Tee-se-itse: Rautapalomuurit (pfSense, Sophos UTM..) (Mitä käytätte ja miksi juuri se vaihtoehto?)

Tosin en saa kyllä yhteyttä avattua vaikka käsin päivitän tuon IP:n kuntoon
Se OpenVPN:hän ei tarvitse koko dynaamista IP-recordia toimiakseen, eli jos saat esim. HA:n avulla selville nykyisen IPv4-osoitteen numeerisena, niin sillä voi kytkeytyä clientista. Tämä sulkee ongelman selvittelyssä DDNS-puolen pois.
 
Millä tempuilla se sitten lähtee toimimaan?
Oletettavasti 4G-modeemi on siltaavassa tilassa, ja julkinen IP tulee pfSenselle?

Juu siltaavana, julkunen IP Elisan palvelusta käytössä ja toimi kun viimeksi sieltä lähdin. En ole paikan päälle päässyt selvittelemään ja etänä nyt hieman hankalla. 4G tokenee jonkin ajan kuluttua mutta pSense ei ilmeisesti sitä havaitse eikä päivitä IP:tä. Oma muuten vastaava asennus mutta kuituverkossa ja erillisillä WAN/LAN verkkokorteilla hanskaa vastaavan tilanteen ongelmitta. Muuttuneen IP:n saan HA:n ja Zerotier yhteyden kautta selville.
 
Se OpenVPN:hän ei tarvitse koko dynaamista IP-recordia toimiakseen, eli jos saat esim. HA:n avulla selville nykyisen IPv4-osoitteen numeerisena, niin sillä voi kytkeytyä clientista. Tämä sulkee ongelman selvittelyssä DDNS-puolen pois.

Totta ja tuon tosiaan saan tongittua ja sillä yhteyden sisäverkossa olevaan koneeseen. Se täytyy olla OpenVPN jotenkin pois käytöstä nyt koska yhteydet pelaa muuten.

Saako pfSenseen SSH yhteyttä sisäverkon kautta?
 
Viimeksi muokattu:
Mikä OpenVPN:n clientissä on connection-point? IP-osoite, vai DDNS-osoite?
Jos julkinen IP ei päivity, on sinulla kummankin kanssa haasteita. IP-osoitteena osoittaa vanhaan ei kelvolliseen osoitteeseen ja DDNS-osoitteena julkinen IP ei ole päivittynyt.
Minulla oli joskus vähän vastaanvanlainen tilanne, joten ota nyt ensin selville sen pfSensen julkinen osoite ja muuta se .ovpn-tiedostoon ja ota purkkiin kiinni. Tämän jälkeen tarkista pfSensestä Services --> Dynamic DNS. Jos käytät jotain muuta keinoa, hylkää se ja siirry tuohon. Tuo on nykyisellään se mitä kuuluu käyttää. Mitä näyttää cached IP:ksi? Onko oikein?
Tuo asetuksen alta tarkistat että Interface to monitor on WAN.
 
Eikös nuo mobiililaajakaistat monesti arvo uuden IP:n joka yhdistämiskerralla ja jos netti pätkii, niin koska sen pfsensen wan ei käy fyysisesti alhaalla niin se saa uuden, oikean IP osoitteet vasta kun edellisen leasing aika on lopussa. Ja se vanha osoite tuskin toimii enää jos verkko on pätkäissyt niin pahasti että on uudellern yhdistänyt. Toki nuo mobiilireitittimien siltauksetkin välillä häröilee ja toimii huonosto.
 
Mikä OpenVPN:n clientissä on connection-point? IP-osoite, vai DDNS-osoite?
Jos julkinen IP ei päivity, on sinulla kummankin kanssa haasteita. IP-osoitteena osoittaa vanhaan ei kelvolliseen osoitteeseen ja DDNS-osoitteena julkinen IP ei ole päivittynyt.
Minulla oli joskus vähän vastaanvanlainen tilanne, joten ota nyt ensin selville sen pfSensen julkinen osoite ja muuta se .ovpn-tiedostoon ja ota purkkiin kiinni. Tämän jälkeen tarkista pfSensestä Services --> Dynamic DNS. Jos käytät jotain muuta keinoa, hylkää se ja siirry tuohon. Tuo on nykyisellään se mitä kuuluu käyttää. Mitä näyttää cached IP:ksi? Onko oikein?
Tuo asetuksen alta tarkistat että Interface to monitor on WAN.

DDNS osoite mutta se on käsin päivitetty No-ip:lle oikeaksi. Julkinen osoite on sama minkä Zerotier näkee palvelussa koneelle sisäverkossa johon pääsen kiinni sitä kautta. Siellä näkyy myös Zerotier verkon ip mutta myös todellinen. Mutta sietää tuota kyllä kokeilla suoraan IP:lläkin. Tuo Cached IP oli mulla ensin väärin mutta kun sain julkisen IP:n käyttöön niin alkoi pelata. Pitää tarkistaa kun pääsen purkkiin kiinni mitä tuo sanoo.

Eikös nuo mobiililaajakaistat monesti arvo uuden IP:n joka yhdistämiskerralla ja jos netti pätkii, niin koska sen pfsensen wan ei käy fyysisesti alhaalla niin se saa uuden, oikean IP osoitteet vasta kun edellisen leasing aika on lopussa. Ja se vanha osoite tuskin toimii enää jos verkko on pätkäissyt niin pahasti että on uudellern yhdistänyt. Toki nuo mobiilireitittimien siltauksetkin välillä häröilee ja toimii huonosto.

