Tee-se-itse: Rautapalomuurit (pfSense, Sophos UTM..) (Mitä käytätte ja miksi juuri se vaihtoehto?)

Ei suoraan liity tähän - voin tehdä toisenkin threadin... Osaisiko joku auttaa (ja viitsisikö) siinä miten konffaan purevpn:n pfsenseen ja määrittelen sen vain tietyille sisäverkon osoitteille pakolliseksi? Olen noita ohjeita lueskellut mutta en ole viitsinyt alkaa räpläämään...
 
McPaHa sanoi:
Ei suoraan liity tähän - voin tehdä toisenkin threadin... Osaisiko joku auttaa (ja viitsisikö) siinä miten konffaan purevpn:n pfsenseen ja määrittelen sen vain tietyille sisäverkon osoitteille pakolliseksi? Olen noita ohjeita lueskellut mutta en ole viitsinyt alkaa räpläämään...
Napsauta laajentaaksesi...
 
Onkos kellään kokemuksia tästä koneesta: http://bit.ly/2ias6rP ??
Linkistä ajattelin tilata i3 mallin qotom koneen. Kone tulisin ipfire/pfsense käyttöön... AES-Ni tuki löytyy ja hyvät intelin verkkokortit.
 
Täällä oli mainittuna aiemmin MikroTik.
Löysinkin hyvän raudan omaan tarpeeseen tuosta RB493G mallista, kun 4 portin ratkaisut ei oikein riittäneet enää ja switchiä ei erikseen haluaisi.
RouterOS vaati hieman totuttelua, mutta hyvälle vaikuttaa kyllä.

Ainoa asia mitä en osaa laittaa kunnolla on DNS nimet lähiverkkoon liittyville laitteille, niin että näkisivät toisensa nimillä jotka niillä sattuu olemaan.
Nyt asia on ratkaistu manuaalisesti ne lisäämällä IP -> DNS Settings -> DNS Static tauluun. Onko tähän olemassa parempaa tapaa?

Suhteellisen ahdas asennuspaikka ja wlanille anteneille on tulossa vielä jatkojohdot.
 
njake sanoi:
Täällä oli mainittuna aiemmin MikroTik.
Löysinkin hyvän raudan omaan tarpeeseen tuosta RB493G mallista, kun 4 portin ratkaisut ei oikein riittäneet enää ja switchiä ei erikseen haluaisi.
RouterOS vaati hieman totuttelua, mutta hyvälle vaikuttaa kyllä.

Ainoa asia mitä en osaa laittaa kunnolla on DNS nimet lähiverkkoon liittyville laitteille, niin että näkisivät toisensa nimillä jotka niillä sattuu olemaan.
Nyt asia on ratkaistu manuaalisesti ne lisäämällä IP -> DNS Settings -> DNS Static tauluun. Onko tähän olemassa parempaa tapaa?

Suhteellisen ahdas asennuspaikka ja wlanille anteneille on tulossa vielä jatkojohdot.
Napsauta laajentaaksesi...

Mikrotikkiä ei ole tarkoitettu nimipalvelimeksi, joten tonne voi halutessaan lisätä tai sitten asentaa erillisen nimipalvelimen.
 
olkitu sanoi:
Mikrotikkiä ei ole tarkoitettu nimipalvelimeksi, joten tonne voi halutessaan lisätä tai sitten asentaa erillisen nimipalvelimen.
Napsauta laajentaaksesi...
Mitenköhän tuonne sitten lisätään tai asennataan nimipalvelin?
Edit: Ei mitään luin väärin.
 
pfSensen konffausvinkkejä:

Warning! Do not get cute and add in a tertiary DNS *or* think you know better by adding in OpenDNS or Google as a secondary DNS for improved redundancy. If you do this, you will get unexpected results. The DNS servers are *not* queried in order as you might expect. Instead, the servers are either asked simultaneously (dnsmasq) or they flip flop who is the “primary” DNS frequently. In my testing, the Google DNS was just a titch faster so it stayed primary more often than not. In a handful of tests, the 1st query was sent and it didn’t come back fast enough so Google DNS was queried second. Surprisingly, Google DNS still answered first in some instances despite its later start. As a result, the IP address was resolved and the second/later response of NX Domain was discarded. At any rate, any DNS configuration other than what I have stated above breaks the blocking component of Quad9, which is the main reason for using it IMO.
Napsauta laajentaaksesi...

