Tee-se-itse: Rautapalomuurit (pfSense, Sophos UTM..) (Mitä käytätte ja miksi juuri se vaihtoehto?)

Pati sanoi:
Päädyin itsekin opnsenseen mutta en saa kirveelläkään päivitettyä biosia tähän Shuttle DS77U.

näitä ohjeita olen yrittänyt molempia eli UEFI päivitystä ja Legacy modea. UEFI päivitys näyttää jotain skriptejä tikulta mutta sen jälkeen siirtyy sujuvasti opnsenseen. Bios/legacy mode päivitys ei etene mihinkään tikun valitsemisen jälkeen eli aivan kuin ei osaisi bootata tikulta. Biosissa kaikki mahdollinen on UEFI-modessa.

Olen kaikki muut boot mediat poistanut käytöstä paitsi USB-tikun sekä UEFI bootista myös PCI-E SSD:n jolle opnsense on asennettu mutta silti iloisesti opnsense lähtee päälle. Miten ihmeessä? Olen toki asentanut pfsense UEFI moden ollessa päällä.

BIOS-related FAQ [Shuttle Knowledge Base & FAQ]

faq.shuttle.eu faq.shuttle.eu
Napsauta laajentaaksesi...
Tuon kanssa on ollut itselläkin aina ongelmia :D
Kokeile tuolla samalla Rufus versiolla mikä on tuossa yllä olevassa linkissä.
Piti muistaakseni olla legacy modessa.
 
Pati sanoi:
Päädyin itsekin opnsenseen mutta en saa kirveelläkään päivitettyä biosia tähän Shuttle DS77U.

näitä ohjeita olen yrittänyt molempia eli UEFI päivitystä ja Legacy modea. UEFI päivitys näyttää jotain skriptejä tikulta mutta sen jälkeen siirtyy sujuvasti opnsenseen. Bios/legacy mode päivitys ei etene mihinkään tikun valitsemisen jälkeen eli aivan kuin ei osaisi bootata tikulta. Biosissa kaikki mahdollinen on UEFI-modessa.

Olen kaikki muut boot mediat poistanut käytöstä paitsi USB-tikun sekä UEFI bootista myös PCI-E SSD:n jolle opnsense on asennettu mutta silti iloisesti opnsense lähtee päälle. Miten ihmeessä? Olen toki asentanut pfsense UEFI moden ollessa päällä.

BIOS-related FAQ [Shuttle Knowledge Base & FAQ]

faq.shuttle.eu faq.shuttle.eu
Napsauta laajentaaksesi...

Mulla on onnistunut aina Shuttlen BIOS:in päivitys, mutta sillä erolla että tässä koneessa on SATA SSD. Alla on omat muistiinpanoni, en silti anna mitään takuita niiden toimivuudesta:
  • Lataa biospäivitys valmistajan sivulta (.zip)
  • Pura zip-tiedosto tyhjään kansioon koneellasi
  • Tyhjennä USB-tikku ja formatoi se FAT32-muotoon
  • Siirrä zip-tiedoston sisältö USB-tikulle (vain efi, shell ja startup.nsh) EI DOS-kansiota!
  • Käynnistä Shuttle ja mene BIOS:iin.
  • Aseta BIOS:in BOOT MODE Legacy-tilasta UEFI-tilaan.
  • Poistu BIOS:ista ja sammuta Shuttle.
  • Aseta USB-tikku Shuttleen.
  • Käynnistä Shuttle, ja se alkaa flashaamaan BIOS:ia automaattisesti.
  • Kun BIOS on päivitetty, kone käynnistyy itsestään uudelleen (eikä käynnistyminen välttämättä etene tässä vaiheessa.
  • Sammuta Shuttle ja poista USB-tikku.
  • Käynnistä Shuttle ja mene BIOS-asetuksiin.
  • Vaihda BIOS:in BOOT MODE takaisin Legacyyn, poista Serial Portit, ja äänikortti käytöstä sekä poista Fast Boot käytöstä.
  • Käynnistä Shuttle ja BIOS on päivitetty.
 
