Tee-se-itse: Rautapalomuurit (pfSense, Sophos UTM..) (Mitä käytätte ja miksi juuri se vaihtoehto?)

Shuttlelta ilmestynyt uusi XPC fanless DS20U sarja.

Edit: Tai olikohan tämä jo tiedotettu täällä?
Tässä kohtaa olisivat saaneet panostaa 2.5GbE-portteihin. Lieköhän syynä Intel-korttien vähyys ja/tai niiden yhä rajallinen ajurituki.

 
Viimeksi muokattu:
OPNsensessä ei jostain syystä toimi järjestelmän sisäinen DNS nimenselvitys, ideoita mistä lähteä etsimään vikaa? Verkkoon liitetyillä laitteilla siis toimii normaalisti, mutta ei esimerkiksi Interface -> Diagnostics -> Ping tai DNS lookup, kummatkaan eivät löydä nimellä osoitteita. Tämän vuoksi myöskään päivitys ei onnistu kun ei saa selvitettyä päivityspalvelimen DNS-nimeä. Jos käy manuaalisesti laittamassa DNS-palvelimet System -> Setting -> General asetuksiin, niin voi toimia päivän pari mutta sitten taas loppuu toimimasta. Tämän saa myös korjattua esimerkiksi vaihtamalla 1.1.1.1 -> 9.9.9.9 tai sama toisinpäin. Eli aina kun muutoksia tekee niin toimii hetken, sitten taas pimenee.
 
Viimeksi muokattu:
ideoita mistä lähteä etsimään vikaa?
Jos kuvan ylin ruksi on valittuna, kokeile ottaa se pois. Muillakin alemmilla asetuksilla on vaikutusta asiaan
1651690440018.png
 
Jos kuvan ylin ruksi on valittuna, kokeile ottaa se pois. Muillakin alemmilla asetuksilla on vaikutusta asiaan
1651690440018.png
Muistaakseni noita rukseja yrittänyt päälle/pois mutta aina jossain vaiheessa itsestään loppunut toimimasta. Kokeilin nyt vielä ottaa tuon ruksin pois ja jättää DNS server -listan tyhjäksi, aikaisemmin tainnut olla niissä aina osoitteet kun ottanut pois. Kokeillaan miten käy, kiitos!
 
Itse olen käyttänyt Fitlet 2:sta vuosia ja kyseisestä laitteesta ei ole kuin hyvää sanottavaa. Fitlet 3 on nyt tilauksessa ja odotan sen tekevän kaiken saman kuin Fitlet 2, mutta vain 2x nopeammin... Tosin jo Fitlet 2 riittää saturoimaan gigabitin liittymän, mutta Fitlet 3:n nopeampi prosessori antaa enemmän pelivaraa erilaisiin sisällönskannauksiin tms.

Laite on pieni ja sopii näppärästi laitekaappiin.

Fitlet 2:een on ollut saatavilla hyvä tuki vuosia ja BIOS-päivityksiä tulee myös hyvään tahtiin. Kiinan ihmeiden kanssa voi olla hieman toinen tilanne.
Tuo Fitlet3 vaikuttaa kyllä ihan hyvältä vaihtoehdolta, tuo BIOS-asia hyvä pointti, vaikka pieni koko ei itsellä vaatimus kun kytkin täytyy jokatapauksessa virittää telineeseen.
 
Tervehdystä pöytään.

Täällä tuumailen ja suunnittelen, että onko fiksumpaa hommata dedicoitu purkki palomuurille?

Vaiko kombo, kun on ajatus omaa kotilabra virtualisointieposta laitella räkkiin pystyyn, niin iskeä pfsenseä sinne sekaan pörisemään mahdollisesti fullmental vRoutterin ominaisuudessa sfp+ röörityksen voimin.

Kokonaisuudeltaan 10G sisäverko on toteutuksessa ja ajallaan myös sitten 10/1G netti. Nykyisen 1000/100M yhteyden osalta VPN kinnaa tuohon hunttiin anyhow.

Realistisesti tämä konsensus vasta ensi keväänä kämppärempan valmistuessa. Joten siksi näin paremmin ajoissa kartoittelemassa ilman hötkyilyjä.
 
Täällä tuumailen ja suunnittelen, että onko fiksumpaa hommata dedicoitu purkki palomuurille?
Mielestäni on fiksumpaa. Eri onglelmatilanteissa erillinen laite voi olla kullanarvoinen etu verrattuna siihen että kaikki munat ovat samassa korissa. Itse en riskeeraisi palomuurin toimintaa sen mukaan onko virtuaaliplatta pystyssä vai ei. Joskus vähemmän on enemmän. :) Fyysisen laitteen tietoturvaakin on helpompaa rajata, kuin jännittää miten käy kun julkiverkon tuodaan suoraan yksittäiselle VM:lle.
 
