Kriittinen käyttö on henkilökohtainen asia, itse käytän ser rautaa.
Mulla on tällä hetkellä Dell Wyse 5070:ssa vastaavalla palikalla. SFP-modulioption peitelevy pois takaa, poralla reikä ruuville viereen ja liitin ruuvilla kiinni. Vaikka nyt on molemmat verkkokortit Realtekkiä, ei ole ollut mitään ongelmia OPNsensen kanssa.
www.jimms.fi
Moneskohan revisio itsellä on jo menossa minkälaisen kotipalomuurin rakennan "sitten joskus"
Helpoinhan olisi ostaa suoraan rauta jossa olisi sisäänrakennettuna Intelin dual-nic, tämän tiimoilta katselin pitkään Amazon.de:stä Shuttlen DS10U:ta, alle 300e irtoaa nykyisin.
Tarpeeksi pitkään tätä pyöriteltyäni, nyt on mieli kuitenkin muuttunut että taidan tehdä mini-itx raudasta, Asrockin J5040-ITX emolevy ja joku sopivan neutraali kotelo kaveriksi.
Hyllystä löytyy jo HP:n NC360T korttia kahdella portilla (ostin käytettynä mutta pitäisi olla aito, koputan täten puuta. Deltan piirit upotetulla logolla.) On ainakin toiminut aiemmin pfsensen kanssa moitteetta.
Itselleni olen myynyt tätä kokoonpanoa sillä ajatuksella, että myöhemmin voisi päivittää myös tuoreemman verkkokortin, vaikka halpoja eivät olekaan.
SilverStone Milo ML05 Slim HTPC-kotelo, Mini-ITX, musta - 75,90€
- Tukee kahta 80mm tuuletinta - Monikäyttöiset asemakelkat tekevät asema-adapterit tarpeettomiksi - Helppo kasata - 2 x USB 3.0 porttia Tekniset tiedot Materiaa
Itsellä tuon vanha versio joka vie noin puolet tuon uuden version sähkönkulutuksesta (6w vs. 12w). Performansissa toki otetaan vähän takkiin mutta itselle on riittänyt.
www.servethehome.com
Täällä pyöritelty jo noin 5v pfsenseä, eri raudalla, ja nyt viimeisimpänä muotona virtualisoituna ESXi 7.0 päälle.
Versio tällä hetkellä 23.01-RELEASE. Eli käsittääkseni pfSense+.
LAN puolella 2.5GbE Intel i-225V NIC, ja WAN emolevyn omalta portilta PoE injektorin läpi ZTE MC7010 siltaavaan purnukkaan. Rautana alla Dell Optiplex XE2, 16G muistia ja SSD.
Kertaakaan ei ole ollut mitään pfsensestä johtuvaa ongelmaa, vain huonosta raudasta. Esim eräskin realtekin halpa NIC veti LAN sekä WAN portit totaaliseen jumiin, vaikka olivat virtualisoinnin läpi pfsensessä.
pfsense:ssä seuraavat plugarit ja lyhyt selitys mitä sillä tehdään:
1. HAProxy terminoi HTTPS sivut ja ohjaa ne eri virtuaalikoneille x porttiin.
2. ACME lisäosalla haetaan automaagisesti omiin alidomaineihin sertifikaatit.
3. DDNS päivittelee Cloudflareen API avaimelle välillä vaihtuvan julkisen IP:n.
4. pfBlockerNG lisäosalla haetaan automaattisesti GEOIP:ltä kaikki suomen IP osoitteet, ja merkataan ne sallituksi muurin ulkoiseen 443 porttiin.
5. TailScale plugarilla terminoidaan muuriin suoraan wireguardilla tunnelit eri härveleiltä jos halutaan päästä LAN puolelle.
6. RootCA jolla saa tehtyä tarpeen mukaan LAN puolelle luotettuja hosteja, helpottaa nettisivujen tekoa huomattavasti.
7. Kaikki DNS kyselyt pakotetaan PiHole virtuaalikoneelle joka hoitaa sitten mainosteneston koko verkossa.
8. Traffic shaperilla tehty sääntö 400mbit alas ja 50 ylös, koska tuo ZTE p*skakikkare hajoaa jos mennään liian kovaa, ja pingit nousee (bufferbloat).