Configuring Quad9 on pfSense


Using Firewall Block Lists
 
Viimeksi muokattu:
Onko tietoa/kokemusta miten PfSensenssä toimii transparent proxy ja multi-wan yhdessä? Ideana olisi itsellä reitittää webbi liikenne toisen yhteyden kautta ja muu liikenne toisen kautta.
 
Voi olla että jossain vaiheessa tulee minun Qnappiin harkintaan/hankintaan tuo pfSense palomuuriksí nykyisen SophosUTM:n tilalle. Qnap julkisti tänään CES-messuilla kumppanuussopimuksen Netgaten (pfSensen kehittäjäyhtiö) kanssa.

Nykyinen UTM pyörii hyvin luunapissa mutta jos yhteistyössä viilaavat tuon pfSensen GUI:n/systeemin vielä paremmaksi niin mikäjottei.

"Organizations can implement Netgate's pfSense in a virtual machine operated on the QNAP NAS using Virtualization Station, a full virtualization solution for x86-based QNAP NAS with virtualization extensions (Intel® VT or AMD-V). The joint solution – comprised of a full-featured intrusion prevention system through pfSense, and the virtual switch available via QNAP’s QTS NAS system – enables fast and easy internal firewall deployment that safeguards applications running on the NAS."
Napsauta laajentaaksesi...

QNAP and Netgate Showcase NAS with pfSense Joint Solution for Network Security at CES 2018
 


Compulabin Fitlet2 Facet lisäkortteja saa vihdoinkin, miniPCIe tai 3G/4G on M.2 2280 SSD varten pakollinen. (Vakiona ei mahdu kuin 2242 ja 2260 kokoiset joissa ei ole laadukkaita malleja tarjolla.)

Kannatta tilata kaikki tarvittavat palikat samalla, kun postikulut on suolaiset.
 
Tämmöstä, on tuolla joitain muitakin säätöjä, mutta taidampa seuraavaksi miettiä sen rautalankaohjeen tekoa sellaisille, jotka eivät ole koskaan pfsenseen koskeneetkaan...
Napsauta laajentaaksesi...

Jokos tunturilta on tullu rautalankaohjetta pfsensen käyttöön ottamiseksi, kiinnostais ihan ostohetkestä conffauksiin saakka tutustua enempi näihin. Huikkaahan jos tuommoisen joskus kirjottelet niin lukasen takuulla. Painin näiden omien sotkujen kanssa, eikä tuosta omasta nyk. wlan purkista löydy verkkojen hallintaan tarpeeksi kattavia asetuksia niin olenki tässä pitkään mietiskelly jotain pfsenseä tai ipfireä. Samalla kiinnostais kunnon suomenkieliset ohjeet wiresharkin käyttöön niin pääsis hieman syvemmälti tutkailemaan liikennettä. Sitten oiskin taas tekemistä seuraavan syksyn pimeille illoille :) Googlesta löytää kyllä tietenki mutta huonosti suomenkielellä, mikä hankaloittaa tätä omaa harrastelua huomattavasti.
 
pfSenseä suunnittelen talouteen, rauta pohdituttaa... Tällainen kone löytyisi ylimääräisenä:

HP Elite 8200 Ultra-slim
HP Compaq 8200 Elite Ultra-slim PC - Specifications | HP® Customer Support

Tuo varmaankin voisi olla ok alusta pfSenselle. Mutta saako tähän lisättyä toista verkkokorttia? Onko se edes mahdollista kohtuu helposti?

Pitkän googlettelun perusteella olen tullut tulokseen että Mini PCI verkkokortti olisi ehkä mahdollista saada liitettyä emolle ja sitten tekisi takalevyyn reiän RJ-45:lle.

Vai onko parempi unohtaa tämä???
 
Paris sanoi:
pfSenseä suunnittelen talouteen, rauta pohdituttaa... Tällainen kone löytyisi ylimääräisenä:

HP Elite 8200 Ultra-slim
HP Compaq 8200 Elite Ultra-slim PC - Specifications | HP® Customer Support

Tuo varmaankin voisi olla ok alusta pfSenselle. Mutta saako tähän lisättyä toista verkkokorttia? Onko se edes mahdollista kohtuu helposti?

