Tee-se-itse: Rautapalomuurit (pfSense, Sophos UTM..) (Mitä käytätte ja miksi juuri se vaihtoehto?)

Itse siirryin OpnSensestä PFSense Plussaan, koska halusin kokemusta nimenomaan PFSensestä, sillä sen osaamisesta voisi yrityspuolella olla todennäköisemmin hyötyä. Lisäksi huomasin, että PFSense sai XCP-NG:n virtuaaliverkkokortista enemmän irti, mutta koska minulla ei tällä hetkellä tuolle virtuaalialustalle muuta käyttöä ole kuin virtualisoitu palomuuri helpomman säätämisen takia, niin tein verkkokortti-passthrough'n. .Jäin kuitenkin em. syistä PFSensen käyttäjäksi. Mitä tulee erosta Community Editioniin, niin olen antanut itseni ymmärtää, että mitään et tuossa Community -> Plus -vaihdossa menetä, vaan saat ainoastaan ominaisuuksia lisää ja kotikäytössä tosiaan ilmaiseksi. Joillakin palstoilla tuntuu olevan iso asia se, että Plus on suljettua lähdekoodia, kun taas CE on avointa. Minulle tällä ei ole isompaa merkitystä, koska olen todennut, että sielunsa on IT-maailmassa joillekin tahoille myytävä, mutta varmaan joku tulee kohta kertomaan, miksi pitäisi olla :D. PFSense Plussan konffifilu on tätä kirjoitettaessa yhteensopiva Community Editionin kanssa, joten uudelleenasennuksen kautta pääsee takaisin CE:hen.

Lawrence Systems on tehnyt hyvän videon tuosta PFSense Plus 22.05:stä, ja siinä käydään myös noita eroja läpi:
pfSense Plus Version 22.05 is Now Available - YouTube

OpnSensestä taas jään kaipaamaan tuota tiuhaa päivitystahtia. Oli kivaa, kun FreeBSD- ja pakettipäivitykset saapuivat nopeasti käyttöön.
Yksi "merkittävä" asia mikä jäi herra Lawrenceltakin huomioimatta (tarkoituksella, tai ei) on, että Plus-versio lähettää jotain tietoja Netgatelle. Itse en osaa olla tästä mitään mieltä, ja mahdollisesti itsekin siirryn Plussaan jossain vaiheessa. Tämä on kuitenkin tärkeä tieto heille jotka välittävät koko asiasta. En tarkkaalleen muista mitä kaikkia asioita pfSense lähetti, vaikka kyse ei pitäisi olla mistään koko liikenteen kierrättämisestä kuitenkaan. :)
 
Yksi "merkittävä" asia mikä jäi herra Lawrenceltakin huomioimatta (tarkoituksella, tai ei) on, että Plus-versio lähettää jotain tietoja Netgatelle. Itse en osaa olla tästä mitään mieltä, ja mahdollisesti itsekin siirryn Plussaan jossain vaiheessa. Tämä on kuitenkin tärkeä tieto heille jotka välittävät koko asiasta. En tarkkaalleen muista mitä kaikkia asioita pfSense lähetti, vaikka kyse ei pitäisi olla mistään koko liikenteen kierrättämisestä kuitenkaan. :)
Okei. Kiitos tiedosta. Eittämättä tärkeä asia ottaa huomioon!

Kiitos. Sen vähän mitä olen ihmetellyt, niin mitään miinusta en ole nähnyt. Tässä tilanteessa ei myöskään ole mitään kiinnostusta siihen, että onko avointa vai ei :)

Pitikin oikein tarkistaa missä versiossa olin ja viimeisin(?) 2.6 CE tammikuulta(!)
Juu, tämä on yksi lisäsyy, joka nähtävästi puoltaa Plussan käyttöä. Plus kun tuntuu päivittyvän edes vähän nopeammalla tahdilla kuin Community Edition. En tiedä, koska aikovat saada 2.7:n ulos, mutta eihän tässä seuraavaan Plus-versioonkaan pitäisi olla montaa kuukautta aikaa. Jos lyhyen otannan perusteella pitäisi arvailla, niin lokakuussa voisi olla 22.09:n julkaisu.

Onkohan PFSensen siirtymisestä FreeBSD 13:een tai 13.1:een jotakin tietoa?
 
Viimeksi muokattu:
OPNsense 22.7 julkaistu.
Omassa testilabrassa kolmeen kohtuullisen monimutkaiseen (virtuaaliseen) päivitetty, ja ei ongelmia. Ajoin myös rohkeana APU2-rautavehkeeseen, ja hienosti meni.
Nyt on vaan pienenä ongelmana, että rautavehje on ufs ja suositus on zfs. Tarkoittanee re-install ja konfiguraatio sisään. Täten serial -> USB -kaapelin etsintää, koska nuo APU2:set menevät ainoastaan serial -installilla.
 
Itsellä on ollut tuo pfsense plus käytössä 14.2.2022 lähtien (Shuttle). Tuo aktivointi token on sidottu tuohon Shuttle rautaan niin sitä ei käsittääkseni pysty siirtämään toiseen laitteeseen. Jos haluaa toiseen laitteeseen niin tilattava uusi koodi.
 
Viimeksi muokattu:
OPNsense 22.7 julkaistu.
Omassa testilabrassa kolmeen kohtuullisen monimutkaiseen (virtuaaliseen) päivitetty, ja ei ongelmia. Ajoin myös rohkeana APU2-rautavehkeeseen, ja hienosti meni.
Nyt on vaan pienenä ongelmana, että rautavehje on ufs ja suositus on zfs. Tarkoittanee re-install ja konfiguraatio sisään. Täten serial -> USB -kaapelin etsintää, koska nuo APU2:set menevät ainoastaan serial -installilla.

Tarvitsisi itsekin tehdä tuo sama ufs -> zfs uudelleenasennus. Viimeksi kun asentelin OPNsenseä ei asennusohjelma tukenut vielä zfs:ää, tuki tuli heti seuraavassa versiossa muutama viikko myöhemmin.

