Tee-se-itse: Rautapalomuurit (pfSense, Sophos UTM..) (Mitä käytätte ja miksi juuri se vaihtoehto?)

Noh, nyt kun sain päivitettyä opnsensen uusimpaan, niin toki jotain hajosi. Seuraavaksi pitää selvittää mitä. Teoriassa reititän kaiken liikenteen ulos ja sisään wireguardin kautta. Logien mukaan wg on saanut lukuisia päivityksiä, joten jokin niistä varmaan rikkoi vanhan setupin. Kiva taas selvittää, että mitä tässä pitäisi tehdä.
 
Se oli typo. Jotenkin toi uus update särki wireguardin täysin. Nyt siellä on joku wg2 device myös diagnostics sivulla, eikä mitään käsitystä mistä se tulee.
 
Täytyy myöntää, että en tajua, miksi homma ei enää toimi opnsensen päivityksen jälkeen. Wg1 interface kättelee ”handshake” joten se kai toimii. Mutta esim ping 1.1.1.1 ei toimi.

Myös wg2 on tullut jostain. Sillä ei ole mitään asetuksia enkä tiedä miten sen voi poistaa.

VPN gateway on tilassa offline.

Käytännössä ongelma on, että en osaa mistään päätellä, ovatko wireguardin asetukset kunnosssa. Tästä ehkä pitää aloittaa? Eli kelpaako mun asetukset VPN palveluntarjoajalle vai ei. Voiko handshaken onnistumisesta päätellä, että asetukset kelpaa?

Miksi yhteys ei sitten toimi? Palomuuri, jokin muu? Yritän siis opnsensen shelliltä pinnata esim 1.1.1.1 tai 8.8.8.8. Mihin kaikkeen voi kaatua, että ping ei onnistu, vaikka VPN-yhteys VPN-palveluntarjoajaan toimii asetusten puolesta?
 
Täytyy myöntää, että en tajua, miksi homma ei enää toimi opnsensen päivityksen jälkeen. Wg1 interface kättelee ”handshake” joten se kai toimii. Mutta esim ping 1.1.1.1 ei toimi.

Myös wg2 on tullut jostain. Sillä ei ole mitään asetuksia enkä tiedä miten sen voi poistaa.

VPN gateway on tilassa offline.

Käytännössä ongelma on, että en osaa mistään päätellä, ovatko wireguardin asetukset kunnosssa. Tästä ehkä pitää aloittaa? Eli kelpaako mun asetukset VPN palveluntarjoajalle vai ei. Voiko handshaken onnistumisesta päätellä, että asetukset kelpaa?

Miksi yhteys ei sitten toimi? Palomuuri, jokin muu? Yritän siis opnsensen shelliltä pinnata esim 1.1.1.1 tai 8.8.8.8. Mihin kaikkeen voi kaatua, että ping ei onnistu, vaikka VPN-yhteys VPN-palveluntarjoajaan toimii asetusten puolesta?

Mahtaako liittyä tähän?

Olen näemmä vain tyhmä. Jostain syystä oli dns-serveri kadonnut, ehkä säätäessä, opnsense:n asetuksista ":D" Jees...
 
Eihän siis DNS:ää kai tarvita muuten kuin ”plain English” osotteiden kääntämiseen englannista ip-osoitteeksi. Esim client haluaa tietää mikä on google.com ip-osoite, niin se kysyy sitä DNS serveriltä?

Mutta jos osoitteet on määritelty suoraan ip-osotteina, ei silloin kai lähetetä mitään DNS-kyselyjä mihinkään. Eli jos ip on tiedossa, ei ole väliä, toimiiko DNS vai ei?

Eli jos opnsense-koneelta pingaan 1.1.1.1 niin sen pitäisi vastata pingiin, jos VPN-yhteys ylipäätään toimii? Mutta ei vastaa -> yhteys ei toimi.

Siinäpä ongelma selvitettäväksi, että miksi ei toimi. Aiemmin kysyin, että mistä voi päätellä, ”toimiiko” wireguard eli kelpaako sille mun antamat VPN-asetukset vai ei. Jos wireguard kättelee, niin toimiiko se silloin vai ei? Jos kättely onnistuu, mutta ping ei, niin mistä sitten lähtisi seuraavaksi kokeilemaan?

