Tee-se-itse: Rautapalomuurit (pfSense, Sophos UTM..) (Mitä käytätte ja miksi juuri se vaihtoehto?)

LAN-interfaceen tulee src=192.168.8.101:63382:sta dst=192.168.20.2:22:een SSH:ta, mutta mikään LAN-rule Pass ei mätsää, joten päätyy default deny -ruleen.
Eli tarkistapa LAN-rulesi.
1686333150910.png
 
Eli puuttuuko sieltä LAN-interfacen rulesetista edelleen sallinta OPT3:lle?
Jos lisäät interfacen nimen ja osoitteen kunkin rulekuvan ylle, niin pysyy hieman kärryillä mitä on missäkin
1686339833400.png

Nämä on siis LAN netin säännöt. Ja kaikki muut interfacet toimii normaalisti paitsi toi OPT3.
 
Tuossa on käytössä oleva sääntö tuo ylin, koska sillä sallitaan liikenne mihin vain, jolloin tuo alin jää turhaksi, näkyy tuossa states kohdassa myös, 0/0 B.
Eli kaiken liikenteen pitäisi kulkea eikä palomuurin pitäisi estää mitään liikennettä LAN ja OPT3 verkkojen välillä? Eikö?
 
Eli kaiken liikenteen pitäisi kulkea eikä palomuurin pitäisi estää mitään liikennettä LAN ja OPT3 verkkojen välillä? Eikö?
Käsittääkseni niin. Siksi epäilinkin tuota linkkaamaani asiaa. Sen ei pitäisi aiheuttaa ongelmia vaan tiputtaa paketit jotka ovat tarpeettomia. Toimiiko noiden verkkojen välillä muu liikenne normaalisti?
 
Käsittääkseni niin. Siksi epäilinkin tuota linkkaamaani asiaa. Sen ei pitäisi aiheuttaa ongelmia vaan tiputtaa paketit jotka ovat tarpeettomia. Toimiiko noiden verkkojen välillä muu liikenne normaalisti?
Toimii. Toi on headless purkki ja ainakin gstreamer toimii portissa 5000 ihan hyvin. apt update && apt upgrade -y menee myös läpi, mutta ssh-yhteys keskeytyy kesken kaiken.
 
1686339833400.png

Nämä on siis LAN netin säännöt. Ja kaikki muut interfacet toimii normaalisti paitsi toi OPT3.
Tuossahan on kolmannella rivillä väärin päin src (LAN net, pitäisi olla OPT3 net) ja dst (OPT3 net, pitäisi olla LAN net) sisääntulevan liikenteen OPT3->LAN sallimiseksi.

Tuo kolmannen rivin rule voi olla tarpeen, jos haluat sallia myös LAN->OPT3 liikenteen suunnan (egress rule, policy routing), eikä se reitity muuten oikein (gatewayksi OPT3). Mutta se pitää siirtää ennen ensimäisen rivin rulea, koska muuten sinne ei koskaan päästä, vaan ensimmäinen rule hoitaa kaiken LAN egress-liikenteen
 
Siis ei avaudu ollenkaan, vai avautuu mutta katkeaa kesken kaiken?

Jälkimmäiseen auttaa SSH:n keepalive.
Katkeaa kesken kaiken, mutta uusi sessio avautuu kyllä samantien uudelleen. Eikä muissa default sshd conffeissa ole tarvinnut muuttaa ssh:n keepalivea mitenkään, että se toimisi. Eikä keepaliven pitäisi katkaista kesken komennon kirjoittamisen sessiota.
 
Viittaa mielestäni siihen, että tcp session paketit ei nyt mene oikein ja sen takia dropataan liikenne. Ei siis siksi että säännöissä olisi joku vika.
 