Ainut että kakkospalomuurin konffi on hapantunut kun en saanut asetusten synkkausta pelittämään pfSync/HA kötöstyksellä eikä ole motivoinut yrittää uudelleen. Ja pitäisi saada se kakkosmuuri linjalle siksi aikaa kun päivittää tuon siltä varalta että karahtaa kivikkoon.
 
Itse siirryin OpnSensestä PFSense Plussaan, koska halusin kokemusta nimenomaan PFSensestä, sillä sen osaamisesta voisi yrityspuolella olla todennäköisemmin hyötyä. Lisäksi huomasin, että PFSense sai XCP-NG:n virtuaaliverkkokortista enemmän irti, mutta koska minulla ei tällä hetkellä tuolle virtuaalialustalle muuta käyttöä ole kuin virtualisoitu palomuuri helpomman säätämisen takia, niin tein verkkokortti-passthrough'n. .Jäin kuitenkin em. syistä PFSensen käyttäjäksi. Mitä tulee erosta Community Editioniin, niin olen antanut itseni ymmärtää, että mitään et tuossa Community -> Plus -vaihdossa menetä, vaan saat ainoastaan ominaisuuksia lisää ja kotikäytössä tosiaan ilmaiseksi. Joillakin palstoilla tuntuu olevan iso asia se, että Plus on suljettua lähdekoodia, kun taas CE on avointa. Minulle tällä ei ole isompaa merkitystä, koska olen todennut, että sielunsa on IT-maailmassa joillekin tahoille myytävä, mutta varmaan joku tulee kohta kertomaan, miksi pitäisi olla :D. PFSense Plussan konffifilu on tätä kirjoitettaessa yhteensopiva Community Editionin kanssa, joten uudelleenasennuksen kautta pääsee takaisin CE:hen.

Lawrence Systems on tehnyt hyvän videon tuosta PFSense Plus 22.05:stä, ja siinä käydään myös noita eroja läpi:
pfSense Plus Version 22.05 is Now Available - YouTube

OpnSensestä taas jään kaipaamaan tuota tiuhaa päivitystahtia. Oli kivaa, kun FreeBSD- ja pakettipäivitykset saapuivat nopeasti käyttöön.
Itselläni käytössä opnsense ja tykkään kovasti, mahdollisuus asentaa suoraan vaikkapa freebsd paketteja on pirun kova ja bugipäivitykset ja tietoturvakorjaukset tulevat nopeaa tahtia. SOfta on myös täysin avointa koodia, joka on itselleni tärkeä asia. TOisaalta, voisi vaihtaa palomuurin suoraan openbsd pohjaiseksi jota hallitaan komentoriviltä. Opnsensellä kahdennettu palomuuri olisi ihan mielenkiintoista toteuttaa, vaatiko tuo oman verkkokorttinsa klusterointiliikenteelle? Luokittelen itseni kavereihin jotka eivät myy sieluaan kenelekään, vaan avoin koodi sekä opensourceideologia kunniaan.
 
Äsken palomuuri boottas ittensä ilman mitään ilmotusta. Yritin lokeja katella, mut en varmaan osannut oikeasta paikkaa ettiä, kun ainakaan tästä ei tullut hullua hurskaammaksi:

1660062973257.png
 
Äsken palomuuri boottas ittensä ilman mitään ilmotusta. Yritin lokeja katella, mut en varmaan osannut oikeasta paikkaa ettiä, kun ainakaan tästä ei tullut hullua hurskaammaksi:

1660062973257.png
Ettei vaan rauta tekisi kuolemaa? Se tuskin selviäisi pfSensen lokeista.
 
Ettei vaan rauta tekisi kuolemaa? Se tuskin selviäisi pfSensen lokeista.

Jaa, no miksi se tekis kuolemaa jos se kerran tässä pari päivää vasta on ollut mulla käytössä? Toki Ebaysta ostettu, joten mistäpä näistä tietää. Hyväkuntoiselta vaikutti, ei ollu mikään rusikoitu malli.
 
Äsken palomuuri boottas ittensä ilman mitään ilmotusta. Yritin lokeja katella, mut en varmaan osannut oikeasta paikkaa ettiä, kun ainakaan tästä ei tullut hullua hurskaammaksi:

1660062973257.png

Ukkosta lähimailla (jännitepiikit matkaa pahimmillaan/parhaimmillaan pirun kauas), tai alle sekunin mittainen sähkökatko (osa koneista sen kestää, osa sammuu ja osa boottaa)?
 
Nyt kun sain 3d tulostetun low bracketin tuohon Quad NIC korttiin niin kävi vähän se mitä pelkäsinkin. Kortti kippailee konetta heti ku puskee jotai liikennettä läpi.

AMD G-Series GX424CC @2.4Ghz Quad Core CPU // Futro S930 :lla ei siis 4-porttiset verkkokortit toimi, ainakaan omani. Ei muutaku 2 porttinen kiinni ja räpeltämään VLAN :ien kanssa sit.
 
Sain pfsensen käyttöönotettua. Perusjutut hieroin yhdessä illassa kohdalleen, mm. OpenVPN käyttöönotto oli simppeli. Ensimmäisenä pisti silmään että kaikenlaista namiskaa ja säätöä on paljon ja käyttöliittymä melko sekava verrattuna aiempaan Synologyn reitittimeen. Heti alkuunsa alkoi kaipaamaan yksinkertaista "verkon valvontaa", johon Synologyssa tottui. Meinaan sillä tasolla, että jos vaikkapa etäpalaveria pukkaa ja huomaan että jotenkin verkko tukossa, niin Synologyssa katsoi nopeasti, että mikä kaikista tietokoneista (reilu puolen kymmentä tässä verkossa) tai mobiililaitteista (näitäkin reilu puolisen kymmentä) nyt juuri imuttaa koko kaistan leveydeltä tavaraa ja sitten pystyi helposti samalla ko. laitteen kaistaa rajoittamaan. Tässä pfsensessä en suoraan löytänyt vastaavia toiminnallisuuksia, mutta varmastikin sellainen on (ehkä traffic sharping rajoitukseen?). Asentelin ntopng:n ja sillä jo jotain verkon käytöstä jotain näkee, mutta sitäkin vaivaa kyllä yleinen sekavuus. Noh sen perusteella tuli eteen jotain sellaista liikennettä, että asensin varalta vielä snortin. Siinä saakin aikaa menemään kun tämän säätää kohdalleen... Ominaisuuksia itse muurissa on kyllä kivasti ja ajan kanssa niistä saanee takaisin sen mitä käytettävyydessä on tähän mennessä menettänyt Synologyyn verrattuna. Töissä jonkin verran tulee Ciscon muureja rapattua ja on näissä paljon vastaavuuksia, tosin uudemmat Ciscot on taas käyttöliittymältään paljon selkeämpiä.

