Tee-se-itse: Rautapalomuurit (pfSense, Sophos UTM..) (Mitä käytätte ja miksi juuri se vaihtoehto?)

23.05 --> 23.05.1
Tämä ainakin hyvä >korjaus<, vaikka en 2.6.0 CE -aikaan muistaakseni tästä kärsinyt:
Fixed: PHP error when attempting to bulk import Alias content #14412

Samoin erityisesti:
Fixed: Setting system DNS servers can incorrectly modify routes for interface addresses #14288
Fixed: Discrepancy in “TTL for Host Cache Entries” Description #14358
 
Päivitin 2.6.0->2.7.0 piti disabloida serviceista pfblokerng ja mitä noita muita oli että onnistu ja sittenkään ei heränny bootista, ku vartin odottelin niin boottasin koneen napista, sit läks tulille ja kaikki pelaa ku buicki.
 
Tein ensin reboot with filesystem check ja sitten päivitys. Ainakin netti toimii heti bootin jälkeen ok.
Edit: siis 2.6.0 -> 2.7.0 päivitys.
 
CE 2.7.0 meni täälläkin ongelmitta sisään APU2E4, ainoa aiemmin asennettu plugari oli Wireguard ja se ainakin näytti säilyttävän konffinsa ok.

Hassua kun ajattelin juuri tänä vkl asennella OPNsense reitittimeen, kun tuo CE on tuntunut täysin hylätyltä. Edellisestä päivityksestä taisi kohta olla melkein pari vuotta. Mennään nyt sitten vielä tovi PfSensellä, kun laiskottaa konffien siirto ja muurisääntöjen uudelleenkirjoitus.
 
Pfsense temppuili, enkä osannut sitä diagnosoida. Tänä aamunakin netti oli vaan katki, enkä sitä saanut enää henkiin. Noh katselin että 2.7:ssa tungetaan jotain alpha/beta käyttistä jakoon, joten ehkä nyt on parempi aloittaa ns. puhtaalta pöydältä, ja siirryin opnsenseen. Tähän pitäisi tulla säännöllisesti puolivuosittain myös päivityksiä, eikä tarvitse rasahdella jenkkifirman säätöihin. Eurooppalainen open source -softa vakuuttaa enemmän, vähemmän kaupallista jne. tyyliin proxmox.
 
Pfsense temppuili, enkä osannut sitä diagnosoida. Tänä aamunakin netti oli vaan katki, enkä sitä saanut enää henkiin. Noh katselin että 2.7:ssa tungetaan jotain alpha/beta käyttistä jakoon, joten ehkä nyt on parempi aloittaa ns. puhtaalta pöydältä, ja siirryin opnsenseen. Tähän pitäisi tulla säännöllisesti puolivuosittain myös päivityksiä, eikä tarvitse rasahdella jenkkifirman säätöihin. Eurooppalainen open source -softa vakuuttaa enemmän, vähemmän kaupallista jne. tyyliin proxmox.
Kyllä niitä tulee enemmän kuin kerran kuukaudessa. Yleensä uusi versio tulee about heti kun tarvetta on, joskus jopa alle viikon välein pätsiä on tarjolla.

Mutta ei siinä, erittäin toimiva kyllä ollut tuo oma opnsense asennus ja varmaan siirrän tuon kodinkin purkin sitä käyttämään tässä vielä tällä viikolla, kunhan jaksaa alkaa säätämään :P
 
Yleensä uusi versio tulee about heti kun tarvetta on, joskus jopa alle viikon välein pätsiä on tarjolla.
Ja minor-version patchia pikapikaa. Tästä syystä ei välttämättä kannata heti päivittää jokaista versiota, vaan odottaa muutama päivä raportoituja ongelmia ja niiden korjauksia.
 
Osasin ehkä myös asentaa wireguard-palikan opnsenseen ja konffata wireguard-clientin sinne. Vielä kun osaisi reitittää kaikki WANiin menevä liikenne kulkemaan vpn:n kautta tässä, ja blokata kaikki WAN:sta tuleva liikenne pl. VPN :D
 
Osasin ehkä myös asentaa wireguard-palikan opnsenseen ja konffata wireguard-clientin sinne. Vielä kun osaisi reitittää kaikki WANiin menevä liikenne kulkemaan vpn:n kautta tässä, ja blokata kaikki WAN:sta tuleva liikenne pl. VPN :D
Youtubesta ainakin ennen löytyi muutamia videoita miten tuo onnistuu
 
