Tee-se-itse: Rautapalomuurit (pfSense, Sophos UTM..) (Mitä käytätte ja miksi juuri se vaihtoehto?)

Eiköhän dual nic riitä. Jos ei niin ostaa lisää. En tiedä mihin tarvitsen enempää, mihin niitä voisi tarvita? Tällä hetkellä siis yksi piuha tulee intternetistä, ja toinen piuha menee kytkimelle. Ebaystä ostin siis jonkun 6300T-mallin 8 gigalla muistia, kun sattui about samaan hintaan olemaan. Kaipa noi ebay-koneetkin toimivat, ja jos ei, niin ongelmatapaukset on aina saanut helposti ratkaistua.

Omassa neliporttisessa on WAN-LAN-WLAN ja yksi ylimääräinen vaikka hallintaan. Pärjään omassa lähiverkossa yhdellä 8-porttisella hallitsemattomalla kytkimellä, on yksi aktiivilaite vähemmän myös.
 
Tarkoitin siis hypervisorin tietoturvaa silloin kun sen läpi kuljetetaan suojaamattoman WAN-liikenteen aina yksittäiselle VM:lle asti.

Eli käytännössä tuohon sisältyy melkein mikä tahansa käyttötapaus, jossa koneella on suoraan internetiin näkyvä verkkokortti?
 
Omassa neliporttisessa on WAN-LAN-WLAN ja yksi ylimääräinen vaikka hallintaan. Pärjään omassa lähiverkossa yhdellä 8-porttisella hallitsemattomalla kytkimellä, on yksi aktiivilaite vähemmän myös.

Aivan juu. Itsellä on 8-porttinen hallittu kytkin poe:lla, kun tuli uteliaisuuttaan sellainen joskus hankittua. Jos tää HP:n matolaatikko on riittävän hyvä, niin voisi ehkä sellaisen myös htpc:ksi hommata. Nykyinen htpc on perus atx-rautaa define-kotelossa..
 
Eli käytännössä tuohon sisältyy melkein mikä tahansa käyttötapaus, jossa koneella on suoraan internetiin näkyvä verkkokortti?
Sisältyy ja sisältyy. Itse en kytkisi ei-palomuuritarkoitukseen tarkoitettua softaa suoraan internettiin, mutta kukin tyylillään.
 
Sisältyy ja sisältyy. Itse en kytkisi ei-palomuuritarkoitukseen tarkoitettua softaa suoraan internettiin, mutta kukin tyylillään.

Sillä mietin, kun mulla virtuaalikoneet näkyy suoraan nettiin niille sillatun erillisen verkkokortin kautta. Käytössä siis Xen ja Ubuntu Linux Dom0:na.

Ideana oli juurikin käyttää virtualisointia, ettei nettiin näkyvien asioiden korkkaaminen niin helposti toisi pääsyä muulle koneelle.
 
Jos se virtuaalikoneen virtuaalinen verkkokortti on sillattu fyysiseen liitäntään niin eihän sillä hypervisorilla ole silloin edes IP osoitetta siinä portissa johon vastata. Toki jos haluaa säätää, niin voi sen koko verkkokortin pass-thruna varmaan näpeltään.
 
Jos se virtuaalikoneen virtuaalinen verkkokortti on sillattu fyysiseen liitäntään niin eihän sillä hypervisorilla ole silloin edes IP osoitetta siinä portissa johon vastata. Toki jos haluaa säätää, niin voi sen koko verkkokortin pass-thruna varmaan näpeltään.

Ymmärtääkseni sen pitäisi olla juuri näin, eli hypervisorilla tai Dom0:lla ei ole ollenkaan IP-osoitetta joka näkyisi julkiseen verkkoon. Vasta virtuaalikoneella on IP.
 
Jos se WAN-interfacen kortti on reitittimelle omistettu niin onko sille edes hyvää syytä jakaa VM hostin kanssa? Passthrulla suoraan VM:lle niin että suurvisiiri ignoraa sen olemassaolon, niin jääkö siihen enää hyökkäyspintaa ulkoapäin?
 
Jos se WAN-interfacen kortti on reitittimelle omistettu niin onko sille edes hyvää syytä jakaa VM hostin kanssa? Passthrulla suoraan VM:lle niin että suurvisiiri ignoraa sen olemassaolon, niin jääkö siihen enää hyökkäyspintaa ulkoapäin?