Viittaa mielestäni siihen, että tcp session paketit ei nyt mene oikein ja sen takia dropataan liikenne. Ei siis siksi että säännöissä olisi joku vika.
Niin tuossa alkuperäisessä ja ainoassa logissa Deny LAN TCP:A default rule esti TCP-ACKin. Olisiko tullut myöhemmin jotain parannusta, sillä eihän tuossa SSH-sessiota edes päässyt syntymään
 
Kannattaako pfSense plussaan päivittää? CE-version kehitys on tainnut jäädä prioriteetissa plussan taakse. Plussa on kuitenkin closed source ja minulle yksi syy valita pfSense oli juurikin open source.

Tietysti voisi vaihtaa OPNsenseen, mutta kiinnostus säätämistä kohtaan on aika nollissa.
Itse ajattelin vielä antaa 2.7.0:lle mahdollisuuden. En siis todellakaan pidättele hengitystäni koko CE-version tulevaisuudesta (kuten viimeisimmässä pfSense-videossakin totesin), sankokoot Netgate tässä vaiheessa mitä tahansa. Uskotaan kun nähdään ja sitä rataa.
 
Otin pfSensestä viikko sitten AES-NI pois käytöstä, koska tuo IPsec-MB pitäisi olla nopeampi kuin AES-NI.
IPsec-MB is faster than AES-NI but not as fast as dedicated acceleration hardware such as QAT

Jos on QAT tukeva rauta niin tämän hetkisen tiedon mukaan kannattaa ottaa IPsec-MB pois käytöstä, koska QAT on nopeampi.

1686453646996.png
Ei ole vielä tiedossa mitä VPN käyttää jos molemmat AES-NI ja IPsec-MB aktiivisina. Nyt itsellä IPsec-MB pakotettuna ja VPN:ssä AES-GCM käytössä.

1686454898707.png
 
Viimeksi muokattu:
Olen yrittänyt saada pfSense Tailscale tunnelia toimimaan, mutta en keksi missä vika vaikka yrittänyt lukea ohjeita / katsoa youtube videoita.
Molemmissa verkoissa on pfSense reitittimenä joihinka Tailscale on asennettu.
Verkko 1: 192.168.50.0/24 (pfSense 1)
Verkko 2: 192.168.2.0/24 (pfSense 2)
Yritän saada verkon 2 osoitteet näkyviin verkon 1 laitteille, toiste päin ei tarvetta.

pfSense 2:een olen laittanut Advertised Routes=192.168.2.0/24

pfSense 1:ssa on päällä 'Accept Subnet Routes' ja Diagnostics->Routes taulukossa näkyy tämä 192.168.2.0/24 verkko.
Molemmissa on status 'Tailscale is online', mutta pfSense 1:ssä.
# Health check:
# - router: exit status 1

Itse Tailscale.com konfikset vastaavat noita pfSense asetuksia.

pfSense 1:n sisäänrakennettu ping toimii verkon 2 LAN osoitteisiin, mutta muista verkon 1 laitteista pingi verkon 2 laitteisiin ei mene perille.

Pitääkö vielä jotain muuta konffata?
 
Julkaisuversiotakin lupailevat tälle kuulle. Toivottavasti se ei ole katastrofaalisessa kunnossa. :)
Heh. Joku muu voi toimia beta-testaajana.

Tähänhän saa sisälle max. 32 GB DDR4-muistia sekä normaalimittaisen PCIe M.2-levyn. Lisäksi saa vielä toisen lyhyemmän M.2 Sata-levyn. Laite on täysin passiivinen ja siinä ei ole minkäänlaisia tuulettimia.
Futrolle voisi olla kiva korvaaja tuo pieni Fitlet. Mitään muuta kuin itse laite ei tarvitse tilata, muistit ja nvme voi hakea jostain verkkiksen outlet-laarista? Ei näillä muutaman markan hinnoilla kannata bundlata tilaukseen yhtään mitään mukaan jos ei ole pakko.

edit: jaa, huomasin, että omassa x kuukautta käytössä olleessa Futro-asennuksessa on pukannut virheitä jonkun verran. Mistäs noihin pääsee kiinni mistä aiheutuu ja miten korjataan?
1686992935324.png
edit: nappasin nyt ensimmäisenä hardware offload pois, se oli näköjään jäänyt päälle.
 
