Tee-se-itse: Rautapalomuurit (pfSense, Sophos UTM..) (Mitä käytätte ja miksi juuri se vaihtoehto?)

Nyt kun tuli aivoja hieman jumpattua, tuli esille myös vaihtoehto hyödyntää jo olemassa olevaa rautaa, jotka poistettu "uusien" Thinkcentre-koneiden alta kaappiin pölyttymään. Alkuperäinen suunnitelma oli se, ettei kriittiseen käyttöön asentaisi jo vuotta täyttänyttä rautaa, varsinkaan powerin osalta. Kolmen litran kotelotkaan ei asetu kovin nätisti räkkiin/seinälle. Onko nämä kuitenkin sopivia PFSense-käyttöön: i3-2100T, i3-2120T ja i3-3220T?

Uskaltaisikohan tuollaisesta räkkikotelosta rakennella pakettia vanhoilla osilla?
Inter-Tech 1.5U-1528L Mini-ITX Rack Chassis - 99,20 €
Kriittinen käyttö on henkilökohtainen asia, itse käytän ser rautaa.
Nuo prossut on "T" mallisina hyviä pieniruokaisia, jopa passiivinen ratkaisu mahdollista.
Kotelo on vähän ongelmallisempi, sulla pitää olla sopiva ITX emo ja siihen pcie kulma ja muut tarvikkeet.

Kustannukset on asenteesta kiinni, mutta tuolla systeemillä saataa nousta turhan korkealle?
 
@iltanen Jos usb-väyläiset on pois suljettu, niin taitaa olla ainoa vaihtoehto käyttää jotain tälläistä, kun noista kaikista taitaa löytyä yks M.2 mPCIe-paikka WLANia varten: M.2 A/E Key RJ45 Gigabit Ethernet Network Card 1000M Lan card RTL8111G Chipset | eBay

Toi linkatun kapistuksen RJ45-portti taitaa sopia esim. Dell Optiplex 3050 DM:n tyhjään VGA/COM-portille varattuun reikään takana.
Mulla on tällä hetkellä Dell Wyse 5070:ssa vastaavalla palikalla. SFP-modulioption peitelevy pois takaa, poralla reikä ruuville viereen ja liitin ruuvilla kiinni. Vaikka nyt on molemmat verkkokortit Realtekkiä, ei ole ollut mitään ongelmia OPNsensen kanssa.
 
Täällä myös Dell 7040 mff litran purkki missä m.2 / rj45 kortilla toinen portti. Tosin otin varmuudeksi intelin version enkä realtekkia. Kortti on i225-lm eli tulee 2.5gb myös tarvittaessa ja pörrää opnsensellä ongelmitta ilman mitään kikkailuja.
 
Minulla Dell Optiplex vanha pönttö, siis vähän isompi, ei SFF. Emolla Realtekin kortti, joka pfSensen oletusajureilla jumittui kovalla käytöllä. Siis silloin kun oli suunnilleen 1 Gbit/s käytössä jonkun minuutin, eikä pelkkä speedtest tms. lyhyt purske. Mutta siihen löytyi paremmat Realtekin ajurit käsin asennettavaksi, ja nyt on ollut jo joitain kuukausia käytössä ilman yhtään pätkäisyä.

(Toisena verkkokorttina Intelin kortti, joka toki toimi suoraan ilman mitään säätöä.)
 
Moneskohan revisio itsellä on jo menossa minkälaisen kotipalomuurin rakennan "sitten joskus" :lol:

Helpoinhan olisi ostaa suoraan rauta jossa olisi sisäänrakennettuna Intelin dual-nic, tämän tiimoilta katselin pitkään Amazon.de:stä Shuttlen DS10U:ta, alle 300e irtoaa nykyisin.

Tarpeeksi pitkään tätä pyöriteltyäni, nyt on mieli kuitenkin muuttunut että taidan tehdä mini-itx raudasta, Asrockin J5040-ITX emolevy ja joku sopivan neutraali kotelo kaveriksi.
Hyllystä löytyy jo HP:n NC360T korttia kahdella portilla (ostin käytettynä mutta pitäisi olla aito, koputan täten puuta. Deltan piirit upotetulla logolla.) On ainakin toiminut aiemmin pfsensen kanssa moitteetta.
Itselleni olen myynyt tätä kokoonpanoa sillä ajatuksella, että myöhemmin voisi päivittää myös tuoreemman verkkokortin, vaikka halpoja eivät olekaan.

 
Moneskohan revisio itsellä on jo menossa minkälaisen kotipalomuurin rakennan "sitten joskus" :lol:

Helpoinhan olisi ostaa suoraan rauta jossa olisi sisäänrakennettuna Intelin dual-nic, tämän tiimoilta katselin pitkään Amazon.de:stä Shuttlen DS10U:ta, alle 300e irtoaa nykyisin.

Tarpeeksi pitkään tätä pyöriteltyäni, nyt on mieli kuitenkin muuttunut että taidan tehdä mini-itx raudasta, Asrockin J5040-ITX emolevy ja joku sopivan neutraali kotelo kaveriksi.
Hyllystä löytyy jo HP:n NC360T korttia kahdella portilla (ostin käytettynä mutta pitäisi olla aito, koputan täten puuta. Deltan piirit upotetulla logolla.) On ainakin toiminut aiemmin pfsensen kanssa moitteetta.
Itselleni olen myynyt tätä kokoonpanoa sillä ajatuksella, että myöhemmin voisi päivittää myös tuoreemman verkkokortin, vaikka halpoja eivät olekaan.


Entäs tällänen, jossa on suoraan 6x 2.5Gigabitin porttia ja prossussa tarpeeksi vääntöä pfSenseä/OPNsenseä varten (muutenkin kannattaa tsekata kanavan soittolistat "STH Mini PC" sekä "Project TinyMiniMicro"). Niistä löytyy todella kiehtovia ehdokkaita palomuuriteitittimeksi: Intel Celeron J6413 Powered 6x i226 2.5GbE Fanless Firewall Review

[edit] VAROITUS!!! Patric saattaa vaikuttaa joistakin kofeiini pöllyiseltä juontajalta!
 
Entäs tällänen, jossa on suoraan 6x 2.5Gigabitin porttia ja prossussa tarpeeksi vääntöä pfSenseä/OPNsenseä varten (muutenkin kannattaa tsekata kanavan soittolistat "STH Mini PC" sekä "Project TinyMiniMicro"). Niistä löytyy todella kiehtovia ehdokkaita palomuuriteitittimeksi: Intel Celeron J6413 Powered 6x i226 2.5GbE Fanless Firewall Review

[edit] VAROITUS!!! Patric saattaa vaikuttaa joistakin kofeiini pöllyiseltä juontajalta!