Tässä uskon että ollaan ongelman ytimessä. Modeemi toimi puoli vuotta pätkimättä edellisessä OpenWRT reitittimellä, nyt kuin vaihdoin pfSensen on tuo muutaman päivän pystyssä ja sitten pätkäisee. Ei säännöllinen mutta säännöllisen epäsäännöllinen. Voihan se olla sattumaa mutta kummasti tuohon vaihtoon näyttäisi liittyvän. Mielestäni en vaihtanut asetuksia ensin mitenkään ja sitten jossain kohtaa muutin tuon julkisen ip:n käyttöön ja vaihdoin AP:n interner4:ksi joka elisalla tuon julkisen ipn kanssa käytössä. Pätki ennen tuota vaihtoakin. Lisäsin viimeksi kuin kävin etähallittavan postorasian modeemille jos rakennan siihen jotain automatiikkaa pätkimisen varalle.
 
pfsensen wan ei käy fyysisesti alhaalla niin se saa uuden, oikean IP osoitteet vasta kun edellisen leasing aika on lopussa.
Valitettavasti ainakaan mun reitittimet ei toivu vaan IP jää 0.0.0.0 vain reitittimen bootti auttaa.
Modeemi MF286.

Syitä voi vain arvailla pätkäisyssä vaihtuu IP:n lisäksi myös GW osoite (ja mac taitaa myös) eroja tuntuu olevan eri modeemien siltaus/ip-passthoug yhteensopivuudessa reitittimen kanssa.

Mulla pfSense pätki mutta eri dhcp clientilla oleva opnsense toimii hyvin (kop kop).
 
Pääsen Zerotier verkon kautta kiinni HA asennukseen joka omassa virtuaalikoneessa Proxmoxin päällä samassa läppärissä missä pfSense
Ilmeisesti Huawei B715 on reitittävässä tilassa ja HA suoraan sen perässä, rinnalla pfSense. HA:lla ja pfSensellä erityisesti mieluusti staattinen osoite. Tällöin Huihain pätkimisten jälkeen kaikki pitäisi toimia, kunhan se on taas kiinni celluverkossa. pfSensessä tietysti kannattaa olla harvakseltaan WAN-interfacen monitorointi päällä johonkin ulkoiseen, julkiseen paikkaan, jolloin se tippuu alas kun Huihai pätkäisee, ja mahdollisesti korjaa DDNS-osoitteen palautuessaan, sikäli kun se muuttuu.
 
Ilmeisesti Huawei B715 on reitittävässä tilassa ja HA suoraan sen perässä, rinnalla pfSense. HA:lla ja pfSensellä erityisesti mieluusti staattinen osoite. Tällöin Huihain pätkimisten jälkeen kaikki pitäisi toimia, kunhan se on taas kiinni celluverkossa. pfSensessä tietysti kannattaa olla harvakseltaan WAN-interfacen monitorointi päällä johonkin ulkoiseen, julkiseen paikkaan, jolloin se tippuu alas kun Huihai pätkäisee, ja mahdollisesti korjaa DDNS-osoitteen palautuessaan, sikäli kun se muuttuu.

Kyllä Huawei on siltaavana ja HA saa ip:nsä pfSenseltä DHCP:llä niinkuin pitääkin. Ainoat kiinteät IP:t verkossa on Proxmoxin ja pfSensen sisäverkon ip:t, muut pääasiassa staattisia DHCP:n kautta. Verkko palautuu katkon jälkeen muuten mutta tuo OpenVPN jää jotenkin jumiin. Zerotier on asennettu HA:han ja se pitää katkon jälkeen käynnistää uudelleen että liittyy omaan verkkoonsa.

Tuohon WAN:n monitorointiin pitää tutustua miten se toteutetaan, koska nyt ei ilmeisesti ole käytössä kun ei tajua että verkko pätkäisee. Kuvittelin että tuossa DynDNS palvellussa sellainen olisi valmiina.
 
Tuohon WAN:n monitorointiin pitää tutustua miten se toteutetaan
Routing — Gateway Settings | pfSense Documentation
Noiden yläpuolella on "Gateway Monitoring" master-täppä, monitorointiosoite jne.
Yksi juttu mikä pfSense:ssä kannattaa ehdottomasti olla, niin valinnainen paketti Service_Watchdog, joka käynnistelee hajonneet servicet uudelleen, erityisesti historiallisesti Unboundin.

E: Itsellä ei ole kylläkään muita servicejä watchdogissa kuin Unbound. OpenVPN:n kanssa ei ole koskaan ollut mitään ongelmaa, tosin yhteydet eivät myöskään pätki juuri koskaan, ja silloinkaan sitä ei yleensä huomaa (VDSL2 + LTE)
 
Viimeksi muokattu:
tsellä ei ole kylläkään muita servicejä watchdogissa kuin Unbound. OpenVPN:n kanssa ei ole koskaan ollut mitään ongelmaa, tosin yhteydet eivät myöskään pätki juuri koskaan, ja silloinkaan sitä ei yleensä huomaa (VDSL2 + LTE)

Ei mullakaan kotona kuidun perässä ole ongelmia OpenVPN:n kanssa ja joskus harvoin tuokin pätkii. Ongelma taitaa olla tuo modeemi ja sen siltaus, lueskellut juttua että Huawein siltaus ei oikeen toimi kunnolla. Ilmeisesti noiden 4G modeemien kanssa ylipäätään ongelmia siltauksesta. Ehkä se on kokeiltava ilman.
 
