Tee-se-itse: Rautapalomuurit (pfSense, Sophos UTM..) (Mitä käytätte ja miksi juuri se vaihtoehto?)

[juuhokei]

Tuli tämmöinen vastaan ja tämä tuntuu taipuvan moneen asiaan. Vaikka muurin pyörittämiseen ja ilmeisesti virtapihi laitos. Onko kenelläkään kokemuksia tai ajatuksia tämmöisestä vehkeestä?

Zima: Elevating Your Computing Experience with ZimaBoard Servers & Personal Cloud Solutions

Experience the future of computing with Zima. Discover our range of innovative products including ZimaBoard single board servers, ZimaBlade Personal NAS, ZimaCube Personal Cloud, and more. Transform your digital landscape with cutting-edge technology tailored to your needs.

www.zimaboard.com

Varmaan ihan pätevä vaihtoehto. Verkkopiirit ilmeisesti Realtekiä mutta ei niissä nyt taida pfsensen ja opnsensen kanssa isompia ongelmia olla. Esxi ei niitä tue mutta tuskin tuolla kukaan sellaista ajaisi. Tehoa varmasti enemmän kuin tarpeeksi pfsense/opnsense käyttöön

 

[MOS6510]

Tuli tämmöinen vastaan ja tämä tuntuu taipuvan moneen asiaan. Vaikka muurin pyörittämiseen ja ilmeisesti virtapihi laitos. Onko kenelläkään kokemuksia tai ajatuksia tämmöisestä vehkeestä?

Zima: Elevating Your Computing Experience with ZimaBoard Servers & Personal Cloud Solutions

Experience the future of computing with Zima. Discover our range of innovative products including ZimaBoard single board servers, ZimaBlade Personal NAS, ZimaCube Personal Cloud, and more. Transform your digital landscape with cutting-edge technology tailored to your needs.

www.zimaboard.com

Suosittelen Fitlet 3:sta tällaisiin tarpeisiin. Hyvä tuki pitkällä tuen saatavuudella. Pieni ja passiivinen. Toimii erinomaisesti. Edellinen malli Fitlet 2 on omassa käytössä viidettä vuotta palomuurina ja Fitlet 3 Proxmox / Home Assistant-palvelimena.

fitlet3 - build-to-order

fit-iot.com

 

[Pezqu]

(pahoittelut etukäteen kun menee OTn puolelle)

Pari vuotta sitten osittain tämän threadin innoittamana ostin käytettynä HP ProDesk 600 G3 DM Mini G4400T / 8GB RAM / 128GB SSD, ja asensin pfSense CE. Hinta 178 € (kahden vuoden lisätakuulla, yhteensä siis 3 vuotta takuuta). "Plugineista" käytössä mm. snort ja DNS-resolver. Puhelimella ja läppärillä toisinaan käytössä etäyhteys kotiverkkoon (IPSec).

Tyytyväinen olen ollut. Virran säästämiseksi täältä löytämälläni vinkillä pistin pfSensessä System tunables kohtaan "hw.acpi.cpu.cx_lowest = C3". En testannut tuon muutoksen virrankulutusta ennen ja jälkeen, mutta piruuttani alkusyksystä pistin testiksi virrat pois (kirjaimellisesti katkaisin jopa jääkaapin virran sulaketaulun kautta) tunniksi kaikesta muusta paitsi seuraavasta kokoonpanosta:

• >10 vuotta vanha Intel Atom prossuinen SER-minikannettava, joka toimittaa pienen kotiserverin asemaa (lähinnä idlessä koko ajan; tarkoitus laittaa Pi-Hole pyörimään tuohon Debianin sisälle)
• ~8 vuotta vanha Intel Atom prossuinen SER-minikannettava, joka puskee keskimäärin ~20 Mbps koko ajan Tor-liikennettä guard-/middle-relayna
• kyseinen HP ProDesk pfSense-purkki lähinnä idle-tilassa
• 5-porttinen osittain hallittava Netgear switch (~40 €)
• 8-porttinen osittain hallittava Netgear switch (~50 €)

Todettakoon että tuon Tor-minikannettavan liikenne ei kierrä pfSensen kautta. POE-virtainen WLAN-tukiasema oli myös tuolloin pois päältä, eli en siis varsinaisesti itse käyttänyt kiinteää nettiäni tuon tunnin aikana. Fingridin datahub näytti virrankulutukseksi tuolle tunnille 0,02 kWh, joka on mielestäni hyvin pieni määrä tuolle laitteistolle.