Patricin videoita olen aiheesta katsellut ja tyyli on tullut tutuksi :coffee:

Hinnoiltaan nuo laitteet vaikuttavat hyvinkin kilpailukykyisiltä, mutta itselläni foliopipo kiristää sen verran, että kiinaraudassa biosin vaihtomahdollisuus corebootiin tulisi ehdottomasti olla, mutta tämä on ilmeisesti enemmän tuurista ja omista salapoliisin taidoista kiinni. Aiemmin ketjussa taisikin olla keskustelua mm. että Protectlin laitteet ovat täysin 1:1 kiinalaitteita uudelleenbrändäyksen ja corebootin flashayksen jälkeen. Jos valmistajat listaisivat suoraan coreboot tuen, niin kynnys raudan tilaamiseen kiinasta olisi huomattavasti matalampi. Takuukysymykset hieman mietityttävät, mutta vähemmissä määrin.
 
Entäs tällänen, jossa on suoraan 6x 2.5Gigabitin porttia ja prossussa tarpeeksi vääntöä pfSenseä/OPNsenseä varten (muutenkin kannattaa tsekata kanavan soittolistat "STH Mini PC" sekä "Project TinyMiniMicro"). Niistä löytyy todella kiehtovia ehdokkaita palomuuriteitittimeksi: Intel Celeron J6413 Powered 6x i226 2.5GbE Fanless Firewall Review

[edit] VAROITUS!!! Patric saattaa vaikuttaa joistakin kofeiini pöllyiseltä juontajalta!
Itsellä tuon vanha versio joka vie noin puolet tuon uuden version sähkönkulutuksesta (6w vs. 12w). Performansissa toki otetaan vähän takkiin mutta itselle on riittänyt.
 
Syyskuussa 2022 ostin wanhan code2quad Q6600 -prossuun pohjautuvan pfSense-routterini tilalle AliExpressistä, tällaisen maineikkaan ja tunnetun laatupurkin nimeltä Intel Celeron N5105/N5100 Soft Router Fanless Mini PC 4x Intel i225/i226 2.5G LAN HDMI DP pfSense Firewall Appliance ESXI AES-NI hintaan 171,62€ (tällä hetkellä 150,20€). Jonkun aikaa noita olin tutkinut ja totesin etten muuta ymmärtänyt kuin filtteröidä prossun (n5105) perusteella parhaan näköinen purkki. Jäähdytyshän näissä purkeissa tapahtuu kotelon muotoilulla. Prossu tietysti vaikuttaa lämpötiloihin eniten ja tästä syystä jätin filtterin ulkopuolelle kaikki N5105:sta tehokkaammat purkit, esim N6005 olisi jo todennäköisesti liian kuuma. Vähän kyllä taisin tykillä ampua kärpästä jo tälläkin valinnalla, oma homelabbini ei päätä huimaa, ja purkin pitäisi pystyä reitittimään helposti jopa yli 1gbps, prossun perusteella.

En valinnut purkin mukaan mitään muisteja tai ssd-levyä, vaan hankin ne itse, ja säästin muutaman euron siinäkin. Muistien ja ssd:n asennus oli helppoa, ikäänkuin läppäriin olisi tavaraa asentanut/vaihtanut.

Vaihdoin samalla rautapäivityksellä pois pfSensestä, ja siirryin OPNsenseen periaatteellisista syistä, enkä suosittele kenellekkään pfSenseä, vaikka mitään varsinaista vikaa ei heidän softassa olekkaan.

Homelab:
Siltaava DNA-kaapelimodeemi ("valokuitu plus" F-3890v3, 20€ käytettynä tori.fi:stä)
-> Routteri
-> Kytkin (D-Link DGS-108GL -8-porttinen)
--> oma kone, servu (wanha thinkpad läppäri) ja maholliset lani-bileiden-ihmiset.

Routterista ei voi muuta sanoa ku et, Ei ongelmia, ei kuumuutta, ei valittamista, toimii 100%.
Suosittelen.
kuva1.png
kuva2_eestä.png
kuva3_takaa.png
 
Vaihdoin samalla rautapäivityksellä pois pfSensestä, ja siirryin OPNsenseen periaatteellisista syistä, enkä suosittele kenellekkään pfSenseä, vaikka mitään varsinaista vikaa ei heidän softassa olekkaan.


Samasta syystä itsekin tutkiskelin siirtyväni pfSensestä OPNsenseen, lisäpainoa johtuen pfSensen forkkaukseen CE ja Plus version välillä. Toki CE versiossa on aina ollut eroa retail-versioon, mutta mielestäni tuossa selvästi pyritään jättämään "ilmaisversion" kehitystä taka-alalle ja panostamaan yhä enemmän kaupalliseen closed-source formaattiin.

Kuitenkin OPNsenseä kokeillessani, heti ensimmäisenä törmäsin uudessa asennuksessa bugiin, joka ilmeisesti jollakin tapaa rikkoi asennuksen omat sertifikaatit, eli nettiselaimella et päässyt sisään ollenkaan koska itse allekirjoitetussa sertissä oli jotain vikaa. Foorumeilta löysin tähän jonkunlaista kiertotietä, mutta pelleilyksihän tuo meni jos joka buutin yhteydessä pitäisi käydä konsolista generoimassa uusi sertti. Tämä itsessään antoi huomattavasti OPNsensen hehkeydelle takapakkia, eihän tuontasoista bugia voi missään nimessä laskea jakeluversioon, mutta näin vaan oli päässyt käymään. Muistelen että joitain kuukausia myöhemmin julkaistuun minor revikkaan tämä oli jo korjattu.

Myös pitkän linjan pfSense-käyttäjänä OPNsense tuntuu alkuunsa jotenkin sekavalta. WebGUI on toki sulavampi kuin pfSensessä, mutta mielestäni esim. animoidut dropdown-menut ovat turhaa sälää käytettävyyden kustannuksella. Nopeasti vilkaistuna myös logitus tuntuu oudolta, koska ilmeisesti liikenne logitetaan clientilta muuriin, ja muurilta ulospäin. pfSensessä olen tottunut katsomaan logeja suoraan clientin IP:stä ulkoverkkoon.

Nämä toki siis pelkästään tottumiskysymyksiä ja en poissulje sitä, että OPNsense voisi olla kokonaisuutena parempi. Samanlainen kiroilu itsellä oli alkuaan pfSensenkin kanssa, vaan ajan kanssa siihenkin oppi ja nyt tuntuu suorastaan loogiselta.
 
  • Tykkää
Reactions: AkQ
Täällä pyöritelty jo noin 5v pfsenseä, eri raudalla, ja nyt viimeisimpänä muotona virtualisoituna ESXi 7.0 päälle.
Versio tällä hetkellä 23.01-RELEASE. Eli käsittääkseni pfSense+.
LAN puolella 2.5GbE Intel i-225V NIC, ja WAN emolevyn omalta portilta PoE injektorin läpi ZTE MC7010 siltaavaan purnukkaan. Rautana alla Dell Optiplex XE2, 16G muistia ja SSD.

