Tee-se-itse: Rautapalomuurit (pfSense, Sophos UTM..) (Mitä käytätte ja miksi juuri se vaihtoehto?)

[A Lake Elk]

Onko käytössä lokaalien osoitteiden rekisteröinti DHCP-serverin toimesta?

En nyt ymmärrä mitä tarkoitat...

DHCP-palvelin on pfSensen harteilla
Lokaalit dynaamiset, sekä kiinteät IP-osoitteet ja niitä vastaavat (D)DNS-nimet on myös pfSensen harteilla
Ulkoisen IP:n DDNS on pfSensen "Dynamic DNS"-palvelun vastuulla

Selvensikö noi yhtään sitä mitä hait?

 

[mikajh]

Jos tämä optio oli päällä pfSense 2.4.5p1:ssä DNS Resolverissa (Unbound), sillä oli dramaattisen epästabilisoiva vaikutus unboundiin. 2.5:ssä en ole testannut toistaiseksi:

2.5.2:n kuvauksen perusteella tuo saattaa jopa olla normaalia, mutta kymmenien DHCP-clientien kanssa aiheuttaa sen, että cache flushia tehdään tiuhaan. Muistaakseni tuosta aiheutui myös pahempaakin ongelmaa eli unboundin kippausta, josta syystä en ole sitä aikoihin edes kokeillut

 

[A Lake Elk]

Jos tämä optio oli päällä pfSense 2.4.5p1:ssä DNS Resolverissa (Unbound), sillä oli dramaattisen epästabilisoiva vaikutus unboundiin. 2.5:ssä en ole testannut toistaiseksi:

2.5.2:n kuvauksen perusteella tuo saattaa jopa olla normaalia, mutta kymmenien DHCP-clientien kanssa aiheuttaa sen, että cache flushia tehdään tiuhaan. Muistaakseni tuosta aiheutui myös pahempaakin ongelmaa eli unboundin kippausta, josta syystä en ole sitä aikoihin edes kokeillut

Joo on toi täppä päällä. Eli se on sitten ilmeisesti se syypää. Saa olla päällä edelleen kun ei niitä kaatumisia oo nyt pitkäänaikaan tapahtunut, ainoostaan silloin kun pfSensen päivittää uuteen versioon.

 

[maninthemoon]

Kuinka iso mahdollisuus on pissiä Pfsensen asetukset ym. vähän isommasta konfiguraatiosta (yritysverkko kyseessä), jos päivittää 2.4.0 versiosta uusimpaan? Ja jos pissii, niin onko homma ok, jos palauttaa koffiksen päivityksen jälkeen? Vai onko turvallisinta ajaa konfis uuteen rautaan ja kokeilla sillä?

 

[user9999]

Kuinka iso mahdollisuus on pissiä Pfsensen asetukset ym. vähän isommasta konfiguraatiosta (yritysverkko kyseessä), jos päivittää 2.4.0 versiosta uusimpaan? Ja jos pissii, niin onko homma ok, jos palauttaa koffiksen päivityksen jälkeen? Vai onko turvallisinta ajaa konfis uuteen rautaan ja kokeilla sillä?

Työskentelen ja olen työskentelyt isoissa firmoissa niin koskaan noissa ei ole tullut pfsenseä vastaan tai verkkokaverit nysväämässä noita. Pikku firmoissa Forti tms. juttuja ja isoissa muita ratkaisuja.
Tärkein asia on, että tuki valmistajalla pelaa.

Pfsense on näkymätön tekijä Suomen yritysmaailmassa

 

[maninthemoon]

Työ

Työskentelen ja olen työskentelyt muissa isoissa firmoissa niin koskaan noissa ei ole tullut pfsenseä vastaan tai verkkokaverit nysväämässä noita. Pikku firmoissa Fortinet tms juttuja ja isoissa muita ratkaisuja.
Tärkein asia on, että tuki valmistalla pelaa.

Juu, noi on joskus edellisen IT jampan toimesta hommattu. Pelaa ja pelannut toki hyvin, mutta askarruttaa, että mihin kannattaa varautua, jos noita lähtee päivittämään, jos on hiukka enempi konfiguraatiota...

 

[JaniKari]

Jos ei ole pfsense guru niin suosittelen harjoittelu rautaa jossa voi kokeilla miten toimii. Tietysti virtuaalikonellakin näkee meneekö update sujuvasti mutta toiminnan testaus hankalampaa.

 

[maninthemoon]

Jos ei ole pfsense guru niin suosittelen harjoittelu rautaa jossa voi kokeilla miten toimii. Tietysti virtuaalikonellakin näkee meneekö update sujuvasti mutta toiminnan testaus hankalampaa.

Katon alta kyllä löytyy päteviä muuri kavereita, mutta mielellään yrittää välttää turhia ongelmia, jos tiedetään, että tuollainen versiohyppy saattaa sotkea jotain. Kokeilemalla se varmaan loppupeleissä selviää eikä varmaan ole mitään yhtä vastausta. Joillakin saattaa toimia ja joillakin ei.

Varsikaan, kun ei itse olla tuota tehty vaan joku muu tuntematon.

 

[mikajh]

mielellään yrittää välttää turhia ongelmia, jos tiedetään, että tuollainen versiohyppy saattaa sotkea jotain

RTFM: Installing and Upgrading — Upgrade Guide | pfSense Documentation

 

[juuhokei]

Katon alta kyllä löytyy päteviä muuri kavereita, mutta mielellään yrittää välttää turhia ongelmia, jos tiedetään, että tuollainen versiohyppy saattaa sotkea jotain. Kokeilemalla se varmaan loppupeleissä selviää eikä varmaan ole mitään yhtä vastausta. Joillakin saattaa toimia ja joillakin ei.

Varsikaan, kun ei itse olla tuota tehty vaan joku muu tuntematon.