Viimeksi muokattu:
Heh. Joku muu voi toimia beta-testaajana.
CE 2.7 beta on paljon parempi kuin plus versio. CE versio kun sisältää kaikki ajantasaiset bugikorjaukset, mitkä tuodaan myöhemmin Plus versioon.
Tätä on kyllä aikapaljon "beta testattu" kun ollu jo yli vuoden käytössä ja korjailtu koko ajan. Eli beta ei ole mikään perinteinen beta, tällä vain herätellään käyttäjät. Tämä Betan on jo ollu jukaisuversiona merkinnällä Plus, tähän vain on noin 50 bugia korjattu sen jälkeen.

Pahin juttu on että pfsense on muuttamassa asennusta yhä enemmän verkkopohjaiseksi. USB asennus versiota ei esim betalle ole saataville.
Epäilen että pian tulee versio joka sisältää vain nettiasennuspohjan ja muu haetaan pilvestä kenelle he antavat siihen oikeuden.
No toivotaan että CE versio tulee myös ladattavana.
nyt viimeisin on tämä https://snapshots.netgate.com/amd64...-2.7.0-DEVELOPMENT-amd64-20230605-0600.img.gz

olihan tuolla julkaisu päivätkin annettu
sitten näkee tuleeko usb versiota.
On or before June 29, 2023

  • pfSense CE 2.7.0-RELEASE
  • pfSense Plus 23.05.1-RELEASE
 
Viimeksi muokattu:
Löytyy jo 23.05.1 New Features and Changes


vulnxml file up-to-date
libxml2-2.10.3_1 is vulnerable:
libxml2 -- multiple vulnerabilities
CVE: CVE-2023-29469
CVE: CVE-2023-28484
WWW: VuXML: libxml2 -- multiple vulnerabilities

python39-3.9.16_2 is vulnerable:
Python -- multiple vulnerabilities
CVE: CVE-2023-24329
CVE: CVE-2023-0466
CVE: CVE-2023-0465
CVE: CVE-2023-0464
CVE: CVE-2023-0286
CVE: CVE-2023-2650
CVE: CVE-2022-4303
WWW: VuXML: Python -- multiple vulnerabilities

python311-3.11.2_2 is vulnerable:
Python -- multiple vulnerabilities
CVE: CVE-2023-24329
CVE: CVE-2023-0466
CVE: CVE-2023-0465
CVE: CVE-2023-0464
CVE: CVE-2023-0286
CVE: CVE-2023-2650
CVE: CVE-2022-4303
WWW: VuXML: Python -- multiple vulnerabilities

curl-8.0.1 is vulnerable:
curl -- multiple vulnerabilities
CVE: CVE-2023-28322
CVE: CVE-2023-28321
CVE: CVE-2023-28320
CVE: CVE-2023-28319
WWW: VuXML: curl -- multiple vulnerabilities

py39-setuptools-63.1.0 is vulnerable:
py39-setuptools -- denial of service vulnerability
CVE: CVE-2022-40897
WWW: VuXML: py39-setuptools -- denial of service vulnerability

5 problem(s) in 5 installed package(s) found.
 
Viimeksi muokattu:
it: nappasin nyt ensimmäisenä hardware offload pois, se oli näköjään jäänyt päälle.
WAN:iin noita error in merkintöjä nyt tuosta huolimatta on tullut noin 2000 vuorokaudessa. Mistähän debuggaisi?
 
WAN:iin noita error in merkintöjä nyt tuosta huolimatta on tullut noin 2000 vuorokaudessa. Mistähän debuggaisi?
Tuossa jotain mitä kannattaa tarkistaa. Rikkinäinen wan kaapeli, duplex ongelma jne. Kannattaa bootata pfSense ja wan:ssa oleva laite jos mahdollista.
 
