Joo, filtterin lataamis ilmoitus tulee kun rulet tallentaa, eikä vaikutusta manuaali reloadilla.

Kyllä nuo näyttävät kotiin huutelevan.

1609884238521.png


edit: Eikun tuossahan on blocki eli yrittävät huudella :)
 
Joo, filtterin lataamis ilmoitus tulee kun rulet tallentaa, eikä vaikutusta manuaali reloadilla.

Kyllä nuo näyttävät kotiin huutelevan.

1609884238521.png
Pääsyä ei ole nettiin login mukaan. Jos vielä pääset pilvestä noihin kiinni, niin sitten neuvot loppuu tältä iltaa (yötä). Ohjaatko noita kännykällä mikä on LAN verkossa? Jos näin, niin pudota wifi pois ja kokeile sitten, että pääseekö kiinni. Tämäkin on varmaan ihan hakuammuntaa
 
Pääsyä ei ole nettiin login mukaan. Jos vielä pääset pilvestä noihin kiinni, niin sitten neuvot loppuu tältä iltaa (yötä). Ohjaatko noita kännykällä mikä on LAN verkossa? Jos näin, niin pudota wifi pois ja kokeile sitten, että pääseekö kiinni. Tämäkin on varmaan ihan hakuammuntaa

Puhelimella juu, mutta ihan 4g:n kautta. Palaamme :)
Yritän nyt blokata nuo IP:t ensi hätään sisäänpäin.
 
Tuskin onkaan, mutta varmista vielä, että VPN ei ole päällä, kun sinulla sellainen näyttää olevan. :) Tuskin noissa laitteissa jatkuvaa istuntoa pilveen on päällä (?), mutta vielä jos nyppäsee virrat sen verran pois, että varmasti varmistuu tästä. Jos mikään ei auta, niin odotellaan osaavampaa porukaa neuvomaan.
 
Tuskin noissa laitteissa jatkuvaa istuntoa pilveen on päällä (?), mutta vielä jos nyppäsee virrat sen verran pois, että varmasti varmistuu tästä. Jos mikään ei auta, niin odotellaan osaavampaa porukaa neuvomaan.

Ei perkele!! :)
Testiyksilö tökkelistä pois ja takaisin, kappasta vain kun se hävisi pilven ikeestä :D
Lokaalisti vielä toimii.
Pitää IVO:t vetää vielä noille kahdelle muulle. Vanha kunnon, "oletko kokeillut ottaa virtoja pois?"..
 
Ei perkele!! :)
Testiyksilö tökkelistä pois ja takaisin, kappasta vain kun se hävisi pilven ikeestä :D
Lokaalisti vielä toimii.
Pitää IVO:t vetää vielä noille kahdelle muulle. Vanha kunnon, "oletko kokeillut ottaa virtoja pois?"..
Loistavaa. Istunto Ilmeisesti jatkuvasti päällä tuonne pilveen kuitenkin. Siitä olen aikaisemminkin kritisoinut pfsensessä, että jos istunto on ns päällä, niin muuri sääntö ei "toimi ". En tiedä onko muissa muureissa näin, mutta jos aktivoit jonkun säännön, niin pitäisihän sen astua voimaan heti eikä joskus jouluna. Hyvä kuitenkin, jos tämä selvisi.
 
Ei perkele!! :)
Testiyksilö tökkelistä pois ja takaisin, kappasta vain kun se hävisi pilven ikeestä :D
Lokaalisti vielä toimii.
Pitää IVO:t vetää vielä noille kahdelle muulle. Vanha kunnon, "oletko kokeillut ottaa virtoja pois?"..
mahtaskohan riittää pfSensensestä state reset.

Valikosta: Diagnostics -> States -> Reset States ja reset
Katkaisee kaikki "auki" olevat yhteydet
 
mahtaskohan riittää pfSensensestä state reset.

Valikosta: Diagnostics -> States -> Reset States ja reset
Katkaisee kaikki "auki" olevat yhteydet
Täytyy toi kokeilla aamusta vaikka tuolla pingaus toiminnolla. Voi olla, että oli tuo toiminto eikä reload filters mihin olen jossain törmännyt.
 
