Tee-se-itse: Rautapalomuurit (pfSense, Sophos UTM..) (Mitä käytätte ja miksi juuri se vaihtoehto?)

Aikeissa olisi siirtyä OPNsense käyttäjäksi. Tekeekö tällaisella koneella mitään gigasen yhteyden kanssa?

HP Elitedesk G1 USDT, i5-4590S prosessori ja 8gb Ddr3 muistia? Ilmeisesti tuohon saisi pcle mini sopivan verkkokortin lisättyä?

Ei ongelmia. Itellä i7-2600 ja 8Gt, sekä yhteytenä 1000/400.
 
Ei millään jaksaisi vaihtaa, mutta jos semmosen lupauksen saisi pidettyä, että kun Plus päivitykset loppuu
Se aika taitaa olla nyt. Working as specified, esim. paketteja ei voi poistaa.
1700051401884.png
 
Vaikuttaa että, Plus saa päivitykset vain neljännesvuosittain uudella versiolla ja CE vuosittain tai tiheämmin ja harvemmin jos katsovat niin.
Patchit varmaan toimii normaalisti.
FreeBSD 14 Release on myöhässä joidenkin bugien takia ehkä ensi viiikkoon.
CE 2.7.1 julkaisu hiukan myöhässä kun aina lisäävät jotain pikkukorjausta. Vaikuttaa että seuraavaa versiota saa odottaa, niin yrittävät tehdä mahdollisimmman toimivan version.
Tämä versio on niin hyvä että sillä kyllä pärjää jonkin aikaa.

Itse aion pitää Plus version niin pitkään kuin toimii ok, varmaan vuoden verran.
Opnsense vielä niin paljon jäljessä, että vuoden odotus on paikallaan.
pfSensen Kea DHCP on vielä toimimatan DNS osalta, joten ei kannata ottaa vielä käyttöön, vaikka jääkin pois käytöstä myöhemmin.
 
Tuli muuten Intel Speed Shift tuki hallintaan. Ei tarvitse määritellä System Tunables kohtaan erikseen "dev.hwpstate_intel.X.epp" juttuja ytimille.
1699293633422.png


1699293959728.png


To check if your CPU indeed supports Speed Shift, log into your pfSense box and run the following command: cat /var/run/dmesg.boot | grep "Speed Shift" You should see something along the lines of:

hwpstate_intel0: <Intel Speed Shift> on cpu0
hwpstate_intel1: <Intel Speed Shift> on cpu1
hwpstate_intel2: <Intel Speed Shift> on cpu2
hwpstate_intel3: <Intel Speed Shift> on cpu3
Saitko tästä hyötyä?
Tein juuri itselle omaan kiinanpommiin (Intel 12th gen N100) tämän tuolla samalla arvolla 95, ja otin PowerD:n pois päältä, ja samalla tarkistin ettei noita dev.hwpstate_intel.X.epp ole enää olemassa. Mitään eroa en huomaa, huomasitko sinä?
Ei sillä, tämä purkki vie idlenä jotain ~12W kun virtamittarilla katsoo. Ja voi olla että BIOS-asetuksissa olisi ruuvattavaa, mutta en taida viitsiä lähteä korjaamaan toimivaa.
 
Saitko tästä hyötyä?
Tein juuri itselle omaan kiinanpommiin (Intel 12th gen N100) tämän tuolla samalla arvolla 95, ja otin PowerD:n pois päältä, ja samalla tarkistin ettei noita dev.hwpstate_intel.X.epp ole enää olemassa. Mitään eroa en huomaa, huomasitko sinä?
Ei sillä, tämä purkki vie idlenä jotain ~12W kun virtamittarilla katsoo. Ja voi olla että BIOS-asetuksissa olisi ruuvattavaa, mutta en taida viitsiä lähteä korjaamaan toimivaa.
Mulla oli aikaisemmin noi dev.hwpstate_intel.X.epp jo päällä. En muista, että nuo olisi watteja tiputtanut. Mulla on kaikki neljä verkkoporttia käytössä ja vie idlessä reilu 13W. Prossu N305.
 
