Tee-se-itse: Rautapalomuurit (pfSense, Sophos UTM..) (Mitä käytätte ja miksi juuri se vaihtoehto?)

Idle CPU käyttö näyttää n. 5-10 %
Kuulostaa suurelta mulla opnsense ottaa n.2% idle ja 100M kuorma n.10% prossu i3-7100 (gui mittaus)
Niin ja opnsense mittari elää omaa elämäänsä.
Coreja ei vissiin ilman pluggareita tarvita kuin yksi.
 
Testasin OPNsenseä ja siinä kahta ydintä käyttäessä Proxmox kertoi OPNsense VM:n CPU käyttöasteen olleen n. 50-60 % speedtestiä ajaessa 1G/1G nopeudella. Yhdellä ytimellä 65-70 %. Jää kyllä OPNsense käyttöön, hurja ero.
 
Testasin OPNsenseä ja siinä kahta ydintä käyttäessä Proxmox kertoi OPNsense VM:n CPU käyttöasteen olleen n. 50-60 % speedtestiä ajaessa 1G/1G nopeudella. Yhdellä ytimellä 65-70 %. Jää kyllä OPNsense käyttöön, hurja ero.
Eikö tällöin voi käyttöön antaa vaikka 4 ydintä? Kyllä Proxmox sitten resurssia antaa sinne missä sitä tarvitaan.
 
Eikö tällöin voi käyttöön antaa vaikka 4 ydintä? Kyllä Proxmox sitten resurssia antaa sinne missä sitä tarvitaan.

En näe miten tuo on hyvä idea. Jos yksi VM menee tilttiin ja käy syömään 100 % CPU resursseista (tai muuten vain tekee jotain todella raskasta), hidastuu muutkin VM:t kun ei jää CPU tarpeeksi aikaa. Myöskin hostin toiminta hidastuu.

IMO on ok useimmissa tilanteissa antaa kaikille guesteille ytimiä käyttöön enemmän kuin on fyysisiä ytimiä ja säikeitä. Tällöin kaikki VM:t hidastuvat vain jos useampi VM käyttää yhtä aikaa paljon resursseja. Yksittäiselle guestille annan vain sen verran ytimiä että se toimiii normaalisti ja CPU käyttöaste ei huitele suurinta osaa ajasta 100 %.

Tietty jos sinulla on jotain hyvää lähdettä miksi antaa kaikille VM:lle yhtä paljon ytimiä kuin on fyysisisiä tarjolla, niin mielelläni otan vastaan. Toisaalta miksi edes tarjota optio valita ytimien määrä jos kaikki ytimet on paras ratkaisu.
 
En näe miten tuo on hyvä idea. Jos yksi VM menee tilttiin ja käy syömään 100 % CPU resursseista (tai muuten vain tekee jotain todella raskasta), hidastuu muutkin VM:t kun ei jää CPU tarpeeksi aikaa. Myöskin hostin toiminta hidastuu.

IMO on ok useimmissa tilanteissa antaa kaikille guesteille ytimiä käyttöön enemmän kuin on fyysisiä ytimiä ja säikeitä. Tällöin kaikki VM:t hidastuvat vain jos useampi VM käyttää yhtä aikaa paljon resursseja. Yksittäiselle guestille annan vain sen verran ytimiä että se toimiii normaalisti ja CPU käyttöaste ei huitele suurinta osaa ajasta 100 %.

Tietty jos sinulla on jotain hyvää lähdettä miksi antaa kaikille VM:lle yhtä paljon ytimiä kuin on fyysisisiä tarjolla, niin mielelläni otan vastaan. Toisaalta miksi edes tarjota optio valita ytimien määrä jos kaikki ytimet on paras ratkaisu.
Ei kai tähän yhtä oikeaa vastausta ole. Jos ei raudassa riitä vääntö, niin joko annetaan kuorman hidastua tai hommataan järeämpää rautaa. :)

Sitä en ymmärrä, miksi ytimiä pitää liikaa rajoittaa per VM?

Oletin että sinulla on luokkaa 4 ydintä ja siten esim. 8 threadia käytettävissä, siten 4 eli puolet logical coreista voisi olla järkevä reitittimelle. 3/4 tai 4/5 osuuden voi hyvin mielestäni laittaa jos tehoa tarvittaessa pitää olla käytettävissä.
 
Eikö tällöin voi käyttöön antaa vaikka 4 ydintä?
Tälleen tyhmänä kyselen voiko käyttis jota ei ole suunniteltu monelle ytimelle käyttää niitä?
Jossain vaiheessa kyselin täällä pfsenseen on joku pluggari joka käyttää muuten ei.
 