Youtubesta ainakin ennen löytyi muutamia videoita miten tuo onnistuu

Muistaakseni pfsensessä lisäsin sen vpn clientin interfaceksi, sitten gatewayksi, ehkä laitoin liikenteen menemään sen gatewayn kautta natissa, blokkasin palomuurin.. ei muista mitään enää. Täytyy katsoa youtubesta :dead:
 
Sopivasti onkin ollut juttua wireguardista, pikaisesti kokeilin ennen reissuun lähtöä saada sitä kuntoon, mutta eipä se onnistunut…

joten nyt mulla on puhelimessa toimiva IPsec, että pääsen pfSenseen käsiksi, mutta sen kautta yrittely on hieman haasteellista.
Yritin sitten laittaa IPseciä myös windows läppärille ja package manerista löytyi työkalu millä sopivan profiilin saisi helposti, mutta sen herjat alkoivat epäilyttämään, koska en tätä ainoaa toimivaa halua rikkoa.. ks. Kuva.
Uskallanko tehdä jotain tai mitä jätän tekemättä? :)
8015371E-A580-425F-AB53-5A7425359BE4.jpeg
 
Helpommalla selviää, kun katsoo jonkun Wireguard tutorialin Youtubesta.

Itselläkin oli ennen käytössä IPSec roadwarrior konffi, koska iPhonessa on natiivi IPSec tuki käyttiksessä millä sen sai päälle heti kun luuri irtosi kotiwifistä, kunnes Wireguardiin tuli sama on-demand ominaisuus ja hyppäsin heti siihen kelkkaan. Omasta mielestä IPSec on about 10 kertaa monimutkaisempi saada toimimaan kuin Wireguard, eikä siltikään ollut yhtä pomminvarma ja luotettava kuin tämä WG.

Tein reitittimeen ja puhelimeen kaksi eri Wireguard profiilia, yksi reitittää pelkästään DNS kyselyt LANissa olevaan Pi-holeen joten ei tule mainoksia ja muuta skeidaa, mutta mobiilidatan nopeus pysyy niin nopeana kuin vaan voi. Toinen profiili on sitten täysi site-to-site tunneli, mikä reitittää kaiken liikenteen puhelimesta kotona olevan WAN:in kautta ulos.
 
Joo, ainakin opnsensen wireguard-kokemuksen jälkeen (kunhan tutoriaalista katsoi, mikä kikkare tungetaan mihinkin loveen loputtomassa valikkosuossa) homma vaikutti suht simppeliltä. Paljon vähemmän piti hinkata kuin openvpn+pfsense kombon kanssa.

Seuraavaksi voikin sitten katsella VyOS:n suuntaan, jos opnsenselle tulee jotain draamaa myös. Nykyään tuntuu olevan vitusti liikaa draamaa kaikissa palveluissa ja softaprojekteissa :beye:
 
Siis joo, vaikuttaa simppeliltä, mutta joku se vaan menee pieleen. Voisin veikata, että yritin tunkea vääriä avaimia väärään paikkaan.
Mielestäni oli myös toimiva ennen kuin wireguard hivutettiin pois pfsensestä, kun se oli noh…kakkaa.

IPsec meni muistini mukaan ns. heittämämällä iphoneen, vaikkakin oli/on vain sisäverkko käytössä, mutta se on riittänyt omaan käyttöön kun on maailmalta vain saanut sportit striimattua digiboksilta.

Tuli juuri pieni ahaa elämys, kun onhan mulla ssh yhteys, niin sen avulla saa tunneloitua pääsyn pfsenseen, jos ja kun joku menee VPN:ää yrittäessä pieleen. Nyt kuitenkin IPsec säätö olisi se suunta, että pääsisi läppärillä ihmettelemään lisää.
 
Sertifikaattien kautta IPSec vaati ainakin hirveän säätämisen ja päänsäryn, pelkkä PSK autentikointi on toki naurettavan helppo saada pystyyn, mutta niin se on kyllä epäturvallinenkin.

Jos välttis haluaa IPSec käyttää, niin kannattaa pyöräyttää certit ja hoitaa niillä autentikointi. Tuo ohjesarja toimi ainakin vielä pari vuotta sitten pfSense + iOS kombolla:
 
Nähtävästi mulla ei enää Plex salli ulkopuolisiä yhteyksiä ja Plex serverin asetuksissa näyttää ettei saa yhteyttä palvelimeen.

