Tee-se-itse: Rautapalomuurit (pfSense, Sophos UTM..) (Mitä käytätte ja miksi juuri se vaihtoehto?)

[samim]

Sophos XGn käyttäjille mielenkiintoinen uutinen:
”SFOS v20 will offer IPV6 prefix delegation for DHCP (DHCP -PD). However, IPV6 for PPPoE isn’t committed for v20.”

Vielä kun tietäis että milloin.

Lähde: Sophos XG IPV6 Support timeline - Discussions - Sophos Firewall - Sophos Community

 

[mikajh]

Mulla jäi säädöt vaiheeseen mutta miten tuo /56 vaihdetaan /64?

Ei mitenkään, se olisi yhden narun keinu.

"Assigning a /64 or longer prefix does not conform to IPv6 standards and will break functionality in customer LANs. With a single /64, the end customer CPE will have just one possible network on the LAN side and it will not be possible to subnet, assign VLANs, alternative SSIDs, or have several chained routers in the same customer network, etc." Best Current Operational Practice for Operators: IPv6 prefix assignment for end-users - persistent vs non-persistent, and what size to choose

Tässä esim. tuoretta vänkäämistä pfSense-foorumilta What If ISP can only provide a /64

Yhdellä /64:llä ei pysty tekemään reititintä, koska IPv6-speksit ovat tiellä.

 

[Pakana]

Kai sen sisäverkon voisi tuon /64 kanssa tehdä niin että kaikki saisivat /128 osoitteen ja liikenne kulkisi aina reitittimen kautta? Kömpelö systeemi tietysti, mutta eikö tuo teknisesti pitäisi olla mahdollista?

 

[samim]

Kai sen sisäverkon voisi tuon /64 kanssa tehdä niin että kaikki saisivat /128 osoitteen ja liikenne kulkisi aina reitittimen kautta? Kömpelö systeemi tietysti, mutta eikö tuo teknisesti pitäisi olla mahdollista?

Tuosta ylhäältä:

With a single /64, the end customer CPE will have just one possible network on the LAN side and it will not be possible to subnet, assign VLANs, alternative SSIDs, or have several chained routers in the same customer network, etc

 

[mikajh]

...ja liikenne kulkisi aina reitittimen kautta?

Ei siinä ole muuta ongelmaa kuin tehdä se reititin. Varsinkin jos yksi palikka siihen on closed source mokkula, johon operaattori jakelee sen /64 -prefiksin. Nehän käyttää sisäisesti link local osoitetta mokkulan ja verkon välissä, jolloin se yksi /64 jää LANiin ja on siinä kontekstissa ihan riittävä.
Mutta kun haluat oikean reitittimen siihen mokkulan perään (esim. pfSense OPNsense tms), niin tulee aika massiivisia ongelmia

 

[Pakana]

Siis, oletuksena että sen /64 subnetin saa omalle "oikealle" reitittimelle, eikä jollekin mokkulalle.

Tuosta ylhäältä:

Nyt jompi kumpi meistä ei ymmärrä.

/128 osoitehan ei ole varsinainen subnet, vaan yksittäinen osoite, ilman subnettiä, vai olenko mä nyt tajunnut jotain väärin?

 

[mikajh]

Siis, oletuksena että sen /64 subnetin saa omalle "oikealle" reitittimelle

Niin no se ei vielä riitä. Yksi interface vie sen yhden /64:n. Reitittimessä ei voi olla kahta interfacea samalla /64 prefiksillä, ja yhdellä interfacella ei voi reitittää IPv6:sta.

 

[Pakana]

Niin no se ei vielä riitä. Yksi interface vie sen yhden /64:n. Reitittimessä ei voi olla kahta interfacea samalla /64 prefiksillä, ja yhdellä interfacella ei voi reitittää IPv6:sta.

Okei, alkaahan se vähitellen uppoamaan paksumpaankin kalloon.

Sinänsä hölmöä ettei sitä osasubnettiä ole mahdollista käyttää ipv6:ssa kuten ipv4:n /25 ja pienemmät subit.

E: vai onko mahdollsita pakottaa esim /65 subnet?

 

[Obi-Lan]

Autoconfig toimii vain /64 etkä voi muuttaa asetuksia operaattorin päästä. Käsittääkseni toi on tehty sen takia, ettei internet reititystaulut turpoa ihan mahdottoman kokoisiksi pienen pienistä prefixeistä. IPv4 oli joskus hyvin kauan sitten myös pelkästään tietyillä kiinteillä maskeilla, muuttuvat maskin pituudet tulivat hillitsemään osoitteiden loppumista.

Prefix translation eli tavallaan NAT lienee ainoa vaihtoehto, jos operaattori antaa vain /64 prefixin ja haluaa PfSensen väliin Network Address Translation — IPv6 Network Prefix Translation (NPt) | pfSense Documentation

 

[mikajh]

Prefix translation ... lienee ainoa vaihtoehto, jos operaattori antaa vain /64 prefixin ja haluaa PfSensen väliin

Tuota käytin aiemmin kahden IPv6-tunnelin kanssa (Multi-WAN) ja siinähän se toimi ihan ok.