OpenVPN Vulnerabilities (CVE-2023-46850 and CVE-2023-46849)

2.7.1-RELEASE versiossa pitäisi olla OpenVPN 2.6.7, joka ei ole haavoittuva.

23.09 versiossa on reikäinen OpenVPN 2.6.5.
OpenVPN 2.6.5 amd64-portbld-freebsd14.0 [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [MH/RECVDA] [AEAD] [DCO]

Patches for Plus are being actively worked on.

En itse käytä tuota OpenVPN palvelua, mutta hyvä jos tulee korjaus 23.09 versioon.
 
Tuli otettua tuo KEA DHCP server käyttöön. Tuo vanha ISC DHCP on jo EOL tuote.
 
Tuli otettua tuo KEA DHCP server käyttöön. Tuo vanha ISC DHCP on jo EOL tuote.

Tuon huomasin, kun sain nut päivitettyä 23.01 -> 23.09. Vaatiiko tuon käyttöönottaminen sen kummempaa säätämistä vai meneekö kaikki ns. automaagisesti?
 
Tuon huomasin, kun sain nut päivitettyä 23.01 -> 23.09. Vaatiiko tuon käyttöönottaminen sen kummempaa säätämistä vai meneekö kaikki ns. automaagisesti?
En tehnyt mitään muutoksia. Tuo Kea DHCP päälle ja boottailin noita laitteita, mitkä käyttää DHCP:tä. Jos ongelmia niin voi palata vanhaan ISC DHCP (Deprecated).
1700332992116.png


Edit: Backup Configuration kannattaa tietysti ottaa talteen ennen muutosta.
 
Hohhoijaa. Kurkkasin updatea ja oli näemmä 2.7.1 tullut saataville. Muutin DNS proxya ja reboottasin muurin ennen kuin ajattelin aloittaa päivityksen, mutta sen jälkeen näkyi vain branch valikossa 2.7.1 ja update nappi katosi, eikä takaisin tule vaikka vaihtelisi branchia 2.7.0 ja 2.7.1 takaisin tai eri DNS palvelimia. Ideoita?

Screenshot 2023-11-18 225549.png
 
Hohhoijaa. Kurkkasin updatea ja oli näemmä 2.7.1 tullut saataville. Muutin DNS proxya ja reboottasin muurin ennen kuin ajattelin aloittaa päivityksen, mutta sen jälkeen näkyi vain branch valikossa 2.7.1 ja update nappi katosi, eikä takaisin tule vaikka vaihtelisi branchia 2.7.0 ja 2.7.1 takaisin tai eri DNS palvelimia. Ideoita?

Screenshot 2023-11-18 225549.png
Muillakin on tuota ongelmaa.

 
Tutkiskelin pfSense-upgrade lokia, ovat ilmeisesti repineet päivityksen pois reposta juuri sillä välillä, kun boottasin laitteen uusiksi. Jokohan pitäisi lyödä tuo OPNsense sisään ja lopettaa tämä pelleily.

Edit: OPNsense ladattu USB tikulle, serial kaapeli odottaa huomista kun on aikaa iltasella tehdä käyttiksen vaihto. Bon voyage Netgate.
 
Viimeksi muokattu:
Tutkiskelin pfSense-upgrade lokia, ovat ilmeisesti repineet päivityksen pois reposta juuri sillä välillä, kun boottasin laitteen uusiksi. Jokohan pitäisi lyödä tuo OPNsense sisään ja lopettaa tämä pelleily.

Edit: OPNsense ladattu USB tikulle, serial kaapeli odottaa huomista kun on aikaa iltasella tehdä käyttiksen vaihto. Bon voyage Netgate.
Tuossa ketjussa maininta tuosta certctl rehash komennosta.

1700374581958.png
 
Hohhoijaa. Kurkkasin updatea ja oli näemmä 2.7.1 tullut saataville. Muutin DNS proxya ja reboottasin muurin ennen kuin ajattelin aloittaa päivityksen, mutta sen jälkeen näkyi vain branch valikossa 2.7.1 ja update nappi katosi, eikä takaisin tule vaikka vaihtelisi branchia 2.7.0 ja 2.7.1 takaisin tai eri DNS palveli

Kävi itselle ihan samat eilen aamulla. Piti disabloida jotain minkä ajattelin voivan vaikuttaa päivitykseen. Boottasin ja kas kummaa update nappi katosi.