Juuri tuossa huomasin, että ei ainakaan tuo alkuperäinen ollut oikein kun sain vielä pilven kautta ohjattua, mikä ei ole suotavaa :)

LAN yhteys pitää olla sallittu, joten tuo Any ei kuulosta oikealta?

Vai pitääkö olla ensin block ja sitten pass rule tiettyyn IP osoitteeseen sisäverkossa?
Eihän sen tarvitse olla yhteydessä kuin kotiautomaation ´keskukseen´, sisään ja ulos.
Kohteeksi Invert match LAN Net, jolloin kaikki muu paitsi LAN estetään. Estettävän laitteen sijaitessa LANissa ja sen saadessa keskustella vain muiden LANin laitteiden kanssa, toimii tuo Any (*) myös. koska pfSense ei voi hallinnoida saman verkon sisällä kulkevaa liikennettä. LAN -> LAN liikenne kulkee vaikka pfSense olisi sammutettu.

EDIT. Ketjussa olikin näemmä uusi sivu, jossa asiaan oli jo vastattu.
 
Kohteeksi Invert match LAN Net, jolloin kaikki muu paitsi LAN estetään. Estettävän laitteen sijaitessa LANissa ja sen saadessa keskustella vain muiden LANin laitteiden kanssa, toimii tuo Any (*) myös. koska pfSense ei voi hallinnoida saman verkon sisällä kulkevaa liikennettä. LAN -> LAN liikenne kulkee vaikka pfSense olisi sammutettu.

EDIT. Ketjussa olikin näemmä uusi sivu, jossa asiaan oli jo vastattu.
Totta tämä. Tämä toimii ja on varmasti yksinkertaisempi, kun on vain yksi verkko. Itsellä useampi, niin sen takia joutunut leikkimään aliaksien kanssa. Tuli juhaan tapaus ajateluta ehkä liian monimutkaisesti tämän osalta. :)
 
Harkinnassa siirtyminen Unifi’n reitittimestä esim. Pfsenseen osana verkon päivitystä 2.5G nopeuteen.

Asunnon kytkentäkaappiin tulee 100MB ethernet (taloyhtiössä valokuitu), ja siellä on siis nyt se pienin Unifi reititin ja Mikrotik giganen hallittu kytkin. Kaapissa ei ole hirveästi tilaa, ja lämmöt voivat teoriassa nousta. Sieltä menee piuhat kolmeen huoneeseen.

Keskustelun historiasta poimin fitlet2 koneen. Onko tämä edelleen suosittu? Mistä olette ostaneet?
 
Viimeksi muokattu:
Fitbit2? Oisko kuitenkin fitlet2? Ihan täysin ei valjennut toi pointti mikä reitittimen vaihdossa olisi. Onko jossain fitletin mallissa multi-gig ethernet? Onko taloyhtiön kuidun kautta saatavissa multi-gig netti? Jos haluat sisäverkkoon lisää nopeutta, niin miksi et vain vaihtaisi tota Mikrotikkiä nopeampaan?
 
Fitbit2? Oisko kuitenkin fitlet2? Ihan täysin ei valjennut toi pointti mikä reitittimen vaihdossa olisi. Onko jossain fitletin mallissa multi-gig ethernet? Onko taloyhtiön kuidun kautta saatavissa multi-gig netti? Jos haluat sisäverkkoon lisää nopeutta, niin miksi et vain vaihtaisi tota Mikrotikkiä nopeampaan?

Joo, toi taisi jäädä, ja tarkotin tosiaan fitlet2. Vaikka kytken liikenteen analysoinnin pois tuosta Unifi’n reitittimestä vaikuttaa siltä, että sillä on ongelmia suorituskyvyn kanssa. Määräajoin latenssit sisäverkossa hyppää satoihin millisekuntteihin. Tätä ongelmaa tuntuu olevan monilla, joten ajatuksena oli että vaihtaisin laitteet semmoisiin joissa on enemmän jerkkua.