Mokkulan natiivin /64:n kanssa tulee heti pari ongelmaa: 1) dynaaminen prefix ja 2) NDP
1:n ansiosta IPv6 hajoaa heti, kun mokkulan IP vaihtuu. On tietysti eroja, tapahtuuko näin monta kertaa päivässä vai alle kerta vuodessa
2:n takia mokkulasta vastaukset eivät tule takaisin, koska se ei tiedä, mistä lokaalista osoitteesta (neighbor solicitation) alkaa tulla paketteja

 

[antero]

Taas nähdään miten "mahtava" on PfSensen kehitystapa.
Kehittäjät on jo menossa versiossa 23.09, niin korjaukset tehdään siihen eikä 23.05.
Siksi he työntävät 23.09 versioon tehtyjä yksittäisiä korjauksia backportattuna 23.05 ja tämän vuoksi 23.05:sta julkaistaan uusi RC versio melkein joka päivä.
23.05 versiota ei ole vielä julkaistu, osa korjauksista kohdistuu toki FreeBSD ports osiin.

 

[user9999]

Ei löytynyt mitään tiedotetta, mutta pfSense 23.05 on ollut aamusta lähtien tarjolla.

Täytyy odotella vielä..

 

[user9999]

Ei löytynyt mitään tiedotetta, mutta pfSense 23.05 on ollut aamusta lähtien tarjolla.

Täytyy odotella vielä..

Nyt löytyy tiedote.

pfSense Plus Software Version 23.05-RELEASE is Now Available

Announcement of pfSense Plus Software Version 23.05 Release Candidate availability, including links to Release Notes, and guidance on how to report issues.

www.netgate.com

Päivitetty molemmat koneet

Spoileri

 

[user9999]

Pistin tuon IPsec-MB Crypto päälle. Vaati bootin.

Täytyy jossain vaiheessa tutkia tuota tarkemmin.

Edit: Tuo IPsec-MB Crypto on myös Netgate 1100 laitteessa (ARM).

 

[antero]

Pistin tuon IPsec-MB Crypto päälle. Vaati bootin.

Aiemmin kokeilin, en muista enää oliko OpenVPN ei ainakaan tuonu miitään lisää vai lakkasiko ihan toimimasta.
Voisi varmaan testata uudelleen onko erilainen toiminta.


Jotain erikoista Netgate juonii tulevalle. Tähän asti ne on tuonu päivitystiedostot yleisen palvelimen kautta jaettavana, näitä on useita.
Ainakaan vielä tiedostoja ei ole, vähän epäilen onko menossa maksumuurin taakse.

Päivitysosoitteita, näitä ei siis tarvitse normaalisti, vain jos haluaa kaivella enemmän.
Jos joku tietää tavan jolla 23.05 päivityspalvelimelle pääsee, olisin kiinnostunu.

CE ISO peilejä
https://atxfiles.netgate.com/mirror/downloads/
https://frafiles.netgate.com/mirror/downloads/

CE päivityksiä (ei 2.7)
https://files00.netgate.com
https://files01.netgate.com

Plus päivitysosoitteita
208.123.73.207/pkg/
208.123.73.209/pkg/

pfsense-plus-pkg-beta.netgate.com/pkg/

pfsense-plus-pkg01.atx.netgate.com/pkg/
pkg01.atx.netgate.com/pkg/
repo01.atx.netgate.com/pkg/

pfsense-plus-pkg00.atx.netgate.com/pkg/
pkg00.atx.netgate.com/pkg/
repo00.atx.netgate.com/pkg/

Päivitysosoitteet löytyy
/usr/local/etc/pkg/repos
tai
/usr/local/share/pfSense/pkg/repos/

Osoitettuun kansioon ei pääse mitenkään perinteisin menetelmin kuten ylläoleviin linkkeihin.
Itse käytä windowsilla WINSCP:tä kansioiden tutkiskeluun.

Plus 23.05
pfSense.conf
tai
Pfsense-repo.conf

FreeBSD: { enabled: no }

pfSense-core: {
    url: "pkg+https://pfsense-plus-pkg.netgate.com/pfSense_plus-v23_05_amd64-core",
    mirror_type: "srv",
    signature_type: "fingerprints",
    fingerprints: "/usr/local/share/pfSense/keys/pkg",
    enabled: yes
}

pfSense: {
    url: "pkg+https://pfsense-plus-pkg.netgate.com/pfSense_plus-v23_05_amd64-pfSense_plus_v23_05",
    mirror_type: "srv",
    signature_type: "fingerprints",
    fingerprints: "/usr/local/share/pfSense/keys/pkg",
    enabled: yes
}

