Tee-se-itse: Rautapalomuurit (pfSense, Sophos UTM..) (Mitä käytätte ja miksi juuri se vaihtoehto?)

[MOS6510]

Onko niin, että paras ratkaisu on vieläkin fitlet2, vaikka tuollakin jo alkaa ikää olemaan ?
Entä kumpi prossuvaihtoehto tuossa olisi parempi Celeron J3455 vai Atom E3950 ? Atom vissiin syö vähän vähemmän virtaa, mutta mikä lienee ero suorituskyvyssä ?

Jos tuohon asentaa OpenVPN:n, niin kuinka pitkälle potkua riittää ? Nykyinen nettiyhteys tosin on 100M/10M, niin tuskin muodostuu pullonkaulaksi, mutta jos sitä joskus saisi vaikka 1G liittymän, niin millaisia nopeuksia on vpn tunnelin läpi odotettavissa ?

Fitlet2 + Sophos XG v18 Home-yhdistelmällä ja 1000/100-kuituyhteydellä läpi menee n. 880/95 Mbps. Sophos XG:n VPN:llä liikkuu data kotiverkosta ulos sillä nopeudella mitä tuo kuituyhteys antaa myöten.

Sophos XG Home on muutoinkin varsin tylsä ratkaisu: Se on asennettu Fitlettiin pari vuotta sitten ja ainoa mitä sille on tarvinnut ajan kanssa tehdä on päivitysten tekeminen muutaman kerran vuodessa. Ja tämähän tapahtuu vain valitsemalla valikosta "päivitä".

Ja ehdottomasti kannattaa hankkia Celeron J3455-malli. Se on hieman halvempi ja hieman nopeampi kuin E3950-malli. Jälkimmäisen "hyöty" on pitkä saatavuus, jolla on merkitystä vain yrityskäyttäjille.

Cybersecurity as a Service Delivered | Sophos

We Deliver Superior Cybersecurity Outcomes for Real-World Organizations Worldwide with a Broad Portfolio of Advanced Security Products and Services.

www.sophos.com

 

[burmanm]

Edelleenkään Netgaten omat sekoilut eivät liity pfSensen CE:n luotettavuuteen joka on avointa lähdekoodia ja jokaisen tarkistettavissa. Kuten sanoin ei lähdetä väittämään jotain sellaista joka ei perustu mihinkään lähteisiin, vaan lähinnä omiin uskomuksiin. pfSense on tälläkin hetkellä vähintäänkin yhtä turvallinen kuin OPNsense, VyOS tai mikä muu vastaava. Silloin kun asiasta uutisoidaan näytteiden kera, voidaan asiasta olla eri mieltä.

pfSensen Wireguard toteutus näytettiin jo olevan reiällinen ja se löytyy CE-versiosta 2.5, jonka Netgate pisti ulos joka tapauksessa - välittämättä koodin laadusta. Vasta kun saivat tarpeeksi lokaa niskaan niin ilmoittivat sen poistavansa myöhemmistä versioista. pfSensen "OSS"-strategia on muutenkin sellainen, ettei sille välttämättä löydy hirveästi katselijoita, koska kyseessä ei ole avoin projekti, eikä sillä luultavasti ole enää mitään tulevaisuutta.

 

[escalibur]

pfSensen Wireguard toteutus näytettiin jo olevan reiällinen ja se löytyy CE-versiosta 2.5, jonka Netgate pisti ulos joka tapauksessa - välittämättä koodin laadusta. Vasta kun saivat tarpeeksi lokaa niskaan niin ilmoittivat sen poistavansa myöhemmistä versioista. pfSensen "OSS"-strategia on muutenkin sellainen, ettei sille välttämättä löydy hirveästi katselijoita, koska kyseessä ei ole avoin projekti, eikä sillä luultavasti ole enää mitään tulevaisuutta.

Samalla logiikalla voitaisiin jättää Ubiquitin väliin, koska heilläkin sattui olemaan ongelmia tietyillä osa-alueilla? Wireguard on melko uusi projekti joka on edelleen vasta alkumetreilla tuotantoversioiden osalta. Netgate munasi ja myönsi virheensä poistamalla koko lisärin kunnes asia on korjattu.

Nyyt siis kyse oli erikseen asennettavasta ja konfiguroitavasta lisäristä, eikä itse pfSensen palomuurisoftasta. Taas kerran, odotetaan niitä todistettuja näyttöjä ennen kuin julistetaan koko projektin epäluotettavaksi.

pfSensen "OSS"-strategia on muutenkin sellainen, ettei sille välttämättä löydy hirveästi katselijoita, koska kyseessä ei ole avoin projekti, eikä sillä luultavasti ole enää mitään tulevaisuutta.

Meinaat että yksi maailman suosituimmista ilmaisista palomuurisoftista ei kiinnostaisi tietoturvasta (tai sen puutteista) kiinnostuneita? Sanoisin että aika moni haluaisi tuollaisen meriitin CV:hensä, blogiinsa tai vaikkapa mustalle pörssille. ZERODIUM - The Leading Exploit Acquisition Platform :kin varmaan olisi valmis tekemään tarjouksen asiasta.

 

[Bahamies]

Palatakseni alkuperäiseen kysymykseeni, niin onko tuohon PfSensen/OpnSensen pyörittämiseen jotain selkeää laitesuositusta hintaluokassa <350€?

Fitlet2 + Sophos XG v18 Home-yhdistelmällä ja 1000/100-kuituyhteydellä läpi menee n. 880/95 Mbps. Sophos XG:n VPN:llä liikkuu data kotiverkosta ulos sillä nopeudella mitä tuo kuituyhteys antaa myöten.