Lisäystä: Nyt on myös pfblockerng-devel käytössä ja hyödytkin alkaa jo paremmin näkymään. Paljon on vielä opettelua ja sen myötä hienosäätöä tiedossa, mutta sanoisin että nyt alkaa olemaan ns. hyvässä lähtösetupissa tämä muuri. Nyt vain seurailemaan ja tekemään hienosäätöä sääntöihin. Vähän epäilin, että alkaako noita paketteja olemaan kohta tuolle raudalle jo liikaakin käytössä, mutta ei näytä vielä pahalta. CPU käyttö pyörii pääosin alle 10% ja muistista (4Gb) käytössä ~40%. Nyt openvpn, snort, ntopng ja pfblocker. Voi olla että tuo snort jää tarpeettomana pois kunhan nyt ensin seurailen jonkin aikaa vieläkö sille jää jotain "oikeaa hommaa". Nyt snortti vain seurailee, ei ole blokkaus käytössä.
 
Viimeksi muokattu:
Mikähän ongelma tuon pfblockerng:n kanssa nyt on? Otin käyttöön vielä tuon blacklistauksen. Tuolla ei vaikuta kuitenkaan olevan mitään vaikutusta. Jos esim. enabloin vaikka molemmilta listoilta (shalla+ut1) pornosivustot ja sen jälkeen teen force reloadin DNSBL kannalle, niin senkin jälkeen ihan ongelmitta pääsee yleisille pornosivustoille kuten pornhub. Mitä muita taikoja pitää tehdä että tuon blacklistin saa toimimaan? En myöskään huomannut raudan resurssien käytössä mitään eroa tuon käyttöönoton jälkeen.

1660984876627.png


TLD:n otin käyttöön myös

1660985144398.png


Lisäys:
Googlailun perusteella tuli vastaa mm. tämä
DNSBL Category and memory issue : pfBlockerNG (reddit.com)
Ehkäpä tässä on jotain älliä tullut lisää ja ko. listojen lataus estetään kun raudassa ei riitä niihin potku... Vaikuttaisi vaativan yhden pornokategorian lisääminen 8Gb muistia vähintään ja minulla on 4Gb. Nyt kun lueskelin noita päivityslogeja lävitse, niin vaikuttaisi että ei edes ala lataamaan lainkaan noita shallalist tai ut1. Poistin tuon pornokategorian ja kokeilin jättää muutaman muun pienemmän, mutta eipä nekään tule käyttöön. Eli jokin bugi/jumi tuon kanssa nyt on.
 
Viimeksi muokattu:
Mikähän ongelma tuon pfblockerng:n kanssa nyt on? Otin käyttöön vielä tuon blacklistauksen. Tuolla ei vaikuta kuitenkaan olevan mitään vaikutusta. Jos esim. enabloin vaikka molemmilta listoilta (shalla+ut1) pornosivustot ja sen jälkeen teen force reloadin DNSBL kannalle, niin senkin jälkeen ihan ongelmitta pääsee yleisille pornosivustoille kuten pornhub. Mitä muita taikoja pitää tehdä että tuon blacklistin saa toimimaan? En myöskään huomannut raudan resurssien käytössä mitään eroa tuon käyttöönoton jälkeen.

1660984876627.png


TLD:n otin käyttöön myös

1660985144398.png


Lisäys:
Googlailun perusteella tuli vastaa mm. tämä
DNSBL Category and memory issue : pfBlockerNG (reddit.com)
Ehkäpä tässä on jotain älliä tullut lisää ja ko. listojen lataus estetään kun raudassa ei riitä niihin potku... Vaikuttaisi vaativan yhden pornokategorian lisääminen 8Gb muistia vähintään ja minulla on 4Gb. Nyt kun lueskelin noita päivityslogeja lävitse, niin vaikuttaisi että ei edes ala lataamaan lainkaan noita shallalist tai ut1. Poistin tuon pornokategorian ja kokeilin jättää muutaman muun pienemmän, mutta eipä nekään tule käyttöön. Eli jokin bugi/jumi tuon kanssa nyt on.
Shalla list on lopetettu niin siksi ei varmaan sitä lataa. Liekkö käyny sama UT:lle kun ei minun IPFirekään ole näköjään melkeen kahteen viikkoon listaa päivittäny.

Lisäys.

Ilmeisesti ftp yhteydet pätkii UT:lle.
 
Viimeksi muokattu:
Nyt kun sain 3d tulostetun low bracketin tuohon Quad NIC korttiin niin kävi vähän se mitä pelkäsinkin. Kortti kippailee konetta heti ku puskee jotai liikennettä läpi.

AMD G-Series GX424CC @2.4Ghz Quad Core CPU // Futro S930 :lla ei siis 4-porttiset verkkokortit toimi, ainakaan omani. Ei muutaku 2 porttinen kiinni ja räpeltämään VLAN :ien kanssa sit.

Tuo on tympeä homma. Koitin tuossa hieman googlailla löytyisikö tuohon mitään apuja, mutta mitään selvää ei osunut vastaan. Syy ja parannusehdotukset jäävät omaltakin osaltani spekulaatioksi aina sieltä virransyötöstä hieman bugisiin ajureihin. Ilmeisesti noita S920-S930 on myyty vielä erillisellä PCIe-väyläisellä näyttikselläkin, joten luulisi, että sieltä sähköä irtoaa!