Onkos tähän tullut selvyyttä mikä tilanteen aiheutti ?
Tänään asensin Transmission 4.0 niin loppui nuo skannailut. Tosin tuota clienttiä ei ole vielä whitelistattu träkkerillä, joten se ei ota peer yhteyksiä. Tuo portti 28960 saattaa kyllä olla vastapuolen torrent-clientin yhteysportti. Toisella serverillä pyörii vielä 3.0 ja siitä lähtee yhteyksiä tuohon porttiin. Aika outoa, että yhtäkkiä tuo transmission olisi alkanut skannailemaan verkkoa. Tuo 3.0 on julkaistu kuitenkin 22.3.2020 eikä ennen tätä ole mitään huomautuksia skannailuista tullut.
 
  • Tykkää
Reactions: jsa
Tuossa pari tuolla ketjussa hyväksi todettua mallia. Itse kokeilin vajaa viikko sitten jotain vielä hullumpaa ja tein Alibaban puolelle tilin yksityishenkilönä ja sain sieltä tilauksen Pfsense Firewall N5105 Router 4x I225 I226 2.5g Lan 2xddr4 Nvme Industrial Fanless Mini Pc 4xusb Hd-mi2.0 Opnsense Pve Esxi - Buy Firewall Router N5105 Router,Firewall N5105 Pfsense Router,N5105 Pc N5105 Nics Product on Alibaba.com tämmöiseen läpi. Tuolla nuo ovat vielä reilusti halvempia, hintaa jäi vaan 164 euroa ja konfiguroin tuohon vielä kaikista kalleimmat 16 GB RAM-muistia ja 256 GB NVME levyn. Tuo on tosiaan veroton hinta, ne jos tulee maksettavaksi niin hintaa jää silti vaan 203 euroa. En kyllä voi suositella muille tätä prosessia ainakaan ennen kun saan tuon perille. Alibaba on toisaalta kyllä paljon parempi kun Aliexpress, täällä on muun muassa toimitustakuut joiden ylittyessä saa rahaa takaisin, 24/7 livechatti jota pitikin jo käyttää kun tuli sekoilua tunnuksen kanssa ja muutenkin paljon selkeämmin tietää keneltä on tilaamassa kun näkee oikeasti mikä tehdas on kyseessä.

Kiitos vinkistä, laitoin tilaukseen itsekin! Hinnat nousseet, sillä N5105 prossulla, i226-V verkkortilla, 8GB muistilla ja 128GB NVMe levyllä hintaa tuli 162 €. Kallein malli olisi ollut pari-kolme kymppiä lisää, mutta en kokenut tarpeelliseksi.
 
Viimeksi muokattu:
Kiitos vinkistä, laitoin tilaukseen itsekin! Hinnat nousseet, sillä N5105 prossulla, i226-V verkkortilla, 8GB muistilla ja 128GB NVMe levyllä hintaa tuli 164 €. Kallein malli olisi ollut pari-kolme kymppiä lisää, mutta en kokenut tarpeelliseksi.

31.1 Tehty tilaus lähti 4.2 tulemaan ja on tänään lähtenyt alankomaista kohti suomea. Luulisi ensi viikolla saapuvan jo.
 
Toptonin boksi saapui tänään. Eli toimitus kesti hieman vajaa kaksi viikkoa tilauksesta. Kone oli oikein asiallisesti pakattu ja mukana tuli kuvan mukaiset asiat. Otin tämän tosiaan 16 GB DDR4 ja 256 GB NVME SSD konfiguraatiolla ja koneen sisällä näyttäisi olevan nimetön kampa SK Hynix muistipiireillä varustettua muistia ja Fanxiang S500PRO 256 GB SSD. Jos nuo hirvittää niin näitä saa ilmankin, mutta nuo tuli niin halvalla nyt että otinpahan kuitenkin. Varmistin UEFI puolelta ja molemmat tunnistuu oikean kokoiseksi ja muistit toimii 2933 MHz kellotaajuudella. SSD:lle näkyi olevan asennettu valmiiksi pfSense Plus mutta vedän kyllä varmasti puhtaan asennuksen tuohon vielä. Virtalähteeksi tuli laadukas Lite-On jotka on ainakin ServeTheHomen videon mukaan ihan aitoja ja ovat merkittävästi energiatehokkaampia kun jotkut muut mitä näiden mukana on aiemmin tullut. Ei välttämättä varmuudella kuitenkaan noita näiden mukana aina tule.

Kaiken kaikkiaan vaikuttaa oikein laadukkaalta laitokselta. Tulipahan testattua samalla Alibabasta tilaaminen ja siinä ei kyllä ollut mitään valittamista, päinvastoin itse asiassa. Todella paljon selkeämpää tietää tuolla juuri minkä tuotteen olet ostamassa kun tilaat suoraan valmistajalta etkä mistään välittäjäkaupasta. Tuolla oli myös oikeasti toimiva 24/7 live chatti, toimitusaikavarmuus jonka ylittyessä saa rahoja takaisin sekä paljon parempi seuranta kun Aliexpressin puolella. Tälle boksille jäi hintaa vain 164 euroa, paketti näkyi tulevan jonkun Saksan välivaraston kautta niin ei tullikaan mitään kysellyt. Näkyy olevan nyt pari kymppiä hinta noussut tosin. Tämä maksaa tällä hetkellä Aliexpressistä 283 euroa eli merkittävät säästöt saa silti tuolta kautta.