Mielestäni on fiksumpaa. Eri onglelmatilanteissa erillinen laite voi olla kullanarvoinen etu verrattuna siihen että kaikki munat ovat samassa korissa. Itse en riskeeraisi palomuurin toimintaa sen mukaan onko virtuaaliplatta pystyssä vai ei. Joskus vähemmän on enemmän. :) Fyysisen laitteen tietoturvaakin on helpompaa rajata, kuin jännittää miten käy kun julkiverkon tuodaan suoraan yksittäiselle VM:lle.

Tämä on kyllä totta. Ja painaa kyllä vaakakupissa riittoisasti, mutta sitten taas vastaavasti järjetön kinostus ois integroida samaan purtiloon kaikki. Ellen sitten painele kahden palomuurin patentilla, omana dedikoitunaan ja sitten tuona virtualisoituna. DMZ sinne väliin sitten kivasti ja istun täällä miettimässä kansan kesken, että miksi tein näin. :D

Asiasta sitten toisaalle näin myös ennakoiden, että onko meillä jotain mukavia scriptejä/alustoja, jne millä testata suljetusti omaa palomuuriaan? (Kali?) Niin rasituksen, kuin sitten yleisten pommitustenkin suhteen. Perus porttiskannereiten lisäksi. Jotka tuo palomuuri mielellään teilaa jo laakista. Jos ja kun tottakai mielii testata ennen tuotantoon iskemistä. (ja kyllä, nyt laiska suoraan vakoilee parviälyltä ilman googlea)
 
Tämä on kyllä totta. Ja painaa kyllä vaakakupissa riittoisasti, mutta sitten taas vastaavasti järjetön kinostus ois integroida samaan purtiloon kaikki. Ellen sitten painele kahden palomuurin patentilla, omana dedikoitunaan ja sitten tuona virtualisoituna. DMZ sinne väliin sitten kivasti ja istun täällä miettimässä kansan kesken, että miksi tein näin. :D

Asiasta sitten toisaalle näin myös ennakoiden, että onko meillä jotain mukavia scriptejä/alustoja, jne millä testata suljetusti omaa palomuuriaan? (Kali?) Niin rasituksen, kuin sitten yleisten pommitustenkin suhteen. Perus porttiskannereiten lisäksi. Jotka tuo palomuuri mielellään teilaa jo laakista. Jos ja kun tottakai mielii testata ennen tuotantoon iskemistä. (ja kyllä, nyt laiska suoraan vakoilee parviälyltä ilman googlea)

Mitä virtualisointi alustaa meinasit käyttää? Esim. Proxmox vaatii muistaakseni virittelyä, että sen itse hostin liikenteen saa menemään virtuaalikoneessa olevan palomuuri/reitittimen kautta kun käytössä on vain kaksi fyysistä liitäntää (WAN ja LAN).

VMWarern ESXi:ssä se oli todella helppoa ja suoraviivaista vs. Proxmox. Hyper-V:stä, tai muista ei oo kokemuksia...

Itellä on pfSense pyörimässä suoraan raudassa, mut itekkin haaveilen tuosta, että sais senkin heitettyä virtuaalikoneeseen pyörimään.

Yhteen väliin se oli ESXi:ssä virtuaalikoneessa, mutta VMware lakkas tukemasta sitä rautaa, jota itellä on käytössä virtuaalikoneita varten, niin piti siirtyä ensin. Linux+libvirt+qemu+jne. alustan kautta nykyiseen Proxmoxiin, josta en keksiny webbikäliä selaamalla, että miten sen liikenteen sais kulkemaan Proxmoxin oman virtuaalikoneen kautta.
 
Mitä virtualisointi alustaa meinasit käyttää? Esim. Proxmox vaatii muistaakseni virittelyä, että sen itse hostin liikenteen saa menemään virtuaalikoneessa olevan palomuuri/reitittimen kautta kun käytössä on vain kaksi fyysistä liitäntää (WAN ja LAN).

VMWarern ESXi:ssä se oli todella helppoa ja suoraviivaista vs. Proxmox. Hyper-V:stä, tai muista ei oo kokemuksia...

Itellä on pfSense pyörimässä suoraan raudassa, mut itekkin haaveilen tuosta, että sais senkin heitettyä virtuaalikoneeseen pyörimään.

Yhteen väliin se oli ESXi:ssä virtuaalikoneessa, mutta VMware lakkas tukemasta sitä rautaa, jota itellä on käytössä virtuaalikoneita varten, niin piti siirtyä ensin. Linux+libvirt+qemu+jne. alustan kautta nykyiseen Proxmoxiin, josta en keksiny webbikäliä selaamalla, että miten sen liikenteen sais kulkemaan Proxmoxin oman virtuaalikoneen kautta.


Noita hyperviisoreita vertailen ja tutkiskelen pitkin nettiä kovasti. Samaten noita tuettuja rautapalikoita. Mutta ja kun on irtokortteina tarkoitus puuhata, niin ja jos tuki loppuu, niin uutta korttia vaan sitten kylkeen. Integroidut NIC:t jätän tylysti oman onnensa ojaan.

