Tee-se-itse: Rautapalomuurit (pfSense, Sophos UTM..) (Mitä käytätte ja miksi juuri se vaihtoehto?)

Päädyin itsekin opnsenseen mutta en saa kirveelläkään päivitettyä biosia tähän Shuttle DS77U.

näitä ohjeita olen yrittänyt molempia eli UEFI päivitystä ja Legacy modea. UEFI päivitys näyttää jotain skriptejä tikulta mutta sen jälkeen siirtyy sujuvasti opnsenseen. Bios/legacy mode päivitys ei etene mihinkään tikun valitsemisen jälkeen eli aivan kuin ei osaisi bootata tikulta. Biosissa kaikki mahdollinen on UEFI-modessa.

Olen kaikki muut boot mediat poistanut käytöstä paitsi USB-tikun sekä UEFI bootista myös PCI-E SSD:n jolle opnsense on asennettu mutta silti iloisesti opnsense lähtee päälle. Miten ihmeessä? Olen toki asentanut pfsense UEFI moden ollessa päällä.

Tuon kanssa on ollut itselläkin aina ongelmia :D
Kokeile tuolla samalla Rufus versiolla mikä on tuossa yllä olevassa linkissä.
Piti muistaakseni olla legacy modessa.
 
Päädyin itsekin opnsenseen mutta en saa kirveelläkään päivitettyä biosia tähän Shuttle DS77U.

näitä ohjeita olen yrittänyt molempia eli UEFI päivitystä ja Legacy modea. UEFI päivitys näyttää jotain skriptejä tikulta mutta sen jälkeen siirtyy sujuvasti opnsenseen. Bios/legacy mode päivitys ei etene mihinkään tikun valitsemisen jälkeen eli aivan kuin ei osaisi bootata tikulta. Biosissa kaikki mahdollinen on UEFI-modessa.

Olen kaikki muut boot mediat poistanut käytöstä paitsi USB-tikun sekä UEFI bootista myös PCI-E SSD:n jolle opnsense on asennettu mutta silti iloisesti opnsense lähtee päälle. Miten ihmeessä? Olen toki asentanut pfsense UEFI moden ollessa päällä.


Mulla on onnistunut aina Shuttlen BIOS:in päivitys, mutta sillä erolla että tässä koneessa on SATA SSD. Alla on omat muistiinpanoni, en silti anna mitään takuita niiden toimivuudesta:
  • Lataa biospäivitys valmistajan sivulta (.zip)
  • Pura zip-tiedosto tyhjään kansioon koneellasi
  • Tyhjennä USB-tikku ja formatoi se FAT32-muotoon
  • Siirrä zip-tiedoston sisältö USB-tikulle (vain efi, shell ja startup.nsh) EI DOS-kansiota!
  • Käynnistä Shuttle ja mene BIOS:iin.
  • Aseta BIOS:in BOOT MODE Legacy-tilasta UEFI-tilaan.
  • Poistu BIOS:ista ja sammuta Shuttle.
  • Aseta USB-tikku Shuttleen.
  • Käynnistä Shuttle, ja se alkaa flashaamaan BIOS:ia automaattisesti.
  • Kun BIOS on päivitetty, kone käynnistyy itsestään uudelleen (eikä käynnistyminen välttämättä etene tässä vaiheessa.
  • Sammuta Shuttle ja poista USB-tikku.
  • Käynnistä Shuttle ja mene BIOS-asetuksiin.
  • Vaihda BIOS:in BOOT MODE takaisin Legacyyn, poista Serial Portit, ja äänikortti käytöstä sekä poista Fast Boot käytöstä.
  • Käynnistä Shuttle ja BIOS on päivitetty.
 