Totesin että tulen kyllä jatkossakin käyttämään näitä tunnettujen valmistajien (HP, Lenovo) käytettyjä miniPCeitä palomuurina, sitten kun tuo ProDesk hajoaa (on erittäin hiljainen, korva pitää pistää laitteeseen kiinni että kuulee edes tuulettimen pyörivän; en tiedä pysähtyykö se toisinaan jopa kokonaan pienellä rasituksella). Joku ~300 € fitlet-laite. yms (siis sisältäen muistit yms.) suhteellisen tunnetulta valmistajalta varmastikin kuluttaisi vähemmän sähköä, enkä epäile kestävyyttäkään, mutta itselle tuollainen 100~150 € käytetty tunnetun valmistajan miniPC tähän tarkoitukseen on aika no-brainer ostos. Kaikkihan nämä laitteet toki Kiinasta nykyään tulee, mutta itselle ehdoton no-no olisi ostaa joku fitlet-a-like laite AliExpressistä, vaikka kuinka joku todistelisi että samaa rautaa se on kuin merkkivalmistajan laite, hinta vain halvempi (tune: Android TV Boxes Sold on Amazon Come Pre-Loaded with Malware).

 

[maninthemoon]

Suosittelen Fitlet 3:sta tällaisiin tarpeisiin. Hyvä tuki pitkällä tuen saatavuudella. Pieni ja passiivinen. Toimii erinomaisesti. Edellinen malli Fitlet 2 on omassa käytössä viidettä vuotta palomuurina ja Fitlet 3 Proxmox / Home Assistant-palvelimena.

fitlet3 - build-to-order

fit-iot.com

Itsellä ollut käytössä joku 4 vuotta APU2 kone. Toiminut kanssa, niin kuin pitää.

Tuli lähinnä heitettyä tuo vaihtoehto tänne, kun omaan silmään näyttäisi ihan pätevältä ja monipuoliselta laitteelta vaikka mihinkä tarkoitukseen, eikä pelkästään muurin raudaksi. Voisin tuota itse melkein harkita kontti koneeksi, jos oma nassi ei olisi niin monipuolinen mikä myös tarjoaa esim. docker alustan.

 

[user9999]

pfsense plus 23.09 julkaistu

Netgate Releases pfSense Plus Software Version 23.09

Netgate is pleased to announce the Release of pfSense® Plus software version 23.09. Explore the major changes and features, including an upgrade to OpenSSL 3.0.12 and the addition of Kea DHCP.

www.netgate.com

 

[user9999]

Päivitetty ilman ongelmia.

Vanha Shuttle DS77U (23.05.1) on varakoneena jos päivitetyissä ilmenee suuria ongelmia

 

[mikajh]

pfsense plus 23.09 julkaistu

Kannattaakin varmaan päivittää niin kauan kuin maksuttomalla lisenssillä vielä pystyy. Itsellä onkin taas OPNsense (23.7:aan päivitettynä) varalla/rinnalla, kun irti luistanut rikkinäinen LAN-piuha on taas paikallaan (ja myös dual-WAN fiksattu)

 

[user9999]

Kannattaakin varmaan päivittää niin kauan kuin maksuttomalla lisenssillä vielä pystyy. Itsellä onkin taas OPNsense (23.7:aan päivitettynä) varalla/rinnalla, kun irti luistanut rikkinäinen LAN-piuha on taas paikallaan (ja myös dual-WAN fiksattu)

Yritin viikonloppuna viritellä VPN toimimaan dual wanissa (Elisa ja DNA). Mulla on failover käytössä. DDNS ei toiminut kunnolla kun määritti siihen Gateway Groupin. Löyty bugi ja korjattu 23.09 versiossa. Täytyy testata jossain välissä, että toimiiko.

Bug #14829: Multi-WAN Dynamic DNS does not fail over when preferred WAN loses link - pfSense - pfSense bugtracker

Redmine

redmine.pfsense.org

 

[sra2010]

Kannattaakin varmaan päivittää niin kauan kuin maksuttomalla lisenssillä vielä pystyy. Itsellä onkin taas OPNsense (23.7:aan päivitettynä) varalla/rinnalla, kun irti luistanut rikkinäinen LAN-piuha on taas paikallaan (ja myös dual-WAN fiksattu)

Käsittääkseni se lisenssi on jo muuttunut, että ei enää saa päivitystä ellei maksa. Oliko tämä päivitys jokin poikkeus? Mikäli on maksanut lisenssin tai omistaa Netgaten laitteen niin sitten päivitykset rullaa normaalisti.
Itse jännityksellä odottelen, että kauanko tähän CE-versioon kestää saada tuo uudempi OpenSSL.

