Tee-se-itse: Rautapalomuurit (pfSense, Sophos UTM..) (Mitä käytätte ja miksi juuri se vaihtoehto?)

Mikähän olisi sellainen _varmasti_ toimiva purkki pfSenselle? Tällä hetkellä on kiinan purkki (338.57€ |Hot Sale Firewall, VPN, Mikrotik, Router PC, Intel Celeron J4125 DDR4, AES NI/4 Intel Gigabit Lan/2 USB/HDMI/VGA/Fanless Mini Pc|Mini PC| - AliExpress) J4125 prossulla ja Intel i211 NIC piireillä ja sen kanssa jatkuvia epämääräisiä ongelmia. Laite ei esimerkiksi boottaa, jos WAN portteihin on kytketty verkkokaapeli. Olen koittanut pfSensen asentaa puhtaalta pöydältä hyvin simppelillä setupilla, mutta ongelma pysyy edelleen. Ongelmien selvittelyyn mennyt varmasti yli 50 tuntia ja alkaa mielenterveys olla vaakalaudalla.

Eli haussa raudan osalta varmasti toimiva purkki pfSensen kanssa. Liittymänä giganen kuitu (kuitu ei tule asuntoon asti) ja clientien liikenne reititetään WireGuard tunnelin läpi. Eli jonkin sortin suorituskykyäkin tarvitaan. Varmin laitehan olisi Netgaten purkki, mutta kieltämättä vaikka menisi mielenterveys edellä, niin onhan ne yksittäiselle harrastajalle ylihinnoiteltuja tuotteita spekseihin nähden. Kai se olisi jokin näistä:
- Netgate 6100, 985€ (Netgate 6100 BASE pfSense+ Security Gateway)
- Protectli VP2410, 575€ (VP2410 - 4 Port Intel ® Celeron J4125 - Protectli EU)
- Protectli VP4630, 880€ (VP4630 - 6 Port Intel® i3 - Protectli EU)

Vai mitä mieltä?
Kannattaa tutustua Shuttle DS-mallistoon. Tässä on esim oman DS68U:n äskeinen lataus 1000/500Mbps kuituliittymällä:

1663742002842.png


Multa on tulossa video pfSensen raudan valinnoista jossa pyrin esittelemään miltei kaikki tietämäni vaihtoehdot.
 
Mikähän olisi sellainen _varmasti_ toimiva purkki pfSenselle? Tällä hetkellä on kiinan purkki (338.57€ |Hot Sale Firewall, VPN, Mikrotik, Router PC, Intel Celeron J4125 DDR4, AES NI/4 Intel Gigabit Lan/2 USB/HDMI/VGA/Fanless Mini Pc|Mini PC| - AliExpress) J4125 prossulla ja Intel i211 NIC piireillä ja sen kanssa jatkuvia epämääräisiä ongelmia. Laite ei esimerkiksi boottaa, jos WAN portteihin on kytketty verkkokaapeli. Olen koittanut pfSensen asentaa puhtaalta pöydältä hyvin simppelillä setupilla, mutta ongelma pysyy edelleen. Ongelmien selvittelyyn mennyt varmasti yli 50 tuntia ja alkaa mielenterveys olla vaakalaudalla.
Fitlet 3 on varmasti turvallinen valinta. Itselläni on ollut Fitlet 2 neljän vuoden ajan ja se ei ole koskaan kaatunut tuona aikana. Fitlet 3 on tilauksessa, mutta se valmistuksen aloitus on viivästynyt - viimeisin tieto on, että toimitus on lokakuussa.

Fitlet 3:n x6425E on lähes 2x nopeampi kuin tuo ylihintainen Netgate 6100. Laite on täysin passiivinen ja hyvin pieni - mahtuu erinomaisesti pieneen ristikytkentäkaappiin.

 
Viimeksi muokattu:
Onko näin?
Väittäisin itse toisin, mutta faktatietoa minulla ei ole.

APU2D4:n prosessori veisasi hoosiannaa jo 400/20 kaapelimodeemiliittymässä kun koitti vähän traffic shapingia ja IDS/IDP:tä ottaa käyttöön. Jotenkin en usko että gigaisen putken päässä kuorma ainakaan kevenee.
 
Kaksi kupariporttia riittää hyvin. Se miksi Protectliitä mietin Netgaten rinnalla on, että se on todistetusti juuri pfSensen kanssa toiminut ja laitteella on loistava tuki.

Fitlet3:sta olen myös katsonut, mutta sillä on heikko saatavuus, eikä se tunnu kalustettuna olevan Protectliitä halvempi. Tehojen osalta se tippuu noiden kahden mainitsemani Protectli mallin väliin.