Kertaakaan ei ole ollut mitään pfsensestä johtuvaa ongelmaa, vain huonosta raudasta. Esim eräskin realtekin halpa NIC veti LAN sekä WAN portit totaaliseen jumiin, vaikka olivat virtualisoinnin läpi pfsensessä.

pfsense:ssä seuraavat plugarit ja lyhyt selitys mitä sillä tehdään:
1. HAProxy terminoi HTTPS sivut ja ohjaa ne eri virtuaalikoneille x porttiin.
2. ACME lisäosalla haetaan automaagisesti omiin alidomaineihin sertifikaatit.
3. DDNS päivittelee Cloudflareen API avaimelle välillä vaihtuvan julkisen IP:n.
4. pfBlockerNG lisäosalla haetaan automaattisesti GEOIP:ltä kaikki suomen IP osoitteet, ja merkataan ne sallituksi muurin ulkoiseen 443 porttiin.
5. TailScale plugarilla terminoidaan muuriin suoraan wireguardilla tunnelit eri härveleiltä jos halutaan päästä LAN puolelle.
6. RootCA jolla saa tehtyä tarpeen mukaan LAN puolelle luotettuja hosteja, helpottaa nettisivujen tekoa huomattavasti.
7. Kaikki DNS kyselyt pakotetaan PiHole virtuaalikoneelle joka hoitaa sitten mainosteneston koko verkossa.
8. Traffic shaperilla tehty sääntö 400mbit alas ja 50 ylös, koska tuo ZTE p*skakikkare hajoaa jos mennään liian kovaa, ja pingit nousee (bufferbloat).

Mitä pitäisi vielä säätää:
1. Ostaa ehkä netgatelta omaa rautaa, jotta muuri olisi vähän enemmän erillinen komponentti. Nyt jos tuo optiplex päättää päivänsä, on aika hiljaista kotona netin osalta + oma purnukka vie varmaan vähemmän sähköä...
2. Toinen WAN yhteys ja konffata kuntoon, tuo ZTE kun tippuu niin sitten ollaan se minuutti kaksi ilman nettiä, ja työt kärsii :(

Muutamaan kertaan on tullut vastaan joku juttu mitä ei vielä ole kehitetty pfsenseen (esim kun wireguard julkaistiin ekan kerran), mutta sitten taas kun jaksaa odotella, niin softa kehittyy ja on hyvinkin vakaata.

En oikein keksi mitään muuta softaa mikä tekisi kaiken tämän yhdessä paketissa. Esim jos nyt pitäisi vaihtaa muuhun softaan niin pitäisi alkaa virtualisoimaan tuota HAProxyä itse (ja pfsensessä on hemmetin hyvin koodattu tuo haproxyn GUI!), tehdä DDNS jostain muualta, päättää sertifikaatit suoraan virtuaalioneille (hirveä homma ylläpitää ja valvoa) yms yms.
 
Täällä pyöritelty jo noin 5v pfsenseä, eri raudalla, ja nyt viimeisimpänä muotona virtualisoituna ESXi 7.0 päälle.
Versio tällä hetkellä 23.01-RELEASE. Eli käsittääkseni pfSense+.
LAN puolella 2.5GbE Intel i-225V NIC, ja WAN emolevyn omalta portilta PoE injektorin läpi ZTE MC7010 siltaavaan purnukkaan. Rautana alla Dell Optiplex XE2, 16G muistia ja SSD.

Kertaakaan ei ole ollut mitään pfsensestä johtuvaa ongelmaa, vain huonosta raudasta. Esim eräskin realtekin halpa NIC veti LAN sekä WAN portit totaaliseen jumiin, vaikka olivat virtualisoinnin läpi pfsensessä.

pfsense:ssä seuraavat plugarit ja lyhyt selitys mitä sillä tehdään:
1. HAProxy terminoi HTTPS sivut ja ohjaa ne eri virtuaalikoneille x porttiin.
2. ACME lisäosalla haetaan automaagisesti omiin alidomaineihin sertifikaatit.
3. DDNS päivittelee Cloudflareen API avaimelle välillä vaihtuvan julkisen IP:n.
4. pfBlockerNG lisäosalla haetaan automaattisesti GEOIP:ltä kaikki suomen IP osoitteet, ja merkataan ne sallituksi muurin ulkoiseen 443 porttiin.
5. TailScale plugarilla terminoidaan muuriin suoraan wireguardilla tunnelit eri härveleiltä jos halutaan päästä LAN puolelle.
6. RootCA jolla saa tehtyä tarpeen mukaan LAN puolelle luotettuja hosteja, helpottaa nettisivujen tekoa huomattavasti.
7. Kaikki DNS kyselyt pakotetaan PiHole virtuaalikoneelle joka hoitaa sitten mainosteneston koko verkossa.
8. Traffic shaperilla tehty sääntö 400mbit alas ja 50 ylös, koska tuo ZTE p*skakikkare hajoaa jos mennään liian kovaa, ja pingit nousee (bufferbloat).

Mitä pitäisi vielä säätää:
1. Ostaa ehkä netgatelta omaa rautaa, jotta muuri olisi vähän enemmän erillinen komponentti. Nyt jos tuo optiplex päättää päivänsä, on aika hiljaista kotona netin osalta + oma purnukka vie varmaan vähemmän sähköä...
2. Toinen WAN yhteys ja konffata kuntoon, tuo ZTE kun tippuu niin sitten ollaan se minuutti kaksi ilman nettiä, ja työt kärsii :(

Muutamaan kertaan on tullut vastaan joku juttu mitä ei vielä ole kehitetty pfsenseen (esim kun wireguard julkaistiin ekan kerran), mutta sitten taas kun jaksaa odotella, niin softa kehittyy ja on hyvinkin vakaata.

En oikein keksi mitään muuta softaa mikä tekisi kaiken tämän yhdessä paketissa. Esim jos nyt pitäisi vaihtaa muuhun softaan niin pitäisi alkaa virtualisoimaan tuota HAProxyä itse (ja pfsensessä on hemmetin hyvin koodattu tuo haproxyn GUI!), tehdä DDNS jostain muualta, päättää sertifikaatit suoraan virtuaalioneille (hirveä homma ylläpitää ja valvoa) yms yms.

