Tee-se-itse: Rautapalomuurit (pfSense, Sophos UTM..) (Mitä käytätte ja miksi juuri se vaihtoehto?)

Operaattorisi tarjoaa vain /60:sen? Tässä siis kyseessä DNA 5G josta ei tule mitää /56:sta ja on pakko käyttää IPv6 relay toimintoa.
Jaajaa. Itse en noista ymmärrä mitään, niin en osaa kommentoida relayn tarpeesta. Itsellä siis avoinkuitu liittymä ja operaattorina localnet.
 
Pikkuhiljaa Netgate sulkee ilmaisia tapoja käyttää heidän ohjelmia. Joko ensi vuonna pfSense on täysin maksullinen.
Addressing Changes to pfSense Plus Home+Lab (netgate.com)


Kannattaa ottaa talteen 2.8 CE dev versio. Silläkin varmaan pärjää ja voi upgreidata SSL3:n
Noita ei enää säännöllisesti julkaista.
Index of /amd64/pfSense_master/installer/




e. olihan tuo tuolla jo mainittukin.

Heh, niin kuin viimeisimmässä pfSense-videossani avasinkin Netgate teki juuri sitä mitä pelkäsinkin. Päättivät lopettaa ilmaisen pfSense Plussan kolmannen osapuolen raudoilla. Onneksi to-do listalla on ainakin yksi jokerikortti. ;)
 
Viimeksi muokattu:
Terve.

Tässä koittanut vaihtaa openbsd:n pf muurista nftablesiin, että pääsisi lxc konteilla leikkimään. Olisi tarkoitus että jotkin kontit menisi wireguardin läpi, mutta tässä en kuitenkaan ole täysin onnistunut.

pf:llä tuo homma menee kuitenkin eri tavalla ja saatan ajatella asioita väärällä tavalla.

pätkä joka toimii jotenkin ja muuta nippelitietoa. Mistä mahtaa kiikastaa?

Koodi:
        chain prerouting {
                type nat hook prerouting priority security;
                ip saddr 10.0.3.0/24 ip daddr != $RFC1918 ct mark set 0x1
                ip saddr 10.0.3.0/24 ip daddr != $RFC1918 meta mark set ct mark
        }
Pingistä upuu joka toinen
Koodi:
64 bytes from 1.1.1.1: icmp_seq=1 ttl=55 time=56.1 ms
64 bytes from 1.1.1.1: icmp_seq=3 ttl=55 time=56.3 ms
64 bytes from 1.1.1.1: icmp_seq=5 ttl=55 time=56.0 ms
64 bytes from 1.1.1.1: icmp_seq=7 ttl=55 time=57.0 ms
64 bytes from 1.1.1.1: icmp_seq=9 ttl=55 time=56.0 ms
Koodi:
ip rule show
0:      from all lookup local
32765:  from all fwmark 0x1 lookup wireguard
32766:  from all lookup main
32767:  from all lookup default
Koodi:
ip route show table wireguard
default dev wg0 scope link
Koodi:
ip route show
default via 84.xxx.xxx.1 dev enp3s0f0 proto dhcp src 84.xxx.xxx.19 metric 100
10.0.3.0/24 dev lxcbr0 proto kernel scope link src 10.0.3.1
10.13.75.0/24 dev wg0 proto kernel scope link src 10.13.75.113
84.xxx.xxx.0/20 dev enp3s0f0 proto kernel scope link src 84.xxx.xxx.19 metric 100
 
Onko kokemuksia VYOS, onko mitenkää käyttökelpoinen ?
Vaiko enemmän linux nörtin ohjelma.

VyOS Networking Platform · GitHub
Ei ole kokemusta. Uteliaisuuttani kävin sivuja vähän katsomassa. Ihan kovan luokan referenssejä näyttää olevan, joten varmasti toimiva systeemi. Konffaus näyttäisi ainakin pikaisen vilkaisun perusteella olevan täysin komentoriviä ja tekstitiedostojen editointia. GUI on kehitteillä. Nörttikamaa siis ainakin toistaiseksi :)
 
Noh, pelkällä komentorivillä sitä Ciscon (ja muiden enterprise firmojen) vehkeitä puukotellaan menemään, joten enempi tuo on askel ammatillisempaan maailmaan verrattuna näihin graafisiin xSense muureihin.