Itse hyperviisoreista näin nykyotaksunnalla ja kokemuksella:

-ESXi ilmaisena versionaan on vahvasti keulilla. Jo ihan siksi, että se on tutuin omassa käytössä. Vaikka vSphereä tuleekin ikävä. Ellen sitten ala paskantamaan raakatimantteja.
--> ainoat rajoitteet nuo 2 fyysistä prosessoria ilman ydinrajoitteita ja 8vCPU:ta/VM pitäs riittää miten tahtoo. Tupla Epyc setuppia ei (vielä) välttis kotio tartte. Ja tosiaan tuo vSphereen koukkuuntuminen ja sitä kautta hanurin myyminen rekkaparkissa, jos sen halajaa. Koska vaatii serveri alustan alleen. High Avaibility (HA) olisi kiva juttu, jota pelkässä ESXi:ssä ei olee. Toteutettavissa toki kikkailulla.

-Hyper-V core/server ilmaisena tahtoo olla ns vahvana uteliaisuuden kohteena.
--> ongelmana toki helvetillinen määrä yhteensopivuusongelmia intternetin mukaan, mutta kokeilemalla selvinnee tämäkin. HA löytyy.

-XCP-ng / Proxmox
--> Tämä kaksikko on sitten se avoimen ilmaisen puolen ilo. XCP-ng omaa kaikki enterprice clusteroinnit, fallbackit, VM pompottelut hosteilla ja ne muut HA jekut, mutta dockerointi pitää hoitaa omanaan. Missä sitten Proxmox omaa tuon container ilon ittessään mukanaan ja jättää dockerit, jne tarpeettomiksi. Mutta HA taas vastavetoisesti rajoitettu toiminnaltaan. Ainakin live migraation osalta.

Toisenaan sitten omaan aina vaihtoehdon, jos mielin läksiä varmentelemaan, niin on sitten 2kpl palomuureja rinnan. Joista toinen on fyysisenä, maksimi kovennettu ja tyystin failover mallisena, jotta pääsee kiinni pääpurkkiin. Jos jostain ihmeen syystä se on kipannut, niin on sitten ratkaisut sen buuttaamiseen.

VM hommissa myös suuresti pakollinen ominaisuus on tuo VM:ien automaattinen käynnistys hypervisorin päällä. Jahka osassa ratkaisuista tosiaan nuo VM:t pitää käynnistää käsin. Joka ei ole mieluisa juttu.

Mutta tästä paremmin, kun pääsee tuonne leikkikentälle kaikkien muiden pakollisuuksien perästä ja saa demopannun, missä pöristellä.
 
Tänne rantautui tänään Netgaten 7100 Max joten pääsee ihmettelemään taas pfsensen sielunelämää ja kopioimaan muurisääntöjä ubin purkilta ja miettimään miten vaihdon saa tehtyä kivuttomasti.
 
Tämä on kyllä totta. Ja painaa kyllä vaakakupissa riittoisasti, mutta sitten taas vastaavasti järjetön kinostus ois integroida samaan purtiloon kaikki. Ellen sitten painele kahden palomuurin patentilla, omana dedikoitunaan ja sitten tuona virtualisoituna. DMZ sinne väliin sitten kivasti ja istun täällä miettimässä kansan kesken, että miksi tein näin. :D
Toki jos on intoa ja kiinnostusta, voithan sä ajaa yhden virtuaalisena ja toisen fyysisenä. Itse kuitenkin pitäisin fyysisen pääpalomuurina kaiken varalta. Kannattaa huolehtia virtuaalisen muurin tietoturvasta, koska mikään virtualiplatta ei ole haavoittumaton. Tämän takia fyysinen muuri on hyvä valinta, koska jos jossain vaiheessa päätät heittää virtuaaliplatan ulos ikkunasta, ainakin nettiyhteys jatkaa toimintaansa tuttuun tapaan. :)

Asiasta sitten toisaalle näin myös ennakoiden, että onko meillä jotain mukavia scriptejä/alustoja, jne millä testata suljetusti omaa palomuuriaan? (Kali?) Niin rasituksen, kuin sitten yleisten pommitustenkin suhteen. Perus porttiskannereiten lisäksi. Jotka tuo palomuuri mielellään teilaa jo laakista. Jos ja kun tottakai mielii testata ennen tuotantoon iskemistä. (ja kyllä, nyt laiska suoraan vakoilee parviälyltä ilman googlea)
Penetraatiotestaus on taitolaji johon ei ole olemassa "lataa tämän"-työkaluja. Koko asia koostuu eri työkalujen pyörittämisestä eri tilanteessa. Toki yksittäisellä työkalulla voidaan todeta että esim palomuurissa ei ole avoimia portteja tms, mutta yleisesti kyse on hyvin laajasta, monimutkaisesta ja työläästä hommasta.

pfSensen kohdalla itse käyttäjä on se suurin riski omineen säätöineen ja palomuuriavauksineen. pfSensessä oletusasetukset palvelevat suurimman osan käyttäjistä, eikä niitä välttämättä tarvitse erikseen säätää. Toki pääsy hallintaan voidaan rajata, kovettaa VLANien yms asioita, mutta yleisesti merkittävimmät teot ovat pitää pfSensen ajan tasalla ja olla muuttamatta mitään asetusta mistä ei ole täysin varma mitä se tekee.