Tällä hetkellä lapset siis pelaa FPS pelejä 4G’n yli kun noi latenssi piikit ovat ongelma. Jotenkin tyhmää kun muuten on 1ms latenssit esim. funettiin.
 
Joo, toi taisi jäädä, ja tarkotin tosiaan fitlet2. Vaikka kytken liikenteen analysoinnin pois tuosta Unifi’n reitittimestä vaikuttaa siltä, että sillä on ongelmia suorituskyvyn kanssa. Määräajoin latenssit sisäverkossa hyppää satoihin millisekuntteihin. Tätä ongelmaa tuntuu olevan monilla, joten ajatuksena oli että vaihtaisin laitteet semmoisiin joissa on enemmän jerkkua.
Unifin reitittimestä ei ole muuta kokemusta kuin mitä kavereille olen laittanut, mutta kyllähän tuo vähän erikoiselta kuulostaa jos sadalla megalla rupeaa nikottelemaan. Jääkö Unifin kuormituksesta mitään logia kontrolleriin? Pfsense + Mikrotikin kytkimet + Unifin wlan:t on mun oma valinta ja muuhun en kyllä vaihtaisi.

Eiköhän toi fitlet2 aja ihan saman asian ku mikä tahansa muukin samalla prossulla + muisteilla jne. Ihan asiallisen oloinen laite.
 
Vaivasko sulla edelleen se reitityksen pysähtyminen kun päivitti pfBlockeriNG:n? Itellä se teki sen taas... Onkohan siihen milloin tulossa fixi?
Tuo Unbound (DNS Resolver) palvelu jää aina alas päivityksen jälkeen. Pitää manuaalisesti käynnistää tuo palvelu niin sitten toimii.

Untitled.png


Tuo on pfSensellä kuulemma selvityksessä.
 
Viimeksi muokattu:
Itsellä on ajossa ollut nyt viime ajat OPNsense; tällä hetkellä 20.7.7_1.
Tuli tuosta Unboundista mieleen, että en ole saanut sitä koskaan toimimaan halutulla tavalla, esimerkiksi host override:t eivät kirveelläkään valu tietyille clienteille, ja DHCP-määritykset oireilee erikoisimmilla konfiguraatioilla. Out-of-the-box se toimii hienosti, mutta heti kun heitin siihen konffia perään, joku client alkoi oireilemaan. Sitten selvisi, että se johtuu tuosta Unboundista. Vaihto Dnsmasq:iin, ja kaikki ongelmat ratkesi. Host override:t toimii, DHCP DNS server sequential toimii.
Tämä lähinnä sillä, jos joku tappelee tuon Unboundin kanssa. Itsellä vaihto auttoi, mutta en ole kellottanut kumpi on oikeasti nopeampi.
 
Sitten selvisi, että se johtuu tuosta Unboundista
Johtuu todennäköisesti DNSSEC:stä, mikä Unboundissa on paketissa oletuksena päällä ja bogus-recordeja ei välitetä clienteille ollenkaan. Tuohon on unbound server: val-permissive-mode: yes -optio ja/tai jotain muuta liittyen lokaaleihin overrideihin.

Enpä ole katsonut tarkemmin miten tuo on konffattu pfSense;ssä, jossa Unbound on ollut oletuksena jo vuosikaudet, tosin DNSSEC ei tietenkään ole.
 
Oletko varma, että reititys hajosi vai pelkästään DNS resolveri (Unbound)? Lähteekö unbound käyntiin vai onko helpompi bootata koko toosa?

Joo siis taitaa olla juuri toi Unbound, joka siellä jää alas.

[edit] Fixinä oon tehny Interfacesta Release -> Renew, jolloin homma palaa linjoille.
 
Johtuu todennäköisesti DNSSEC:stä, mikä Unboundissa on paketissa oletuksena päällä ja bogus-recordeja ei välitetä clienteille ollenkaan. Tuohon on unbound server: val-permissive-mode: yes -optio ja/tai jotain muuta liittyen lokaaleihin overrideihin.