Toisaalta PCI passthrough kai tarkoittaa että virtuaalikone pääsee suoraan käpistelemään PCI-väylässä olevaa verkkokorttirautaa, missä lienee omat tietoturvariskinsä?
 
Toisaalta PCI passthrough kai tarkoittaa että virtuaalikone pääsee suoraan käpistelemään PCI-väylässä olevaa verkkokorttirautaa, missä lienee omat tietoturvariskinsä?

Onhan se niinkin. Mutta eikö se olisi sama tilanne bare metal palomuurillakin, jos ei luota siihen niin en tiedä kannattaako sitä laitta niinkun kriittiseen tehtävään edes virtuaalisena :tongue:
 
Toisaalta PCI passthrough kai tarkoittaa että virtuaalikone pääsee suoraan käpistelemään PCI-väylässä olevaa verkkokorttirautaa, missä lienee omat tietoturvariskinsä?
PCI passthrough:ssa virtuaali kone hoitaa verkkokortin ihan niin kuin baremetal ratkaisussa. Täten performanssi ja turvallisuus pitäisi olla erittäin hyvä. Vai olenko tajunnut jotain väärin?
 
PCI passthrough:ssa virtuaali kone hoitaa verkkokortin ihan niin kuin baremetal ratkaisussa. Täten performanssi ja turvallisuus pitäisi olla erittäin hyvä. Vai olenko tajunnut jotain väärin?
Onhan se niinkin. Mutta eikö se olisi sama tilanne bare metal palomuurillakin, jos ei luota siihen niin en tiedä kannattaako sitä laitta niinkun kriittiseen tehtävään edes virtuaalisena :tongue:

Lähinnä mietin sitä, että jos virtuaalikone korkataan, voiko sieltä päästä jotenkin helpommin ulos PCI passthroughin avulla? En siis tiedä, kunhan pohdiskelin asiaa. Ilman PCI passthroughia hosti tai hypervisor ilmeisesti hoitaa verkkokortin käytön, mutta ei varsinaisesti käsittele paketteja.
 
Onko kukaan käyttänyt yritystasolla opnsenseä tai vastaavaa, että olisiko se hyvä paketti?
 
Lähinnä mietin sitä, että jos virtuaalikone korkataan, voiko sieltä päästä jotenkin helpommin ulos PCI passthroughin avulla? En siis tiedä, kunhan pohdiskelin asiaa. Ilman PCI passthroughia hosti tai hypervisor ilmeisesti hoitaa verkkokortin käytön, mutta ei varsinaisesti käsittele paketteja.
Jos isäntäkone on vallattu niin onhan asiat silloin huonosti. Tietysti jos isäntäkone ajaa vain virtuaalikoneita niin tartuntapintaa pitäisi olla vähän.
 
Varmaan riippuu käyttötarpeesta, siitähän puuttuu monta oleellista ominaisuutta kuten AD-integraatio ja NGFW ominaisuuksia.
Pitääkin tutkia noita läpi. Unifi on käytössä mutta se on aika paska kun haluaa enemmän tunneleita ja muita konffausta tehdä.
 
Jos isäntäkone on vallattu niin onhan asiat silloin huonosti. Tietysti jos isäntäkone ajaa vain virtuaalikoneita niin tartuntapintaa pitäisi olla vähän.

Täh? Kuka puhui mitään isäntäkoneen valtaamisesta?

PCI passthrough antaa VIRTUAALIKONEEN käyttää rautaa, kuten verkkokortteja suoraan, ilman että isäntäkone on välissä. Jos VIRTUAALIKONE korkataan, hyökkääjä pääsee tällöin suoraan käsiksi rautaan, joka voi antaa paremmin mahdollisuuksia päästä ulos virtuaalikoneesta isäntäkoneen puolelle.
 
Pitääkin tutkia noita läpi. Unifi on käytössä mutta se on aika paska kun haluaa enemmän tunneleita ja muita konffausta tehdä.
Noh jos nykyinen on Ubiquitin tuotteita niin onhan tuo OPNsense tai pfSense nyt siitä huomattavasti eteenpäin. Eli varmasti kaikki samat löytyy mitä Ubiquitista.
 