IMG_0588.jpgIMG_0589.jpg
 
Hienoa kuulla että laite tuli perille ja on käypää tavaraa!

Omasta perjantaina tehdystä tilauksestani ei ollut kuulunut mitään, niin viestisi takia kävin sivuilla katsomassa tilannetta. Orders välilehdellä oli ilmoitus joka oli "Pending confirmation (1)". Myyjä halusi jostain syystä vaihtaa lähetyksen kuljetusyrityksen (carrier) toiseen. Hyväksyin sen ja nyt tilauksella lukee Carrier: Seller's Shipping Method 1 ja odottaa lähetystä. Tuosta ei tullut mitään sähköpostia (roskaposteistakaan ei löytynyt) joten jos joku meinaa tilata, niin kannattaa tarkistaa meneekö tilaus "To be shipped" tilaan vai tuleeko tuollaisia edellä mainittuja juttuja eteen.
 
Hienoa kuulla että laite tuli perille ja on käypää tavaraa!

Omasta perjantaina tehdystä tilauksestani ei ollut kuulunut mitään, niin viestisi takia kävin sivuilla katsomassa tilannetta. Orders välilehdellä oli ilmoitus joka oli "Pending confirmation (1)". Myyjä halusi jostain syystä vaihtaa lähetyksen kuljetusyrityksen (carrier) toiseen. Hyväksyin sen ja nyt tilauksella lukee Carrier: Seller's Shipping Method 1 ja odottaa lähetystä. Tuosta ei tullut mitään sähköpostia (roskaposteistakaan ei löytynyt) joten jos joku meinaa tilata, niin kannattaa tarkistaa meneekö tilaus "To be shipped" tilaan vai tuleeko tuollaisia edellä mainittuja juttuja eteen.

Joo pitikin mainita tuosta, itselle tuli ihan sama. Käytin kännykkäappia niin sitä kautta tuli kyllä ilmoituskin tuosta. Mutta olisi kyllä joutanut sähköpostikin tulemaan.

Sellainen varoituksen sana näistä vielä muuten, tuota i226 verkkokorttia ei tueta pfSensen 2.6 versiossa vielä. Tuki löytyy 22.05 pfSense Plussasta johon tuosta 2.6:sta voi päivittää mutta se voi osottautua hankalaksi koska suoraan tuolle ei pysty asennusimagea mistään lataamaan. Päivityksen voi tehdä vaikka väliaikaisilla USB-verkkokorteilla. Myös 2.7 kehitysversio CE:stä ja OPNSense tukee suoraan tuota.
 
Viimeksi muokattu:
Virtalähteeksi tuli laadukas Lite-On jotka on ainakin ServeTheHomen videon mukaan ihan aitoja ja ovat merkittävästi energiatehokkaampia kun jotkut muut mitä näiden mukana on aiemmin tullut.

Näissä bokseissa ei varmaan ole PoE-ominaisuuksia yleensä? Esim. tuossa Toptonissa jonka ostit? Pari mallia löytyi, joissa PoE on epämääräisesti mainittu, mutta ei ihan vakuuttanut.
 
Näissä bokseissa ei varmaan ole PoE-ominaisuuksia yleensä? Esim. tuossa Toptonissa jonka ostit? Pari mallia löytyi, joissa PoE on epämääräisesti mainittu, mutta ei ihan vakuuttanut.

Tässä ei ainakaan ole, kokeilin vielä varmuuden vuoksi 802.3af käyttävällä tukiasemalla ja ei herännyt. Aliexpressin puolella oleviin puheisiin ei ainakaan kannata luottaa jos siellä PoE mainitaan.
 
Päivitetty Shuttle DS77U ja Netgate 1100 23.01 versioon. Molempiin meni ilman ongelmia.
Tuossa Shuttlessa mulla on NextDNS CLI niin poistin sen ennen päivitystä ja otin DNS Resolverin käyttöön. Päivitys sisään ja kun toimi ok niin NextDNS CLI asennus. Toimii ok.

Pitää tutkia vielä tarkemmin illalla.
IKEv2 vpn ja wifi (eap-tls) ainakin toimii.
 
CPU speed ongelmia.

Kuva tuolta foorumilta.
1676560307988.png

A change that FreeBSD 14 brought was support for intel speed shift to control cpu power/performance. PowerD no longer seem to control that behavior anymore.
 
No niin... Viikko sitten päivitin PFsensen plus versioon ja kaikki pelasi hienosti. Rautana on tosiaan Kiinasta 2019 tilailtu Kettop Mi3855L6.
Eilen menin sitten asentamaan 23.01 päivityksen ja hienous loppui siihen. Laite ei enää käynnistynyt ja ilmoitti "can't find '/etc/hostid" tiedostoa ja boottii jäi siihen. Jotain vastaavia ongelmia löytyi netin syövereistä freeBSDen liittyen ja yleensä ongelmana oli legacy moodi ja UEFI korjaa asiaan. BIOSissa oli päällä mixed mode ja sen vaihto UEFIksi ei muuttanut tilannetta. No puoli vahingossa kokeilin pelkkää legacy modea ja sehän boottasi.