Tässä on muutama linkki joilla pääset alkuun jos on intoa tutustua aiheeseen:

(Huom! Linkit eivät niinkään keskity palomuurin koetteluun, vaan antavat enemmänkin kuvan siitä miten renkaita potkitaan suuressa maailmassa.)



Noita asioita hallitsemalla pääset töihin, miltei minne vaan. :)
 
Viimeksi muokattu:
Olen mutustellut vähän, että kokeilisi pfsenseä. Olen suht noviisi verkkoihin liittyvissä jutuissa, mutta en oikein tiedä miten muuten näihin pääsisi syvemmin muuten tutustumaan.

Mitä rautaa täällä suositellaan? Netgate 1100 ja sitten tuo mainittu Fitlet 3 olisi tässä ekana listalla, mutta fitlettiin on niin paljon vaihtoehtoja enkä mä tiedä mitä kaikkea komponentteja "on pakko" valita (ja kuinka paljon vaikka muistia jne.) ettei tarvitse jälkikäteen sitten ruveta vaihtelemaan.

Ihan kotikäyttöön ja 350€ alkaa olla kipuraja.
 
Heitetään tänne kysymys. Elisalta ei ole kiinteää ip osoitetta saatavina kuluttajaliittymään (kaapeli). Tein nyt kuitenkin niin, että pistin pfsenseen staattisen osoitteen dhcp tilalle, niin onko kuitenkin odotettavissa, että tämä lakkaa toimimasta, jos siellä on jokin pakotettu kierto osoitteissa? Onko kokemusta/tietoa näistä operaattoreista?

Oman kokemuksen mukaan ip osoite vaihtuu n. puolen vuoden välein vaikka laite on jatkuvasti päällä.
 
Ota käyttöön vaikka dy.fi osoite, niin ei tarvitse ihmetellä.
Itselläni ollut 10v+ käytössä.
 
Ota käyttöön vaikka dy.fi osoite, niin ei tarvitse ihmetellä.
Itselläni ollut 10v+ käytössä.
On mulla no-ip käytössä, mutta olisi kiva käyttää omaa domainia. Tai no, ei sille mitään oikeata tarvetta ole, muuta kuin leikkimisen ja säätämiseen.
 
On mulla no-ip käytössä, mutta olisi kiva käyttää omaa domainia. Tai no, ei sille mitään oikeata tarvetta ole, muuta kuin leikkimisen ja säätämiseen.

Laita domainin DNS pyörimään jonnekin joka tukee dynaamista päivittämistä, esim Azure DNS.

pfSense osaa sitten päivitellä kotiliittymän WAN osoitetta tuonne Azure DNS:ään aina kun osoite vaihtuu ja voi käyttää omaa custom domainia
 
On mulla no-ip käytössä, mutta olisi kiva käyttää omaa domainia. Tai no, ei sille mitään oikeata tarvetta ole, muuta kuin leikkimisen ja säätämiseen.
Jos sulla on vaikka maninthemoon. ddns. net, niin teet sinne omaan domainiisi CNAMEn. Näin pystyt käyttämään omaa domainnimeä, joka seuraa tuota noip:tä, joka taas seuraa sun palomuurin IP:tä.
 
Jos sulla on vaikka maninthemoon. ddns. net, niin teet sinne omaan domainiisi CNAMEn. Näin pystyt käyttämään omaa domainnimeä, joka seuraa tuota noip:tä, joka taas seuraa sun palomuurin IP:tä.
No pärkkele. Toihan olisi kaikista simppelein homma. Täytyy tätä kokeilla. Kiitos!
 
Heitetään tänne kysymys. Elisalta ei ole kiinteää ip osoitetta saatavina kuluttajaliittymään (kaapeli). Tein nyt kuitenkin niin, että pistin pfsenseen staattisen osoitteen dhcp tilalle, niin onko kuitenkin odotettavissa, että tämä lakkaa toimimasta, jos siellä on jokin pakotettu kierto osoitteissa? Onko kokemusta/tietoa näistä operaattoreista?

Oman kokemuksen mukaan ip osoite vaihtuu n. puolen vuoden välein vaikka laite on jatkuvasti päällä.
Tuolla tavalla todennäköisesti saman osoitteen saa myös joku muu ja tulee IP-ristiriita. Kannattaa laittaa DHCP päälle asap.