 

[user9999]

Tuli muuten Intel Speed Shift tuki hallintaan. Ei tarvitse määritellä System Tunables kohtaan erikseen "dev.hwpstate_intel.X.epp" juttuja ytimille.

To check if your CPU indeed supports Speed Shift, log into your pfSense box and run the following command: cat /var/run/dmesg.boot | grep "Speed Shift" You should see something along the lines of:

hwpstate_intel0: <Intel Speed Shift> on cpu0
hwpstate_intel1: <Intel Speed Shift> on cpu1
hwpstate_intel2: <Intel Speed Shift> on cpu2
hwpstate_intel3: <Intel Speed Shift> on cpu3

 

[mikajh]

Käsittääkseni se lisenssi on jo muuttunut, että ei enää saa päivitystä ellei maksa

Ainakin se villiin rautaan 23.05.1->23.09 päivitystä tarjoaa. Käytännön pilana se ei varmaan boottaa

EDIT: Voihan se jo olla, että pfSense CE -> plus upgrade ei enää toimi ilmaisilla lisensseillä, vaikka päivitys vielä vaikuttaa onnistuvan

 

[Hanziz]

Mikäs on concensus tällä hetkellä, tarkoitus olisi tässä lähi kuukausina rakennella boxi, eli opnsense vai pfsense, ilmeisesti pfsensen ilmaisuus on loppunut/loppumassa + muuta sekoilua jos oikeen ymmärtänyt.
Eli kannattaako suoraan alkaa harjoittelemaan opnsensen kanssa vai jääkö jostain paitsi sen kanssa?

Edit. Ensikertalaisena ja proxmoxin sisään ainakin alkuun kunnes saan sopivaa rautaa.

 

[warses]

Ainakin se villiin rautaan 23.05.1->23.09 päivitystä tarjoaa. Käytännön pilana se ei varmaan boottaa

Äsken meni päivitys läpi normaalisti ilman maksullista lisenssiä "villiin rautaan"

 

[antero]

Tuommoset pfsense asentaa lisää verrattuna 23.05.1. Muut on sitten päivityksiä uudempaan versioon.
Olisiko log4cplus jokin jolla seurataan ettei lisensöimättömiä ole asennettu.

päivitykset

Spoileri

 

[Pörkyle]

Mikäs on concensus tällä hetkellä, tarkoitus olisi tässä lähi kuukausina rakennella boxi, eli opnsense vai pfsense, ilmeisesti pfsensen ilmaisuus on loppunut/loppumassa + muuta sekoilua jos oikeen ymmärtänyt.
Eli kannattaako suoraan alkaa harjoittelemaan opnsensen kanssa vai jääkö jostain paitsi sen kanssa?

Edit. Ensikertalaisena ja proxmoxin sisään ainakin alkuun kunnes saan sopivaa rautaa.

Varmaan kannattaa opensenseen suoraan, bsd pohjaisia muureja myös esim DynFi.

On myös Linux pohjainen IPFire jota itse olen jo vuosia käyttäny ja siinä taitaa olla muureista uusin kernel käytössä, tällä hetkellä 6.1 versio. Endian ja VyOS myös linux pohjaisia mutta niistä ei kokemuksia itsellä.

 

[sra2010]

Mikäs on concensus tällä hetkellä, tarkoitus olisi tässä lähi kuukausina rakennella boxi, eli opnsense vai pfsense, ilmeisesti pfsensen ilmaisuus on loppunut/loppumassa + muuta sekoilua jos oikeen ymmärtänyt.
Eli kannattaako suoraan alkaa harjoittelemaan opnsensen kanssa vai jääkö jostain paitsi sen kanssa?

Edit. Ensikertalaisena ja proxmoxin sisään ainakin alkuun kunnes saan sopivaa rautaa.

Ce itsellä käytössä ja ominaisuudet on koti käyttöön omasta mielestä enemmän kuin riittävät.
PfBlocker ja openvpn export taitaa olla ainoat lisäosat, jotka nyt käytössä.

Plus versioon en jaksanut päivittää ja nyt näyttää, että olisi ollut lyhyt ilo mikäli olisin päivittänyt, koska oma rauta.

Opnsensestä näyttäisi puuttuvan PfBlocker ja äkkiä vilkaistuna myös traffic shaping on ehkä rajoittuneempi, mutta nämä perustuvat ohjekirjan lukuun ei kokemukseen.