Sophos XG Home on muutoinkin varsin tylsä ratkaisu: Se on asennettu Fitlettiin pari vuotta sitten ja ainoa mitä sille on tarvinnut ajan kanssa tehdä on päivitysten tekeminen muutaman kerran vuodessa. Ja tämähän tapahtuu vain valitsemalla valikosta "päivitä".

Ja ehdottomasti kannattaa hankkia Celeron J3455-malli. Se on hieman halvempi ja hieman nopeampi kuin E3950-malli. Jälkimmäisen "hyöty" on pitkä saatavuus, jolla on merkitystä vain yrityskäyttäjille.

Cybersecurity as a Service Delivered | Sophos

We Deliver Superior Cybersecurity Outcomes for Real-World Organizations Worldwide with a Broad Portfolio of Advanced Security Products and Services.

www.sophos.com

Vaikuttaa omat kriteerini täyttävältä laitteelta. Valitettavasti saatavuus on heikko, tuo on kuitenkin hyvä vertailukohta. Kiitos!

 

[escalibur]

Palatakseni alkuperäiseen kysymykseeni, niin onko tuohon PfSensen/OpnSensen pyörittämiseen jotain selkeää laitesuositusta hintaluokassa <350€?



Vaikuttaa omat kriteerini täyttävältä laitteelta. Valitettavasti saatavuus on heikko, tuo on kuitenkin hyvä vertailukohta. Kiitos!

fitlet2 tai esim Shuttle DS-mallisto. Shuttle XPС slim DS77U, halvin hinta 239€

Toinen vaihtoehto on metsästää tuon kokoisia koneita käytettynä joista löytyy 2 ethernet-porttia, taikka laajennuspaikka erilliselle verkkokortille.

 

[user9999]

fitlet2 tai esim Shuttle DS-mallisto. Shuttle XPС slim DS77U, halvin hinta 239€

Tuosta Shuttlesta on myös tuo uudempi malli jos kaksi verkkokorttia riittää. HUOM! Kyseessä on barebone, eli tuote ei sisällä muistia, kiintolevyä eikä käyttöjärjestelmää.

Shuttle XPC slim DS10U, MiniPC -barebone, musta - 369,00€

HUOM! Kyseessä on barebone, eli tuote ei sisällä muistia, kiintolevyä eikä käyttöjärjestelmää. Tekniset tiedot : Form Factor : Shuttle 1.3L -kotelo Prosessori :

www.jimms.fi

 

[escalibur]

Tuosta Shuttlesta on myös tuo uudempi malli jos kaksi verkkokorttia riittää. HUOM! Kyseessä on barebone, eli tuote ei sisällä muistia, kiintolevyä eikä käyttöjärjestelmää.

Shuttle XPC slim DS10U, MiniPC -barebone, musta - 369,00€

HUOM! Kyseessä on barebone, eli tuote ei sisällä muistia, kiintolevyä eikä käyttöjärjestelmää. Tekniset tiedot : Form Factor : Shuttle 1.3L -kotelo Prosessori :

www.jimms.fi

Muistin tuon vasta äsken. Tosin mene ja tiedä millaista hyötyä käytännössä tuon lisähinta tuo. Ehkä BIOS-päivitysten muodossa?

 

[user9999]

Muistin tuon vasta äsken. Tosin mene ja tiedä millaista hyötyä käytännössä tuon lisähinta tuo. Ehkä BIOS-päivitysten muodossa?

Joo, varmaan BIOS päivityksiä tulee pitempään eli eiköhän siinä kaikki hyödyt

 

[MOS6510]

Palatakseni alkuperäiseen kysymykseeni, niin onko tuohon PfSensen/OpnSensen pyörittämiseen jotain selkeää laitesuositusta hintaluokassa <350€?

Vaikuttaa omat kriteerini täyttävältä laitteelta. Valitettavasti saatavuus on heikko, tuo on kuitenkin hyvä vertailukohta. Kiitos!

Tuolta vain tilaamaan suoraan valmistajalta:

Buy fitlet2

Business customers check out fitlet2 risk-free evaluation fitlet2 requires exactly one RAM module to operate. Normally, fitlet2 has M.2 SATA installed but in some cases alternative storage device is used, such as

fit-iot.com

Samalla mukaan:
- FC-M2LAN FACET-Card (2x Gbit Ethernet)
- 64 GB SATA SSD for fitlet2
- Fitlet2 mounting bracket

Tuon sopivan SSD:n löytäminen muualta ei ole aivan yksinkertaista, joten kannattaa tilata samalla tuolta.

 

[Bahamies]

Tuosta Shuttlesta on myös tuo uudempi malli jos kaksi verkkokorttia riittää. HUOM! Kyseessä on barebone, eli tuote ei sisällä muistia, kiintolevyä eikä käyttöjärjestelmää.

Shuttle XPC slim DS10U, MiniPC -barebone, musta - 369,00€

HUOM! Kyseessä on barebone, eli tuote ei sisällä muistia, kiintolevyä eikä käyttöjärjestelmää. Tekniset tiedot : Form Factor : Shuttle 1.3L -kotelo Prosessori :

www.jimms.fi

Kiitoksia suosituksista. Tuo Shuttle olikin jo vaihtoehtojen listalla.

NIC:n määräksi riittää 2 (1 WAN ja 1 LAN), kytkimet ovat sitten erikseen. Valintakriteeri on nyt melkolailla teho ja hinta, mutta veikkaan vähän, että käytännössä kaikki AES-NI-tuelliset vaihtoehdot ovat riittävän tehokkaita. Yksi 250GB SSD löytyykin ylimääräisenä, niin laitan käyttiksen pyörimään sille. Aivan ylimitoitettu, mutta en viitsi osta toistaa levyä tätä varten.

Onko kellään täällä kokemusta noista kiinalaisista geneerisistä "pfSense-reitittimistä"? Alan kyllä vahvasti kallistua tuohon Shuttleen jo ihan siksi, että pääsee tukemaan kotimaista myyjää.

