Tee-se-itse: Rautapalomuurit (pfSense, Sophos UTM..) (Mitä käytätte ja miksi juuri se vaihtoehto?)

Joo, jos on käytössä useampia kanavia useilla eri taajuusalueilla niin kyllä se enemmän tehoa tarvii.
 
Samoin nopeudet ja kellotaajuudet. Jos livetään vielä kauemmas niin ZTE 801A 5G-modeemissa aika miehekkään kokoinen jäähdytysripa:
Huawein vastaava taisi olla lisäksi flektillä
 
Pakko taas kysyä, kun ei luonnistu. Yhdestä verkosta haluaisin blokata "domain".ddns.net osoitteen. Tuo osoite ohjautuu sisäverkossa muurille. Mitä en taas tajua, että miten tuon osoitteen saa blokattua niin, että sisäverkon laitteet eivät pääse kiinni? Antakaa vinkkejä, niin kerron sitten, että olenko sitä yrittänyt. Tuo nimi/osoite on määritetty dynaamista DNS (no-ip) varten ja mielestäni muualla en ole sitä kertonut.

Nykyisen interfacen säännöt on vastaavat.

1. Kyseisestä interfacesta DNS sallittu kaikkialle.
2. käänteinen sääntö, että kaikkialle muualle sallittu kaikki liikenne, paitsi mitä Aliaksessa on määritetty kaikki priva (rfc 1918) verkot.

Nyt on mennyt taas kerran aivot sen verran solmuun, että pakko ottaa etäisyyttä ja kysyä neuvoa.
 
Laitetaan tälläinenkin keskustelu pystyyn. Eli mitä (ja miksi juuri se) itse-tehtyjä palomuureja porukka käyttää? :think:

Edgerouter palveli hyvin, mutta oli vähän tylsä ja kaipasin vähän enemmän näkyvyyttä ja ominaisuuksia.

Vastaan tuli sopuhintainen (0€) HP:n mini-PC, joten siihen OPNsense. Lyhyen koeajon jälkeen WAN-interfacejen ja palomuurisääntöjen konffaus ja purkki tuotantoon. "Ongelmanahan" tuossa on vain yksi verkkokortti, mutta kaksi WAN-yhteyttä, DMZ ja LAN toimii hyvin vlanien kautta ajettuna.

Itse lähiverkko (LAN) on sitten vielä jaettu kolmeen eri osaan (iot, vieraat, kotikäyttäjät) toisella OPNsensellä, jota ajetaa proxmoxin päällä. Lähiverkon muuri toimii siltaavana, sillä ei jaksanut alkaa osoitteistus-, reititys- ja DHCP-jumppaan. :)

Reunalla olevassa OPNsensessä on käytössä suricata ja molemmat muurit lokittavat Elasticsearchiin (pfelk). Myös OPNsensen APIa hyödynnetään Home Assistantilla (mm. jos nuoriso ei ilmaannu syömään ajoissa :)).
 
Pitäisi julkaista DMZ:lla pari virtuaalipalvelinta internetiin, miten toteuttaisitte sen näillä laitteilla?

- Proxmox VE alusta kahdella gigabit portilla, tämän alla toimii virtuaalikoneita sekä LAN:ssa että DMZ:lla
- pfSense / OPNsense palomuuri neljällä gigabitin portilla
- hallittava kytkin

Ajatuksena oli eriyttää DMZ mahdollisimman pitkälle fyysisesti, eli tekisi palomuurilla oman fyysisen interfacen DMZ-verkolle mistä suoraan kaapeli Proxmox-palvelimen toiseen porttiin (vmbr1), ja tätä käyttäisi pelkästään DMZ:n virtuaalikoneille. Toista porttia (vmbr0) sitten käyttäisi normaalisti LANissa oleville virtuaalikoneille. Paras toki varmasti olisi, jos olisi ihan erillinen fyysinen virtualisointialusta näille DMZ-palvelinten virtuaalikoneille mutta se ei oikein nyt ole mahdollista. Vai onko edes hyötyä tietoturvamielessä käyttää toista fyysistä palomuurin ja proxmox-alustan porttia DMZ:lla kun kuitenkin pyörivät samalla alustalla?

