Tee-se-itse: Rautapalomuurit (pfSense, Sophos UTM..) (Mitä käytätte ja miksi juuri se vaihtoehto?)

Onko kyseessä vain väärässä järjestyksessä olevat paketit tai vastauksia yhteyksiin jotka on jo loppuneet, jolloin ne kuuluukin tiputtaa pois? Nuo ip osoitteet vain vaikuttavat olevan sellaisia, että ei pitäisi kumpaakaan löytyä tuosta vierailijat verkosta. Oletko niitä selvittänyt, että mistä nuo ovat, onko kohteena tuo 10.200.200.250 ja löytyykö sitä omasta verkosta?
Nyt tuntuu vähän typerältä, just tuolla vierailijaverkon ainoassa clientissa on toinen nattaus ja se jakaa näemmä juuri 10.200.200.0/24 -sarjan osoitteita. Mitä noi TCP:RA ja TCP:FA -sarjan paketit ovat tarkalleen ja onko niiden päätymisestä natin läpi alkuperäisellä osoitteellaan harmia?
 
Nyt tuntuu vähän typerältä, just tuolla vierailijaverkon ainoassa clientissa on toinen nattaus ja se jakaa näemmä juuri 10.200.200.0/24 -sarjan osoitteita. Mitä noi TCP:RA ja TCP:FA -sarjan paketit ovat tarkalleen ja onko niiden päätymisestä natin läpi alkuperäisellä osoitteellaan harmia?
Nyt mietityttää tuo verkon rakenne. Miksi vierailijat verkossa on laite joka tekee osoitteenmuutoksen?
Mielestäni kannattaisi luoda uusi vlan johon pfsense jakaa haluamasi osoitteet dhcp:llä.

Nuo estetyt paketit on mielestäni vastauksia yhteyksiin joita ei enää ole, joten ovat virheellisiä ja ne tiputetaan pois. Verkkohaku antaa monia mahdollisia syitä, mutta yleensä ovat harmittomia, perehdy itse lisää.
 
Viimeksi muokattu:
Mitä noi TCP:RA ja TCP:FA -sarjan paketit ovat tarkalleen
Ne ovat TCP-protokollan paketteja, joissa on päällä erinäisiä lippuja: ACK, FIN ja RST. Logishotin perusteella palomuuri on ne blokannut. Onko tarkoituksena sallia https/internetyhteys 10.200.200.0/24:stä vai estää se?
 
Fitlet 3 on nyt tilattavissa. Fitlet on pieni, passiivinen PC, joka on kenties paras mahdollinen laite kotipalomuurin raudaksi. Uuteen Fitlet 3:een saa parhaimmillaan Intel Atom x6425E-prosessorin, joka on teholtaan noin kaksinkertainen aikaisemman Fitlet 2:n J3455-prosessoriin verrattuna (ja sivuhuomautuksena myös Fitlet 2 toimii moitteetta 1 Gbitin kuituliittymän palomuurina).

Barebone ilman muisteja ja levyä maksaa $246: fitlet3 – build-to-order – fit IoT (fit-iot.com)
Kokonaishinnaksi toimituksella, TPM-modulilla ja lisä-Ethernet-porteilla tulee $326.63 (eli päivän kurssilla noin 286 eur). Tuohon tullit päälle - ja NVMe-levy sekä muistikampa, jotka kannattanee tilata täältä Suomesta.

Lisätietoja:
fit IoT – Fanless IoT Technology by Compulab (fit-iot.com)
fitlet3 specifications – fit IoT (fit-iot.com)

PS. Kohta on yksi Fitlet 2 kaupan.
 
Viimeksi muokattu:
Fitlet 3 on julkaistu. Fitlet on pieni, passiivinen PC, joka on kenties paras mahdollinen laite kotipalomuurin raudaksi. Uuteen Fitlet 3:een saa parhaimmillaan Intel Atom x6425E-prosessorin, joka on teholtaan noin kaksinkertainen aikaisemman Fitlet 2:n J3455-prosessoriin verrattuna (ja sivuhuomautuksena myös Fitlet 2 toimii moitteetta 1 Gbitin kuituliittymän palomuurina).