Plus 23.01
pfSense-repo-previous.conf

FreeBSD: { enabled: no }

pfSense-core: {
  url: "pkg+https://firmware.netgate.com/pkg/pfSense_plus-v23_01_amd64-core",
  mirror_type: "srv",
  signature_type: "fingerprints",
  fingerprints: "/usr/local/share/pfSense/keys/pkg",
  enabled: yes
}

pfSense: {
  url: "pkg+https://firmware.netgate.com/pkg/pfSense_plus-v23_01_amd64-pfSense_plus_v23_01",
  mirror_type: "srv",
  signature_type: "fingerprints",
  fingerprints: "/usr/local/share/pfSense/keys/pkg",
  enabled: yes
}

 

[Desgorr]

Onkos kukaan testaillut tällaista Kiinan ihmettä pfsensen kanssa? 147.47€ 30% OFF|K31 N5105/N6000 Soft Router pfSense Firewall 4x Intel 2.5G i226 Industrial Fanless Mini PC HD2.0 OPNsense PVE ESXi| | - AliExpress
Hinta toimituksineen ilman muisteja ja SSD:tä olisi 154,35 €, joka ei kuulosta pahalta. Löytyy N6000 ja 2.5G eetteriportit.
Luulisi gigaista jaksavan reitittää.

 

[escalibur]

Onkos kukaan testaillut tällaista Kiinan ihmettä pfsensen kanssa? 147.47€ 30% OFF|K31 N5105/N6000 Soft Router pfSense Firewall 4x Intel 2.5G i226 Industrial Fanless Mini PC HD2.0 OPNsense PVE ESXi| | - AliExpress
Hinta toimituksineen ilman muisteja ja SSD:tä olisi 154,35 €, joka ei kuulosta pahalta. Löytyy N6000 ja 2.5G eetteriportit.
Luulisi gigaista jaksavan reitittää.

Eiköhän tuo ole samaa tavaraa kuin mitä esim Saksan Amazonistakin voi bongata. Tuohon hintaan saatetaan vielä lisätä alv:t jos asialla on väliä. Muuten tuo on varmasti hintansa arvoinen laite, jos pystyy elämään sen perävalotakuun ja epämääräisen BIOS-tuen kanssa.

 

[tomih]

Onkos kukaan testaillut tällaista Kiinan ihmettä pfsensen kanssa? 147.47€ 30% OFF|K31 N5105/N6000 Soft Router pfSense Firewall 4x Intel 2.5G i226 Industrial Fanless Mini PC HD2.0 OPNsense PVE ESXi| | - AliExpress
Hinta toimituksineen ilman muisteja ja SSD:tä olisi 154,35 €, joka ei kuulosta pahalta. Löytyy N6000 ja 2.5G eetteriportit.
Luulisi gigaista jaksavan reitittää.

kovasti saman näköinen mitä teglager kauppaa myös: Best pfsense router hardware with AES-NI (same day shipping from Stockholm)

 

[juuhokei]

Onkos kukaan testaillut tällaista Kiinan ihmettä pfsensen kanssa? 147.47€ 30% OFF|K31 N5105/N6000 Soft Router pfSense Firewall 4x Intel 2.5G i226 Industrial Fanless Mini PC HD2.0 OPNsense PVE ESXi| | - AliExpress
Hinta toimituksineen ilman muisteja ja SSD:tä olisi 154,35 €, joka ei kuulosta pahalta. Löytyy N6000 ja 2.5G eetteriportit.
Luulisi gigaista jaksavan reitittää.

Itsellä oli tuollaisen aikaisempi generaatio Celeron J4125:llä ja i225 v3 verkkopiireillä. Mitään muuta huonoa sanottavaa en keksinyt kuin jokin ongelma i225 ajurin kanssa jos käytti wan failoveria pfSensensen uudemmissa versioissa, se ei tunnistanut oikein että interface meni alas. Jos jokin vastaava ajurihäikkä ilmenee niin sen kanssahan on vaan sitten elettävä tai yritettävä jotain purkkakorjauksia mutta se nyt koskee kaikkia laitteita joissa integroidut verkkopiirit.

 

[Desgorr]

Kiitos näistä. Kai tuon voisi ihan kokeilumielessä laittaa tilaukseen.

 

[Kosm]

Kiitos näistä. Kai tuon voisi ihan kokeilumielessä laittaa tilaukseen.

Topton Jasper Lake Quad i225V Mini PC Report Täällä on tosi paljon keskustelua noista. Noita on samanlaisia laitteita varsin monelta merkiltä mutta varmaan isoin ja suosituin merkki noista on Topton. Itse tilasin niiltä tuollaisen ja ollut pari kuukautta käytössä ilman mitään ongelmia. Aliexpressin hinnoissa on verot jo mukana eli ei tule mitään noihin päälle.

Sellainen huomio että i226 -verkkokorttiin on tuki vasta 2.7-development pfSensessä tai sitten 22.05 plussassa joka aiheuttaa asentaessa ongelmia koska tuohon plussaan ei asennusmediaa löydy, joutuu 2.6 kautta päivittelemään käyttäen jotain ulkoisia usb-verkkokortteja.