Jos saat kokeiltua eri verkkokorteilla tuota, niin tulokset olisi mielenkiintoista kuulla. Toivotaan että sieltä löytyy jokin helppo ja toimiva kombo, ei ole hauskaa tai halpaa puuhaa alkaa hommaamaan satunnaisia kortteja sen toivossa, että joku toimii nätisti...

Saiko @Samppam muuten Futronsa kuntoon? Yllä näkyykin viestiä pfsensen käyttöönotosta ja arvelin että nyt olisi Fujitsusta myös kyse.
 
Saiko @Samppam muuten Futronsa kuntoon? Yllä näkyykin viestiä pfsensen käyttöönotosta ja arvelin että nyt olisi Fujitsusta myös kyse.
Joo kyllä mulla tuo aiemmin tässä ketjussa mainittu Futro on nyt tulilla. Intelin dual nicillä. Itse rauta toiminut moitteetta, mutta toki vasta jokin päivä takana. Ehkä olisi pitänyt etukäteen tutkia tarkemmin ja hankkia suoraan vielä jämerämpää rautaa. Tosin saanee tähänkin muistia lisättyä, se lienee ensimmäisenä tullee vastaan. Ja muutenkin nyt alkuun tullut laitettua monenlaista pakettia ihan testaillessa. Pikku hiljaa karsitaan ja jätetään vain olennainen. Nyt juuri load average 0.65, 0.61, 0.67.
 
Viimeksi muokattu:
  • Tykkää
Reactions: MLL
Itsellä 8GB RAM vähän vajaalla käytöllä. 352 MB (4%) kuluu. 32GB SSD:stä sentään 18% käytössä Opnsense/ufs.
i3-4160 CPU @ 3.60GHz (2 cores, 4 threads) CPU:n kuormitus;
Load average 0.18, 0.19, 0.12

No mieluummin varaa käyttää tehoa kuin että 70% 24/7
 
Siitä se alkaa, @escalibur :n suosittelemana lähtee vanhat reititinraudat (Zyxel Multy x) vaihtoon ja tilalle Pfsense. Raudaksi Dell Wyse 5070 extended, 10w tdp, 8gb ram, 64gb ssd, intel j5005, Ciscon i350 4port 1gb lan kortti. Omaan käyttöön aivan overkill, mutta jääpähän kasvun varaa ja samalla tukee ammatillista osaamista. AP:ksi tulee varmaankin Ubiquiti 6 LR ja dummy kytkin kaverina. Hallittavalla kytkimelle en nähnyt omassa käytössä mitään tarvetta.

Jos ihmisiä kiinnostaa, niin mielelläni kerron kokemuksia jne kunhan saan raudat ja asennettua.

Kokonaiskustannus oli noin 220€ posteineen.
 
Hei kokeilin pari vuotta sitten nano pi R1 palomuurina softana tais olla openwrt. Kannattaa katsoa tuolta NanoPi R1
hyvät puolet
-Ei kuluta paljonkaan sähköä
-todella pieni
-avoin
-helppous
huonot
-langallisella pätki ehkä kerran päivässä.
en ehtinyt kokeilla langatonta kun vaihtu tuo ubiquitin palomuuriin. Pätkimisen syytä en saanut selville Mistä johtu.
 
Oli kaikenlaista säätöä, joten ehdin vasta nyt tunkata pfsensen ajoon. Konffasin sen toivoakseni niin, että LAN:n ulkopuolelle suuntautuva liikenne menee OpenVPN:llä Mullvadin VPN-palvelimille. Näin voi luopua vpn clienttien käytöstä laitteilla, mikä aiheutti kaikenlaista päänsärkyä monissa asioissa.

Tarviiko pfsenselle jotain muuta tunkkausta tehdä? IoT-laitteille mulla on oma vlan, mutta muuten. Onko palomuuri ym. asetukset valmiiksi ok, vai pitääkö jotain lisäsäätöä tehdä?

Miten hoidatte mobiilidatalla puhelimen VPN-hommat? Ajatteko VPN-palvelinta pfsensellä, ja puhelin kierrättää datan sen kautta? Vai suoraan mullvad clientillä?

Miten puhelimen (android) saisi säädettyä niin, että data ei kulje vpn:n läpi kun se on kotona kotiwifin päässä, mutta muuten kulkee?

Edit: 70MB/s nopeudella VPN:n kautta CPU usage on vajaa 20% tällä Prodesk G3:lla, jossa on i3 6300T.

Edit2: vakiona virransäästö ei ollut päällä, vaan prossu pyöri aina 3,2Ghz taajuudella. Asetuksista virransäästön sai päälle, joten prossu käy vain 800-1000Mhz matalalla kuormalla.

Kulutus näemmä ~14W idlenä dual nicin kanssa. En tiedä voisiko tuota jotenkin vielä saada laskettua. N. 700Mbps ladatessa VPN:n läpi Openvpn:llä kulutus ~25W seinästä. Ehkä wireguardilla tuota saisi laskettua?
 
Viimeksi muokattu:
Oli kaikenlaista säätöä, joten ehdin vasta nyt tunkata pfsensen ajoon. Konffasin sen toivoakseni niin, että LAN:n ulkopuolelle suuntautuva liikenne menee OpenVPN:llä Mullvadin VPN-palvelimille. Näin voi luopua vpn clienttien käytöstä laitteilla, mikä aiheutti kaikenlaista päänsärkyä monissa asioissa.

Tarviiko pfsenselle jotain muuta tunkkausta tehdä? IoT-laitteille mulla on oma vlan, mutta muuten. Onko palomuuri ym. asetukset valmiiksi ok, vai pitääkö jotain lisäsäätöä tehdä?

Miten hoidatte mobiilidatalla puhelimen VPN-hommat? Ajatteko VPN-palvelinta pfsensellä, ja puhelin kierrättää datan sen kautta? Vai suoraan mullvad clientillä?

Miten puhelimen (android) saisi säädettyä niin, että data ei kulje vpn:n läpi kun se on kotona kotiwifin päässä, mutta muuten kulkee?

