Tee-se-itse: Rautapalomuurit (pfSense, Sophos UTM..) (Mitä käytätte ja miksi juuri se vaihtoehto?)

[Leo_Greta]

Aikeissa olisi siirtyä OPNsense käyttäjäksi. Tekeekö tällaisella koneella mitään gigasen yhteyden kanssa?

HP Elitedesk G1 USDT, i5-4590S prosessori ja 8gb Ddr3 muistia? Ilmeisesti tuohon saisi pcle mini sopivan verkkokortin lisättyä?

Ei ongelmia. Itellä i7-2600 ja 8Gt, sekä yhteytenä 1000/400.

 

[mikajh]

Ei millään jaksaisi vaihtaa, mutta jos semmosen lupauksen saisi pidettyä, että kun Plus päivitykset loppuu

Se aika taitaa olla nyt. Working as specified, esim. paketteja ei voi poistaa.

 

[Leo_Greta]

Se aika taitaa olla nyt. Working as specified, esim. paketteja ei voi poistaa.

Ei ainakaan itsellä tule tuollaista kun juuri testasin...

[edit] Pakettien asennus ja poistokin toimii ongelmitta.

 

[antero]

Vaikuttaa että, Plus saa päivitykset vain neljännesvuosittain uudella versiolla ja CE vuosittain tai tiheämmin ja harvemmin jos katsovat niin.
Patchit varmaan toimii normaalisti.
FreeBSD 14 Release on myöhässä joidenkin bugien takia ehkä ensi viiikkoon.
CE 2.7.1 julkaisu hiukan myöhässä kun aina lisäävät jotain pikkukorjausta. Vaikuttaa että seuraavaa versiota saa odottaa, niin yrittävät tehdä mahdollisimmman toimivan version.
Tämä versio on niin hyvä että sillä kyllä pärjää jonkin aikaa.

Itse aion pitää Plus version niin pitkään kuin toimii ok, varmaan vuoden verran.
Opnsense vielä niin paljon jäljessä, että vuoden odotus on paikallaan.
pfSensen Kea DHCP on vielä toimimatan DNS osalta, joten ei kannata ottaa vielä käyttöön, vaikka jääkin pois käytöstä myöhemmin.

 

[Khauron]

Tuli muuten Intel Speed Shift tuki hallintaan. Ei tarvitse määritellä System Tunables kohtaan erikseen "dev.hwpstate_intel.X.epp" juttuja ytimille.

To check if your CPU indeed supports Speed Shift, log into your pfSense box and run the following command: cat /var/run/dmesg.boot | grep "Speed Shift" You should see something along the lines of:

hwpstate_intel0: <Intel Speed Shift> on cpu0
hwpstate_intel1: <Intel Speed Shift> on cpu1
hwpstate_intel2: <Intel Speed Shift> on cpu2
hwpstate_intel3: <Intel Speed Shift> on cpu3

Saitko tästä hyötyä?
Tein juuri itselle omaan kiinanpommiin (Intel 12th gen N100) tämän tuolla samalla arvolla 95, ja otin PowerD:n pois päältä, ja samalla tarkistin ettei noita dev.hwpstate_intel.X.epp ole enää olemassa. Mitään eroa en huomaa, huomasitko sinä?
Ei sillä, tämä purkki vie idlenä jotain ~12W kun virtamittarilla katsoo. Ja voi olla että BIOS-asetuksissa olisi ruuvattavaa, mutta en taida viitsiä lähteä korjaamaan toimivaa.

 

[user9999]

Saitko tästä hyötyä?
Tein juuri itselle omaan kiinanpommiin (Intel 12th gen N100) tämän tuolla samalla arvolla 95, ja otin PowerD:n pois päältä, ja samalla tarkistin ettei noita dev.hwpstate_intel.X.epp ole enää olemassa. Mitään eroa en huomaa, huomasitko sinä?
Ei sillä, tämä purkki vie idlenä jotain ~12W kun virtamittarilla katsoo. Ja voi olla että BIOS-asetuksissa olisi ruuvattavaa, mutta en taida viitsiä lähteä korjaamaan toimivaa.

Mulla oli aikaisemmin noi dev.hwpstate_intel.X.epp jo päällä. En muista, että nuo olisi watteja tiputtanut. Mulla on kaikki neljä verkkoporttia käytössä ja vie idlessä reilu 13W. Prossu N305.

 

[escalibur]

2.7.1-RELEASE on nyt ladattavissa:

Muistakaa valita 2.7.1 branchin mikäli päivitys ei ole oletuksena tarjolla:

 

[user9999]

OpenVPN Vulnerabilities (CVE-2023-46850 and CVE-2023-46849)

2.7.1-RELEASE versiossa pitäisi olla OpenVPN 2.6.7, joka ei ole haavoittuva.