Tässä vaiheessa purkki oli pöydällä ja kun raahasin sen takaisin laitekaappiin, ei se enää noussutkaan linjoille. Purkki takaisin pöydällä ja toimii normaalisti. Sitten revin ylimääräiset piuhat irti ja alkoi taas toimimaan. Lopulta syylliseksi paljastui sarjaporttiin kytketty GPS piiri. Nähtävästi joku sarjaporttikonsoli on nyt mennyt käyttöön ja GPS:n viestit jumittaa käynnistyksen. Asetuksista Serial Terminal ei ole valittu käyttöön ja Primary Console on Video Console. Pitää jatkaa selvittelyä jossain vaiheessa...

[edit]
Joku bitti oli konffissa varmaan pielessä. Käytin Serial Terminal täpän päällä, tallensin, otin pois, tallensin ja nyt ainakin reboot onnistui. Pitää vielä kokeilla käynnistys sammuksista.
 
Viimeksi muokattu:
CPU speed ongelmia.

Kuva tuolta foorumilta.
A change that FreeBSD 14 brought was support for intel speed shift to control cpu power/performance. PowerD no longer seem to control that behavior anymore.
Tuo virransäästö ollu pidempään eikä suurta vaikutusta huomannu.
Alle 800 Mhz pudotti nuo "Intel " lisäykset.

1676644424010.png


Bioksesta on laitettu muistaakseni ainakin GPU 100MHz ja Battery virrankäyttöpäälle ja muistaakseni tuki nopeussäädölle. Cpu nopeuden säätö sotki bioksen aika hyvin (kesti monta minuttia käynnistyä) Bios löytyy täältä kiinalaiseen 6 porttiseen Toptom/KingNovy J6412/J6413 laitteeseen. J6412_J6413-6L-I226(MINIPC-M12) | 畅网共享资料技术云网盘 (changwang.com)
Alkuperäinen bios olisi kyllä kiva saada kun ei tullu otettua talteen.

j6412 /J6413 laitteelle ei tukea ole kuin 2.70beta=< versiosta alkaen, joten plussaksi muutoksen joutui tekemään esim lisäämäällä sertifikaatit ym. vanhemmasta 22.1/22.5 version laitteesta ja ajamalla ne uuteen laitteeseen ja sen jälkeen päivitys v2.70->plussaksi, jos tämä kiinnostaa voin kertoa miten. Rekisteröinti toki tehty etukäteen laitteelle ennen plussan asennusta.
Ilmeisesti jotku tekee v2.60 asennuksen vanhemmalla usb-verkkokortilla. Tämä sen vuoksi että kyseiselle laitteen sisäille ethernet liitännöille tuki tulee versiossa 2.7 ja päivitys plussksi voidaan tehdä vain vanhemmasta versiosta. Tuki suoraan päivitykseen 2.70:sta on kyllä tulossa.


Patcheja 2.7/ 23.1 on jo tullu, ne saa käyttöön
Asennus Package Managerista System Patchesi, ja lisäämällä seuraavat patch koodit.

Korjaukset löytyy myös Bugilistan feedback tilasta. Normi käytössä ei noita tarvitse.
Tapahtumat - pfSense - pfSense bugtracker
Asennuksen jälkeen löytyy System-valikosta
1676695625253.png


e53f0573d853325dfb463eab8bfe59a9f4d6ce61
2186435b5185ceb294cd6a4c1380db443e4dd218
d9fa4584e3fb63d6051e9f1db7655f931cb1be19

Lisätään voin koodit patcheihin ja sen jälkeen ne näkyy fetchin jälkeen asennettavana
1676694494902.png
 
Viimeksi muokattu:
Ajoin päivityksen ja ei kaatunut Unbound. DNSBL tosin ei lähtenyt oikein käyntiin vaan täytyy ajaa tuo Reload All. Tämä tosin taitaa olla tarpeellista vaan jos käyttää sitä Python-tilaa.

Asiasta toiseen, onko täällä APU2 käyttäjiä 1 Gbps liittymillä? Vaihtui tänään liittymä tuollaiseen ja saan tuosta maksimissaan 730 Mbps irti. Teklagerin sivuilla oli joku ohje missä oli temppuja millä on vanhempaan pfSensen versioon saanut 1 Gbps nopeudet mutta siellä luki että ei enää tarvitse tehdä niitä vaan vakiona pitäisi toimia. Minulla on pfSense plus 22.05 käytössä. Ei ole käytössä mitään traffic shaping/qos juttuja eikä muutakaan mikä hidastaisi reitittämistä.
Siirryin alunperin openwrt:hen pfsensestä sen takia, että sai 100megaselle liittymälle toimivan traffic shapingin Cakella, joka ei yrityksistä huolimatta toiminut kunnolla pfsensellä. No nyt kun liittymäni nopeudet on toista luokkaa ja ei openwrt:kään jaksa enää traffic shapingia, niin mietin juuri että pitäisikö siirtyä pfsenseen takaisin, mutta näköjään ei. :D
 
Itse siirryin ihan vaan mielenkiinnosta ilmaisista/open source diy-muureista Fortigateen, ei nyt liity aiheeseen mutta jos näistä kaupallisista muureista (Fortinet, Cisco, Check Point, Palo Alto jne) kiinnostaa jutella niin voidaan tehdä oma ketju. Ebaysta saa ihan hyvään hintaan edellisen generaation laitteita mihin löytyy uusimpia firmiksiä.
 