Mitään en tässä oo muuttanut, tosin en tiedä missä vaiheessa tuo on oikeasti hajonnut kun ollut tuolle etäkäytölle harvoin tarvetta nyt viime aikoina.

Ainoa asia mikä pisti silmään on että pfsene on WAN:lle hakenut nyt ISP:ltä IP:n 100.64.XX.XX mutta ulospäin kuitenkin näkyy ihan eri IP-osoite 185.185.1XX.XXX.

Onkohan tässä ISP nyt sekoillut jotain ja iskeny mulle jonkun NAT:n päälle vaikka pitäis olla maksettuna ihan julkiset IP:t
 
Nähtävästi mulla ei enää Plex salli ulkopuolisiä yhteyksiä ja Plex serverin asetuksissa näyttää ettei saa yhteyttä palvelimeen.

Mitään en tässä oo muuttanut, tosin en tiedä missä vaiheessa tuo on oikeasti hajonnut kun ollut tuolle etäkäytölle harvoin tarvetta nyt viime aikoina.

Ainoa asia mikä pisti silmään on että pfsene on WAN:lle hakenut nyt ISP:ltä IP:n 100.64.XX.XX mutta ulospäin kuitenkin näkyy ihan eri IP-osoite 185.185.1XX.XXX.

Onkohan tässä ISP nyt sekoillut jotain ja iskeny mulle jonkun NAT:n päälle vaikka pitäis olla maksettuna ihan julkiset IP:t
ISP:llä carrier grade nat
 
Hiukan on niukat lähtötiedot, mutta onko mobiilinetin APN resetoitunut oletuksiin
Kyseessä on siis meidän kuituliittymä, jossa pitäisi kuulua 5 julkistä IP:tä operaattorilta. Ei mulla ole kuin seinässä tuo kuidun reititin jossa ei siis itsessään ole mitään NATia vaan siitä menee piuha pfsense-koneelle josta sitten verkko jaetaan eteenpäin.

Ei ole nää verkkoasiat ihan vahvinta alaa, joten itselläkin vähän tiedot niukkoja, mutta en nyt mitään muuta syytä keksi miksi esim Plex ei saa enää yhteyttä muuta kuin lähiverkossa. Aikaisemmin on tuolla PFSensessä WAN saanut suoraan tuon julkisen IP:n mutta nyt vaikuttaisi että operaattori olisi jotain tehnyt.
 
Aikaisemmin on tuolla PFSensessä WAN saanut suoraan tuon julkisen IP:n mutta nyt vaikuttaisi että operaattori olisi jotain tehnyt.
No siltä tuo kuulostaa. Luullakseni kaikki kolme isoa yleisoperaattoria kyllä tarjoavat julkisen, vaihtuvan IPv4:n ihan oletuksena (jopa x5) kiinteisiin yhteyksiin. Jos pienemmillä ei olisi kykyä samaan, niin vaikeaa luulisi olevan kilpailun.
Eli yhteyttä ISP:hen, mitä on muuttunut.
 
Tailscale tai vastaava ajossa? Sieltähän tulee myös tuommoisia CGN-osoitteita...
Ei ole tullut Tailscalea käytettyä eli kyllä tässä nyt näyttäisi siltä että jostain syystä on yhteydelle kytketty tuo cgnat päälle, joka operaattorilla on vakiona käytössä ja kertamaksulla sai 5 julkista IPv4 osoitetta.
 
Jos se olikin vuosimaksu tai hinnasto muuttunut
On se edelleen tuolla LocalNetin hinnastossa samalla tavalla merkittynä

Screenshot 2023-07-04 at 10.23.21.png


Katsotaan mitä vastaavat, oletan että on joku käpy käynyt jossain päivityksessä tms.

EDIT: Vastasivatkin että Telia tehnyt jotain muutoksia vlaneihin liittyen viime viikolla, joten liittynee tähän ja jotain tosiaan mennyt pieleen, joten odotellaan korjausta
 
Viimeksi muokattu:
On se edelleen tuolla LocalNetin hinnastossa samalla tavalla merkittynä

Screenshot 2023-07-04 at 10.23.21.png


Katsotaan mitä vastaavat, oletan että on joku käpy käynyt jossain päivityksessä tms.