Tuolta vain tilaamaan suoraan valmistajalta:

Buy fitlet2

Business customers check out fitlet2 risk-free evaluation fitlet2 requires exactly one RAM module to operate. Normally, fitlet2 has M.2 SATA installed but in some cases alternative storage device is used, such as

fit-iot.com

Samalla mukaan:
- FC-M2LAN FACET-Card (2x Gbit Ethernet)
- 64 GB SATA SSD for fitlet2
- Fitlet2 mounting bracket

Tuon sopivan SSD:n löytäminen muualta ei ole aivan yksinkertaista, joten kannattaa tilata samalla tuolta.

Alkaakin hinta nousta veroineen ja tulleineen sen verran, että putoaa omalta listalta.

 

[user9999]

Kiitoksia suosituksista. Tuo Shuttle olikin jo vaihtoehtojen listalla.

Tuo Shuttle jaksaa gigasella mainiosti.
Jotain VPN testejä Shuttle DS77 versiolla.

Tee-se-itse: Rautapalomuurit (pfSense, Sophos UTM..) (Mitä käytätte ja miksi juuri se vaihtoehto?)

Ja VPN on poissuljettu, koska? Itse tein joskus testimielessä täysin toimivan setupin Squidillä. En saanut HAproxyä koskaan toimimaan halutulla tavalla. Katson, jos löydän bookmarkin jostain.

bbs.io-tech.fi

 

[MOS6510]

Alkaakin hinta nousta veroineen ja tulleineen sen verran, että putoaa omalta listalta.

Ei tuon perusrungon hinta tulleineen ja rahteineen paljoa tuosta Shuttlesta eroa. Molempiinhan tarvitaan yhtälailla muistikampa ja SSD tuon rungon lisäksi.

Kahdellakin Ethernet-portilla pärjää; tuon Facelet-kortin hankkiminen ei ole pakollista.

 

[Bahamies]

Tuo Shuttle jaksaa gigasella mainiosti.
Jotain VPN testejä Shuttle DS77 versiolla.

Tee-se-itse: Rautapalomuurit (pfSense, Sophos UTM..) (Mitä käytätte ja miksi juuri se vaihtoehto?)

Ja VPN on poissuljettu, koska? Itse tein joskus testimielessä täysin toimivan setupin Squidillä. En saanut HAproxyä koskaan toimimaan halutulla tavalla. Katson, jos löydän bookmarkin jostain.

bbs.io-tech.fi

Okei, turha tässä varmaan enää on kauheasti pohtia. Tuo Shuttle riittää varmasti omaan käyttööni. Oikeastaan vain IDS/IPS käytössä tarvitsisi runsaasti enemmän tehoa, mutta sellaiselle tuskin on käyttöä omassa verkossa.

 

[user9999]

Okei, turha tässä varmaan enää on kauheasti pohtia. Tuo Shuttle riittää varmasti omaan käyttööni. Oikeastaan vain IDS/IPS käytössä tarvitsisi runsaasti enemmän tehoa, mutta sellaiselle tuskin on käyttöä omassa verkossa.

Jos OpenVPN nopeutta haluaa niin kannattaa katsoa prossua, jossa yhden ytimen suorituskyky on korkea. Joku korjatkoon jos tuohon on tullut muutos. En ole seurannut tuota OpenVPN kehitystä enää.
PfSensessä saa iPsecin toimimaan useammalla ytimellä aktivoimalla seuraavan

Enable Asynchronous Cryptography
IPsec cryptography jobs can be dispatched multi-threaded to run in parallel and increase performance. However, not all platforms and configurations fully support this function. To enable this capability, check Asynchronous Cryptography under VPN > IPsec on the Advanced tab.

En muista löytyykö tuota asetusta OPNSensestä.

 

[burmanm]

Netgate munasi ja myönsi virheensä poistamalla koko lisärin kunnes asia on korjattu.

Netgate ei myöntänyt, vaan hyökkäsi suoraan Wireguardin kehittäjää vastaan. Vasta kun Netgate oli saanut tarpeeksi lokaa niskaansa he päättivät myöhemmin poistaa sen (2.5:ssa se on edelleen). Itseasiassa, onko sellaista releasea edelleenkään julkaistu josta se on poistettu?

Ei tuo ole mitään virheen myöntämistä, edes siinä blogissaan eivät myöntäneet tehneensä virhettä vaan jatkoivat syyttelyä. Heille ilmoitettiin asiasta yli vuosi sitten, mutta päättivät palkata sen sijaan kunnon rikollisen tekemään tuo patchi ja halusivat olla sen takana mielummin. Eivät olleet kiinnostuneita Wireguardin tekijän mielipiteistä ennen kuin asia tuli vasta julkiseksi - jonka jälkeen hyökkäsivät.

Kyllä se kertoo itse kehittäjästä ja sitä kautta softasta, varsinkaan kun kyseessä ei ollut edes eka kerta kun Netgate tekee samaa touhua, viime kerralla "myönsivät" vasta oikeuden määräyksellä. En edes ymmärrä kuinka joku voi puolustella tuollaista toimintaa, onko sulla taloudellisia intressejä tässä asiassa?

 

[JaniKari]

Senverran vanha naavaparta olen, että kyllä mieluusti laitteessa saisi olla perinteiset RED ja GREEN interfacet ihan fyysisinä Vaikka eipä nuo VLAN:t mitään rakettitiedettä ole, joskus sentään tullut ihan töidenkin puolesta verkkojen kanssa pelehdittyä. Itseasiassa harkinnassa on vielä sekin, että lähdenkö rakentamaan systeemiä ollenkaan pfsensellä vai lyönkö masokistina kädet saveen ja rakentelen halutun systeemin nollista. Mutta kiitos tuosta NUC Pro vinkistä, olen ollut siinä uskossa, että saatavilla on vain yhden verkkointerfacen versioita.