Esim koodin debuggaus on yleensä selkeää, vrt nää nettihommat ja opnsense ovat ”black box” kun niistä ei ymmärrä riittävästi.
 
Noh, nyt kun sain päivitettyä opnsensen uusimpaan, niin toki jotain hajosi. Seuraavaksi pitää selvittää mitä. Teoriassa reititän kaiken liikenteen ulos ja sisään wireguardin kautta. Logien mukaan wg on saanut lukuisia päivityksiä, joten jokin niistä varmaan rikkoi vanhan setupin. Kiva taas selvittää, että mitä tässä pitäisi tehdä.

Sama kävi myös täällä kun päivitin, en ole vielä jaksanut kaivaa mistä tuo johtuu, mutta quick-fix oli vaihtaa siihen vanhempaan os-wireguard-go pluginiin. Ainakin itsellä nousi sen jälkeen taas tunneli ylös. Tuossa toki huomioitavaa se että tuo on vain väliaikainen ratkaisu, koska ko. plugin poistunee vuodenvaihteen jälkeen 24.1 version myötä.
 
Sama kävi myös täällä kun päivitin, en ole vielä jaksanut kaivaa mistä tuo johtuu, mutta quick-fix oli vaihtaa siihen vanhempaan os-wireguard-go pluginiin. Ainakin itsellä nousi sen jälkeen taas tunneli ylös. Tuossa toki huomioitavaa se että tuo on vain väliaikainen ratkaisu, koska ko. plugin poistunee vuodenvaihteen jälkeen 24.1 version myötä.

No voi kyrvänvittu :D En kyllä päivitä muutamaan vuoteen opnsenseä :D Poltin koko päivän asian ihmettelyyn. Huutista mitä paskaa.
 
siis mikä päivitys?
minulla on uusin (tai ei ainakaan tarjonnut tuoreempaa) OPNsense 23.7.6-amd64 ja os-wireguard (installed) 2.3 ja hyvin pelaa luurista opnsenseen yhteys ulkomaailmasta.
en käytä muuhun kuin että saan ulkoa kotia yhteyden.
vaihdoin tuohon wireguardiin viime kesänä kun ne rikkoivat openvpn:n jossain päivityksessä. hyvin on pelannut siitä asti
 
En osaa sanoa muuta, kun että uusimpaan opnsenseen päivityksen jälkeen wireguard ei vaan toiminut. Reititän liikenteen wireguardin kautta ulkomaailmaan. Vanha wireguard-go plugin takaisin ja toimi heti. Noh, jätin opnsensen foorumille sentään kyselyn, että miksi ei toimi, onko konffeissa vai missä.
 
Juuri kun vähän niinkuin tein päätöksen, että OPNsense kehiin pfSensen sijaan, niin tulee moinen päivityksellä rikkominen. Eilen jo testiasennuksen sain aikaiseksi, testatakseni että virtuaalikoneeseen asennus menee ok jne.

On iloisesti vääntöä tuossa i7 Mac Minissä, 64gb muistia kaverina. Ei kauheasti tunnu kun Home Assistant, Omada controller ja OPNsensen pyörivät toki vielä ilman kummempia konffeja.
 
Varmaan se opnsense on ihan hyvä, mutta samalla muuttumattomalla konffilla jos homma korkkaa päivityksen myötä, niin kyllähän se vähän ärsyttää. En keksinyt missä vika varsinaisesti oli, kai sen uuden wireguard-pluginikin pitäisi toimia. Mutta ei nyt tänään toiminut, ja ongelmat katosivat vanhalla heti, ja kaikki pelasi taas.
 
Heh, niin kuin viimeisimmässä pfSense-videossani avasinkin Netgate teki juuri sitä mitä pelkäsinkin. Päättivät lopettaa ilmaisen pfSense Plussan kolmannen osapuolen raudoilla. Onneksi to-do listalla on ainakin yksi jokerikortti. ;)
 
Heh, niin kuin viimeisimmässä pfSense-videossani avasinkin Netgate teki juuri sitä mitä pelkäsinkin. Päättivät lopettaa ilmaisen pfSense Plussan kolmannen osapuolen raudoilla. Onneksi to-do listalla on ainakin yksi jokerikortti. ;)
Mikä juttu?
Omassa kiina-purkissa on kesällä "ostettu" home-lisenssi plussaan, ja näyttää toimivan tällä hetkellä.
Koskeeko tuo vain uusia lisenssejä?
 