Ainahan sitä voi lyödä VyOS virtuaalikoneeseen ja kokeilla kuinka se taipuu.
 
Ymmärtääkseni VyOS on nykyisin maksullinen Software Subscriptions – VyOS ellei halua käyttää jatkuvasti päivittyvää versiota.
Noh, pelkällä komentorivillä sitä Ciscon (ja muiden enterprise firmojen) vehkeitä puukotellaan menemään, joten enempi tuo on askel ammatillisempaan maailmaan verrattuna näihin graafisiin xSense muureihin.

Ainahan sitä voi lyödä VyOS virtuaalikoneeseen ja kokeilla kuinka se taipuu.
Toisaalta taas Cisco Merakia hehkutetaan nimenomaan sen graafisen käyttöliittymän helppoudesta. Asia varmasti jakaa mielipiteitä. Itse sanoisin että molemmilla on paikkaansa, riippuen käyttökohteesta.

Graafinen käyttöliittymä saattaa helpottaa konfiguraation hahmottamista, se voi varoittaa eri tavoilla jos olet tekemässä jotain mikä vaikuttaa liiankin moneen asiaan :) kun taas komentorivillä voidaan tehdä saman muutoksen useampiin paikkoihin toistamatta kliksuttelua, ellei kyseessä ole jonkinlainen keskitetty hallinta.

Komentoikkunan ikuisena riesana on melko matala kynnys konfiguroida asioita väärin, kun varoituksia ei välttämättä tule ihan jokaisesta käskystä. Villi veikkaus että aina silloin tällöin kun puolet internetin palveluista ei toimi, muutokset on puskettu komentoikkunalla "herra haltuun"-menetelmällä. :)
 
"Päivitin" pfSense+ -> pfSense CE. Helposti onnistui, plussasta configin backup talteen ja kopsasin sen CE:n asennustikun FAT32-osiolle config.xml nimellä. Sitten vaan bootti tikulta ja enteriä/oletusarvoja kysymyksiin ja hetken päästä oli valmista. Bootin jälkeen meni vielä hiukan aikaa kun aiemmin asennetut lisäpaketit asentui uudelleen.

(Tuo pfsense-niminen FAT32-osio ei ainakaan minun koneessa näkynyt levykirjaimella, piti levynhallinnassa määrittää se jotta sain configin kopsattua sinne)
 
Komentoikkunan ikuisena riesana on melko matala kynnys konfiguroida asioita väärin, kun varoituksia ei välttämättä tule ihan jokaisesta käskystä. Villi veikkaus että aina silloin tällöin kun puolet internetin palveluista ei toimi, muutokset on puskettu komentoikkunalla "herra haltuun"-menetelmällä. :)
Ja tähän lisäksi vielä eri valmistajien eri käytännöt komentorivipohjaisilla muuri/kytkinkäyttiksillä. Kesti melko pitkään edes jotenkuten muistaa eroavaisuudet Ciscon IOS, Extremen EXOS ja Juniperin JunOS interfeissien nostot/alasvedot. Aika monta cheat-sheettiä tuli kirjoiteltua opiskelujen ja CCNA aikana noita varten.
 
Apuja.
Mimmosta purnukkaa suosittelisitte varmaankin OPsenselle. Tarvis 1gigan kuituun/sisäverkko giganen, muutama VLANI, VPN ja IDS/IPS kiinnostelis. Hinta/laatu huomioiden.
 
Itsellä on tollanen kiinalainen N100 + i226 -purkki. Ruuvasin 8 GB muistia ja aivan liian ison nvme-ssd:n lisukkeeksi. IDS/IPS WAN:lle Suricata ja VLANeille Zenarmor. Muisti maistuisi tuolle setille, mutta prossu lähes idlailee isommillakin liikennemäärillä. Tosin itellä ei oo gigasta uplinkkiä, pelkkä 600/30M tuhnu. En kyllä usko symmetrisen gigasen olevan iso ongelma.

edit: hinta tosiaan 170e + muistit&nvme. Tuskin paljon parempaa hinta/laatu-suhdetta on saatavilla.
 