Edit: 70MB/s nopeudella VPN:n kautta CPU usage on vajaa 20% tällä Prodesk G3:lla, jossa on i3 6300T.

En osaa antaa vastauksia siitä mikä on oikea tapa. Itsellä vähän vastaava setuppi pfSense+Mullvad(Wireguard). Sisäverkossa 3 vlania (Lan, IoT ja Guest) josta kaikista menee liikenne eri kautta ulos. Lan -> Wireguard1, IoT -> Wireguard2 ja Guest menee suoraan operaattorin liittymästä.

Olen kyllä säätänyt käsin lähes kaiken pfSensessä enkä ajanut sitä Wizardia ollenkaan niin en osaa sanoa mitä lisäsäätöä siihen kannattaa tehdä.

Puhelinta pidän yleensä kotona WiFI:ssä Guest:ssä enkä siis reititä sitä VPN:n yli vaan suoraan Elisan liittymästä. Voisi tosiaan jonkun setupin rakentaa wireguardilla että se kytkeytyy mobiilidatassa aina omaan pfSenseen ja sitä kautta ulos. Koska se menee itsellä Elisan liittymästä ulos eikä VPN:stä niin se ei taida tässä tilanteessa tuoda hirveästi lisäarvoa. Jos sen haluaa aina VPN:n kautta reititittää niin voi tosiaan olla yksinkertaisempi ajaa sitä androidin mullvad clienttia suoraan puhelimella. Itsellä ne muutamat kerrat kun kierrän jotain maan-estoa niin se on toiminut ihan ok.

En tiedä oliko tuo implementointi selkeä mutta lyhyesti jos haluat pitää puhelinta samassa verkossa kuin muita laitteita mutta ajaa sitä WAN:n kautta ulos etkä VPN: niin teet puhelimelle policyn ennen defaulta policyä. Puhelimen policyn tulisi matchata vain puhelimen osoitetta (Source IP) ja sen policyn gatewayksi tulisi määritellä eri gateway(WAN) kuin muulla liikenteellä. (Googlaa pfsense policy based routing)

Yleisesti sanoisin vinkiksi että mitä monimutkaisemman setupin rakentaa sitä enemmän vianselvittelyä saa tehdä ie. "keep it simple". Teen itse vastaavia hommia työkseni (en pfSense:llä) ja aika monta iltaa on vierähtänyt vianselvittelyssä ja välillä(usein) tuntee ittensä tyhmäksi kun ei saa jotain juttua toimimaan minkä on ainakin 100 kertaa konffannut töissä jollain toisella laitteella.

Ei voi muuta kuin nostaa hattua täällä ihmisille jotka tekevät monimutkaisia pfSense konffeja ilman sen kummempaa IP verkkojen koulutusta tai kokemusta.
 
Oli kaikenlaista säätöä, joten ehdin vasta nyt tunkata pfsensen ajoon. Konffasin sen toivoakseni niin, että LAN:n ulkopuolelle suuntautuva liikenne menee OpenVPN:llä Mullvadin VPN-palvelimille. Näin voi luopua vpn clienttien käytöstä laitteilla, mikä aiheutti kaikenlaista päänsärkyä monissa asioissa.

Tarviiko pfsenselle jotain muuta tunkkausta tehdä? IoT-laitteille mulla on oma vlan, mutta muuten. Onko palomuuri ym. asetukset valmiiksi ok, vai pitääkö jotain lisäsäätöä tehdä?

Miten hoidatte mobiilidatalla puhelimen VPN-hommat? Ajatteko VPN-palvelinta pfsensellä, ja puhelin kierrättää datan sen kautta? Vai suoraan mullvad clientillä?

Miten puhelimen (android) saisi säädettyä niin, että data ei kulje vpn:n läpi kun se on kotona kotiwifin päässä, mutta muuten kulkee?

Edit: 70MB/s nopeudella VPN:n kautta CPU usage on vajaa 20% tällä Prodesk G3:lla, jossa on i3 6300T.

Edit2: vakiona virransäästö ei ollut päällä, vaan prossu pyöri aina 3,2Ghz taajuudella. Asetuksista virransäästön sai päälle, joten prossu käy vain 800-1000Mhz matalalla kuormalla.

Kulutus näemmä ~14W idlenä dual nicin kanssa. En tiedä voisiko tuota jotenkin vielä saada laskettua. N. 700Mbps ladatessa VPN:n läpi Openvpn:llä kulutus ~25W seinästä. Ehkä wireguardilla tuota saisi laskettua?
Kannattaa ottaa myös AES-NI-kiihdytyksen käyttöön mikäli et ole jo ottanut.

pfSense on oletuksena äärimmäisen turvallinen ja käytännössä käyttäjän tekemät muutokset ovat yleensä se suurin ja todennäköisin tietoturvariski. Oletusasetukset palvelevat siis 99% tapauksista, mikäli joidenkin tarvitsemia porttiavauksia yms ei lasketa.

Jos haluatte pitää asiat entistäkin yksinkertaisimpina, IoT-laitteet voivat yhtä hyvin olla samassa verkossa vieraiden (Guest) kanssa. Henkilökohtaisesti en näe niille mitään syytä pitää ne erillään. Paitsi tietty silloin kun IoT on astetta syvällisempi räpellys. :)

Mulla on to-do listalla video-opas pfBlockerNG:sta, jolla voi estää lähtevän liikenteen kyseenalaisiin osoitteisiin (myös IP-osoitteet).
 
Viimeksi muokattu:
Laitoin myös aes-ni:n päälle juu.
Jotain kryptografiajuttuja, jonka hyödystä en tiedä mitään. On ainakin päällä, kun prossu niitä tuki. En taida sitten sen enempää koskea asetuksiin. Itsellä ei ole vierailijaverkkoa, pelkästään oma ja iot.
 