EDIT: Vastasivatkin että Telia tehnyt jotain muutoksia vlaneihin liittyen viime viikolla, joten liittynee tähän ja jotain tosiaan mennyt pieleen, joten odotellaan korjausta

Toi 25€ kertamaksukin on oikeastaan liikaa kun se julkinen IP-osoite tulisi olla ilmaiseksi saatavilla: https://www.traficom.fi/sites/defau...suuntaviivojen-edellyttamista-muutoksista.pdf
4.2.1 Mahdollisuus saada julkinen IPv4-osoite pyynnöstä
Mikäli operaattori käyttää osoitteenmuunnosta, on käyttäjän oltava mahdollista
saada pyynnöstään käyttöönsä joko kiinteä tai dynaaminen julkinen IPv4-osoite
ilman erillistä maksua. Operaattori voi päättää tarjoaako se dynaamisia vai kiinteitä
osoitteita tai molempia tämän kohdan mukaisesti. Käyttäjiä on informoitava tästä
mahdollisuudesta.
 
Sertifikaattien kautta IPSec vaati ainakin hirveän säätämisen ja päänsäryn, pelkkä PSK autentikointi on toki naurettavan helppo saada pystyyn, mutta niin se on kyllä epäturvallinenkin.

Jos välttis haluaa IPSec käyttää, niin kannattaa pyöräyttää certit ja hoitaa niillä autentikointi. Tuo ohjesarja toimi ainakin vielä pari vuotta sitten pfSense + iOS kombolla:
Tuo konffis ollut itsellä noin 3.5 vuotta käytössä. Jonkin verran viilannut paremmaksi omiin tarkoituksiin ja toiminut ilman ongelmia. Tarkistin niin 14 laitteelle tullut sertit määritettyä. Onneksi nuo sertit on voimassa 10 vuotta ja sertejä on tullut kierrätettyä uusiin laitteisiin.
1.9.2020 jälkeen tuo muuttui hankalammaksi, koska varmenteiden voimassaoloaika korkeintaan 398 päivää.
 
Tuosta lainauksesta sen bongasin. Sitä vain jäin pohtimaan ja kyselemään. Ei sen kummemmasta kyse.

4.2.1 Mahdollisuus saada julkinen IPv4-osoite pyynnöstä
Mikäli operaattori käyttää osoitteenmuunnosta, on käyttäjän oltava mahdollista
saada pyynnöstään käyttöönsä joko kiinteä tai dynaaminen julkinen IPv4-osoite

ilman erillistä maksua. Operaattori voi päättää tarjoaako se dynaamisia vai kiinteitä
osoitteita tai molempia tämän kohdan mukaisesti. Käyttäjiä on informoitava tästä
mahdollisuudesta.
 
Tuosta lainauksesta sen bongasin. Sitä vain jäin pohtimaan ja kyselemään. Ei sen kummemmasta kyse.

Ahhh, joo siis toi on vain sen operaattorin päätettävissä millä tavalla ne sen julkisen iipparin tarjoaa kuluttajalle. Eli ne saa valita noiden kahden välillä kunhan siittä ei veloita mitään. Jos operaattorilta ei löydy kykyjä jaella dynaamista iipparia syystä X, niin sitten on pakko antaa se kiinteä IP ilmatteeksi.

Yleensähän noi on tarjolla samaanaikaan, kiiteä ja dynaaminen, niin epäilen et tulis jotain sellaista ISP:tä vastaan, joka ei dynaamista julkista osoitetta kykenis tarjoamaan, mutta mistä sitä tietää.
 
En voinut vastustaa kiusausta ja yritin päivittää oman asennuksen. Nyt alkuviikosta ilmestyy video tämän lopputuloksesta. :x3:
Yllättävän vähän sisältöä YouTubessa tästä koko versiosta. Lieköhän syynä tekijöiden kiireet, vai se että maailma muutti pois CE-versiosta? :think:
 
Ahhh, joo siis toi on vain sen operaattorin päätettävissä millä tavalla ne sen julkisen iipparin tarjoaa kuluttajalle. Eli ne saa valita noiden kahden välillä kunhan siittä ei veloita mitään. Jos operaattorilta ei löydy kykyjä jaella dynaamista iipparia syystä X, niin sitten on pakko antaa se kiinteä IP ilmatteeksi.

Yleensähän noi on tarjolla samaanaikaan, kiiteä ja dynaaminen, niin epäilen et tulis jotain sellaista ISP:tä vastaan, joka ei dynaamista julkista osoitetta kykenis tarjoamaan, mutta mistä sitä tietää.
No kyllähän nuo ipv4 osoitteet uusilla operaattoreilla on aika tiukassa. Jossainhan täällä oli että valoolla on jotain 4000 ip-osoitetta.