Noh jos nykyinen on Ubiquitin tuotteita niin onhan tuo OPNsense tai pfSense nyt siitä huomattavasti eteenpäin. Eli varmasti kaikki samat löytyy mitä Ubiquitista.
Joo perus reititykseen pääosin mutta nyt kun tarpeet kasvaa niin Unifi tuntuu olevan vaikea saada kaikkea pyörimään.

Toki myös tuo NGFW kiinnostaa mutta pitää katsoa mitä tuo Unifin threat management tekee.
 
mutta pitää katsoa mitä tuo Unifin threat management tekee
Tuskin paljon mitään. OPNsensen vakio-osa Suricata lienee hyödyllisempi, mutta sen kanssa pitää olla ihan kunnon rautaa, desktop-luokan prosessori ja RAMia
"The IDS/IPS available in OPNsense is based on Suricata.
This open source IDS/IPS engine has proven its value in OPNsense, especially in combination with the free Proofpoint ETOpen ruleset.

The need for valuable threat detection data and the increasing importance of additional network security
has brought Proofpoint and OPNsense together.
Our joined efforts resulted in the ETPro Telemetry edition.

The ETPro Telemetry edition embraces our vision that sharing knowledge leads to better products.

When you allow your OPNsense system to share anonymized information about detected threats - the alerts -
you are able to use the ETPro ruleset free of charge."
 
Katselin noita opnsensen omia rautoja kun sen saisi rackkiin. Toinen vaihtoehto toki uusi Xeon 8C/16C, 16-32GB RAM serveri. Tällöin toki virtualisoisin ehkä.
 
Täh? Kuka puhui mitään isäntäkoneen valtaamisesta?

PCI passthrough antaa VIRTUAALIKONEEN käyttää rautaa, kuten verkkokortteja suoraan, ilman että isäntäkone on välissä. Jos VIRTUAALIKONE korkataan, hyökkääjä pääsee tällöin suoraan käsiksi rautaan, joka voi antaa paremmin mahdollisuuksia päästä ulos virtuaalikoneesta isäntäkoneen puolelle.
Tuollaista palomuuria ei kannata laittaa jos pelkää sen turvallisuutta. Ei virtuaalikoneelta kovin helppoa ole isäntäkonetta vallata. Varsinkaan kun isäntäkone kun ei käytä virtuaalikoneen verkkokorttia mihinkään passthrue modessa.
 
Tuollaista palomuuria ei kannata laittaa jos pelkää sen turvallisuutta. Ei virtuaalikoneelta kovin helppoa ole isäntäkonetta vallata. Varsinkaan kun isäntäkone kun ei käytä virtuaalikoneen verkkokorttia mihinkään passthrue modessa.

Luulisi että PCI passthrough on paljon vähemmän tietoturvallinen kuin pelkkä siltaava verkkokortti, koska silloin virtuaalikone käyttää rautaa suoraan, mikä on paljon pahempi asia.

Ainakaan tuolla ei suositella käytettävän PCI passthroughia jos ei ole pakko.

PCI passthrough allows an instance to have direct access to a piece of hardware on the node. For example, this could be used to allow instances to access video cards or GPUs offering the compute unified device architecture (CUDA) for high performance computation. This feature carries two types of security risks: direct memory access and hardware infection.

Direct memory access (DMA) is a feature that permits certain hardware devices to access arbitrary physical memory addresses in the host computer. Often video cards have this capability. However, an instance should not be given arbitrary physical memory access because this would give it full view of both the host system and other instances running on the same node. Hardware vendors use an input/output memory management unit (IOMMU) to manage DMA access in these situations. You should confirm that the hypervisor is configured to use this hardware feature.

A hardware infection occurs when an instance makes a malicious modification to the firmware or some other part of a device. As this device is used by other instances or the host OS, the malicious code can spread into those systems. The end result is that one instance can run code outside of its security zone. This is a significant breach as it is harder to reset the state of physical hardware than virtual hardware, and can lead to additional exposure such as access to the management network.

Due to the risk and complexities associated with PCI passthrough, it should be disabled by default. If enabled for a specific need, you will need to have appropriate processes in place to help ensure the hardware is clean before reuse.

 
HP Prodesk G3 tuli. Rojut olivat kuin pitikin, ja rauta näytti toimivan. Verkkokortti ui vielä jossain Saksan ja Suomen välillä.