Sivuhuomiona, jos suunnittelee esim. keräävänsä NetFlowta, tai käyttävänsä muuta raskaammin logia tai metriikkaa keräävää toimintoa, suosittelisin harkitsemaan pyörivää levyä tai vähintäänkin MLC SSD:tä.

Nimim. kurkistin juuri OPNsense purkin levyn (joku ei nyt varsinaisesti mikään high-end 2.5" TLC SSD, kuitenkin ihan pakasta vedetty) SMART tietoja vajaan parin vuoden käytön jälkeen. NetFlow käytössä n. vuoden verran, muutama kuukausi Suricataa. Logit levylle normaalisti, ei ram diskiä /var tai /tmp hakemistoille. Kaksi käyttäjää, kymmenkunta erilaista tietokonetta ja verkkoyhteyttä käyttävää älylaitosta 400/40 yhteyden päässä.

Levyn ilmoittama life curve 59%, itselläni suurin levynraiskaaja vaikuttaisi olevan NetFlow joka kirjoittaa jatkuvasti tietokantaansa.
 
Apuja.
Mimmosta purnukkaa suosittelisitte varmaankin OPsenselle. Tarvis 1gigan kuituun/sisäverkko giganen, muutama VLANI, VPN ja IDS/IPS kiinnostelis. Hinta/laatu huomioiden.
Kanavaltani löytyy kokonainen video eri vaihtoehdoista ei hintakategorioissa 0€ - tuhannet eurot.
 
Itsellä on tollanen kiinalainen N100 + i226 -purkki. Ruuvasin 8 GB muistia ja aivan liian ison nvme-ssd:n lisukkeeksi. IDS/IPS WAN:lle Suricata ja VLANeille Zenarmor. Muisti maistuisi tuolle setille, mutta prossu lähes idlailee isommillakin liikennemäärillä. Tosin itellä ei oo gigasta uplinkkiä, pelkkä 600/30M tuhnu. En kyllä usko symmetrisen gigasen olevan iso ongelma.

edit: hinta tosiaan 170e + muistit&nvme. Tuskin paljon parempaa hinta/laatu-suhdetta on saatavilla.
Kiitos, mistä näitä kannattaa tilata?
 
Kiitos, mistä näitä kannattaa tilata?
Omani tilasin Aliexpressistä. Olisikohan muutaman viikon ollut paketti jossain limbossa ennenkuin lähti liikkumaan varastolta. Liekkö johonkin jonkun maan palautuslakeihin liittyvä viivyttely? Klarnan "maksa myöhemmin"-lasku ehti kilahtaa sähköpostiin jo hyvän ajan ennenkuin paketti lähti kiinasta... Lopulta kuitenkin kaikki oli hyvin, vaikka vähän ehti jo jännittämään, että vetikö kiinan poika höplästä.
 
Sivuhuomiona, jos suunnittelee esim. keräävänsä NetFlowta, tai käyttävänsä muuta raskaammin logia tai metriikkaa keräävää toimintoa, suosittelisin harkitsemaan pyörivää levyä tai vähintäänkin MLC SSD:tä.

Nimim. kurkistin juuri OPNsense purkin levyn (joku ei nyt varsinaisesti mikään high-end 2.5" TLC SSD, kuitenkin ihan pakasta vedetty) SMART tietoja vajaan parin vuoden käytön jälkeen. NetFlow käytössä n. vuoden verran, muutama kuukausi Suricataa. Logit levylle normaalisti, ei ram diskiä /var tai /tmp hakemistoille. Kaksi käyttäjää, kymmenkunta erilaista tietokonetta ja verkkoyhteyttä käyttävää älylaitosta 400/40 yhteyden päässä.