Edit: Voi olla että tämä menee enemmän Proxmox-keskustelun puolelle kuin palomuurin, voi siirtää jos joku hyvä ketju olemassa.
 
Viimeksi muokattu:
pfSense Plus 22.05 beta julkaistu
pfSense Plus 22.05 RC julkaistu. Taitaa pian tulla valmis versio.
 
Pitäisi julkaista DMZ:lla pari virtuaalipalvelinta internetiin, miten toteuttaisitte sen näillä laitteilla?
Suunnittelin itse jotain vastaavaa, mutta totesin webbiseverin olevan niin halvan joltakin palveluntarjoajalta ettei maksa vaivaa. Aineiston siirtää sille webbipalvelimelle helposti sftp:llä.
 
Tuossa pfSense 22.05/2.7 versiossa tulee muutama korjaus joita odottelen.

1. Bootin jälkeen tulee aina seuraava herja.
There were error(s) loading the rules: /tmp/rules.debug:170: no routing address with matching address family found. - The line in question reads [170]: pass out quick on { igb0 } $GWWAN_DHCP6 inet6 from any to any ridentifier 1651070028 keep state dnqueue( 4,3) label "USER_RULE: Codel Limiters IPv6"

2. Incorrect ICMP reply when using limiters
 
Tuli otettua Dual WAN käyttöön Netgate 1100 purkissa. Tässä mallissa ei tarvinnut tuohon Netgate 1100 kytkimeen koskea, koska tuo OPT portti on identtinen muiden porttien kanssa. Esim. Netgate 2100 mallissa joutuu vähän enempi säätämään.
Netgate 2100 Security Gateway Manual — Configuring the Switch Ports | Netgate Documentation
1656223198107.png

Edit: Laitoin Shuttle DS77U purkiin USB verkkokortin. Tuossa verkkokortissa oli joskus jotain ongelmaa, mutta nyt toimii.
Dual WAN vähän haasteellisempi kun DNA:lta myös IPv6 käytössä ja Elisa ei tue IPv6. :hmm:

1656225371861.png
 
Viimeksi muokattu:
pfSense Plus software version 22.05 is now available for upgrades


Edit: Päivitin Netgate 1100 ja Shuttle DS77U purkit. Ei ongelmia.

Nämä bugit korjattu:
 
Viimeksi muokattu:
Vähän offtopic
Jäänyt testaamatta tuon Netgate 1100 tehot eli mihin pystyy.

1656411414754.png


CPU kävi jossain 60% eli se ei jää siihen kiinni. Tuossa on jokin muu asia mikä rajoittaa kun vertaa Netgate 2100 malliin. Tuossa 2100 mallissa on sama CPU (Dual core ARM Cortex A53 processor @ 1.2GHz).

Ei kannata siis hommata mihinkään gigaselle yhteydelle :D
 
Viimeksi muokattu:
Olen aikeissa korvata Edgerouter X:n budjettiluokan DYI reitittimellä. En oikeastaan tiedä tarkalleen miksi mutta nämä homelab asiat on viime aikoina alkaneet kiinnostaa ja eihän sitä tiedä, vaikka olisi joskus työelämässä jotain hyötyä tällaisesta tietotaidosta.

Erään youtube videon innoittamana tuli hommattua Fujitsu s920 thinclient pohjaksi reititintä varten ja siihen Intel PRO/1000 PT Dual Port NIC.

Nyt pitäisi päättää käyttis. Pfsense, Opnsense vai joku muu mikä? Tietysti valinnan voi muuttaa jälkeenpäin mutta mikä olisi mielestänne helpoin vaihtoehto melko noviisille verkon rakentajalle? Jos nyt aluksi saisi edes VPN:t säädettyä IoT-vehkeille ja muille erikseen ja siitä sitten jatkaisi säätöä sen mukaan kun ehtii.
 
Nyt pitäisi päättää käyttis. Pfsense, Opnsense vai joku muu mikä?
Pohjalle proxmox virtuaalialusta ja sen päälle vaikka kaikki, harjoitteluun kätevä. saa vaikka lennossa vaihdettua reitittimen.
Myöskin Linux alkeeet on hyödyksi.
Tietysti tuokin vaatii opiskelua ja ei aina ole ongelmaton.
 