Mikä juttu?
Omassa kiina-purkissa on kesällä "ostettu" home-lisenssi plussaan, ja näyttää toimivan tällä hetkellä.
Koskeeko tuo vain uusia lisenssejä?
Jatkossa Netgate ei tarjoa pfSense Plussaa koti- ja labrakäyttäjille.

1698224715304.png


 
No niinpä näkyy:
sshot01.png


Ei näiden aivoituksia aina ihan ymmärrä. Miksi ihmeessä ampuvat itseään jalkaan, koska nyt täytyy ostaa Netgaten laite että voit leikkiä plussalla.
 
Kerkisin 23.9 tilata pfSense Plus Home lisenssin kiinanpommiin :lol:

Mikäköhän tuon CE version kohtalo on? Ei aikataulua 2.8 versiolle ja OpenSSL 1.1.1 on EOL.

pfSense 23.09 plussassa tulee OpenSSL 3.0.10.
OpenSSL has been upgraded to 3.0.10 from 1.1.1 in FreeBSD.
This change was necessary as OpenSSL 1.1.1 reached its End of Life (EOL) on September 11, 2023. This means there will be no security patches for vulnerabilities affecting OpenSSL 1.1.1.
 
Heh, niin kuin viimeisimmässä pfSense-videossani avasinkin Netgate teki juuri sitä mitä pelkäsinkin. Päättivät lopettaa ilmaisen pfSense Plussan kolmannen osapuolen raudoilla. Onneksi to-do listalla on ainakin yksi jokerikortti. ;)
Kannattaa siirtyä Sophos XG Home-tuotteeseen. Se on edelleen täysin ilmainen kotikäyttäjille, toimii missä tahansa raudassa ja tekee vähintäänkin kaiken sen mitä pfSense tekee.

 
No niinpä näkyy:
sshot01.png


Ei näiden aivoituksia aina ihan ymmärrä. Miksi ihmeessä ampuvat itseään jalkaan, koska nyt täytyy ostaa Netgaten laite että voit leikkiä plussalla.
Ei noilla hinnoilla ole mitään kiinnostusta kotikäyttöön ottaa, mutta CE-versiolla mennyt tähänkin asti. Toisaalta hyvä, että en ole siirtynyt+-versioon, koska siitä CE-versioon palaaminen ei käsittääkseni ole helppo tie.
 
Eiköhän näillä tiedoilla ja eväillä ole paras jättää pfSenselle hyvästit ja hypätä OPNsense kelkkaan homelab piireissä.

Vielä kun saisi itsestään sen verran irti, että jaksaisi tutkia saako nykyiset säädöt toimimaan OPNsensellä. Ainakin tuo Wireguard on kuulemma rikottu OPNsensessä viime päivitysten jälkeen, juuri tuollainen epävakaus on yksi painava syy, miksi on tullut sitkeästi pysyttyä pfSense CE:ssä, ei vaan aika ja jaksaminen riitä säätää kotiverkkoa tauotta.
 
Eiköhän näillä tiedoilla ja eväillä ole paras jättää pfSenselle hyvästit ja hypätä OPNsense kelkkaan homelab piireissä.
Kunpa se olisi noin yksinkertaista. Ymmärtääkseni OPNsensekin on riippuvainen Netgatesta epäsuoraan, sillä Netgate taitaa panostaa FreeBSD:hen sen verran paljon josta osa asioista valuu myös OPNsensenkin käyttöön. Lisäksi OPNsensen päivitystahti on vähän kaksiteräinen miekka, kun asioita korjataan pikapikaa ja samalla laadunvalvonta on mitä on ts. testataan käyttäjillä.

Sophos XG on tiedossa ja sekään ei oikein innosta ärsyttävien rajoitteiden takia. Luultavasti sekin muuttuisi jonkinlaisen kk-maksumuurin taakse jos suosio lähtisi raketoimaan. Ilmaisia lounaita kun ei ole olemassa.

Hyvin hankala tilanne kaiken kaikkiaan.
 