Tuossa ketjussa maininta tuosta certctl rehash komennosta.

Kiitos tästä. Pitää kanssa hypätä pfSensestä muualle mutta paremmalla ajalla.
 
Eipä ollut kovin hankala juttu hypätä OPNsenseen, aamukahvien voimalla vajaa tunnin operaatio apu2e4 muuriin. Pientä säätöä vielä vaatii ja Wireguardin ylös nostaminen, vaikuttaa kuitenkin melko kotoisalta.
 
  • Tykkää
Reactions: AkQ
pfSenseä käyttänyt nyt melkein vuoden "router in a stick" configuraatiossa ja tyytyväinen olen ollut. Tällä hetkellä käytän vain kahta VLANia. Toinen kotiverkolle ja toinen palvelimille. 443 auki proxyna toimivalle palvelimelle, tuolla siis Windows Server 2022 ja Linux Debian 12 www palvelimet.

Nyt sitten teki mieli kokeilla jotain muuta ja väsäsin tehdä tuollaisesta pienestä NanoPi R5C laitteesta NAT reitittimen, joka toimii myös palomuurina ja tukiasemana. Debian 11 tuossa tällä hetkellä käyttiksenä. Palomuuri configuraatiot tehty iptables:lla, DHCP ja DNS dnsmasq:lla ja tukiasema hostapd:llä. Tämä jälkimmäinen oli kyllä hauska ja mielenkiintoinen conffailla, suosittelen kyllä muillekkin.
 
Viimeksi muokattu:
Kuituyhteyttä odotellessa tilasin itselleni vähävirtaisen passiivijäähdytetyn minikoneen TekLagerilta TLSense J4125v3: 5x 2.5Gbit LAN, J4125 CPU,

Kiinasta tilaamalla olis saanut halvemmalla mutta naapurimaan kauppa nopeilla toimitusajoilla ratkaisi ostospaikan. Päädyin pienen tutkimisen jälkeen OPNSenseen ja nyt tätä ketjua lukiessa voin olla tyytyväinen valintaan, pfSense oli vaihtoehtona.

Viisi ethernettiä oli kiva lisä kun sain uplinkin yhteen, toiseen miesluolan ykkösprioriteetin netti, kolmanteen tyhmän kytkimen taa muut kiinteät ethernetit ja kaks viimeistä kotiwlan sekä internetistä eristetty 'kiinanlaite' -verkko (sekä kiinteitä että langattomia laitteita).

Tossa netistä eristetyssä verkossa on kamerat, ilmalämpöpumppu, pieni kotipalvelin jossa on ftp kameravalvonnalle ja OpenHAB ILP + muuta tulossa olevaa kotiautomaatiota varten.

Kun ehtii olis tarkoitus pistää tuohon OPNSenseen VPN -yhteydet (kännykällä & työkoneella sisäverkkoon, lähinnä tohon kotipalvelimelle riittäis) jotta pääsee katselemaan automaatiota & kameroita etänä. Onko kenelläkään kokemusta kuinka saisi helpoiten Androidin kanssa yhteensopivan VPN -yhteyden aikaan tuolla?

- amps
 
Kun ehtii olis tarkoitus pistää tuohon OPNSenseen VPN -yhteydet (kännykällä & työkoneella sisäverkkoon, lähinnä tohon kotipalvelimelle riittäis) jotta pääsee katselemaan automaatiota & kameroita etänä. Onko kenelläkään kokemusta kuinka saisi helpoiten Androidin kanssa yhteensopivan VPN -yhteyden aikaan tuolla?
WireGuard toimii erinomaisesti Androidilla eikä ole paha rasti pystyttää. Taskerilla saa välpättyä sellaisenkin, että kun poistutaan koti WLAN:sta menee VPN päälle automaattisesti ja yhteys sisäverkon palveluihin toimii lähes saumattomasti.
 
Prosessorin C3 state viritystä (pfSense 23.09 ja Intel i3-N305).