Barebone ilman muisteja ja levyä maksaa $246: fitlet3 – build-to-order – fit IoT (fit-iot.com)
Kokonaishinnaksi toimituksella, TPM-modulilla ja lisä-Ethernet-porteilla tulee $326.63 (eli päivän kurssilla noin 286 eur). Tuohon tullit päälle - ja NVMe-levy sekä muistikampa, jotka kannattanee tilata täältä Suomesta.

Lisätietoja:
fit IoT – Fanless IoT Technology by Compulab (fit-iot.com)
fitlet3 specifications – fit IoT (fit-iot.com)

PS. Kohta on yksi Fitlet 2 kaupan.

Itseasiassa, ihan mukava päivitys fitlet2:n verrattuna. Varsinkin ssd:n lisäys on paljon helpompaa nyt, tai siis valikoimaa on paremmin. Tekeekö tuolla TPM-moduulilla jotain pfsense käytössä?
 
Itseasiassa, ihan mukava päivitys fitlet2:n verrattuna. Varsinkin ssd:n lisäys on paljon helpompaa nyt, tai siis valikoimaa on paremmin. Tekeekö tuolla TPM-moduulilla jotain pfsense käytössä?
Ei varmaan, mutta ajattelin hommata sen siltä varalta, että asennan tuohon joskus Windows 11:n. Kun se ei maksa kuin sen $6.
 
Fitlet 3 on nyt tilattavissa. Fitlet on pieni, passiivinen PC, joka on kenties paras mahdollinen laite kotipalomuurin raudaksi. Uuteen Fitlet 3:een saa parhaimmillaan Intel Atom x6425E-prosessorin, joka on teholtaan noin kaksinkertainen aikaisemman Fitlet 2:n J3455-prosessoriin verrattuna (ja sivuhuomautuksena myös Fitlet 2 toimii moitteetta 1 Gbitin kuituliittymän palomuurina).

Barebone ilman muisteja ja levyä maksaa $246: fitlet3 – build-to-order – fit IoT (fit-iot.com)
Kokonaishinnaksi toimituksella, TPM-modulilla ja lisä-Ethernet-porteilla tulee $326.63 (eli päivän kurssilla noin 286 eur). Tuohon tullit päälle - ja NVMe-levy sekä muistikampa, jotka kannattanee tilata täältä Suomesta.

Lisätietoja:
fit IoT – Fanless IoT Technology by Compulab (fit-iot.com)
fitlet3 specifications – fit IoT (fit-iot.com)

PS. Kohta on yksi Fitlet 2 kaupan.
Toi hinta on ilman ALV:tä eikös se tuu kanssa tuohon päälle? Nuo tulee muistaakseni Israelista ja ainakin Fitlet2 kohdalla postikulut oli järkyttävät +50e muistaakseni. Tilasin itse Wintelin kautta niin homma oli kohtuu järkevää.
 
Toi hinta on ilman ALV:tä eikös se tuu kanssa tuohon päälle? Nuo tulee muistaakseni Israelista ja ainakin Fitlet2 kohdalla postikulut oli järkyttävät +50e muistaakseni. Tilasin itse Wintelin kautta niin homma oli kohtuu järkevää.
Niin, tuossa 286 eurossa on postikulut mukana. Tulli + alv tulee toki päälle.
 
Niin, tuossa 286 eurossa on postikulut mukana. Tulli + alv tulee toki päälle.

Ei ihan ilmainen laitos kyllä ole, vajaa 400€ tai yli, riippuen mitä herkkuja ruksii. Toki virtapihi on, mutta Fitlet2sta tulee varmasti uuden julkaisun jälkeen myyntiin paljon. Se ei huono vaihtoehto ole.
 