Kone näytti vievän bilteman verkkovirtamittarin mukaan n. 12W idlenä, enemmän rasituksessa. Ei käytännössä pidä mitään ääntä. Jäähy ja tuuletin olivat varsin järeät ottaen huomioon prossun 35W TDP:n. Displayportteja on kaksi, ja usb-liittimiä 10! Myös yksi usb-c on. Tässä on ihan huolella liittimiä. Emolevyllä on pari laajennuspaikkaa vapaana. Kiintolevy oli joku Samsungin OEM 256GB SSD. Varsin ok paketilta vaikutti hintaisekseen, siis 150e sis pk. Virtajohtokin tuli mukana. Täytyy palata asiaan sitten, kunhan saa verkkokortin lisättyä. Konetta ei liene mielekästä sen enempää räplätä ennen sen saapumista.

Asennus oli nopea ja kivuton, eniten aikaa meni balena Etcherin kanssa ihmetellessä. Lopulta tajusin konsolista lukea, että usb-tikun luonti onnistui, mutta sen unmounttaus epäonnistui. Ts. "task failed successfully".

örr.png
vittusaatana.png


Edit: laitteessa on myös näemmä 80plus Platinum-virtalähde, joka on HP:n ohjekirjan mukaan 93% hyötysuhteella toimiva. Kaikkea sitä.
 
Viimeksi muokattu:
Fyi Tailscale-lisäri ilmestyi pfSenseen (mukaan lukien myös CE-version):

1657882406661.png


Devaajan oma video aiheesta:

 
Alkanut kiinnostamaan pfsense. Aloin noita thinclienttejä tai vastaavia katselemaan, koska miksipä ei harrastelisi samalla. Osaako joku sanoa saako tällaisiin ilman virallisia laajennuspaikkoja oleviin oikein pienikokoisiin mitenkään (kohtuudella) ujutettua dual nicciä? Esimerkiksi tähän ThinkCentre M710 Tiny Desktop i3 8Gb/256 SSD//
Tai mikä olisi nyt fiksuin ratkaisu tuollainen muuri rakennella? Katselin Netgaten valmiitakin, mutta ehkä vähän edukkaammin saisi itse tekemällä + harrastuksen ilot päälle.
 
Viimeksi muokattu:
Alkanut kiinnostamaan pfsense ja vanhan synologyn routterin päästäminen eläkkeelle. Aloin noita thinclienttejä tai vastaavia katselemaan, koska miksipä ei harrastelisi samalla. Osaako joku sanoa saako tällaisiin ilman virallisia laajennuspaikkoja oleviin oikein pienikokoisiin mitenkään (kohtuudella) ujutettua dual nicciä? Esimerkiksi tähän ThinkCentre M710 Tiny Desktop i3 8Gb/256 SSD//
Tai mikä olisi nyt fiksuin ratkaisu tuollainen muuri rakennella? Katselin Netgaten valmiitakin, mutta ehkä vähän edukkaammin saisi itse tekemällä + harrastuksen ilot päälle.
Tuohon ei taida saada, johonkin Lenovon uudempaan miniin taisi saada mutta mitä katselin niin kyseinen malli oli luokkaa 400-500€ ja todella pahasti yliampuva tehoiltaan vielä siihen nähden että nic on vain 1gbit. Eli katselisin jotain muuta ja halvempaa.
 
Alkanut kiinnostamaan pfsense ja vanhan synologyn routterin päästäminen eläkkeelle. Aloin noita thinclienttejä tai vastaavia katselemaan, koska miksipä ei harrastelisi samalla. Osaako joku sanoa saako tällaisiin ilman virallisia laajennuspaikkoja oleviin oikein pienikokoisiin mitenkään (kohtuudella) ujutettua dual nicciä? Esimerkiksi tähän ThinkCentre M710 Tiny Desktop i3 8Gb/256 SSD//
Tai mikä olisi nyt fiksuin ratkaisu tuollainen muuri rakennella? Katselin Netgaten valmiitakin, mutta ehkä vähän edukkaammin saisi itse tekemällä + harrastuksen ilot päälle.
eBayssä myydään esim Fujitsun S920 thin clienteja joihin saa erillisen verkkokortin asennettua. Kannattaa tarkistaa suomalaiset verkkokaupat, jotka myyvät käytettyjä yrityskoneita.

2,5GbE-verkkokortilla ei tee mitään, ellei nettiliittymä oli yli 1Gbps.
 