Itseä ainakin hirvittäisi ihan muutenkin tuollaista viritystä ajaa mikä ei palveluna jostain ole ostettu, valmistajalta ei löydy tukea ja ei ole edes dokumentaatiota miten rakennettu. Joku kaunis päivä kun jotain tuosta hajoaa ja tuotanto sen seurauksena alhaalla muutaman päivän niin voi sanomista tulla.

 

[Algron28]

Eikös pfsensee saa ostettua sen tukipalvelu paketin?

 

[escalibur]

Eikös pfsensee saa ostettua sen tukipalvelu paketin?

Saa.

Netgate Global Support

Netgate Technical Assistance Center (TAC) is a 24x7 operation with a worldwide team of support engineers unparalleled at diagnosing and resolving issues

www.netgate.com

Yksi syistä miksi pfSense ei ole niin suosittu Suomessa johtuu siitä ettei Netgatella ole kumppaneita ja myyntikanavia täällä. Kilpailijat järjestävät vaikka mitä kampanjoita, sopparietuja ja promoja omien tuotteiden markkinoimiseen ja tyrkyttämiseen. Palomuurien markkinat ovat ylikilpailtuja muutenkin ja Netgatella olisi melkoinen työ edessä erityisen huomion saamiseksi.

Tässä on joitakin osviittoja pfSensen suosiosta esim Jenkeissä: https://www.indeed.com/q-Pfsense-jobs.html?vjk=1539a301c7ac66b3

 

[sra2010]

Joo on toi täppä päällä. Eli se on sitten ilmeisesti se syypää. Saa olla päällä edelleen kun ei niitä kaatumisia oo nyt pitkäänaikaan tapahtunut, ainoostaan silloin kun pfSensen päivittää uuteen versioon.

Minulla tuo ei ole ollut koskaan käytössä, mutta meillä on sama ongelma päivityksen jälkeen. Uudelleen käynnistyksen jälkeen unbound ei pysähdy, näyttäisi liittyvän päivityksen jälkeiseen käynnistykseen ja oma mihinkään perustumaton epäilys on, että jos pfblocker ei olisi käytössä niin tuota ongelmaa ei ehkä olisi. Sen käynnistyminen päivityksen jälkeen kestää pitkään, kun se on käynnistynyt niin huomaan, että ubound on pysähtynyt.

 

[juhaa]

Yritän kiertää Prime Video geoblockia…
Täällä sanotaan, että kannattaa blokata Google DNS, mutta en kyllä edes tiedä miksi…

How to Set Up KeepSolid SmartDNS for iOS | Change DNS on iOS

Follow our step-by-step guide to set up KeepSolid SmartDNS for iOS ✔️ Browse the web and stream videos without any geo-restrictions ✔️ Best DNS for iPhone and iPad

www.keepsolid.com

Omassa pfsensessä System->Global(?) on Cloudflaren DNS käytössä, niin en ymmärrä mihin tuo perustuu, mutta joka tapauksessa miten tuo on paras hoitaa pfsensessä?
On tullu kokeiltua vaikka mitä VPN:ää ja SmartDNS:ssää, mutta ei vain toimi.

Enemmän ongelmista tämän threadin loppupuolella Amazon Prime Video

Edit: lisättäkööt sen verran, että en usko ongelman olevan pfsensen setupeissani, koska mikä toimii muilla ei tunnu toimi mulla edes 4g:llä.

 

[escalibur]

Nähtävästi arpwatch on päivittynyt versioon 0.2.0.6 History for net-mgmt/pfSense-pkg-arpwatch - pfsense/FreeBSD-ports

 

[McPaHa]

Moi!

Yhtään en ole nyt varma missä on vikaa mutta jossain

Modeemina Huawei Huawei 5G CPE Win H312-371 sillattuna. Pfsense 2.5.1 hoitaa dhcp:n, palomuuritoiminteet jne... ja sitten Asuksen wifiä AP-moodissa. Nyt eilisen jälkeen on nettiyhteys jämähtänyt totaallisesti (ja sitten palannut takaisin). Juuri odotan soittoa Elisalta mutta eikös tämä sitten ollutkin palautunut takaisin kun pääsin kotiin... Onko kenelläkään kokemuksia ko. mokkulasta sillattuna + pfsense?

Kiinnostaisi tietää missä kohtaa tämä vika tulee ja onko kyseessä joku kättelyongelma tms. pfsensen ja tuon Huawein välillä. Mitä asetuksia noin yleisesti kannattaisi tarkistaa pfsensestä kun se hoitaa dns-kyselyt ja dhcp-toiminteet?

 

[tohtori-no]

Moi!

Yhtään en ole nyt varma missä on vikaa mutta jossain

Modeemina Huawei Huawei 5G CPE Win H312-371 sillattuna. Pfsense 2.5.1 hoitaa dhcp:n, palomuuritoiminteet jne... ja sitten Asuksen wifiä AP-moodissa. Nyt eilisen jälkeen on nettiyhteys jämähtänyt totaallisesti (ja sitten palannut takaisin). Juuri odotan soittoa Elisalta mutta eikös tämä sitten ollutkin palautunut takaisin kun pääsin kotiin... Onko kenelläkään kokemuksia ko. mokkulasta sillattuna + pfsense?

Kiinnostaisi tietää missä kohtaa tämä vika tulee ja onko kyseessä joku kättelyongelma tms. pfsensen ja tuon Huawein välillä. Mitä asetuksia noin yleisesti kannattaisi tarkistaa pfsensestä kun se hoitaa dns-kyselyt ja dhcp-toiminteet?

ei auta hirveästi mutta pfsense + sama modeemi toiminut useamman kuukauden ongelmitta niinkuin se kuuluisa junan vessa. Itsellä tosin ubiquitin AP hoitaa wifiä. Toimiko verkko piuhalla kun ongelma oli päällä?

 

[McPaHa]

Noup... ei toimi piuhalla eikä wifillä... Ensimmäinen ajatus oli Asuksen Zenwifin joku ongelma mutta on vain AP tilassa.