Todo #14985: Update OpenVPN to 2.6.7 - pfSense - pfSense bugtracker

Redmine

redmine.pfsense.org

23.09 versiossa on reikäinen OpenVPN 2.6.5.
OpenVPN 2.6.5 amd64-portbld-freebsd14.0 [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [MH/RECVDA] [AEAD] [DCO]

Reddit - Dive into anything

www.reddit.com

Patches for Plus are being actively worked on.

En itse käytä tuota OpenVPN palvelua, mutta hyvä jos tulee korjaus 23.09 versioon.

 

[user9999]

Päivitys pfSense Plus 23.09 OpenVPN.

Security alert on OpenVPN 2.6.5 (PfSense+ 23.09) CVE-2023-46850

@michmoor Thanks you very much for the reply ! So I will wait for version 2.7.1 of pfsense CE. I would like to come back to one point, namely whether version...

forum.netgate.com

Jos ajatuksena on päivittää niin kannattaa ensin seurata tuota ketjua.

 

[user9999]

System Patches 2.2.8 kanssa julkaistu.

 

[user9999]

Päivitetty OpenVPN 2.6.7 pfSense Plus 23.09 versioon.

 

[antero]

Pientä kämmäilyä Freebsd puolella 275081 – freebsd-update erroneously reports that 14.0-RELEASE is approaching its EOL date

 

[user9999]

Tuli otettua tuo KEA DHCP server käyttöön. Tuo vanha ISC DHCP on jo EOL tuote.

Netgate Adds Kea DHCP to pfSense Plus Software Version 23.09

Netgate announces the migration of pfSense Plus to Kea DHCP, replacing ISC DHCP. Learn about the benefits and how to enable the new Kea DHCP server.

www.netgate.com

ISC DHCP Server has reached EOL

What is changing? The 4.4.3-P1 and 4.1-ESV-R16-P2 versions of ISC DHCP, released on October 5, 2022, are the last maintenance versions of this software that ISC plans to publish.

www.isc.org

 

[juhaa]

Tuli otettua tuo KEA DHCP server käyttöön. Tuo vanha ISC DHCP on jo EOL tuote.

Netgate Adds Kea DHCP to pfSense Plus Software Version 23.09

Netgate announces the migration of pfSense Plus to Kea DHCP, replacing ISC DHCP. Learn about the benefits and how to enable the new Kea DHCP server.

www.netgate.com

ISC DHCP Server has reached EOL

What is changing? The 4.4.3-P1 and 4.1-ESV-R16-P2 versions of ISC DHCP, released on October 5, 2022, are the last maintenance versions of this software that ISC plans to publish.

www.isc.org

Tuon huomasin, kun sain nut päivitettyä 23.01 -> 23.09. Vaatiiko tuon käyttöönottaminen sen kummempaa säätämistä vai meneekö kaikki ns. automaagisesti?

 

[user9999]

Tuon huomasin, kun sain nut päivitettyä 23.01 -> 23.09. Vaatiiko tuon käyttöönottaminen sen kummempaa säätämistä vai meneekö kaikki ns. automaagisesti?

En tehnyt mitään muutoksia. Tuo Kea DHCP päälle ja boottailin noita laitteita, mitkä käyttää DHCP:tä. Jos ongelmia niin voi palata vanhaan ISC DHCP (Deprecated).

Edit: Backup Configuration kannattaa tietysti ottaa talteen ennen muutosta.

 

[Infinity]

Hohhoijaa. Kurkkasin updatea ja oli näemmä 2.7.1 tullut saataville. Muutin DNS proxya ja reboottasin muurin ennen kuin ajattelin aloittaa päivityksen, mutta sen jälkeen näkyi vain branch valikossa 2.7.1 ja update nappi katosi, eikä takaisin tule vaikka vaihtelisi branchia 2.7.0 ja 2.7.1 takaisin tai eri DNS palvelimia. Ideoita?

 

[user9999]

Hohhoijaa. Kurkkasin updatea ja oli näemmä 2.7.1 tullut saataville. Muutin DNS proxya ja reboottasin muurin ennen kuin ajattelin aloittaa päivityksen, mutta sen jälkeen näkyi vain branch valikossa 2.7.1 ja update nappi katosi, eikä takaisin tule vaikka vaihtelisi branchia 2.7.0 ja 2.7.1 takaisin tai eri DNS palvelimia. Ideoita?

Muillakin on tuota ongelmaa.