Kiitos paljon auttaneille näin ja ainoastaan näin sain sen toimimaan:
  • Rufuksella tein boottaavan Freedos USB-tikun format fat32
  • Kopioin tikulle bios zipistä dos-kansion.
  • Shuttlen biosista boot mode Legacyyn
  • Boottaus tikulta
  • cd dos-kansioon ja sieltä ajoin flash.batin
  • bios flashattiin -> kone käynnistyi uudelleen -> taistelin hetken että sain näppiksen toimiaan (corsair k65) joka toimi vain etupaneelin alemmassa usb3portissa.
  • boot mode takaisin legacyyn ja turhat härpäkkeet pois
 
Nyt BIOS päivityksen jälkeen alkoi sellainen ongelma että kone pysyy 10minuuttia internet-yhteydessä ja sen jälkeen katkeaa, siitä vielä n. 10min niin ei pääse edes lan verkossa purkkiin kiinni. Mitä opnsense logeja kannattaisi tarkkailla että ongelmansyy selviäisi?
 
Itse päädyin openWRT:hen ja hitto kun se on nopea APU2 purkilla verrattuna pfSenseen. Lisäksi olen iloinen SQM:stä joka toimii heittämällä cake:lla.
Pfblockerin tilalle tuli joku Adblock ja näyttää se plokkailevan. Siinä on kyllä sisäänrakennetut listat (valittavissa), joten niillä on pärjättävä.
Wireguardikin istui purkkiin aika nopeasti, joten hyvästit openvpn:lle.
Ainoa mikä vähän huolestuttaa on OpenWrt:n päivitys, koska tuo sysupgrade ei taida toimia kunnolla näillä x86 imageilla. No jää nähtäväksi ja jos ei toimi, niin dokumentoin itselleni aika hyvin tuon puhtaan asennuksen. Tein oman imagen image builderilla joten no.. niin.
 
Nyt BIOS päivityksen jälkeen alkoi sellainen ongelma että kone pysyy 10minuuttia internet-yhteydessä ja sen jälkeen katkeaa, siitä vielä n. 10min niin ei pääse edes lan verkossa purkkiin kiinni. Mitä opnsense logeja kannattaisi tarkkailla että ongelmansyy selviäisi?

Ongelma taisi olla opnsense 21.1 versio sillä downgrade 20.7 versioon vakautti tilanteen
 
Ainoa mikä vähän huolestuttaa on OpenWrt:n päivitys, koska tuo sysupgrade ei taida toimia kunnolla näillä x86 imageilla. No jää nähtäväksi ja jos ei toimi, niin dokumentoin itselleni aika hyvin tuon puhtaan asennuksen. Tein oman imagen image builderilla joten no.. niin.
Teet vaan sitä image builderia varten itsellesi sopivan pakettilistauksen, niin saat kaiken leivottua sisään uuteen imageen, kun tulee aika päivittää uudempaan versioon.
 
Itse päädyin openWRT:hen ja hitto kun se on nopea APU2 purkilla verrattuna pfSenseen. Lisäksi olen iloinen SQM:stä joka toimii heittämällä cake:lla.
Pfblockerin tilalle tuli joku Adblock ja näyttää se plokkailevan. Siinä on kyllä sisäänrakennetut listat (valittavissa), joten niillä on pärjättävä.
Wireguardikin istui purkkiin aika nopeasti, joten hyvästit openvpn:lle.
Ainoa mikä vähän huolestuttaa on OpenWrt:n päivitys, koska tuo sysupgrade ei taida toimia kunnolla näillä x86 imageilla. No jää nähtäväksi ja jos ei toimi, niin dokumentoin itselleni aika hyvin tuon puhtaan asennuksen. Tein oman imagen image builderilla joten no.. niin.
Kannattaa olla tarkkana mitä kaikkea asentelee ja säätelee. OpenWRT Forum user data stolen in weekend data breach

Vaikka uutinen liittyykin ainoastaan foorumisoftaan, seuraisin tilannetta paljastuuko tapauksesta enemmänkin asioita.
 