Tarkoitatko siis, että tuo 400Mbps menee VPN:n läpi heittämällä ?

Testasin OpenVPN nopeutta tämän ohjeen mukaan:

AirVPN

AirVPN

airvpn.org

Sain lähes 900Mbps tälle Intel NUC8i3BEH ja virtualbox ja pfSense 2.5.

 

[user9999]

Itseasiassa, onko sellaista releasea edelleenkään julkaistu josta se on poistettu?

Viimeisestä RC versiosta poistettu jo.

Reddit - Dive into anything

www.reddit.com

 

[escalibur]

Netgate ei myöntänyt, vaan hyökkäsi suoraan Wireguardin kehittäjää vastaan. Vasta kun Netgate oli saanut tarpeeksi lokaa niskaansa he päättivät myöhemmin poistaa sen (2.5:ssa se on edelleen). Itseasiassa, onko sellaista releasea edelleenkään julkaistu josta se on poistettu?

Ei tuo ole mitään virheen myöntämistä, edes siinä blogissaan eivät myöntäneet tehneensä virhettä vaan jatkoivat syyttelyä. Heille ilmoitettiin asiasta yli vuosi sitten, mutta päättivät palkata sen sijaan kunnon rikollisen tekemään tuo patchi ja halusivat olla sen takana mielummin. Eivät olleet kiinnostuneita Wireguardin tekijän mielipiteistä ennen kuin asia tuli vasta julkiseksi - jonka jälkeen hyökkäsivät.

Kyllä se kertoo itse kehittäjästä ja sitä kautta softasta, varsinkaan kun kyseessä ei ollut edes eka kerta kun Netgate tekee samaa touhua, viime kerralla "myönsivät" vasta oikeuden määräyksellä. En edes ymmärrä kuinka joku voi puolustella tuollaista toimintaa, onko sulla taloudellisia intressejä tässä asiassa?

Pointtini ei ollut puolustaa Netgatea (josta en itsekään välitä), vaan tarkoitin että on turhaa väittää sellaista jolle ei löydy minkälaista näyttöä. Nyt siis puhutaan pfSense CE-version luotettavuudesta.

 

[jad]

Ja ehdottomasti kannattaa hankkia Celeron J3455-malli. Se on hieman halvempi ja hieman nopeampi kuin E3950-malli. Jälkimmäisen "hyöty" on pitkä saatavuus, jolla on merkitystä vain yrityskäyttäjille.

Näyttäisi Celron vieläpä kuluttavan vähemmän energiaakin. Vaikuttaa hyvältä vaihtoehdolta. Kiitos tästä.

 

[mikajh]

pfSense 2.5 multi-WAN -bugi taitaa koskea vain PPPoE-yhteyksiä: Regression #11436: State matching problem with reponses to packets arriving on non-default WANs - pfSense - pfSense bugtracker
EDIT: Eipä sittenkään, myös ilman PPPoE:ta raportoitu. Aika kauan kestää tämän korjaaminen (bugi tiedossa jo viime vuoden puolella)

 

[juuhokei]

Onko kukaan hiljattain kokeillut Sophoksen kotikäytössä ilmaisia UTM tai XG muureja? Miten vertautuu esimerkiksi pfSenseen? Vai onko suljetun koodin ratkaisut tyystin unohdettu?

 

[tohtori-no]

Oli mielessä kokeilla Sophosta pfsensen tilalle tässä lähiaikoina, jos olisi vielä enemmän asenna ja unohda ratkaisu ilman hirveää säätämistä vaikka siitäkin tykkään.

 

[MOS6510]

Onko kukaan hiljattain kokeillut Sophoksen kotikäytössä ilmaisia UTM tai XG muureja? Miten vertautuu esimerkiksi pfSenseen? Vai onko suljetun koodin ratkaisut tyystin unohdettu?

Olen käyttänyt Sophos XG Home-versiota useita vuosia. Toimii täysin moitteetta. Ainoa tarvittu ylläpitotehtävä on ollut ohjelmistopäivitys pari kertaa vuodessa ja sekin on vain yhdestä valikosta käynnistys.

Käytössä on normaalit palomuuriominaisuudet sekä VPN. Lisäksi käytän VPN-yhteyksissä sisäänpäin Sophoksen ilmaista dynaamista ja automaattista DNS-palvelua.

 

[juuhokei]

Olen käyttänyt Sophos XG Home-versiota useita vuosia. Toimii täysin moitteetta. Ainoa tarvittu ylläpitotehtävä on ollut ohjelmistopäivitys pari kertaa vuodessa ja sekin on vain yhdestä valikosta käynnistys.

Käytössä on normaalit palomuuriominaisuudet sekä VPN.

Tuli otettua tämä testikäyttöön, mutta törmäsin jo todella outoon logiikkaan tämän toiminnassa. Tarkemmin sanoen nuo Zonet. Niille kun voi määrittää joitain palveluja joihin on oikeus ja yksi niistä on palomuurin hallintaan pääsy. Oletuksena on LAN-zone jonka alle kuuluu alussa luotu untagged-verkko (192.168.1.0/24) sekä kaikki saman fyysisen interfacen alle luodut VLANit. Nyt kun luon uuden VLANin, vaikkapa IoT varten ja laitan säännöistä estetyksi kaiken liikenteen IoT -> LAN, niin IoT verkosta pääsee silti aina muurin hallintaan koska tuo VLAN on saman Zonen alla kuin LAN-verkko. Eikä näitä voi erottaa koska Zonet voi määritellä vain fyysisiin portteihin. Hallintaan pääsyä ei myöskään voi raksia Zonen asetuksista pois, koska silloin ei luonnollisesti mistään verkosta pääse sinne.