Upgrade pfsense CE 2.7.0 to 2.7.1

Hello everyone, I can't upgrade my pfsense CE from 2.7.0 to 2.7.1 Any help?

forum.netgate.com

Troubleshooting Upgrades | pfSense Documentation

docs.netgate.com

 

[Infinity]

Tutkiskelin pfSense-upgrade lokia, ovat ilmeisesti repineet päivityksen pois reposta juuri sillä välillä, kun boottasin laitteen uusiksi. Jokohan pitäisi lyödä tuo OPNsense sisään ja lopettaa tämä pelleily.

Edit: OPNsense ladattu USB tikulle, serial kaapeli odottaa huomista kun on aikaa iltasella tehdä käyttiksen vaihto. Bon voyage Netgate.

 

[user9999]

Tutkiskelin pfSense-upgrade lokia, ovat ilmeisesti repineet päivityksen pois reposta juuri sillä välillä, kun boottasin laitteen uusiksi. Jokohan pitäisi lyödä tuo OPNsense sisään ja lopettaa tämä pelleily.

Edit: OPNsense ladattu USB tikulle, serial kaapeli odottaa huomista kun on aikaa iltasella tehdä käyttiksen vaihto. Bon voyage Netgate.

Upgrade pfsense CE 2.7.0 to 2.7.1

Hello everyone, I can't upgrade my pfsense CE from 2.7.0 to 2.7.1 Any help?

forum.netgate.com

Tuossa ketjussa maininta tuosta certctl rehash komennosta.

2.7.1 New Features and Changes | pfSense Documentation

docs.netgate.com

 

[Rascal]

Hohhoijaa. Kurkkasin updatea ja oli näemmä 2.7.1 tullut saataville. Muutin DNS proxya ja reboottasin muurin ennen kuin ajattelin aloittaa päivityksen, mutta sen jälkeen näkyi vain branch valikossa 2.7.1 ja update nappi katosi, eikä takaisin tule vaikka vaihtelisi branchia 2.7.0 ja 2.7.1 takaisin tai eri DNS palveli

Kävi itselle ihan samat eilen aamulla. Piti disabloida jotain minkä ajattelin voivan vaikuttaa päivitykseen. Boottasin ja kas kummaa update nappi katosi.

Tuossa ketjussa maininta tuosta certctl rehash komennosta.

Kiitos tästä. Pitää kanssa hypätä pfSensestä muualle mutta paremmalla ajalla.

 

[Infinity]

Eipä ollut kovin hankala juttu hypätä OPNsenseen, aamukahvien voimalla vajaa tunnin operaatio apu2e4 muuriin. Pientä säätöä vielä vaatii ja Wireguardin ylös nostaminen, vaikuttaa kuitenkin melko kotoisalta.

 

[pcbuilder]

pfSenseä käyttänyt nyt melkein vuoden "router in a stick" configuraatiossa ja tyytyväinen olen ollut. Tällä hetkellä käytän vain kahta VLANia. Toinen kotiverkolle ja toinen palvelimille. 443 auki proxyna toimivalle palvelimelle, tuolla siis Windows Server 2022 ja Linux Debian 12 www palvelimet.

Nyt sitten teki mieli kokeilla jotain muuta ja väsäsin tehdä tuollaisesta pienestä NanoPi R5C laitteesta NAT reitittimen, joka toimii myös palomuurina ja tukiasemana. Debian 11 tuossa tällä hetkellä käyttiksenä. Palomuuri configuraatiot tehty iptables:lla, DHCP ja DNS dnsmasq:lla ja tukiasema hostapd:llä. Tämä jälkimmäinen oli kyllä hauska ja mielenkiintoinen conffailla, suosittelen kyllä muillekkin.

 

[amps]

Kuituyhteyttä odotellessa tilasin itselleni vähävirtaisen passiivijäähdytetyn minikoneen TekLagerilta TLSense J4125v3: 5x 2.5Gbit LAN, J4125 CPU,

Kiinasta tilaamalla olis saanut halvemmalla mutta naapurimaan kauppa nopeilla toimitusajoilla ratkaisi ostospaikan. Päädyin pienen tutkimisen jälkeen OPNSenseen ja nyt tätä ketjua lukiessa voin olla tyytyväinen valintaan, pfSense oli vaihtoehtona.

Viisi ethernettiä oli kiva lisä kun sain uplinkin yhteen, toiseen miesluolan ykkösprioriteetin netti, kolmanteen tyhmän kytkimen taa muut kiinteät ethernetit ja kaks viimeistä kotiwlan sekä internetistä eristetty 'kiinanlaite' -verkko (sekä kiinteitä että langattomia laitteita).