Enpä ole katsonut tarkemmin miten tuo on konffattu pfSense;ssä, jossa Unbound on ollut oletuksena jo vuosikaudet, tosin DNSSEC ei tietenkään ole.

Itsellä toimi Unboundin kanssa DNSSEC ongelmitta, ja nyt on toiminut myös Dnsmasq:n kanssa.
Pian ollaan taas siinä tilanteessa, että lähdetään korjaamaan toimivaa, eli muuttamaan tuota Dnsmasqia --> Unboundiin. Oikeastaan odotan pfSense 2.4.5:sta. Eikä tässä OPNsensessä mitään vikaa ole.
 
Itsellä oli iso syy tuo BSD:n versio, minkä takia lähdin kokeilemaan (ja jäin) OPNsenseen.
 
  • Tykkää
Reactions: T0m
Saa nähdä, milloin tuo pfSense 2.5 tulee valmiiksi.
Omaan käyttöön vaikuttaisi jo valmiilta. Taidanpa nyt asentaa tuon sekä OPNsensen molemmat yhteen uusimpaan rautaan, jotta hommat ei ole pelkästään nykyisen pfSense 2.4.5-boksin varassa vaan helposti switchattavissa tarpeen vaatiessa ja muuten rinnakkain käytössä.
 
Shuttlen DS81 tulossa ens viikolla reitittimeksi. Kylläpä tuli vatvottua erilaisia vaihtoehtoja läpi, useampikin. Lopen Tietokonepalvelu Hietaniemeltä osui tuollainen ostohousujen kanssa yksiin. Mieltä lämmittää i3 prossu. Vois olla pitkäikäinen kampe.


EDIT: Verkkokorttina tässä on Realtek 8111G ja näitä siis 2 kpl. Mutta ovat toimineet opnsensen kanssa täysin ongelmitta. Eli eli.. Realtek : En heittäs suoraan skippiä "non-intel" verkkokorteille.
 
Viimeksi muokattu:
Harkinnassa siirtyminen Unifi’n reitittimestä esim. Pfsenseen osana verkon päivitystä 2.5G nopeuteen.

Asunnon kytkentäkaappiin tulee 100MB ethernet (taloyhtiössä valokuitu), ja siellä on siis nyt se pienin Unifi reititin ja Mikrotik giganen hallittu kytkin. Kaapissa ei ole hirveästi tilaa, ja lämmöt voivat teoriassa nousta. Sieltä menee piuhat kolmeen huoneeseen.

Keskustelun historiasta poimin fitlet2 koneen. Onko tämä edelleen suosittu? Mistä olette ostaneet?

Oma fitlet2 on ostettu suoraan Compulabilta Israelista. Ainakin reilu vuosi sitten halvin tapa ostaa ko. laite vaikka itse pitää hoitaa tullit ja alvit. Erinomainen passiivijäähyinen purkki ja voin kyllä varauksetta suositella *sense-käyttöön.
 
Suomessa Fitlet saatavuus esimerkiksi
täällä;


Joo, toi taisi jäädä, ja tarkotin tosiaan fitlet2. Vaikka kytken liikenteen analysoinnin pois tuosta Unifi’n reitittimestä vaikuttaa siltä, että sillä on ongelmia suorituskyvyn kanssa. Määräajoin latenssit sisäverkossa hyppää satoihin millisekuntteihin. Tätä ongelmaa tuntuu olevan monilla, joten ajatuksena oli että vaihtaisin laitteet semmoisiin joissa on enemmän jerkkua.

Tällä hetkellä lapset siis pelaa FPS pelejä 4G’n yli kun noi latenssi piikit ovat ongelma. Jotenkin tyhmää kun muuten on 1ms latenssit esim. funettiin.
 
Terve,

Minulla on tällä hetkellä VDSL-moodemi siltaavassa tilassa ja siinä kiinni Unifi Dream Machine hoitamasa lähiverkon reitityksen. Jos ostan jonkun purkin hoitamaan Pfsensellä palomuurin hommia UDM:n sijasta niin miten voisin toteuttaa tuon järkevästi? En haluaisi double-NAT tilannetta.
 