Levyn ilmoittama life curve 59%, itselläni suurin levynraiskaaja vaikuttaisi olevan NetFlow joka kirjoittaa jatkuvasti tietokantaansa.
Olennainen tekijä levyn kestolle on sen koko. Jos sinulla on tuossa kovin pieni levy, kuluvat kirjoituskerrat varsin nopeasti loppuun. Mitä suurempi levy, sen hitaammin se "kuluu".
 
Tässä on sellainen rauta mitä melkein itsekin voisin ostaa:

HP ProDesk 600 G3 SFF i3-7100 3.9GHz 32GB 480GB SSD DVD Windows 10 Professional (Postarit Suomeen on 10€)

Luultavasti joku nappaa tuon jo lähi minuutteina. :)

Itselläni on muuten sama PFSense koneena, mutta i5-6500 prosessorilla. Ihan overkilli gigaiselle yhteydellä, mutta kulutus on pieni n.10w/h. Toiminut hyvin ja luotettavasti kohta vuoden. Itsehän maksoin koneesta 80e vajaa vuosi sitten.
 
Olennainen tekijä levyn kestolle on sen koko. Jos sinulla on tuossa kovin pieni levy, kuluvat kirjoituskerrat varsin nopeasti loppuun. Mitä suurempi levy, sen hitaammin se "kuluu".

Vaikuttaahan se jonkin verran, ja se kuinka suuri overprovisioning levyssä on. Mutta ei se mitään muuta, NAND on kulutustavaraa eikä kestä jatkuvaa kirjoitusta. Varsinkaan paska NAND kuten TLC.
 
Miksi palomuurille tuollainen "iso" kone jossa on kaksi tuuletinta?
Koska noin järeitä speksejä noin ”pienessä” koossa ei taida löytyä mistään noin 200€:lla?

Tuulettimet ovat aina miinus, mutta palomuurin kuormalla niitä tuskin tarvitsee ajaa kovilla kierroksilla. Tietty täyspassiivinen rauta olisi ideaalinen ratkaisu kotikäyttöön, kuten oma Shuttle DS68U. Rahalla saa ja hevosella pääsee, vai miten se meni?:)
 
Viimeksi muokattu:
Sen verran miinuspuolia tuollaisessa vanhassa isossa pöytäkoneessa että jos ei ole tarvetta 10G verkolle (tai kuitumoduuleille), kahdennetulle levylle tai muulle speciaalimmalle niin varmaan ottaisin ennemin tuollaisen passiivisen kiinalaisen mini-pc:n joka on samassa hintaluokassa. Tehoakin saman verran tai enemmän, mitä nyt ei tosin muutenkaan hirveästi tarvitse 2.5gbit nopeuksiin saakka.
 
Viimeksi muokattu:
Jaa-a, nyt on hiukan erikoinen.

Mac Mini i7 8gen, 64gb muistia ja Thunderbolt 3 väylässä kiinni Sonnet Solo10G SFP+ -palikka.

UTM virtuaalikoneessa nyt OPNsense. Kaikki sinällään toimii, softa pyörii todella sähäkästi yms, mutta testiympäristönä 150/50 5G-liittymästä tulee kytkimen ja OPNsensen pureskelemana läpi 0,5/1,5. Sama niin TP-linkin 10G kytkimellä kuin tänään varmuudeksi testiin haetulla Aruba-tuotteella.

Tarkoitus siis ajaa liikenne tuota 10Gb-putkea pitkin molempiin suuntiin, ja vain 1 nic käyttäen.

2 VLAN:a käytössä, VLAN 1 management/lan ja VLAN 100 WAN-porttina. OPNsensen päivitykset juoksivat mielestäni ns. täydellä nopeudella, mutta piuhalla kytkimessä LAN-puolella kiinni olevalle läppärille tosiaan etanavauhdilla.

Jos laitan 5G-purkin kiinni suoraan SFP+ palikkaan kupariadapterilla, nopeus on maksimit 150/50, kytkimeen yhteys testattu sekä adapterilla että DAC:lla.

Ideoita?
 
Jaa-a, nyt on hiukan erikoinen.

Mac Mini i7 8gen, 64gb muistia ja Thunderbolt 3 väylässä kiinni Sonnet Solo10G SFP+ -palikka.