Ei ihan ilmainen laitos kyllä ole, vajaa 400€ tai yli, riippuen mitä herkkuja ruksii. Toki virtapihi on, mutta Fitlet2sta tulee varmasti uuden julkaisun jälkeen myyntiin paljon. Se ei huono vaihtoehto ole.
Kieltämättä tuo pitkälle yli 300€ menevä hintä vesittää koko hyödyn esim Shuttle DS10U:hun nähden ellei tässä haeta virtapiheyttä ja pientä fyysistä kokoa hinnalla millä hyvänsä. Shuttlen eduksi vielä takuut voi hoitaa suomalaisen liikkeen kanssa, kun fitletin kohdalla voi mennä melkoiseksi säätämiseksi mukaan lukien takuuprosessin keston.
 
Kieltämättä tuo pitkälle yli 300€ menevä hintä vesittää koko hyödyn esim Shuttle DS10U:hun nähden ellei tässä haeta virtapiheyttä ja pientä fyysistä kokoa hinnalla millä hyvänsä. Shuttlen eduksi vielä takuut voi hoitaa suomalaisen liikkeen kanssa, kun fitletin kohdalla voi mennä melkoiseksi säätämiseksi mukaan lukien takuuprosessin keston.

Ostin reilu vuosi sitten tämän 199€, symmetrisen gigabitin nettiyhteyden perään:


ja tuohon matalan 4-porttisen NICin Ebaystä muutamalla kymppillä. OPNSense pyörimässä, virrankulutus 60W. Ongelmia ei ole toistaiseksi ollut (koputtaa puuta).
 
Viimeksi muokattu:
Ostin reilu vuosi sitten tämän 199€, symmetrisen gigabitin nettiyhteyden perään:


ja tuohon matalan 4-porttisen NICin Ebaystä muutamalla kymppillä. OPNSense pyörimässä, virrankulutus 60W. Ongelmia ei ole toistaiseksi ollut (koputtaa puuta).

Täälläkin on Dellin vastaava pönttö ja eBaystä i350-T4 low profile kortti. Virrankulutusta en ole mittaillut mutta luultavasti samoissa lukemissa.

Onhan tuo luokkaa 6-8x jonkun atomimopon kulutuksesta mutta hankintahinnan erolla ostaa vielä nykyhinnoillakin jokusen kilowattitunnin sähköä.
 
Täälläkin on Dellin vastaava pönttö ja eBaystä i350-T4 low profile kortti. Virrankulutusta en ole mittaillut mutta luultavasti samoissa lukemissa.

Onhan tuo luokkaa 6-8x jonkun atomimopon kulutuksesta mutta hankintahinnan erolla ostaa vielä nykyhinnoillakin jokusen kilowattitunnin sähköä.

Ihan käypiä koneita palomuurikäyttöön, jos olisi vielä jaksanut etsiä enemmän, olisi varmaan saanut halvemmallakin. Tehoja ihan liikaa, mutta muutaman vuoden vanha kone, joten en usko että ihan heti heittää veivinsä. Omaan saman NICin, sai hetken etsiä että löysi aidon, paljon on kiinanpoijjan mallia myynnissä.
 
virrankulutus 60W
Kuulostaa suurelta , mulla vastaavissa HP koneissa idle n15-20w.
Tekeillä joku Lenovo SFF jolla toivon pääseväni 10w idle tehoon.
Koneet kaupungin poistoja pentium prossulla.
Propeleista kun pääsis eroon niin nämä desktopit on oivia reititin koneita ;)
 
Ostin reilu vuosi sitten tämän 199€, symmetrisen gigabitin nettiyhteyden perään:


ja tuohon matalan 4-porttisen NICin Ebaystä muutamalla kymppillä. OPNSense pyörimässä, virrankulutus 60W. Ongelmia ei ole toistaiseksi ollut (koputtaa puuta).
Mikäänhän ei tietenkään hinnallisesti voita SER-jätettä kierrätettynä. Tuo Fitlet vie sähköä 10 W teholla, joten siihen nähden tämä vanha Prodesk kuluttaa esimerkiksi 15 snt/kWh-hinnalla sähköä noin 66 euron edestä enemmän vuodessa. Eli Fitlet maksaa itsensä takaisin muutamassa vuodessa pelkkänä sähkönä.
 