 

[JeanS]

Itsellä on vähän vastaava purkki. Normi PFSense 2.6 ei toimi tolla i226 verkkopiirillä. Piti asentaa 2.7 beta josta päivitin 23.01:een. Nyt 23.05 käytössä.
Edit: tuli näköjään lähes samanlainen viesti kuin edellisellä. Täältä latasin 2.7 imagen: pfSense Snapshot Releases

 

[Desgorr]

Topton Jasper Lake Quad i225V Mini PC Report Täällä on tosi paljon keskustelua noista. Noita on samanlaisia laitteita varsin monelta merkiltä mutta varmaan isoin ja suosituin merkki noista on Topton. Itse tilasin niiltä tuollaisen ja ollut pari kuukautta käytössä ilman mitään ongelmia. Aliexpressin hinnoissa on verot jo mukana eli ei tule mitään noihin päälle.

Sellainen huomio että i226 -verkkokorttiin on tuki vasta 2.7-development pfSensessä tai sitten 22.05 plussassa joka aiheuttaa asentaessa ongelmia koska tuohon plussaan ei asennusmediaa löydy, joutuu 2.6 kautta päivittelemään käyttäen jotain ulkoisia usb-verkkokortteja.

Onko sulla muuten ES versio tuosta prossusta ja onko biosin kanssa ollut mitään ongelmia?

Osui heti tuosta ketjusta tämä silmään:

I installed Ubuntu and FreeBSD. Under both, I was able to verify the N6005 CPU in fact has a QDF number, and not an S-Spec number… meaning it is definitely a pre-production sample.

I’m just floored tbh. This is my first experience with the Wild West of Chinese e-commerce, and I expected below par manufacturing, but usable (such as the messy flux job). I didn’t expect Topton or the Changwang ODM to straight up use an ES CPU then sell it as a production unit The half-baked BIOS where multiple settings don’t stick or work, such as C-states and PTT just compound the issue. Ah, and I also realized my particular N6005 pulls about 1.82v idling, which seems quite high compared to around 1.2v idle I’ve seen in other Jasper Lake reviews/posts.

At this point I give up on this particular unit. As mentioned before, I’ve been trying to contact Topton. However, their prior responsiveness prior to sale/shipment now has become unresponsive. I’ll give it a few more days and if there’s no response I’ll file a dispute with AliExpress and PayPal.

Eli jos nyt tulee testattua tuota purkkia (Vähän alkaa jo epäilyttämään tuota ketjun alkua lukiessa), niin hyvä tietää että i226 ei toimi ihan out of the box. Sinällään tuo pieni lisähomma ei haittaa.

 

[Kosm]

Onko sulla muuten ES versio tuosta prossusta ja onko biosin kanssa ollut mitään ongelmia?

Osui heti tuosta ketjusta tämä silmään:


Eli jos nyt tulee testattua tuota purkkia (Vähän alkaa jo epäilyttämään tuota ketjun alkua lukiessa), niin hyvä tietää että i226 ei toimi ihan out of the box. Sinällään tuo pieni lisähomma ei haittaa.

Ihan normaali prosessori itselle tuli ainakin, voi olla että alkupään juttuja oli nuo ES:t. On näitä ollut sen verran pitkään myynnissä että varmaan tasalaatuisempaa kamaa nyt. Mutta lottoamista tämä aina vähän on, sellaista se on kun vastaava laite maksaisi yli tuplat varmemmalta myyjältä

 

[user9999]

Aiemmin kokeilin, en muista enää oliko OpenVPN ei ainakaan tuonu miitään lisää vai lakkasiko ihan toimimasta.
Voisi varmaan testata uudelleen onko erilainen toiminta.

Mulla on pfsensessä IPsec käytössä. IPsec toimii ihan ok kun tuo IPsec-MB Crypto on päällä.

The Intel® Multi-Buffer Crypto for IPsec Library, often shortened to IPsec-MB or IIMB.
pfSense Plus software now includes support for cryptographic acceleration through the Multi-Buffer Crypto for IPsec Library (IPsec-MB, IIMB).
IPsec-MB is faster than AES-NI but not as fast as dedicated acceleration hardware such as QAT

Cryptographic Accelerator Support | pfSense Documentation

docs.netgate.com

Kuormitin VPN yhteydellä pfSenseä niin joku iimb0 siellä pyörii. Ei sen tarkempaa tietoa.

 

[user9999]

System_Patches 2.2.3 julkaistu. Taitaa olla vanhempiin versioihin korjauksia kun ei näy mitään 23.05 versiossa.