Ostin itse huutokaupat.com kautta terasetin myymän sff-koneen, vaihdoin tähän T-mallin i5 cpu:n (skylake). Kokonaishinta jäi alle 150e verkkokortteineen… Suosittelen kyttäämään…
 
Fyi Tailscale-lisäri ilmestyi pfSenseen (mukaan lukien myös CE-version):

1657882406661.png


Devaajan oma video aiheesta:


Otin tuon Tailscalen testiin. Asensin Netgate 1100 purkkiin. En nyt oikein tiedä onko tuolla pahemmin käyttöä. Nyt pääsee helposti toisesta verkosta hallitsemaan tuota verkkoa, jossa on tuo Netgate 1100 purkki.

Personal plan (free) käytössä.
1658599469412.png


Seuraaviin käyttöjärjestelmiin löytyy client ohjelmisto

Compare plans & features

Lawrence Systems
 
Viimeksi muokattu:
Otin tuon Tailscalen testiin. Asensin Netgate 1100 purkkiin. En nyt oikein tiedä onko tuolla pahemmin käyttöä. Nyt pääsee helposti toisesta verkosta hallitsemaan tuota verkkoa, jossa on tuo Netgate 1100 purkki.

Personal plan (free) käytössä.
1658599469412.png


Seuraaviin käyttöjärjestelmiin löytyy client ohjelmisto

Compare plans & features
Pitää itsekin ottaa sen testiin joskus syksyllä.
 
eBayssä myydään esim Fujitsun S920 thin clienteja joihin saa erillisen verkkokortin asennettua. Kannattaa tarkistaa suomalaiset verkkokaupat, jotka myyvät käytettyjä yrityskoneita.

2,5GbE-verkkokortilla ei tee mitään, ellei nettiliittymä oli yli 1Gbps.
Nuo oli kyllä edukkaita siellä. Alkaen ~30€ tasosta. Noissa kaikkein halvimmissa vain oli 2 tai 4Gb SSD levyt. Se ei taida riittää ainakaan pfsensen minimivaatimusten mukaan. Pitää vielä ajan kanssa selailla noita tai jotain muita joihin saa lisäverkkokortin. Näytti joku myyvän noita Fujitsuja valmiiksi lisäverkkokortilla ja pfsensellä, mutta niillä olikin sitten se ~140€ hintaa. Tuollainen micro (MFF) olisi mukavampi istuttaa nykyiseen kaappiin jossa verkkovermeet, mutta niissä ei taida yleensä olla tuota PCIe paikkaa mitä koitin kaivaa. Esim. tämän voisi muutoin hankkia. Pitänee katella noita SFF kokoisia.

edit: löytyi Saksasta vähän yli 40€ +19€ postit hinnalla ihan hyvän oloinen S920 8Gb SSD:llä ja virtalähteellä. Meni tilaukseen. Tarkka malli 1050V920-GKV10

Tämä taitaa olla sen kokoluokan kortti, joka menisi tuohon sisälle?:
Intel PRO/1000 PT Dual Port Server Adapter Low Profile | eBay
 
Viimeksi muokattu:
Nuo oli kyllä edukkaita siellä. Alkaen ~30€ tasosta. Noissa kaikkein halvimmissa vain oli 2 tai 4Gb SSD levyt. Se ei taida riittää ainakaan pfsensen minimivaatimusten mukaan. Pitää vielä ajan kanssa selailla noita tai jotain muita joihin saa lisäverkkokortin. Näytti joku myyvän noita Fujitsuja valmiiksi lisäverkkokortilla ja pfsensellä, mutta niillä olikin sitten se ~140€ hintaa. Tuollainen micro (MFF) olisi mukavampi istuttaa nykyiseen kaappiin jossa verkkovermeet, mutta niissä ei taida yleensä olla tuota PCIe paikkaa mitä koitin kaivaa. Esim. tämän voisi muutoin hankkia. Pitänee katella noita SFF kokoisia.
Oma pfSense-asennus vuodelta 2016 vie edelleen jotain 800Mt levyä. Sanoisin että 4Gb riittää alkuun. Päivittelet sitten jos se ei todistetusti riitä. :)
 