Itse siirryin ihan vaan mielenkiinnosta ilmaisista/open source diy-muureista Fortigateen, ei nyt liity aiheeseen mutta jos näistä kaupallisista muureista (Fortinet, Cisco, Check Point, Palo Alto jne) kiinnostaa jutella niin voidaan tehdä oma ketju. Ebaysta saa ihan hyvään hintaan edellisen generaation laitteita mihin löytyy uusimpia firmiksiä.

voisi tehdä oman mutta mitä noita fortigateja työelämässä joskus käyttänyt niin vaativat kalliit lisenssit käytännössä kaikille lisäominaisuuksille. Taitaa ilman lisenssiä toimia vaan karvalakki palomuurina ilman mitään hienouksia mitä esim. pfsense tarjoaa.
 
Siirryin alunperin openwrt:hen pfsensestä sen takia, että sai 100megaselle liittymälle toimivan traffic shapingin Cakella, joka ei yrityksistä huolimatta toiminut kunnolla pfsensellä. No nyt kun liittymäni nopeudet on toista luokkaa ja ei openwrt:kään jaksa enää traffic shapingia, niin mietin juuri että pitäisikö siirtyä pfsenseen takaisin, mutta näköjään ei. :D
Kyllä se toimii ihan hyvin, suurimmat ongelmat olleet itsellä 23.01 päivitykseen liittyen, puhdas asennus korjannu ne.
Täytyy kuitenki ymmärtää että Netgate lisäsi tähän versioon suuren määrän versiomuutoksia huomatessaan että kilpailija on jo hoitanu suuren osan aiemmin. Tukikin loppunu käytetyille versioille jo viime vuoden puolella.
Itse jouduin poistamaan varmuuskopiosta kaikki PFblockerNG viittaukset jotta palautus meni oikein.
Pfsensellä on omasta mielestä suurin ongelma että siellä nakellaan bugeja vapaasti seuraaville versioille, luoden mielikuva että ongelmia ei ole.
nämä on 23.01 version oikeat avoimet bugit. Osa tietenki käyttäjävirheitä tai käyttäjävirheen sallivia virheitä.
23.05 Plus - All Open Issues - pfSense - pfSense bugtracker
CE-Next - All Open Issues - pfSense - pfSense bugtracker

Ja hetihän siellä pisti silmään Traffic sharper ongelma
Bug #13915: PHP error when making changes in the traffic shaper wizard - pfSense - pfSense bugtracker

Linkkaamasi tekstiin PFblockerNG joutuu aina ajamaan Reloadin jotta se päivittyy jos jotain on käyny muokkaamassa, eikä haittaa että sen tekee aika ajoin niin ohjelma käynnistyy varmasti eikä olla tilassa jossa luullaan ohjelman toimivan.
Linkatussa ongelmassa epäselvää onko verkkokortit tarpeeksi hyviä ja ajurit toimii.

Tämäkin voisi olla meemi ohjelmakehityksestä.
Kumpi sitten viekään enemmän aikaa, ongelmien korjaus vai ongelmien pompottelu.
1676700725942.png
 
Viimeksi muokattu:
Toptonin boksi saapui tänään. Eli toimitus kesti hieman vajaa kaksi viikkoa tilauksesta. Kone oli oikein asiallisesti pakattu ja mukana tuli kuvan mukaiset asiat. Otin tämän tosiaan 16 GB DDR4 ja 256 GB NVME SSD konfiguraatiolla ja koneen sisällä näyttäisi olevan nimetön kampa SK Hynix muistipiireillä varustettua muistia ja Fanxiang S500PRO 256 GB SSD. Jos nuo hirvittää niin näitä saa ilmankin, mutta nuo tuli niin halvalla nyt että otinpahan kuitenkin. Varmistin UEFI puolelta ja molemmat tunnistuu oikean kokoiseksi ja muistit toimii 2933 MHz kellotaajuudella. SSD:lle näkyi olevan asennettu valmiiksi pfSense Plus mutta vedän kyllä varmasti puhtaan asennuksen tuohon vielä. Virtalähteeksi tuli laadukas Lite-On jotka on ainakin ServeTheHomen videon mukaan ihan aitoja ja ovat merkittävästi energiatehokkaampia kun jotkut muut mitä näiden mukana on aiemmin tullut. Ei välttämättä varmuudella kuitenkaan noita näiden mukana aina tule.

Kaiken kaikkiaan vaikuttaa oikein laadukkaalta laitokselta. Tulipahan testattua samalla Alibabasta tilaaminen ja siinä ei kyllä ollut mitään valittamista, päinvastoin itse asiassa. Todella paljon selkeämpää tietää tuolla juuri minkä tuotteen olet ostamassa kun tilaat suoraan valmistajalta etkä mistään välittäjäkaupasta. Tuolla oli myös oikeasti toimiva 24/7 live chatti, toimitusaikavarmuus jonka ylittyessä saa rahoja takaisin sekä paljon parempi seuranta kun Aliexpressin puolella. Tälle boksille jäi hintaa vain 164 euroa, paketti näkyi tulevan jonkun Saksan välivaraston kautta niin ei tullikaan mitään kysellyt. Näkyy olevan nyt pari kymppiä hinta noussut tosin. Tämä maksaa tällä hetkellä Aliexpressistä 283 euroa eli merkittävät säästöt saa silti tuolta kautta.