Oletus kun tunable hw.acpi.cpu.cx_lowest=C3 on käytössä. Tuo CPU0 ei mene edes tuonne C3.
1700924420083.png


Seuraavat laitoin /boot/loader.conf tiedostoon ja bootti
1700925291207.png


Noin tunnin kuluttua tarkistettu tilanne kun muurilla ei ole mtään merkittävää kuormaa. Vähän paremmin menee kaikki ytimet tuonne C3.

1700924040583.png
 
Viimeksi muokattu:
sähkökatkon vuoksi kyrvähti pfsense, mitään vikaa en näe, wanilta tulee ip jne.. mutta koneille asti ei vaan internet kulje, kuitenkin purkkiin pääsee käsiksi verkosta.
nakkasin pfsenserrin nyt pois, tiiä vaikka vaihtas opnsenseen jos en vähällä vaivalla saa tuota toimimaan.
ihme juttu kyllä että mikä siinä tökkii, tosiaan kaikki paikat kävin läpi enkä millään keksi mikä vikana ku ite pfsensellä liikenne kulkee.
 
sähkökatkon vuoksi kyrvähti pfsense, mitään vikaa en näe, wanilta tulee ip jne.. mutta koneille asti ei vaan internet kulje, kuitenkin purkkiin pääsee käsiksi verkosta.
nakkasin pfsenserrin nyt pois, tiiä vaikka vaihtas opnsenseen jos en vähällä vaivalla saa tuota toimimaan.
ihme juttu kyllä että mikä siinä tökkii, tosiaan kaikki paikat kävin läpi enkä millään keksi mikä vikana ku ite pfsensellä liikenne kulkee.
Ootko varma, ettei mikään rikki tai vika tilassa pfsensen jälkeen?
 
ihme juttu kyllä että mikä siinä tökkii, tosiaan kaikki paikat kävin läpi enkä millään keksi mikä vikana ku ite pfsensellä liikenne kulkee
Boottaisin levyn tarkistukseen ja jos ok, niin sitten vertaisin configin edellisen backupiin.
Uusi asennus ZFS:lle pitäisi tietysti olla vikasietoisempi
 
Boottaisin levyn tarkistukseen ja jos ok, niin sitten vertaisin configin edellisen backupiin.
Uusi asennus ZFS:lle pitäisi tietysti olla vikasietoisempi
niin ku se siinä on kummaa kun kaikki näyttää olevan oikein, palvelut hyrrrää, missään ei näy mitään vikaa, tosin kytkimeen enkä tukariin en päässy käsiks kun pfsense oli välissä, nyt niihin pääsee normaalisti. pfsensellä ajelin speedtestinkin niin hyvin pelitti, että jokuhan siellä mättää mutten keksi mikä.
niin ja lan ja wan interfacet näytti normaalilta ja tosiaan hallintaan pääsin ihan koneelta piuhalla, wlanin yli en.

ehkä tässä on paikka sit proxmox+opnsense vaihtoon, nyt ollu pfsense raudalla niin menee vähän serristä kapasiteettia hukkaan, proxmoxin kanssa sais tehtyä muutakin.
 
kytkimeen enkä tukariin en päässy käsiks kun pfsense oli välissä
tosiaan hallintaan pääsin ihan koneelta piuhalla, wlanin yli en
Tuohon se ongelma tietysti liittyy, mutta kristallipallo ei näytä onko siellä pfSensessä LAN-puolella yksi vai useampi interface eikä mitä eroa on noilla "koneen piuhan" ja "kytkimen+tukarin" segmenteillä, kun edellinen toimii ja jälkimmäinen ei
 
Prosessorin C3 state viritystä (pfSense 23.09 ja Intel i3-N305).

Oletus kun tunable hw.acpi.cpu.cx_lowest=C3 on käytössä. Tuo CPU0 ei mene edes tuonne C3.
1700924420083.png


Seuraavat laitoin /boot/loader.conf tiedostoon ja bootti
1700925291207.png


Noin tunnin kuluttua tarkistettu tilanne kun muurilla ei ole mtään merkittävää kuormaa. Vähän paremmin menee kaikki ytimet tuonne C3.