Kiitos paljon auttaneille näin ja ainoastaan näin sain sen toimimaan:
  • Rufuksella tein boottaavan Freedos USB-tikun format fat32
  • Kopioin tikulle bios zipistä dos-kansion.
  • Shuttlen biosista boot mode Legacyyn
  • Boottaus tikulta
  • cd dos-kansioon ja sieltä ajoin flash.batin
  • bios flashattiin -> kone käynnistyi uudelleen -> taistelin hetken että sain näppiksen toimiaan (corsair k65) joka toimi vain etupaneelin alemmassa usb3portissa.
  • boot mode takaisin legacyyn ja turhat härpäkkeet pois
 
Nyt BIOS päivityksen jälkeen alkoi sellainen ongelma että kone pysyy 10minuuttia internet-yhteydessä ja sen jälkeen katkeaa, siitä vielä n. 10min niin ei pääse edes lan verkossa purkkiin kiinni. Mitä opnsense logeja kannattaisi tarkkailla että ongelmansyy selviäisi?
 
Itse päädyin openWRT:hen ja hitto kun se on nopea APU2 purkilla verrattuna pfSenseen. Lisäksi olen iloinen SQM:stä joka toimii heittämällä cake:lla.
Pfblockerin tilalle tuli joku Adblock ja näyttää se plokkailevan. Siinä on kyllä sisäänrakennetut listat (valittavissa), joten niillä on pärjättävä.
github.com

packages/net/adblock/files/README.md at master · openwrt/packages

Community maintained packages for OpenWrt. Documentation for submitting pull requests is in CONTRIBUTING.md - openwrt/packages
github.com github.com
Wireguardikin istui purkkiin aika nopeasti, joten hyvästit openvpn:lle.
Ainoa mikä vähän huolestuttaa on OpenWrt:n päivitys, koska tuo sysupgrade ei taida toimia kunnolla näillä x86 imageilla. No jää nähtäväksi ja jos ei toimi, niin dokumentoin itselleni aika hyvin tuon puhtaan asennuksen. Tein oman imagen image builderilla joten no.. niin.
 
Pati sanoi:
Nyt BIOS päivityksen jälkeen alkoi sellainen ongelma että kone pysyy 10minuuttia internet-yhteydessä ja sen jälkeen katkeaa, siitä vielä n. 10min niin ei pääse edes lan verkossa purkkiin kiinni. Mitä opnsense logeja kannattaisi tarkkailla että ongelmansyy selviäisi?
Napsauta laajentaaksesi...

Ongelma taisi olla opnsense 21.1 versio sillä downgrade 20.7 versioon vakautti tilanteen
 
heebo1974 sanoi:
Ainoa mikä vähän huolestuttaa on OpenWrt:n päivitys, koska tuo sysupgrade ei taida toimia kunnolla näillä x86 imageilla. No jää nähtäväksi ja jos ei toimi, niin dokumentoin itselleni aika hyvin tuon puhtaan asennuksen. Tein oman imagen image builderilla joten no.. niin.
Napsauta laajentaaksesi...
Teet vaan sitä image builderia varten itsellesi sopivan pakettilistauksen, niin saat kaiken leivottua sisään uuteen imageen, kun tulee aika päivittää uudempaan versioon.
 
heebo1974 sanoi:
Itse päädyin openWRT:hen ja hitto kun se on nopea APU2 purkilla verrattuna pfSenseen. Lisäksi olen iloinen SQM:stä joka toimii heittämällä cake:lla.
Pfblockerin tilalle tuli joku Adblock ja näyttää se plokkailevan. Siinä on kyllä sisäänrakennetut listat (valittavissa), joten niillä on pärjättävä.
github.com

packages/net/adblock/files/README.md at master · openwrt/packages

Community maintained packages for OpenWrt. Documentation for submitting pull requests is in CONTRIBUTING.md - openwrt/packages
github.com github.com
Wireguardikin istui purkkiin aika nopeasti, joten hyvästit openvpn:lle.
Ainoa mikä vähän huolestuttaa on OpenWrt:n päivitys, koska tuo sysupgrade ei taida toimia kunnolla näillä x86 imageilla. No jää nähtäväksi ja jos ei toimi, niin dokumentoin itselleni aika hyvin tuon puhtaan asennuksen. Tein oman imagen image builderilla joten no.. niin.
Napsauta laajentaaksesi...
Kannattaa olla tarkkana mitä kaikkea asentelee ja säätelee. OpenWRT Forum user data stolen in weekend data breach