Kulutus näemmä ~14W idlenä dual nicin kanssa. En tiedä voisiko tuota jotenkin vielä saada laskettua. N. 700Mbps ladatessa VPN:n läpi Openvpn:llä kulutus ~25W seinästä. Ehkä wireguardilla tuota saisi laskettua?
Ei sitä kulutusta taida saada laskettua. Joskus ajoin pfSenseä i7-7700T prossulla, jonka emolla oli kaksi verkkokorttia ja sitten oli vielä yksiporttinen lisäverkkokortti. Kulutus idlessä muistaakseni 15-20W.
Voihan koneen biossista tarkistaa onko siellä jotain virransäästöasetuksia. Turhat äänikortit jne. ainakin voi ottaa pois käytöstä, mutta ei ne taida pahemmin kulutusta tiputtaa.
 
Siitä se alkaa, @escalibur :n suosittelemana lähtee vanhat reititinraudat (Zyxel Multy x) vaihtoon ja tilalle Pfsense. Raudaksi Dell Wyse 5070 extended, 10w tdp, 8gb ram, 64gb ssd, intel j5005, Ciscon i350 4port 1gb lan kortti. Omaan käyttöön aivan overkill, mutta jääpähän kasvun varaa ja samalla tukee ammatillista osaamista. AP:ksi tulee varmaankin Ubiquiti 6 LR ja dummy kytkin kaverina. Hallittavalla kytkimelle en nähnyt omassa käytössä mitään tarvetta.

Jos ihmisiä kiinnostaa, niin mielelläni kerron kokemuksia jne kunhan saan raudat ja asennettua.

Kokonaiskustannus oli noin 220€ posteineen.
Itse kone nyt saapunut, koko jota pelkäsin extended variantilla isommaksi olikin omasta mielestäni hyvin kompakti. Valmistusvuosi 2021, eli tämähän on melkein uusi! Lan-kortin toimitus meni ensi viikolle, siitä ja rakentelusta myöhemmin lisää. Ohessa pari havainnekuvaa. Kokoa hahmottamassa mukana iPhone 13.

Edit. Sellainen huomio, että tämä ei ole passiivisesti jäähdytetty, kuten kuvasta näkyy. Tämä ei tosi itselle ollut yllätys, eikä vaikuttava tekijä.
 

Liitteet

  • IMG_20220902_112544.jpg
    IMG_20220902_112544.jpg
    3,8 MB · Luettu: 199
  • IMG_20220902_112526.jpg
    IMG_20220902_112526.jpg
    2,8 MB · Luettu: 203
  • IMG_20220902_112121.jpg
    IMG_20220902_112121.jpg
    3,2 MB · Luettu: 208
  • IMG_20220902_111921.jpg
    IMG_20220902_111921.jpg
    3,8 MB · Luettu: 201
  • IMG_20220902_111842.jpg
    IMG_20220902_111842.jpg
    4,8 MB · Luettu: 195
Mistä tuollaisen sai tuohon hintaan? Aika pieni ja söpö :btooth:

Esim. tuolta.
 

Esim. tuolta.
Mistä tuollaisen sai tuohon hintaan? Aika pieni ja söpö :btooth:
Jep, näyttäisi olevan juuri sama myyjä vielä. Itsellä oli myös mukana pcie riseri, että saa lan-kortin suoraan paikalleen.
Lan-kortti oli 55€ posteineen.
 
Eikö ennemin kannattaisi tuollainen Aliexpressin täysin passiivinen kone, enemmän tehoa samaan hintaan ja valmiiksi 4x2.5G portit:

195.66€ 47% OFF|Fanless Soft Router Celeron N5105 Mini PC Quad Core 4 Intel i225 2.5G LAN 2xDDR4 NVMe HD MI VGA pfSense Firewall Appliance ESXi|Mini PC| - AliExpress
Samoilla spekseillä 273€ ja noissa on osassa ollut netin mukaan kuumenemis ongelmia. Toki mietin myös tuota, mutta toi Wyse vei nyt voiton omissa valinnoissa
 
Eikö ennemin kannattaisi tuollainen Aliexpressin täysin passiivinen kone, enemmän tehoa samaan hintaan ja valmiiksi 4x2.5G portit:

195.66€ 47% OFF|Fanless Soft Router Celeron N5105 Mini PC Quad Core 4 Intel i225 2.5G LAN 2xDDR4 NVMe HD MI VGA pfSense Firewall Appliance ESXi|Mini PC| - AliExpress

Tuosta nyt ei ota taaskaan selvää onko siinä i225 vai i226, ensiksi mainitut ainakin taisivat olla täyttä paskaa. i226:sta ei havaintoja mutta ainakin minulle olisi riittävä syy siirtyä seuraavaan vaihtoehtoon.
 
Tuosta nyt ei ota taaskaan selvää onko siinä i225 vai i226, ensiksi mainitut ainakin taisivat olla täyttä paskaa. i226:sta ei havaintoja mutta ainakin minulle olisi riittävä syy siirtyä seuraavaan vaihtoehtoon.
Ilmeisesti v3 on ok, mutta miten alista tietää mitä tulee? Source.
Itse halusin vapautta rakentaa/vaihtaa ja tuollaisen pikkuisen kanssa sitä ei ole. Halusin myös varmasti varmatoimisen nicin koska se on tärkein pfsensen komponentti, siksi erikseen metsästin käytetyn i350:n, koska sen pitäisi olla about paras giganen neliporttinen.
 
Tuosta nyt ei ota taaskaan selvää onko siinä i225 vai i226, ensiksi mainitut ainakin taisivat olla täyttä paskaa. i226:sta ei havaintoja mutta ainakin minulle olisi riittävä syy siirtyä seuraavaan vaihtoehtoon.
i225-v B3 siinä on, itsellä sama joskin vanhemmalla Celeron J4125:llä ja ei ole mitään pahaa sanottavaa ollut mitä nyt 3kk ollut käytössä. Toki vaan 1Gbit kytkin niin 2.5Gbit nopeudesta en tiedä mutta sen 1Gbit ainakin reitittää muurin läpi nätisti verkosta toiseen 10-13% kuormituksella eikä ole ikinä paketteja tiputtanut tmv.
 
Ilmeisesti v3 on ok, mutta miten alista tietää mitä tulee? Source.