Tälleen tyhmänä kyselen voiko käyttis jota ei ole suunniteltu monelle ytimelle käyttää niitä?
Jossain vaiheessa kyselin täällä pfsenseen on joku pluggari joka käyttää muuten ei.
Esim. OpenVPN kuormittaa vain yhtä ydintä, xSense ja itse FreeBSD skaalautuu kyllä muille ytimille.
 
Vanhemmille voisi jonkun budjettimallin PFsense-muurin laittaa. Katselin että Ebaystä löytyisi hyvinkin huokeasti Fujitsu Futro S920:stä, HP T620 Plussaa tai HP T730:stä. Tuota Fujitsua on ainakin moni käyttänyt palomuurina, mutta onko noista HP:istä kokemusta?
 
Vanhemmille voisi jonkun budjettimallin PFsense-muurin laittaa. Katselin että Ebaystä löytyisi hyvinkin huokeasti Fujitsu Futro S920:stä, HP T620 Plussaa tai HP T730:stä. Tuota Fujitsua on ainakin moni käyttänyt palomuurina, mutta onko noista HP:istä kokemusta?
HP T730 ollut muutama vuosi sitte itsellä, hyvinhän se toimi eipä siinä. Meni suoraan low profile kortti kiinni, Futrossa ilmeisesti tarvitsee erikseen sen riserin? Ei ongelmia suorituskyvyn puolesta ainakaan 1Gbit nopeuksiin asti. Jos tuosta yli 100€ pitäisi vielä maksaa (plus vielä verkkokortti ellei löydy ennestään) niin kallistuisin varmaan passiiviseen kiinapurkkiin kuitenkin itse, 1/4 virrankulutus, tuplasti tehoa ja tietty passiivinen jäähdytys.
 
Viimeksi muokattu:
HP T730 ollut muutama vuosi sitte itsellä, hyvinhän se toimi eipä siinä. Meni suoraan low profile kortti kiinni, Futrossa ilmeisesti tarvitsee erikseen sen riserin? Ei ongelmia suorituskyvyn puolesta ainakaan 1Gbit nopeuksiin asti. Jos tuosta yli 100€ pitäisi vielä maksaa (plus vielä verkkokortti ellei löydy ennestään) niin kallistuisin varmaan passiiviseen kiinapurkkiin kuitenkin itse, 1/4 virrankulutus, tuplasti tehoa ja tietty passiivinen jäähdytys.
Futro 920:sessä on speksien perusteella riseri mukana. Tuosta on olemassa myös 720-malli, jossa on vakiona vain mini-pci-e-liitäntä. Löysin Ebaysta joltakin romanialaiselta myyjältä T730:sen neljällä gigalla keskusmuistia ja 16 Gt mSATA-levyllä posteineen noin 60 eurolla. Intelin piirillä oleva pci-e-verkkokortti löytyy jo valmiiksi.

Eipä tällaisesta kokonaisuudesta tosiaan paljoa kannata maksella, kun noin 200 eurolla saa jo noita kiinalaisia purkkeja
 
Onko täällä kenelläkään OPNsensen kanssa käytössä useampaa nettiyhteyttä ja salattua DNS:ää? Natiivi DoT tuki NextDNS:ssä on, josta ajatus ohjata kyselyt NextDNS:n. Dokumentaatio on hiukan ohutta, en tosin vielä testannut mutta vaikuttaisi että Multi-WAN konffaukseen tarvitsee määrittää DNS IP ja haluaisin tästä eroon.

Toimiva virtualisoitu rauta on pystyssä ja testattuna, nyt täytyisi aloittaa talkoot.

Minulla on 3 jatkuvasti käytössä olevaa yhteyttä, sekä 1 varayhteys. Jokaista varten voisi toki laittaa pystyyn esim oman PiHole+Stubby -> NextDNS -settinsä jolla homma hoituu, mutta tarpeetonta jos OPNsense hanskaa natiivi-DoTiin reitityksen WAN:sta kuin WAN:sta.

Lisämausteen tähän tuo VLAN:t, haaveena myös käyttää omia NextDNS -profiileja kaikille 4 VLAN:lle (hallinta, pääverkko, lapset ja IoT). Näistä lasten laitteissa tosin joka tapauksessa on omat profiilinsa laitetasolla mobiiliyhteyksiä ajatellen, sikäli ei välttämättä tarpeen kotiverkon tasolla.

Kokemuksia?
 
Futro 920:sessä on speksien perusteella riseri mukana. Tuosta on olemassa myös 720-malli, jossa on vakiona vain mini-pci-e-liitäntä. Löysin Ebaysta joltakin romanialaiselta myyjältä T730:sen neljällä gigalla keskusmuistia ja 16 Gt mSATA-levyllä posteineen noin 60 eurolla. Intelin piirillä oleva pci-e-verkkokortti löytyy jo valmiiksi.