Kuulostaa suurelta , mulla vastaavissa HP koneissa idle n15-20w.
Tekeillä joku Lenovo SFF jolla toivon pääseväni 10w idle tehoon.
Koneet kaupungin poistoja pentium prossulla.
Propeleista kun pääsis eroon niin nämä desktopit on oivia reititin koneita ;)
Mikäänhän ei tietenkään hinnallisesti voita SER-jätettä kierrätettynä. Tuo Fitlet vie sähköä 10 W teholla, joten siihen nähden tämä vanha Prodesk kuluttaa esimerkiksi 15 snt/kWh-hinnalla sähköä noin 66 euron edestä enemmän vuodessa. Eli Fitlet maksaa itsensä takaisin muutamassa vuodessa pelkkänä sähkönä.

Piti ihan käydä tarkistamassa mitä tuon wattimittarin perässä on ja olin kytkenyt siihen myös NASsin, eli Prodesk 400 G3 + HPE Gen10 Microserver 4x3.5" levyillä. Idlenä kulutus 60W ja kun sammutin NASsin, jäi mittariin 30W. Eli ei se palomuuri nyt niin paljon kulutakaan mitä eka arvelin. Vaikka olisi se 60W, palomuurin sähkölasku olisi silti alle 80€ vuodessa, ei oma talous tuohon nyt ainakaan kaatuisi.
 
Tarkistin niin tuo oma pfSense Shuttle DS77U vie 7.6 - 8.2W idlessä.

Intel Kabylake-U Celeron 3865U
Pari muistikampaa
Pari levyä (M2 ja SSD)

Mittarina joku Belkin.
 
Noi shuttet olisi kyllä hyviä pelejä, mutta kun ei saa kiinni verkkokorttia niin ei omassa käytössä pelaisi..
Siinä mielessä fitlet 4 lan portilla on kyllä hyvä. Toisia on sitten Qotomit aliexpressistä, mutta hintaa tulee niillekkin..
 
Jotain watteja/lämpöjä pystyy vähentämään laittamalla pfSensessä PowerD asetuksen päälle. Olikohan tuo Intelin prossussa EIST ominaisuus tms.
Kun hommasin tuon Shuttlen niin mulla oli tuo pois käytössä pitkään ennen kuin huomasin laittaa sen päälle.

Kellot tippuu prossussa kun tehoja ei tarvita.

1644336284843.png
 
Viimeksi muokattu:
Olen tässä miettimässä pfsensen rakentelua nykyisen Asuksen wifi purkin tilalle. Tällä hetkellä kuitu tulee sisään => kuitumuunnin => kuitureititin siltaavana => Asuksen wifi reitin joka on hoitanut myös palomuurin virkaa. Ajatuksissa on ollut ostaa tuohon Asuksen paikalle Ubiquitin Edgerouter X:ää jne, mutta saatavuus on erittäin huonoa. Tällä hetkellä budjettimallin pfsense ratkaisu mielessä, että saisi varmasti hyvän palomuurin tuohon väliin.

Ajatuksena siis tilata Fujitsun s920 minitietokone + 4-porttinen verkkokortti + riser kortti edelliselle, jolloin saisi 4-porttisen pfsense ratkaisun. Ehkä hieman halvemmaksi tulisi ostaa joku halpa sff kone, niin ei tarvitsisi riser korttia ostaa jne, mutta virrankulutus on tehojen myötä isompi.

Lähinnä tuossa pfsensessä tulee mieleen, että jos ostan 4-porttisen verkkokortin, niin pystyykö jokaiselle portille määrittelemään eri säännöt? Eli pystyisin esim. yhden portin ohjata pelkälle sisäverkolle, toisen vaikka valvontakameroille, kolmannen raspberrylle jne? Blokkaako pfsense oletusarvoisesti kaiken, eli sääntöjä joutuu luomaan melkoisen määrän..?
 
Blokkaako pfsense oletusarvoisesti kaiken, eli sääntöjä joutuu luomaan melkoisen määrän..?
pfSense, OPNsense tai mikä tahansa toimiva palomuuri blokkaa oletuksena kaiken sisääntulevan liikenteen ja sallii oletuksena kaiken lähtevän. Esim. valvontakameroille pitää tehdä jotain, kuten esim. sallia vain tietyn tyyppinen liikenne eli tod-näk. http/s ja mielellään ei suoraan internetistä sisään vaan vpn:n kautta.