En tiedä Elisan asetuksia, mutta yleisellä tasolla DHCP toimii yksinkertaistettuna näin:
  • Client lähettää DHCP-pyynnön, palvelimella sille varataan IP-osoite ja sille määritetään voimassaoloaika (lease time.)
  • Client lähettää uuden DHCP-pyynnön kun n. 1/2 lease timesta on kulunut. Tässä vaiheessa lease time yleensä asetetaan uusiksi = alkamaan alusta. Jos laite on jatkuvasti päällä, tämä vaihe voi toistua periaatteessa loputtomasti.
  • Lease timen kuluttua loppuun DHCP-palvelin vapauttaa osoitteen jaettavaksi
Nyt kun sulla on määritetty kiinteä IP ei tuota osoitteen uudelleen pyytämistä tehdä, jolloin osoite vapautuu jaettavaksi jollekin toiselle laitteelle lease timen umpeuduttua. Sitten kun joku toinen saa sen saman osoitteen, alkaa molemmilla netti tökkiä ja laitteet herjata IP-ristiriitaa.
 
Tuolla tavalla todennäköisesti saman osoitteen saa myös joku muu ja tulee IP-ristiriita. Kannattaa laittaa DHCP päälle asap.

En tiedä Elisan asetuksia, mutta yleisellä tasolla DHCP toimii yksinkertaistettuna näin:
  • Client lähettää DHCP-pyynnön, palvelimella sille varataan IP-osoite ja sille määritetään voimassaoloaika (lease time.)
  • Client lähettää uuden DHCP-pyynnön kun n. 1/2 lease timesta on kulunut. Tässä vaiheessa lease time yleensä asetetaan uusiksi = alkamaan alusta. Jos laite on jatkuvasti päällä, tämä vaihe voi toistua periaatteessa loputtomasti.
  • Lease timen kuluttua loppuun DHCP-palvelin vapauttaa osoitteen jaettavaksi
Nyt kun sulla on määritetty kiinteä IP ei tuota osoitteen uudelleen pyytämistä tehdä, jolloin osoite vapautuu jaettavaksi jollekin toiselle laitteelle lease timen umpeuduttua. Sitten kun joku toinen saa sen saman osoitteen, alkaa molemmilla netti tökkiä ja laitteet herjata IP-ristiriitaa.
Joo, dhcp meni aamusta heti päälle. Yhteys oli yöllä lakannut toimimasta. :)
 
Client lähettää uuden DHCP-pyynnön kun n. 1/2 lease timesta on kulunut. Tässä vaiheessa lease time yleensä asetetaan uusiksi
Ei liity alkuperäiseen kysymykseen mutta onkohan clienteilla eroja taustana että yritän hahmottaa DNA LTE leasing aikoja (jos niitä on)
Mun monowall pohjaiset reitittimet on liisannut n.3000s nyt laiton pfSensen ja siinä (jos tulkitsen oikein) leasing on n.1200s

Saako pfSense WAN ajan selkeämmin esiin kuin ARP taulukko?
 
Olen mutustellut vähän, että kokeilisi pfsenseä. Olen suht noviisi verkkoihin liittyvissä jutuissa, mutta en oikein tiedä miten muuten näihin pääsisi syvemmin muuten tutustumaan.

Mitä rautaa täällä suositellaan? Netgate 1100 ja sitten tuo mainittu Fitlet 3 olisi tässä ekana listalla, mutta fitlettiin on niin paljon vaihtoehtoja enkä mä tiedä mitä kaikkea komponentteja "on pakko" valita (ja kuinka paljon vaikka muistia jne.) ettei tarvitse jälkikäteen sitten ruveta vaihtelemaan.

Ihan kotikäyttöön ja 350€ alkaa olla kipuraja.
Dustinilla olisi 4kpl Netgaten 1100 asiakaspalautuksia n. 177€/kpl. Ihan jees hinta valmiista purkista ei-gigaseen liittymälle esim. koti- tai pienyrityskäyttöön.
 
Täytyypä tutustua tuohon azuren ddns:ään. Kiitos.vinkistä.

Itellä on kans oma domain hankittuna ja sen DNS-palvelimet on siirretty Cloudflareen, joka tukee myös DynamicDNS:sää ja pfSensestä löytyy suoraan DDNS-clientti, joka osaa päivittää sen ip:n Cloudflareen. Kertaakaan ei oo ollu ongelmia tuon kanssa.
 
Itellä on kans oma domain hankittuna ja sen DNS-palvelimet on siirretty Cloudflareen, joka tukee myös DynamicDNS:sää ja pfSensestä löytyy suoraan DDNS-clientti, joka osaa päivittää sen ip:n Cloudflareen. Kertaakaan ei oo ollu ongelmia tuon kanssa.
Hyviä vinkkejä kaikki. Itsellä DNS tietueet Azuressa. Siellä tosin kaikki maksaa jotain (varmaan muissakin palveluissa sama).

Tässä tuli testaus listalle paljon asiaa mitä täytyy testailla, niin oppii laajemmalla skaalalla eri alustojen mahdollisuudet ja toimintoja.
 
Vastauksena itselleni pfSense WAN tiedot:
Execute Shell Command
more /var/db/dhclient.leases.vtnet0 (oma WAN kortti)

Tuolta ilmeni että mun DNA liisi on 1h joka uusiutuu muutamaa minuuttia aikaisemmin.
 