1700924040583.png
Reilu 6 tuntia oli Intel i3-N305 tuossa päällä eli ei merkittävää liikennettä. Mitä nyt verkossa olevat laitteet ottaa nettiin yhteyttä. Aika hyvin käyttää C3:sta.
1700979735896.png


Laitoin samat asetukset myös Shuttle DS77U laitteeseen. Jonkin aikaa ollut päällä ja tuossa koneessa ei CPU0 mennyt koskaan C3.
1700979942970.png


Ei noista muutoksista ole mitään haittaa. Kaikki toimii.

Tuli säädettyä tuon HUNSN RJ35 (i3-N305) kokoonpanon virrankulutusta. Neljä verkkokorttia käytössä ja idle kulutus oli 13.4W. Ainoastaan verkkokorttien speed säädöillä sai tiputettua idle kulutuksen 12.5W. Eli mulla on esim. Elisa interfacen nopeus max. 93Mbps niin korttiin 100baseTX <full-duplex>. Yksi interface on hallintajuttuihin niin siihen kanssa 100baseTX <full-duplex>.

Aika turhaa hommaa, mutta nyt tehty :D
 
Viimeksi muokattu:
nuo tulee

1701452270781.png



@prof en huomannu onko käytössä mikä dhcp.
Tuo KEA ei vielä toimi DNS ohjausten osalta joten kannattaa käyttää vanhaa ainakin vuoden jos ei jaksa säätää.
Turvapäivitykset tulee sillekkin.
1701452847987.png
 
Viimeksi muokattu:
En oikein voi
1701453182716.png


1701453230547.png


Kirjoitetaan

pkg update
ja execute
sitten kirjoiteaan
pkg upgrade -y
ja execute

jos tuota tarkoitit

Ja samaan asiaan on erilaisia rimpsuja , joko yhtenä pötköna ajavia tai kaikkea mahdollista.
 
Viimeksi muokattu:
En oikein voi
1701453182716.png


1701453230547.png


Kirjoitetaan

pkg update
ja execute
sitten kirjoiteaan
pkg upgrade -y
ja execute

jos tuota tarkoitit

Ja samaan asiaan on erilaisia rimpsuja , joko yhtenä pötköna ajavia tai kaikkea mahdollista.

Eli tarkoitit siis, että tuollaisia päivityksiä on jaossa pfSensen versiolle X, vai jotain muuta? Ei selvinnyt tuosta sun aikaisemmasta viestistä, että mihin se liittyi, vai oliko tarkoitettu vain itsenäiseksi viestiksi, jossa ilmoitettiin et pfSenseen X on jaossa uusia päivityksiä.
 
(PFSENSE)
Lähinnä että päivityksiä voi asentaa ennen kuin virallinen päiviysversio julkaistaan, nuohan siinä tulee ja patch korjaukset.
Eli korjaukset on jo palvelimella vain asennuspaketti vielä tekemättä.
Täälä niin monenlaista käyttäjää. On ensikertalaisia ja kuten @mikajh @user9999 jotka varmaan käyttäneet 10v
toiset tajuaa parilla sanalla, toiset ei millään. Pitää lukea rivien välistä milloin asia koskee PfSenseä, milloin Opnsenseä ja milloin jotain muuta.
Olisi ehkä selvempi siinä mielessä jos olisi omat foorumit.

2.7.2 julkaistaan todennäköisesti ennen 23.09.1 koska ilmaiskäyttäjät on testilampaita.
Osa käyttäjistä haluaa paikata kaikki turva-aukot heti, toisilla ei niin väliä.
Kaikissa versioissa voi päivitykset tarkistaa manuaalisesti tai odottaa jotain valmista annosta.
Plus ja CE on samoja, hyvin pienillä eroilla. Lähinnä kotikäyttäjille lukee "Plus" teksti on ero ja päivityspalvelin.

1701494153172.png


Tuossa vielä tuosta KEA:n käytöstä. netgate foorumilta vastaus jounkun ongelmiin.