Viimeksi muokattu:
Vaivasko sulla edelleen se reitityksen pysähtyminen kun päivitti pfBlockeriNG:n? Itellä se teki sen taas... Onkohan siihen milloin tulossa fixi?
Oletko varma, että reititys hajosi vai pelkästään DNS resolveri (Unbound)? Lähteekö unbound käyntiin vai onko helpompi bootata koko toosa?
Tuo Unbound (DNS Resolver) palvelu jää aina alas päivityksen jälkeen. Pitää manuaalisesti käynnistää tuo palvelu niin sitten toimii.
Tuo on pfSensellä kuulemma selvityksessä.

Asensin Package Managerin kautta Service Watchdog-paketin, tuo seuraa palvelujen tilaa ja tarvittaessa käynnistää sen uudestaan. Laitoin siihen unboundin, pfb_palvelut ja openvpn. Tuo nyt ainakin väliaikainen ratkaisu, meinasi olla välillä sormi suussa kun teki jonkun muutoksen ja kiinteistön netti hävisi soraäänien kanssa. :lol:
 
Terve,

Minulla on tällä hetkellä VDSL-moodemi siltaavassa tilassa ja siinä kiinni Unifi Dream Machine hoitamasa lähiverkon reitityksen. Jos ostan jonkun purkin hoitamaan Pfsensellä palomuurin hommia UDM:n sijasta niin miten voisin toteuttaa tuon järkevästi? En haluaisi double-NAT tilannetta.

Keksin ratkaisun vdsl - pfsense -udm sitten luodaan vlan verkot vlan only muodossa jolloin udm palomuurisäännöt eivät vaikuta vaan ainoastaan pfsensen puolella tehdyt.
 
Hei,

Muutama kysymys tästä

Shuttle Barebone Slim DS77U, musta - 249,00€

1. Tuossa on kaksi erilaista verkkokorttia

Intel i211
Intel i219LM

Onko merkitystä kumpaa käytän LAN-kortttina kun haluan tehdä useamman VLANin? Entä miten fyysisesti erotan kumpi portti on kumpi kortti?

2. Tietääkö joku tuleeko tuossa mukana virtalähde ja virtapiuha? Jimssin asiakaspalvelu ei tiennyt.
 
Itse rakensin aikoinaan Linux koneesta palomuurin. Registered Jack- 45 liitännät. Sisään ja ulostulo laitteeseen.
 
Hei,

Muutama kysymys tästä

Shuttle Barebone Slim DS77U, musta - 249,00€

1. Tuossa on kaksi erilaista verkkokorttia

Intel i211
Intel i219LM

Onko merkitystä kumpaa käytän LAN-kortttina kun haluan tehdä useamman VLANin? Entä miten fyysisesti erotan kumpi portti on kumpi kortti?

2. Tietääkö joku tuleeko tuossa mukana virtalähde ja virtapiuha? Jimssin asiakaspalvelu ei tiennyt.

Ei kai tuolla ole väliä, mutta jos hetken googlaa noita piirejä niin; i211 taitaa olla ominaisuuksiltaan parempi kuin i219. Laittaisin siis i211/igb-portin LANin puolelle ja i219/em-portin WANin puolelle. Erotat ne kun pfSense käynnistyy asennuksen jälkeen, valitset 1) Assign interfaces, tunnistaa automaattisesti yhteen porttiin kytketyn verkkokaapelin valitsemalla (a) auto-detection.

Voisi olettaa että barebonen mukana tulee virtalähde ja sille kaapeli.
 
Viimeksi muokattu:
Mulla tuli Shuttlen DS77U:n mukana Jimmsistä ulkoinen muuntaja.
Mitä tulee noihin verkkoliitäntöihin, niin täällä em0 osoittaa WAN:iin ja igb0 LAN:iin, ja VLAN:it toimii.
 
Viimeksi muokattu:

Uusimmat viestit

Statistiikka

Viestiketjuista
259 031
Viestejä
4 499 467
Jäsenet
74 324
Uusin jäsen
Tatzke

Hinta.fi

Back
Ylös Bottom