Joskus aikaisemmin (vuosia sitten) oli jotain samantyyppistä haastetta joka jossain versiossa liittyi MTU-arvoon mutta sellaista ei ole esiintynyt pitkään aikaan. Ja ymmärtäisin paremmin (kun tänään päivällä vaimo soitti että netti on down (oli siis oikeasti usean tunnin koska Home Assistant ei toiminut)) että se myös pysyisi down. Kuitenkin kun tulin kotiin 17 jälkeen niin homma oli itsestään up&running ilman toimenpiteitä (joka viittaisi yhteysongelmaan Huaweissa mutta Elisalla ei ollut näkynyt mitään katkosta.

Oletko @tohtori-no kauan hinkkaillut pfsensen kanssa jos vertailtaisiin asetuksia? Kiitos anyway kommentista.

 

[escalibur]

pfBlockerNG päivittyi versioon 3.1.0

https://www.patreon.com/posts/55919257

pfBlockerNG-devel v3.1.0_0
A Pull Request has been submitted to the pfSense devs for review and approval.
pfBlockerNG-devel_3_1_0 by BBcan177 · Pull Request #1106 · pfsense/FreeBSD-ports

UPDATE 9-10-2021 - 1PM EST:
The following pull request has been approved and merged!
As per the pfSense Devs, it is available to be installed for the following pfSense versions:
CE 2.6.0 and 2.5.2
Plus 21.09 and 21.05.1
Note: For Unbound Python mode - Drive space issue:
There are two choices to have the new code take effect -
1) Disable DNSBL, Save, Force Update, Followed by re-enable of DNSBL,
Save, Force Update
or
2) Reboot
Then check drive space with
df -hm

CHANGELOG:

• Fix issue with Python mode drive space due to Unbound Chroot environment.
• Fix Unbound Mode logging of HTTPS domains (lighttpd regression)
• Avoid MaxMind dashboard notices when MaxMind key is not defined
• Improve clearing of tmp files on updates
• Move MaxMind key from pfBlockerNG -> pfBlockerNG-devel during package upgrades
• Remove DNSBL Unbound Python mode Beta status
• Add Abuse ThreatFox Feed
• Fix potential widget dashboard error for DNSBL/IP Clear setting is not defined
• Add IDN conversions for DNSBL Customlists - Redmine #11295
• Fix DNSBL Carp ADV skew - Redmine #11964
• Move variable declarations - Redmine #12330
• Other under-the-hood changes

 

[Bahamies]

Meinasin jo kirjoitella pitkän tarinan siitä miten rackin vaihdon yhteydessä onnistuin rikkomaan DNS resoluution täysin oman Opnsense routerin Unboundista. No, en saanut tuota ikinä ratkottua, mutta huomasin sitten tutkiessani, että Opnsenseen on nykyään myös AdGuardHome tuki. Pelittää hyvin ja nyt saa vihdoin jotain helppolukuista dataa blokkauksen määrästä.

Tässä viestissä step-by-step asennusohjeet. Vaikea mennä pieleen tuolla. Ainoa mainitsemisen arvoinen ero on se, että tuota Miscellaneous-valikkoa ei enää löydy Unbound DNS-valikosta Opnsensessä vaan sen tilalla on DNS over TLS.

Otin itse nyt ajoon saman tien ja hyvin näyttäisi toimivan DoT ja DNSSEC. Loistava plugin minulle, kun en jaksa lukea suoraan Unboundin kirjoittamaan logia.

 

[maninthemoon]

Tässä video missä hiukan perusteita pfsensestä ja hiukan syvempää reititystä ja konfigurointia VPN(PIA) tunnelia pitkin.

 

[Bahamies]

Tuossa edellisessä viestissä viittasinkin jo Unbound-ongelmiin ja nyt ne tietenkin ovat palanneet.

Jostain syystä routerin bootin jälkeen Unbound ei yksinkertaisesti toimi. Pingaamalla google.com löytyy vain suoraan routerin kautta, mutta LAN:ssa olevat laitteet eivät osoitetta löydä. Konfiguraatiossa en ole muuttanut mitään sitten viime viestin. Unbound vaan hajoilee satunnaisesti. Olen kokeillut sen jo asentaa uudestaankin useaan kertaan, mutta ei vaan toimi. Jo pelkästään Unboundin uudelleenkäynnistys tuntuu kestävän todella pitkään.

Olisiko vinkkejä tähän?

 

[mikajh]

Olisiko vinkkejä tähän

Kai sentään Service Watchdog -lisäosa on asennettu ja konffattu käynnistämään unbound uudelleen, kun se kaatuu

 

[Bahamies]

Kai sentään Service Watchdog -lisäosa on asennettu ja konffattu käynnistämään unbound uudelleen, kun se kaatuu

... Ei, mutta pitää asentaa. Tuolle olisi muutakin käyttöä, kiitos vinkistä.

Vika korjaantui. Unbound 1.13-versiossa on ollut bugeja DoT-ominaisuuksissa. Jos käytössä on ollut useampi DNS DoT-sivulla, niin tuo on johtanut Unboundin kaatuiluun. Poistin muutaman, niin kappas kummaa, heti toimii. Ilmeisesti vika ei ole korjautunut täysin tässä uusimmassakaan 1.13.2-versiossa.

 

[Pati]

Meinasin jo kirjoitella pitkän tarinan siitä miten rackin vaihdon yhteydessä onnistuin rikkomaan DNS resoluution täysin oman Opnsense routerin Unboundista. No, en saanut tuota ikinä ratkottua, mutta huomasin sitten tutkiessani, että Opnsenseen on nykyään myös AdGuardHome tuki. Pelittää hyvin ja nyt saa vihdoin jotain helppolukuista dataa blokkauksen määrästä.