1701493588647.png


eli nämä ominaisuudet ei toimi, eli jos määrittelet DNS kiinteän ip:n yhteydessä se ei välttämättä toimi KEAn kanssa.
En osaa sanoa miten käy jos kaiken tekee puhtaalta pöydältä.
1701494736635.png
 
Viimeksi muokattu:
(PFSENSE)
Lähinnä että päivityksiä voi asentaa ennen kuin virallinen päiviysversio julkaistaan, nuohan siinä tulee ja patch korjaukset.
Eli korjaukset on jo palvelimella vain asennuspaketti vielä tekemättä.
Täälä niin monenlaista käyttäjää. On ensikertalaisia ja kuten @mikajh @user9999 jotka varmaan käyttäneet 10v
toiset tajuaa parilla sanalla, toiset ei millään. Pitää lukea rivien välistä milloin asia koskee PfSenseä, milloin Opnsenseä ja milloin jotain muuta.
Olisi ehkä selvempi siinä mielessä jos olisi omat foorumit.

2.7.2 julkaistaan todennäköisesti ennen 23.09.1 koska ilmaiskäyttäjät on testilampaita.
Osa käyttäjistä haluaa paikata kaikki turva-aukot heti, toisilla ei niin väliä.
Kaikissa versioissa voi päivitykset tarkistaa manuaalisesti tai odottaa jotain valmista annosta.
Plus ja CE on samoja, hyvin pienillä eroilla. Lähinnä kotikäyttäjille lukee "Plus" teksti on ero ja päivityspalvelin.

1701494153172.png


Tuossa vielä tuosta KEA:n käytöstä. netgate foorumilta vastaus jounkun ongelmiin.

1701493588647.png


eli nämä ominaisuudet ei toimi, eli jos määrittelet DNS kiinteän ip:n yhteydessä se ei välttämättä toimi KEAn kanssa.
En osaa sanoa miten käy jos kaiken tekee puhtaalta pöydältä.
1701494736635.png
Viestini ei ollut vittuilua, jos sen niin ymmärsit, vaan lähinnä kysymysmerkki, että mitä sillä viestillä oli tarkoitus ilmoittaa. Siittä sun viestistä ei käynyt itselle selväksi et oliko se vastaus jollekkin (mulla on ignore-lista käytössä, vaikutusta?), vai ihan viesti sellaisenaan.

Itelläkin on pfSense Plus hoitamassa reititin+palomuuri+NAT+AdBlock+DHCP+jne. hommia, joten pfSense ei oo mikään tuntematon käsite itselekään (ainakaan totaalisesti), mutta viesti, jossa lukee pelkästään "nuo tulee" plus kuva ei auta ketään tällä palstalla. Jos haluat viestittää noille "jotka varmaan käyttäneet 10v" niin pistä privana, älä tänne, missä me kuolevaiset ei osata lukea sun ajatuksia.

Ei pitäis olla niin vaikeaa!

[edit]
Koodi:
isc-dhcp44-relay: 4.4.3P1_3 -> 4.4.3P1_4 [pfSense]
isc-dhcp44-server: 4.4.3P1_3 -> 4.4.3P1_4 [pfSense]
openvpn: 2.6.7_1 -> 2.6.8_1 [pfSense]
pfSense-pkg-pfBlockerNG-devel: 3.2.0_6 -> 3.2.0_7 [pfSense]
pfSense-upgrade: 1.2_6 -> 1.2.1 [pfSense]
unbound: 1.18.0 -> 1.18.0_1 [pfSense]
 
Viestini ei ollut vittuilua, jos sen niin ymmärsit, vaan lähinnä kysymysmerkki, että mitä sillä viestillä oli tarkoitus ilmoittaa. Siittä sun viestistä ei käynyt itselle selväksi et oliko se vastaus jollekkin (mulla on ignore-lista käytössä, vaikutusta?), vai ihan viesti sellaisenaan.

Itelläkin on pfSense Plus hoitamassa reititin+palomuuri+NAT+AdBlock+DHCP+jne. hommia, joten pfSense ei oo mikään tuntematon käsite itselekään (ainakaan totaalisesti), mutta viesti, jossa lukee pelkästään "nuo tulee" plus kuva ei auta ketään tällä palstalla. Jos haluat viestittää noille "jotka varmaan käyttäneet 10v" niin pistä privana, älä tänne, missä me kuolevaiset ei osata lukea sun ajatuksia.