Mitä pitäisi vielä säätää:
1. Ostaa ehkä netgatelta omaa rautaa, jotta muuri olisi vähän enemmän erillinen komponentti. Nyt jos tuo optiplex päättää päivänsä, on aika hiljaista kotona netin osalta + oma purnukka vie varmaan vähemmän sähköä...
2. Toinen WAN yhteys ja konffata kuntoon, tuo ZTE kun tippuu niin sitten ollaan se minuutti kaksi ilman nettiä, ja työt kärsii
Muutamaan kertaan on tullut vastaan joku juttu mitä ei vielä ole kehitetty pfsenseen (esim kun wireguard julkaistiin ekan kerran), mutta sitten taas kun jaksaa odotella, niin softa kehittyy ja on hyvinkin vakaata.
En oikein keksi mitään muuta softaa mikä tekisi kaiken tämän yhdessä paketissa. Esim jos nyt pitäisi vaihtaa muuhun softaan niin pitäisi alkaa virtualisoimaan tuota HAProxyä itse (ja pfsensessä on hemmetin hyvin koodattu tuo haproxyn GUI!), tehdä DDNS jostain muualta, päättää sertifikaatit suoraan virtuaalioneille (hirveä homma ylläpitää ja valvoa) yms yms.
... Homma helpottui todella paljon sen jälkeen kun vaihdoin HAProxyn --> Nginx Proxy manageriin. NPM:n pyörii Dockerissa, jonne se oli äärimmäisen helppo ja nopea asentaa. HAProxy taitaa tosin olla laajempi kokonaisuus vs. NPM, joten sen vuoksi eväit ole mitään "yksi-yhteen" sovelluksia vertailun kannalta. Sain sen kyllä toimimaan, mutta en ilman, että piti käytä omin kätösin säätämässä conffia kun pfSense HAP webbi oli niin sekavan olinen.
)...
Vastauksen piti olla enemmän "omat kokemukset" tyylinen ja vähemmän väittelyIte oon alkanut irroittelemaan joitan palveluita pfSensestä kun samat palvelut onnistuu helpommin toisilla ja pfSensen (sekä myös OPNsensen) ohjeiden löytäminen on todella tuskaista. Esim. pfSense HAProxy vs. Nginx Proxy Manager.
- HAProxy Reverse Proxynä, hyi hyi hyi
- ACME (Let's Encryptin certit) on myös jonkun verran helpompaa NPM:n kautta (itellä oon pyrkiny asentamaan noi LE:n certit suoraan eri palveluille, sekä Reverse Proxy osoitteisiin kun alkoi ärsyttämään se selaimien varoittely itse luotuista certeistä
- pfSense DDNS-clientistä ei pahaa sanottavaa.
- pfBlocerNG:stäkään ei pahaa sanottavaa
- TailScalesta ei sanottavaa kun en ole koskaan käyttänyt, mutta kuin pikaisen testin mielenkiinnosta. VPN:ää aktiivisesti hoitaa ihan perus OpenVPN pfSensessä kun on tuttu ja turvallinen itselle
- RootCA? Eli tarkotatko ihan vain pfSensen: System / Cert. Manager?