Voi olla, että olen nyt käsittänyt jotain väärin mutta muutaman tunnin yritin säätää tämän kanssa eilen ja ei vaan taida olla mahdollista samaan fyysiseen porttiin saada montaa Zonea toimimaan.

 

[Rascal]

Ei ole kokemusta Sophoksesta mutta palomuureissa on yleensä konsepti nimeltä intra-zone traffic zoneissa. Joko se on allow/deny eli saman zonen alla olevat vlanit pystyvät keskutelemaan tai sitten se on estetty jolloin pitää erikseen tehdä palomuuriavaukset. Hiukan valmistajasta kiinni yleensä voiko saman fyysisen interfacen alla olevat eri vlanit, olla eri zoneissa vai pitääkö ne olla eroteltuna myös eri fyysisissä interfaceissa.

Itsellä kyllä tuo IoT on oma zone vs "LAN" mutta kai sen saisitoimimaan kumminpäin tahansa.

 

[heebo1974]

Minkäslainen QOS on Sophoksessa ? Epäilen ettei ainakaan Cake ? Fq_Codel ?

 

[juuhokei]

Ei ole kokemusta Sophoksesta mutta palomuureissa on yleensä konsepti nimeltä intra-zone traffic zoneissa. Joko se on allow/deny eli saman zonen alla olevat vlanit pystyvät keskutelemaan tai sitten se on estetty jolloin pitää erikseen tehdä palomuuriavaukset. Hiukan valmistajasta kiinni yleensä voiko saman fyysisen interfacen alla olevat eri vlanit, olla eri zoneissa vai pitääkö ne olla eroteltuna myös eri fyysisissä interfaceissa.

Itsellä kyllä tuo IoT on oma zone vs "LAN" mutta kai sen saisitoimimaan kumminpäin tahansa.

Kyllä näköjään onnistuikin eri Zone samalla fyysiselle interfacelle VLANiin, oma kämmi vaan kun piti WAN:lle menevään sääntöön lisätä tuo uusi Zone minkä tein.

 

[escalibur]

Loistavaa analyysia Arstechnicalta mitä oikein tapahtui Netgaten Wireguard-toteutuksessa:

Buffer overruns, license violations, and bad code: FreeBSD 13’s close call

40,000 lines of flawed code almost made it into FreeBSD’s kernel—we examine how.

arstechnica.com

Toivoittavasti jatkossa noita asioita tarkistetaan entistä tarkemmalla suurennuslasilla. Tämä on hyvä osoitus miksi uusiin asioihin kannattaa suhtautua varauksella. Samoin avoin koodi ei välttämättä tarkoita yhtään mitään, ellei joku tarkista sen kuntoa. Katsotaan paljastuuko tästä enemmänkin, vai oppivatko näistä virheistä.

pfSensen osalta olen edelleen samaa mieltä, että palomuuri on turvallinen ja luotettava niin kauan kunnes toisin todistetaan. Wireguardin koodi oli huono ja siihen reagoitiin. Seurataan tilannetta.

 

[Pörkyle]

www.ipfire.org - IPFire 2.25 - Core Update 155 released [SECURITY ADVISORY]

blog.ipfire.org

 

[Zetbo]

www.ipfire.org - IPFire 2.25 - Core Update 155 released [SECURITY ADVISORY]

blog.ipfire.org

Järkyttävän tyhmä version numerointi noilla, mutta muuten ei ole kokemusta. Käsittääkseni eivät esim. tue esim. ipv6 ja noi zone jutut oli vähän sekavia. Niin ei ole tullut testailtua. Muutenki jos pistäisi linux pohjaiseen vaihtaa niin vaihtaisin varmaan suoraan Vyosiin.

 

[Pörkyle]

Järkyttävän tyhmä version numerointi noilla, mutta muuten ei ole kokemusta. Käsittääkseni eivät esim. tue esim. ipv6 ja noi zone jutut oli vähän sekavia. Niin ei ole tullut testailtua. Muutenki jos pistäisi linux pohjaiseen vaihtaa niin vaihtaisin varmaan suoraan Vyosiin.

IPv6 tulee sitten kolmos versiossa ja ei noissa zoneissa mitään kovin erikoista mielestäni ole Red=Wan, Green=Lan, Blue=Wlan ja Orange=DMZ. Tuo Voys itselle uusi mutta näyttää että ilmainen vain niille jotka avustaa koodin kehittämisessä vai ymmärsinkö jotain väärin? Open Source Contributors – VyOS

Onhan noita vaihtoehtoja onneksi nykyään useampi että jokainen varmaan omiin tarpeisiin sopivan löytää.

 

[mikajh]

pfSensen osalta olen edelleen samaa mieltä, että palomuuri on turvallinen ja luotettava niin kauan kunnes toisin todistetaan. Wireguardin koodi oli huono ja siihen reagoitiin. Seurataan tilannetta.

Samaan aikaan OPNsensessä: Donenfeld & co on korjaillut (vaiko peräti uudelleenkirjoittanut) Wireguardin

 

[mikajh]

pfSense 2.5 multi-WAN -bugi taitaa koskea vain PPPoE-yhteyksiä: Regression #11436: State matching problem with reponses to packets arriving on non-default WANs - pfSense - pfSense bugtracker
EDIT: Eipä sittenkään, myös ilman PPPoE:ta raportoitu. Aika kauan kestää tämän korjaaminen (bugi tiedossa jo viime vuoden puolella)

Viimeisimpien arvailujen mukaan multi-WAN bugi onkin pfSense Plus -bugi eikä esiinny CE-versiossa 2.5.0.

 

[mikajh]

Viimeisimpien arvailujen mukaan multi-WAN bugi onkin pfSense Plus -bugi eikä esiinny CE-versiossa 2.5.0.