Shuttleen olen tässä langassa myös törmännyt, mutta ehkä takaraivossa on liikaa muistoja kyseisestä merkistä 15 vuoden takaa, niin ei oikein innostanut.

Onko kukaan kokeillut HA setuppia? Yhden purkin kanssa kyseessä on aina single point of failure.
 
Siitä se alkaa, @escalibur :n suosittelemana lähtee vanhat reititinraudat (Zyxel Multy x) vaihtoon ja tilalle Pfsense. Raudaksi Dell Wyse 5070 extended
Tärppinä jos muutkin tuota ovat miettineet: Myyjä hyväksyi 135 € tarjouksen eli kokonaissumma Dellistä 150 €. Pian on loppuunmyyty. Jos jollain pyörii i350-t4 nurkissa niin voin ostaa pois (ostoilmoitus on palstalla).
 
Tärppinä jos muutkin tuota ovat miettineet: Myyjä hyväksyi 135 € tarjouksen eli kokonaissumma Dellistä 150 €. Pian on loppuunmyyty. Jos jollain pyörii i350-t4 nurkissa niin voin ostaa pois (ostoilmoitus on palstalla).
Ihan mielenkiinnosta kyselen, että miten noista verkkosovittimista helpoiten huomaa, onko väärennetty vai aito? Itselläni on ylimääräisenä yksi Intel EXPI9402PT PRO/1000 PT Dual Port sovitin ja ajattelin sen pistää myyntipalstalle mutta en tahdo väärennettyä myydä. Itse olen tuon ostanut Ebaysta, ja ihan normaalisti se toimii, mutta en sitten tiedä onko aito vai ei.
 
Ihan mielenkiinnosta kyselen, että miten noista verkkosovittimista helpoiten huomaa, onko väärennetty vai aito? Itselläni on ylimääräisenä yksi Intel EXPI9402PT PRO/1000 PT Dual Port sovitin ja ajattelin sen pistää myyntipalstalle mutta en tahdo väärennettyä myydä. Itse olen tuon ostanut Ebaysta, ja ihan normaalisti se toimii, mutta en sitten tiedä onko aito vai ei.
Kas tässä tarkemmin: piireissä ja komponenteissa selkeitä eroja: Comparison: Intel i350-T4 Genuine vs Fake
 
Yritän tässä luoda opnsensellä radiuksella salattua langatonta verkkoa käytössä olisi siis sertifikaattipohjainen autentikointi. Sain erään koneen jo liitettyä tuohon hommaan kesällä ja nyt olisi tarkoitus liittää tuohon verkkoon fxtecin puhelin. Muistikuvieni mukaan sertifikaatteihin piti jotenkin sitoa käyttäjä, mutta en muista miten se opnsensellä meni. Nyt tilanne on se että vanha käyttäjä kannettava pääsee autentikoitumaan verkkoon, mutta uusi käyttäjä fxtec ei pääse, vaikka olen ladannut käyttäjälle omat sertit.
Edittiä
Sain fxtecille käyttäjäsertifikaatin määritettyä androidiin, ja nyt antaa tällaista virheilmoitusta kun yritän yhdistää verkkoon, nämä siis opnsensen logista
Auth: (64) Login incorrect (eap_tls: (TLS) Alert read:fatal:internal error): [fxtec/<via Auth-Type = eap>] (from client mikrotik port 0 cli B6-56-2B-04-39-6C)
 
Viimeksi muokattu:
Tärppinä jos muutkin tuota ovat miettineet: Myyjä hyväksyi 135 € tarjouksen eli kokonaissumma Dellistä 150 €. Pian on loppuunmyyty. Jos jollain pyörii i350-t4 nurkissa niin voin ostaa pois (ostoilmoitus on palstalla).
Kas nyt saapui omakin Dell Wyse 5070 extended. Onhan tuo käsittämättömän söpö laite, ja uudenveroinen on kyllä omakin laite (valmistusvuosi 2021) ja tuoksuukin uudelle atk:lle :thumbsup:
Riser näyttää olevan myös omassa kapistuksessa paikallaan. Mikä parasta verrattuna vaikkapa Fujitsu Futro S920-malliin: tähän käy tietysti tismalleen samat laturit mitä esim meidän työpaikan Dell-läppärit käyttää (ja joita on kertynyt nurkkiin), eli laturista nyt ei pääse pula iskemään. Tässä myös yksi syy miksen halunnut Futroa hankkia: ei ensimmäistäkään varalaturia (tai siis virtalähdettä) omissa näpeissä.
Jatkotärppi: näyttää tuolla myyjällä olevan nyt myös SFP-portilla varustettua versiota kaupan.
 