Sopivasti tuli OPNsense 21.1 eli asennusmedia valmis :)
Mulla on OPNsense asennettuna jollekkin levylle, mutta taidan pistää uusiksi viikonloppuna tuon 21.1 version. Siitä sitten rakentamaan pikku hiljalleen. FreeRadius ja IPsec pitäis saada toimimaan.
Pfblockerng ei ole tärkeä, koska AdGuard Home käytössä.
Viime viikonloppuna yritin pistää IPSeciä toimimaan OPNsenseen. Ei sitten onnistunut :)

Muistaakseni mahdollisia syitä:
1. Mobile Client kohdan jälkeen kun tekee Phase 1 niin tuosta Phase 1 puuttui valinta "Peer Certificate Authority" eli ei pääsyt laittamaan IPSec CA sertiä. IPsec logeissa näkyi sitten FreeRadiuksen CA sertistä jotain logia
2. Apple on kiristänyt sertiasioita Tietoja luotettujen varmenteiden tulevista rajoituksista
Kokeilin myös migroida pfSense sertit OPNsenseen.

Ja paljon muuta hässäkkää. Täytyy nyt viikonloppuna taas yrittää.
Eli mulla on IPsecissä serteillä autentikointi. Tuo sen takia, että saan VPN On Demand toimimaan.
 
Viimeksi muokattu:
Mahtoi olla vaihdon arvoista? :)

ps. Signun takana on esittelyvideo NextDNS.io:sta, jos joku harkitsee esim pfBlockerNG:n, PiHolen tai AdGuard Homen korvaamista jollain toisella ratkaisulla.
 
Tuossa taulukko

 
Kauanko menee ennen kuin tuostakin pirstaloituu joku LibreSense tms? :think:
 
ps. Signun takana on esittelyvideo NextDNS.io:sta, jos joku harkitsee esim pfBlockerNG:n, PiHolen tai AdGuard Homen korvaamista jollain toisella ratkaisulla.
Laitoin tuon NextDNS testiin. Mulla olikin tuonne tunnus eli olen sitä joskus tutkinu. Taisi olla beta silloin. 2FA tuli nyt laitettua päälle.
Tukholmassa näköjään nuo DNS palvelimet.
1612685588463.png
 
Laitoin tuon NextDNS testiin. Mulla olikin tuonne tunnus eli olen sitä joskus tutkinu. Taisi olla beta silloin. 2FA tuli nyt laitettua päälle.
Tukholmassa näköjään nuo DNS palvelimet.
1612685588463.png
Itse en jaksanut tehdä tunnuksia vielä silloin BETA:n aikana. Otin tämän vasta viime aikoina testikäyttöön ja kieltämättä olen vakavissani harkinnut pfBlockerNG:n korvaamista tällä. Toki IP-blokkaus jää pois, mutta tämän helppous vie voiton. Pitää katsoa jos jatkossa pfBlockerNG hoitaisi lähinnä IP-blokkaukset ja DNS-estot listoilla joita NextDNS ei vielä tue.


ps. Itselle tulee hetzner-hel.

Tuota vasteaikaa voi testailla sivulla ping.nextdns.io

Jatketaan tästä paremmassa ketjussa: DNS-palvelimet
 
Päivityksiä ilmestyy kun tuo pfSense 2.5 julkaisu on lähellä.
pfBlockerNG-devel v3.0.0_10
FreeRadius 0.15.7_28
 
Olisiko suosituksia opensense/pfsense raudasta? Suomesta mieluusti tilaten.
Vpn käyttö palomuurin ohella. Yhtäaikaisiä käyttäjiä vpn kautta alle 10. Vähintään 50Mpbs läpäisykyvyllä.
 
Olisiko suosituksia opensense/pfsense raudasta? Suomesta mieluusti tilaten.
Vpn käyttö palomuurin ohella. Yhtäaikaisiä käyttäjiä vpn kautta alle 10. Vähintään 50Mpbs läpäisykyvyllä.
Shuttle DS-sarjalaiset tai fitlet2 lienevät parhaimmat uutena saavat vaihtoehdot. eBayssä ja Aliexpresissä myydään kiinalaisia generaation tai parilla vanhemmalla raudalla olevia Qotom, Protectli jne)-laitteita.
 
Fitletille näköjään tullu uusi BIOS. Pitää varmaan päivitellä omaan tuossa viikonloppuna.