Yhdelläkin verkkoportilla pärjää, kun kaverina on VLAN:ia tukeva hallittava kytkin ja hieman ymmärrystä VLAN:ista. Tietysti jos internet-liitäntä on 1 Gbps -tasoinen tai yli, niin yksi portti ei riitä täyteen kaistaan.
 
Viimeksi muokattu:
Olisiko jollain pistää pientä pros/cons, että kannattaako siirtyä CE:stä plussaan?

edit: Kotikäytössä
 
Seuraava haavoittuvuus löytyy.

vulnxml file up-to-date
strongswan-5.9.4 is vulnerable:
strongswan - Incorrect Handling of Early EAP-Success Messages
CVE: CVE-2021-45079
WWW: VuXML: strongswan - Incorrect Handling of Early EAP-Success Messages

1 problem(s) in 1 installed package(s) found.
OPNsense on tuon korjannut jo Business versioon.
ports: strongswan 5.9.5[19]

pfSensen korjauksessa menee kuukausia :mad:
 
Tuossa Plus versiossa on nyt nuo IPsec export työkalut. Asennettava erikseen Package Managerin kautta (ipsec-profile-wizard).

Ei tarvi esim. Applen tapauksessa mahdollisesti Mac tietokonetta jos haluaa konffia iPsec VPN on Demand jutun.

1644859569741.png
 
Onko tuo IPsec jotenkin parempi verrattuna open vpn:ään? Vai miksi @user9999 suosit sitä?
Ei niissä ole isoja eroja. Muutamia juttuja.

1. IPsec on nopeampi. Netgate suosittelee myös IPseciä.

IPsec is Fastest
IPsec is faster than other choices when configured correctly and when using hardware acceleration. If both client and server support IPsec, use IPsec. WireGuard is nearly as fast, however, and depending on the environment and availability of hardware acceleration, may be faster in some cases.

Scaling OpenVPN
Use IPsec or WireGuard Instead
As mentioned previously,
where possible, use IPsec or WireGuard instead. IPsec and WireGuard are much more efficiently integrated into the operating system, and are capable of much greater throughput than OpenVPN.


2. Ei tarvitse asentaa esim. Applen laitteisiin erillistä VPN client ohjelmistoa. Applen laitteet/käyttöjärjestelmät tukee suoraan IPseciä.
 
Yllä olevasta tulikin mieleen, puuttuuko minulta vielä joku rule, kun Ipsecillä pääsen sisäverkkoon, mutta en sen kanssa nettiin?
Vaiko jotain muuta pielessä..

Sisäverkko nyt tietenkin tärkein, mutta joskus olisi hyvä kierrättää internetkin tuon kautta.

Tämä on ainoa ipseciin liittyvä

B1C2ED1F-C9BC-43FF-873C-B88C6002969E.jpeg
 
Seuraava haavoittuvuus löytyy.

vulnxml file up-to-date
strongswan-5.9.4 is vulnerable:
strongswan - Incorrect Handling of Early EAP-Success Messages
CVE: CVE-2021-45079
WWW: VuXML: strongswan - Incorrect Handling of Early EAP-Success Messages

1 problem(s) in 1 installed package(s) found.
Nuo kannattaa raportoida suoraan heille, niin reagoivat asiaan mikäli se ei ole jo tiedossa.


Te jotka käytätte uutta pfSense 2.6.0 versiota ja ZFS:ää, muistakaa ottaa lokien pakkaamisen pois päältä. ZFS hoitaa pakkaamisen automaattisesti, joten päällekkäistä pakkaamista ei tarvita.

Asetus löytyy täältä:

1645014963563.png

1645014983171.png


1645015060508.png

 
Viimeksi muokattu:
Tuossa Plus versiossa on nyt nuo IPsec export työkalut. Asennettava erikseen Package Managerin kautta (ipsec-profile-wizard).