Tietoturva on se mikä minua kiinnostaa, kulisseissa ns. sekoilut ei niinkään.
Vielä ei ole tullut vastaan sellaista haavoittuvuutta joka olisi saanut siirtymään PfSensestä pois.

 

[SamCer]

Täälläkin Plus päivitys meni läpi "villiin rautaan" ja ilman maksullista lisenssiä. Tein vielä kokeeksi ylimääräisen rebootin ja ei ongelmia, kaikki toimii.

 

[antero]

Varmaan kannattaa opensenseen suoraan, bsd pohjaisia muureja myös esim DynFi.

On myös Linux pohjainen IPFire jota itse olen jo vuosia käyttäny ja siinä taitaa olla muureista uusin kernel käytössä, tällä hetkellä 6.1 versio. Endian ja VyOS myös linux pohjaisia mutta niistä ei kokemuksia itsellä.

Tuota DynFi pitää jossain välissä kokeilla. Vaikka taitaa suoraan kopioida opnsensen koodia.

voisiko joku selittää tämän

 

[k70]

voisiko joku selittää tämän

Ymmärtäisin niin, että kaikki pluginit ovat aina mukana, eikä mitään lisäpaketteja ladata mistään. Halutut vaan aktivoidaan.

 

[mikajh]

Netgate hajosi, samoja oireita oli jo eilen: Reddit - Dive into anything Firmispäivitykset eivät siis onnistu

Esim: wget https://files.netgate.com/lists/fullbogons-ipv6.txt

 

[user9999]

Netgate hajosi, samoja oireita oli jo eilen: Reddit - Dive into anything Firmispäivitykset eivät siis onnistu

Huomasin saman. Myös forum ollu pitkään nurin.

Edit: Ei ole X:ssä mitään ilmoitusta. Yleensä siellä on maininta huoltoikkunoista kuten elokuussa.

 

[escalibur]

pfSense CE 2.7.1 pitäisi ilmestyä vielä tämän viikon aikana.

 

[ristokoo]

Mökillä muutama verkkolaite. Viihteelle telkku, vahvistin ja Nvidia Shield. Läppäri ja pöytäkone sekä muutama tabletti/puhelin langattoman nettiyhteyden tarpeessa. Verkkojohdon perässä Raspberry Pi, toimittelee lähinnä pientä tiedostopalvelimen hommaa. Näiden lisäksi pari etäohjattavaa pistorasiaa. Nettiyhteys on siltaavasta Huawein 4G-purkista Netgear Nighthawk X4S R7800 :aan, joka jakaa langallista (viihdelaitteille) ja langatonta yhteyttä.

Tekisi mieli laittaa ainakin nuo viihdelaitteet omaan VLANiinsa, varmaan myös pistorasiat. Netgearissa on Openwrt, joka käsittääkseni hanskaa VLAN-hommat ihan ok. Näettekö tämän suhteen lisäarvoa tai haittaa, jos hommaan vielä dedikoidun palomuuri/reititinpurkin Huawein ja sisäverkon väliin? Lisäarvoksi voi toisaalta laskea myös opettelun ja säätämisen riemun

Sisään päin on tällä hetkellä tarpeen ainoastaan Wireguard-yhteys Raspberryyn, se on tähän asti hoitunut avaamalla tarvittava portti Openwrt:n palomuurista.

 

[user9999]

Netgate hajosi, samoja oireita oli jo eilen: Reddit - Dive into anything Firmispäivitykset eivät siis onnistu

Esim: wget https://files.netgate.com/lists/fullbogons-ipv6.txt

Nyt alkoi Netgate hitaasti vastaamaan.

 

[mikajh]

Nyt alkoi Netgate hitaasti vastaamaan.

Siellä on jo talonmies Pittman toimistolla Texasissa

 

[user9999]

Yritin viikonloppuna viritellä VPN toimimaan dual wanissa (Elisa ja DNA). Mulla on failover käytössä. DDNS ei toiminut kunnolla kun määritti siihen Gateway Groupin. Löyty bugi ja korjattu 23.09 versiossa. Täytyy testata jossain välissä, että toimiiko.

Bug #14829: Multi-WAN Dynamic DNS does not fail over when preferred WAN loses link - pfSense - pfSense bugtracker

Redmine

redmine.pfsense.org

Testasin tuon Multi-WAN DDNS niin bugi on korjattu 23.09 versiossa ja toimii.