Dustinilla olisi 4kpl Netgaten 1100 asiakaspalautuksia n. 177€/kpl. Ihan jees hinta valmiista purkista ei-gigaseen liittymälle esim. koti- tai pienyrityskäyttöön.

Olisko esim. Fitletistä pidempiaikaseen käyttöön? Tällä hetkellä kämpässä hemmetin huonot yhteydet, mutta tarkoitus olisi muuttaa tässä vuoden sisään ja jos sattuu niinkin hyvin, että taloyhtiössä on kuitu niin kannattaisiko hankkia sellainen laite josta löytyy tuo optinen portti tms?
 
Olisko esim. Fitletistä pidempiaikaseen käyttöön? Tällä hetkellä kämpässä hemmetin huonot yhteydet, mutta tarkoitus olisi muuttaa tässä vuoden sisään ja jos sattuu niinkin hyvin, että taloyhtiössä on kuitu niin kannattaisiko hankkia sellainen laite josta löytyy tuo optinen portti tms?
Fitletissa on varmasti enemmän potkua, samoin esim Shuttlen DS-sarjan laitteissa. Shuttlen laitteissa (joita itsekin käytän) päivitettävyys on astetta parempi kuin Fitletissa. Molemmat ovat kuitenkin hyviä valintoja. Toki silloin budjettia pitää venyttää merkittävästi verrattuna tuohon 173€:n Netgateen.
 
Olisko esim. Fitletistä pidempiaikaseen käyttöön? Tällä hetkellä kämpässä hemmetin huonot yhteydet, mutta tarkoitus olisi muuttaa tässä vuoden sisään ja jos sattuu niinkin hyvin, että taloyhtiössä on kuitu niin kannattaisiko hankkia sellainen laite josta löytyy tuo optinen portti tms?
Kannattaa panostaa vähän enemmän jos on pienikin mahdollisuus, että netin nopeus paranee jostain syystä. Noi purkit on pitkä ikäisiä, niin 400e nyt ei välttämättä haittaa, kun se on toiminnassa joskus 5+ vuoden päästä. Itse ostin Pcengines APU1, kun oli vaan joku 30M VDSL. Sitten muutettiin ja oli gigan netti saatavilla, niin jouduin sitten taipumaan Fitlet2 ostoon. Jos olisin ostanut heti jonkun kunnon purkin niin olisi päässyt helpomalla.
 
Mutta ja kun sitten ja jos ja kun (kaikine muttineen) teoreettisesti 10Gigaiseen sitten ennakoiden rautaa tuumailisi. Niin miten helvetillistä vääntöä sellainen kaipaisi? Jos VPN riittää gigaisena, mutta appcontrol, jne heuratiikat mielii pitää yllään tuonne kupittaalle saakka.
 
Mutta ja kun sitten ja jos ja kun (kaikine muttineen) teoreettisesti 10Gigaiseen sitten ennakoiden rautaa tuumailisi. Niin miten helvetillistä vääntöä sellainen kaipaisi? Jos VPN riittää gigaisena, mutta appcontrol, jne heuratiikat mielii pitää yllään tuonne kupittaalle saakka.
Eipä sekään vaadi mitään niin ihmeellistä. Täältä voi tarkistella millaisella raudalla se voisi toimia: Netgate 1541 BASE pfSense+ Security Gateway

10GbE läpäisykyky saattaisi onnistua huomattavasti heikkomallakin prossulla, riippuen mitä muuta kyseinen reititin tekee. "appcontrol", "heuratiikat" yms. asiat kannattaa suosiolla pitää erossa pfSensestä. Nuo asiat parhaimmillaankin toimivat välttävällä tavalla, kiitos salattujen yhteyksien ja järjettömän määrän false positive/vääriä hälytyksiä.

Itse en murehtisi 10GbE-reititintä ennen kuin sellainen nettiliittymä on kytkettynä ja valmiina käyttöön. :)
 
Eipä sekään vaadi mitään niin ihmeellistä. Täältä voi tarkistella millaisella raudalla se voisi toimia: Netgate 1541 BASE pfSense+ Security Gateway

10GbE läpäisykyky saattaisi onnistua huomattavasti heikkomallakin prossulla, riippuen mitä muuta kyseinen reititin tekee. "appcontrol", "heuratiikat" yms. asiat kannattaa suosiolla pitää erossa pfSensestä. Nuo asiat parhaimmillaankin toimivat välttävällä tavalla, kiitos salattujen yhteyksien ja järjettömän määrän false positive/vääriä hälytyksiä.

Itse en murehtisi 10GbE-reititintä ennen kuin sellainen nettiliittymä on kytkettynä ja valmiina käyttöön. :)

Ajatusleikkinä fullmental puitteissa, johon voisi sitten tulevaisuudessa tarrata, että miten mentiin suuntaan tai toiseen oletuksiemme osalta. :)

Mutta totta, että täällä tahtoo keulia teoreettisella puolellaan vahvasti ja yleensä kunnolla.
 