IMG_0588.jpgIMG_0589.jpg

Laite ollut nyt tämän viikon ajossa. Kaikki toiminut moitteettomasti ja prosessorin lämpötilatkin pyörivät hieman alle 50 asteessa eli oikein hyvin jäähtyy passiivisesti. Luottoa löytyy sen verran että laitoin vanhan APU2 -boksini myyntiin kauppa-alueelle jos joku kaipaa mainiota laitetta alle 500 Mbps nettiyhteyksien kaveriksi.
 
Netgatella ongelmia Netgate 1100 ja 2100 mallien kanssa, koska 23.01 päivitykset keskeytetty.

Just letting the community know that updates to pfSense Plus version 23.01 have been stopped for the Netgate 1100 and 2100 systems while we investigate an issue that affects older systems. We will resume updates as soon as we can. Thanks for your patience.
 
Pfsense 23.01 tiedostot on jälleen kerran ajettu uusiksi päivityskantaan. Ei tietoa miksi.
Mielestäni versio 23.01 release on nyt julkaistu kolme kertaa 8.2, 10.2. 17.2.
Index of /pkg/pfSense_plus-v23_01_amd64-pfSense_plus_v23_01/All/ (netgate.com)

itsellä pysyi näennäisesti 10.2 buildissa.
1677006507258.png


en muista käytinkö
command promptissa
pkg update
pkg upgrade -fy

vai
pkg-static update
pkg-static upgrade -fy


joka tapauksessa
command promptissa
pkg info pfSense
kertoo buildin vaihtuneen

1677009603177.png



Jos joku haluaa kaivella ja ottaa talteen tiedostot, helpoiten se käy wget.exe ohjelmalla

Koodi:
wget -r --no-parent --reject index.html https://firmware.netgate.com/pkg/pfSense_plus-v23_01_amd64-pfSense_plus_v23_01/
wget -r --no-parent --reject index.html.tmp https://firmware.netgate.com/pkg/pfSense_plus-v23_01_amd64-core/
 
Viimeksi muokattu:
Omassa Netgate 1100 laitteessa oli muistiongelmia 23.01 kanssa eli ZFS ARC+wired usage kasvoi hulluna yöaikaan.
Oma laite aina aamulla.
1677163238394.png

Normaalisti muistinkäyttö noin 40%.

Ohjetta muutoksiin:

Löytyy myös system patch.

Itse tein nuo /etc/crontab muutokset ja System Tunable vfs.zfs.arc_max = 268435456
 
Viimeksi muokattu:
Omassa Netgate 1100 laitteessa oli muistiongelmia 23.01 kanssa eli ZFS ARC+wired usage kasvoi hulluna yöaikaan.
Oma laite aina aamulla.
1677163238394.png

Normaalisti muistinkäyttö noin 40%.

Ohjetta muutoksiin:

Löytyy myös system patch.

Itse tein nuo /etc/crontab muutokset ja System Tunable vfs.zfs.arc_max = 268435456
Nyt on muistikäyttö normaalia.
1677224409355.png
 
pfBlockerNG pfSense 2.6-versio sai päivityksen:

Changelog pfBlockerNG:

This replaces the old pfBlockerNG v2.1.4_28 with pfBlockerNG v3.2.0_3
  • Refer to pfBlockerNG-devel changelogs for all other details
  • Changelog pfBlockerNG-devel:
Update pfBlockerNG-devel v3.1.0_11 to pfBlockerNG-devel 3.2.0_3
  • Fix Feeds not updating with some Cron settings
  • Fix issue with auto-sort in IP/DNSBL pages
  • Add European public DNS zero.dns0.eu (DoH/DoT/DoQ) to DNSBL DoH/DoT/DoQ blocking
  • Fix typo in Widget IP/DNSBL clearing

 
Onko kukaan pfSense CE version käyttäjä ajanut seuraavaa.
pkg audit -F

Tietoturvapäivityksiä puuttuu käsitääkseni aika paljon.
 
Viimeksi muokattu:
Pfsense 23.01 tiedostot on jälleen kerran ajettu uusiksi päivityskantaan. Ei tietoa miksi.
Mielestäni versio 23.01 release on nyt julkaistu kolme kertaa 8.2, 10.2. 17.2.
Index of /pkg/pfSense_plus-v23_01_amd64-pfSense_plus_v23_01/All/ (netgate.com)

itsellä pysyi näennäisesti 10.2 buildissa.
1677006507258.png


en muista käytinkö
command promptissa
pkg update
pkg upgrade -fy

vai
pkg-static update
pkg-static upgrade -fy


joka tapauksessa
command promptissa
pkg info pfSense
kertoo buildin vaihtuneen

1677009603177.png



Jos joku haluaa kaivella ja ottaa talteen tiedostot, helpoiten se käy wget.exe ohjelmalla

Koodi:
wget -r --no-parent --reject index.html https://firmware.netgate.com/pkg/pfSense_plus-v23_01_amd64-pfSense_plus_v23_01/
wget -r --no-parent --reject index.html.tmp https://firmware.netgate.com/pkg/pfSense_plus-v23_01_amd64-core/

En tiä onko tällä merkitystä, mutta nyt kun kokeilin itse suorittaa komennot:
Koodi:
pkg update
pkg upgrade -fy