1. DNA piuha irti:
Nov 7 15:34:52 rc.gateway_alarm 26806 >>> Gateway alarm: DNA_DHCP (Addr:87.95.XXX.X Alarm:down RTT:0ms RTTsd:0ms Loss:100%)
Nov 7 15:34:53 php-fpm 53307 /rc.openvpn: Default gateway setting Interface ELISA_DHCP Gateway as default.
Nov 7 15:34:56 php-fpm 25005 /rc.dyndns.update: phpDynDNS: updating cache file /conf/dyndns_GatewayGroupcustom''0.cache: 91.158.XXX:XXX

Palveluntarjoajan DDNS cPanel:

2. DNA kaapeli takaisin noin 10min kuluttua:
Nov 7 15:44:12 php-fpm 13849 /rc.newwanip: Gateway, switch to: DNA_DHCP
Nov 7 15:44:18 php-fpm 88596 /rc.dyndns.update: phpDynDNS: updating cache file /conf/dyndns_GatewayGroupcustom''0.cache: 87.95.XXX.XX

Palveluntarjoajan DDNS cPanel:

Nyt voi jatkaa tuon VPN Multi-WAN jutun kanssa.

 

[antero]

pfSense CE 2.7.1 pitäisi ilmestyä vielä tämän viikon aikana.

eli tämä on = plus 23.09 , käytännössä koodi samaa. Erikoinen veto kun 2.8 olisi myös ollu vaihtoehto.
Releases — 2.7.1 New Features and Changes | pfSense Documentation (netgate.com)

Voi liittyä koodin hallintaan, kun molemmat käytännössä samassa koodi linjassa.

edit: tai sitten on nämä lisensoimattomat boksit, joille tarjotaan tällä sulavaa vaihtoa CE versioon.
rc versio löytyy
Index of /amd64/pfSense_RELENG_2_7_1/installer/ (netgate.com)

 

[sra2010]

eli tämä on = plus 23.09 , käytännössä koodi samaa. Erikoinen veto kun 2.8 olisi myös ollu vaihtoehto.
Releases — 2.7.1 New Features and Changes | pfSense Documentation (netgate.com)

Voi liittyä koodin hallintaan, kun molemmat käytännössä samassa koodi linjassa.

edit: tai sitten on nämä lisensoimattomat boksit, joille tarjotaan tällä sulavaa vaihtoa CE versioon.
rc versio löytyy
Index of /amd64/pfSense_RELENG_2_7_1/installer/ (netgate.com)

Loistavaa, tuli paljon nopeammin kuin uskalsin toivoakaan.
Tämä tapa olisi näin CE käyttäjänä suotava, että tärkeät päivitykset kuitenkin tulee nopeasti ja CE ja plus version välinen ero ei koske tietoturvaa vaan lisää ominaisuuksia niille jotka niitä tarvitsevat.

 

[Enhancer]

Onko kukaan perehtynyt näiden lisensointiin? Mitä tarvitsee pfSenseltä tai OPNsenseltä ostaa että voin softan asentaa purkkiin X ja jälleenmyydä? Netgaten omaa rautaa softineen voinee oletettavasti ainakin jälleenmyydä?

 

[mikajh]

Netgaten omaa rautaa softineen voinee oletettavasti ainakin jälleenmyydä?

Sitä kyllä, ei muuta. "Hardware pre-loaded with pfSense software from commercial vendors other than the Netgate Store or authorized partners must not be trusted. Third parties may have made unauthorized, unknown alterations or additions to the software. Selling pre-loaded copies of pfSense software is a violation of the Trademark Usage Guidelines." Installing and Upgrading | pfSense Documentation

OPNsense vaikuttaa sallivammalta (Legal notices — OPNsense documentation), tosin en tiedä olisiko sellaisten pakettien myyjille kovinkaan suuria markkinoita. Ne jotka olisivat tarpeeksi sinisilmäisiä ostaakseen, olisivat kuitenkin liian tolloja osatakseen sitä käyttää

 

[mikajh]

Tämä tapa olisi näin CE käyttäjänä suotava, että tärkeät päivitykset kuitenkin tulee nopeasti ja CE ja plus version välinen ero ei koske tietoturvaa vaan lisää ominaisuuksia niille jotka niitä tarvitsevat.

Netgate tuntuu jättäneen CE-version lapsipuolen asemaan. Toivottavasti siihen tulee muutos, sillä tällä pelillä molempiin ei sillä ole rahkeita.

OPNsensen kehitys vaikuttaa järkevämmältä, yleiseltä mallilta: Security — OPNsense documentation
Eli siinä ilmaiskäyttäjät ovat niitä koe-eläimiä, ja maksavat asiakkaat saavat paremmin testattua ja stabliilimpaa releasea sen jälkeen

 

[antero]

Netgate tuntuu jättäneen CE-version lapsipuolen asemaan. Toivottavasti siihen tulee muutos, sillä tällä pelillä molempiin ei sillä ole rahkeita.