System Patches 2.2.3 · pfsense/FreeBSD-ports@de76acb

FreeBSD ports tree with pfSense changes. Contribute to pfsense/FreeBSD-ports development by creating an account on GitHub.

github.com

 

[SamCer]

Ei toimi päivitys 23.01 -> 23.05 ainakaan itsellä tällähetkellä ja en oo ainoa mitä pikaisesti katoin:

Spoileri

>>> Updating repositories metadata...
Updating pfSense-core repository catalogue...
Certificate verification failed for /C=US/ST=Texas/L=Austin/O=Rubicon Communications, LLC (Netgate)/OU=pfSense Plus/CN=pfsense-plus-pkg00.atx.netgate.com
34933878784:error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed:/var/jenkins/workspace/pfSense-Plus-snapshots-23_05-main/sources/FreeBSD-src-plus-RELENG_23_05/crypto/openssl/ssl/statem/statem_clnt.c:1921:
Certificate verification failed for /C=US/ST=Texas/L=Austin/O=Rubicon Communications, LLC (Netgate)/OU=pfSense Plus/CN=pfsense-plus-pkg00.atx.netgate.com
34933878784:error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed:/var/jenkins/workspace/pfSense-Plus-snapshots-23_05-main/sources/FreeBSD-src-plus-RELENG_23_05/crypto/openssl/ssl/statem/statem_clnt.c:1921:
Certificate verification failed for /C=US/ST=Texas/L=Austin/O=Rubicon Communications, LLC (Netgate)/OU=pfSense Plus/CN=pfsense-plus-pkg00.atx.netgate.com
34933878784:error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed:/var/jenkins/workspace/pfSense-Plus-snapshots-23_05-main/sources/FreeBSD-src-plus-RELENG_23_05/crypto/openssl/ssl/statem/statem_clnt.c:1921:
Certificate verification failed for /C=US/ST=Texas/L=Austin/O=Rubicon Communications, LLC (Netgate)/OU=pfSense Plus/CN=pfsense-plus-pkg00.atx.netgate.com
34933878784:error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed:/var/jenkins/workspace/pfSense-Plus-snapshots-23_05-main/sources/FreeBSD-src-plus-RELENG_23_05/crypto/openssl/ssl/statem/statem_clnt.c:1921:
pkg-static: https://pfsense-plus-pkg00.atx.netgate.com/pfSense_plus-v23_05_amd64-core/meta.txz: Authentication error
repository pfSense-core has no meta file, using default settings
Certificate verification failed for /C=US/ST=Texas/L=Austin/O=Rubicon Communications, LLC (Netgate)/OU=pfSense Plus/CN=pfsense-plus-pkg00.atx.netgate.com
34933878784:error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed:/var/jenkins/workspace/pfSense-Plus-snapshots-23_05-main/sources/FreeBSD-src-plus-RELENG_23_05/crypto/openssl/ssl/statem/statem_clnt.c:1921:
Certificate verification failed for /C=US/ST=Texas/L=Austin/O=Rubicon Communications, LLC (Netgate)/OU=pfSense Plus/CN=pfsense-plus-pkg00.atx.netgate.com
34933878784:error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed:/var/jenkins/workspace/pfSense-Plus-snapshots-23_05-main/sources/FreeBSD-src-plus-RELENG_23_05/crypto/openssl/ssl/statem/statem_clnt.c:1921:
pkg-static: https://pfsense-plus-pkg00.atx.netgate.com/pfSense_plus-v23_05_amd64-core/packagesite.pkg: Authentication error
Certificate verification failed for /C=US/ST=Texas/L=Austin/O=Rubicon Communications, LLC (Netgate)/OU=pfSense Plus/CN=pfsense-plus-pkg00.atx.netgate.com
34933878784:error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed:/var/jenkins/workspace/pfSense-Plus-snapshots-23_05-main/sources/FreeBSD-src-plus-RELENG_23_05/crypto/openssl/ssl/statem/statem_clnt.c:1921:
Certificate verification failed for /C=US/ST=Texas/L=Austin/O=Rubicon Communications, LLC (Netgate)/OU=pfSense Plus/CN=pfsense-plus-pkg00.atx.netgate.com
34933878784:error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed:/var/jenkins/workspace/pfSense-Plus-snapshots-23_05-main/sources/FreeBSD-src-plus-RELENG_23_05/crypto/openssl/ssl/statem/statem_clnt.c:1921:
pkg-static: https://pfsense-plus-pkg00.atx.netgate.com/pfSense_plus-v23_05_amd64-core/packagesite.txz: Authentication error
Unable to update repository pfSense-core
Updating pfSense repository catalogue...
Certificate verification failed for /C=US/ST=Texas/L=Austin/O=Rubicon Communications, LLC (Netgate)/OU=pfSense Plus/CN=pfsense-plus-pkg01.atx.netgate.com
34933878784:error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed:/var/jenkins/workspace/pfSense-Plus-snapshots-23_05-main/sources/FreeBSD-src-plus-RELENG_23_05/crypto/openssl/ssl/statem/statem_clnt.c:1921:
Certificate verification failed for /C=US/ST=Texas/L=Austin/O=Rubicon Communications, LLC (Netgate)/OU=pfSense Plus/CN=pfsense-plus-pkg01.atx.netgate.com
34933878784:error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed:/var/jenkins/workspace/pfSense-Plus-snapshots-23_05-main/sources/FreeBSD-src-plus-RELENG_23_05/crypto/openssl/ssl/statem/statem_clnt.c:1921:
Certificate verification failed for /C=US/ST=Texas/L=Austin/O=Rubicon Communications, LLC (Netgate)/OU=pfSense Plus/CN=pfsense-plus-pkg01.atx.netgate.com
34933878784:error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed:/var/jenkins/workspace/pfSense-Plus-snapshots-23_05-main/sources/FreeBSD-src-plus-RELENG_23_05/crypto/openssl/ssl/statem/statem_clnt.c:1921:
Certificate verification failed for /C=US/ST=Texas/L=Austin/O=Rubicon Communications, LLC (Netgate)/OU=pfSense Plus/CN=pfsense-plus-pkg01.atx.netgate.com
34933878784:error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed:/var/jenkins/workspace/pfSense-Plus-snapshots-23_05-main/sources/FreeBSD-src-plus-RELENG_23_05/crypto/openssl/ssl/statem/statem_clnt.c:1921:
pkg-static: https://pfsense-plus-pkg01.atx.netgate.com/pfSense_plus-v23_05_amd64-pfSense_plus_v23_05/meta.txz: Authentication error
repository pfSense has no meta file, using default settings
Certificate verification failed for /C=US/ST=Texas/L=Austin/O=Rubicon Communications, LLC (Netgate)/OU=pfSense Plus/CN=pfsense-plus-pkg01.atx.netgate.com
34933878784:error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed:/var/jenkins/workspace/pfSense-Plus-snapshots-23_05-main/sources/FreeBSD-src-plus-RELENG_23_05/crypto/openssl/ssl/statem/statem_clnt.c:1921:
Certificate verification failed for /C=US/ST=Texas/L=Austin/O=Rubicon Communications, LLC (Netgate)/OU=pfSense Plus/CN=pfsense-plus-pkg01.atx.netgate.com
34933878784:error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed:/var/jenkins/workspace/pfSense-Plus-snapshots-23_05-main/sources/FreeBSD-src-plus-RELENG_23_05/crypto/openssl/ssl/statem/statem_clnt.c:1921:
pkg-static: https://pfsense-plus-pkg01.atx.netgate.com/pfSense_plus-v23_05_amd64-pfSense_plus_v23_05/packagesite.pkg: Authentication error
Certificate verification failed for /C=US/ST=Texas/L=Austin/O=Rubicon Communications, LLC (Netgate)/OU=pfSense Plus/CN=pfsense-plus-pkg01.atx.netgate.com
34933878784:error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed:/var/jenkins/workspace/pfSense-Plus-snapshots-23_05-main/sources/FreeBSD-src-plus-RELENG_23_05/crypto/openssl/ssl/statem/statem_clnt.c:1921:
Certificate verification failed for /C=US/ST=Texas/L=Austin/O=Rubicon Communications, LLC (Netgate)/OU=pfSense Plus/CN=pfsense-plus-pkg01.atx.netgate.com
34933878784:error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed:/var/jenkins/workspace/pfSense-Plus-snapshots-23_05-main/sources/FreeBSD-src-plus-RELENG_23_05/crypto/openssl/ssl/statem/statem_clnt.c:1921:
pkg-static: https://pfsense-plus-pkg01.atx.netgate.com/pfSense_plus-v23_05_amd64-pfSense_plus_v23_05/packagesite.txz: Authentication error
Unable to update repository pfSense
Error updating repositories!
ERROR: It was not possible to determine pfSense-upgrade remote version
ERROR: It was not possible to determine pfSense-upgrade remote version
>>> Upgrading pfSense-upgrade... failed.