Tuostakin vähän ristiriitaista tietoa tulee vastaan, osa sanoo että ei ongelmia mutta löytyy soraääniäkin. Lieneekö yksilövaihtelua tai väärin merkattuja piirejä. Mutta mitä Intelin WLAN piireistä on empiiristä kokemusta, niin tunnetusti ongelmia aiheuttaneen piirin myöhempi "varmasti toimiva" revision voi edelleen olla roskaa.

En tiedä saako varmuutta muuten kun ostamalla ja katsomalla mitä tulee, joka tapauksessa tullaan tähän alempaan.

Itse halusin vapautta rakentaa/vaihtaa ja tuollaisen pikkuisen kanssa sitä ei ole. Halusin myös varmasti varmatoimisen nicin koska se on tärkein pfsensen komponentti, siksi erikseen metsästin käytetyn i350:n, koska sen pitäisi olla about paras giganen neliporttinen.

Nimenomaan, reititin/palomuuripurkkiin se NIC on aikalailla avainkomponentti. Sen vuoksi en itse edes harkitsisi konetta jossa on kiinteänä NIC joka voi olla susi. Sitä kun ei voi edes vaihtaa.

i225-v B3 siinä on, itsellä sama joskin vanhemmalla Celeron J4125:llä ja ei ole mitään pahaa sanottavaa ollut mitä nyt 3kk ollut käytössä. Toki vaan 1Gbit kytkin niin 2.5Gbit nopeudesta en tiedä mutta sen 1Gbit ainakin reitittää muurin läpi nätisti verkosta toiseen 10-13% kuormituksella eikä ole ikinä paketteja tiputtanut tmv.

Tuo oli enemmän vastauksena kysymykseen "eikö kannattaisi". Eli ei välttämättä, henkilökohtaisesti en tuollaiseen sotkeentuisi ellei olisi vaihtoehtoja. Mutta nämä on näitä valintoja, joku voi nähdä mahdollisuuksia siellä missä toisella on vain riskejä.
 
Onko kellään tietoa näiden Teklagerin APU2 purkkien suorituskyvystä cake qos:n kanssa ? 100MBit/s yhteydellä ei ole ollut pienintäkään ongelmaa, mutta olen aikeissa päivittää kuituliittymän ehkä 500/500:ksi, joten rupesin miettimään että tukehtuuko APU2 noihin nopeuksiin ? Ilman QOS:ia varmaan gigasesta suoriutuu kyllä. Käyttiksenä openwrt. Ja laite on PC Engines APU2E0 - 2 LAN, GX-412TC quad core, 2GB RAM.

EDIT: Miten muuten yleisesti, jos tehot ei ko. toimintaan riitä, niin onko parempi vain olla käyttämättä QOS:ia vai vaan tyytyä siihen, että tulee "hickuppeja" jos on tullakseen ?

EDIT2: Juurikin näin kuten juuhokei sanoo alla. Eli QOS piti kytkeä pois päältä, ei riitä potku laitteissa ja nopeudet jäävät jonnekkin 300-400 Mbit/s maastoon jos sqm qos on päällä. Aika marginaaliseksi jää bufferbloat haitat tällä kaistalla. Voi olla ettei haittaa ikinä.
 
Viimeksi muokattu:
EDIT: Miten muuten yleisesti, jos tehot ei ko. toimintaan riitä, niin onko parempi vain olla käyttämättä QOS:ia vai vaan tyytyä siihen, että tulee "hickuppeja" jos on tullakseen ?
Itse käyttäisin ilman, ohan tuo jo sen verran nopea yhteys että varmaan harvemmin edes menee tukkoon.
 
..... En tiedä, koska aikovat saada 2.7:n ulos, mutta eihän tässä seuraavaan Plus-versioonkaan pitäisi olla montaa kuukautta aikaa. Jos lyhyen otannan perusteella pitäisi arvailla, niin lokakuussa voisi olla 22.09:n julkaisu.

redminessä ainakin on marrakuun versio plussalle, joten voi olla 2.7 tulossa samoihin aikoihin.

1662881062988.png


nämä ilmeisesti molemmissa versioissa samaa koodia.
1662881255825.png



Nyt kun sain 3d tulostetun low bracketin tuohon Quad NIC korttiin niin kävi vähän se mitä pelkäsinkin. Kortti kippailee konetta heti ku puskee jotai liikennettä läpi.

AMD G-Series GX424CC @2.4Ghz Quad Core CPU // Futro S930 :lla ei siis 4-porttiset verkkokortit toimi, ainakaan omani. Ei muutaku 2 porttinen kiinni ja räpeltämään VLAN :ien kanssa sit.

Jaa, no miksi se tekis kuolemaa jos se kerran tässä pari päivää vasta on ollut mulla käytössä? Toki Ebaysta ostettu, joten mistäpä näistä tietää. Hyväkuntoiselta vaikutti, ei ollu mikään rusikoitu malli.
Käsitin että olet vaihdellu verkkokortteja ym.
Kannattaa heti ongelmien esiintyessä tehdä uusi asennus, asiat ei toimi niinkuin windowsissa. Heittämällä.


Itsellä on ollut tuo pfsense plus käytössä 14.2.2022 lähtien (Shuttle). Tuo aktivointi token on sidottu tuohon Shuttle rautaan niin sitä ei käsittääkseni pysty siirtämään toiseen laitteeseen. Jos haluaa toiseen laitteeseen niin tilattava uusi koodi.

Tilattua saa 4 koodia kerralla, joten osan voi jättää varalle, en tosin tiedä vanheneeko ne.
ja jos tekee kaksi tilausta saa 8 jne.
 
Viimeksi muokattu:
Ei kokemusta tuosta, mutta ota huomioon, että tuossahan on "vain" 2,5gb portit, vain kuituportti on 10gb.
Onhan siellä aika monessa mallissa 2 x sfp+-porttia? Toiseen Lounean kuitumuunnin ja toisesta dac-kaapeli kytkimelle. Mitään kokemusta tuosta N5105:sta ei ole, mutta ihmettelisin suuresti jos potku piisaisi.
 