Pohjalle proxmox virtuaalialusta ja sen päälle vaikka kaikki, harjoitteluun kätevä. saa vaikka lennossa vaihdettua reitittimen.
Myöskin Linux alkeeet on hyödyksi.
Tietysti tuokin vaatii opiskelua ja ei aina ole ongelmaton.
Joo tuo olisi tietysti ihan järkevä vaihtoehto aluksi, kun vertailee noita reititin käyttiksiä. Proxmox on kyllä siinä määrin tuttu, että kotiserverillä ajan sen päällä mm. Home Assistant, Pi-hole, Plex, Docker ja muutamaa Linux distroa.

Tämän Fujitsun thinclientin hommasin juuri sen takia, että en halua pitää reititintä tuon kotiserverini kanssa samassa raudassa. Eli ei kaikkia munia samaan koriin. Siksi oli mielessä, että voisin siinä ajaa reititin distroa ihan natiivisti ilman virtualisointia.
 
Olen aikeissa korvata Edgerouter X:n budjettiluokan DYI reitittimellä. En oikeastaan tiedä tarkalleen miksi mutta nämä homelab asiat on viime aikoina alkaneet kiinnostaa ja eihän sitä tiedä, vaikka olisi joskus työelämässä jotain hyötyä tällaisesta tietotaidosta.

Erään youtube videon innoittamana tuli hommattua Fujitsu s920 thinclient pohjaksi reititintä varten ja siihen Intel PRO/1000 PT Dual Port NIC.

Nyt pitäisi päättää käyttis. Pfsense, Opnsense vai joku muu mikä? Tietysti valinnan voi muuttaa jälkeenpäin mutta mikä olisi mielestänne helpoin vaihtoehto melko noviisille verkon rakentajalle? Jos nyt aluksi saisi edes VPN:t säädettyä IoT-vehkeille ja muille erikseen ja siitä sitten jatkaisi säätöä sen mukaan kun ehtii.
Oma suositteluni on että otat pfSensen raudan päälle ilman mitään virtualisointia välissä. Virtualisointi mahdollistaa uusia asioita, mutta samalla se kasvattaa tietoturvariskejä, koska WAN-yhteyden on konffattava yksittäiselle virtuaalikoneelle. Tämä ei tietenkään ole mahdottomuus, mutta silti vaaran paikka koska yksikään virtuaalialusta ei ole haavoittumaton.

Nm. Seuraavaaa pfSense-videota valmisteleva. :)
 
Olen aikeissa korvata Edgerouter X:n budjettiluokan DYI reitittimellä. En oikeastaan tiedä tarkalleen miksi mutta nämä homelab asiat on viime aikoina alkaneet kiinnostaa ja eihän sitä tiedä, vaikka olisi joskus työelämässä jotain hyötyä tällaisesta tietotaidosta.

Erään youtube videon innoittamana tuli hommattua Fujitsu s920 thinclient pohjaksi reititintä varten ja siihen Intel PRO/1000 PT Dual Port NIC.

Nyt pitäisi päättää käyttis. Pfsense, Opnsense vai joku muu mikä? Tietysti valinnan voi muuttaa jälkeenpäin mutta mikä olisi mielestänne helpoin vaihtoehto melko noviisille verkon rakentajalle? Jos nyt aluksi saisi edes VPN:t säädettyä IoT-vehkeille ja muille erikseen ja siitä sitten jatkaisi säätöä sen mukaan kun ehtii.
Noviisille käyttäjälle suosittelen Sophos XG Home-versiota:
Ei maksa mitään ja on kuitenkin kaupallinen tuote. Olen käyttänyt tätä nyt neljä vuotta ja tuona aikana tämä ei ole tarvinnut mitään muuta "säätämistä" kuin käydä pari kertaa vuodessa klikkaamassa hyväksyntä ohjelmistopäivitykselle.
 