Nuo oli kyllä edukkaita siellä. Alkaen ~30€ tasosta. Noissa kaikkein halvimmissa vain oli 2 tai 4Gb SSD levyt. Se ei taida riittää ainakaan pfsensen minimivaatimusten mukaan. Pitää vielä ajan kanssa selailla noita tai jotain muita joihin saa lisäverkkokortin. Näytti joku myyvän noita Fujitsuja valmiiksi lisäverkkokortilla ja pfsensellä, mutta niillä olikin sitten se ~140€ hintaa. Tuollainen micro (MFF) olisi mukavampi istuttaa nykyiseen kaappiin jossa verkkovermeet, mutta niissä ei taida yleensä olla tuota PCIe paikkaa mitä koitin kaivaa. Esim. tämän voisi muutoin hankkia. Pitänee katella noita SFF kokoisia.

edit: löytyi Saksasta 40€ +16€ postit hinnalla ihan hyvän oloinen S920 8Gb SSD:llä ja virtalähteellä. Meni tilaukseen. Tarkka malli 1050V920-GKV10

Tämä taitaa olla sen kokoluokan kortti, joka menisi tuohon sisälle?:
Intel PRO/1000 PT Dual Port Server Adapter Low Profile | eBay
Oisko linkkiä heittää koneeseen?
 
Näytti joku myyvän noita Fujitsuja valmiiksi lisäverkkokortilla ja pfsensellä, mutta niillä olikin sitten se ~140€ hintaa.

Mulla on kotona yks tollanen S920 Futro reitittämässä. Semmoinen varoitus että mikä tahansa riseri ei sovi tohon, koska se vaatii vähän hankalan korkeuden, mittaa en nyt muista. Yks vaihtoehto on erittäin lyhyt eli mielellään 5-10 cm pcie piuha, Fujitsun orkkisriseri jota saa vielä maailmalta odotuksella 30-40€ hintaan, tai sitten juuri oikea halpisriseri. Kaveri sanoi ostaneensa Multitronicin kautta tuollaisen orkkis-riserin, mutta mulla on itellä käytössä Amazonista tää malli: https://www.amazon.com/WLGQ-Adapter,Suitable-Desktop-Bitcoin-Transfer/dp/B08W3GQ2MS/ ja nimenomaan toi 8X Male-Female. Toi sopii pienellä vääntämisellä ja ite taisin tilata jostain eurooppalaisesta Amazonista. Tilasin sokkona muutamia tollasia halpiksia ja ainoastaan toi linkattu sopi niin ettei tarvinnu vääntää korttia isommin.

edit: kannattaa tsekata myös tää säie Fujitsu Futro S920 Thin Client as opnsense firewall
 
Viimeksi muokattu:
Oisko linkkiä heittää koneeseen?
Tämä on se mitä itse ostin, mutta tuli aika nopean haun päätteeksi tilattua. Voi löytyä parempiakin hinta -tehosuhteeltaan. Fujitsu Futro S920 ThinClient AMD 2.20GHz CPU 4GB RAM 8GB SSD power supply without base | eBay

Mulla on kotona yks tollanen S920 Futro reitittämässä. Semmoinen varoitus että mikä tahansa riseri ei sovi tohon, koska se vaatii vähän hankalan korkeuden, mittaa en nyt muista.

Kiitos tästä, enhän minä tuota riseriä älynnyt vielä ollenkaan, pitää laittaa hankintaan tuollainen vielä
 
Kiitoksia kaikille. Tilasin vermeet ja eiköhän tuossa elokuun alussa oo rautamuuri pystyssä. Tosin, sillä erolla että tilasin tehokkaamman 2c4t version tuosta.
 
Minulla on reititin-palomuurina Ubuntu 22.04 LTS, jota ajan UP Squared -koneessa: dual core Atom Celeron, 4 GiB RAM, 32 GiB eMMC.

Tuosta pienestä koneesta kuulin kaverini kautta. Linuxin kanssa olen jonkin verran tottunut säätämään, joten se oli minulle luontevampi valinta kuin jokin erikoistunut reititinkäyttöjärjestelmä / front end. Taisi minulla myös käydä mielessä pfSense, mutta näin joitain varoituksia Realtek-verkkopiirien toimivuudesta siinä. Linuxissa en ole huomannut mitään laitteisto- tai ajuriongelmia 400 Mbps nettiliittymällä.

Kone hoitaa tehtävänsä oikein hyvin nyt, kun Linuxin systemd osaa IPv6 prefix delegationin. Ubuntu 20.04 LTS:n vanhempi systemd-versio ei vielä osannut.
 