OPNsensen kehitys vaikuttaa järkevämmältä, yleiseltä mallilta: Security — OPNsense documentation
Eli siinä ilmaiskäyttäjät ovat niitä koe-eläimiä, ja maksavat asiakkaat saavat paremmin testattua ja stabliilimpaa releasea sen jälkeen

Näinhän se käytännössä on ollu myös pfsensellä, pfsensellä vain nimettu development versioksi ja maksullinen plussaksi.
Tosin ohjelmaversion vaihto plussasta ce ja päinvastoin on ollu aika hankalaa. Käytännössä plussaa ei ole pystyny asentamaan vaan se on päivitetty.
Jospa se tässä hioutuu sulavemmksi.
Sekavuutta on lisänny että ce tulee myös stable versio, joka ei olisi välttämätön. vaan lähinnä tarkoitettu epävarmemmille CE käyttäjille.
Tosin syytä en tiedä miksi se luopui päivittäisten versioiden tekemisestä ja vasta nyt syksyllä jatkoi sitä.
Index of /amd64/pfSense_master/installer/ (netgate.com)

 

[mikajh]

Esim: wget https://files.netgate.com/lists/fullbogons-ipv6.txt

Nyt näkyy olevan taas rikki päivitykset ja foorumi. Ei tällainen kyllä saa ostohousuja jalkaan maksulliselle tilaukselle
Netgate vielä pyörittää veistä haavassa jättämällä raportoimatta, että mitään ongelmaa on edes koskaan ollutkaan

 

[samim]

Sophos Firewall v20 is Now Available

Sophos Firewall v20 is now available New innovations and top-requested features We are extremely pleased to announce that Sophos Firewall v20 is now available with an innovative new active threat response capability, several networking enhancements, ...

community.sophos.com

Sophos Firewall v20: DHCP Prefix Delegation

We give an overview of the new DHCP Prefix Delegation feature in Sophos Firewall v20 and how to configure it for your network. For more information about the Sophos Firewall v20 Early Access Program...

techvids.sophos.com

 

[Sampo_91]

Tuli hankittua 2,5-gigasen kytkimen kaveriksi uutta muurirautaakin.

Aivan hitokseen ylimitoitettu opnSense-rauta, mutta eipähän tartte muutamaan vuoteen päivitellä. Siis ennen kuin Telia saa tuotua kymppigigasta tarjolle joskus 2030-luvulla.

 

[MOS6510]

Sophos Firewall v20 is Now Available

Sophos Firewall v20 is now available New innovations and top-requested features We are extremely pleased to announce that Sophos Firewall v20 is now available with an innovative new active threat response capability, several networking enhancements, ...

community.sophos.com

Näistä tulee ilmainen Home edition jakoon yleensä pienellä viiveellä - 2-4 viikkoa.

 

[Juissi_]

Nyt on OPNsense asennettu, mitäs seuraavaksi, tekeekö tuo mitään ilman säätöjä tai listoja?
Ja mitä kilkkeitä kannattaa asentaa?
Geoblokkausta? GeoIPLite2 vai joku muu? Mitkä maanosat blokkiin?
IP-blokkausta? Proofpoint Emerging Threats vai joku muu?
DNS-blokkausta? OISD big list vai joku muu?
Zenarmor (ilmaisversio)? Vai joku muu?

Mitkä noista käyttöön? Ja jos tehot ei riitä kaikkeen, niin mikä on tärkeysjärjestys?

 

[Enhancer]

Ehdin taas hetken antaa aikaa tuolle omalle toimimattomalle VLAN-räpellykselleni.

Huawein 5G-modeemi siltaavana tarjoilee 1kpl IP:n ja tuo TP-Linkin kytkin toimii jotenkin oudosti. Kytkimen läpi tulee VLAN-setupista välittämättä IPv6-osoite PC:lle, vaikka siis portti missä Huawei on kytkimessä kiinni on Untagged omassa VLAN:saan.

Sinällään tuon reitittimen rakentamisen 1 NIC:llä jo hautasin, haluaisin vain ymmärtää missä vika on.

 

[Sampo_91]

Nyt on OPNsense asennettu, mitäs seuraavaksi, tekeekö tuo mitään ilman säätöjä tai listoja?
Ja mitä kilkkeitä kannattaa asentaa?
Geoblokkausta? GeoIPLite2 vai joku muu? Mitkä maanosat blokkiin?
IP-blokkausta? Proofpoint Emerging Threats vai joku muu?
DNS-blokkausta? OISD big list vai joku muu?
Zenarmor (ilmaisversio)? Vai joku muu?