UTM virtuaalikoneessa nyt OPNsense. Kaikki sinällään toimii, softa pyörii todella sähäkästi yms, mutta testiympäristönä 150/50 5G-liittymästä tulee kytkimen ja OPNsensen pureskelemana läpi 0,5/1,5. Sama niin TP-linkin 10G kytkimellä kuin tänään varmuudeksi testiin haetulla Aruba-tuotteella.

Tarkoitus siis ajaa liikenne tuota 10Gb-putkea pitkin molempiin suuntiin, ja vain 1 nic käyttäen.

2 VLAN:a käytössä, VLAN 1 management/lan ja VLAN 100 WAN-porttina. OPNsensen päivitykset juoksivat mielestäni ns. täydellä nopeudella, mutta piuhalla kytkimessä LAN-puolella kiinni olevalle läppärille tosiaan etanavauhdilla.

Jos laitan 5G-purkin kiinni suoraan SFP+ palikkaan kupariadapterilla, nopeus on maksimit 150/50, kytkimeen yhteys testattu sekä adapterilla että DAC:lla.

Ideoita?
Virtualisoituna tulee tehdä nämä asetukset:
Disable all off-loading settings in Interfaces ‣ Settings
1699055999069.png
 
Virtualisoituna tulee tehdä nämä asetukset:
Disable all off-loading settings in Interfaces ‣ Settings
1699055999069.png
Ei apua tästä, kiitos silti. Tämä oli mennyt ohi vaikka jonkin verran aihetta on tullut tutkittuakin. WAN-puolelta otin IPv6 myös pois käytöstä, muuten kaikki on oletusasetuksin.
 
Miksi palomuurille tuollainen "iso" kone jossa on kaksi tuuletinta?

1. kaikkien ei ole pakko tunkea palomuuria sinne jerrykannun kokoiseen peltikaappiin seinällä
2. kaikki eivät ole niin herkkähermoisia etteikö parin tuulettimen jokseenkin olematon kohina hukkuisi muun elämisen ja tekniikan aiheuttamaan taustameluun
3. kaikkien talous ei välttämättä kaadu 10-20W lisäykseen sähkötehossa
4. yrityskoneitten elinkaari on pitkä, varaosia ja esim. tietoturvapäivityksia (BIOS) saa pitkään
5. laajennettavuus ja päivitettävyys
6. usein varsin kustannustehokkaita hankintoja

Tuossa nyt muutamia syitä. Jos tarvitsee ja haluaa pienen ja äänettömän rungon niin sitten nämä tuskin on hänen valintansa.
 
1. kaikkien ei ole pakko tunkea palomuuria sinne jerrykannun kokoiseen peltikaappiin seinällä
2. kaikki eivät ole niin herkkähermoisia etteikö parin tuulettimen jokseenkin olematon kohina hukkuisi muun elämisen ja tekniikan aiheuttamaan taustameluun
3. kaikkien talous ei välttämättä kaadu 10-20W lisäykseen sähkötehossa
4. yrityskoneitten elinkaari on pitkä, varaosia ja esim. tietoturvapäivityksia (BIOS) saa pitkään
5. laajennettavuus ja päivitettävyys
6. usein varsin kustannustehokkaita hankintoja

Tuossa nyt muutamia syitä. Jos tarvitsee ja haluaa pienen ja äänettömän rungon niin sitten nämä tuskin on hänen valintansa.

Oma kone kuivassa, puoliviileässä kellarissa, saattaisi mennä ihan kokonaan passiivina. Aion kyllä jatkossa ostella noita laatikoita, turhaan Kiinasta tilailee uutta rautaa, varsinkin kun nuo tuohon käyttöön on just hyviä. Matalan 4-porttisen verkkokortin saa hyvin paikalleen. Kierrätys kunniaan!
 