Ei tarvi esim. Applen tapauksessa mahdollisesti Mac tietokonetta jos haluaa konffia iPsec VPN on Demand jutun.

1644859569741.png
Testasin tuon IPsec Export: Apple Profile jutun. Se on toimiva profiili Applen laitteisiin. Tuossa profiilitiedostossa on valmiina VPN on Demandiin liittyvä

<key>OnDemandEnabled</key>
<integer>0</integer>


joka pitää siis muuttaa muotoon

<key>OnDemandEnabled</key>
<integer>1</integer>


ja tuon perään halutut VoD säännöt

Tuohon profiiliin tulee RemoteAddress, RemoteIdentifier ja LocalIdentifier arvoiksi palvelimen osoite (FQDN). Itse olen määrittänyt LocalIdentifier arvoksi laitteen nimen. Tuo helpottaa tunnistamista, eli näkee pfSensen hallinnasta mikä laite on muodostanut yhteyden. Jos tuo LocalIdentifier on palvelimen osoite niin ei tunnista laitteita jos niitä useampia kiinni vpn palvelimessa.

Täytyy jossain vaiheessa testata tuo IPsec Export: Windows juttu. Tuo on powershell scripti.

Edit: Mulla on siis tuossa IPsecissä EAP-TLS käytössä. Eli sertifikaateilla autentikoidaan eli ei näy IPsec statuksessa käyttäjätunnusta, josta voisi tunnistaa mikä tai kuka on kiinni. Sen takia tuo LocalIdentifier on laitteen nimi.
 
Viimeksi muokattu:
Päivitin just oman Shuttlen Opnsensen 21.7 -> 22.1
Luin täältä OPNsense 22.1 released - OPNsense® is a true open source firewall and more relasenotet, koska pääversion päivitys oli kyseessä. Omassa raudassani on Realtekin verkkokortit joten tämä rivi iski silmään :
The Realtek vendor driver is no longer bundled with the updated FreeBSD kernel. If unsure whether FreeBSD 13 supports your Realtek NIC please install the os-realtek-re plugin prior to upgrading to retain operability of your NICs.

En todellakaan tiedä mikä Realtek versio tuo omassa koneessani on. Mac osoite haku kertoo että Shuttlen kortti, enkä enempää ollut kiinnostunut kaivelemaan (eritoten koska headless setup ja lähinnä webgui tarjolla). Joten lähtökohtaisesti asennan tuon os-realtek-re pluginin jottei tule jotain kikkareita vastaan päivityksessä.

Tämän nykytilan tarkistin omasta laitteestani ja yllätys yllätys, eipäs siellä ollut ennestään os-realtek-re pluginia asennettuna. Tuo plugari löytyy valikosta System -> Firmware -> Plugins ihan kun hakuun heittää os-realtek-re
Helppo erottaa onko se paikallaan vai ei. Jos rivin lopussa on + merkki, ei sitä ole asennettu. Jos on asennettu jo nimen perässä lukee (installed). Asensin plugarin ja päivitin purkin. Toimii.

Tämä lähinnä lankaa seuraaville muille realtek-kortilla lentäville opnsense käyttäjille infona. Pluginin löytäminen vaati pientä googlailua...
 
Pluginin löytäminen vaati pientä googlailua...

:confused:

Mitä ihmettä, se pluginihan nimetään suoraan release notessa ja löytyy sieltä pluginilistasta ihan aakkosjärjestyksessä sillä samalla nimellä. Ainakin minulla löytyy, mitä tässä pitäisi googlettaa?
 
@Barbarossa se gui:n paikka tuolta opnsense käyttöliittymästä, missä sen voi tarkistaa (se vaati googlettelua). Siksi kirjoitin sen tuohon ylös, koska muuten oivallinen hakutoiminto ei löytänyt tämän luokse.
 
@Barbarossa se gui:n paikka tuolta opnsense käyttöliittymästä, missä sen voi tarkistaa (se vaati googlettelua). Siksi kirjoitin sen tuohon ylös, koska muuten oivallinen hakutoiminto ei löytänyt tämän luokse.