Viimeksi muokattu:
Tietty saa nähdä, kuinka pitkään vanhanaikaisia NAT kotiverkkoja edes tulevaisuudessa pyöritellään, kunnes kaikki on pelkkää endpointista endpointtiin IPv6 myötä. Perimeter-less network ja sitä rataa.

Hirveän kiva olisi, jos tällä nykyisellä siirtymäajalla olisi edes joku luotettava reititinsofta, joka ei olisi jonkun firman kuristusotteessa tai Linux-kaulapartojen draamatappelun alaisena.
 
Kunpa se olisi noin yksinkertaista. Ymmärtääkseni OPNsensekin on riippuvainen Netgatesta epäsuoraan, sillä Netgate taitaa panostaa FreeBSD:hen sen verran paljon josta osa asioista valuu myös OPNsensenkin käyttöön.

Ei näy mainintaa Netgatesta kun selaa FreeBSD:n donorsia, partnereita tai contributorseja. Kuitenkin ylempänä hyperventiloidaan siihen malliin että koko FreeBSD kaatuisi ja OPNsensekin lakkaisi olemasta ilman ko. kusiputkaa?
 
Toisaalta hyvä, että en ole siirtynyt+-versioon, koska siitä CE-versioon palaaminen ei käsittääkseni ole helppo tie.
Helppous on tietysti subjektiivista. Mutta olettaisin että Plus->CE on helpompaa kuin portata xml-conffi vanhasta raudasta kokonaan uuteen (mikä sekin on helppoa), jossa on todennäköisesti erinimiset fyysiset interfacet. Parhaassa tapauksessa menee pelkällä configin restorella CE:n asennuksen jälkeen, mutta tietysti käsin porttaus ja cherry-pickkaus on suositeltavampaa
 
Ei näy mainintaa Netgatesta kun selaa FreeBSD:n donorsia, partnereita tai contributorseja. Kuitenkin ylempänä hyperventiloidaan siihen malliin että koko FreeBSD kaatuisi ja OPNsensekin lakkaisi olemasta ilman ko. kusiputkaa?
Luultavasti tekijät esiintyvät omilla nimillä (2) vaikka ovatkin töissä Netgatella. En väitä että asia on näin, sen takia kirjoitinkin "ymmärtääkseni" jos mm. Tom Lawrencea on uskomista.
 
Viimeksi muokattu:
Kannattaa siirtyä Sophos XG Home-tuotteeseen. Se on edelleen täysin ilmainen kotikäyttäjille, toimii missä tahansa raudassa ja tekee vähintäänkin kaiken sen mitä pfSense tekee.

Viimeksi kun tätä olisin halunnut testata, niin paskat toimi missä tahansa raudassa. UEFI-only kiinanpommi tarpeeksi uudella raudalla, niin ei edes boottaa.
 
Opnsense on itselläni softatuen vuoksi ajossa. Mutta pitää jatkossa testata tarkemmin, ja selvittää miten voi nopeasti rollbackata vanhaan versioon, jos jotain hajoaa.

Opnsense ei taaskaan saa päivityspalvelimeen yhteyttä, vaikka muuten laitteet toimivat. Ja kaiken lisäksi tuo on php:llä kirjoitettu. Noh tää on tällaista.
 
Luultavasti tekijät esiintyvät omilla nimillä (2) vaikka ovatkin töissä Netgatella. En väitä että asia on näin, sen takia kirjoitinkin "ymmärtääkseni" jos mm. Tom Lawrencea on uskomista.
Pakkohan se noin on tehdä. Jos FreeBSD ei toimi on paljon helpompaa tarjota Freebsd patchi kun rakentaa kokonaan oma vaihtoehtoinen korjaus Pfsensen puolelle.
Kaikkien etu jos vikoja poistetaan järjestelmästä.

1698260971450.png


Eihän siis DNS:ää kai tarvita muuten kuin ”plain English” osotteiden kääntämiseen englannista ip-osoitteeksi. Esim client haluaa tietää mikä on google.com ip-osoite, niin se kysyy sitä DNS serveriltä?

Mutta jos osoitteet on määritelty suoraan ip-osotteina, ei silloin kai lähetetä mitään DNS-kyselyjä mihinkään. Eli jos ip on tiedossa, ei ole väliä, toimiiko DNS vai ei?