- Loput olikin vain sääntöjä ja iteltä lötyy kanssa vastaavat
PFsensen vaihto ei ole tullut mieleenkään! Pääasiassa kun sen kanssa ei ole ollut pienitäkään ongelmaa perusinfran hoidossa (palomuuri, DNS-resolver ja DHCP-servu), sekä ekstrana pfBlockerNG, mutta se ei taas kuulu verkon perusinfraan
)
Dockerin konttien verkotus on tosiaan vielä itellekkin vähän herpreaa (se porttien järjestys, kumpi osoittaa kumpaan (kontti/hosti, vai oliko se nyt toisinpäinVastauksen piti olla enemmän "omat kokemukset" tyylinen ja vähemmän väittely
). Sen tajusin, et yleensä (muistaakseni) pelataan NAT:in plus sen porttiohjauksian kanssa, eli ulospäin näkyät portit pitää olla vapaana (virtuaali)koneessa ja se porttiohjaus pitää ilmoittaa kontin luonnin/käynnistyksen aikaan Dockerille, sille koneella jossa Docker pyörii. Ite pistin käyttöön vielä Portainer CE:n, et sain jonkun WebGUI:n käyttöön Dockeriin. Ei vaan pysty muistamaan niitä miljoo nia vipuja mitä tarvii et saa sen pirun kontin pelittämään niin kuin on tarkoitus, kun itellä on niin vähäistä käyttöä konteille, kun oma kiinnostus on tällähetkellä kiinni keskitettyyn käyttäjien hallintaan Linuxin puolella (FreeIPA) ja se kans omassa kotosisäverkossa. = Ai kele se oli pääasiasssa järjettömän hauskaa 
! Paitsi silloin kun oot metsästänyt lähes kaks päivää koneen tuottamaan sysipaskaa raporttia, josta ei auta pätkääkään! Sama mistä hakee apua 
...Dockerin konttien verkotus on tosiaan vielä itellekkin vähän herpreaa (se porttien järjestys, kumpi osoittaa kumpaan (kontti/hosti, vai oliko se nyt toisinpäinVastauksen piti olla enemmän "omat kokemukset" tyylinen ja vähemmän väittely
). Sen tajusin, et yleensä (muistaakseni) pelataan NAT:in plus sen porttiohjauksian kanssa, eli ulospäin näkyät portit pitää olla vapaana (virtuaali)koneessa ja se porttiohjaus pitää ilmoittaa kontin luonnin/käynnistyksen aikaan Dockerille, sille koneella jossa Docker pyörii. Ite pistin käyttöön vielä Portainer CE:n, et sain jonkun WebGUI:n käyttöön Dockeriin. Ei vaan pysty muistamaan niitä miljoo nia vipuja mitä tarvii et saa sen pirun kontin pelittämään niin kuin on tarkoitus, kun itellä on niin vähäistä käyttöä konteille, kun oma kiinnostus on tällähetkellä kiinni keskitettyyn käyttäjien hallintaan Linuxin puolella (FreeIPA) ja se kans omassa kotosisäverkossa. = Ai kele se oli pääasiasssa järjettömän hauskaa ! Paitsi silloin kun oot metsästänyt lähes kaks päivää koneen tuottamaan sysipaskaa raporttia, josta ei auta pätkääkään! Sama mistä hakee apua ...
.
Onko Suricata tai Snort käytössä?
Ehdottomasti. Oma henkilökohtainen neuvoni on että palomuuria kannattaa ajaa suoraan raudan päällä, ilman hypervisoreita tms. Ongelmatilanteissa on huomattavasti helpompaa selvitellä "yhtä järjestelmää" kokonaisen pinon sijaan.
Paljonko pfSense näyttää prossukuormaksi?
Tässä täytyy erotella fyysinen ja virtuaalinen rauta esim. mulla i3 prossu ja verkko taitaa olla inteli350 T2?
Tai sitten kokeilet, olisiko vmwaressa, proxmoxissa tai vastaavassa parempi ajurituki ja jos on, niin pfsense virtuaalisena ajoon.
Osoitteet näyttää mulle normaalilta.
Laitoin tämän täpän päälle = hardware checksum offloading pois päältä(?)
Itseäkin poltellut jo tovin tuommoinen 6-portin vehje. Minkä otit? AliExpressissähän noita on miljoona, mutta tullit taitaa ottaa kiinni kun ovat sen verran hinnalla.
Noissa bokseissa kannattaa panostaa enemmänkin RAM:n suuruuteen kuin levyn. pfSensen asennus vie suunnilleen alle gigan verran levytilaa, joten 128GB levy on lähes kokonaan tyhjillään. Eli oma valinta olisi mielummin 16GB + 64GB levyä, kuin 8GB RAM:ia ja 128GB tai joa 256GB levyä.
Jos et jotain vpn:ää käyttänyt, amazon.de näyttää suoraan suomalaisen hinnan suomen alvilla, johon ei tule päälle enää mitään. Eikä eu:n sisämarkkinoilla tullia peritä, tosin tietotekniikassa nyt ei tulleja ole muutenkaan.
Niin, näissä kaikissa sitten lukee:
Onko muilla ollut ongelmia proxmoxin päällä pyörivän pfSensen kanssa? Kotona giganen kuitu käytössä, ja oireita on ollut vain siis virtualisoituna, ei silloin kun pfSense on asennettu suoraan Wyse 5070 Extendediin.