Viimeksi muokattu:
Nyt alkaa itsellä myös pfsense projekti ja täälläkin on hankittu S920 konetta. Verkkokortti pitää vielä tilailla ja olisikohan tämä siihen passeli.

Tuo toimii kyllä. Muista ostaa se välipalikka niistä juttua aiemmilla sivuilla.
 
Tuo toimii kyllä. Muista ostaa se välipalikka niistä juttua aiemmilla sivuilla.

Kiitos tästä vinkistä!

Tuolla taaempana olikin mainittu B08W3GQ2MS sarjanumerolla ja tätä löytyi amazon.comista mutta ei saksasta (väliaikaisesti loppu). Taidan pistää tilaten tämmöisiä saksasta https://www.amazon.de/gp/product/B018KEM1GI/ sillä kommenteissa oli ranskalainen tilannut s920 ja ServeTheHome foorumin ketjussa taisi olla joku tilannut tuon myös. Pitää vaan saksasta pistää muutakin tulemaan että saa ilmaiset postit. Vaimo arvostaa taas :D
 
Tuo toimii kyllä. Muista ostaa se välipalikka niistä juttua aiemmilla sivuilla.

Mitähän kohtaa "aiemmilta sivuilta" meinasit? Onko noissa risereissa käytännön eroa?
Nimim. itsellänikin näyttäisi olevan edessä moisen osto nimenomaan verkkokortin takia.
 
Kiitos tästä vinkistä!

Tuolla taaempana olikin mainittu B08W3GQ2MS sarjanumerolla ja tätä löytyi amazon.comista mutta ei saksasta (väliaikaisesti loppu). Taidan pistää tilaten tämmöisiä saksasta https://www.amazon.de/gp/product/B018KEM1GI/ sillä kommenteissa oli ranskalainen tilannut s920 ja ServeTheHome foorumin ketjussa taisi olla joku tilannut tuon myös. Pitää vaan saksasta pistää muutakin tulemaan että saa ilmaiset postit. Vaimo arvostaa taas :D
Mitähän kohtaa "aiemmilta sivuilta" meinasit? Onko noissa risereissa käytännön eroa?
Nimim. itsellänikin näyttäisi olevan edessä moisen osto nimenomaan verkkokortin takia.

Tämän itse tilasin ja toimii 100 varmasti. Muista en uskalla luvata.

Edit: Viittaan siis tähän viestiin: Viesti
 
Noissa risereissa pitää olla tarkkana, koska ymmärtääkseni kaikki eivät toimi kaikilla emoilla ja verkkokorteilla. Kannattaa siis varmistaa jonkun todetun mallin ellei halua ostella tarpeetonta SER:ia. :)

ps. Laitoin oman Lenovo S510 pfSense-raudan myyntiin (verkkolaitteet) jos joku on vailla astetta järeämpää pfSense-rautaa.

Nimenomaan, mulla siis on tuo riseri ja hyvin rokkaa.
 
Ainahan sitä pitää hieman SERriä olla kaapissa ;) Mutta joo pieni tietoinen riski tuon riserin kanssa että ei välttämättä toimi kun ei sattunut Saksan Amazonissa olemaan tuota B08W3GQ2MS versiota. Ensi viikolla selvinnee miten käy.
 
Yritän tässä luoda opnsensellä radiuksella salattua langatonta verkkoa käytössä olisi siis sertifikaattipohjainen autentikointi. Sain erään koneen jo liitettyä tuohon hommaan kesällä ja nyt olisi tarkoitus liittää tuohon verkkoon fxtecin puhelin. Muistikuvieni mukaan sertifikaatteihin piti jotenkin sitoa käyttäjä, mutta en muista miten se opnsensellä meni. Nyt tilanne on se että vanha käyttäjä kannettava pääsee autentikoitumaan verkkoon, mutta uusi käyttäjä fxtec ei pääse, vaikka olen ladannut käyttäjälle omat sertit.
Edittiä
Sain fxtecille käyttäjäsertifikaatin määritettyä androidiin, ja nyt antaa tällaista virheilmoitusta kun yritän yhdistää verkkoon, nämä siis opnsensen logista
Auth: (64) Login incorrect (eap_tls: (TLS) Alert read:fatal:internal error): [fxtec/<via Auth-Type = eap>] (from client mikrotik port 0 cli B6-56-2B-04-39-6C)
Koitan tähän vastata kun kerkiän, Todenäköisesti en osaa vastata.
 