...

Jos, mutta kuten pfsensessä käytetään nimiä palvelemiin. Suuri syy ongelmiin myös pfsense puolella on tipahtanu DNS määritys.
Pfsensen puolella on mielä mielenkiintoisempi ratkaisu, siellä ei plussa päivitykseen pääse kun SSL kautta , joten kaikki manuaaliset päivityslataukset saa unohtaa. Http(s) ei toimi ollekaa.

esim. Pfsense 23.05.1 päivityspalvelimet

 
Viimeksi muokattu:
Viimeksi kun tätä olisin halunnut testata, niin paskat toimi missä tahansa raudassa. UEFI-only kiinanpommi tarpeeksi uudella raudalla, niin ei edes boottaa.
En usko sellaista PC:tä edes löytyvän (kun ei ole kyse Tier 1.-valmistajan laitteesta kyse), josta ei BIOSista löytyisi compatibility-tilaa sieltä BIOSin asetusten syövereistä. Sophos XG vaatii toimiakseen tuon tilan.
 
"Today, we are announcing that the Home+Lab version of pfSense Plus, the commercial fork of the popular open-source firewall pfSense, is no longer available for free download."

 
En usko sellaista PC:tä edes löytyvän (kun ei ole kyse Tier 1.-valmistajan laitteesta kyse), josta ei BIOSista löytyisi compatibility-tilaa sieltä BIOSin asetusten syövereistä. Sophos XG vaatii toimiakseen tuon tilan.
Toinen iso ongelma Sophos XG:ssä on puuttuva ajurituki Intel i225/i226 piireille, käytännössä kaikki nämä Aliexpress mini-PC:t on noilla piireillä.
 
Sophoksessa oli muutama vuosi sitten ainakin todella surkeat mainosten/malwaren blokkausominaisuudet, pystyi käyttämään vaan jotain poropietari listoja joiden sisältöä ei edes nähnyt mistään. Oli kentät sitten vaan yksittäisten domainien lisäämiseen tuon päälle. En tiedä onko sitten muuttunut tuo noista ajoista.
 
Toinen iso ongelma Sophos XG:ssä on puuttuva ajurituki Intel i225/i226 piireille, käytännössä kaikki nämä Aliexpress mini-PC:t on noilla piireillä.
Kolmas ongelma on rajallisuus käyttää max 4 CPU-ydintä ja 6GB RAM:ia. Kaikki sen ylimenevät resurssit menevät ilmaisversiossa täysin hukkaan. Noillakin varmasti pärjää, mutta on se silti ikävä rajoitus näitä asioita harrastaville.
 
Kolmas ongelma on rajallisuus käyttää max 4 CPU-ydintä ja 6GB RAM:ia. Kaikki sen ylimenevät resurssit menevät ilmaisversiossa täysin hukkaan. Noillakin varmasti pärjää, mutta on se silti ikävä rajoitus näitä asioita harrastaville.
Noilla neljällä ytimellä ja 6 GB muistilla saa 1 Gbps liittymän helposti saturoitua. Itselläni on tässä käytössä Fitlet 2 (J3455 + 8 GB ram). 6 GB muistista on aina useampi giga vapaana normaalitilanteessa. Kotikäytössä yli neljän ytimen prosessorit menevät tässä käytössä täysin hukkaan.
 
Toinen iso ongelma Sophos XG:ssä on puuttuva ajurituki Intel i225/i226 piireille, käytännössä kaikki nämä Aliexpress mini-PC:t on noilla piireillä.
Tämän voi kiertää helposti asentamalla Sophoksen esimerkiksi Proxmoxin päälle virtuaalikoneena. Käsittääkseni seuraava Sophos XG:n versio 20 tukee natiivisti em. piirisarjoja.
 