Mitkä noista käyttöön? Ja jos tehot ei riitä kaikkeen, niin mikä on tärkeysjärjestys?

Mulla on noi kaks viimeksi mainittua. Adguard Homen päällä pyörii DNS-suodatus ja DNS-palvelin sekä Zenarmor erikseen, se kodin maksullinen versio tosin. Hyvin ovat sopineet yhteen, vaikka varmasti vähän päällekkäisyyttä onkin.

 

[Khauron]

Ehdin taas hetken antaa aikaa tuolle omalle toimimattomalle VLAN-räpellykselleni.

Huawein 5G-modeemi siltaavana tarjoilee 1kpl IP:n ja tuo TP-Linkin kytkin toimii jotenkin oudosti. Kytkimen läpi tulee VLAN-setupista välittämättä IPv6-osoite PC:lle, vaikka siis portti missä Huawei on kytkimessä kiinni on Untagged omassa VLAN:saan.

Sinällään tuon reitittimen rakentamisen 1 NIC:llä jo hautasin, haluaisin vain ymmärtää missä vika on.

Vika on TP-Linkissä.
Itsellä oli melkein sama setup, mutta IPv4 ja VLANit toimi päin helvettiä. Tein tiketin suoraan TP-Linkille, ja vastaus oli että konfiguraatio-ongelma. Sinänsä jännä että sama setup toimi Aruban vehkeillä. Palautin verkkokauppa.com:iin näillä sanoilla, ja palautus toimi hienosti.
Jälkeenpäin, olisi tarvinnut testata vielä enemmän VLAN 1:llä, mikä nyt on TP-Linkissä default. En koskenutkaan IPv6.

Edit: Pistä 5G modeeemi <-> firewall <-> TÄHÄN <-> kytkin -setup pystyyn pelkästään IPv4. VLAN1 voit jättää pois laskuista.

 

[MadAct]

Onko TP-linkistä muuta huonoa sanottavaa? Meinasin juuri painaa tilaa nappia 16porttisesta mallista. VLANit olisi kiikarissa.

 

[mikajh]

Onko TP-linkistä muuta huonoa sanottavaa?

Onhan se Kiinaroskaa. Mutta eiköhän em. ongelmat ole enemmän käyttäjän päässä.
Itsellä on ollut VLAN heavyliftingiä enemmän Zyxelin kamppeiden kanssa (siis näiden kanssa harrastanut VLANeja todella paljon). Mutta TP-Linkien kanssa ei ole ollut mitään ongelmaa myöskään, näissä malleissa: TL-SG108E v3-5, TL-SG2008 v4.0, TL-SG2008P v3.0 (myös SER-laite TL-SG3109)
TP-Linkillä on foorumi (Switches Forums - Business Community), jota kannattaa käydä kurkkaamassa myös. Siellä on toki kaikenlaisia uunoja ja spämmääjiä, mutta niitä pitää kestää, jos siellä tulee usein vierailemaan

 

[Enhancer]

Onhan se Kiinaroskaa. Mutta eiköhän em. ongelmat ole enemmän käyttäjän päässä.
Itsellä on ollut VLAN heavyliftingiä enemmän Zyxelin kamppeiden kanssa (siis näiden kanssa harrastanut VLANeja todella paljon). Mutta TP-Linkien kanssa ei ole ollut mitään ongelmaa myöskään, näissä malleissa: TL-SG108E v3-5, TL-SG2008 v4.0, TL-SG2008P v3.0 (myös SER-laite TL-SG3109)
TP-Linkillä on foorumi (Switches Forums - Business Community), jota kannattaa käydä kurkkaamassa myös. Siellä on toki kaikenlaisia uunoja ja spämmääjiä, mutta niitä pitää kestää, jos siellä tulee usein vierailemaan

Mulla on SG2008 nämä omat, enkä nyt tosiaan toistaiseksi ole saanut toimimaan tätä spesiaalisetupia. Controllerin perässä nuo kytkimet ovat tehneet mitä pyydetään, reititin vaan on roskaa.

 

[juhaa]

Ainakin se villiin rautaan 23.05.1->23.09 päivitystä tarjoaa. Käytännön pilana se ei varmaan boottaa

EDIT: Voihan se jo olla, että pfSense CE -> plus upgrade ei enää toimi ilmaisilla lisensseillä, vaikka päivitys vielä vaikuttaa onnistuvan

Onko siellä taas systeemit alhaalla, vai onko kaikki rajoitukset jo voimassa.