Niin itselläkin toi build_timestamp vaihtui:
Vanha
Koodi:
pfSense-23.01
Name           : pfSense
Version        : 23.01
Installed on   : Thu Feb 16 12:14:54 2023 EET
Origin         : security/pfSense
Architecture   : FreeBSD:14:amd64
Prefix         : /usr/local
Categories     : security kld
Licenses       : APACHE20
Maintainer     : coreteam@pfsense.org
WWW            : https://www.pfsense.org/
Comment        : Meta package to install pfSense required ports
Annotations    :
        FreeBSD_version: 1400073
        build_timestamp: 2023-02-09T19:16:42+0000
        built_by       : poudriere-git-3.3.99.20220831
        flavor         : php81
        port_checkout_unclean: no
        port_git_hash  : 44f925395beb
        ports_top_checkout_unclean: yes
        ports_top_git_hash: cb9c87b753a7
        repo_type      : binary
        repository     : pfSense
Flat size      : 10.2KiB
Description    :
Meta package to install pfSense required ports

WWW: https://www.pfsense.org/

Uusi
Koodi:
pfSense-23.01
Name           : pfSense
Version        : 23.01
Installed on   : Fri Feb 24 17:04:07 2023 EET
Origin         : security/pfSense
Architecture   : FreeBSD:14:amd64
Prefix         : /usr/local
Categories     : security kld
Licenses       : APACHE20
Maintainer     : coreteam@pfsense.org
WWW            : https://www.pfsense.org/
Comment        : Meta package to install pfSense required ports
Annotations    :
        FreeBSD_version: 1400073
        build_timestamp: 2023-02-21T19:34:07+0000
        built_by       : poudriere-git-3.3.99.20220831
        flavor         : php81
        port_checkout_unclean: no
        port_git_hash  : 44f925395beb
        ports_top_checkout_unclean: yes
        ports_top_git_hash: 18e9cb3354c5
        repo_type      : binary
        repository     : pfSense
Flat size      : 10.2KiB
Description    :
Meta package to install pfSense required ports

WWW: https://www.pfsense.org/
 
Vihdoin sain hommattua koneen pfSense/OPNSense käyttöön. Vielä puuttuu verkkokortti. Ilmeisesti Intelin i340-t4 kortit olisivat hyviä?

Niitä näyttää löytyvän Ebaystä runsaasti, mutta olisiko jollakulla heittää linkkiä luotettavaan myyjään josta on hyviä kokemuksia?

Ellei sitten jollakulla ole myydä PK-seudulta ylimääräistä korttia Low profile kiinnitysraudalla?

Koneeksi tuli ihan överi, HP:n EliteDesk 800 G3 i5-6500 prosessorilla, mutta kun halvalla sai....
 
Kiinnostaisi vaihtaa HP:n brändäämä Intelin 4-porttinen 1Gbps porteilla oleva verkkokortti neliporttiseen 2.5Gbps verkkokorttiin. Onko Qnapin verkkokortit luotettavia ja laadukkaita?
Esim: QNAP QXG-2G4T-I225 | Edullinen

Valmistajan nimi ei liene tässä tapauksessa niin isossa osassa kuin se että tällä kortilla pääset osallistumaan perinteisiin Intelin verkkopiirirevisioarpajaisiin. Kortin verkkopiiri i225LM ei oikein ole luottosuorittajan maineessa, ilmeisesti vaihteeksi taas osa hardisrevisioista on paskaa ja osa toimivia. Ehkä.
 
Valmistajan nimi ei liene tässä tapauksessa niin isossa osassa kuin se että tällä kortilla pääset osallistumaan perinteisiin Intelin verkkopiirirevisioarpajaisiin. Kortin verkkopiiri i225LM ei oikein ole luottosuorittajan maineessa, ilmeisesti vaihteeksi taas osa hardisrevisioista on paskaa ja osa toimivia. Ehkä.
Onko Realtekin 2.5Gbps kortit sitten laadukkaampia nykyään? Pfsensellehän ei suositella oikeastaan muita kuin Intelin verkkokortteja.
 
Onko Realtekin 2.5Gbps kortit sitten laadukkaampia nykyään? Pfsensellehän ei suositella oikeastaan muita kuin Intelin verkkokortteja.
Eivät ole. Rautakiihdytys puuttuu edelleen, eli verkkoliikenteen prosessointi tapahtuu laitteen CPU:lla, eikä verkkokortin omalla.

Saa toki korjata jos joku on huomannut muuta.
 
Eivät ole. Rautakiihdytys puuttuu edelleen, eli verkkoliikenteen prosessointi tapahtuu laitteen CPU:lla, eikä verkkokortin omalla.

Saa toki korjata jos joku on huomannut muuta.
Eikö suositus ole ainkin ollut disabloida rautakiihdytykset jos haluaa mahdollisimman stabiilin yhteyden?
 
Eikö suositus ole ainkin ollut disabloida rautakiihdytykset jos haluaa mahdollisimman stabiilin yhteyden?
Tarkoitat varmaan näitä joitain ominaisuuksia joita voi laittaa verkkokortille tehtäväksi: Settings — OPNsense documentation

Ovat eri asia kuin ns softaverkkokortit, näillä esim. Realtekin korteilla kaikki pakettien välitys hoidetaan tietokoneen CPU:n toimesta ajurien kautta, verkkokortti sisältää vain välttämättömimmän elektroniikan. Toki en tiedä onko nykyraudalla miten merkitystä.
 
Viimeksi muokattu:

Statistiikka

Viestiketjuista
257 842
Viestejä
4 485 443
Jäsenet
74 005
Uusin jäsen
S Mike

Hinta.fi

Back
Ylös Bottom