  • Tykkää
Reactions: k70
1. kaikkien ei ole pakko tunkea palomuuria sinne jerrykannun kokoiseen peltikaappiin seinällä
2. kaikki eivät ole niin herkkähermoisia etteikö parin tuulettimen jokseenkin olematon kohina hukkuisi muun elämisen ja tekniikan aiheuttamaan taustameluun
3. kaikkien talous ei välttämättä kaadu 10-20W lisäykseen sähkötehossa
4. yrityskoneitten elinkaari on pitkä, varaosia ja esim. tietoturvapäivityksia (BIOS) saa pitkään
5. laajennettavuus ja päivitettävyys
6. usein varsin kustannustehokkaita hankintoja

Tuossa nyt muutamia syitä. Jos tarvitsee ja haluaa pienen ja äänettömän rungon niin sitten nämä tuskin on hänen valintansa.
En silti tuollaista palomuurikoneeksi suosittelisi, paljon kätevämpiäkin laitteita saa muutaman kympin enemmän maksamalla. Tietty ne ovat sitten kiinalaisia ja pitää hiukan tutkia ja harkita minkä niistä ostaa. Kuitenkin Saksan Amazonistakin niitä saa.
Toki jos tuon hinta olisi max. 100€ ja löytyisi jo sopiva toinen verkkokortti, niin ehkäpä sitten.
 
En silti tuollaista palomuurikoneeksi suosittelisi, paljon kätevämpiäkin laitteita saa muutaman kympin enemmän maksamalla. Tietty ne ovat sitten kiinalaisia ja pitää hiukan tutkia ja harkita minkä niistä ostaa. Kuitenkin Saksan Amazonistakin niitä saa.
Toki jos tuon hinta olisi max. 100€ ja löytyisi jo sopiva toinen verkkokortti, niin ehkäpä sitten.

Yhden käyttäjän kiinakoneen suosituksella ei nyt kannata ostopäätöstä tehdä, omaan ollut hyvin tyytyväinen. Toki niitä pyörii monella muullakin, mutta kotipalomuurina menee melkein mikä tahansa, kunhan tietää omat vaatimukset ja hyväksyy sen ehkä pikkusen isomman sähkönkulutuksen.
 
hyväksyy sen ehkä pikkusen isomman sähkönkulutuksen.
Tuotakin vähän turhaan pelätään, mulla alle 10v koneet on vienyt alle 20W.
Mittasin just Lenovo M710s kulutus 16G muistilla 16W muistia vähentämällä sais varmaan pari wattia pois.

Tuulettimet on lähes äänettömiä idle tehoilla, ongelma on pölyn keräys.
Prossutuulettimen vois poistaa pitäis vaan viritellä joku pyörimistunnistin. Poweri on vaikeampi pienten jäähdytyslevyjen takia.

Suuri ongelma on näiden SER laitteiden (Helsingissä) edullinen hinta tulee haalittua liikaakin ;)
 
Itsellä on tuollainen G3 jollain raudalla. Tarkoitus on siirtyä 10-gigaiseen laniin joskus kun kytkimet halpenee.. Gigasella netillä vpn:n läpi prossukuorma wireguardilla 50, openvpn:llä 100%. Ja tossa ei oo vielä mitään extraa VPN:n päälle. Tuo on eteisessä pienellä hyllyllä katon rajassa, hyvin mahtuu olemaan. Virtaa menee 13W idlessä.
 
M
1. kaikkien ei ole pakko tunkea palomuuria sinne jerrykannun kokoiseen peltikaappiin seinällä
2. kaikki eivät ole niin herkkähermoisia etteikö parin tuulettimen jokseenkin olematon kohina hukkuisi muun elämisen ja tekniikan aiheuttamaan taustameluun
3. kaikkien talous ei välttämättä kaadu 10-20W lisäykseen sähkötehossa
4. yrityskoneitten elinkaari on pitkä, varaosia ja esim. tietoturvapäivityksia (BIOS) saa pitkään
5. laajennettavuus ja päivitettävyys
6. usein varsin kustannustehokkaita hankintoja

Tuossa nyt muutamia syitä. Jos tarvitsee ja haluaa pienen ja äänettömän rungon niin sitten nämä tuskin on hänen valintansa.