Tossa netistä eristetyssä verkossa on kamerat, ilmalämpöpumppu, pieni kotipalvelin jossa on ftp kameravalvonnalle ja OpenHAB ILP + muuta tulossa olevaa kotiautomaatiota varten.

Kun ehtii olis tarkoitus pistää tuohon OPNSenseen VPN -yhteydet (kännykällä & työkoneella sisäverkkoon, lähinnä tohon kotipalvelimelle riittäis) jotta pääsee katselemaan automaatiota & kameroita etänä. Onko kenelläkään kokemusta kuinka saisi helpoiten Androidin kanssa yhteensopivan VPN -yhteyden aikaan tuolla?

- amps

 

[jase]

Kun ehtii olis tarkoitus pistää tuohon OPNSenseen VPN -yhteydet (kännykällä & työkoneella sisäverkkoon, lähinnä tohon kotipalvelimelle riittäis) jotta pääsee katselemaan automaatiota & kameroita etänä. Onko kenelläkään kokemusta kuinka saisi helpoiten Androidin kanssa yhteensopivan VPN -yhteyden aikaan tuolla?

WireGuard toimii erinomaisesti Androidilla eikä ole paha rasti pystyttää. Taskerilla saa välpättyä sellaisenkin, että kun poistutaan koti WLAN:sta menee VPN päälle automaattisesti ja yhteys sisäverkon palveluihin toimii lähes saumattomasti.

 

[user9999]

Prosessorin C3 state viritystä (pfSense 23.09 ja Intel i3-N305).

Oletus kun tunable hw.acpi.cpu.cx_lowest=C3 on käytössä. Tuo CPU0 ei mene edes tuonne C3.

TuningPowerConsumption - FreeBSD Wiki

Seuraavat laitoin /boot/loader.conf tiedostoon ja bootti

Noin tunnin kuluttua tarkistettu tilanne kun muurilla ei ole mtään merkittävää kuormaa. Vähän paremmin menee kaikki ytimet tuonne C3.

 

[prof]

sähkökatkon vuoksi kyrvähti pfsense, mitään vikaa en näe, wanilta tulee ip jne.. mutta koneille asti ei vaan internet kulje, kuitenkin purkkiin pääsee käsiksi verkosta.
nakkasin pfsenserrin nyt pois, tiiä vaikka vaihtas opnsenseen jos en vähällä vaivalla saa tuota toimimaan.
ihme juttu kyllä että mikä siinä tökkii, tosiaan kaikki paikat kävin läpi enkä millään keksi mikä vikana ku ite pfsensellä liikenne kulkee.

 

[tarmo2011]

sähkökatkon vuoksi kyrvähti pfsense, mitään vikaa en näe, wanilta tulee ip jne.. mutta koneille asti ei vaan internet kulje, kuitenkin purkkiin pääsee käsiksi verkosta.
nakkasin pfsenserrin nyt pois, tiiä vaikka vaihtas opnsenseen jos en vähällä vaivalla saa tuota toimimaan.
ihme juttu kyllä että mikä siinä tökkii, tosiaan kaikki paikat kävin läpi enkä millään keksi mikä vikana ku ite pfsensellä liikenne kulkee.

Ootko varma, ettei mikään rikki tai vika tilassa pfsensen jälkeen?

 

[prof]

Ootko varma, ettei mikään rikki tai vika tilassa pfsensen jälkeen?

törkkäsin piuhat pfsensestä telian perus purkkiin ja laakista toimii, sama kytkin ja muut vermeet kiinni.

 

[mikajh]

ihme juttu kyllä että mikä siinä tökkii, tosiaan kaikki paikat kävin läpi enkä millään keksi mikä vikana ku ite pfsensellä liikenne kulkee

Boottaisin levyn tarkistukseen ja jos ok, niin sitten vertaisin configin edellisen backupiin.
Uusi asennus ZFS:lle pitäisi tietysti olla vikasietoisempi

 

[prof]

Boottaisin levyn tarkistukseen ja jos ok, niin sitten vertaisin configin edellisen backupiin.
Uusi asennus ZFS:lle pitäisi tietysti olla vikasietoisempi

niin ku se siinä on kummaa kun kaikki näyttää olevan oikein, palvelut hyrrrää, missään ei näy mitään vikaa, tosin kytkimeen enkä tukariin en päässy käsiks kun pfsense oli välissä, nyt niihin pääsee normaalisti. pfsensellä ajelin speedtestinkin niin hyvin pelitti, että jokuhan siellä mättää mutten keksi mikä.
niin ja lan ja wan interfacet näytti normaalilta ja tosiaan hallintaan pääsin ihan koneelta piuhalla, wlanin yli en.

ehkä tässä on paikka sit proxmox+opnsense vaihtoon, nyt ollu pfsense raudalla niin menee vähän serristä kapasiteettia hukkaan, proxmoxin kanssa sais tehtyä muutakin.