Vaikka uutinen liittyykin ainoastaan foorumisoftaan, seuraisin tilannetta paljastuuko tapauksesta enemmänkin asioita.
 
user9999 sanoi:
Sopivasti tuli OPNsense 21.1 eli asennusmedia valmis :)
Mulla on OPNsense asennettuna jollekkin levylle, mutta taidan pistää uusiksi viikonloppuna tuon 21.1 version. Siitä sitten rakentamaan pikku hiljalleen. FreeRadius ja IPsec pitäis saada toimimaan.
Pfblockerng ei ole tärkeä, koska AdGuard Home käytössä.
Napsauta laajentaaksesi...
Viime viikonloppuna yritin pistää IPSeciä toimimaan OPNsenseen. Ei sitten onnistunut :)

Muistaakseni mahdollisia syitä:
1. Mobile Client kohdan jälkeen kun tekee Phase 1 niin tuosta Phase 1 puuttui valinta "Peer Certificate Authority" eli ei pääsyt laittamaan IPSec CA sertiä. IPsec logeissa näkyi sitten FreeRadiuksen CA sertistä jotain logia
2. Apple on kiristänyt sertiasioita Tietoja luotettujen varmenteiden tulevista rajoituksista
Kokeilin myös migroida pfSense sertit OPNsenseen.

Reddit - Dive into anything

www.reddit.com www.reddit.com

Ja paljon muuta hässäkkää. Täytyy nyt viikonloppuna taas yrittää.
Eli mulla on IPsecissä serteillä autentikointi. Tuo sen takia, että saan VPN On Demand toimimaan.

Deployment Reference for iPhone and iPad

This content has moved.
support.apple.com
 
Viimeksi muokattu:
Mahtoi olla vaihdon arvoista? :)

ps. Signun takana on esittelyvideo NextDNS.io:sta, jos joku harkitsee esim pfBlockerNG:n, PiHolen tai AdGuard Homen korvaamista jollain toisella ratkaisulla.
 
Tuossa taulukko

OPNsense Business Edition - Thomas-Krenn-Wiki-en

OPNsense is an Open Source Firewall Distribution. Beside the pure Open Source version there is also the OPNsense Business Edition. This version provides access to the Business Edition update repository. This article shows the differences and advantages of the Business Edition compared to the...
www.thomas-krenn.com www.thomas-krenn.com
 
Kauanko menee ennen kuin tuostakin pirstaloituu joku LibreSense tms? :think:
 
escalibur sanoi:
ps. Signun takana on esittelyvideo NextDNS.io:sta, jos joku harkitsee esim pfBlockerNG:n, PiHolen tai AdGuard Homen korvaamista jollain toisella ratkaisulla.
Napsauta laajentaaksesi...
Laitoin tuon NextDNS testiin. Mulla olikin tuonne tunnus eli olen sitä joskus tutkinu. Taisi olla beta silloin. 2FA tuli nyt laitettua päälle.
Tukholmassa näköjään nuo DNS palvelimet.
1612685588463.png
 
user9999 sanoi:
Laitoin tuon NextDNS testiin. Mulla olikin tuonne tunnus eli olen sitä joskus tutkinu. Taisi olla beta silloin. 2FA tuli nyt laitettua päälle.
Tukholmassa näköjään nuo DNS palvelimet.
1612685588463.png
Napsauta laajentaaksesi...
Itse en jaksanut tehdä tunnuksia vielä silloin BETA:n aikana. Otin tämän vasta viime aikoina testikäyttöön ja kieltämättä olen vakavissani harkinnut pfBlockerNG:n korvaamista tällä. Toki IP-blokkaus jää pois, mutta tämän helppous vie voiton. Pitää katsoa jos jatkossa pfBlockerNG hoitaisi lähinnä IP-blokkaukset ja DNS-estot listoilla joita NextDNS ei vielä tue.


ps. Itselle tulee hetzner-hel.