Kannattaa olla tarkkana noissa halvoissa Intelin verkkokorteissa Ebayssa. Itse joskus ostin tuollaisen noin kympin hintaisen dual port kortin, joka osoittautuikin lopulta kiinapiraatiksi. Näkyi käyttikselle ihan oikeana mallina jne. mutta kun alkoi isoja tiedostoja siirtämään niin kaatui koko kortti ja yhteydet sitä myöden. Ei kestänyt kuormitusta yhtään.
 
Onko täällä miten pfsense guruja... En saa port forwardia toimimaan kunnolla, kun käytössä on julkinen domain. Minulla on dns cloudflaressa ja olen ohjannut domainin omaan osoitteeseen. Olen tehnyt pfsensestä port forwardin portista x sisäverkon laitteeseen porttiin y. Portti x toimii jos otetaan yhteyttä internetistä. Sama portti ei toimi, jos laite onkin omassa LAN verkossa. Yritän siis saada yhteyttä toimimaan samalla julkisella osoitteella riippumatta missä verkossa laite on.

Palvelu toimii LAN verkossa jos käytän sisäverkon osoitetta ja porttia y.

Olen kokeillut nat reflectonia ja myös tehdä saman forward säännön mutta lan to lan.. Ei vaan toimi. Ddwrt purkki aiemmin käytössä, sillä vastaava kuvio toimi ongelmitta.

En ymmärrä myöskään tuota natin tekemää wan muurin sääntöä. Miksi niissä on kohteena sisäverkon kone? Eihän wan verkosta tuleva yhteys tiedä sisäverkon osoitetta? Vai tuleeko se tuohon sääntöön vasta natin jälkeen??

Ja vielä, pftopilla vakoillen yhteydet näyttää ihan erilaisilta ulko ja sisä verkosta. Ulkoverkosta, kohteena tosiaan näkyy sisäverkon kone ja portti y. Sisäverkosta kohteena taas näkyy julkinen ip ja julkinen portti x. Tässä lienee avain saada tämä toimimaan?

Vinkkejä?
 
Onkos se hairpin nat mitä tässä nyt tarvitaan. Ei jaksa kännykällä nyt tarkistaa mutta näin muistelisin.
 
Onko täällä miten pfsense guruja... En saa port forwardia toimimaan kunnolla, kun käytössä on julkinen domain. Minulla on dns cloudflaressa ja olen ohjannut domainin omaan osoitteeseen. Olen tehnyt pfsensestä port forwardin portista x sisäverkon laitteeseen porttiin y. Portti x toimii jos otetaan yhteyttä internetistä. Sama portti ei toimi, jos laite onkin omassa LAN verkossa. Yritän siis saada yhteyttä toimimaan samalla julkisella osoitteella riippumatta missä verkossa laite on.

Palvelu toimii LAN verkossa jos käytän sisäverkon osoitetta ja porttia y.

Olen kokeillut nat reflectonia ja myös tehdä saman forward säännön mutta lan to lan.. Ei vaan toimi. Ddwrt purkki aiemmin käytössä, sillä vastaava kuvio toimi ongelmitta.

En ymmärrä myöskään tuota natin tekemää wan muurin sääntöä. Miksi niissä on kohteena sisäverkon kone? Eihän wan verkosta tuleva yhteys tiedä sisäverkon osoitetta? Vai tuleeko se tuohon sääntöön vasta natin jälkeen??

Ja vielä, pftopilla vakoillen yhteydet näyttää ihan erilaisilta ulko ja sisä verkosta. Ulkoverkosta, kohteena tosiaan näkyy sisäverkon kone ja portti y. Sisäverkosta kohteena taas näkyy julkinen ip ja julkinen portti x. Tässä lienee avain saada tämä toimimaan?

Vinkkejä?
Itse taistelin saman asian kanssa pari viikkoa sitten. NAT reflection oli aluksi "Enabled (Pure NAT)" ja sillä asetuksella ei sisäverkosta päässyt kiinni palveluihin ulkoverkon osoitteesta. Tovin googlettelun jälkeen vaihdoin NAT reflection asetukseksi "Enabled (NAT + proxy) ja sisäverkosta alkoi pääsemään palveluihin. Muistaakseni siinä oli aluksi jotain hämärää ja pelkkä asetuksen vaihto ei auttanut, vaan jouduin tekemään portinohjaukset uudelleen. Olisiko sitten juurikin nuo WAN muurin säännöt seonneet tuuskatessa.
 