Jo aiemmin olen miettinyt täällä että nuo operaattorit voisivat tarjota kiinteätä natattua osoitetta jossa olisi jokin isojen porttien alue vaan avoimena.

Monelle julkista ip osoitetta kaipaavalle tuo olisi käytännössä täysin riittävä ratkaisu, eikä kuluttaisi niitä operaattorin rajallisia resursseja niin paljoa.
 
Huomasin, että DNA:n uusissa modeemeissa ei edes saa IPv6 enää pois päältä manuaalisesti jos motukka on normaalissa wifi router moodissa eikä siltaavana.

Mitä nopeammin maailma siirtyy pelkkään IPv6 niin sen parempi, ettei tarvitse leikkiä kahdella IP-avaruudella. Aikansa tuo kutonen toki vaatii ihmettelynsä kunnes sen käytön salat ja jipot aukeaa, Ciscon CCNA kurssin jälkeen on kyllä aika valmis jättämään IPv4 historiankirjoihin.
 
Etsinnässä olisi neliporttista intelin verkkokorttia linuxserveriin, mitä raati suosittelisi. EI nyt ihan palomuurikategoriaan mene, mutta verkkopuolelle kuitenkin.
 
I350-T4 sai ainakin jokunen vuosi sitten parilla kympillä kappale jos 1GbE riittää, toimi ainakin omassa Linux/BSD käytössä ilman murheita. Töistä tuli noita raahattua peräkärryllinen aikoinaan kun fabriikki vaihtui pitkälti kuituun.
 
Löytyykö tätä parempaa?

Revikka: Intel X710-T4L Quad 10Gbase-T NIC Review Massive Upgrade
Itse ajattelin tätä, 10gbps verkkoportit sitten sfp:llä storageverkolle erikseen
 
I350-T4 sai ainakin jokunen vuosi sitten parilla kympillä kappale jos 1GbE riittää, toimi ainakin omassa Linux/BSD käytössä ilman murheita. Töistä tuli noita raahattua peräkärryllinen aikoinaan kun fabriikki vaihtui pitkälti kuituun.
Tuo vaikuttaisi speksien perusteella oikein hyvältä, tosiaan kuituverkko sitten erikseen storagelle ja raskaampaan käyttöön joten 1 gbps riittää hyvin klusteriliikenteelle ja virtuaalikoneille, olisiko sinulla myydä tuollaista, noin 3 kpl olisi hakusessa.
 
Aina on myös IPFire vaihtoehtona.
Puhdas bsd muuri tulille vain, se olisi itselläni tavoitteena seuraavaksi. Pitäisi vain tutkia miten onnistuu kahden muurin failover puhtaalla bsd-purkilla, opnsensessä tuollainenkin ominaisuus näyttää olevan, tarkoituksena siis se, että kun ensisiainen muuri putoaa linjalta, siirtyvät yhteydet kulkemaan toisen muurin kautta.
 
Tuo vaikuttaisi speksien perusteella oikein hyvältä, tosiaan kuituverkko sitten erikseen storagelle ja raskaampaan käyttöön joten 1 gbps riittää hyvin klusteriliikenteelle ja virtuaalikoneille, olisiko sinulla myydä tuollaista, noin 3 kpl olisi hakusessa.
Enää muutama I350-T4 itsellä jäljellä jotka pidän varalla jos joskus tulee viriteltyä monipuolisempi muuri APU2 tilalle, Ebay pitäisi noita löytyä helposti euroopastakin niin ei tule veroja päälle.
 
Täällä tuli hankittua Fujitsun S920 ja siihen pari porttinen Intelin kortti.
Asentelin OPNsensen.
Kaikki muuten hyvin, mutta internettiä en saa koneelle saakka.
Itse OPNsense laite saa yhteyden internettiin, ku sain hallinnan kautta päivitettyä softan.

Missähän voisi olla vika?

Mielelläni annan lisätietoja. Ennen en oo tällaisten kanssa paininut, nii tietotaito aika lähellä 0
 

Statistiikka

Viestiketjuista
262 751
Viestejä
4 564 609
Jäsenet
75 015
Uusin jäsen
Dani.kaipanen

Hinta.fi

Back
Ylös Bottom