Tuota vasteaikaa voi testailla sivulla ping.nextdns.io

Jatketaan tästä paremmassa ketjussa: DNS-palvelimet
 
Päivityksiä ilmestyy kun tuo pfSense 2.5 julkaisu on lähellä.
pfBlockerNG-devel v3.0.0_10
github.com

pfBlockerNG-devel v3.0.0_10 by BBcan177 · Pull Request #1039 · pfsense/FreeBSD-ports

Add doh.dns.apple.com to DoH Block list (SafeSearch page) Add RR_TYPE_SIG, RR_TYPE64, RR_TYPE65 to Unbound Python mode DNSBL validation. Remove deprecated SafeSearch pfb_dnsbl.firefoxdoh.conf file ...
github.com github.com
FreeRadius 0.15.7_28
github.com

History for net/pfSense-pkg-freeradius3 - pfsense/FreeBSD-ports

FreeBSD ports tree with pfSense changes. Contribute to pfsense/FreeBSD-ports development by creating an account on GitHub.
github.com github.com
 
Olisiko suosituksia opensense/pfsense raudasta? Suomesta mieluusti tilaten.
Vpn käyttö palomuurin ohella. Yhtäaikaisiä käyttäjiä vpn kautta alle 10. Vähintään 50Mpbs läpäisykyvyllä.
 
hissukka sanoi:
Olisiko suosituksia opensense/pfsense raudasta? Suomesta mieluusti tilaten.
Vpn käyttö palomuurin ohella. Yhtäaikaisiä käyttäjiä vpn kautta alle 10. Vähintään 50Mpbs läpäisykyvyllä.
Napsauta laajentaaksesi...
Shuttle DS-sarjalaiset tai fitlet2 lienevät parhaimmat uutena saavat vaihtoehdot. eBayssä ja Aliexpresissä myydään kiinalaisia generaation tai parilla vanhemmalla raudalla olevia Qotom, Protectli jne)-laitteita.
 
Zetbo sanoi:
Fitletille näköjään tullu uusi BIOS. Pitää varmaan päivitellä omaan tuossa viikonloppuna.
Napsauta laajentaaksesi...

11-Jan-2021
  • BIOS version: 0.46.02.00
  • Update Intel TXE Firmware to version 3.1.80.2400 to address security advisories: INTEL-SA-00391
  • Update SOC microcode firmware:
    - M03506C9_00000040 (rev. B and D)
    - M03506CA_0000001E (rev. E and F)
  • Add the USB Power control in S5 power state
  • Add the front panel LEDs status during the boot
  • Add front panel LEDs and the power button LED behavior control
CRITICAL NOTE: Since the new BIOS contains the updated TXE firmware, the downgrade to the previous BIOS with older TXE firmware is restricted by the SOC manufacturer.
The BIOS downgrade will lead to the total system brick and RMA.

Eipä itse jaksane päivitellä.
 
Kannattaa päivittää vasta 2.5-päivityksen yhteydessä. :)
 
Nyt kun täällä on ollut biosseista puhetta, niin mikäs bios APU2 pc ihmisillä on sisällä? Itsellä v4.11.0.5. Ei ihan tuorein, mutta ei ihan jokaista versiota taida jaksaakkaan päivittää.
 