[edit] Sain päivityksen alkamaan kun kävin ensin webgui:sta vaihtamassa branchin 23.05 --> 23.01 --> 23.05. Sen jälkeen rebootti ja ssh:lla yhteys pfSenseen ja päivitys käyntiin komennolla pfSense-upgrade.

 

[mikajh]

Ei toimi päivitys 23.01 -> 23.05

Tässä voisi olla jotain apua:
Viimeistään tässä vaiheessa olisi varmaan syytä olla conf-backup kunnossa

 

[SamCer]

Tässä voisi olla jotain apua: Fixing pfSense Package Repo Certificate Errors
Viimeistään tässä vaiheessa olisi varmaan syytä olla conf-backup kunnossa

Sain sen päivityksen toimimaan. Lisäsin aikaisempaan viestiini kuinka se onnistui.

[edit] Toi sun postaaman linkin takaa löytyvä ohje ois ollu varmasti nopeampi kuin mitä itse tein .

 

[user9999]

Tuo pfSensen WireGuard ei ole enää experimental. Mulla on kaksi pfSense konetta niin tein niiden välille WireGuard Site-to-Site konfiksen.

WireGuard Site-to-Site VPN Configuration Example | pfSense Documentation

docs.netgate.com

Site A: Shuttle DS77U (DNA)
Site B: Netgate 1100 (Elisa ja työkäytössä)

Helposti pystyy rajoittamaan.