  • HAProxy Reverse Proxynä, hyi hyi hyi :darra::beye:... Homma helpottui todella paljon sen jälkeen kun vaihdoin HAProxyn --> Nginx Proxy manageriin. NPM:n pyörii Dockerissa, jonne se oli äärimmäisen helppo ja nopea asentaa. HAProxy taitaa tosin olla laajempi kokonaisuus vs. NPM, joten sen vuoksi eväit ole mitään "yksi-yhteen" sovelluksia vertailun kannalta. Sain sen kyllä toimimaan, mutta en ilman, että piti käytä omin kätösin säätämässä conffia kun pfSense HAP webbi oli niin sekavan olinen.
  • ACME (Let's Encryptin certit) on myös jonkun verran helpompaa NPM:n kautta (itellä oon pyrkiny asentamaan noi LE:n certit suoraan eri palveluille, sekä Reverse Proxy osoitteisiin kun alkoi ärsyttämään se selaimien varoittely itse luotuista certeistä :)).
  • pfSense DDNS-clientistä ei pahaa sanottavaa.
  • pfBlocerNG:stäkään ei pahaa sanottavaa
  • TailScalesta ei sanottavaa kun en ole koskaan käyttänyt, mutta kuin pikaisen testin mielenkiinnosta. VPN:ää aktiivisesti hoitaa ihan perus OpenVPN pfSensessä kun on tuttu ja turvallinen itselle :).
  • RootCA? Eli tarkotatko ihan vain pfSensen: System / Cert. Manager?
  • Loput olikin vain sääntöjä ja iteltä lötyy kanssa vastaavat :)
Ite oon alkanut irroittelemaan joitan palveluita pfSensestä kun samat palvelut onnistuu helpommin toisilla ja pfSensen (sekä myös OPNsensen) ohjeiden löytäminen on todella tuskaista. Esim. pfSense HAProxy vs. Nginx Proxy Manager.

PFsensen vaihto ei ole tullut mieleenkään! Pääasiassa kun sen kanssa ei ole ollut pienitäkään ongelmaa perusinfran hoidossa (palomuuri, DNS-resolver ja DHCP-servu), sekä ekstrana pfBlockerNG, mutta se ei taas kuulu verkon perusinfraan :).
 
  • HAProxy Reverse Proxynä, hyi hyi hyi :darra::beye:... Homma helpottui todella paljon sen jälkeen kun vaihdoin HAProxyn --> Nginx Proxy manageriin. NPM:n pyörii Dockerissa, jonne se oli äärimmäisen helppo ja nopea asentaa. HAProxy taitaa tosin olla laajempi kokonaisuus vs. NPM, joten sen vuoksi eväit ole mitään "yksi-yhteen" sovelluksia vertailun kannalta. Sain sen kyllä toimimaan, mutta en ilman, että piti käytä omin kätösin säätämässä conffia kun pfSense HAP webbi oli niin sekavan olinen.
  • ACME (Let's Encryptin certit) on myös jonkun verran helpompaa NPM:n kautta (itellä oon pyrkiny asentamaan noi LE:n certit suoraan eri palveluille, sekä Reverse Proxy osoitteisiin kun alkoi ärsyttämään se selaimien varoittely itse luotuista certeistä :)).
  • pfSense DDNS-clientistä ei pahaa sanottavaa.
  • pfBlocerNG:stäkään ei pahaa sanottavaa
  • TailScalesta ei sanottavaa kun en ole koskaan käyttänyt, mutta kuin pikaisen testin mielenkiinnosta. VPN:ää aktiivisesti hoitaa ihan perus OpenVPN pfSensessä kun on tuttu ja turvallinen itselle :).
  • RootCA? Eli tarkotatko ihan vain pfSensen: System / Cert. Manager?
  • Loput olikin vain sääntöjä ja iteltä lötyy kanssa vastaavat :)
Ite oon alkanut irroittelemaan joitan palveluita pfSensestä kun samat palvelut onnistuu helpommin toisilla ja pfSensen (sekä myös OPNsensen) ohjeiden löytäminen on todella tuskaista. Esim. pfSense HAProxy vs. Nginx Proxy Manager.

PFsensen vaihto ei ole tullut mieleenkään! Pääasiassa kun sen kanssa ei ole ollut pienitäkään ongelmaa perusinfran hoidossa (palomuuri, DNS-resolver ja DHCP-servu), sekä ekstrana pfBlockerNG, mutta se ei taas kuulu verkon perusinfraan :).
Vastauksen piti olla enemmän "omat kokemukset" tyylinen ja vähemmän väittely :D

Itse pyörittelen mieluummin kaiken omana virtuaalikoneena, kun se on päivätyötä, niin iltaisin voi sitten leikkiä omilla virtuaalikoneilla. Docker on tuttu, ja muutama oma palvelu pyörii kyllä vm + docker + app, mutta omaan vlan/vnet käsitykseen ei ihan heti mahtunut tuo konttien keskustelu ulospäin, niin että se on myös turvallista, eikä vahingossa puhko vääriä reikiä ulospäin (laniin joo mutta silti, tietoturva on sipuli, siinä on monta kerrosta :) )

HAProxyn opetteluun meni kyllä aikaa, mutta kun sai ymmärrettyä tuon host based IP ohjauksen, ACME sertit ja miten backend logiikka toimii -> toimii kuin junan vessa. Ja kyllähän tuo haproxy GUI pfsensessä voittaa haproxyn konffimisen käsin, mutta molemmat taitaa hävitä tuolle NPM:lle :cool2:

Tailscale (ja toki wireguard mikä on pellin alla) on kova juttu, koska sain vihdoin muurin kiinni poislukien tuo 443 haproxy ohjaus. Eli tailscale kun soittelee oletuksena ulospäin selvittääkseen toisen pään yhdistävän laitteen, ei ole enää mitään tarvetta porttiavauksille openvpn palvelulle. Enkä varsinkaan jää kaipaamaan kryptisiä openvpn conf tiedostoja...

RootCA joo ei ollut plugari, vaan pistin oman PKI:n pystyyn juurikin tuolla cert managerilla. Toki voisin tehdä oman offline root + subca:n muutamalla konffilla johonkin linux pataan, mutta tuo pfsense muuttaa tämän säätämisen muutamaksi klikkailuksi.
 
Vastauksen piti olla enemmän "omat kokemukset" tyylinen ja vähemmän väittely :D
Dockerin konttien verkotus on tosiaan vielä itellekkin vähän herpreaa (se porttien järjestys, kumpi osoittaa kumpaan (kontti/hosti, vai oliko se nyt toisinpäin :hmm:). Sen tajusin, et yleensä (muistaakseni) pelataan NAT:in plus sen porttiohjauksian kanssa, eli ulospäin näkyät portit pitää olla vapaana (virtuaali)koneessa ja se porttiohjaus pitää ilmoittaa kontin luonnin/käynnistyksen aikaan Dockerille, sille koneella jossa Docker pyörii. Ite pistin käyttöön vielä Portainer CE:n, et sain jonkun WebGUI:n käyttöön Dockeriin. Ei vaan pysty muistamaan niitä miljoo nia vipuja mitä tarvii et saa sen pirun kontin pelittämään niin kuin on tarkoitus, kun itellä on niin vähäistä käyttöä konteille, kun oma kiinnostus on tällähetkellä kiinni keskitettyyn käyttäjien hallintaan Linuxin puolella (FreeIPA) ja se kans omassa kotosisäverkossa.