Lisätään vielä muillekin Fujitsun Futroja katseleville tiedoksi että näitä S920-mallisia löytyy yleensä paria sorttia eli kahden coren ~2.2 GHz kelloilla ja neljän coren ~1.5 GHz. S930-mallinimellä näkyy löytyvän tuota neljän coren ~2.4 GHz mallia, joka näkyy menevän nykyisellään noin tuplahintaan noihin yleisempiin S920-mallisiin verrattuna. Käyttötarkoituksesta riippuen voi haluta näistä jotain tiettyä mallia, mutta kaikki näistä ovat riittävän hyviä kotiliittymänopeuksiin ainakin tietoliikenteen osalta. En lähtisi lupailemaan että mikään raskaampi verkonvalvonta pysyy perässä, mutta en ole testannut.

Vertailun vuoksi näiden Futrojen AMD:n prossut ovat samaa perimää mutta uudempaa sarjaa kuin noissa noissa PC Enginesin APU2-koneissa mutta kyllä nämä jaksavat hyvällä PCIe-verkkokortilla pakettia puskea. Pitää muistaa että näiden TDP on mallista riippuen 7-25 W (S920:llä 7-15 W), ja nämäkin ovat isolla siilillä passiivivehkeitä eli siihen ja hintaan nähden todella hyvää rautaa.

Mainitaan vielä kuriositeettina että kun googlaa mallia Kontron D3313, niin voi löytää hyvää lisätietoa raudan alkuperästä.

Kiitos tästä, enhän minä tuota riseriä älynnyt vielä ollenkaan, pitää laittaa hankintaan tuollainen vielä

Tarkastin vielä että tuotenumerolla B08W3GQ2MS olen Italian Amazonista noita tilannut, löytyy varman Saksastakin samaa nykyään.
 
Tarkastin vielä että tuotenumerolla B08W3GQ2MS olen Italian Amazonista noita tilannut, löytyy varman Saksastakin samaa nykyään.

Saksan Amazoonista tilasin tällaisen. Hintaa 9,9€ + mahd. postit toki päälle jos pelkästään tuon tilaa.
 
Lisätään vielä muillekin Fujitsun Futroja katseleville tiedoksi että näitä S920-mallisia löytyy yleensä paria sorttia eli kahden coren ~2.2 GHz kelloilla ja neljän coren ~1.5 GHz. S930-mallinimellä näkyy löytyvän tuota neljän coren ~2.4 GHz mallia, joka näkyy menevän nykyisellään noin tuplahintaan noihin yleisempiin S920-mallisiin verrattuna. Käyttötarkoituksesta riippuen voi haluta näistä jotain tiettyä mallia, mutta kaikki näistä ovat riittävän hyviä kotiliittymänopeuksiin ainakin tietoliikenteen osalta. En lähtisi lupailemaan että mikään raskaampi verkonvalvonta pysyy perässä, mutta en ole testannut.

Vertailun vuoksi näiden Futrojen AMD:n prossut ovat samaa perimää mutta uudempaa sarjaa kuin noissa noissa PC Enginesin APU2-koneissa mutta kyllä nämä jaksavat hyvällä PCIe-verkkokortilla pakettia puskea. Pitää muistaa että näiden TDP on mallista riippuen 7-25 W (S920:llä 7-15 W), ja nämäkin ovat isolla siilillä passiivivehkeitä eli siihen ja hintaan nähden todella hyvää rautaa.

Mainitaan vielä kuriositeettina että kun googlaa mallia Kontron D3313, niin voi löytää hyvää lisätietoa raudan alkuperästä.



Tarkastin vielä että tuotenumerolla B08W3GQ2MS olen Italian Amazonista noita tilannut, löytyy varman Saksastakin samaa nykyään.

Tuli Youtubessa vastaan muuten tälläinen kommentti:

Also to mention that in the S920 there are 3 cpu versions :
AMD G-Series GX415GA @1.5Ghz Quad Core cpu
AMD G-Series GX222GC @2.2Ghz Dual Core cpu
AMD G-Series GX424CC @2.4Ghz Quad Core cpu

But the GX222GC model doesn't like a Quad port, i have tested this model with a few different Quad port cards, and with all, the ThinClient reboots when you pull traffic through it,even when browsing through the Web GUI of Pfsense and it reboots. With a Dual port card this model works fine, even at full speed. The GX415GA model like in this video works fine with Dual and Quad port cards, the GX424CC version i havn't tested yet, of this will except a Quad port card. The malfunction of a Quad port card in the GX222GC has (i guess) to do that the PCI-E slot doesn't provide enough power for the more energy hungry Quad port cards.
 