Ei pitäis olla niin vaikeaa!

[edit]
Koodi:
isc-dhcp44-relay: 4.4.3P1_3 -> 4.4.3P1_4 [pfSense]
isc-dhcp44-server: 4.4.3P1_3 -> 4.4.3P1_4 [pfSense]
openvpn: 2.6.7_1 -> 2.6.8_1 [pfSense]
pfSense-pkg-pfBlockerNG-devel: 3.2.0_6 -> 3.2.0_7 [pfSense]
pfSense-upgrade: 1.2_6 -> 1.2.1 [pfSense]
unbound: 1.18.0 -> 1.18.0_1 [pfSense]
Sanon sivusta sen verran, että minusta vaikutti jatkolta edellisiin viesteihin, ehkä olisi voinut ottaa lainaukseen niin olisi selkeämpi.
 
Onko teillä tarjota listaa noista PfSensen komentorivin käskyistä ja mitä ne tekevät?

Olen yrittänyt niitä löytää, mutta mitään selkeää en ole löytänyt.

Ei ole halua arvailla ja ajella niitä summassa, mutta osa vaikuttaa käteviltä ja joillakin sai käsittääkseni tarkistettua, että missä paketeissa on haavoittuvuuksia.

Yhden kerran olen tuota joutunut käyttämään, että sain hakemaan päivityksen 2.7.0 -->2.7.1 versioon, siihen löytyi foorumilta ohje.
 
@sra2010 Paha mennä sanomaan mitä AP ajatteli, kun sitä on nyt 2-3 kertaa kysyttyilman selkeää vastausta...

Ja tuohon kyssäriin listauksesta pfSensen komentorivin käskyistä et mitä ne tekevät, niin ei ole mitään suoraa listausta. Ne pitää selvittää käsky kerrallaan, esim. toi pkg. Niitä kun tarvitsee vain monimutkaisissa setupeissa. Suomennettuna: Jos jotain päivitystä ei löydy webbikälin kautta, sitä ei oo vielä tarkoitettu julkiseen massa jakeluun.

Googlella löytää jotain kun kysyy:
 
Ne pitää selvittää käsky kerrallaan, esim. toi pkg. Niitä kun tarvitsee vain monimutkaisissa setupeissa
Itse en ole muistaakseni tarvinnut cli:tä koskaan pfSensen konffauksessa, ainoastaan satunnaisesti debuggauksessa, kun vaikkapa päivityksen jälkeen ei ole bootannut. tcpdump webgui:n packet capturen sijasta tai rinnalla on kaikkein yleisin käyttötapa, ja varsinkin speedtestit sekä pingit.

Joskus olen puukottanut DDNS-serviceä (php-filua), joka ei ole tarjonnut riittävän tiheää päivityssykliä silloin kun osoitteet ei muutu. Tämänkin olisi ehkä aivan hyvin voinut tehdä webguin kautta. Ja esim. ssh authorized_keys -päivitykset on syytäkin tehdä permanentisti webguissa eikä komentorivillä, jolloin ne toimivat myös seuraavan bootin jälkeen.

E: CLI:n käyttöä helpottaa huomattavasti se, että lähes kaikki komennot kohdistuvat geneerisiin utilityihin, jotka ovat samat tai melkein FreeBSD:ssä ja Linuxissa

E2: Vuosia sitten olen joutunut asentamaan pfSense:stä puuttuvia FreeBSD-paketteja suoraan, jotta saa usb-mokkulan toimimaan, mutta noillekaan ei ole enää juuri tarvetta, ja niiden harrastelu voi aiheuttaa harmaita hiuksia päivityksiin liittyen
 
Viimeksi muokattu:
sähkökatkon vuoksi kyrvähti pfsense, mitään vikaa en näe, wanilta tulee ip jne.. mutta koneille asti ei vaan internet kulje, kuitenkin purkkiin pääsee käsiksi verkosta.
nakkasin pfsenserrin nyt pois, tiiä vaikka vaihtas opnsenseen jos en vähällä vaivalla saa tuota toimimaan.
ihme juttu kyllä että mikä siinä tökkii, tosiaan kaikki paikat kävin läpi enkä millään keksi mikä vikana ku ite pfsensellä liikenne kulkee.
Oletko palauttanut varmuuskopiosta?
 