Tässä viestissä step-by-step asennusohjeet. Vaikea mennä pieleen tuolla. Ainoa mainitsemisen arvoinen ero on se, että tuota Miscellaneous-valikkoa ei enää löydy Unbound DNS-valikosta Opnsensessä vaan sen tilalla on DNS over TLS.

Otin itse nyt ajoon saman tien ja hyvin näyttäisi toimivan DoT ja DNSSEC. Loistava plugin minulle, kun en jaksa lukea suoraan Unboundin kirjoittamaan logia.

Miten DNS over TLS:n saa toimimaan paikallisen Unboundin kanssa? Minulla on nyt käytössä DNS-palvelimena tuo adguard home ja upstream DNS:nä Unbound ja molemmat asenettuna samalle koneella kuin opnsense.

 

[Bahamies]

Miten DNS over TLS:n saa toimimaan paikallisen Unboundin kanssa? Minulla on nyt käytössä DNS-palvelimena tuo adguard home ja upstream DNS:nä Unbound ja molemmat asenettuna samalle koneella kuin opnsense.

Tuossa linkkaamassani ketjussa on ohjeet tuohon DoT:n käyttöön.

 

[Pati]

Tuossa linkkaamassani ketjussa on ohjeet tuohon DoT:n käyttöön.

Ei toiminut niillä ohjeilla eli lakkaa toimimasta DNS kokonaan, jos määrittää tuonne unboundin dns over tls -asetuksiin reittimen-ip-osoitteen ja portin 853

Ohjehan menee näin ulkoiselle DNS palvelulle

"Unbound DNS - Miscellaneous - DNS over TLS Servers: 1.1.1.1@853 1.0.0.1@853 "

 

[Bahamies]

Ei toiminut niillä ohjeilla eli lakkaa toimimasta DNS kokonaan, jos määrittää tuonne unboundin dns over tls -asetuksiin reittimen-ip-osoitteen ja portin 853

Ohjehan menee näin ulkoiselle DNS palvelulle

"Unbound DNS - Miscellaneous - DNS over TLS Servers: 1.1.1.1@853 1.0.0.1@853 "

Menitkö nyt varmasti ihan askel askeleelta nuo? Mitä porttia Unbound käyttää? Oletuksena se käyttää porttia 53 ja se pitää muuttaa, jos sitä aikoo käyttää AGH:n kanssa. Osoittaako Adguardin Upstream DNS Unboundiin? Kokeilitko alkuun Unboundin DoT-asetuksissa vain yhtä DNS-palvelinta? Useamman käyttö voi aiheuttaa ongelmia oman kokemuksen mukaan.

 

[Pati]

Menitkö nyt varmasti ihan askel askeleelta nuo? Mitä porttia Unbound käyttää? Oletuksena se käyttää porttia 53 ja se pitää muuttaa, jos sitä aikoo käyttää AGH:n kanssa. Osoittaako Adguardin Upstream DNS Unboundiin? Kokeilitko alkuun Unboundin DoT-asetuksissa vain yhtä DNS-palvelinta? Useamman käyttö voi aiheuttaa ongelmia oman kokemuksen mukaan.

• Menitkö nyt varmasti ihan askel askeleelta nuo?
  • Kyllä.
• Mitä porttia Unbound käyttää?
  • 5353
• Osoittaako Adguardin Upstream DNS Unboundiin?
  • Kyllä, osoittaa 127.0.0.1:5353
• Kokeilitko alkuun Unboundin DoT-asetuksissa vain yhtä DNS-palvelinta?
• En määritellyt kuin yhden
  • server-ip: 192.168.6.1 (opnsense IP)
  • server port: 5353
  • Verify CN: jätin tyhjäksi

ehkä joku päivä oma osaaminen on sillä tasolla että tämä ratkeaa, kiitokset avuista tähän saakka.

 

[MOS6510]

Haluan tässä omalta osaltani raportoida käyttäväni tylsää palomuuria. Tylsää, koska ainoa asia mitä tarvitaan tämän ylläpitämiseksi on kirjautuminen sisään muutaman kerran vuodessa ja "upgrade"-nappulan klikkaaminen.

Ja tuo tylsä ratkaisu on siis Sophos XG Home + Fitlet2.

Tämä yhdistelmä on ollut käytössä nyt päälle kolme vuotta asennettuna laitekaapin sisälle pieneen tilaan 1 Gbitin kuituliittymän taakse. Tuona aikana sitä ei ole asennettu kertaakaan uudelleen, se ei ole temppuillut, ei kaatunut eikä aiheuttanut mitään muutakaan päänvaivaa. Tänään Sophos XG päivittyy uusimpaan versioon 18.5.1 klikkaamalla yhtä nappulaa.

Myös VPN sisään on toiminut koko ajan moitteetta. Hyödynnän sitä useita kertoja viikossa Remote Desktopin käyttämiseen.

 

[Ogeli]

Ja tuo tylsä ratkaisu on siis Sophos XG Home

Tehnyt pitkään mieli kokeilla mutta ... tuonne joutuu rekisteröitymään tuleeko spämmiä ? vai kannattaako harkita jotain 10min.mail ratkaisua? sillon päivitykset?

 

[MOS6510]

Tehnyt pitkään mieli kokeilla mutta ... tuonne joutuu rekisteröitymään tuleeko spämmiä ? vai kannattaako harkita jotain 10min.mail ratkaisua? sillon päivitykset?

Tuonne rekisteröitymään:

Cybersecurity as a Service Delivered | Sophos

We Deliver Superior Cybersecurity Outcomes for Real-World Organizations Worldwide with a Broad Portfolio of Advanced Security Products and Services.

www.sophos.com

Yhtään meiliä en muista koskaan saaneeni Sophokselta.

Alle Fitlet2 + 8 GB RAM (ilmainen Home Edition on rajattu käyttämään vain 6 GB, joten 16 GB muistista ei ole iloa) ja riittävän iso kiintolevy. Fitlet2 BIOSista CSM-moodiin - asennuspaketti ei tue UEFIa. Muuta ihmeellistä tuossa ei ole.