 

[mikajh]

kytkimeen enkä tukariin en päässy käsiks kun pfsense oli välissä

tosiaan hallintaan pääsin ihan koneelta piuhalla, wlanin yli en

Tuohon se ongelma tietysti liittyy, mutta kristallipallo ei näytä onko siellä pfSensessä LAN-puolella yksi vai useampi interface eikä mitä eroa on noilla "koneen piuhan" ja "kytkimen+tukarin" segmenteillä, kun edellinen toimii ja jälkimmäinen ei

 

[user9999]

Prosessorin C3 state viritystä (pfSense 23.09 ja Intel i3-N305).

Oletus kun tunable hw.acpi.cpu.cx_lowest=C3 on käytössä. Tuo CPU0 ei mene edes tuonne C3.

TuningPowerConsumption - FreeBSD Wiki

Seuraavat laitoin /boot/loader.conf tiedostoon ja bootti

Noin tunnin kuluttua tarkistettu tilanne kun muurilla ei ole mtään merkittävää kuormaa. Vähän paremmin menee kaikki ytimet tuonne C3.

Reilu 6 tuntia oli Intel i3-N305 tuossa päällä eli ei merkittävää liikennettä. Mitä nyt verkossa olevat laitteet ottaa nettiin yhteyttä. Aika hyvin käyttää C3:sta.

Laitoin samat asetukset myös Shuttle DS77U laitteeseen. Jonkin aikaa ollut päällä ja tuossa koneessa ei CPU0 mennyt koskaan C3.

Ei noista muutoksista ole mitään haittaa. Kaikki toimii.

Tuli säädettyä tuon HUNSN RJ35 (i3-N305) kokoonpanon virrankulutusta. Neljä verkkokorttia käytössä ja idle kulutus oli 13.4W. Ainoastaan verkkokorttien speed säädöillä sai tiputettua idle kulutuksen 12.5W. Eli mulla on esim. Elisa interfacen nopeus max. 93Mbps niin korttiin 100baseTX <full-duplex>. Yksi interface on hallintajuttuihin niin siihen kanssa 100baseTX <full-duplex>.

Aika turhaa hommaa, mutta nyt tehty

 

[user9999]

Tulossa pfSense Plus 23.09.1 ja CE 2.7.2 mahdollisesti ensi viikolla. Korjauksia mm. OpenVPN.

Todo #15049: Update OpenVPN to 2.6.8_1 - pfSense - pfSense bugtracker

Redmine

redmine.pfsense.org

 

[user9999]

Tuon OpenVPN pystyy päivittämään 2.6.8_1 versioon heti jos haluaa (Plus 23.09 or CE 2.7.1).

OpenVPN on 2.7.1 crashes on some circumstances

FYI- If you are on Plus 23.09 or CE 2.7.1 we picked back the update to the current repositories so you can also get OpenVPN 2.6.8_1 right now from the consol...

forum.netgate.com

 

[antero]

nuo tulee

@prof en huomannu onko käytössä mikä dhcp.
Tuo KEA ei vielä toimi DNS ohjausten osalta joten kannattaa käyttää vanhaa ainakin vuoden jos ei jaksa säätää.
Turvapäivitykset tulee sillekkin.

 

[Leo_Greta]

nuo tulee

Voisitko vähän enemmän infoa antaa ?

 

[antero]

En oikein voi

Kirjoitetaan

pkg update
ja execute
sitten kirjoiteaan
pkg upgrade -y
ja execute

jos tuota tarkoitit

Ja samaan asiaan on erilaisia rimpsuja , joko yhtenä pötköna ajavia tai kaikkea mahdollista.

 

[Leo_Greta]

En oikein voi

Kirjoitetaan

pkg update
ja execute
sitten kirjoiteaan
pkg upgrade -y
ja execute

jos tuota tarkoitit

Ja samaan asiaan on erilaisia rimpsuja , joko yhtenä pötköna ajavia tai kaikkea mahdollista.

Eli tarkoitit siis, että tuollaisia päivityksiä on jaossa pfSensen versiolle X, vai jotain muuta? Ei selvinnyt tuosta sun aikaisemmasta viestistä, että mihin se liittyi, vai oliko tarkoitettu vain itsenäiseksi viestiksi, jossa ilmoitettiin et pfSenseen X on jaossa uusia päivityksiä.