Vähän tällaista vapaamuotoista, ei tieteellistä, testailua nykyisellä setupilla. Tällä hetkellä käytössä paikallinen kuituoperaattori/Netplaza 1/1G kuituliittymä, jonka tosin pitäisi olla 100/100M. Tippunee tässä jonkin päivän sisään oikeaan nopeuteen. Otin juuri tämän liittymän käyttöön ja Elisan kuitu jäi "tauolle". Kuidun perässä on TP-linkin mediamuunnin, josta Cat- kaapelilla pfsenselle (Futro S920). Siitä LAN taas TP-linkin perus 1G tyhmälle PoE- kytkimelle ( TL-SG1008P). Kytkimen perässä on pari Unifi 6 WLAN tukaria (Lite ja LR). Futrolle tulevä/lähtevä kaapelointi Cat.6 S/FTP.

Speedtest ajoja seuraavissa tilanteissa:
TP-Link kytkimeen liitettynä wanha HP Revolve 810 läppäri suoraan cat- kaapelilla (cat 5)
max download 830Mbps max upload 936Mbps ping 3ms (Futron Cpu käyttö >95%)

Samsung S21 FE Wlan verkkoon liitettynä (Wifi6)
max download 647Mbps max upload 602Mbps ping 7ms (Futron Cpu käyttö >80%)
- Vaihtelee nopeudet. Välissä saa vain n. 200-300Mbps luokkaa vaikka tukarin vieressä. Pääosin >500Mbps.

Asuksen uudehko läppäri niin ikään Wlan verkkoon liitettynä (Wifi6 802.11ax) Ei samassa huoneessa kuin tukari.
max download 550Mbps, max upload 330Mbps ping 3ms (CPU käyttöä ei tullut tsekattua)
Samaan tilaan vietynä, jossa tukari:
max download 622Mbps max upload 420Mbps

iPad(7th) ei kykene kuin reiluun 200Mbps nopeuteen (UL&DL). iPhone SE:llä (2020) pääse karvan yli 300Mbps nopeuksiin. Tosin nämä vain parilla ajolla kokeiltu. Usein näyttää tulevan samoja lukemia S21:llä myös. Kovasti vaihtelee tuo nopeus wlanin kautta.
 
Viimeksi muokattu:
Itse taistelin saman asian kanssa pari viikkoa sitten. NAT reflection oli aluksi "Enabled (Pure NAT)" ja sillä asetuksella ei sisäverkosta päässyt kiinni palveluihin ulkoverkon osoitteesta. Tovin googlettelun jälkeen vaihdoin NAT reflection asetukseksi "Enabled (NAT + proxy) ja sisäverkosta alkoi pääsemään palveluihin. Muistaakseni siinä oli aluksi jotain hämärää ja pelkkä asetuksen vaihto ei auttanut, vaan jouduin tekemään portinohjaukset uudelleen. Olisiko sitten juurikin nuo WAN muurin säännöt seonneet tuuskatessa.

Vaikuttaisi että tuo versio reflectionista toimisi täälläkin. En edes ensin testannut sitä kun kuulosti niin viritykseltä ja siinä oli mainittu joitain rajoituksia. Olisi kyllä hyvä jos tuon saisi toimimaan ilman tuollaista proxyhässäkkääkin..
 
Mulla olisi muutama peruskysymys näihin rautapalomuureihin liittyen.
  1. Mihin muuten kotikäyttäjä tarvitsee tälläistä järeää yritystason pfsense ratkaisua? Miksi reitittimen palomuuri ei riitä?
  2. Voiko Raspberry 4:lla pyörittää pfsenseä tai jotain muuta vastaavaa rautapalomuuria?
  3. Onko Pfsenselle kilpailevaa ohjelmistoa OS maailmasta? Miten ne eroavat Pfsensestä?
 
Käyttääkö porukka muuten plussaa vai CE-versiota?
 
Mulla olisi muutama peruskysymys näihin rautapalomuureihin liittyen.
  1. Mihin muuten kotikäyttäjä tarvitsee tälläistä järeää yritystason pfsense ratkaisua? Miksi reitittimen palomuuri ei riitä?
  2. Voiko Raspberry 4:lla pyörittää pfsenseä tai jotain muuta vastaavaa rautapalomuuria?
  3. Onko Pfsenselle kilpailevaa ohjelmistoa OS maailmasta? Miten ne eroavat Pfsensestä?
1. Minä ainakin haluan olla perillä siitä liikenteestä mitä verkkoon tulee ja verkossa kulkee. Lisäksi ihan harrastuksena kiva käpistellä ja oppia uutta.

2. En tiedä, mutta siinä on vaan 1 ethernet portti, pitäisi olla useampi

3. On, osa on toki kytketty omaan rautaansa, Fortinet, Palo Alto, Cisco, Juniper jne..

Käyttääkö porukka muuten plussaa vai CE-versiota?