Viimeksi muokattu:
Tämän voi kiertää helposti asentamalla Sophoksen esimerkiksi Proxmoxin päälle virtuaalikoneena. Käsittääkseni seuraava Sophos XG:n versio 20 tukee natiivisti em. piirisarjoja.
On tuo Proxmox ja siihen päälle tämä muuri vähän sellainen "mutta-kun" -konsti. Toki toimiva, mutta en minä ainakaan halua HW-purkkiini ylimääräistä hypervisor-kerrosta.
Tuosta i225- ja i226-tuesta en löytänyt mitään mainintaa mistään.
https://assets.sophos.com/X24WTUEQ/at/w8vnx57qw4vhs997fbknp2j/sophos-firewall-key-new-features.pdf ei sanallakaan mainintaa, ja Sophos Firewall v20 Early Access Announcement eräs on esittänyt kysymyksen ovatko nuo tuettuja, ei vastausta.
 
On tuo Proxmox ja siihen päälle tämä muuri vähän sellainen "mutta-kun" -konsti. Toki toimiva, mutta en minä ainakaan halua HW-purkkiini ylimääräistä hypervisor-kerrosta.
Tuosta i225- ja i226-tuesta en löytänyt mitään mainintaa mistään.
https://assets.sophos.com/X24WTUEQ/at/w8vnx57qw4vhs997fbknp2j/sophos-firewall-key-new-features.pdf ei sanallakaan mainintaa, ja Sophos Firewall v20 Early Access Announcement eräs on esittänyt kysymyksen ovatko nuo tuettuja, ei vastausta.
Ei ollut tuettu ainakaan reilu puoli vuotta sitten julkaistu versio, joku 19 versio oli se ja Itse tämän testasin.

Taitaa olla lähinnä spekulaatioita tuo 20-version ajuripuoli, en laskisi sen varaan että tukee mutta onhan se mukava iloisesti yllättyä.
 
Viimeksi muokattu:
Sophoksessa oli muutama vuosi sitten ainakin todella surkeat mainosten/malwaren blokkausominaisuudet, pystyi käyttämään vaan jotain poropietari listoja joiden sisältöä ei edes nähnyt mistään. Oli kentät sitten vaan yksittäisten domainien lisäämiseen tuon päälle. En tiedä onko sitten muuttunut tuo noista ajoista.
Taitaa olla varsin yleistä että DNS-filtteröinti melko suppea näissä missä muurivalmistaja itse ylläpitää listoja. Toki luulisi että omien domainien lisääminen olisi peruskauraa kaikissa. Community-pohjaiset pihole, pfblockerNG jne on tässä suhteessa aivan ylivoimaisia.

Niin ja mainoksiin ei kyllä käsittääkseni mitkään valmistajien omat ratkaisut puutu?

Edit: Jaa näyttää siinä Sophoksessa Web policyssa mainoksille kategoria olevan, noh kuten olettaa saattaa niin eivät varmasti kovin paljoa panosta noiden listojen ylläpitoon ja tuskin suomalaisia palvelimia löytyy yhtään.
 
Viimeksi muokattu:
Taitaa olla varsin yleistä että DNS-filtteröinti melko suppea näissä missä muurivalmistaja itse ylläpitää listoja. Toki luulisi että omien domainien lisääminen olisi peruskauraa kaikissa. Community-pohjaiset pihole, pfblockerNG jne on tässä suhteessa aivan ylivoimaisia.

Niin ja mainoksiin ei kyllä käsittääkseni mitkään valmistajien omat ratkaisut puutu?

Edit: Jaa näyttää siinä Sophoksessa Web policyssa mainoksille kategoria olevan, noh kuten olettaa saattaa niin eivät varmasti kovin paljoa panosta noiden listojen ylläpitoon ja tuskin suomalaisia palvelimia löytyy yhtään.
OPNsensessa pfBlockerNG:n voi jossain määrin korvata käyttämällä aliaksia. Helpointa lienee käyttää suosiolla jotain erillistä DNS-hallintaa kuten NextDNS:ää, Cloudflarea jne.
 
Ei ollut tuettu ainakaan reilu puoli vuotta sitten julkaistu versio, joku 19 versio oli se ja Itse tämän testasin.

Taitaa olla lähinnä spekulaatioita tuo 20-version ajuripuoli, en laskisi sen varaan että tukee mutta onhan se mukava iloisesti yllättyä.
No joo; Sophoksen forumin mukaan jatkavat tuolla antiikkisella 4.14 Linux kernelillä vielä versiossa 20. Eli ei tukea i225/i226-korteille. Tämä on sinänsä tosi outoa, sillä 4.14.x-kernelin tuki loppuu tammikuussa 2024.
 