Eipä sekään vaadi mitään niin ihmeellistä. Täältä voi tarkistella millaisella raudalla se voisi toimia: Netgate 1541 BASE pfSense+ Security Gateway

10GbE läpäisykyky saattaisi onnistua huomattavasti heikkomallakin prossulla, riippuen mitä muuta kyseinen reititin tekee. "appcontrol", "heuratiikat" yms. asiat kannattaa suosiolla pitää erossa pfSensestä. Nuo asiat parhaimmillaankin toimivat välttävällä tavalla, kiitos salattujen yhteyksien ja järjettömän määrän false positive/vääriä hälytyksiä.

Itse en murehtisi 10GbE-reititintä ennen kuin sellainen nettiliittymä on kytkettynä ja valmiina käyttöön. :)
Mihinkähän asti tuo PfSense taipuu nopeuksien suhteen? Muistan jostain lukeneeni että siinä on joku siirtokapasiteettiraja jonka yli sitä ei suositelty käytettäväksi ja tämä johtui muistaakseni alla jylläävästä BSD:stä. Tätä vartenhan oli sitten se Netgaten TNSR ohjelmisto.
 
Onko tietoa, että nieleekö F-Secure Sense sisäänsä mitään muuta systeemiä esim. PFSense tai OPNSense?
 
Onko tietoa, että nieleekö F-Secure Sense sisäänsä mitään muuta systeemiä esim. PFSense tai OPNSense?
Se taitaa olla ARM-rautaa, joten epäilen kummankaan asentuvan siihen. Jos en ihan väärin muista Sense perustuu jonkinlaiseen OpenWRT-forkkiin, joten sen ehkä saattaa saada asentuman jos on tarpeeksi aikaa ja kiinnostusta etsiä mahdollisia ohjeita.
 
Fitletissa on varmasti enemmän potkua, samoin esim Shuttlen DS-sarjan laitteissa. Shuttlen laitteissa (joita itsekin käytän) päivitettävyys on astetta parempi kuin Fitletissa. Molemmat ovat kuitenkin hyviä valintoja. Toki silloin budjettia pitää venyttää merkittävästi verrattuna tuohon 173€:n Netgateen.
Mitä päivitettävyyttä siitä puuttuu?

Fitlet 3: Ethernet-portteja saa 2 lisää (yhteensä 4 kpl). Muistia 32 GB. SSD-levyjä saa laitteeseen kaksi (yksi NVMe + yksi M.2 SATA).
 
Olisko esim. Fitletistä pidempiaikaseen käyttöön? Tällä hetkellä kämpässä hemmetin huonot yhteydet, mutta tarkoitus olisi muuttaa tässä vuoden sisään ja jos sattuu niinkin hyvin, että taloyhtiössä on kuitu niin kannattaisiko hankkia sellainen laite josta löytyy tuo optinen portti tms?
Optista porttia ei kannata hankkia itse laitteeseen. Se menee kätevimmin jollakin kuitukonvertteriboxilla. Näin saa pidettyä itse muurin halpana ja yksinkertaisena.

Näin se on itsellänikin: Operaattorin kuitukonvertteriboksi ja perässä Fitlet 2 (kohta 3).
 
Mitä päivitettävyyttä siitä puuttuu?
- Shuttlen muistia voi kasvattaa 64GBiin asti
- Shuttle tukee myös 2,5" SSD-levyjä, tosin kuin fitlet3
- Shuttle on saatavilla myös i3, i5 ja i7 prossuilla tosin kuin fitlet3
- Shuttlessa on myös SD-lukija, joka voi olla hyödyllinen esim SSD:n korvikkeena.
- Shuttlen saa Suomesta ja fitletin joutuu tilaamaan ulkomailta. Takuuasiat? Alvisekoilut takuupalautusten kanssa yms?

Kuten totesin, molemmat ovat hyviä valintoja. Mulla on näistä vaihtoehdoista tekeillä erillinen video, jossa käyn läpi myös muutamaa muutakin vaihtoehtoa.
 
Viimeksi muokattu:
Omassa kotikoneessa ollut ny noin vuoden kunnon sillisalaattiviritys räpellysprojektina. Centos kvm hypervisorina, openbsd virtualisoituna palomuurina ja työpöytäfedora näytönohjain läpivietynä virtuaalikoneessa.Ylllättävän kivuttomasti toiminut mutta kieltämättä kun jotain omituista on, vian etsiminen on omilla taidoilla melko tutkailua.

Harkinnassa olisi, laittaisiko erillisen purkin palomuurille kun on tosiaan melko hanurista jos säheltää konfiguroidessa kun ei ole edes ipmi-emolevyä vaan ihan perus työpöytärautaa.
 
- Shuttlen muistia voi kasvattaa 64GBiin asti
- Shuttle tukee myös 2,5" SSD-levyjä, tosin kuin fitlet3
- Shuttle on saatavilla myös i3, i5 ja i7 prossuilla tosin kuin fitlet3
- Shuttlessa on myös SD-lukija, joka voi olla hyödyllinen esim SSD:n korvikkeena.
- Shuttlen saa Suomesta ja fitletin joutuu tilaamaan ulkomailta. Takuuasiat? Alvisekoilut takuupalautusten kanssa yms?