Pitkän googlettelun perusteella olen tullut tulokseen että Mini PCI verkkokortti olisi ehkä mahdollista saada liitettyä emolle ja sitten tekisi takalevyyn reiän RJ-45:lle.

Vai onko parempi unohtaa tämä???
Napsauta laajentaaksesi...
Voi olla parempi myydä tuo ja ostaa normaalilla emolevyllä varustettu kone. Taitaa päästä paljon helpommalla kun pfsensen kanssa ei välttämättä aivan kaikki oudommat verkkokortit toimi kunnolla.

Itse tilasin juuri matalan kotelon atx-emolevylle ja vaihdan vanhan I5-2120 1155 -kokoonpanon hieman uudempaan. Tuossa I5-2120:ssa ei ole AES-NI -tukea, joten 2.5 versio pfsensestä ei edes toimisi sen kanssa.
 
Paris sanoi:
... Seuraavaksi suuntaan katseeni PcEngines-suuntaan...
PC Engines home
Napsauta laajentaaksesi...
Tuo sivu ei ole muuttunut rakenteensa puolesta yhtään kymmenessävuodessa :)
(no miksi tarvisikaan muuttua kun ne tuotteenthan sen ratkaisee ja kun valikoima ei ole kovin suuri ei sen sivunkaan tarvi olla monimutkainen).
 
Argh.. Että tekis mieli hankkia tollanen apu2c4 nakata pfSense sen hoiteisiin pois virtuaalikoneesta :drool:. Ei vaan budjetti riitä :itku::itku::itku:...

Ei pitäis lukea näitä viestejä ja yleensäkään surfailla netissä ku saa kaikenlaisia ideoita päähänsä joihin ei oikeen oo varaa :grumpy:.
 
PC Engines: "PC Engines will NOT sell directly to end users within the EU."

Jos haluaa tuollaisen APU2 raudan, niin onko vinkkejä mistä tuollaisen ostaa?
 
Mites on, eikö tosiaan raspberry/orange tms varianteille löydy mitään palomuuri ratkaisua? Osassa korteista tietenkin ongelmana kun ainoastaan yksi lan, mutta...
Luulis että noissa riittää tehot nykyään ihan hyvin, smoothwallia ja m0n0wallia tullut joskus 2000-luvun alulla pyöritettyä, tosin oli silloin nettiyhteydetkin hiukan hitaampia.
 
code.666. sanoi:
Mites on, eikö tosiaan raspberry/orange tms varianteille löydy mitään palomuuri ratkaisua? Osassa korteista tietenkin ongelmana kun ainoastaan yksi lan, mutta...
Luulis että noissa riittää tehot nykyään ihan hyvin, smoothwallia ja m0n0wallia tullut joskus 2000-luvun alulla pyöritettyä, tosin oli silloin nettiyhteydetkin hiukan hitaampia.
Napsauta laajentaaksesi...
Jos riittää, että netti ja lähiverkko toimii _alle_ 100Mbps niin ehkä sitten raspi voisi olla toimiva. RaspberryPi:ssä ethernet jakaa kaistan usb-hubin kanssa eli vaikka liittäisit usb-ethernet adapterin siihen niin et saa täyttä 100mpbs yhteyttä aikaiseksi.(Teoreettinen maksimi 480mbps, mutta todellisuudessa jäädään sen alle) Jos et ole laitetta vielä ostanut niin joku tällainen olisi ehkä parempi: Banana PI BPI R1 Opensource Router , allwinner A20 chips, without EMMC-in Demo Board from Computer & Office on Aliexpress.com | Alibaba Group
Vielä parempi olisi ostaa joku tykimpi pikkukone, jossa on kaksi ethernet porttia. OPNsense toimii myös tulevaisuudessa noissa halvemmissa boxeissa, joissa ei prosessorilla ole AES-NI -tukea. PfSense vaatii tuen sille 2.5 versiosta lähtien ja se julkaistaan kai tämän vuoden aikana.
 
Onko kellään kokemusta miten integroidut celeronit toimii pfsensen kanssa? Esimerkikse tämmöinen asuksen lankku. J3455M-E | Motherboards | ASUS Global
Kaveriksi tulis intelin pro nic.

Netti olis 100Mbps ja tarkoitus olis pyörittää openvpn-palvelinta puhelimen 4g-liittymälle.
 