Matalan 4-porttisen verkkokortin <- tuollaisen käytetyn kun vielä jostain löytäisi
 
Matalan 4-porttisen verkkokortin <- tuollaisen käytetyn kun vielä jostain löytäisi

Ebaystä löytyy, varo vaan Intelin vermeissä kiinankopioita. Netistä löytyy kuva, jossa kerrataan legitin ja kopion erot.
 
Tuotakin vähän turhaan pelätään, mulla alle 10v koneet on vienyt alle 20W.
Mittasin just Lenovo M710s kulutus 16G muistilla 16W muistia vähentämällä sais varmaan pari wattia pois.

Tuulettimet on lähes äänettömiä idle tehoilla, ongelma on pölyn keräys.
Prossutuulettimen vois poistaa pitäis vaan viritellä joku pyörimistunnistin. Poweri on vaikeampi pienten jäähdytyslevyjen takia.

Suuri ongelma on näiden SER laitteiden (Helsingissä) edullinen hinta tulee haalittua liikaakin ;)
No sitten valmistaja kyllä turhaan ylimitottaa laitteen 180w tehonlähteen kera.
Desktop-PC power supply 180 Watt original for Lenovo ThinkCentre M710S (10M7/10M8/10NC/10QT/10R7) - sparepartworld.com (ipc-computer.eu)
 
Jaa-a, nyt on hiukan erikoinen.

Mac Mini i7 8gen, 64gb muistia ja Thunderbolt 3 väylässä kiinni Sonnet Solo10G SFP+ -palikka.

UTM virtuaalikoneessa nyt OPNsense. Kaikki sinällään toimii, softa pyörii todella sähäkästi yms, mutta testiympäristönä 150/50 5G-liittymästä tulee kytkimen ja OPNsensen pureskelemana läpi 0,5/1,5. Sama niin TP-linkin 10G kytkimellä kuin tänään varmuudeksi testiin haetulla Aruba-tuotteella.

Tarkoitus siis ajaa liikenne tuota 10Gb-putkea pitkin molempiin suuntiin, ja vain 1 nic käyttäen.

2 VLAN:a käytössä, VLAN 1 management/lan ja VLAN 100 WAN-porttina. OPNsensen päivitykset juoksivat mielestäni ns. täydellä nopeudella, mutta piuhalla kytkimessä LAN-puolella kiinni olevalle läppärille tosiaan etanavauhdilla.

Jos laitan 5G-purkin kiinni suoraan SFP+ palikkaan kupariadapterilla, nopeus on maksimit 150/50, kytkimeen yhteys testattu sekä adapterilla että DAC:lla.

Ideoita?
Mielenterveys alkaa pikkuhiljaa järkkyä. :D

Olen nyt yrittänyt rajata vikaa, sillä lopputuloksella että pakko tässä on nyt olla jotain piilevää.

https://www.joe0.com/2019/11/16/con...irtual-lan-configuration-on-a-managed-switch/ esimerkiksi tätä konffia en saa toimimaan, en tuolla ulkoisella 10Gb-palikalle enkä myöskään Macin omalla verkkoportilla. TP-Linkin softa on esimerkistä hiukan muuttunut, mutta kaikki olennainen on kyllä ennallaan. Samat konffit soveltaen tuohon Aruban Instant-On kytkimeen, sama laiha lopputulos. Kokeilin vielä senkin, että jätin tuon WAN-portin 2 pois VLAN:sta 1, mutta silläkään ei vaikutusta mihinkään suuntaan.

Jos jätän 10gb-palikalle tuon erillisen VLAN 10 luomatta ja käytän VLAN 1 saan yhteyden toimimaan 1 megan nopeudella. Macin omalla verkkoportilla ei toimi näinkään, ikään kuin nuo VLAN-tagit menisivät jotenkin rikki Macin sisällä.

Tähän on nyt tullut laitettua vähästä vapaa-ajasta niin paljon, että taidan nyt vain yksinkertaisesti luovuttaa.

Nyt on pohdinnan paikka rakentaako Fortinetin dedikoidulla raudalla koko verkon kun siihenkin noin periaatteessa olisi mahdollisuus.