 

[antero]

(PFSENSE)
Lähinnä että päivityksiä voi asentaa ennen kuin virallinen päiviysversio julkaistaan, nuohan siinä tulee ja patch korjaukset.
Eli korjaukset on jo palvelimella vain asennuspaketti vielä tekemättä.
Täälä niin monenlaista käyttäjää. On ensikertalaisia ja kuten @mikajh @user9999 jotka varmaan käyttäneet 10v
toiset tajuaa parilla sanalla, toiset ei millään. Pitää lukea rivien välistä milloin asia koskee PfSenseä, milloin Opnsenseä ja milloin jotain muuta.
Olisi ehkä selvempi siinä mielessä jos olisi omat foorumit.

2.7.2 julkaistaan todennäköisesti ennen 23.09.1 koska ilmaiskäyttäjät on testilampaita.
Osa käyttäjistä haluaa paikata kaikki turva-aukot heti, toisilla ei niin väliä.
Kaikissa versioissa voi päivitykset tarkistaa manuaalisesti tai odottaa jotain valmista annosta.
Plus ja CE on samoja, hyvin pienillä eroilla. Lähinnä kotikäyttäjille lukee "Plus" teksti on ero ja päivityspalvelin.

Tuossa vielä tuosta KEA:n käytöstä. netgate foorumilta vastaus jounkun ongelmiin.

eli nämä ominaisuudet ei toimi, eli jos määrittelet DNS kiinteän ip:n yhteydessä se ei välttämättä toimi KEAn kanssa.
En osaa sanoa miten käy jos kaiken tekee puhtaalta pöydältä.

 

[Leo_Greta]

(PFSENSE)
Lähinnä että päivityksiä voi asentaa ennen kuin virallinen päiviysversio julkaistaan, nuohan siinä tulee ja patch korjaukset.
Eli korjaukset on jo palvelimella vain asennuspaketti vielä tekemättä.
Täälä niin monenlaista käyttäjää. On ensikertalaisia ja kuten @mikajh @user9999 jotka varmaan käyttäneet 10v
toiset tajuaa parilla sanalla, toiset ei millään. Pitää lukea rivien välistä milloin asia koskee PfSenseä, milloin Opnsenseä ja milloin jotain muuta.
Olisi ehkä selvempi siinä mielessä jos olisi omat foorumit.

2.7.2 julkaistaan todennäköisesti ennen 23.09.1 koska ilmaiskäyttäjät on testilampaita.
Osa käyttäjistä haluaa paikata kaikki turva-aukot heti, toisilla ei niin väliä.
Kaikissa versioissa voi päivitykset tarkistaa manuaalisesti tai odottaa jotain valmista annosta.
Plus ja CE on samoja, hyvin pienillä eroilla. Lähinnä kotikäyttäjille lukee "Plus" teksti on ero ja päivityspalvelin.

Tuossa vielä tuosta KEA:n käytöstä. netgate foorumilta vastaus jounkun ongelmiin.

eli nämä ominaisuudet ei toimi, eli jos määrittelet DNS kiinteän ip:n yhteydessä se ei välttämättä toimi KEAn kanssa.
En osaa sanoa miten käy jos kaiken tekee puhtaalta pöydältä.

Viestini ei ollut vittuilua, jos sen niin ymmärsit, vaan lähinnä kysymysmerkki, että mitä sillä viestillä oli tarkoitus ilmoittaa. Siittä sun viestistä ei käynyt itselle selväksi et oliko se vastaus jollekkin (mulla on ignore-lista käytössä, vaikutusta?), vai ihan viesti sellaisenaan.

Itelläkin on pfSense Plus hoitamassa reititin+palomuuri+NAT+AdBlock+DHCP+jne. hommia, joten pfSense ei oo mikään tuntematon käsite itselekään (ainakaan totaalisesti), mutta viesti, jossa lukee pelkästään "nuo tulee" plus kuva ei auta ketään tällä palstalla. Jos haluat viestittää noille "jotka varmaan käyttäneet 10v" niin pistä privana, älä tänne, missä me kuolevaiset ei osata lukea sun ajatuksia.

Ei pitäis olla niin vaikeaa!

[edit]

Spoileri: Mulle tulee

isc-dhcp44-relay: 4.4.3P1_3 -> 4.4.3P1_4 [pfSense]
isc-dhcp44-server: 4.4.3P1_3 -> 4.4.3P1_4 [pfSense]
openvpn: 2.6.7_1 -> 2.6.8_1 [pfSense]
pfSense-pkg-pfBlockerNG-devel: 3.2.0_6 -> 3.2.0_7 [pfSense]
pfSense-upgrade: 1.2_6 -> 1.2.1 [pfSense]
unbound: 1.18.0 -> 1.18.0_1 [pfSense]

 

[sra2010]

Viestini ei ollut vittuilua, jos sen niin ymmärsit, vaan lähinnä kysymysmerkki, että mitä sillä viestillä oli tarkoitus ilmoittaa. Siittä sun viestistä ei käynyt itselle selväksi et oliko se vastaus jollekkin (mulla on ignore-lista käytössä, vaikutusta?), vai ihan viesti sellaisenaan.