Viimeksi muokattu:
"As we continue the transition away from the free version of Home+Lab, the ability to get timely updates with bug fixes and improved features may be limited and would require a TAC subscription. If you need to reinstall your Home+Lab version, we will be unable to provide a no-cost upgrade path from pfSense CE."

E: Ehkä tässä huononnuksessa on suurin tekijä kiinalaiset yms. hikipajat, jotka myyvät rautaa esiasennetulla pfSensellä, aiempien lisenssiehtojen vastaisesti
 
Jatkossa Netgate ei tarjoa pfSense Plussaa koti- ja labrakäyttäjille.

Kuvaa kyllä hyvin minkälainen paska firma toi Netgate on, kun tuolla yksi työntekijä(?) hokee +20 kertaa "I’m sorry that commercial theft has ruined the party for now. CE is still free & available. ".

Venatkaa vuosi tai pari niin tuo CE lähtee kanssa menemään.


7 vuotta sitten toi paska firma alkoi jo kairaamaan jengiä kakkoseen ja homma on jatkunut tasaisesti siitä lähtien. Itse nostin kytkintä tässä vaiheessa ja ei ole kaduttanut. Popkornia on kyllä saanut noiden sekoiluja katsoessa sivusta nauttia kyllä lähes vuosittain.

Tuo paska firma jopa omisti opnsense.com-domainin ja levitty jotain propaganda paskaa siellä. Myös Reddit /r/opnsense oli noiden hallussa. Ei oma tuote pärjää, niin pitää kilpailijoita haukkua.

TL;DR Netgate paska firma ja CE-versio todennäköisesti lopetetaan vuodessa tai parissa.
 
Asiasta kukkaruukku-ipv6-osotteisiin. Lienee kovin hankalaa kotikäyttäjälle rekisteröidä kiinteä IPv6-blokki RIPEstä. Operaattorit tarjoavat, jos tarjoavat, osoitteet DHCPv6:lla, ja riskinä on, että blokki yhtäkkiä vaihtuu.
Löytyykö ratkaisu ULA-osotteista (fc00/7) ja NAT66:sta? Kokemuksia tällaisesta kombosta?
 
Mitä nyt jaksanut seurata, itsellä tainnut pysyä ainakin kolme vuotta sama /56 DHCP6 blokki DNA:lta clienteissä, vaikka dynaaminen avaruus onkin.

Pelkän kotiverkon v6 reititystä varten pfSensestä fd00 aliverkko RA:lla, tällä yhdistelmällä hommat on toimineet hienosti ilman säätämisen tarvetta.
 
Pitkästäaikaa ihmettelin palomuurin päivitystä ja innostuin katsomaan mitä Openwrt tekee. No se palomuuri on ihan netfilter pohjainen johon löytyy perustyökalut. Eniten tässä kiinnosti DSA:n implementointi ja Wireguard. Kumpikin toimi heittämällä kun rauta oli vain tuettuna. Hyvin basic juttuihin ja jos ei ole mitään muutamaa vlan ja vpn:ään ihmeellisempää niin aika valmis suoraan paketista fiilis jäi. Eniten ihmetytti että IPv6 relay vaatii edelleen käsinsäätöä conffitiedostoihin, mutta kaipa tämä on Suomalaisten teleoperaattoreiden oma erikoisuus kun on rikottu IPv6.

Alustana vanhaa ARMv7 rautaa, NAT nopeudeksi mittasin testipenkissä kahdella gigan eth:lla 500Mbit/s yhdelle streamille ja neljällä pääsi melkein 700Mbit/s kun laittoi paketsteeringin päälle.

Eniten tässä omaa käyttöä tukee se että ei ole mitään kiintolevytarvetta, kaikki ajetaan rammissa. Eli pärjää vaikka usb-tikulla jolta buutataan.

Eihän tämä mikään mersu ole mutta joskus riittää vain se ihan toimiva lada. Puhtaana Opensource:na antaa paljon verrattuna vaikka Pfsensen kehitykseen viimevuosina.
 

Statistiikka

Viestiketjuista
258 910
Viestejä
4 495 896
Jäsenet
74 314
Uusin jäsen
bohku

Hinta.fi

Back
Ylös Bottom