Pitäis uuttaa rautaa hommata kun kuitu olis tuloillaan ja Intel D2500CC alusta ei tule riittämään. 150M 4G yhteydelläkin huomaa hidastusta kun ottaa IPS:n(surricata) käyttöön.
Saksasta löytyy monenlaista rautaa niin valmiina kuin pelkästä emosta lähtien

Ruotsissa

AliExpressissä N100/N200 mutta ei oikein kiinasta asti viitsi tilata ja taitaa olla jo muutenki turhankin tehokas laite IPFire käyttöön.


Revikka N100 mallista. Fanless Intel N100 Firewall and Virtualization Appliance Review

Jotain SER-myymälöitäkin tullut kateltua mutta aika heikosti soveltuvaa rautaa pienellä tehonkulutuksella palomuuri käyttöön. Tarkoitus olis kuitenki että vähintää neljä verkkoporttia olis, tehonkulutus 10W-20W luokkaa ja kooltaan pieni.

Alustava fiilis että Ruotsista tilais jonkin TLSense mallin ellei nyt parempia vaihtoehtoja ilmaannu.
 
Olisi tuossa ylimääräinen hp prodesk 600g2 sff, kannattaako tästä yrittää rakentaa opnsense/pfsense boxia, tai onko kellään kokemusta/vinkkejä tällaisen small form factor pc:n muuttamisesta? Lähinnä mietityttää tuo toisen NIC:n lisääminen tuohon, ilmeisesti ainoa vaihtoehto on usb:n kautta. Onko nuo usb viritelmät sen verran luotettavia, että viitsii tässä tarkoituksessa käytttää?.
 
Olisi tuossa ylimääräinen hp prodesk 600g2 sff, kannattaako tästä yrittää rakentaa opnsense/pfsense boxia, tai onko kellään kokemusta/vinkkejä tällaisen small form factor pc:n muuttamisesta? Lähinnä mietityttää tuo toisen NIC:n lisääminen tuohon, ilmeisesti ainoa vaihtoehto on usb:n kautta. Onko nuo usb viritelmät sen verran luotettavia, että viitsii tässä tarkoituksessa käytttää?.
Eikös tuohon saa lisättyä matalaprofiilisen verkkokortin PCI-E-porttiin?

1687441154489.png


En suosittele mitään USB-adaptereita, koska lähes poikeuksetta perustuvat Realtekin verkkopiirehin. Niiden luotettavuus, ajurituki ja toiminta voi olla puhdasta arpapeliä. Erillinen Intelin verkkokortti on yleensä se varmin valinta, olettaen ettei kyse ole uudehkoista 2,5GbE-malleista joiden ajurituki voi olla puutteellinen.

Kanavaltani löydät muutaman videon aiheesta jos näiden muuttaminen pfSense-raudaksi, tai erillaisten rautavaihtoehtojen aiheet kiinnostavat enemmänkin.
 
Olisi tuossa ylimääräinen hp prodesk 600g2 sff
Eikös tuo ole normaali pöytäkone?
Ilman sff merkintää tosiaan minikone, mulla on tuossa edessä "G3" malli siinä taitaa olla mini pcie paikka johon saisi verkkokortin ja hännällä RJ45 sopivaan paikkaan.

USB on kertomusten mukaan riski saattaa pätkiä.
 
Tämmönen tuli vastaan googlailujen jälkeen :D melkeen tekisi mieli kokeilla. Ei ole mihinkään vakavaan käyttöön menossa. Lähinnä koittanut keksiä jotain käyttöä tuolle, kun tuossa lojuu tarpeettomana.
 
Mulla on m.2 -väylässä Dellin Wyse 5070:ssa toinen ethernet-kortti. Liitin on ruuvattu takapaneliin optiona olevan sfp-liittimen reikään. Toiminut jo puolisen vuotta ilman ongelmia, vaikka kortti on Realtekin piirillä. Käytössä tosin on Opnsense, olen ymmärtänyt että pfsensen kanssa on Realtekillä enemmän ongelmia.