Itelläkin on pfSense Plus hoitamassa reititin+palomuuri+NAT+AdBlock+DHCP+jne. hommia, joten pfSense ei oo mikään tuntematon käsite itselekään (ainakaan totaalisesti), mutta viesti, jossa lukee pelkästään "nuo tulee" plus kuva ei auta ketään tällä palstalla. Jos haluat viestittää noille "jotka varmaan käyttäneet 10v" niin pistä privana, älä tänne, missä me kuolevaiset ei osata lukea sun ajatuksia.

Ei pitäis olla niin vaikeaa!

[edit]

Spoileri: Mulle tulee

isc-dhcp44-relay: 4.4.3P1_3 -> 4.4.3P1_4 [pfSense]
isc-dhcp44-server: 4.4.3P1_3 -> 4.4.3P1_4 [pfSense]
openvpn: 2.6.7_1 -> 2.6.8_1 [pfSense]
pfSense-pkg-pfBlockerNG-devel: 3.2.0_6 -> 3.2.0_7 [pfSense]
pfSense-upgrade: 1.2_6 -> 1.2.1 [pfSense]
unbound: 1.18.0 -> 1.18.0_1 [pfSense]

Sanon sivusta sen verran, että minusta vaikutti jatkolta edellisiin viesteihin, ehkä olisi voinut ottaa lainaukseen niin olisi selkeämpi.

 

[sra2010]

Onko teillä tarjota listaa noista PfSensen komentorivin käskyistä ja mitä ne tekevät?

Olen yrittänyt niitä löytää, mutta mitään selkeää en ole löytänyt.

Ei ole halua arvailla ja ajella niitä summassa, mutta osa vaikuttaa käteviltä ja joillakin sai käsittääkseni tarkistettua, että missä paketeissa on haavoittuvuuksia.

Yhden kerran olen tuota joutunut käyttämään, että sain hakemaan päivityksen 2.7.0 -->2.7.1 versioon, siihen löytyi foorumilta ohje.

 

[Leo_Greta]

@sra2010 Paha mennä sanomaan mitä AP ajatteli, kun sitä on nyt 2-3 kertaa kysyttyilman selkeää vastausta...

Ja tuohon kyssäriin listauksesta pfSensen komentorivin käskyistä et mitä ne tekevät, niin ei ole mitään suoraa listausta. Ne pitää selvittää käsky kerrallaan, esim. toi pkg. Niitä kun tarvitsee vain monimutkaisissa setupeissa. Suomennettuna: Jos jotain päivitystä ei löydy webbikälin kautta, sitä ei oo vielä tarkoitettu julkiseen massa jakeluun.

Googlella löytää jotain kun kysyy:

Spoileri: pfSense käskyjä (en ole testannut)

Useful pfSense commands

Compiled list of pfsense commands that I use as my cheat sheet.

www.onebyte.org

 

[mikajh]

Ne pitää selvittää käsky kerrallaan, esim. toi pkg. Niitä kun tarvitsee vain monimutkaisissa setupeissa

Itse en ole muistaakseni tarvinnut cli:tä koskaan pfSensen konffauksessa, ainoastaan satunnaisesti debuggauksessa, kun vaikkapa päivityksen jälkeen ei ole bootannut. tcpdump webgui:n packet capturen sijasta tai rinnalla on kaikkein yleisin käyttötapa, ja varsinkin speedtestit sekä pingit.

Joskus olen puukottanut DDNS-serviceä (php-filua), joka ei ole tarjonnut riittävän tiheää päivityssykliä silloin kun osoitteet ei muutu. Tämänkin olisi ehkä aivan hyvin voinut tehdä webguin kautta. Ja esim. ssh authorized_keys -päivitykset on syytäkin tehdä permanentisti webguissa eikä komentorivillä, jolloin ne toimivat myös seuraavan bootin jälkeen.