Otin testiin pfSenselle tuollaisen Aliexpressin Toptonin myymän Celeron J4125 boksin 2.5Gbe porteilla, saa nähdä miten pelittää:



Eniten epäilyttää tuo mukana tullut 12v 5A virtalähde, epäilyttävän kevyt :hmm: Täytyy varmaan etsiä joku laadukkaampi tilalle.
 
Otin testiin pfSenselle tuollaisen Aliexpressin Toptonin myymän Celeron J4125 boksin 2.5Gbe porteilla, saa nähdä miten pelittää:



Eniten epäilyttää tuo mukana tullut 12v 5A virtalähde, epäilyttävän kevyt :hmm: Täytyy varmaan etsiä joku laadukkaampi tilalle.


Kerrotko käyttökokemuksia sitten? :)
Itse kans tuollaista miettinyt. Pystytkö viel laittaa linkin tuohon tuotteeseen?
 
Kerrotko käyttökokemuksia sitten? :)
Itse kans tuollaista miettinyt. Pystytkö viel laittaa linkin tuohon tuotteeseen?
Reilun viikon on ollut nyt ajossa tuo 120gb 2,5” ssd:llä (kaapelit tuli mukana) ja 4gb ramilla, ei vielä mitään ongelmia. Lämpötilaksi näyttää 48-50 astetta ovellisella tv-tasolla missä 30 astetta lämmintä.

Sitä aivan samaa ei taida enää olla myynnissä, korvautunut tuolla Celeron N5105 mallilla. Muuten melko sama (esim verkkopiiri), toisena erona nvme slotti tuossa uudemmassa. Lisäksi taitaa saada kaksi muistikampaa, tässä minun vain yksi.

 
Viimeksi muokattu:
Viimestelen parhaillaan tulevaa pfSense-videotani ja siinä esiintyvä Lenovo S510 kuluttaa noin 35W seinästä, silloin kun giganen kuituyhteys lataa täydellä nopeudella. Jos budjetti on erittain tiukka kannattaa katsoa Fujitsun, HP:n tai Dellin thinclient-koneita eBaystä. Fujitsun voi saada noin 50€:lla kuluineen. (Tämäkin aihe on mulla työn alla. :))

Tää on siis kai oikea ketju keskustella aiheesta, kun reititinvalinta kääntyi sirupulan vuoksi SER-jätteen ostamiseen ja pfsensen asentamiseen :beye:

Sähkö maksaa siis tällä hetkellä 12snt/kWh, siirto+energiamaksu 6snt/kWh (tarkistin) eli 18snt/kWh. Jos laite kuluttaa 50W idlenä, niin se on 0,05kWh * 24 = 1,2kWh/vrk -> 440kWh/a * 0,18 = 80€/v sähköön. Jos laitetta ajaa esim. 6v, niin sähköön menee about 500€.

Jos löytää laitteen, joka idlaa esim. 10W teholla, niin idletehoon kuluukin vain 100kWh 6v aikana ja tällöin säästää 400€. Eli säästetyllä sähkön hinnalla olisi varaa ostaa vähän kuluttava laite, vaikka laite itsessään maksaisikin useamman satasen.

Netgaten laitteissa idlet on 3-5W tasolla. Onko äkkiseltään suositella jotain tiettyä mallia 50-400€ hintaluokassa esim? Tärkeintä on teho tarvittaessa 1/1G liittymälle + pieni idlekulutus. Täytyy lukea ketjua kun tässä ehtii.
 
Tärkeintä on teho tarvittaessa 1/1G liittymälle
Tässä on yksi keino kuluhallintaan: ei kannata hankkia tänään tekniikkaa, jota tarvitsee ehkä joskus tulevaisuudessa muutaman vuoden päästä. Tekniikka kehittyy ja saatavuus paranee (toivottavasti)
 
Tässä on yksi keino kuluhallintaan: ei kannata hankkia tänään tekniikkaa, jota tarvitsee ehkä joskus tulevaisuudessa muutaman vuoden päästä. Tekniikka kehittyy ja saatavuus paranee (toivottavasti)

No siis mulla on 1000/1000 kuituliittymä 25€/kk, tarkoitan siis että tehoa riittää tarvittaessa koko kaistalle, eikä vain jollekin 100-200megaselle siivulle siitä alusta. En kovin selkeästi ilmaissut asiaa, anteeksi.
 