Ajelin päivityksen tuohon 2.5.0, DNS resolver oli päivityksen jälkeen alhaalla ja piti käynnistää manuaalisesti. pfBlockerNG varoitti että DNSBL ei ole synkronoitu, force reloadilla lähti tuo herja pois. Näköjään nollautui pfBlockerin tilastot tuosta etusivun widgetistä päivityksen yhteydessä. Nyt näköjään tuli taas näkyviin tuonne DNSBL Reports osioon laitteet mistä DNS-kyselyt on peräisin, nuo kun menivät rikki sen Python-päivityksen jälkeen jonkin aikaa sitten. Muuten tuntuisi kaikki toimivan ihan hyvin, täytyypä tutustua WireGuardiin jossain vaiheessa.
 
maninthemoon sanoi:
Nyt kun täällä on ollut biosseista puhetta, niin mikäs bios APU2 pc ihmisillä on sisällä? Itsellä v4.11.0.5. Ei ihan tuorein, mutta ei ihan jokaista versiota taida jaksaakkaan päivittää.
Napsauta laajentaaksesi...
Itsellä APU4 ollut reilun vuoden ja kerran olen tainut päivittää hankkinan jälkeen versioon v4.12.0.5. Ilmeisesti tuo v4.11 branchi on suositeltu vaikka v4.13 on jo julkaistu.
 
Rascal sanoi:
Itsellä APU4 ollut reilun vuoden ja kerran olen tainut päivittää hankkinan jälkeen versioon v4.12.0.5. Ilmeisesti tuo v4.11 branchi on suositeltu vaikka v4.13 on jo julkaistu.
Napsauta laajentaaksesi...
No juu, sitä itse kanssa hiukan ihmetellyt, että miksi suositus pysyy tuossa vaikka uusin versio on noinkin paljon uudempi. Miettinyt, että onko tuo suositus teksti jäänyt vahingossa tuolle asteelle, mutta tuskinpa se noinkaan on.
 
Wireguard testattu pfSense 2.5:llä ja iPhonella ja todettu toimivaksi, joskaan sisäverkon DNS-palvelinta (pfSense-palomuuri) ei voi jostain syystä käyttää. Palomuurilla näkyy liikenne menevän sille kyllä mutta sivut ei aukea. Ideoita mistä johtuu?
 
Viimeksi muokattu:
juuhokei sanoi:
Wireguard testattu pfSense 2.5:llä ja iPhonella ja todettu toimivaksi, joskaan sisäverkon DNS-palvelinta (pfSense-palomuuri) ei voi jostain syystä käyttää. Palomuurilla näkyy liikenne menevän sille kyllä mutta sivut ei aukea. Ideoita mistä johtuu?
Napsauta laajentaaksesi...
Ettei vaan palomuuri estä DNS-kyselyt VPN:n IP-osoitteistä?
 
Zetbo sanoi:
Fitletille näköjään tullu uusi BIOS. Pitää varmaan päivitellä omaan tuossa viikonloppuna.
Napsauta laajentaaksesi...
Joo eli en saanu tuota BIOS päivitys prosessia käynnistymään millään. Tein ohjeiden mukaan tikun ja menin BIOS:n kautta 'Launch EFI shell..", mutta aina se jatko vaan OPNsensen boottiin. Joten jäi BIOS päivittämättä, mutta päivitin OPNsensens 21.1 versioon.
 
Zetbo sanoi:
Joo eli en saanu tuota BIOS päivitys prosessia käynnistymään millään. Tein ohjeiden mukaan tikun ja menin BIOS:n kautta 'Launch EFI shell..", mutta aina se jatko vaan OPNsensen boottiin. Joten jäi BIOS päivittämättä, mutta päivitin OPNsensens 21.1 versioon.
Napsauta laajentaaksesi...

Siinä "Launch EFI shell..."-kohdan jälkeen pitää painaa esc-näppäintä. Tuli itsekin ihmeteltyä ensin samaa ongelmaa...
 