Tässä ilmeisesti fiksi pf: change pf_route so pf only runs when packets enter and leave the … · pfsense/FreeBSD-src@4fd4e2b

 

[user9999]

pfBlockerNG-devel v3.0.0_16

Reddit - Dive into anything

www.reddit.com

 

[Bahamies]

Nyt kun olen viikonlopun säätänyt opnSense palomuurin kanssa, niin pitää vaan ihmetellä miksi en aikaisemmin vaihtanut DIY-palomuuriin.

Vihdoin pääsee oikeasti hyötykäyttämään VPN-yhteyksiäkin, kun reititin ei heti ensimmäisen yhteyden kohdalla ala köhimään. Lisäksi pääsee PiHolesta eroon ja voi pyörittää DNS-blokkeria suoraan reitittimessä. Otin myös GeoIP-blokkauksen käyttöön. Mahdollisuuksia olisi raudan puolesta tehdä paljon muutakin, tuntuu että mielikuvitus loppuu ennen kuin tehot loppuvat tai opnSense ei ominaisuutta tue.

 

[mikajh]

Jokohan nyt olisi pfSensen päivityksen aika

 

[user9999]

Asentui ilman mitään ongelmia.

 

[Grizzle]

Release notes -linkki olisi kiva aina versiopäivityksistä puhuttaessa. Ei vieläkään korjausta "Enable registration of DHCP client names in DNS" bugiin

Pitäisi vaihtaa johonkin toiseen mutta ei jaksaisi uhrata vapaa-aikaansa säätämiseen. Vaihtoehtojakin on valitettavan vähän. Mieluiten laittaisi Linux-pohjaisen systeemin kun se on alustana tuttu ja laitteistotuki on huomattavasti parempi. Ei vain tunnu sopivaa distroa löytyvän. IPFire ei pikaisen tutkimisen jälkeen taivu omiin tarpeisiin.

 

[escalibur]

Asentui ilman mitään ongelmia.

Täälläkin päivittyi ilman ongelmia.

 

[The_Thing]

Mieluiten laittaisi Linux-pohjaisen systeemin kun se on alustana tuttu ja laitteistotuki on huomattavasti parempi. Ei vain tunnu sopivaa distroa löytyvän. IPFire ei pikaisen tutkimisen jälkeen taivu omiin tarpeisiin.

Itsellä oli vuosikausia SmoothwallCE jonka jämähdettyä odottamaan seuraavaa isoa päivitystä tuli kokeiltua monenlaista niin BSD- kuin *nix- pohjaista systeemiä. Rajoittavana tekijänä omassa systeemissä tuntuu olevan prosessori BSD-pohjaiset distrot kyllä reitittävät 1G/300M liittymän täydellä vauhdilla kunhan ei kytke ylimääräisiä palveluita päälle. Proxy, ids, yms. käyntiin niin nopeus kyykkää pahimmillaan alle puoleen joten itsellänikin jäi ainoaksi vaihtoehdoksi linux alustana. ClearOS aikanaan hävisi käytettävyydessä smoothwallille, mutta jouduin toteamaan ettei parannusta ole tullut reilun vuosikymmenen aikana. IPFire ja Zeroshell päätyivät seuraavaksi testipenkkiin, joista Zeroshell voitti käyttöliittymän selkeydellä. Zerolla pärjäsi mutta jokin tuntui olevan kokajan hieman pielessä.

Lopulta takraivossa häirinnyt tuntuma sai vilkaisemaan vielä olisiko jotain muuta käyttökelpoista distroa tarjolla. Jostain löytyi tieto että OpenWrt on saatavilla myös x86_64-pohjaisena, vanha tuttu distro jolla rakentelin mesh-verkkoja ennen kuin koko termiä oli lanseerattu. Rohkaistuin kokeilemaan ja pienten alkuköhinöiden jälkeen (valmisimagen tallennusosion kokoa ei saanut muutettua) tulen todennäköisesti pysyttelemään OWrt-käyttäjänä pitkään. Lisäpakettien asentaminen ja käyttöönotto ei tunnu vaikuttavan netin vauhtiin millään, juniorit saa pidettyä poissa uhkapelien, spywaren, yms parista ja itse saa hyödynnettyä openvpn:ä kun joskus tuikkaa nokan ulos ulko-ovesta.

Mikäli IPFire ei tunnu oikealta kannatta kokeilla Zeroshelliä tahi OpenWrt:ä. Kummassakin selkeä selainkäytöliittymä, sekä toimiva komentorivihallinta.

 

[Grizzle]

Itsellä oli vuosikausia SmoothwallCE jonka jämähdettyä odottamaan seuraavaa isoa päivitystä tuli kokeiltua monenlaista niin BSD- kuin *nix- pohjaista systeemiä. Rajoittavana tekijänä omassa systeemissä tuntuu olevan prosessori BSD-pohjaiset distrot kyllä reitittävät 1G/300M liittymän täydellä vauhdilla kunhan ei kytke ylimääräisiä palveluita päälle. Proxy, ids, yms. käyntiin niin nopeus kyykkää pahimmillaan alle puoleen joten itsellänikin jäi ainoaksi vaihtoehdoksi linux alustana. ClearOS aikanaan hävisi käytettävyydessä smoothwallille, mutta jouduin toteamaan ettei parannusta ole tullut reilun vuosikymmenen aikana. IPFire ja Zeroshell päätyivät seuraavaksi testipenkkiin, joista Zeroshell voitti käyttöliittymän selkeydellä. Zerolla pärjäsi mutta jokin tuntui olevan kokajan hieman pielessä.