Netgaten laitteissa idlet on 3-5W tasolla. Onko äkkiseltään suositella jotain tiettyä mallia 50-400€ hintaluokassa esim? Tärkeintä on teho tarvittaessa 1/1G liittymälle + pieni idlekulutus. Täytyy lukea ketjua kun tässä ehtii.
Netgaten sivuilla on suht hyvin suorituskyvystä tietoa. Ulkomuistista sanoisin, että pari halvinta kannattaa jättää pois mikäli giga on tavoitteena ja varsinkin jos tarvitsee openvpn suorituskykyä.
 
Netgate 4100 malli varmaan pääsee gigaseen nopeuteen. Netgate 1100 ja 2100 mallit ei pääse.
Kannattaa tarkistaa, että löytyykö testejä tuosta Netgate 4100 mallista.
 
Dustinathomessa Netgate 4100 on jo 800€ :D Saako sitä halvemmalla rautaa, joka pääsee gigaseen nopeuteen? Vai onko se oikeasti noin pirun kallista...
 
Dustinathomessa Netgate 4100 on jo 800€ :D Saako sitä halvemmalla rautaa, joka pääsee gigaseen nopeuteen? Vai onko se oikeasti noin pirun kallista...
Todellakin saa. fitlet3 saattaa olla riittävän tehokas. Vaihtoehtoisesti esim Shuttle DS10U olisi toinen vaihtoehto.
 
Niin eli tuollainen purnukka: Shuttle XPC slim DS10U | Edullinen

Muistien ja kiintolevyn kanssa varmaan jotain 500e...

Fitlettejä myy joku firma Saksassa, mutta ne pitäis jotenkin osan tarkkuudella valita itse. Saatavuus jäi epäselväksi, ja lopullinen hinta: FITLET3 - MiniDis - Europe's best mini PC source!
Muistin osalta 4-8GB riittää vallan mainioisti. 16GB on jo pröystäilyä ilman välttämätöntä tarvetta. Levyn osalta pfSense vie alle gigan verran tilaa, joten 32GB SSD on enemmän kuin tarpeeksi.

Tässä on esim sama Shuttle mitä itsekin käytän tällä hetkellä: Shuttle slim pc-ds68u with Celeron processor-good condition | eBay

ps. Nähtävästi DS10U:n hinta on noussut noin sadalla eurolla: Shuttle XPС slim DS10U - Hintaseuranta | Hinta.fi
 
Tämä oma pfSense viritelmä (HP E8200 SFF /i5-2500 /120Gt SSD /8Gt) vie idlenä/perussurfailun aikana sähkötehoa n. 33W, CPU kuormitus n. 1-2%. 100M liittymällä lataus rajoitinta vasten lisää CPU kuormaa n. 3% ja tehon kulutusta n. 1W verran.

Kun ottaa huomioon että ainoa ostettu uusi osa tuohon on Intelin verkkokortti muutamalla kympillä ja kaikki muu on ollut joko omassa hyllyssä käyttämättömänä tai firman SER rullakossa odottamassa Kuusankoskelle vientiä, on ainakin itselle vaikea perustella miksi ostaa kokonaan uutta rautaa ja vielä maksaa siitä vaikka sähkönkulutus putoaisikin puoleen tai kolmannekseen. Ja kyllä, asian voi laskea kannattavaksi/kannattamattomaksi ihan niillä perusteilla kuin itse haluaa. Ja toisekseen, tämän voi myös laskea harrastuksena ja harrastuksilla on tapana maksaa tavalla tai toisella.
 
Niin. Nyt kun mietin, niin onhan mulla Maximus X hero ja 8700K ylimääräisenä. Suunnittelin laittavani ne HTPC:hen, mutta kai toisaalta niistä voisi servukoneenkin tehdä. Servukoneella kaiketi voisi ajaa virtuaalikoneella reititintä/palomuuria ja samalla tehdä muita juttuja.

Tarvisi vain kiintolevyn, kotelon, powerin ja muistia...
 