Onko noi alkuperäiset i350-T4 kortit edelleen ok valinta, vai pitäisikö yrittää hankkia noita v2 malleja? V1 kortteja näkyy vilahtelevan eBayssa järkihintaan silloin tällöin, mutta v2 (tai 2015 jälkeen valmistetut) on harvassa.
 
Viimeksi muokattu:
Onko noi alkuperäiset i350-T4 kortit edelleen ok valinta, vai pitäisikö yrittää hankkia noita v2 malleja? V1 kortteja näkyy vilahtelevan eBayssa järkihintaan silloin tällöin, mutta v2 (tai 2015 jälkeen valmistetut) on harvassa.
Ilmeisesti käytännössä samat uudemmassa pienempi käynnistysvirta
Se mikä mua pihinä häiritsee on virrankulus vaikka käyttökustannus euroissa on pienehö niin lämmön takia tuuletuksen tulee olla kunnossa.
Watit: Typical (1000BASE-T) 4.63 W Maximum (1000BASE-T) 5.16 W
 
Mikähän olisi sellainen _varmasti_ toimiva purkki pfSenselle? Tällä hetkellä on kiinan purkki (338.57€ |Hot Sale Firewall, VPN, Mikrotik, Router PC, Intel Celeron J4125 DDR4, AES NI/4 Intel Gigabit Lan/2 USB/HDMI/VGA/Fanless Mini Pc|Mini PC| - AliExpress) J4125 prossulla ja Intel i211 NIC piireillä ja sen kanssa jatkuvia epämääräisiä ongelmia. Laite ei esimerkiksi boottaa, jos WAN portteihin on kytketty verkkokaapeli. Olen koittanut pfSensen asentaa puhtaalta pöydältä hyvin simppelillä setupilla, mutta ongelma pysyy edelleen. Ongelmien selvittelyyn mennyt varmasti yli 50 tuntia ja alkaa mielenterveys olla vaakalaudalla.

Eli haussa raudan osalta varmasti toimiva purkki pfSensen kanssa. Liittymänä giganen kuitu (kuitu ei tule asuntoon asti) ja clientien liikenne reititetään WireGuard tunnelin läpi. Eli jonkin sortin suorituskykyäkin tarvitaan. Varmin laitehan olisi Netgaten purkki, mutta kieltämättä vaikka menisi mielenterveys edellä, niin onhan ne yksittäiselle harrastajalle ylihinnoiteltuja tuotteita spekseihin nähden. Kai se olisi jokin näistä:
- Netgate 6100, 985€ (Netgate 6100 BASE pfSense+ Security Gateway)
- Protectli VP2410, 575€ (VP2410 - 4 Port Intel ® Celeron J4125 - Protectli EU)
- Protectli VP4630, 880€ (VP4630 - 6 Port Intel® i3 - Protectli EU)

Vai mitä mieltä?
 
Mikähän olisi sellainen _varmasti_ toimiva purkki pfSenselle? Tällä hetkellä on kiinan purkki (338.57€ |Hot Sale Firewall, VPN, Mikrotik, Router PC, Intel Celeron J4125 DDR4, AES NI/4 Intel Gigabit Lan/2 USB/HDMI/VGA/Fanless Mini Pc|Mini PC| - AliExpress) J4125 prossulla ja Intel i211 NIC piireillä ja sen kanssa jatkuvia epämääräisiä ongelmia. Laite ei esimerkiksi boottaa, jos WAN portteihin on kytketty verkkokaapeli. Olen koittanut pfSensen asentaa puhtaalta pöydältä hyvin simppelillä setupilla, mutta ongelma pysyy edelleen. Ongelmien selvittelyyn mennyt varmasti yli 50 tuntia ja alkaa mielenterveys olla vaakalaudalla.

Eli haussa raudan osalta varmasti toimiva purkki pfSensen kanssa. Liittymänä giganen kuitu (kuitu ei tule asuntoon asti) ja clientien liikenne reititetään WireGuard tunnelin läpi. Eli jonkin sortin suorituskykyäkin tarvitaan. Varmin laitehan olisi Netgaten purkki, mutta kieltämättä vaikka menisi mielenterveys edellä, niin onhan ne yksittäiselle harrastajalle ylihinnoiteltuja tuotteita spekseihin nähden. Kai se olisi jokin näistä:
- Netgate 6100, 985€ (Netgate 6100 BASE pfSense+ Security Gateway)
- Protectli VP2410, 575€ (VP2410 - 4 Port Intel ® Celeron J4125 - Protectli EU)
- Protectli VP4630, 880€ (VP4630 - 6 Port Intel® i3 - Protectli EU)

Vai mitä mieltä?
APUX -purkit ovat ainakin omassa, ja parin kaverin sekä parin firman, käytössä olleet erittäin luotettavia ja toimivia. Vähän vastaavanlainen setup on itsellä ajossa APU2 -purkilla, mutta jos kuituporttia haluat, niin ainakin APU6:ssa se on suoraan.
 
APUX -purkit ovat ainakin omassa, ja parin kaverin sekä parin firman, käytössä olleet erittäin luotettavia ja toimivia. Vähän vastaavanlainen setup on itsellä ajossa APU2 -purkilla, mutta jos kuituporttia haluat, niin ainakin APU6:ssa se on suoraan.
APU:n AMD Embedded prossussa ei riitä potku gigaselle kuidulle jos aloittaja sitä havitteli. Muuten kyllä asiallisia paketteja.

Noissa ehdotetuissa kiinapurkeissa pisti silmään oli tarpeettoman monet verkkoportit. Toki jos on ajatus että esim. dmz-porteille on tarvetta niin nuo ovat ok, mutta normaalissa koti-/yrityskäytössä kaksi porttia riittää varsin hyvin. Normaalilla kytkimellä saa sisäverkkoon helpommin (ja paremmin toimivia) lisäportteja kuin softalla siltaamalla. En siis rajoittaisi vaihtoehtoja vain 4+ porttisiin muurikoneisiin.
 

Statistiikka

Viestiketjuista
259 109
Viestejä
4 502 251
Jäsenet
74 329
Uusin jäsen
Bopperhopper

Hinta.fi

Back
Ylös Bottom