Mulla käytössä Celeron J1800:lla integroitu emo ja toimii ok, käytössä pfBlockerNG, ipv6 ja openvpn client ainoa mikä puuttuu tulevaisuutta ajatellen on AES-NI jota versio 2.5 ilmeisesti vaatii. Tuossa mainitsemassasi emon prossussa AES-NI on tuettuna.
 
Atom N270:lla pyöri ihan hyvin IPfire, 50Mbps mobiilinetillä ja parille kymmenelle lanittajalle. Mitään proxyja filttereineen ei tuohon kyllä uskaltanut laittaa...
 
Ja meikäläistä kiinnostaisi edelleen hands-on tyyppinen step-by step ohje purevpn (tai ExpressVPN tai NordVPN) jolla yksittäinen tai yksittäiset sisäverkon ip-osoitteet ohjataan vpn-tunneliin mutta ei muita... niin ja pfsense 2.4.x (ohjeet tyypillisesti mitä löysin ovat 2.3 versioille ja käyttöliittymä on vähän muuttunut...)
 
On jääny vissii kysymättä mutta onko esim jimmssillä jotain halpaa sievää pientä kapistusta johon pfsensen kanssa vois harjotella ? Tarvitsee ilmeisesti 2 rj45 porttia olla ? Joku vanha tietokonekkin vissiin kävis jos ostais lisäksi yhden verkkokortin kylkeen että sais 2kpl rj45 ? Nyt ei just ole saatavilla romukonetta joten mietin jos hommais jonkun sievän pienen laatikon jonka kanssa näpertelis.

Mutta siis joo, oisko kellään aikaa näyttää esim jimmssiltä esimerkkiä mikä kannattaa ostaa, kait siinä pitäs olla 2xUSB ja 1xHDMI että sais rojut (näppäimistö hiiri ja näyttö) ? Olen yrittäny ny kahlata ja löytää jotain mikä viittais tuommoseen mutta ei tuu eteen. Raspikaan ei taida käydä tähän hommaan kun ei ole toista rj-45.. Sori, saatan puhua ihan puutaheinää kun en tämä on ihan outo alue mutta josta sais jotain kokeilemisen arvoista pikkusta harrastelua keväälle. (halpaa harrastelua kun löytäis) :)
 
Vauhtimursu sanoi:
On jääny vissii kysymättä mutta onko esim jimmssillä jotain halpaa sievää pientä kapistusta johon pfsensen kanssa vois harjotella ? Tarvitsee ilmeisesti 2 rj45 porttia olla ? Joku vanha tietokonekkin vissiin kävis jos ostais lisäksi yhden verkkokortin kylkeen että sais 2kpl rj45 ? Nyt ei just ole saatavilla romukonetta joten mietin jos hommais jonkun sievän pienen laatikon jonka kanssa näpertelis.

Mutta siis joo, oisko kellään aikaa näyttää esim jimmssiltä esimerkkiä mikä kannattaa ostaa, kait siinä pitäs olla 2xUSB ja 1xHDMI että sais rojut (näppäimistö hiiri ja näyttö) ? Olen yrittäny ny kahlata ja löytää jotain mikä viittais tuommoseen mutta ei tuu eteen. Raspikaan ei taida käydä tähän hommaan kun ei ole toista rj-45.. Sori, saatan puhua ihan puutaheinää kun en tämä on ihan outo alue mutta josta sais jotain kokeilemisen arvoista pikkusta harrastelua keväälle. (halpaa harrastelua kun löytäis) :)
Napsauta laajentaaksesi...
En tiedä onko tämä sievä, mutta käsittääkseni toimiva.
Shuttle Barebone Slim DS77U, musta - 299,00€

Prossussa AES-NI tuki:
Intel® Celeron® Processor 3865U (2M Cache, 1.80 GHz) Product Specifications
Kaksi Intelin verkkokorttia:
Shuttle Europe: Specification

Muistit ja levyn tuohon joutuu hommaamaan.

@escalibur
Eikös sinulla ollut tuo Shuttle ja toimiva peli?

Edit: Tee-se-itse: Rautapalomuurit ja UTM:t (Mitä käytätte ja miksi juuri se vaihtoehto?)
 