 

[Ogeli]

Alle Fitlet2 + 8 GB RAM

Ajattelin kokeilla Lenovo pöytäkoneella dual core prossulla, onko tuo linux pohjainen vai....
Paljonko tarvitaan kovalevyä, ei taida mahtua 4G CF kortille?

 

[MOS6510]

Ajattelin kokeilla Lenovo pöytäkoneella dual core prossulla, onko tuo linux pohjainen vai....
Paljonko tarvitaan kovalevyä, ei taida mahtua 4G CF kortille?

Linux-pohjainen on. Tallentelee jonkin verran logeja, joten tarvitsee kestävän levyn ja levytilaa. Tuolla heidän palstallaan suositellaan minimissään 60 GB levyä. Itselläni on muistaakseni 120 GB SSD.

 

[dot1q]

oPnsensen kanssa set-it-and-forget-it opiskelut jatkuu. Konsolista on helppo palauttaa backuppi, jos vaikka onnistuu säätämään asetukset pieleen ja jokin ei toimi.
Nyt tässä jonkun puolenvuoden siivun olen vetänyt koskematta purkkiin. Oli aika puhaltaa pölyt pois ja katsoa päivitysten status. Päivitysten astentuminen automatic oli jäänyt version 21.7 julkaisun myötä jotenkin jumikseen. Tuo 21.7 on niin "iso" päivitys, että menee kerneliä myöden uusiksi ja zfs tuki tuli tähän.
Kokeilen josko sain ny jotenkin toimivammaksi tuon automaattisen päivitysten asentumisen. En hahmottanut tuota kovin vahvasti ekalla kerralla ja tulos näkyy. Tein tuohon vielä jobin jolla laite boottaisi ja päivittäisi päivitykset kerran kuussa. Saapa nähdä miten kävi.

Automatiikalle en tuota kernel päivitystä uskaltanut nyt jättää, joten 21.7 tuli käsin asennettua. i3-4160 jerkku on riittänyt 8 GB RAM kanssa sujuvasti ja 32 GB SSD:llä on vielä reippaasti tilaa jäljellä.

 

[ImBanned]

Tehnyt pitkään mieli kokeilla mutta ... tuonne joutuu rekisteröitymään tuleeko spämmiä ? vai kannattaako harkita jotain 10min.mail ratkaisua? sillon päivitykset?

Itsellä ollut XG varmaan 5-6 vuotta käytössä ja sitä ennen UTM eikä tule mitään spämmiä. Joskus tulee jotain kutsua joihinkin ilmaisiin Web-seminaareihin erilaisista uusista tietoturvauhista jotka olen kokenut ihan positiiviseksi. Ainoa mitä "joutuu" tekemään on muutaman kerran vuodessa manuaalipäivitys firmiksessä. Pari systeemiä on käynnissä; kotona ja mökillä.

Keväällä hankittu uudet raudat (ennen ALV-muutosta) Kiinasta. Topton-merkkisiä passiivituuletettuja purkkeja (i5-10210U, 8GB, 6xIntel LAN. SSD:t oli omasta takaa joten ilman niitä). Erinomaiset raudat kun keväällä maksoi noin 330e/kpl. Ei käy kuumana ja ne voi tarvittaessa ottaa vaikka työkäyttöön koska HDMI:t ja WLANit ja jopa SIM-paikka sekä kaksi sarjaporttia, ja vielä 4x USB3. Nyt maksaa huomattavasti enemmän jos ei ole ALV-tunnusta. Ostin nämä koska niissä on puhtia, ovat täysin äänettömät ja ne nousee ylös itse jos virrat katkeaa ja mökillä joskus isoissa myrskyissä tuntuu olevan sähköverkon stabiiliuden kanssa hetken ongelmia kun on ilmajohdot.

 

[MOS6510]

Keväällä hankittu uudet raudat (ennen ALV-muutosta) Kiinasta. Topton-merkkisiä passiivituuletettuja purkkeja (i5-10210U, 8GB, 6xIntel LAN. SSD:t oli omasta takaa joten ilman niitä). Erinomaiset raudat kun keväällä maksoi noin 330e/kpl. Ei käy kuumana ja ne voi tarvittaessa ottaa vaikka työkäyttöön koska HDMI:t ja WLANit ja jopa SIM-paikka sekä kaksi sarjaporttia, ja vielä 4x USB3. Nyt maksaa huomattavasti enemmän jos ei ole ALV-tunnusta. Ostin nämä koska niissä on puhtia, ovat täysin äänettömät ja ne nousee ylös itse jos virrat katkeaa ja mökillä joskus isoissa myrskyissä tuntuu olevan sähköverkon stabiiliuden kanssa hetken ongelmia kun on ilmajohdot.

Tuo on tarpeettoman kallis ja tehokas laite Fitlet2:een nähden. Fitlet2 riittää hyvin saturoimaan palomuurikäytössä gigabitin linkin ja maksaa $176 + rahti + verot ilman muisteja ja levyä. Fitlet2 on hyvin pieni ja passiivisena menee erinomaisesti pieneen laitekaappiin. Tuohon saa lisävarusteena myös "mini UPSin", jollainen minulla myös on. Menee näppärästi samaan laitekaappiin:

fit-Uptime – UPS for mini-PC

fit-Uptime is a UPS for mini-PCs

www.fit-pc.com

Fitlet3 on näkyy muuten olevan "coming soon". Luulen, että ko. laite on päivitetty uusimpaan Atom-prosessoriin, joka on noin 50% nopeampi kuin J3455, mutta edelleen 10W tehoinen. Kuvan pohjalta näyttää aivan samankokoiselta kuin Fitlet 2.

fitlet3

Intel® Elkhart Lake x6000E Atom processor Up to 4x Gigabit Ethernet ports NVMe + SATA, dual storage Optional Wi-Fi/BT + LTE/5G modem Optional Isolated serial + GPIO ports 9V – 42V DC power input VESA / DIN

fit-iot.com

 

[iccb]

Fitlet2 on kyllä pop. Itse myin omani pois muutama vuosi sitten, voipi olla että täytyy odotella tuota fitle3:a jos siitä sais itelle konetta..
Kauanko toi fit-uptime pitää fitletin virroissa?