Mietin myös jos korvaisi kytkimen jollain missä olisi spf-portti, ja realtekin m.2-kortin tilalle Dellin oma sfp-kortti.
 
Mulla on m.2 -väylässä Dellin Wyse 5070:ssa toinen ethernet-kortti. Liitin on ruuvattu takapaneliin optiona olevan sfp-liittimen reikään. Toiminut jo puolisen vuotta ilman ongelmia, vaikka kortti on Realtekin piirillä. Käytössä tosin on Opnsense, olen ymmärtänyt että pfsensen kanssa on Realtekillä enemmän ongelmia.

Mietin myös jos korvaisi kytkimen jollain missä olisi spf-portti, ja realtekin m.2-kortin tilalle Dellin oma sfp-kortti.

Mikä adapteri käytössä? Mistä hankittu?

Lähinnä tuollainen m.2 wifi to pci-e kiinnostelis.
 
pfSense® CE version 2.7.0 and pfSense Plus version 23.05.1 software are now available.
Päivitin itse samantien CE 2.6.0 -> 2.7.0 sen enempää ohjeita lukematta ja jouduin kaivamaan konsolikaapelin esille. Lyhyesti omat kommellukset

- Päivityksen jälkeen ei päässyt nettiin paikallisista verkoista eikä palomuurin Mgmt osoitteeseen kirjautumaan vaikka Mgmt IP pingasikin. Sisäverkot kuitenkin pingasivat ristiin.
- Konsolin kautta näytti kaikki olevan ok joten käynnistin GUI:n uudestaan. Squid konffiin liittyen oli 2kpl herjaa ja NTP service ei ollut käynnistynyt mutta muuten kaikki näytti olevan käynnissä ja kunnossa.
- Palomuurista pääsi nettiin mutta muualta ei. Palomuuri säännöt ja NAT oli tallella.
- Aattelin alkaa purkaa konffista mutta päädyin ensiksi käynnistämään uudestaan koko laitoksen, jonka jälkeen onneksi kaikki alkoikin toimimaan.

Muille onnea päivitykseen. :)
 
pfSense® CE version 2.7.0 and pfSense Plus version 23.05.1 software are now available.

Tuli äsken päivitettyä 2.6.0 -> 2.7.0. Ei ollut minkäänlaisia ongelmia.
Tuossa oli lisätty tuo udpbroadcastrelay-paketti ja sen avulla sain viimeinkin Google castin toimimaan VLANien välillä. Aiemmin en sitä saanut pelittämään.
 
Aiheuttaako lisärien poisto mitä toimenpiteitä, että saa ne taas toimimaan samoilla asetuksilla? Mulla on tuo pfSensen käyttö ollut asenna ja unohda mallilla :) Ainoa lisäri taitaa olla joku mainosblokkeri.
 
Päivitetty Netgate 1100 ja Shuttle DS77U versiosta 23.05 --> 23.05.1.

Ei ongelmia :)
 
Futrolle voisi olla kiva korvaaja tuo pieni Fitlet. Mitään muuta kuin itse laite ei tarvitse tilata, muistit ja nvme voi hakea jostain verkkiksen outlet-laarista? Ei näillä muutaman markan hinnoilla kannata bundlata tilaukseen yhtään mitään mukaan jos ei ole pakko.
Kyllä, muistit ja NVME-levyn voi tilata vaikka verkkokauppa.comilta. Kannattaa tilata 3200 Mhz:n muistikampa, niin saa muistin nopeudesta täydet tehot irti.
 

Statistiikka

Viestiketjuista
262 696
Viestejä
4 563 017
Jäsenet
75 010
Uusin jäsen
MrBrutalMachine

Hinta.fi

Back
Ylös Bottom