Itse en ole muistaakseni tarvinnut cli:tä koskaan pfSensen konffauksessa, ainoastaan satunnaisesti debuggauksessa, kun vaikkapa päivityksen jälkeen ei ole bootannut. tcpdump webgui:n packet capturen sijasta tai rinnalla on kaikkein yleisin käyttötapa, ja varsinkin speedtestit sekä pingit.

Joskus olen puukottanut DDNS-serviceä (php-filua), joka ei ole tarjonnut riittävän tiheää päivityssykliä silloin kun osoitteet ei muutu. Tämänkin olisi ehkä aivan hyvin voinut tehdä webguin kautta. Ja esim. ssh authorized_keys -päivitykset on syytäkin tehdä permanentisti webguissa eikä komentorivillä, jolloin ne toimivat myös seuraavan bootin jälkeen.

Itekkin oon tarvinnu sitä, tai no oikeastaan ssh-yhteyttä (sama asia tietenkin), kun piti käpistellä reverse-proxyä (haproxy muistaakseni), jota en saanu tottelemaan webguin kautta ja nekin muokkaukset muistaakseni katos aina jossain kohtaa bittiavaruuteen.

IMHO pfSense on tarkoitettu konffattavatksi webGUI:n kautta, tai ei ollenkaan. Jos cli:hin/ssh:n pitää tarttua, niin jotain on menny pieleen... Paino sanoilla IMHO.
 
Itekkin oon tarvinnu sitä, tai no oikeastaan ssh-yhteyttä (sama asia tietenkin), kun piti käpistellä reverse-proxyä (haproxy muistaakseni), jota en saanu tottelemaan webguin kautta ja nekin muokkaukset muistaakseni katos aina jossain kohtaa bittiavaruuteen.

IMHO pfSense on tarkoitettu konffattavatksi webGUI:n kautta, tai ei ollenkaan. Jos cli:hin/ssh:n pitää tarttua, niin jotain on menny pieleen... Paino sanoilla IMHO.
Olisi mielenkiintoista perehtyä syvemmin tähän järjestelmään, kuten täsdä ketjussa pari käyttäjää selkeästi on tehnyt.
Tuo on nimenomaan tehokas työkalu siinä vaiheessa, kun graafinen puoli ei enää auta. Kuten tuo päivitys uusimpaan CE-versioon joillain käyttäjillä, yksi käsky komentoriville vs kanna palomuurikone talon toiseen päähän, kytke näyttö, näppis ja buuttaa tikulta asenna uusi versio, palauta conf, vie takaisin.
 
IMHO pfSense on tarkoitettu konffattavatksi webGUI:n kautta, tai ei ollenkaan. Jos cli:hin/ssh:n pitää tarttua, niin jotain on menny pieleen...
Pitää paikkansa. Lisäksi voi törmätä johonkin rajoitukseen, mitä pfSense ei vakiona tue. Opensource-maailmassa rajoituksen tai puutteen voi saada tyydyttävästi korjatuksi, mutta siinä on omat riskinsä jatkossa, ellei hoida pull requestin kautta (tai muuten) muutostaan pysyväksi seuraaviin releaseihin. Mutta varsinkin pfSensen kanssa tämä on melko hidas prosessi
 
Ei ole halua arvailla ja ajella niitä summassa, mutta osa vaikuttaa käteviltä ja joillakin sai käsittääkseni tarkistettua, että missä paketeissa on haavoittuvuuksia.

OPNSensessä pystyy haavoittuvuuksia auditoida System-Firmware-Status välilehden kautta, Run an audit->Security, pfSensen tilanteesta en tiedä.
 

Statistiikka

Viestiketjuista
257 839
Viestejä
4 485 391
Jäsenet
74 005
Uusin jäsen
S Mike

Hinta.fi

Back
Ylös Bottom