11-Jan-2021
  • BIOS version: 0.46.02.00
  • Update Intel TXE Firmware to version 3.1.80.2400 to address security advisories: INTEL-SA-00391
  • Update SOC microcode firmware:
    - M03506C9_00000040 (rev. B and D)
    - M03506CA_0000001E (rev. E and F)
  • Add the USB Power control in S5 power state
  • Add the front panel LEDs status during the boot
  • Add front panel LEDs and the power button LED behavior control
CRITICAL NOTE: Since the new BIOS contains the updated TXE firmware, the downgrade to the previous BIOS with older TXE firmware is restricted by the SOC manufacturer.
The BIOS downgrade will lead to the total system brick and RMA
.

Eipä itse jaksane päivitellä.
 
Kannattaa päivittää vasta 2.5-päivityksen yhteydessä. :)
 
Nyt kun täällä on ollut biosseista puhetta, niin mikäs bios APU2 pc ihmisillä on sisällä? Itsellä v4.11.0.5. Ei ihan tuorein, mutta ei ihan jokaista versiota taida jaksaakkaan päivittää.
 
Ajelin päivityksen tuohon 2.5.0, DNS resolver oli päivityksen jälkeen alhaalla ja piti käynnistää manuaalisesti. pfBlockerNG varoitti että DNSBL ei ole synkronoitu, force reloadilla lähti tuo herja pois. Näköjään nollautui pfBlockerin tilastot tuosta etusivun widgetistä päivityksen yhteydessä. Nyt näköjään tuli taas näkyviin tuonne DNSBL Reports osioon laitteet mistä DNS-kyselyt on peräisin, nuo kun menivät rikki sen Python-päivityksen jälkeen jonkin aikaa sitten. Muuten tuntuisi kaikki toimivan ihan hyvin, täytyypä tutustua WireGuardiin jossain vaiheessa.
 
Nyt kun täällä on ollut biosseista puhetta, niin mikäs bios APU2 pc ihmisillä on sisällä? Itsellä v4.11.0.5. Ei ihan tuorein, mutta ei ihan jokaista versiota taida jaksaakkaan päivittää.
Itsellä APU4 ollut reilun vuoden ja kerran olen tainut päivittää hankkinan jälkeen versioon v4.12.0.5. Ilmeisesti tuo v4.11 branchi on suositeltu vaikka v4.13 on jo julkaistu.
 
Itsellä APU4 ollut reilun vuoden ja kerran olen tainut päivittää hankkinan jälkeen versioon v4.12.0.5. Ilmeisesti tuo v4.11 branchi on suositeltu vaikka v4.13 on jo julkaistu.
No juu, sitä itse kanssa hiukan ihmetellyt, että miksi suositus pysyy tuossa vaikka uusin versio on noinkin paljon uudempi. Miettinyt, että onko tuo suositus teksti jäänyt vahingossa tuolle asteelle, mutta tuskinpa se noinkaan on.
 
Wireguard testattu pfSense 2.5:llä ja iPhonella ja todettu toimivaksi, joskaan sisäverkon DNS-palvelinta (pfSense-palomuuri) ei voi jostain syystä käyttää. Palomuurilla näkyy liikenne menevän sille kyllä mutta sivut ei aukea. Ideoita mistä johtuu?
 
Viimeksi muokattu:
Wireguard testattu pfSense 2.5:llä ja iPhonella ja todettu toimivaksi, joskaan sisäverkon DNS-palvelinta (pfSense-palomuuri) ei voi jostain syystä käyttää. Palomuurilla näkyy liikenne menevän sille kyllä mutta sivut ei aukea. Ideoita mistä johtuu?
Ettei vaan palomuuri estä DNS-kyselyt VPN:n IP-osoitteistä?
 
Fitletille näköjään tullu uusi BIOS. Pitää varmaan päivitellä omaan tuossa viikonloppuna.
Joo eli en saanu tuota BIOS päivitys prosessia käynnistymään millään. Tein ohjeiden mukaan tikun ja menin BIOS:n kautta 'Launch EFI shell..", mutta aina se jatko vaan OPNsensen boottiin. Joten jäi BIOS päivittämättä, mutta päivitin OPNsensens 21.1 versioon.
 