E: CLI:n käyttöä helpottaa huomattavasti se, että lähes kaikki komennot kohdistuvat geneerisiin utilityihin, jotka ovat samat tai melkein FreeBSD:ssä ja Linuxissa

E2: Vuosia sitten olen joutunut asentamaan pfSense:stä puuttuvia FreeBSD-paketteja suoraan, jotta saa usb-mokkulan toimimaan, mutta noillekaan ei ole enää juuri tarvetta, ja niiden harrastelu voi aiheuttaa harmaita hiuksia päivityksiin liittyen

 

[sra2010]

sähkökatkon vuoksi kyrvähti pfsense, mitään vikaa en näe, wanilta tulee ip jne.. mutta koneille asti ei vaan internet kulje, kuitenkin purkkiin pääsee käsiksi verkosta.
nakkasin pfsenserrin nyt pois, tiiä vaikka vaihtas opnsenseen jos en vähällä vaivalla saa tuota toimimaan.
ihme juttu kyllä että mikä siinä tökkii, tosiaan kaikki paikat kävin läpi enkä millään keksi mikä vikana ku ite pfsensellä liikenne kulkee.

Oletko palauttanut varmuuskopiosta?

 

[Leo_Greta]

Itse en ole muistaakseni tarvinnut cli:tä koskaan pfSensen konffauksessa, ainoastaan satunnaisesti debuggauksessa, kun vaikkapa päivityksen jälkeen ei ole bootannut. tcpdump webgui:n packet capturen sijasta tai rinnalla on kaikkein yleisin käyttötapa, ja varsinkin speedtestit sekä pingit.

Joskus olen puukottanut DDNS-serviceä (php-filua), joka ei ole tarjonnut riittävän tiheää päivityssykliä silloin kun osoitteet ei muutu. Tämänkin olisi ehkä aivan hyvin voinut tehdä webguin kautta. Ja esim. ssh authorized_keys -päivitykset on syytäkin tehdä permanentisti webguissa eikä komentorivillä, jolloin ne toimivat myös seuraavan bootin jälkeen.

Itekkin oon tarvinnu sitä, tai no oikeastaan ssh-yhteyttä (sama asia tietenkin), kun piti käpistellä reverse-proxyä (haproxy muistaakseni), jota en saanu tottelemaan webguin kautta ja nekin muokkaukset muistaakseni katos aina jossain kohtaa bittiavaruuteen.

IMHO pfSense on tarkoitettu konffattavatksi webGUI:n kautta, tai ei ollenkaan. Jos cli:hin/ssh:n pitää tarttua, niin jotain on menny pieleen... Paino sanoilla IMHO.

 

[sra2010]

Itekkin oon tarvinnu sitä, tai no oikeastaan ssh-yhteyttä (sama asia tietenkin), kun piti käpistellä reverse-proxyä (haproxy muistaakseni), jota en saanu tottelemaan webguin kautta ja nekin muokkaukset muistaakseni katos aina jossain kohtaa bittiavaruuteen.

IMHO pfSense on tarkoitettu konffattavatksi webGUI:n kautta, tai ei ollenkaan. Jos cli:hin/ssh:n pitää tarttua, niin jotain on menny pieleen... Paino sanoilla IMHO.

Olisi mielenkiintoista perehtyä syvemmin tähän järjestelmään, kuten täsdä ketjussa pari käyttäjää selkeästi on tehnyt.
Tuo on nimenomaan tehokas työkalu siinä vaiheessa, kun graafinen puoli ei enää auta. Kuten tuo päivitys uusimpaan CE-versioon joillain käyttäjillä, yksi käsky komentoriville vs kanna palomuurikone talon toiseen päähän, kytke näyttö, näppis ja buuttaa tikulta asenna uusi versio, palauta conf, vie takaisin.

 

[mikajh]

IMHO pfSense on tarkoitettu konffattavatksi webGUI:n kautta, tai ei ollenkaan. Jos cli:hin/ssh:n pitää tarttua, niin jotain on menny pieleen...

Pitää paikkansa. Lisäksi voi törmätä johonkin rajoitukseen, mitä pfSense ei vakiona tue. Opensource-maailmassa rajoituksen tai puutteen voi saada tyydyttävästi korjatuksi, mutta siinä on omat riskinsä jatkossa, ellei hoida pull requestin kautta (tai muuten) muutostaan pysyväksi seuraaviin releaseihin. Mutta varsinkin pfSensen kanssa tämä on melko hidas prosessi

 

[Gobi]

Ei ole halua arvailla ja ajella niitä summassa, mutta osa vaikuttaa käteviltä ja joillakin sai käsittääkseni tarkistettua, että missä paketeissa on haavoittuvuuksia.

OPNSensessä pystyy haavoittuvuuksia auditoida System-Firmware-Status välilehden kautta, Run an audit->Security, pfSensen tilanteesta en tiedä.

 

[user9999]

FreeBSD käsky pkg audit -F

pkg-audit(8)

man.freebsd.org

pfSense 23.09 versiosta löytyy seuraavat haavoittuvuudet.

VuXML: Python -- multiple vulnerabilities

VuXML: strongSwan -- vulnerability in charon-tkm