Kuten totesin, molemmat ovat hyviä valintoja. Mulla on näistä vaihtoehdoista tekeillä erillinen video, jossa käyn läpi myös muutamaa muutakin vaihtoehtoa.
Fitletiin saa kyllä myös 2,5" SSD-levyn tilaamalla sellaisen koteloversion, johon se mahtuu. Ja SD-korttilukija laitteessa on vakiona.
 
Onkos missään tullut vastaan tuollaista sopivan pienikokoista sähkökaappiin mahtuvaa rautaa (protectli ym) jossa olisi PoE out portteja? Olisi hemmetin näppärä jos saisi 1-2 tukaria suoraan reitittimeen kiinni ilman PoE kytkintä tai PoE injektoreita etenkin talouksissa missä ei ole tarvetta kytkeä vehkeitä kaapelilla kiinni vaan hyvä WIFI riittää. Edgeroutterit olisi muuten soivia pelejä mutta ei noilla passiivisilla 24v ulostuloilla oikein tee mitään nykyään.
 
Onkos missään tullut vastaan tuollaista sopivan pienikokoista sähkökaappiin mahtuvaa rautaa (protectli ym) jossa olisi PoE out portteja? Olisi hemmetin näppärä jos saisi 1-2 tukaria suoraan reitittimeen kiinni ilman PoE kytkintä tai PoE injektoreita etenkin talouksissa missä ei ole tarvetta kytkeä vehkeitä kaapelilla kiinni vaan hyvä WIFI riittää. Edgeroutterit olisi muuten soivia pelejä mutta ei noilla passiivisilla 24v ulostuloilla oikein tee mitään nykyään.
Itsellä on pienessä laitekaapissa Fitlet 2 ja pieni 5-porttinen PoE-kytkin. Eivät vie paljoa tilaa ja tällainen yhdistelmä on varmastikin joustavin.
 
Onkos missään tullut vastaan tuollaista sopivan pienikokoista sähkökaappiin mahtuvaa rautaa (protectli ym) jossa olisi PoE out portteja? Olisi hemmetin näppärä jos saisi 1-2 tukaria suoraan reitittimeen kiinni ilman PoE kytkintä tai PoE injektoreita etenkin talouksissa missä ei ole tarvetta kytkeä vehkeitä kaapelilla kiinni vaan hyvä WIFI riittää. Edgeroutterit olisi muuten soivia pelejä mutta ei noilla passiivisilla 24v ulostuloilla oikein tee mitään nykyään.

Ei ole ehdottaa tuotetta, mutta jos tarve on vain tuo 1-2kpl, niin injektori on kyllä helppo ja halpa vaihtoehto. Toki onhan se ylimääräinen morkula sinne sähkökaappiin sovittaa. Esim Ubiquiti U-POE 802.3AF -PoE-injektori 13,90
 
Ei ole ehdottaa tuotetta, mutta jos tarve on vain tuo 1-2kpl, niin injektori on kyllä helppo ja halpa vaihtoehto. Toki onhan se ylimääräinen morkula sinne sähkökaappiin sovittaa. Esim Ubiquiti U-POE 802.3AF -PoE-injektori 13,90

Juu noitahan on, nimenomaan olisi tarkoitus löytää kaunis ratkaisu ilman näitä injektoreita tai kytkimiä. Yleensä normi sähkökaapeissa ei ole kuin 2 pistorasiaa tarjolla ja yksi menee kuitupäätteelle ja toinen omalle reitittimelle. Ylimääräiset jatkojohdot lisäpistorasioille sekä kytkimet ja injektorit paisuttaa kaapin niin älyttömäksi viritykseksi että olisi hienoa jos tuon saisi yhdellä laitteella hoidettua nätisti.
 
Juu noitahan on, nimenomaan olisi tarkoitus löytää kaunis ratkaisu ilman näitä injektoreita tai kytkimiä. Yleensä normi sähkökaapeissa ei ole kuin 2 pistorasiaa tarjolla ja yksi menee kuitupäätteelle ja toinen omalle reitittimelle. Ylimääräiset jatkojohdot lisäpistorasioille sekä kytkimet ja injektorit paisuttaa kaapin niin älyttömäksi viritykseksi että olisi hienoa jos tuon saisi yhdellä laitteella hoidettua nätisti.
Fitlet 2:een saa kahden PoE Ethernet-portin lisäkortin. Fitlet 3:een tuota ei ainakaan vielä näy valikoimissa.

Korjaus: Näkyy olevan saatavilla myös Fitlet 3:een:

 
Viimeksi muokattu:

Statistiikka

Viestiketjuista
257 839
Viestejä
4 485 391
Jäsenet
74 005
Uusin jäsen
S Mike

Hinta.fi

Back
Ylös Bottom