Lopulta takraivossa häirinnyt tuntuma sai vilkaisemaan vielä olisiko jotain muuta käyttökelpoista distroa tarjolla. Jostain löytyi tieto että OpenWrt on saatavilla myös x86_64-pohjaisena, vanha tuttu distro jolla rakentelin mesh-verkkoja ennen kuin koko termiä oli lanseerattu. Rohkaistuin kokeilemaan ja pienten alkuköhinöiden jälkeen (valmisimagen tallennusosion kokoa ei saanut muutettua) tulen todennäköisesti pysyttelemään OWrt-käyttäjänä pitkään. Lisäpakettien asentaminen ja käyttöönotto ei tunnu vaikuttavan netin vauhtiin millään, juniorit saa pidettyä poissa uhkapelien, spywaren, yms parista ja itse saa hyödynnettyä openvpn:ä kun joskus tuikkaa nokan ulos ulko-ovesta.

Mikäli IPFire ei tunnu oikealta kannatta kokeilla Zeroshelliä tahi OpenWrt:ä. Kummassakin selkeä selainkäytöliittymä, sekä toimiva komentorivihallinta.

Kiitos vinkistä. Mulla sattuu olemaan jemmassa ylimääräinen muuriin sopiva mSATA SSD. Voisin vain ottaa nykyisen pois ja asentaa toiselle SSD:lle jonkun muun käyttiksen. Sitten jos pitää palata takasin pfSenseen niin se on helppoa vain vaihtamalla SSD takaisin Ensin pitää konffata kaapin perukoilla makaava kuluttaja-reititin varalaitteeksi niin ei ole netti poikki säätämisen aikana.

 

[multitimo]

Jokohan nyt olisi pfSensen päivityksen aika

Ehkä ei kannata. Multi-wan port forward bugi on korjattu plussa versioihin, mutta ilmenee nyt CE 2.5.1 versiossa

Regression #11805: Port forward rules only function through the default gateway interface, ``reply-to`` does not work for Multi-WAN (CE Only) - pfSense - pfSense bugtracker

Redmine

redmine.pfsense.org

 

[dot1q]

Itsellä oli vuosikausia SmoothwallCE jonka jämähdettyä odottamaan seuraavaa isoa päivitystä tuli kokeiltua monenlaista niin BSD- kuin *nix- pohjaista systeemiä. Rajoittavana tekijänä omassa systeemissä tuntuu olevan prosessori BSD-pohjaiset distrot kyllä reitittävät 1G/300M liittymän täydellä vauhdilla kunhan ei kytke ylimääräisiä palveluita päälle. Proxy, ids, yms. käyntiin niin nopeus kyykkää pahimmillaan alle puoleen joten itsellänikin jäi ainoaksi vaihtoehdoksi linux alustana. ClearOS aikanaan hävisi käytettävyydessä smoothwallille, mutta jouduin toteamaan ettei parannusta ole tullut reilun vuosikymmenen aikana. IPFire ja Zeroshell päätyivät seuraavaksi testipenkkiin, joista Zeroshell voitti käyttöliittymän selkeydellä. Zerolla pärjäsi mutta jokin tuntui olevan kokajan hieman pielessä.

Lopulta takraivossa häirinnyt tuntuma sai vilkaisemaan vielä olisiko jotain muuta käyttökelpoista distroa tarjolla. Jostain löytyi tieto että OpenWrt on saatavilla myös x86_64-pohjaisena, vanha tuttu distro jolla rakentelin mesh-verkkoja ennen kuin koko termiä oli lanseerattu. Rohkaistuin kokeilemaan ja pienten alkuköhinöiden jälkeen (valmisimagen tallennusosion kokoa ei saanut muutettua) tulen todennäköisesti pysyttelemään OWrt-käyttäjänä pitkään. Lisäpakettien asentaminen ja käyttöönotto ei tunnu vaikuttavan netin vauhtiin millään, juniorit saa pidettyä poissa uhkapelien, spywaren, yms parista ja itse saa hyödynnettyä openvpn:ä kun joskus tuikkaa nokan ulos ulko-ovesta.

Mikäli IPFire ei tunnu oikealta kannatta kokeilla Zeroshelliä tahi OpenWrt:ä. Kummassakin selkeä selainkäytöliittymä, sekä toimiva komentorivihallinta.

Ai että, tässä tuhti nippu hyvää vinkkiä. Opnsensen kanssa on ollut intrusion detection päällä, ei oo näkyny CPU kuormassa tjsp, vähän läpällä pistin päälle. Mutta ajoittain joissain peleissä voi yhteys jumittua todella satunnaisesti.
i3 ei ehkä jaksa tätä tehdä, enpä olis huomannut syy-yhteyden mahdollisuutta ilman tätä viestiä. Voi olla että hetkittäin käy liikennettä läpi ja siinä kohtaa reaaliaikainen online peli ottaa kipeää. Muuten suorituskyky ollut A+. En ole kovin kummoista rääkkiä tuolle raudalle antanut. Ehkäpä 2-viikossa selviää olisko vaikutusta. Bufferbloat jne kaikki ilman issakkaa ajossa. harvinainen issue ollut tähän asti.

Edit: ei vaikutusta. Eli palveluiden tuotantopään murhe.. servereillä ruuhkaa.

 

[ps86]

Ajattelin tämän threadiin sopivaksi kontentiksi, otsikonmukainen kunnon tee-se-itse palomuuriviritys







Runkona on 10" räkkihylly + peitelevy.
Tarkoituksena oli siis saada 10" räkkiin istuva reititin, siksi kyseinen form-factor. Ei ole koteloitu päältä nyt mitenkään, mutta se ei räkissä pahemmin haittaa.

Rautana vähän harvinaisempaa käsiin jäänyttä serriä; COMexpress type 10 moduli (Pentium N4200, 8 GB RAM) + carrier-kortti kahdella ethernetillä ja 64 GB mSATA SSD:llä. Lisäksi kolmas verkkoportti Intel Gigabit CT -kortilla, joka on kiinni miniPCIe <-> PCIe-x1 -riserilla.