Niin. Nyt kun mietin, niin onhan mulla Maximus X hero ja 8700K ylimääräisenä. Suunnittelin laittavani ne HTPC:hen, mutta kai toisaalta niistä voisi servukoneenkin tehdä. Servukoneella kaiketi voisi ajaa virtuaalikoneella reititintä/palomuuria ja samalla tehdä muita juttuja.

Tarvisi vain kiintolevyn, kotelon, powerin ja muistia...
Tuossa ainakin riittää suorituskyky sitten vpn käytössäkin varmasti gigaan asti. Omassa koneessa on joku vanha i3 ja sillä tulee raja vastaan n.650Mbps Openvpn käytössä yhdelle asiakkaalle. Käytännössä riittää kuitenkin hyvin, koska mobiiliverkko on rajoittava tekijä.

Onko tuossa emossa useampi verkkokortti? Voit joutua lisäämään vielä erillisen verkkokortin ostoslistaan.
 
Tuossa ainakin riittää suorituskyky sitten vpn käytössäkin varmasti gigaan asti. Omassa koneessa on joku vanha i3 ja sillä tulee raja vastaan n.650Mbps Openvpn käytössä yhdelle asiakkaalle. Käytännössä riittää kuitenkin hyvin, koska mobiiliverkko on rajoittava tekijä.

Onko tuossa emossa useampi verkkokortti? Voit joutua lisäämään vielä erillisen verkkokortin ostoslistaan.

On siinä 2xRJ45, olisko realtekin piireillä. Mun mielestä "kaikissa" Asuksen kalliimmissa on ollut jo noin ikiajat. 300e maksais matalampi jäähy, teran samsung 980 m.2, fractalin 560W ion platinum ja 2x8GB g.skill 3200 CL16 muistia, eli about saman mitä tollanen uusi Shuttle, mitä suositeltiin.

Samalla voisi sitten motivoitua eteisen siivouskaapin päivittämään, ja asentamaan sinne yläosaan räkkikaapin, se on ollut jo pidempään mietintälistalla. Putkirempan yhteydessä asennettu peltinen ATK-kaappi on sellainen jossa ilma ei kierrä ja sinne ei mitään mahdu.

En tiedä meneekö tuo 8700K "hukkaan", mutta hukkaan se menee tuolla hyllyssäkin ollessa, kun ei sitä jaksa myydä, enkä näemmä HTPC-koteloon ole sitä jaksanut vaihtaa. Enää pitäis joku kotelo speksata, ja räkkikaappi. Joku 60cm korkea sinne ainakin mahtuisi.

Prossu tuskin vie ihan kauheasti virtaa idlenä, integroidulla näyttiksellä (jota ei käytetä), ja tarvittaessa sitä voi varmaan myös vielä yrittää alivoltittaa tms. Ja ehkä suurempi virrankulutus olis servukoneessa jo perusteltua.
 
On siinä 2xRJ45, olisko realtekin piireillä. Mun mielestä "kaikissa" Asuksen kalliimmissa on ollut jo noin ikiajat. 300e maksais matalampi jäähy, teran samsung 980 m.2, fractalin 560W ion platinum ja 2x8GB g.skill 3200 CL16 muistia, eli about saman mitä tollanen uusi Shuttle, mitä suositeltiin.

Samalla voisi sitten motivoitua eteisen siivouskaapin päivittämään, ja asentamaan sinne yläosaan räkkikaapin, se on ollut jo pidempään mietintälistalla. Putkirempan yhteydessä asennettu peltinen ATK-kaappi on sellainen jossa ilma ei kierrä ja sinne ei mitään mahdu.

En tiedä meneekö tuo 8700K "hukkaan", mutta hukkaan se menee tuolla hyllyssäkin ollessa, kun ei sitä jaksa myydä, enkä näemmä HTPC-koteloon ole sitä jaksanut vaihtaa. Enää pitäis joku kotelo speksata, ja räkkikaappi. Joku 60cm korkea sinne ainakin mahtuisi.