Ei tuo plugin-valikko kovin piilotettu minusta ole ja varsin loogisessa paikalla System-Firmwaren alla. Itse selasin aikanaan noita valikoita siihen malliin, että muistaa jo hyvin mitä missäkin on. Asennetut pluginit nousee listan yläpäähän, toki sitä plussaa voi sieltä etsiä, mutta ylimpänä olevat on niitä asennettuja.
 
Oma filosofia tälle purkille, set it and forget it.
Sillä valikot eivät pysy mielen sopukoissa. Ensisijaisesti haussa:
- tietoturva
- suorituskyky (bufferbloat minimointi, symmetrisen kuidun maksimi hyödyntäminen)
- automaattiset turvapäivitykset.
Liian monta käyttäjää talossa, että toi olis joku puuhamaa minulle tuo laite.
 
Oma filosofia tälle purkille, set it and forget it.
Sillä valikot eivät pysy mielen sopukoissa. Ensisijaisesti haussa:
- tietoturva
- suorituskyky (bufferbloat minimointi, symmetrisen kuidun maksimi hyödyntäminen)
- automaattiset turvapäivitykset.
Liian monta käyttäjää talossa, että toi olis joku puuhamaa minulle tuo laite.

Eihän sen mikään leikkimaa tarvi ollakaan, valikot jää päähän ihmisillä eri tavalla. Nythän siellä kannattaa käydä silloin tällöin versiomuutoksen takia, Dashboardin Check for updates-namiska sattumoisin vie Plugins-välilehden viereen. Nyt näköjään joku update tullut kun itse pyörähdin paikalla.
 
No, kukin tyylillään. Henkilökohtaisesti ei itsellänikään ole mielenkiintoa taikka aikaa pelata reititinpeliä.

Mutta jotenkin ajattelen silti että jos on tarpeeksi säätämisintoa ja osaamista diy palomuurin pystyttämiseen, olisi vielä sen verran kiinnostusta että kurkkaa niihin valikoihinkin.
 
Joku haavoittuvuus tuossa pfSensen WireGuard paketissa. Tiedon sain tuosta NCSC-FI tiedotteesta. Tuo WireGuard paketti on experimental.

NCSC-FI VULNERABILITIES SUMMARY 2022-03-03
Tämä on Liikenne- ja viestintäviraston Kyberturvallisuuskeskuksen
päivittäinen haavoittuvuuskooste.

pfSense-pkg-WireGuard vulnerable to directory traversal
JVNDB-2022-000019 - JVN iPedia
Classification: Important, Solution: Update, Exploit: Yes
pfSense users may view files in the private folders which they do not
have privileges to access.
 
Kotiverkon päivitys meneillään ja ajattelin jos sitä jo vanhan Cisco Small Business purkin heivais mäkeen kun ei siihen ole päivityksiäkään tullut enää vuosiin.. alkaa varmaan oleen jo melko reikäjuustoa..

Ajattelin että laittais rautaa jonka päällä ajais pfSenseä, pihole, home assistant + pojalle minecraft servua kavereiden kanssa pelailuun. Nettiliittymä on 1000/100 kaapeli. Minisforum EliteMini HM90 kattelin alustaksi, ois Ryzen 9 4900H (8c/16t) ja tuohon vaikka 16gigaa muistia kaveriksi. Riittääköhän vääntö noille hyvin? Tuossa raudassa olis kaks LAN porttia, 1x1G ja 1x2.5G, sais WAN + LAN portit erilleen, ei tartte VLANien kanssa pelata.. Kommentteja?
 
Kotiverkon päivitys meneillään ja ajattelin jos sitä jo vanhan Cisco Small Business purkin heivais mäkeen kun ei siihen ole päivityksiäkään tullut enää vuosiin.. alkaa varmaan oleen jo melko reikäjuustoa..