Site A pääsee vain parille Site B laitteelle kiinni
Site B ei pääse mihinkään Site A laitteelle kiinni

WAN säännön sourceksi määritetty vastakkaisen palomuurin Dynamic DNS osoite.

Mulla on molemmissa muureissa IPsec (EAP-TLS) VPN, mutta otin sen pois käytöstä tuosta Netgate 1100 purkista.
Puhelimella kun ottaa IPsec VPN yhteyden tuohon Shuttle DS77U muurille niin pääsee tarvittaessa kiinni noihin pariin laitteeseen, jotka ovat SIte B verkossa.

 

[Seimari]

Googlettelin, että pfsensen traffic shaper limiterit ovat aikaa sitten korjattu ja ilmeisesti pitäisi toimia.
Firman pfSense on versio 2.6.0 ja tein Lawrence Systemsin "How To Solve pfsense Bufferbloat With A CodelQ / FQ_Codel Limiter in 2.4.4" ohjeella step by step.
Kun teen floating rulen ja asentan sen aktiiviseksi, netti menee kokonaan katki, en tiedä miksi.

Onko jotain ideoita?

 

[escalibur]

Googlettelin, että pfsensen traffic shaper limiterit ovat aikaa sitten korjattu ja ilmeisesti pitäisi toimia.
Firman pfSense on versio 2.6.0 ja tein Lawrence Systemsin "How To Solve pfsense Bufferbloat With A CodelQ / FQ_Codel Limiter in 2.4.4" ohjeella step by step.
Kun teen floating rulen ja asentan sen aktiiviseksi, netti menee kokonaan katki, en tiedä miksi.

Onko jotain ideoita?

Onhan sulla Float-säännöt varmasti oikein? Etenkin esim. Gatewayn, directionin ja Action: "Match":n osalta?

Tomin ohje lienee jossain määrin väärä. Jos Netgaten oman dokumentaatioon on luottamista, Queue Management Algorithm pitäisi olla Tail Drop CoDelin sijaan. Tämä ei tietenkään selitä sun ongelmaa, mutta kannattaa kuitenkin harkita Tail Droppia CoDelin sijaan.

 

[Seimari]

Onhan sulla Float-säännöt varmasti oikein? Etenkin esim. Gatewayn, directionin ja Action: "Match":n osalta?

Tomin ohje lienee jossain määrin väärä. Jos Netgaten oman dokumentaatioon on luottamista, Queue Management Algorithm pitäisi olla Tail Drop CoDelin sijaan. Tämä ei tietenkään selitä sun ongelmaa, mutta kannattaa kuitenkin harkita Tail Droppia CoDelin sijaan.

Mulla oli Lawrence Systemsin ohjeiden mukaisesti:
Action: Pass, Quick: checked, Interface: WAN, Direction: out, Address family: IPv4, Protocol: Any, Source: any, Destination: any, Gateway: wan gateway (sisäverkon gateway), In: WanUpQ, Out: WanDownQ

mutta laitoin nyt linkkisi mukaisesti
Action: Pass, Quick: checked, Interface: WAN, Direction: out, Address family: IPv4, Protocol: Any, Source: Wan Address, Destination: any, Gateway: wan gateway (sisäverkon gateway), In: WanUpQ, Out: WanDownQ Kokeilin ruokatauolla pikaisesti enabloida filterin ja heti meni nettipoikki.

"Action: "Match":n osalta?" Käytätkö itse Action: Match vai oliko tämä vain esimerkki?

 

[juhaa]

Onkos joku asennellut zerotieriä suoraan pfsensenseen?

Tailscale löytyy suoraan paketeista, mutta reissureitittimeni ei tietenkään tue tailscalea vaan zerotieriä.

Toisaalta, laitteita kun ei montaa ole mihin VPN:n tarvitsee, niin ehkä se on vain järkevintä tehdä wireguardilla.

 

[user9999]

pfSense System_Patches 2.2.4 julkaistu.

 

[antero]

Pfsense on tuomassa uutta korjauspäivitystä 23.05.1

en osaa sanoa tuleeko suoraan näkyviin kun valmis vai pitääkö ajaa päivitys komentokehotteessa.

ei kuitenkaan näyttäisi olevan mitään erityisen tärkeään jos ei nuo pathit tule lisäksi.
23.05.1 Plus - All Closed Issues - pfSense - pfSense bugtracker

 

[Grizzle]

Kannattaako pfSense plussaan päivittää? CE-version kehitys on tainnut jäädä prioriteetissa plussan taakse. Plussa on kuitenkin closed source ja minulle yksi syy valita pfSense oli juurikin open source.

Tietysti voisi vaihtaa OPNsenseen, mutta kiinnostus säätämistä kohtaan on aika nollissa.

 

[MOS6510]

Kannattaako pfSense plussaan päivittää? CE-version kehitys on tainnut jäädä prioriteetissa plussan taakse. Plussa on kuitenkin closed source ja minulle yksi syy valita pfSense oli juurikin open source.