Prossu tuskin vie ihan kauheasti virtaa idlenä, integroidulla näyttiksellä (jota ei käytetä), ja tarvittaessa sitä voi varmaan myös vielä yrittää alivoltittaa tms. Ja ehkä suurempi virrankulutus olis servukoneessa jo perusteltua.

Vilkasepa vielä Teklagerin valikoimaa:


Osa noista APUista pärjää gigaisen liittymän kanssa, itselläni taisi olla aikanaan APU4C4. Päivitin SFF-malliseen koneeseen gigasen tultua.
 
On siinä 2xRJ45, olisko realtekin piireillä. Mun mielestä "kaikissa" Asuksen kalliimmissa on ollut jo noin ikiajat. 300e maksais matalampi jäähy, teran samsung 980 m.2, fractalin 560W ion platinum ja 2x8GB g.skill 3200 CL16 muistia, eli about saman mitä tollanen uusi Shuttle, mitä suositeltiin.

Samalla voisi sitten motivoitua eteisen siivouskaapin päivittämään, ja asentamaan sinne yläosaan räkkikaapin, se on ollut jo pidempään mietintälistalla. Putkirempan yhteydessä asennettu peltinen ATK-kaappi on sellainen jossa ilma ei kierrä ja sinne ei mitään mahdu.

En tiedä meneekö tuo 8700K "hukkaan", mutta hukkaan se menee tuolla hyllyssäkin ollessa, kun ei sitä jaksa myydä, enkä näemmä HTPC-koteloon ole sitä jaksanut vaihtaa. Enää pitäis joku kotelo speksata, ja räkkikaappi. Joku 60cm korkea sinne ainakin mahtuisi.

Prossu tuskin vie ihan kauheasti virtaa idlenä, integroidulla näyttiksellä (jota ei käytetä), ja tarvittaessa sitä voi varmaan myös vielä yrittää alivoltittaa tms. Ja ehkä suurempi virrankulutus olis servukoneessa jo perusteltua.
Realtekin piirin kanssa saattaa tulla ongelmia PfSense käytössä, kaikki ei toimi kunnolla. Omassa emossa on realtekin piiri, joka oli aluksi käytössä, aiheutti jotain virheitä, jotka packet capturen kautta näkyi ja jotain asetusta muuttamalla sai kuntoon. Siirryin kuitenkin käyttämään pelkästään intel piirillä olevia verkkokortteja.

Virransäästötilat käytössä tuskin kovin hirveästi käyttää tehoa.
 
Realtekin piirin kanssa saattaa tulla ongelmia PfSense käytössä, kaikki ei toimi kunnolla. Omassa emossa on realtekin piiri, joka oli aluksi käytössä, aiheutti jotain virheitä, jotka packet capturen kautta näkyi ja jotain asetusta muuttamalla sai kuntoon. Siirryin kuitenkin käyttämään pelkästään intel piirillä olevia verkkokortteja.

Virransäästötilat käytössä tuskin kovin hirveästi käyttää tehoa.
Realtekin verkkokortit yleensä perustuvat softaemulointiin, koska niissä ei ole omaa dedikoitua prossua kuten Intelin verkkokorteissa. Tämän vuoksi jos verkkokuorma kasvaa, kasvaa samalla koko koneen prossukäyttö. Tuo saattaa aiheuttaa "tarpeetonta" virrankulutsta ja lämpökuormaa versus että verkkokortilla olisi oma prossu joka on suunniteltu verkon prosessointiin. Tämä kuvio selittää Realtekin surkean ajurituen mm. FreeBSD:ssä kiitos edellä mainittujen emulointien yms.
 
Intel I219-V oli näemmä sittenkin. Ja portteja oli vaan 1, rip. Tämä nyt lähti lopulta vähän käsistä :D Verkkokortti tarvisi vielä jostain taikoa, niitä ei nykyään ole kovin hyvin myynnissä.

servu_osat.png
 
Osa noista APUista pärjää gigaisen liittymän kanssa, itselläni taisi olla aikanaan APU4C4. Päivitin SFF-malliseen koneeseen gigasen tultua.