Ajattelin että laittais rautaa jonka päällä ajais pfSenseä, pihole, home assistant + pojalle minecraft servua kavereiden kanssa pelailuun. Nettiliittymä on 1000/100 kaapeli. Minisforum EliteMini HM90 kattelin alustaksi, ois Ryzen 9 4900H (8c/16t) ja tuohon vaikka 16gigaa muistia kaveriksi. Riittääköhän vääntö noille hyvin? Tuossa raudassa olis kaks LAN porttia, 1x1G ja 1x2.5G, sais WAN + LAN portit erilleen, ei tartte VLANien kanssa pelata.. Kommentteja?
Riittää ja on tarpeettomankin tehokas tuohon käyttöön.

PS. Myyn eniten tarjoavalle:

Fitlet 2 / J3455-prosessori
16 GB RAM
250 GB SSD
Extra 2x1 Gbit portit

Em. Laite riittää erinomaisesti gigabitin liittymän palomuuriksi Pfsenseen tai Sophos XG Home-käyttöön.
 
Riittää ja on tarpeettomankin tehokas tuohon käyttöön.
Jos virtuaalikoneita ajelee niin ei siitä tehosta (ytimistä) ja muistista haittaa ole, loppuu äkkiä kesken jos haluaakin joskus pistää lisää VM:ä. Itsellä kävi i7-6700 ja 16GB äkkiä pieneksi. Pelkkää palomuuria jos ajaa niin silloin turhaa maksaa liiasta tehosta.
 
Kotiverkon päivitys meneillään ja ajattelin jos sitä jo vanhan Cisco Small Business purkin heivais mäkeen kun ei siihen ole päivityksiäkään tullut enää vuosiin.. alkaa varmaan oleen jo melko reikäjuustoa..

Ajattelin että laittais rautaa jonka päällä ajais pfSenseä, pihole, home assistant + pojalle minecraft servua kavereiden kanssa pelailuun. Nettiliittymä on 1000/100 kaapeli. Minisforum EliteMini HM90 kattelin alustaksi, ois Ryzen 9 4900H (8c/16t) ja tuohon vaikka 16gigaa muistia kaveriksi. Riittääköhän vääntö noille hyvin? Tuossa raudassa olis kaks LAN porttia, 1x1G ja 1x2.5G, sais WAN + LAN portit erilleen, ei tartte VLANien kanssa pelata.. Kommentteja?
Itse ajaisin pfSensen erillisienä laitteena. Kyllä se toimii virtuaalisenakin, mutta ongelmatilanteissa on huomattavasti helpompaa ja toimintavarmepaa ettei kaikki munat ole samassa korissa.
 
Itse ajaisin pfSensen erillisienä laitteena. Kyllä se toimii virtuaalisenakin, mutta ongelmatilanteissa on huomattavasti helpompaa ja toimintavarmepaa ettei kaikki munat ole samassa korissa.

Jos nyt tyhmänä haluaisin kaikkea kuitenkin samalla purkilla ajaa ( :) ) niin nähtävästi pitäis alle asentaa vaikkapa ubuntu ja sen päällä sitten VM:ssä pfSenseä, muita sitte mahdollisuuksien mukaan voi ajella dockerilla?
 
Jos nyt tyhmänä haluaisin kaikkea kuitenkin samalla purkilla ajaa ( :) ) niin nähtävästi pitäis alle asentaa vaikkapa ubuntu ja sen päällä sitten VM:ssä pfSenseä, muita sitte mahdollisuuksien mukaan voi ajella dockerilla?

Mihin ratkaisuun päädytkin niin suosittelen pfsensen kanssa intelin piirillä olevia verkkokortteja tai integroituja vastaavia.
 
Jos nyt tyhmänä haluaisin kaikkea kuitenkin samalla purkilla ajaa ( :) ) niin nähtävästi pitäis alle asentaa vaikkapa ubuntu ja sen päällä sitten VM:ssä pfSenseä, muita sitte mahdollisuuksien mukaan voi ajella dockerilla?
Sen kun kokeilet. Muista huolehtia patchauksesta, koska esim. container escapea harrastetaan silloin tällöin.

 

Statistiikka

Viestiketjuista
257 842
Viestejä
4 485 443
Jäsenet
74 005
Uusin jäsen
S Mike

Hinta.fi

Back
Ylös Bottom