Joo eli en saanu tuota BIOS päivitys prosessia käynnistymään millään. Tein ohjeiden mukaan tikun ja menin BIOS:n kautta 'Launch EFI shell..", mutta aina se jatko vaan OPNsensen boottiin. Joten jäi BIOS päivittämättä, mutta päivitin OPNsensens 21.1 versioon.

Siinä "Launch EFI shell..."-kohdan jälkeen pitää painaa esc-näppäintä. Tuli itsekin ihmeteltyä ensin samaa ongelmaa...
 
Siinä "Launch EFI shell..."-kohdan jälkeen pitää painaa esc-näppäintä. Tuli itsekin ihmeteltyä ensin samaa ongelmaa...
Joo kokeilin sitä, vaikka ohjeissa sanotaan "Älä paina ESC". Ei silti suostunut flashaamaan mitään vaikka kirjoitin 'flash flt2.bin'. Sano jonkun virheimoituksen siihen, mutta en jaksanu enää hieroa sitä.
 
Joo kokeilin sitä, vaikka ohjeissa sanotaan "Älä paina ESC". Ei silti suostunut flashaamaan mitään vaikka kirjoitin 'flash flt2.bin'. Sano jonkun virheimoituksen siihen, mutta en jaksanu enää hieroa sitä.

Ja mounttasit sen tikun vielä? Esim. minulla se oli FS1:
 
Ja mounttasit sen tikun vielä? Esim. minulla se oli FS1:
Kokeilin, mutta en ilmeisesti onnistunut siinä. Oli mielestäni vähän epäselvää, että mikä mun pitää mountata. Muistaakseni yritin tulkita siitä helpistä, että 'mount blk1 fs1' olisi oikea komento. Sano että "mount success" tjsp, mutta flashays ei onnistunu. Enkä onnistunut 'ls' komennolla tai millään muullakaan saamaan mitään tiedostonimiä esiin.
 
Kokeilin, mutta en ilmeisesti onnistunut siinä. Oli mielestäni vähän epäselvää, että mikä mun pitää mountata. Muistaakseni yritin tulkita siitä helpistä, että 'mount blk1 fs1' olisi oikea komento. Sano että "mount success" tjsp, mutta flashays ei onnistunu. Enkä onnistunut 'ls' komennolla tai millään muullakaan saamaan mitään tiedostonimiä esiin.
Itse käytin ihan vain komentoa "FS1:".
 
ok. Pitää kokeilla uudestaan.

edit: siis 'mount FS1:'?
Mulla halusi fitlet2 biospäivitys buutata pfsensen päälle joka kerta, jos ohjeiden mukaan teki.
Ratkaisuna kytkin BIOSista sisäisen levyohjaimen pois päältä ennen BIOSin päivittämistä, silloin meni ohjeiden mukaan eikä tarvinut painaa ESC:iä, eikä tarvinut kirjoittaa "FS1:". Ohje kehottaa anyway päivityksen jälkeen resetoimaan BIOS-asetukset defaulteille, ja silloin taas levyohjainkin meni takaisin päälle.
 
Mulla halusi fitlet2 biospäivitys buutata pfsensen päälle joka kerta, jos ohjeiden mukaan teki.
Ratkaisuna kytkin BIOSista sisäisen levyohjaimen pois päältä ennen BIOSin päivittämistä, silloin meni ohjeiden mukaan eikä tarvinut painaa ESC:iä, eikä tarvinut kirjoittaa "FS1:". Ohje kehottaa anyway päivityksen jälkeen resetoimaan BIOS-asetukset defaulteille, ja silloin taas levyohjainkin meni takaisin päälle.
Ajattelin kanssa kokeilla jotain vastaavaa, mutta mietin et ei se varmaan vaikuta. Ilmeisesti vaikutti. Opnsensen kanssa pitää käydä disabloimassa sdcard jutut biosista tai herjaa erroria ja ei boottaa. Toinen vaihtoehto on vissiin laittaa jotain custom-komentoja loader.conf tiedostoon.
 

Statistiikka

Viestiketjuista
262 487
Viestejä
4 558 229
Jäsenet
74 973
Uusin jäsen
Internaut

Hinta.fi

Back
Ylös Bottom