Minä ainakin menen ihan CE :n kanssa.
 
Mulla olisi muutama peruskysymys näihin rautapalomuureihin liittyen.
  1. Mihin muuten kotikäyttäjä tarvitsee tälläistä järeää yritystason pfsense ratkaisua? Miksi reitittimen palomuuri ei riitä?
  2. Voiko Raspberry 4:lla pyörittää pfsenseä tai jotain muuta vastaavaa rautapalomuuria?
  3. Onko Pfsenselle kilpailevaa ohjelmistoa OS maailmasta? Miten ne eroavat Pfsensestä?
1. Miksi ei? Jos haluaa kokeilla vähänkään monipuolisempia ominaisuuksia, niin eipä niitä perusreitittimen muurista löydy.
2. pfSensestä löytyy ARM-pohjainen versio, mutta sen saa vain Netgaten omille laitteille esim. 1100 ja 2100. Yhdelläkin verkkoportilla pyörittää palomuuria, mutta olisiko siinä mitään järkeä?
3. Itse vaihdoin aikanaan IPFiresta pfSenseen ja kyllähän näillä on iso ero. VLAN-tuen rajallisuus oli itsellä suurin kynnyskysymys. "Hienommissa" on sitten tyypillisesti joku juokseva lisenssimaksu joka ei taas oikein houkuttele.
 
Mulla olisi muutama peruskysymys näihin rautapalomuureihin liittyen.
  1. Mihin muuten kotikäyttäjä tarvitsee tälläistä järeää yritystason pfsense ratkaisua? Miksi reitittimen palomuuri ei riitä?
  2. Voiko Raspberry 4:lla pyörittää pfsenseä tai jotain muuta vastaavaa rautapalomuuria?
  3. Onko Pfsenselle kilpailevaa ohjelmistoa OS maailmasta? Miten ne eroavat Pfsensestä?
3. Sophos XG Home on luotettava, ilmainen kaupallinen muuri kotikäyttöön. Itse olen käyttänyt tätä nyt neljä vuotta - ainoat ylläpitotoimenpiteet ovat tänä aikana olleet softapäivitykset (yksi klikkaus) muutaman kerran vuodessa. Vaatii paljon vähemmän "säätämistä" kuin Pfsense.

Ainoat rajoitukset kaupalliseen tuotteeseen nähden ovat tuki maksimissaan neljälle corelle sekä 6 GB:n muistille. Kummastakaan rajoituksesta ei ole mitään haittaa kotikäytössä.

 
Viimeksi muokattu:
Mulla olisi muutama peruskysymys näihin rautapalomuureihin liittyen.
  1. Mihin muuten kotikäyttäjä tarvitsee tälläistä järeää yritystason pfsense ratkaisua? Miksi reitittimen palomuuri ei riitä?
  2. Voiko Raspberry 4:lla pyörittää pfsenseä tai jotain muuta vastaavaa rautapalomuuria?
  3. Onko Pfsenselle kilpailevaa ohjelmistoa OS maailmasta? Miten ne eroavat Pfsensestä?

1. Kyse ei niinkään ole järeydestä (kaikkia ominaisuuksia ei suinkaan tarvitse käyttää), vaan enemmänkin tietoturvasta. pfSense sai ja luultavasti tuleekin saamaan softa- ja tietoturvapäivityksiä vielä vuosia. Siinä missä kuluttajalaitteissa päivityksiä tarjotaan joitakin vuosia jos niinkään kauan. Vuosia ilman päivityksiä jäänyt reititin on ainakin jossain määrin tietoturvariski.

2. Rasperryyn ei voi asentaa pfSensea. Purkki on muutenkin huono valinta palomurilaitteeksi, ellei haluta itse devata ja räpeltää koko toteutusta. pfSensen voi asentaa ainoastaan x86-pohjaiseen rautaan. pfSensesta on olemassa ARM-versio, mutta sitä ei ole saatavilla kuin Netgaten omiin laitteisiin kuten yllä ehdittiin jo mainita.

3. On. OPNsense (miltei suora kilpailija), VyOS, Sophos XG Home, yms.

OPNsense on aikoinaan syntynyt pfSensen koodista. Erona kenties huomattavasti nopeampi päivitys-sykli (hyvineen ja huonoineen puolineen). Miinuksena rajallisempi plugarituki. Esim pfBlockerNG-plugari puuttuu kokonaan.

VyOS perustuu Linuxiin, kun pfSense ja OPNsense FreeBSD:hen. VyOS on komentopohjainen ja GUI-versio ilmestyy (jos ilmestyy) sitten joskus.