Tietysti voisi vaihtaa OPNsenseen, mutta kiinnostus säätämistä kohtaan on aika nollissa.

Vaihda Sophos XG Home-versioon ja jää kaikki säätäminen pois.

 

[juuhokei]

Vaihda Sophos XG Home-versioon ja jää kaikki säätäminen pois.

Ymmärsin että tarkoitti säätämisellä alkuasennusta / asetusten siirtoa, samalla tavalla ne on Sophokselle tehtävä. Ei sitä Opnsenseäkään tarvitse säätää kun kerran kaikki saatu kohdallaan.

 

[sra2010]

Kannattaako pfSense plussaan päivittää? CE-version kehitys on tainnut jäädä prioriteetissa plussan taakse. Plussa on kuitenkin closed source ja minulle yksi syy valita pfSense oli juurikin open source.

Tietysti voisi vaihtaa OPNsenseen, mutta kiinnostus säätämistä kohtaan on aika nollissa.

Sama ollut mietinnässä, mutta olen vielä pysynyt CE versiossa, koska mitään oleellista ei puutu ja system patches kautta saa päivityksiä. Eiköhän se seuraava CE-versio ole joskus valmis ja hyvin testattu tuolla plus versiolla.

 

[user9999]

Netgate ainakin suosittelee.

pfSense Plus Software Version 23.05-RELEASE is Now Available

Announcement of pfSense Plus Software Version 23.05 Release Candidate availability, including links to Release Notes, and guidance on how to report issues.

www.netgate.com

Users Currently Running pfSense Community Edition:
We encourage you to move from pfSense CE software to Netgate pfSense Plus software, which is still available at no charge.

 

[samim]

Netgate ainakin suosittelee.
which is still available at no charge.

Ja vuoden päästä, kun on riittävästi syöntiä, niin muuttuu maksulliseksi. Jos eivät kohta laita CEtä julki, niin migraatio käyntiin toisen toimittajan säätövapaaseen? tuotteeseen.

 

[mikajh]

Kannattaako pfSense plussaan päivittää?

Ei ainakaan suin päin. Omaa asennusta kannattaa katsastaa esim. tällä komennolla:
pkg version|grep -v "="
Jos tulee mitä tahansa poikkeamia, niin ei kannata ryhtyä kaivamaan...

 

[Asiantuntija]

Miksiköhän pfsense blokkailee sisäverkossa ssh-yhteyksiä kahden eri verkon välillä? Molemmista verkoista on sallittu liikennöinti molempiin verkkoihin palomuurisäännöillä eikä Suricatan logeissa näy blokattuja yhteyksiä eikä sen pitäisikään blokata sisäverkon yhteyksiä.

 

[Khauron]

Miksiköhän pfsense blokkailee sisäverkossa ssh-yhteyksiä kahden eri verkon välillä? Molemmista verkoista on sallittu liikennöinti molempiin verkkoihin palomuurisäännöillä eikä Suricatan logeissa näy blokattuja yhteyksiä eikä sen pitäisikään blokata sisäverkon yhteyksiä.

Subnetit säännöissä oikein?
Melko laajaa on, 192.168.8.0 <-> 192.168.20.0. tekee 255.255.224.0 tai /19

 

[Asiantuntija]

Subnetit säännöissä oikein?
Melko laajaa on, 192.168.8.0 <-> 192.168.20.0. tekee 255.255.224.0 tai /19

Noi verkot on siis eri interfacessa.
Ja esim 192.168.8.0/24 ja 192.168.9.0/24 verkkojen välillä yhteydet toimii ihan normaalisti vaikka ovat myös eri interfacessa ja täysin samalaiset palomuurisäännöt niissä.

 

[mikajh]

Miksiköhän pfsense blokkailee sisäverkossa ssh-yhteyksiä kahden eri verkon välillä?

Tuohon logiin saisi sarakkeen siitä Rulesta, mikä siinä on mätsännyt

 

[Asiantuntija]

Tuohon logiin saisi sarakkeen siitä Rulesta, mikä siinä on mätsännyt

Mikähän Default deny rule toi mahtaa olla ja miksei itse luotu allow all aja tuon yli?

 

[Pakana]

Mikähän Default deny rule toi mahtaa olla ja miksei itse luotu allow all aja tuon yli?

En nyt tunne tuota niin tarkkaan, mutta yleensähän ne rulet on prioriteetti järjestyksessä.

Ja turvallisuuden kannalta, jos ruleja ei priorisoida, niin tietysti kieltävän rulen tulee voittaa jos on kaksi keskenään ristiriitaista sääntöä.

 

[mikajh]

Mikähän Default deny rule toi mahtaa olla ja miksei itse luotu allow all aja tuon yli?

Ingress Filtering | pfSense Documentation

docs.netgate.com

LAN-interfaceen tulee src=192.168.8.101:63382:sta dst=192.168.20.2:22:een SSH:ta, mutta mikään LAN-rule Pass ei mätsää, joten päätyy default deny -ruleen.
Eli tarkistapa LAN-rulesi.