 

[MOS6510]

Fitlet2 on kyllä pop. Itse myin omani pois muutama vuosi sitten, voipi olla että täytyy odotella tuota fitle3:a jos siitä sais itelle konetta..
Kauanko toi fit-uptime pitää fitletin virroissa?

En ole kokeillut, mutta ihan taskulaskimella laskettuna jotain 2-3 tuntia. Käytännössä varmasti sen 3 tuntia, sillä sähkökatkon aikaan muurista ei mene muutoinkaan mitään läpi ja sen kuormitus on minimaalinen.

 

[ImBanned]

Tuo on tarpeettoman kallis ja tehokas laite Fitlet2:een nähden. Fitlet2 riittää hyvin saturoimaan palomuurikäytössä gigabitin linkin ja maksaa $176 + rahti + verot ilman muisteja ja levyä. Fitlet2 on hyvin pieni ja passiivisena menee erinomaisesti pieneen laitekaappiin. Tuohon saa lisävarusteena myös "mini UPSin", jollainen minulla myös on. Menee näppärästi samaan laitekaappiin:

fit-Uptime – UPS for mini-PC

fit-Uptime is a UPS for mini-PCs

www.fit-pc.com

Fitlet3 on näkyy muuten olevan "coming soon". Luulen, että ko. laite on päivitetty uusimpaan Atom-prosessoriin, joka on noin 50% nopeampi kuin J3455, mutta edelleen 10W tehoinen. Kuvan pohjalta näyttää aivan samankokoiselta kuin Fitlet 2.

fitlet3

Intel® Elkhart Lake x6000E Atom processor Up to 4x Gigabit Ethernet ports NVMe + SATA, dual storage Optional Wi-Fi/BT + LTE/5G modem Optional Isolated serial + GPIO ports 9V – 42V DC power input VESA / DIN

fit-iot.com

Filee2:n hinta näyttäisi olevan J3455-prossulla $162 ilman muisteja, SSD:tä ja WLAN:ia yms. Siihen kun lisää 8GB muistia (luokkaa $40) niin ollaan noin $200 hinnassa johon rahti luokkaa $20 ja siihen vielä ALV24% päälle niin ollaan noin hinnassa $270 eli noin 230€ hinnassa. Ja minä maksoin noista 330e kpl. Hintaero on satku eli pieni. Ja jos katsotaan että 6kpl intelin LAN-portteja ja sarjaportit sekä 4K-HDMI portti sekä erityisesti tehokas prossu joka on tämän ja tämän mukaan noin 3-5 kertaa nopeampi kun J3455 niin mielestäni tuo Topton ainakin oli suhteessa todella edullinen !! Ei jää palomuurin VPN:n kryptausteho prossusta kiinni. Sophos XG ei takkua yhtään tällä laitteella isommassakaan kuormassa.

Atom-sarjalaisista minulla on huonoja kokemuksia joten niitä en halua.

Fyysistä kokoa on toki jonkin verran enemmän (noin puolikas A4-arkki eli A5) mutta täysmetallikotelossa on ruuvit että voi kiinnitää seinään. Ja siis fanless eli ei liikkuvia osia.

Ja näyttäisi tuo 10210U vievän 15W tehoa joten ei se 10W:n Atomista paljoa kuitenkaan poikkea.

Ja suurin syy oli se että jos osoittautuu liian "isoksi" tuohon tarkoitukseen niin tuosta saa oivallisen 24/7-purkin pyörittämään vaikka ja mitä. Muistiakin voi lisätä vähintään 32GB asti jos on tarvetta.

Tuon UPSin kanssa on mielenkiintoista se että jos virrat lähtee kämpästä niin yleensä on sitten pimeänä kaikki infran laitteet kuten kytkimet ja modeemit ja itse tietokoneet joten jos pelkkä palomuuri jää ruksuttamaan ei ole kyllä oikeasti mitään lisäarvoa. Tuo topton nousee automatic ylös yhtä nopeasti kun omat isot 52-reikäiset 10G kytkimet joten silläkään ei ole sinänsä lisäarvoa. Ainoastaan jos muurin SSD sekoaa yht'äkkisestä virran katkeamisesta.

 

[Barbarossa]

Henkilökohtaisesti jätän nämä fittanit ja kiinanmaan minikoneet jatkossa ostamatta. Yhden sellaisen ostin korvaamaan RasPIa Home Assistantin pyörittämisessä, ja aikaisemmin oli PCEngines APU2D4 reitittimenä. Jonkin aikaa kuolailin Yanlingin 6xLAN purkkia i5-prossulla mutta onneksi tulin järkiini. Mopoprossullisenakin hinta on luokkaa satasia, tuolla kunnollisella prossulla useita satasia.

Lisäksi mitään varaosia ei juurikaan saa kun kaikki on ympätty yhteen piirilevyyn ja on pitkälti proprietarya. Verkkopiirinä i210AT jos hyvin käy, monesti i211AT eikä spekseistä varsinkaan kiinanroskassa aina käy ilmi että kumpiko siinä on kun ilmoitetaan molemmat. Tietysti jos se on pakko saada mahtumaan kämpän sähkökaappiin, tai on muuten fetissi ovikiilan kokoisiin passiivikoneisiin niin vaihtoehdot on vähissä.

Oma ratkaisu reititin/palomuurikäyttöön APU2D4:n korvaajaksi oli ostaa käytetty yrityskone SFF-formaatissa, riittävän suuri että siinä on tilaa yhdelle low profile PCIe kortille, 199.90e. i5-4570, 8GB muistia ja (uusi) 240GB SSD. Siihen eBayn kautta Saksasta käytetty Fujitsun i350-T4 verkkokortti 46e.