Sophos XG Home on kaupalinen tuote josta on olemassa ilmaisversio. Etuna kenties yksinkertaisempi käyttöliittymä. Haittapuolena rajallisuus (kuten yllä jo postattiin), suljettu koodi ja kaupallisuus. Valmistaja voi siis milloin tahansa ilmoittaa ilmaisversion päättymisestä. 6GB RAM-rajoituksella menee. esim 8GB muistipalikka typerästi hukkaan.
 
Viimeksi muokattu:
Sivuhuomiona, tuosta pfBlockerNG:n erinomaisuudesta kun aina saa kuulla niin ymmärtääkseni sen tarjoamat ominaisuudet löytyvät ihan suoraan OPNsensestä. Ei ole tullut pfSenseä kokeitua kun ensimmäisenä kokeilin OPNsenseä enkä kokenut tarvetta vaihtaa, niin ei sattuneesta syystä omakohtaista kokemusta ole mutta esim. mitä itselläni käytössä:
Varmasti helpompaa yhdestä näkymästä mutta en minä ainakaan osaa enempää kaivata.
 
Sivuhuomiona, tuosta pfBlockerNG:n erinomaisuudesta kun aina saa kuulla niin ymmärtääkseni sen tarjoamat ominaisuudet löytyvät ihan suoraan OPNsensestä. Ei ole tullut pfSenseä kokeitua kun ensimmäisenä kokeilin OPNsenseä enkä kokenut tarvetta vaihtaa, niin ei sattuneesta syystä omakohtaista kokemusta ole mutta esim. mitä itselläni käytössä:
Varmasti helpompaa yhdestä näkymästä mutta en minä ainakaan osaa enempää kaivata.
pfBlockerNG oli vain yksi esimerkki. Arpwatch olisi toinen jne. Tämä ei tietenkään tarkoita että OPNsensea ei tulisi käyttää, vaan lähinnä korostin tuotteiden eroja. Itse en ole (ainakaan vielä) testannut koko OPNSensea.
 
Sophos XG Home on kaupalinen tuote josta on olemassa ilmaisversio. Etuna kenties yksinkertaisempi käyttöliittymä. Haittapuolena rajallisuus (kuten yllä jo postattiin), suljettu koodi ja kaupallisuus. Valmistaja voi siis milloin tahansa ilmoittaa ilmaisversion päättymisestä. 6GB RAM-rajoituksella menee. esim 8GB muistipalikka typerästi hukkaan.
Omassa palomuurilaitteessani (Fitlet 2) on 8 GB muistikampa ja en ole koskaan havainnut muistin käytön olevan lähellekään tuota rajaa. Joten "hukkaan" se 8GB kampa menee ilman rajoituksiakin.

Järkevä laitekokoonpano tuolle muurille kotikäyttöön on juurikin jokin 4-core Atom-laite, kuten Fitlet 2 tai Fitlet 3. Suuremmalla määrällä ytimiä ei tee yhtään mitään, kun jo tämäkin laite saturoi kevyesti 1 Gbitin Internet-yhteyden.
 
Omassa palomuurilaitteessani (Fitlet 2) on 8 GB muistikampa ja en ole koskaan havainnut muistin käytön olevan lähellekään tuota rajaa. Joten "hukkaan" se 8GB kampa menee ilman rajoituksiakin.
Se että se on sinulla toiminut niin, ei välttämättä tarkoita että kaikilla muillakin toimii samalla tavalla. Kuten sanoin, minusta tuollainen rajoitus on käyttäjän kannalta typerä ja 8GB kampa menee hukkaan 2GB verran vaikka kuinka yritettäisiin asiaa vähätellä.

Muistin käyttöä voi lisätä esim NAT-taulukon kasvatus jos verkosta halutaan ottaa enemmän yhtä-aikaisia yhteyksiä, pyöritellä erilaisia palveluita jotka pyörivät suoraan muistissa jne jne. Esim. pfSesnessä on mahdollista käyttää RAM-muistia myös levynä mikäli halutaan nopeampaa storagea yms. Käyttökohteita ja tarpeita on monia ja muistin määrän tarpeellisuus tuskin lähtee pienenemään. Jos Sophos on rajoituksineenkin se oma juttu, niin ilman muuta kannattaa (jatkaa) sen käyttöä.
 
pfBlockerNG oli vain yksi esimerkki. Arpwatch olisi toinen jne. Tämä ei tietenkään tarkoita että OPNsensea ei tulisi käyttää, vaan lähinnä korostin tuotteiden eroja. Itse en ole (ainakaan vielä) testannut koko OPNSensea.