Kiitos, jaa ne on noita "bareboneja", kyllä mä sitten olin oikeassa paikassa ollu joskus aikaisemmin. Tuo taiskin olla halvin masiina missä näky olevan 2kpl rj45:sta eli melko tyyristä jos siihen joutuu vielä muistit ja kovon hommaamaan erikseen. Ehkä täytyy kattella joku vanhempi tietokoneen romu ja ostaa siihen verkkokortti kylkeen ? Toimisko pfsense semmosessa vanhassa halvassa romussa ? Vois päästä paljon halvemmalla, mutta sitten kyllä tuohon tv tasolle "asentamisen" saapi unohtaa :)
 
Ilman muuta noita kannattaa tsekata, kiitos. Tuokin näyttää hyvältä, saako noita esim jimmssiltä ? Tuo vastaakin jo hieman sitä omaa ajatusta tästä tulevasta projektista, mutta hinta ratkasee sen enimmälti.

Hetkonen, nyt seuraa tyhmä osuus...enkö tarvikkaan kahta rj-45:sta ,
apu2c0_complete_router_4.jpg__900x900_q85_crop_subsampling-2.jpg

(kuva minua aikasemmasta postauksesta APU2 laitteen kuvista) , editoidaas nyt osa tekstistä pois ennenkuin nauratte mut suohon. Tarkoitus olis saada pfsense modeemin ja kytkimen väliin. Tai kytkimen jälkeen vain osalle laitteistolle omaan verkkoon... Tarvinko siis kuitenkin 2kpl rj-45 liitäntä ? Mikä idea tuossa kuvan kytkennässä on ?
 
Viimeksi muokannut ylläpidon jäsen:
Juu noi APU2 laitteet on kanssa vaihtoehtoja. Jos vanhasta koneesta aikoo rakentaa niin 64-bit Intel tai AMD prossu ja sitten tuo prossun AES-NI tuki vaatimuksena seuraavassa versiossa 2.5.
pfSense 2.5 and AES-NI
Muistia ja levytilaa tuo pfSense ei paljon vaadi. Omassa koneessa ihan turhaan 8GB muistia ja 256GB levy.

K8ocGfJ.jpg
 
Vauhtimursu sanoi:
Hetkonen, nyt seuraa tyhmä osuus...enkö tarvikkaan kahta rj-45:sta ,
(kuva minua aikasemmasta postauksesta APU2 laitteen kuvista) , editoidaas nyt osa tekstistä pois ennenkuin nauratte mut suohon. Tarkoitus olis saada pfsense modeemin ja kytkimen väliin. Tai kytkimen jälkeen vain osalle laitteistolle omaan verkkoon... Tarvinko siis kuitenkin 2kpl rj-45 liitäntä ? Mikä idea tuossa kuvan kytkennässä on ?
Napsauta laajentaaksesi...

Ei tosta kuvasta voi hirveesti päätellä, jos nuo kaksi kytkintä sattuu tukemaan virtuaalilaneja (VLAN). Jos se APU2:kin sattuu tukemaan VLANeja, niin yhdelläkin kytkennällä pärjää. Toista voi tarvita, jos haluaa enemmän redundattisuutta vaikka portchannelin tai VRRPn avulla.
 
(sorry for posting in English - I don't really speak Finnish).
Full disclosure: I run teklager.se - site linked by @Paris few comments above.

@Vauhtimursu - this photo may be a bit confusing because both connections run to the switch. You typically connect one port(WAN) to your modem and the other port(LAN) to switch.

This short article probably explains it better:
Connecting your new pfSense router to the network
 
user9999 sanoi:
@escalibur
Eikös sinulla ollut tuo Shuttle ja toimiva peli?

Edit: Tee-se-itse: Rautapalomuurit ja UTM:t (Mitä käytätte ja miksi juuri se vaihtoehto?)
Napsauta laajentaaksesi...


Kyllä vain. Shuttle Europe: Overview

Loistava laite vakauden ja laajentavuuden osalta, mutta ainut ärsyttävä asia on ettei biosta voi päivittää kuin Windowsin kautta. :rolleyes:

ps. pfSense 2.4.3-RELEASE päivitys meni ongelmitta (kännykän kautta). Edellisen version uptime taisi olla jotain 180 päivää tjsp.
 
Kirjaudu tai rekisteröidy kirjoittaaksesi tänne.

Uutiset

Uutisia lyhyesti

Uusimmat viestit

Statistiikka

Viestiketjuista
257 549
Viestejä
4 476 629
Jäsenet
73 955
Uusin jäsen
Laiska007

Hinta.fi

Back
Ylös Bottom