 

[MOS6510]

Filee2:n hinta näyttäisi olevan J3455-prossulla $162 ilman muisteja, SSD:tä ja WLAN:ia yms. Siihen kun lisää 8GB muistia (luokkaa $40) niin ollaan noin $200 hinnassa johon rahti luokkaa $20 ja siihen vielä ALV24% päälle niin ollaan noin hinnassa $270 eli noin 230€ hinnassa. Ja minä maksoin noista 330e kpl. Hintaero on satku eli pieni. Ja jos katsotaan että 6kpl intelin LAN-portteja ja sarjaportit sekä 4K-HDMI portti sekä erityisesti tehokas prossu joka on tämän ja tämän mukaan noin 3-5 kertaa nopeampi kun J3455 niin mielestäni tuo Topton ainakin oli suhteessa todella edullinen !! Ei jää palomuurin VPN:n kryptausteho prossusta kiinni. Sophos XG ei takkua yhtään tällä laitteella isommassakaan kuormassa.

En keksi mitä hyötyä palomuurissa on useammasta kuin kahdesta tai kolmesta Ethernet-portista. 4K-HDMI tuosta Fitletistä löytyy. Sarjaportteja pidän myös täysin tarpeettomana.

Fitlet 2 kykenee noin 900 Mbitin palomuurin läpäisykykyyn ja VPN:n yli menee dataa palomuurin takana olevalle NASille noin 45 Mbitin nopeudella. En keksi mihin tarvitsen enempää.

Fyysistä kokoa on toki jonkin verran enemmän (noin puolikas A4-arkki eli A5) mutta täysmetallikotelossa on ruuvit että voi kiinnitää seinään. Ja siis fanless eli ei liikkuvia osia.

Olennaista itselleni on laitteen asennettavuus pienen laitekaapin sisälle. Fitlet2 mahtuu sinne hienosti, yhtään suurempi ei mahtuisi.

Ja suurin syy oli se että jos osoittautuu liian "isoksi" tuohon tarkoitukseen niin tuosta saa oivallisen 24/7-purkin pyörittämään vaikka ja mitä. Muistiakin voi lisätä vähintään 32GB asti jos on tarvetta.

Itselläni on toinen Fitlet2 Windows 10 Remote Desktop-koneena VMWaren päällä 16 GB:n muistilla. Hyvin riittää tähänkin käyttöön.

Tuon UPSin kanssa on mielenkiintoista se että jos virrat lähtee kämpästä niin yleensä on sitten pimeänä kaikki infran laitteet kuten kytkimet ja modeemit ja itse tietokoneet joten jos pelkkä palomuuri jää ruksuttamaan ei ole kyllä oikeasti mitään lisäarvoa. Tuo topton nousee automatic ylös yhtä nopeasti kun omat isot 52-reikäiset 10G kytkimet joten silläkään ei ole sinänsä lisäarvoa. Ainoastaan jos muurin SSD sekoaa yht'äkkisestä virran katkeamisesta.

Fit Uptimen idea onkin pitää itse palomuuri pystyssä, jotta mm. levy ei mene sekaisin kaatuessa. Se maksaa vain $39 ja on ylivoimaisesti halvin UPS mitä voit mistään hankkia. Fitlet2 pysyy tällä pystyssä noin 3 tuntia, kun normaali verkkovirtaUPS pitää sen takana olevan koneen käynnissä vain kymmeniä minuutteja.

 

[kromo]

Oma ratkaisu reititin/palomuurikäyttöön APU2D4:n korvaajaksi oli ostaa käytetty yrityskone SFF-formaatissa, riittävän suuri että siinä on tilaa yhdelle low profile PCIe kortille, 199.90e. i5-4570, 8GB muistia ja (uusi) 240GB SSD. Siihen eBayn kautta Saksasta käytetty Fujitsun i350-T4 verkkokortti 46e.

Ja parhaimmillaan näitä saa noukkia firmojen SER-rullakoista/lavoilta ilmaiseksi, sopivan muistin, verkkokortin ja SSD:n joutuu ehkä hankkimaan jossei rungon mukana tule tai itsellä ole valmiina. Oma palomuurikone vietti juuri 9v synttäreitään...

 

[Weijo100]

Ja parhaimmillaan näitä saa noukkia firmojen SER-rullakoista/lavoilta ilmaiseksi, sopivan muistin, verkkokortin ja SSD:n joutuu ehkä hankkimaan jossei rungon mukana tule tai itsellä ole valmiina. Oma palomuurikone vietti juuri 9v synttäreitään...

OK. Tuon vois tehdä. Miten noi firmat suhtautuu jos käy tsekkaa rullakot? Varmaan yksityiskäyttöön hyvää matskua.

 

[ImBanned]

OK. Tuon vois tehdä. Miten noi firmat suhtautuu jos käy tsekkaa rullakot? Varmaan yksityiskäyttöön hyvää matskua.

Tuossa on muutama ongelmakohta:
1) Parhaat koneet menee sisäiseen kierrätykseen kuten talousosaston tehokkaat numeromurskaimet toimistokäyttöön ja tehokkaat toimistokoneet tuotantokoneiden viereen
2) Poistettavista koneista firman johto yleensä "varaa" ne huippuyksilöt "asevelihintaan" itselleen tai lähipiirilleen. Ne koneet on korvamerkittyjä jo firmaan tullessaan.
3) Työntekijät ottaa kotiinsa/sukulaisille/kavereille ne hyvät yksilöt jotka johto ei ole jo ottanut
4) IT:n arvon tuntevat työntekijät ottavat ne joilla on kokonaisuutena tai osina jotain arvoa ja tekevät niillä "pienen palkan lisää"
5) Firmoissa on melkein kaikki koneet ns. merkkikoneita joilloin niistä ei kunnolla saa mitään käyttökelpoista koska ne on tunnetusti paketteja jotka ovat mahdollisimman epäsopivia muiden kanssa
6) Nykyään tuntuu olevan trendi että firmoissa joissa koneet vaihtuu tiuhaan ne on leasingkoneita ja ne menee takaisin liisarille joka rahastaa niistä max. summat käytettyjen markkinoilla
7) Kun sitten loput raakit poistetaan on niillä tolkuttomat käyttötunnit ja pölyä täynnä joten kovalevyjen tunnit on täynnä ja virtalähteet viittävaille valmiita

Mikään järkevä firma ei heitä jätelavalle mitään sellaista joilla on jotain käyttö- tai synergia-arvoa. Jos on suhteita niin sitten kyllä niitä järjestyy.