Kiinapurkki sisäisillä NIC:llä mahdollistaisi jatkossakin virtualisoinnin ja siinä saisi pyörimään myös Home Assistantin ja verkkoraudan kontrollerin.

Ainahan tietty 1 asia per purkki olisi paras ratkaisu, mutta sitä haluaisi minimoida nuo purkitkin..
 
Samat konffit soveltaen tuohon Aruban Instant-On kytkimeen, sama laiha lopputulos.
Oletko tarkistanut hallittavan kytkimen monitoroinnista, että VLAN-harjoitus ei saa aikaan looppausta, mikä tehokkaasti romuttaa perffin olemattomiin, noin yhtenä potentiaalisena root cause -mahdollisuutena? Itsellä oli joskus monen monta vuotta sitten tuon kanssa pientä säätöä, mutta yksityiskohtia en enää muista. Omassa lankaverkossa ei mitään fyysistä looppausta voi syntyä, toki mukana oli ja on myös wifi.

Eli tarkista pakettilaskureista ja mieluiten jos switchissä on graafista näyttöä liikenteelle, että verkossa ei liiku juuri mitään silloin kun ei pidä, ja kun meneillään on nopeustesti, niin liikennettä on vain sen verran eikä moninkertaisesti. Myös switchin loop guard ja -monitor -ominaisuuksia voit tutkia

Esim: [pfsense]/root: iperf3 -t 120 --bitrate 100M -c 192.168.2.49
- reitittimen LAN-portti = 10
- iperf3-serveri portin 14 suunnassa
tuottaa 1 GbE:n porteissa 10 % kuorman
1699177947673.png
 
Viimeksi muokattu:
No sitten valmistaja kyllä turhaan ylimitottaa laitteen 180w tehonlähteen kera.
Koitin mun "HTPC" versiolla 2x yle areena hdr tehokulutus n.32w eli jos reitittimeen haluaa 4k videotoiston erillisellä näytönohjaimella niin alustasta riippumatta tehoa kuluu.

Lisätään vielä prossuna G4400 (pena) 3.30 GHz 54 W TDP eli myöskään tuota TDP arvoa ei pidä tuijottaa liikaa.
 
Viimeksi muokattu:

Kyllähän noiden alunperin työpöytäkäyttöön olevien koneiden kulutustakin saa huomattavasti korkeammaksi rasittamalla, mutta ei tämmösessä palomuurikäytössä niin paljoa tule rasitusta, että kulutus kovinkaan kovaks pääsisi noillakaan.
Alla olevat oli mittaavan rasian perässä pari kuukautta ja keskimäärin kulutus oli 59,5W yhteensä näiltä kaikilta (voihan tuossa olla heittoakin).

PFSense koneena
- Intel Pentium G4560 3.50 GHz
- ASRock H110M-ITX
- 8gt (2x4gt) DDR4
- 2 port gigabit intel ethernet server adapter i350t2
- SanDisk Z400s 128GB
- be quiet! SFX Power3 300W

HP EliteDesk 800 G1 USFF -> Proxmox, Homeassistant + muutama kontti
- Core i5 2,9 GHz
- SSD 240 GB
- RAM 8 GB

TP-Link TL-SG2008P 8-Port Smart Managed poe
TP-link EAP650 AP poella
Cisco EPC3925 kaapelimodeemi
 
Alkaa livetä ketjun aiheen ulkopuolelle mutta powerin laadulla on usean watin merkitys myös noita mun lenovoita on tehty eri virtalähteillä, vaikka ovatkin "bronse" laatua niin eroja löytyy.
 
Tuli tämmöinen vastaan ja tämä tuntuu taipuvan moneen asiaan. Vaikka muurin pyörittämiseen ja ilmeisesti virtapihi laitos. Onko kenelläkään kokemuksia tai ajatuksia tämmöisestä vehkeestä?

 

Uusimmat viestit

Statistiikka

Viestiketjuista
262 475
Viestejä
4 558 103
Jäsenet
74 971
Uusin jäsen
Maikkol

Hinta.fi

Back
Ylös Bottom