Plussa ei löydä päivitystä 23.01 versioon.

 

[antero]

Onko siellä taas systeemit alhaalla, vai onko kaikki rajoitukset jo voimassa.

Plussa ei löydä päivitystä 23.01 versioon.

Kannattaa kokeilla sitä automaatti etsintää joko päällä tai pois ja välillä toista versiota ja joka muutoksella pitää odotella jonkin aikaa. Nämä viiveet on ollu jo aiemmin tiedossa. Joskus syy on sekava, itsekkin päivittäny CA- certifikaattia ym, jotta lopulta löytyy. Tällä ei pitäisi olla mitään tekemistä asian kanssa, mutta voi tehdä.

Tietenki voi välillä kokeilla ajaa komentokehoitteessa esim
pkg-static clean -ay; pkg-static install -fy pkg pfSense-repo pfSense-upgrade
Tämä tavallaan korjaa asennuksen.
Troubleshooting — Troubleshooting Upgrades | pfSense Documentation (netgate.com)

Kokeile ensin ilman "jees jees ok " toimintoa mitä tarjoaa.

Parhaiten päivitykset toimii laitteeseen kiinnitetyllä näytöllä ja näppäimistöllä.
Kokeile ajaa 13

Itsellä käsitys että laite itse päivittelee omia päivitys sertifikaatteja kun vaihtaa päivitettäväksi toisen version ja odottelee jonkin aikaa.



Pfsense CE 2.7.1 julkaisu taitaa tapahtua vasta ~13-15.11. FreeBSD 14 stable julkaistaan 14.11
FreeBSD 14.0 Release Process | The FreeBSD Project

 

[mikajh]

Plussa ei löydä päivitystä 23.01 versioon.

On tietysti mahdollista, jos asennus (v23.01) on jäänyt jälkeen tuetuista versioista, että sen päivitys ei enää suju automaattisesti. Sama "ongelma" myös esim. Debian-pohjaisissa Linux-distroissa, mutta pienellä kikkailulla yleensä onnistuu.
pfSense CE:ssä myös potentiaalinen ongelma tuo mainittu repo-sertifikaatin vanheneminen

 

[juhaa]

@antero jokusen kerran kun vaihteli branchia, niin ensin löytyi 23.05.1 ja hetken päästä 23.09 eli eikun päivittämään sopivassa hetkessä, eikä vain luovuta jos ei se päivitystä heti löydä.

 

[mikajh]

Tuore projekti pfSense->OPNsense config-muunnokseen (toimii browserissa, jos ja niin kuin toimii) GitHub - mwood77/pf2opn: An in-browser pfsense to opnsense converter.

EDIT: Vaikka tuota voi käyttää suoraan netissäkin (eikä paikallisesti omassa Docker-kontissa), niin kannattaa tietysti miettiä oma konfiguraationsa läpi, mitä credentiaaleja yms. siellä on, joita ei halua lähettää ko. palveluun

 

[juhaa]

Tuore projekti pfSense->OPNsense config-muunnokseen (toimii browserissa, jos ja niin kuin toimii) GitHub - mwood77/pf2opn: An in-browser pfsense to opnsense converter.

EDIT: Vaikka tuota voi käyttää suoraan netissäkin (eikä paikallisesti omassa Docker-kontissa), niin kannattaa tietysti miettiä oma konfiguraationsa läpi, mitä credentiaaleja yms. siellä on, joita ei halua lähettää ko. palveluun

Tälläistä kerkesin jo ajattelemaankin tämän viimeisen Netgate keissin jälkeen, että olisiko tuollaista. Kerkesikö joku kokeilemaan?
Omat konffit nyt on hyvin yksinkertaisia.

Ei millään jaksaisi vaihtaa, mutta jos semmosen lupauksen saisi pidettyä, että kun Plus päivitykset loppuu, niin olisi aika siirtyä OPN:n puolelle, tai toisaalta itselle kyllä riittää se ”ilmaisversiokin” eli saattaapi olla, että seurailen vain tilannetta

Jos/Kun se downgradekin menee ns. heittämällä.

 

[slyyti]

Aikeissa olisi siirtyä OPNsense käyttäjäksi. Tekeekö tällaisella koneella mitään gigasen yhteyden kanssa?

HP Elitedesk G1 USDT, i5-4590S prosessori ja 8gb Ddr3 muistia? Ilmeisesti tuohon saisi pcle mini sopivan verkkokortin lisättyä?