Romulavalle päätyy ne joilla oikeasti ei ole enää muuta kun museoarvoa tai ne jotka on oikeasti kunnolla rikki. Ja niistäkin on käyttökelpoiset osat riisuttu, kuten vaikka muistit.

 

[Algron28]

Eikös nuo pöytäkoneetkin pikkuhiljaa ole vähentyneet yrityksissä kun ne on korvaantuneet monesti läppärillä ainakin toimistotyöntekijöiden kohdalla. Tai ainakin omasta mielestä näitä käytettyjä yritys pöytäkoneita tuntuu liikkuvan vähemmän kuin ennen.

 

[MOS6510]

Ja parhaimmillaan näitä saa noukkia firmojen SER-rullakoista/lavoilta ilmaiseksi, sopivan muistin, verkkokortin ja SSD:n joutuu ehkä hankkimaan jossei rungon mukana tule tai itsellä ole valmiina. Oma palomuurikone vietti juuri 9v synttäreitään...

Se sinun vanha SER-jätekone tulee vuosien aikana huomattavan paljon kalliimmaksi kuin esimerkiksi Fitlet2 jo pelkästään sähkönkulutuksen vuoksi. Tuollainen vanha pöytäkone vie todennäköisesti vähintään 60W jatkuvasti: 60 x 8760 x 0,12 eur = 63 eur vuodessa. Tuo koneesi on 9 vuodessa vienyt pelkästään sähköä jo parin Fitletin kalustetun hinnan verran. Toki osa tuosta osuu lämmityskauteen, joten tilanne ei ole käytännössä noin lohduton.

 

[Ogeli]

Se sinun vanha SER-jätekone tulee vuosien aikana huomattavan paljon kalliimmaksi kuin esimerkiksi Fitlet2 jo pelkästään sähkönkulutuksen vuoksi. Tuollainen vanha pöytäkone vie todennäköisesti vähintään 60W jatkuvasti: 60 x 8760 x 0,12 eur = 63 eur vuodessa. Tuo koneesi on 9 vuodessa vienyt pelkästään sähköä jo parin Fitletin kalustetun hinnan verran. Toki osa tuosta osuu lämmityskauteen, joten tilanne ei ole käytännössä noin lohduton.

Ja jos jatkais niin myös lämmöntuotto on ongelma, näitä ei saa toimimaan passivisena eli propellit vaativat huoltoa.
Tosin uudemmat <5v koneet toimivat jo selkeesti alle 20W teholla joka on jo lähellä dedikoitua konetta.
Prossun TDP arvosta saa hyvin osviittaa, tosin esim. piirisarja ja powerin hyötysuhde vaikuttaa.

SER verkkokortit on suomessa vähän kiven alla.

 

[kromo]

Se sinun vanha SER-jätekone tulee vuosien aikana huomattavan paljon kalliimmaksi kuin esimerkiksi Fitlet2 jo pelkästään sähkönkulutuksen vuoksi.

E8200SFF + Procurve 2610-24 + RT-AC66u vievät yhteensä nyt mittarin mukaan 63,9W. Sähkön kokonaiskulutuksen osalta tuo on pisara meressä. Kahden sähköliittymän pelkät perusmaksut kuukaudessa vievät jo enemmän kuin tuo SER-kasa vuodessa.

 

[dot1q]

Olipas kuuma aamu. CPU 55' aamu kuudesta saakka. Opnsensen 21.7._ alkuversiossa oli jokunen servicen muistivuoto tms ja sen vuoksi yksi palvelu oli kipannut. Jatkuva CPU käyttö 26% tasolla. En jaksanut tarkemmin tutkia, ilmeisesti nyt sitten oli asentunut automatic viiden nurkilla päivityksiä. Tuo teki sen yhden servicen osalta hikan ja buutilla korjautui.

Nyt tämä perillä ja alkaa jäähdytys viiletä. Enää 50C' kun normaalisti jossain 41C' nurkilla.

OPNsense 21.7.3_3-amd64
FreeBSD 12.1-RELEASE-p19-HBSD
OpenSSL 1.1.1l 24 Aug 2021

Ajossa mahdollisimman vähän erilaisia palveluita, bufferbloatin estämiseksi lähinnä tuo WAN linkin trafficshaping käytössä kahdella jonolla. Tätä ohjetta mukaillen.. tein tosin myös outbound puolelle kaksi jonoa. Ja laskin kaavan avulla oman yhtyden nopeutta vastaavat arvot Fd_Qodel(quantum) kenttiin.
Lisäksi seuraan graafeina paikallisesti porttien nopeuksia jne. VPN oli käytössä, mutta servicen osoittaminen vaihtuneeseen WAN iippariin jäi toistaiseksi mysteeriksi, miten sen saa osumaan kohdalleen (lähinnä vpn clientin profiilissa). Joten VPN on pois päältä parhaillaan.

Improve your BufferBloat with Traffic Shaping in Opnsense with IPv6

How to configure Traffic Shaping also under IPv6 and additionally improve BufferBloat

maltechx.de

Bloat testi ;
<a href="Speed test result"><img src="http://www.dslreports.com/speedtest/69733980.png"></a>