Eiku ne toimii suoraan, vaikka viittaa Docker-hostiin ja kontin porttiin... PRKL... En ala korjaamaan ylläolevaa viestiä kun silmät harittaa jo niin paljon...

Virtuaalikoneina itelläkin on suurinosa kun ne on IMHO julmetun paljon suoraviivaisempia! Toi tosin riippuu kuinka tottunut konteihin vs. virtuaalikoneissiin.

Virtuaalikoneet on omasa labrassa se ehdottomasti paras vaihtoehto vs. kontitus (poisluettuna tietenkin, jos ammatin vuoksi harjoittelee, niin ihan omaa vitutusta vasten räjäyttää oman koko verkkoinfran, vaikka huvikseen [kuten itse tein kun tiputtelin palveluja pois pfSensestä eri koneisiin] :D = Ai kele se oli pääasiasssa järjettömän hauskaa :rofl2:! Paitsi silloin kun oot metsästänyt lähes kaks päivää koneen tuottamaan sysipaskaa raporttia, josta ei auta pätkääkään! Sama mistä hakee apua :grumpy:...
 
Vastauksen piti olla enemmän "omat kokemukset" tyylinen ja vähemmän väittely :D
Dockerin konttien verkotus on tosiaan vielä itellekkin vähän herpreaa (se porttien järjestys, kumpi osoittaa kumpaan (kontti/hosti, vai oliko se nyt toisinpäin :hmm:). Sen tajusin, et yleensä (muistaakseni) pelataan NAT:in plus sen porttiohjauksian kanssa, eli ulospäin näkyät portit pitää olla vapaana (virtuaali)koneessa ja se porttiohjaus pitää ilmoittaa kontin luonnin/käynnistyksen aikaan Dockerille, sille koneella jossa Docker pyörii. Ite pistin käyttöön vielä Portainer CE:n, et sain jonkun WebGUI:n käyttöön Dockeriin. Ei vaan pysty muistamaan niitä miljoo nia vipuja mitä tarvii et saa sen pirun kontin pelittämään niin kuin on tarkoitus, kun itellä on niin vähäistä käyttöä konteille, kun oma kiinnostus on tällähetkellä kiinni keskitettyyn käyttäjien hallintaan Linuxin puolella (FreeIPA) ja se kans omassa kotosisäverkossa.

Eiku ne toimii suoraan, vaikka viittaa Docker-hostiin ja kontin porttiin... PRKL... En ala korjaamaan ylläolevaa viestiä kun silmät harittaa jo niin paljon...

Virtuaalikoneina itelläkin on suurinosa kun ne on IMHO julmetun paljon suoraviivaisempia! Toi tosin riippuu kuinka tottunut konteihin vs. virtuaalikoneissiin.

Virtuaalikoneet on omasa labrassa se ehdottomasti paras vaihtoehto vs. kontitus (poisluettuna tietenkin, jos ammatin vuoksi harjoittelee, niin ihan omaa vitutusta vasten räjäyttää oman koko verkkoinfran, vaikka huvikseen [kuten itse tein kun tiputtelin palveluja pois pfSensestä eri koneisiin] :D = Ai kele se oli pääasiasssa järjettömän hauskaa :rofl2:! Paitsi silloin kun oot metsästänyt lähes kaks päivää koneen tuottamaan sysipaskaa raporttia, josta ei auta pätkääkään! Sama mistä hakee apua :grumpy:...
 
Jostain syystä itselle on kehkeytynyt pakkomielle, että palomuurin tulisi olla omassa raudassaan. Kotikäyttö/harrastelu aina toki eri kriteereillä verrattuna työpaikan toteutuksiin, mutta jos otetaan esimerkiksi tuo Esxin päälle virtualisoitu pfSense. Tuntuu vaan itselle jotenkin niin monimutkaiselta jos tulee jokin vikatilanne alustaan tai virtuaalikoneeseen, tai serverirautaan itseensä, kun pahimmassa tapauksessa olet lukittanut itsesi ulos kaikista palveluista koska toimivaa verkkoa ei ole.

Tämäkin toki puhtaasti toteutuskysymys, esim. varaamalla oman fyysisen portin management interfaceksi pääset aina staattisella IP:llä kiinni palveluihin, mutta esimerkiksi rautavian sattuessa lähdetään aika pohjalta korjaamaan tilannetta. Itselle vaan jotenkin helpompaa mieltää että palomuuri on erillisessä raudassa, ja jos haaveri käy niin toinen rauta tilalle ja konffin palautus. Josta sitten päästäänkin että minne muurin konffit on backupattu, paikallisesti vai pilveen ja onnistuuko konffin palauttaminen pilvestä ilman nettiyhteyttä :rolleyes:

Olishan se sopivan rivo toteutus jos tekisi Failover/HA ratkaisun fyysisellä raudalla sekä virtuaalikoneella, tuokin kiinnostaisi joskus kokeilla :D
 
Itsellä pfSense on Dellin serverissä, jossa VMWare/Esxi. Olen ostanut 4-portin Intel verkkokortin pelkästään pfSense käyttöön (2 WAN + 1 LAN käytössä). Dell:in oma integroitu verkkokortti on muussa VM käytössä.
Kyseinen setup ei ole kertaakaan kaatunut, eikä ole ollut muitakaan ongelmia.
 
Jos jollain tarve riserille esim Fujitsu Futro S920 tietokoneeseen, minulla on ylimääräinen joka irtoaa omakustannehintaan.
 
Koti labrassa se ei nyt oo mikään rikos pitää muuria virtuaalikoneessa, kunhan muistaa reitittää sen hostin liikenteen muurin kautta kokonaan.

Täällä on käyty keskusteluja asiasta ja yleensä ne on voittanut, jotka on oman erillisen muurin kannsalla ja syynä on pääasiassa selkiytys ketjunlukijoille: Kaikki eivät hoksaa, että esim. Proxmox, ei reititä liikennettä, sen päällä olevan virtuaalikoneen kautta ilman säätämistä. ESXi:ssä asian sai hoitettua paljon helpommin, mutta tiputtivat mun vanhus hostin tuen pois, niin painukoot vi****n :grumpy:.
 
Voiko seuraava ongelma olla pfSense konffausmoka?
Eli Ookla:n CLI SpeedTest toimii todella huonosti Ubuntu:ssa. Speedtest CLI: Internet speed test for the command line
Tulee paljon erilaisia networking virheitä: timeout, cannot open socket, network unreachable, latency test failed jne. Välillä testi on alkanut, mutta keskeytynyt johonkin virheeseen.
Ehkä 1/10 olen saanut testin menemään läpi.
pfSensen System Logs -> Firewall logissa ei näy mitään ihmeellistä, lähinnä blokattua WAN:in tulevaa liikennettä satunnaisista IP osoitteista ja portitkin ovat satunnaisia.