Peltihylly toimii hyvin passiivijäähdyttimenä. Laite vie seinästä 7 W tehoa idlaillessa, mikä on varmaan vähemmän kuin keskimääräinen wifi-muovipurkkireititin.


Käyttiksenä pyörii OPNsense, jota on tullut tässä harjoiteltua. Aika jyrkkä oppimiskäyrä AsusWRT-maailmasta saavuttaessa.. Toisaalta kaiken on saanut toimimaan kuten ennenkin + lisänä mm. Wireguard ja Unifi controller pyörii nyt samassa purkissa

 

[dot1q]

Ittellä vie i3 cpu fw, 10G kelpoinen PoE+ sw, 2x wifi 6 ap, kuitupääte ja hue bridge noin 65-82W, alle 0.5A. 700VA UPS pyörittää hyvän tovin noita @ps86

(Edit, 10G SFP paikkoja tosin vain 2 kpl. Muut 12 slottia RJ45 ja 1Gbps)

 

[heebo1974]

Rohkaistuin kokeilemaan ja pienten alkuköhinöiden jälkeen (valmisimagen tallennusosion kokoa ei saanut muutettua) tulen todennäköisesti pysyttelemään OWrt-käyttäjänä pitkään. Lisäpakettien asentaminen ja käyttöönotto ei tunnu vaikuttavan netin vauhtiin millään, juniorit saa pidettyä poissa uhkapelien, spywaren, yms parista ja itse saa hyödynnettyä openvpn:ä kun joskus tuikkaa nokan ulos ulko-ovesta.

Itselläni myös nykyään openwrt x86 apu2 purkilla. Ainoa mikä oikeastaan on huolenaiheena on uusien versioiden päivitys.
Sysupgrade taitaa kyllä paskoa aika hyvin nämä x86 systeemit, varsinkin jos on tehnyt imagebuilderilla omat systeemit ja partitiokoko on muutettu jälkikäteen..

Pitäisi varmaan kehitellä systeemi niin, että configit ja tilastot majailisivat omalla partitiolla ja eivät ylikirjottuisi päivityksessä ollenkaan.

Suorituskykyyn olen erittäin tyytyväinen. Esim. SQM cake toimii loistavasti jos vertailee pfsenseen.

Käyttöliittymä Luci taasen on hemmetin ruma jos vertaillaan pfsensen vastaavaan.

 

[mikajh]

Sysupgrade taitaa kyllä paskoa aika hyvin nämä x86 systeemit

Kannattaa tehdä oma firmis. Jos ei ole Linux-boksia niin virtuaalinen riittää. Esim. pakettien asennusta varten uusi firmis, jossa ko. paketti on mukana.

 

[heebo1974]

Kannattaa tehdä oma firmis. Jos ei ole Linux-boksia niin virtuaalinen riittää. Esim. pakettien asennusta varten uusi firmis, jossa ko. paketti on mukana.

Juu, siis olen imagebuilderilla tehnyt omat firmikset, mutta lähdekoodista en ole kääntänyt. Jostainsyystä törmäsin ongelmaan, että jos minulla on custom konfiguraatioita, niin apu2 purkilla jään aina bootlooppiin. Ohjelmat saan kyllä esiasennettua omalla firmiksellä, mutta konfigit joudun aina käsin kopioimaan. Kiersin ongelman niin, että lisäsin omaan imageen ylimääräisen kansion jossa oli kaikki omat custom konfigit ja sitten esimmäisen buutin jälkeen ajoin pikku skriptin joka kopioi ko. konfigit oikeille paikoilleen. Tämän kaiken olen testannut siis vasta ekalla asennuskerralla, joten kun päivitys 21.02 versioon tulee ajankohtaiseksi alkaa varmaan sydämentykytykset.

Anyway taitaisi kuulua enemmän tuonne openwrt ketjuun kun mennään enemmän detaljitasolle.

EDIT: Tästä innostuneena ja vähän googlettelulla saattaisi olla, että minun custom config ongelmani liittyisi juuri tähän: Image Builder with Custom Files won't boot
EDIT2: Toisaalta olen aina käyttänyt stableja, joten ehkä ei sittenkään. Hyvin samalta silti vaikuttaisi.

 

[user9999]

OpenVPN reikä.

https://community.openvpn.net/openvpn/wiki/CVE-2020-15078

OpenVPN 2.5.2 julkaistu jo. Pfsensessä OpenVPN 2.5.1.

openvpn-2.5.1 is vulnerable:
openvpn -- deferred authentication can be bypassed in specific circumstances
CVE: CVE-2020-15078
WWW: VuXML: openvpn -- deferred authentication can be bypassed in specific circumstances

Saa nähdä koska tulee päivitys..

Spoileri

vulnxml file up-to-date
curl-7.74.0 is vulnerable:
curl -- TLS 1.3 session ticket proxy host mixup
CVE: CVE-2021-22890
WWW: VuXML: curl -- TLS 1.3 session ticket proxy host mixup

curl -- Automatic referer leaks credentials
CVE: CVE-2021-22876
WWW: VuXML: curl -- Automatic referer leaks credentials

openvpn-2.5.1 is vulnerable:
openvpn -- deferred authentication can be bypassed in specific circumstances
CVE: CVE-2020-15078
WWW: VuXML: openvpn -- deferred authentication can be bypassed in specific circumstances

dnsmasq-2.84,1 is vulnerable:
dnsmasq -- cache poisoning vulnerability in certain configurations
CVE: CVE-2021-3448
WWW: VuXML: dnsmasq -- cache poisoning vulnerability in certain configurations

mysql57-client-5.7.32 is vulnerable:
MySQL -- Multiple vulnerabilities
WWW: VuXML: MySQL -- Multiple vulnerabilities

5 problem(s) in 4 installed package(s) found.