Niin, no en varsinaisesti kommenttiisi ottanut kantaa, satuit vaan pfBlockerNG:n mainitsemaan niin päätin kerrankin ihmetellä asiaa ääneen. Nimittäin melko usein kuulee pfSensen ja OPNsensen eroja koskevissa keskusteluissa että juuri pfBlockerNG on se erottava tekijä.
 
Se että se on sinulla toiminut niin, ei välttämättä tarkoita että kaikilla muillakin toimii samalla tavalla. Kuten sanoin, minusta tuollainen rajoitus on käyttäjän kannalta typerä ja 8GB kampa menee hukkaan 2GB verran vaikka kuinka yritettäisiin asiaa vähätellä.

Muistin käyttöä voi lisätä esim NAT-taulukon kasvatus jos verkosta halutaan ottaa enemmän yhtä-aikaisia yhteyksiä, pyöritellä erilaisia palveluita jotka pyörivät suoraan muistissa jne jne. Esim. pfSesnessä on mahdollista käyttää RAM-muistia myös levynä mikäli halutaan nopeampaa storagea yms. Käyttökohteita ja tarpeita on monia ja muistin määrän tarpeellisuus tuskin lähtee pienenemään. Jos Sophos on rajoituksineenkin se oma juttu, niin ilman muuta kannattaa (jatkaa) sen käyttöä.
On vaikea kuvitella _kotikäytössä_ sellaista skenaariota, jossa 6 GB ei riitä. Jos katsotaan Sophoksen kaupallisia yritysmuureja, niin pienemmän pään pienyrityksiin / etätoimistoon tarkoitetuissa malleissa (neljä pienintä mallia) on kaikissa vain 4 GB RAM.

Esimerkiksi tällä hetkellä on oman muurin muistin käyttöaste 46% (siis sillä 6 GB:n RAMilla). Eli "hukkaan" menee tuosta kuudestakin gigasta kolme. Raportoinnin mukaan suurin muistinkäyttö viimeisen vuoden aikana on ollut 4439 MB. Sophos XG Home-version 6 GB rajoitus ei siis millään tavoin rajoita tai haittaa kyseisen muurin käyttökelpoisuutta kotikäytössä.

Jos siitä kahdesta gigasta tulee henkinen ongelma, voi laitteeseen asentaa vaikkapa ilmaisen ESXi:n ja hyödyntää tuon 2 GB vaikkapa jollekin palvelimelle omana virtuaalikoneenaan (esim Pi-Hole).
 
Viimeksi muokattu:
@91danger91 itselläni ainakin on loppunut huumori noiden IVO-boot vehkeiden kanssa. Tähän mennessä tämmöinen pfsense/opnsense palomuurilaite on pitänyt käynnistää laitteen sekoamisen vuoksi 0 kertaa, viimeisen 4 vuoden aikana. All-in-One olisi todennäköisesti vaatinut virtahoitoa useammin. Lisäksi bonarina VPN järjestely on tämmöiselle laitteelle huomattavasti sujuvampia toteuttaa, kuin satasen AIO purkille. Saa ihan vapaasti itse valita varmenteiden koon, salauksen tason jne. Ai niin ja tunnuksia/salasanoja voi naputella myös mielensä mukaan.

Toisaalta omakohtaisesti kotona on useampi kerros omakotitaloa, jossa tarvitaan +2 WLAN purkkia että se edes sisällä kuuluisi tarpeeksi hyvin ja kattavasti. Yksi AIO purkki ei toimittaisi virkaansa mitenkään. Lisäksi johdolla kytkettyjä laitteita on 16 portin edestä, vai enemmänkin, joten kotiverkko on jo käytännössä muutenkin alle 10 hengen firman sisäverkon kanssa vastaavassa kokoluokassa. Tällöin erilliset palomuuri, tietoliikennekytkimet, wlan tukiasemat ja muu infra (nas, kamerat, iot) ei kaikki halvaannu jos yhtä laitetta joutuu huoltamaan (poislukien tietoliikennekytkin, joita tosin on useampi, jotta vois ns varalaitteilla sen puolesta). Ei tuo mun FW kyllä klusteroitu ole mutta voiskin ehkä ottaa sellaisen projektin seuraavaksi...
 
Tom Lawrencelta hyvä video pfBlockerNG:sta:




Itselläkin on koko aihe to-do listalla, kunhan saan purettua nykyistä työjonoa.

ps. Jos joku on vailla pfSense-rautaa, verkkolaitteet-osastolta löytyy myymäni kone. :)
 

Statistiikka

Viestiketjuista
257 833
Viestejä
4 485 166
Jäsenet
74 004
Uusin jäsen
S Mike

Hinta.fi

Back
Ylös Bottom