Modeemina on joku DNA Huawei LTE purkki bridged tilassa.
 
Voiko seuraava ongelma olla pfSense konffausmoka?
Eli Ookla:n CLI SpeedTest toimii todella huonosti Ubuntu:ssa. Speedtest CLI: Internet speed test for the command line
Tulee paljon erilaisia networking virheitä: timeout, cannot open socket, network unreachable, latency test failed jne. Välillä testi on alkanut, mutta keskeytynyt johonkin virheeseen.
Ehkä 1/10 olen saanut testin menemään läpi.
pfSensen System Logs -> Firewall logissa ei näy mitään ihmeellistä, lähinnä blokattua WAN:in tulevaa liikennettä satunnaisista IP osoitteista ja portitkin ovat satunnaisia.

Modeemina on joku DNA Huawei LTE purkki bridged tilassa.
Onko Suricata tai Snort käytössä?
 
Ei ole kumpaakaan käytössä. En ole asentanut mitään packagea, eikä edes Snort vaihtoehtoa tuolla Services valikossa.
Latasin Speedtest CLI:n Windows version. Tämä toimii selkeästi paremmin, ehkä 1/2 menee testi läpi. Mutta Windows:issakin tulee vastaavanlaisia socket / verkkovirheitä.

En ole huomannut missään muussa palvelussa / käytössä verkko-ongelmia. Tämä SpeedTest ongelma haittaa Flux nodejen toimintaa.
 
Ettei vaan ongelma olisi VMwaren puolella? Vaikuttaisi siltä että siellä on ajurit tai hypervisor yms sekoilemassa omiaan. Kannattaa kokeilla fyysistä laitetta jos sulla on sellainen ylimääräisenä.
 
Tämä Windows testi oli normi Win10 läppärillä (ei VM) joka toimi paremmin. Mutta minulla on menossa toi modeemi vaihtoon lähiaikoina, ihmettelen sen jälkeen lisää jos ongelmat jatkuvat.
Toinen kysymys (ongelma?) liittyen pfSenseen. Varsinaisena Internet liittynämä on toi LTE modeemi josta sain julkisen IP:n pfSenseen, mutta käytettävissä olisi lisäksi hitaampi ns. varayhteys. Mutta tämä yhteys on NAT:attu, eli siitä saan 192.168.x.x IP:n, eikä mahdollisuutta poistaa tätä NAT:ia.
Kokeilin ottaa Failsafen/Load Balancing käyttöön, mutta UPnP toimi epävakaasti tällöin (Flux tarvii UPnP:n). Onko pfSense:ssä keinoa kiertää tämä ongelma?
 
Tämä Windows testi oli normi Win10 läppärillä (ei VM) joka toimi paremmin. Mutta minulla on menossa toi modeemi vaihtoon lähiaikoina, ihmettelen sen jälkeen lisää jos ongelmat jatkuvat.
Toinen kysymys (ongelma?) liittyen pfSenseen. Varsinaisena Internet liittynämä on toi LTE modeemi josta sain julkisen IP:n pfSenseen, mutta käytettävissä olisi lisäksi hitaampi ns. varayhteys. Mutta tämä yhteys on NAT:attu, eli siitä saan 192.168.x.x IP:n, eikä mahdollisuutta poistaa tätä NAT:ia.
Kokeilin ottaa Failsafen/Load Balancing käyttöön, mutta UPnP toimi epävakaasti tällöin (Flux tarvii UPnP:n). Onko pfSense:ssä keinoa kiertää tämä ongelma?
Itse käsitin että sulla on pfSense virtualisoituna VMwaren päällä.
Itsellä pfSense on Dellin serverissä, jossa VMWare/Esxi.
 
Juu, ymmärsin sun kommentin väärin. Joo, molemmat pfSense ja Ubuntu ovat virtualisoituja tässä Dell Poweredge serverissä. Luulin että sun kommentti tarkoitti tota Ubuntu VM:ää. Käytettävissä olisi myös Proxmox serveri uudemmalla raudalla.

Myös yksi PC löytyisi jota voisin käyttää ainakin kokeiluun. Eli pfSense suoraan siihen ilman mitään VMWare/Proxmox:ia?
 
Eli pfSense suoraan siihen ilman mitään VMWare/Proxmox:ia?
Ehdottomasti. Oma henkilökohtainen neuvoni on että palomuuria kannattaa ajaa suoraan raudan päällä, ilman hypervisoreita tms. Ongelmatilanteissa on huomattavasti helpompaa selvitellä "yhtä järjestelmää" kokonaisen pinon sijaan.

Toivottavasti voit tulla kertomaan, miten kokeilussa kävi. :)
 
molemmat pfSense ja Ubuntu ovat virtualisoituja
Paljonko pfSense näyttää prossukuormaksi?
Mulla on opnSense proxmox:n päällä ja normaalisti 0/7% kuorma hyppää satunnaisesti 100%, mua tuo ei haittaa mutta jotkut testit saattaa näyttää fail.
Proxmox ei näytä piikkejä mutta nyt videon pyöriessä kuorma vm:llä n 7% ja hypervisor n. 2,5% paremmilla säädoillä ehkä pystyisi vaikuttamaan?
 
Ns normi tilanteessa CPU usage on 8-12%. DL testissä prossukuorma oli 30-40 ja UL testissä jonkin verran vähemmän.
Tarkka serverin malli on Powerdge R720 ja prossuna on 2*Xeon E5-2620v2; 1 core allokoitu pfSenselle ja muistia 4GB. Pitäisköhön lisätä Corejen määrää?
Mutta ongelmat tulee yleensä jo ennen kuin varsinainen datan siirto alkaa.

Verkkokorttina Intel OEM NIC i350 T4V2BLK (pitäisi olla aito) ja toi on pelkästään pfSensen käytössä.
 
Ja olet varma, että pfSense saa julkisen IP-osoitteen? Ettei vahingossa ole tupla-NATtia?
Joskus nähnyt samankaltaisia ongelmia tupla-NATin kanssa.
Millainen konffi on pfSensen DNS:nä? Unbound ja onko jotain Cloudflare-juttuja?
 
Ns normi tilanteessa CPU usage on 8-12%. DL testissä prossukuorma oli 30-40 ja UL testissä jonkin verran vähemmän.
Tarkka serverin malli on Powerdge R720 ja prossuna on 2*Xeon E5-2620v2; 1 core allokoitu pfSenselle ja muistia 4GB. Pitäisköhön lisätä Corejen määrää?
Mutta ongelmat tulee yleensä jo ennen kuin varsinainen datan siirto alkaa.