Itse lisäisin tähän saatesanoiksi että riittä(ä/nee) gigaisella liittymällä jos ei meinaa mitään IDS/IPS toimintoja tai VPN:iä käytellä. Minulla oli aiemmin APU2D4 (edelleen varalaitteena) ja ilman mitään ekstratoimintojakin sillä CPU kuorma kohosi melko korkealle pelkästään 400/20 liittymällä. Multiqueuet ja muut teklagerin opastamat optimoinnit käytössä.
 
Intel I219-V oli näemmä sittenkin. Ja portteja oli vaan 1, rip. Tämä nyt lähti lopulta vähän käsistä :D Verkkokortti tarvisi vielä jostain taikoa, niitä ei nykyään ole kovin hyvin myynnissä.

servu_osat.png
Itse rakentaisin palomuurikoneen erillisenä laitteena ja hypervisor-palvelimen erikseen. Muussa tapauksessa joudut jännittämään kestääkö hypervisorin softan tietoturva sen verran hyvin että pystyt säällä kuin säällä reitittämään WAN-yhteyden yksittäiseen virtuaalikoneeseen. Tähän asti tilanne ei tainnut olla näin yhdenkään hypervisor-käyttiksen osalta.

Esim tässä olisi i5 7. sukupolven prossu, 16GB DDR4 muistia ja 256Gt SSD alle 280€: Lenovo ThinkCentre M910s SFF i5

Siihen asennat esim tämän HP NC360T EXPI9402PT PRO/1000 Dual Port Server Adapter PCI-E Network Card 82571 | eBay verkkokortin ja sulla on varsin järeä palomuuri vuosiksi.

Tässä olisi 135€ maksava "Pentium"-vaihtoehto: HP ProDesk 600 G3 SFF Pentium/4GB/128SSD/Pori; joka on kotikäytössä enemmän kuin riittävä.
 
Viimeksi muokattu:
Hommasin tollasen Prodeskin ja HP NC360T low profile dual NICin. Katsotaan miten homma näillä lähtee pelaamaan. Tietoturvaongelma oli riittävän hyvä perustelu sille, että pidetään palomuuri&reititin erossa muusta raudasta...

Itselläkin Prodesk SFF G2 6500T-prossulla, hyvin on pelannut. Nyt ollut sen 1,5 vuotta päällä, eikä ongelmia ole raudan puolesta ollut. Löysin Ebaysta quad-nicin silloin halvalla.
 
Eiköhän dual nic riitä. Jos ei niin ostaa lisää. En tiedä mihin tarvitsen enempää, mihin niitä voisi tarvita? Tällä hetkellä siis yksi piuha tulee intternetistä, ja toinen piuha menee kytkimelle. Ebaystä ostin siis jonkun 6300T-mallin 8 gigalla muistia, kun sattui about samaan hintaan olemaan. Kaipa noi ebay-koneetkin toimivat, ja jos ei, niin ongelmatapaukset on aina saanut helposti ratkaistua.
 
Itse rakentaisin palomuurikoneen erillisenä laitteena ja hypervisor-palvelimen erikseen. Muussa tapauksessa joudut jännittämään kestääkö hypervisorin softan tietoturva sen verran hyvin että pystyt säällä kuin säällä reitittämään WAN-yhteyden yksittäiseen virtuaalikoneeseen. Tähän asti tilanne ei tainnut olla näin yhdenkään hypervisor-käyttiksen osalta.

Tarkoitatko tietoturvalla tässä nimenomaan hypervisorin käyttöä reitittimenä, vai sitä että ylipäätään kyseisessä koneessa on joku verkkokortti kiinni suoraan Internetiin?
 
Tarkoitatko tietoturvalla tässä nimenomaan hypervisorin käyttöä reitittimenä, vai sitä että ylipäätään kyseisessä koneessa on joku verkkokortti kiinni suoraan Internetiin?
Tarkoitin siis hypervisorin tietoturvaa silloin kun sen läpi kuljetetaan suojaamattoman WAN-liikenteen aina yksittäiselle VM:lle asti.
 

Statistiikka

Viestiketjuista
262 401
Viestejä
4 549 975
Jäsenet
74 984
Uusin jäsen
Tere

Hinta.fi

Back
Ylös Bottom