Tuli Youtubessa vastaan muuten tälläinen kommentti:

Mulla on oma reititin sattumalta justiinsa toi kahden coren malli eli GX-222GC, ja käytän siinä jotain vähän iäkkäämpää Intelin neljän portin korttia, joista yleensä useampi linkki pystyssä. Muistaakseni kyseinen kortti on i340-T4 ja taitaa olla noin 5 W vehje. Tota oon rääkänny täysiä ja pitkiä aikoja ilman ongelmia.

En tiedä siis taustoja tarkemmin mutta yksi käytännön esimerkki lisää muiden jatkoksi. Voi hyvin olla jollain yhdistelmällä noita syöttöongelmia. Noihin on tarjolla monenlaista poweria ja nuo D3313-pohjaiset emot tukevat aika laajaa käyttöjänniteskaalaa, tais olla powereiden maksimitehoissakin eroja. Muistaakseni joku Fujitsun manuaali listas noita liudan spekseineen.

Muoks: Poistin sekoilua kortin mallista, ihan oikein laitoin aluksi.
 
Viimeksi muokattu:
Otin tuon Tailscalen testiin. Asensin Netgate 1100 purkkiin. En nyt oikein tiedä onko tuolla pahemmin käyttöä. Nyt pääsee helposti toisesta verkosta hallitsemaan tuota verkkoa, jossa on tuo Netgate 1100 purkki.

Personal plan (free) käytössä.
1658599469412.png


Seuraaviin käyttöjärjestelmiin löytyy client ohjelmisto

Compare plans & features

Lawrence Systems

Tuossa Tailscalessa on näppärä tiedostojen siirto ominaisuus eli Taildrop.
 
Vettä on virrannut. Mikä tilanne?
Itse siirryin OpnSensestä PFSense Plussaan, koska halusin kokemusta nimenomaan PFSensestä, sillä sen osaamisesta voisi yrityspuolella olla todennäköisemmin hyötyä. Lisäksi huomasin, että PFSense sai XCP-NG:n virtuaaliverkkokortista enemmän irti, mutta koska minulla ei tällä hetkellä tuolle virtuaalialustalle muuta käyttöä ole kuin virtualisoitu palomuuri helpomman säätämisen takia, niin tein verkkokortti-passthrough'n. .Jäin kuitenkin em. syistä PFSensen käyttäjäksi. Mitä tulee erosta Community Editioniin, niin olen antanut itseni ymmärtää, että mitään et tuossa Community -> Plus -vaihdossa menetä, vaan saat ainoastaan ominaisuuksia lisää ja kotikäytössä tosiaan ilmaiseksi. Joillakin palstoilla tuntuu olevan iso asia se, että Plus on suljettua lähdekoodia, kun taas CE on avointa. Minulle tällä ei ole isompaa merkitystä, koska olen todennut, että sielunsa on IT-maailmassa joillekin tahoille myytävä, mutta varmaan joku tulee kohta kertomaan, miksi pitäisi olla :D. PFSense Plussan konffifilu on tätä kirjoitettaessa yhteensopiva Community Editionin kanssa, joten uudelleenasennuksen kautta pääsee takaisin CE:hen.

Lawrence Systems on tehnyt hyvän videon tuosta PFSense Plus 22.05:stä, ja siinä käydään myös noita eroja läpi:
pfSense Plus Version 22.05 is Now Available - YouTube

OpnSensestä taas jään kaipaamaan tuota tiuhaa päivitystahtia. Oli kivaa, kun FreeBSD- ja pakettipäivitykset saapuivat nopeasti käyttöön.
 
Viimeksi muokattu:
Kiitos. Sen vähän mitä olen ihmetellyt, niin mitään miinusta en ole nähnyt. Tässä tilanteessa ei myöskään ole mitään kiinnostusta siihen, että onko avointa vai ei :)

Pitikin oikein tarkistaa missä versiossa olin ja viimeisin(?) 2.6 CE tammikuulta(!)
 

Statistiikka

Viestiketjuista
257 833
Viestejä
4 485 166
Jäsenet
74 004
Uusin jäsen
S Mike

Hinta.fi

Back
Ylös Bottom