Verkkokorttina Intel OEM NIC i350 T4V2BLK (pitäisi olla aito) ja toi on pelkästään pfSensen käytössä.
Tässä täytyy erotella fyysinen ja virtuaalinen rauta esim. mulla i3 prossu ja verkko taitaa olla inteli350 T2?
ja virtuaalisena prossu kvm64 (rajoitettu pena4) sekä verkko virtiO (joku emulaatio)

Täytyy joskus koittaa säätää jotain vinkkejä.

Tuon 1core/4G pitäisi riittää.
 
DNS osoitteina ei ole muita kuin 8.8.8.8 ja 1.1.1.1. Onko suosituksia mitä lisäisin?

WAN osoite on 37.xx.xx.86, joka on kyllä sama mitä What Is My IP? Shows Your Public IP Address - IPv4 - IPv6 näyttää.
Mutta nettisurfailu on välillä hieman takkuista, sivut aikeaa välillä hieman hitaasti. Johtuuko samasta ongelmasta kuin toi speedtest?

Routing -> Gateways WAN osoite on 37.xx.xx.85 (dynamic) joka tuntuu hieman oudolta? Onko normaalia ns bridged mobiiliyhteydessä?
Firewall lokissa näkyy jonkin verran blokattua LAN liikennettä: source 37.xx.xx.86:44332 (eli oma julkinen IP) -> 239.255.255.250:1900 (UDP).
En tiedä mitä liikennettä toi on.

Kokeilu dedikoidulla PC:llä jäi hieman vaiheeseen. pfSense ei tunnistanut kuin integroidun NIC:in. pfSense ei tunnistanut PCIe Ethernet korttia (rog-areion-10g - Asus emon mukana tullut 10GBe) tai Asus USB LAN adapteria. Täytyy jostain löytää toimiva Ethernet kortti.
 
Kokeilu dedikoidulla PC:llä jäi hieman vaiheeseen. pfSense ei tunnistanut kuin integroidun NIC:in. pfSense ei tunnistanut PCIe Ethernet korttia (rog-areion-10g - Asus emon mukana tullut 10GBe) tai Asus USB LAN adapteria. Täytyy jostain löytää toimiva Ethernet kortti.
Tai sitten kokeilet, olisiko vmwaressa, proxmoxissa tai vastaavassa parempi ajurituki ja jos on, niin pfsense virtuaalisena ajoon.
 
DNS osoitteina ei ole muita kuin 8.8.8.8 ja 1.1.1.1. Onko suosituksia mitä lisäisin?

WAN osoite on 37.xx.xx.86, joka on kyllä sama mitä What Is My IP? Shows Your Public IP Address - IPv4 - IPv6 näyttää.
Mutta nettisurfailu on välillä hieman takkuista, sivut aikeaa välillä hieman hitaasti. Johtuuko samasta ongelmasta kuin toi speedtest?

Routing -> Gateways WAN osoite on 37.xx.xx.85 (dynamic) joka tuntuu hieman oudolta? Onko normaalia ns bridged mobiiliyhteydessä?
Osoitteet näyttää mulle normaalilta.
Mitä vaikka ping 8.8.8.8 sanoo?
Voi myös koittaa ilman pfsenseä kytkemällä suoraan lte modeemiin, niin saa eliminoitua sen pois.

e:onko pfsensessä iperf sisäänrakennettuna tai pluggarina sillä saisi testattua reitittimen ja päätelaitteen välin.
 
Ns normi tilanteessa CPU usage on 8-12%. DL testissä prossukuorma oli 30-40 ja UL testissä jonkin verran vähemmän.
Tarkka serverin malli on Powerdge R720 ja prossuna on 2*Xeon E5-2620v2; 1 core allokoitu pfSenselle ja muistia 4GB. Pitäisköhön lisätä Corejen määrää?
Mutta ongelmat tulee yleensä jo ennen kuin varsinainen datan siirto alkaa.

Verkkokorttina Intel OEM NIC i350 T4V2BLK (pitäisi olla aito) ja toi on pelkästään pfSensen käytössä.

Sellainen tulee mieleen, että onko PfSensessä hardware checksum offloading pois päältä? Tällä saattaa olla vaikutusta..
 
Pfsense 2.7 ei näytä koskaan tulevan valmiiksi.
Aiemmin se oli rinnakkaisena 23.5 kanssa, nyt se on heitetty syksyyn (alkuvuodesta oli ajoitettu 23.01 kanssa).

1681239321484.png


Itse asiassa kun ottaa käyttöön snapshotin 2.7 kutakuinki samalla päivämäärällä mistä 23.x version on otettu, on se käytännössä yhtä vakaa.
Plus versio ei ole yhtään vakaampi koska kumpikin käyttää samaa koodipohjaa.
Plus versiosta vain tehdään omille laitteille yksilöidyt firmwaret.
Eli käytännössä 2.7 on kehitysversio josta otetaan plus väli buildit joita nimitetään vakaiksi.
Index of /amd64/pfSense_master/installer/ (netgate.com)
 
Viimeksi muokattu:
Sellainen tulee mieleen, että onko PfSensessä hardware checksum offloading pois päältä? Tällä saattaa olla vaikutusta..
Laitoin tämän täpän päälle = hardware checksum offloading pois päältä(?)
Tämä auttoi todella paljon!
Nyt speedtest menee lähes aina läpi, ja nopeudetkin kasvoi selkeästi. Kiitos vinkistä.
Flux Nodekin alkoi heti pelittämään.

Ajattelin kokeilla vielä WMWaren passthrough;ta tolle pfSensen verkkokortille, mutta vaatii koko serverin buuttauksen.
 
Tilasin kuitenkin Amazonista 6 LAN portin mini PC:en jotta pfSense on omassa raudassa.
Itseäkin poltellut jo tovin tuommoinen 6-portin vehje. Minkä otit? AliExpressissähän noita on miljoona, mutta tullit taitaa ottaa kiinni kun ovat sen verran hinnalla.
 
Tilasin tälläisen version:
Hieman 'overkill' pfSense käyttöön, mutta ajattelin jos tulee muuta käyttöä tulevaisuudessa.
6 portin versiossa saan kaikki serverit suoraan kiinni tohon, eikä tarvi kiertää kytkimen kautta.

Noita oli miljoona eri merkkiä / varianttia, otin vain jonkun ilman sen kummempaa vertailua. Otin varmuuden vuoksi uusimman Intel J6xxx variantin.

Amazon.de:ssa on sanottu:
Prices for items sold by Amazon include VAT. Depending on your delivery address, VAT may vary at Checkout.

Eli toivottavasti tulee ilman tullia ja extra ALV:ia.
 
Tilasin tälläisen version:
Hieman 'overkill' pfSense käyttöön, mutta ajattelin jos tulee muuta käyttöä tulevaisuudessa.
6 portin versiossa saan kaikki serverit suoraan kiinni tohon, eikä tarvi kiertää kytkimen kautta.