Anakki sanoi:
Siinä "Launch EFI shell..."-kohdan jälkeen pitää painaa esc-näppäintä. Tuli itsekin ihmeteltyä ensin samaa ongelmaa...
Napsauta laajentaaksesi...
Joo kokeilin sitä, vaikka ohjeissa sanotaan "Älä paina ESC". Ei silti suostunut flashaamaan mitään vaikka kirjoitin 'flash flt2.bin'. Sano jonkun virheimoituksen siihen, mutta en jaksanu enää hieroa sitä.
 
Zetbo sanoi:
Joo kokeilin sitä, vaikka ohjeissa sanotaan "Älä paina ESC". Ei silti suostunut flashaamaan mitään vaikka kirjoitin 'flash flt2.bin'. Sano jonkun virheimoituksen siihen, mutta en jaksanu enää hieroa sitä.
Napsauta laajentaaksesi...

Ja mounttasit sen tikun vielä? Esim. minulla se oli FS1:
 
Anakki sanoi:
Ja mounttasit sen tikun vielä? Esim. minulla se oli FS1:
Napsauta laajentaaksesi...
Kokeilin, mutta en ilmeisesti onnistunut siinä. Oli mielestäni vähän epäselvää, että mikä mun pitää mountata. Muistaakseni yritin tulkita siitä helpistä, että 'mount blk1 fs1' olisi oikea komento. Sano että "mount success" tjsp, mutta flashays ei onnistunu. Enkä onnistunut 'ls' komennolla tai millään muullakaan saamaan mitään tiedostonimiä esiin.
 
Zetbo sanoi:
Kokeilin, mutta en ilmeisesti onnistunut siinä. Oli mielestäni vähän epäselvää, että mikä mun pitää mountata. Muistaakseni yritin tulkita siitä helpistä, että 'mount blk1 fs1' olisi oikea komento. Sano että "mount success" tjsp, mutta flashays ei onnistunu. Enkä onnistunut 'ls' komennolla tai millään muullakaan saamaan mitään tiedostonimiä esiin.
Napsauta laajentaaksesi...
Itse käytin ihan vain komentoa "FS1:".
 
Zetbo sanoi:
ok. Pitää kokeilla uudestaan.

edit: siis 'mount FS1:'?
Napsauta laajentaaksesi...
Mulla halusi fitlet2 biospäivitys buutata pfsensen päälle joka kerta, jos ohjeiden mukaan teki.
Ratkaisuna kytkin BIOSista sisäisen levyohjaimen pois päältä ennen BIOSin päivittämistä, silloin meni ohjeiden mukaan eikä tarvinut painaa ESC:iä, eikä tarvinut kirjoittaa "FS1:". Ohje kehottaa anyway päivityksen jälkeen resetoimaan BIOS-asetukset defaulteille, ja silloin taas levyohjainkin meni takaisin päälle.
 
spoonspoonspoon sanoi:
Mulla halusi fitlet2 biospäivitys buutata pfsensen päälle joka kerta, jos ohjeiden mukaan teki.
Ratkaisuna kytkin BIOSista sisäisen levyohjaimen pois päältä ennen BIOSin päivittämistä, silloin meni ohjeiden mukaan eikä tarvinut painaa ESC:iä, eikä tarvinut kirjoittaa "FS1:". Ohje kehottaa anyway päivityksen jälkeen resetoimaan BIOS-asetukset defaulteille, ja silloin taas levyohjainkin meni takaisin päälle.
Napsauta laajentaaksesi...
Ajattelin kanssa kokeilla jotain vastaavaa, mutta mietin et ei se varmaan vaikuta. Ilmeisesti vaikutti. Opnsensen kanssa pitää käydä disabloimassa sdcard jutut biosista tai herjaa erroria ja ei boottaa. Toinen vaihtoehto on vissiin laittaa jotain custom-komentoja loader.conf tiedostoon.
 
Kirjaudu tai rekisteröidy kirjoittaaksesi tänne.

Uutiset

Uutisia lyhyesti

Uusimmat viestit

Statistiikka

Viestiketjuista
258 967
Viestejä
4 497 375
Jäsenet
74 318
Uusin jäsen
Skuupiduu

Hinta.fi

Back
Ylös Bottom