Noita oli miljoona eri merkkiä / varianttia, otin vain jonkun ilman sen kummempaa vertailua. Otin varmuuden vuoksi uusimman Intel J6xxx variantin.

Amazon.de:ssa on sanottu:
Prices for items sold by Amazon include VAT. Depending on your delivery address, VAT may vary at Checkout.

Eli toivottavasti tulee ilman tullia ja extra ALV:ia.
Noissa bokseissa kannattaa panostaa enemmänkin RAM:n suuruuteen kuin levyn. pfSensen asennus vie suunnilleen alle gigan verran levytilaa, joten 128GB levy on lähes kokonaan tyhjillään. Eli oma valinta olisi mielummin 16GB + 64GB levyä, kuin 8GB RAM:ia ja 128GB tai joa 256GB levyä.

Oma pfSense joka on alunperin asennettu joskus 2016 tai 2017 (heti kun ZFS-tuki tuli):

1681297231334.png
 
Sellainen tulee mieleen, että onko PfSensessä hardware checksum offloading pois päältä? Tällä saattaa olla vaikutusta..

Osaatko sanoa mitä tuo tekee? Siis sen käytännön nopeusbuustin lisäksi.

Amazon.de:ssa on sanottu:
Prices for items sold by Amazon include VAT. Depending on your delivery address, VAT may vary at Checkout.

Eli toivottavasti tulee ilman tullia ja extra ALV:ia.
Jos et jotain vpn:ää käyttänyt, amazon.de näyttää suoraan suomalaisen hinnan suomen alvilla, johon ei tule päälle enää mitään. Eikä eu:n sisämarkkinoilla tullia peritä, tosin tietotekniikassa nyt ei tulleja ole muutenkaan.

Sen toisen eu maan matalammalla alvilla tuotteen voi saada jos tilaa riittävän pienestä puljusta,jonka myynti suomeen on ihan olematonta, amazon on tuon vastakohta.
 
Mulla on pari kertaa jäänyt Amazon.de:stä tilattua tavaraa tulliin. Mutta laitoin hinnaksi 0.01€ niin sain tullattua ilman kuluja:). Tosin en ymmärrä miksi jäi tulliin ylipäänsä.
 
Vaikka tämä "Hunsn" on melko varmasti saman valmistajan vehkeitä mitä Topton ja Qotom ja mitä näitä kaikkia on, niin onko tuohon saatavilla BIOS-päivityksiä jostain?
Mikä se oli se melkein ainoa valmistaja, joka tarjosi nuo BIOS-päivitykset, Qotom?
 
Tilasin tälläisen version:
Hieman 'overkill' pfSense käyttöön, mutta ajattelin jos tulee muuta käyttöä tulevaisuudessa.
6 portin versiossa saan kaikki serverit suoraan kiinni tohon, eikä tarvi kiertää kytkimen kautta.

Noita oli miljoona eri merkkiä / varianttia, otin vain jonkun ilman sen kummempaa vertailua. Otin varmuuden vuoksi uusimman Intel J6xxx variantin.

Amazon.de:ssa on sanottu:
Prices for items sold by Amazon include VAT. Depending on your delivery address, VAT may vary at Checkout.

Eli toivottavasti tulee ilman tullia ja extra ALV:ia.
Niin, näissä kaikissa sitten lukee:
"Dispatches from HUNSN EU"
Ei kannata antaa tuon "EU":n hämätä tuossa nimessä, sillä nämä lähtevät Kiinasta. Melko varmasti siis paukkuu tulliin ja tuohon hintaan tulee vielä tullit päälle.
 
Nyt on viikonlopun aikana asennettu aiemmin ketjussa mainitsemani Dell Wyse 5070 Extended suorasta Pfsense asennuksesta virtuaaliseksi. Eli saman asennuksen tilalle tuli xcp-ng, jossa asennettuna Xen Orchestra ja Pfsense virtuaalisena. Miksi? Koska pystyin ja toisaalta nyt saan tuohon kaveriksi samalle raudalle jonkun kevyen virtuaalikoneen. Itse xcp-ng oli itselle täysi uutuus, aiemmin tullut lähinnä toimittia esxin ja pikkuisen proxmoxin js hyperv kanssa.
Samalla korjasin hidastelun joka oli aiemmassa asennuksessa, joko DNS:ssä tai PfBlockerNG:ssä. Nyt on sutjakka.
Onko muilla ollut ongelmia proxmoxin päällä pyörivän pfSensen kanssa? Kotona giganen kuitu käytössä, ja oireita on ollut vain siis virtualisoituna, ei silloin kun pfSense on asennettu suoraan Wyse 5070 Extendediin.
Nyt kun virtualisoitu pfSense on pyörinyt useamman kuukauden, on aivan selvästi itselläni ollut havaittavissa netin pätkimistä, oireet joita on ilmennyt vain virtualisoituna:
  • AppleTV ilmoittaa yllättäen uudelleenkäynnistäessä "ei verkkoa", kuitenkin Internet yhteys toimii heti tämän ilmoituksen jälkeen
  • Välillä nettisivut vain eivät lataa, F5 painamisella ratkeaa. En ole osannut löytää pfSensestä mitään erroreita.
  • YouTube saattaa välillä AppleTV:llä vain kadottaa yhteyden, videon lataus katkeaa kesken.
  • Netflix/YouTube saattaa avata videon luvattoman kehnolla videonlaadulla ja ei suostu ilman ssovelluksen uudelleenkäynnistämistä parantumaan.
Virtualisoitu pfSense on palautettu restore-toiminnolla suoraan toimivaksi todetusta asennuksesta, eli mistään konffista pfSensen sisällä ei pitäisi olla kyse. Ainoa mikä tässä on siis muuttunut verkkokonffissa on virtualisoitu pfSense vs ei-virtualisoitu.

Harkitsen tässä juuri eri vaihtoehtoja, joko
  • Poistan virtualisoidun proxmox kerroksen ja asennan pfSensen takaisin suoraan rautaan
  • Muutan proxmox virtualisoinnin esim. xcp-ng:ksi ja asennan pfSensen sen päälle.
 
Veikkaan, että ongelma juontaa juurensa tuohon että oleva asennus on siirretty virtualisoiduksi. Itsellä on virtualisoituna ja tuollaista ei ole havaittu. Onhan se pfsense asennettu ja virtuaalikone määritelty pfsensen ohjeiden mukaisesti (niillä muistaakseni oli omat ohjeet proxmox asennukseen)? Onko käytössä joku verkko adapterin passthrough vai miten proxmoxissa on määritelty tuon virtuaalikoneen verkkohommat? Onko pfsensen asetuksista valittuna Disable hardware checksum offload' and 'Disable hardware TCP segmentation offload?
 

Statistiikka

Viestiketjuista
257 844
Viestejä
4 485 496
Jäsenet
74 006
Uusin jäsen
Venotide

Hinta.fi

Back
Ylös Bottom