Eipä tällaisesta kokonaisuudesta tosiaan paljoa kannata maksella, kun noin 200 eurolla saa jo noita kiinalaisia purkkeja
Onko kenelläkään muulla epäiliyksiä noiden kiina purtkkien tietoturvan suhteen? Minua mietityttää niiden mahdollinen vakoilu ja phone home ominaisuudet, käykö nämä muilla mielesssä?
 
Onko kenelläkään muulla epäiliyksiä noiden kiina purtkkien tietoturvan suhteen? Minua mietityttää niiden mahdollinen vakoilu ja phone home ominaisuudet, käykö nämä muilla mielesssä?
Toki kaikkea voi miettiä. Uskoakseni näitä testataan ja käytetään niin laajasti, että mahdolliset kotiinsoitot tulisivat kyllä esiin.

Käytännössä tarkoitat siis että BIOS-tasolta ujutettaisiin jotain liikennettä suoraan NIC:n?
 
Toki kaikkea voi miettiä. Uskoakseni näitä testataan ja käytetään niin laajasti, että mahdolliset kotiinsoitot tulisivat kyllä esiin.

Käytännössä tarkoitat siis että BIOS-tasolta ujutettaisiin jotain liikennettä suoraan NIC:n?
Yhtään testiä en ole asiaan liittyen nähnyt, muuta testaamista kyllä, niissä keskitytään pelkästään suorituskykyyn ja hintaan.

Tapoja voi olla luullakseni monia. Verkkokorteissa, joita intel nimellä Kiinasta myydään sisältävät eri piirit kuin intelin vastaavassa, mahdollisesti pelkästään hinta kysymys, mutta huijaus jo sen perusteella.
 
Yhtään testiä en ole asiaan liittyen nähnyt, muuta testaamista kyllä, niissä keskitytään pelkästään suorituskykyyn ja hintaan.

Tapoja voi olla luullakseni monia. Verkkokorteissa, joita intel nimellä Kiinasta myydään sisältävät eri piirit kuin intelin vastaavassa, mahdollisesti pelkästään hinta kysymys, mutta huijaus jo sen perusteella.
Enemmän pidän madollisena ,että noissa bios versioissa on tietoturva-aukkoja noihin kiinan hapis laitteisiin tuskin kovin paljon päivityksiä tehdään.
 
Patricilla ServeTheHomesta on taas mielenkiintoinen kiinan masiina testissä. Pienessä verkossa ei tarvis edes kytkintä tän kanssa kun on portteja sen verran kattavasti.
  • Intel Atom C3758
  • 2x DDR4 SO-DIMM -paikkaa
  • 4x SFP+ 10GbE
  • 5x 2.5GbE
  • 1x 2.5" SSD-paikka
  • 1x SFF 887-liitin
  • 2x M.2 -NVMe (PCIe 3 x2) -paikkaa
  • 1x M.2 wifi -paikka

 
Toivottavasti kiinnitys ei ole yhtä idioottimainen kuin M710s mallissa, liitin on emon reunassa.
Tein tuen itse muovitangosta kakspuolisella teipillä ja M3 ruuvilla.
Kopassa oli onneksi valmiina tuo muoviviritys:
--
Hyvin rokkaa opnsense. En tiedä paljonko kuluttaa pelkkä Lenovo, mulla on samassa roikassa kolme kytkintä (8x1GbE 8x1GbE 5x10GbE). Yhteiskulutus koneelle + kytkimille on 60W. Varmaankin 30W luokkaa jää pelkälle koneelle. Nuo kaksi gigan kytkintä voisi heivata kyllä pois, mutta olkoon toistaiseksi.
 
Hyvin rokkaa opnsense. En tiedä paljonko kuluttaa pelkkä Lenovo
Hienoa, hyvä että pulikka tuli mukana.
Testikoneella mun M710s (pena G4400 prossu) kuluttaa 12W idle ja 1G siirron kanssa 23W OpnWrt WiFi ei muuta.

Pitäis testailla eri muureja tehon suhteen, täällä oli just viite että OPNsense kuormittaa vähemmän kuin Pfsense ja ilmeisesti nää linux muurit on kanssa pieniruokaisempia?
 
Laitetaan tälläinenkin keskustelu pystyyn. Eli mitä (ja miksi juuri se) itse-tehtyjä palomuureja porukka käyttää? :think:

Hurjia vehkeitä näyttää monellakin olla! Itsellänikin monenlaisia on aikojen saatossa ollut. Nyt kuitenkin jo pari vuotta OPNsense HP:n T520 Thin Clientissä ja sillä apurina myös vanha D-linkin DIR-825 OpenWrt:llä kytkimenä koska T520:ssä vain yksi verkkoliitäntä. Wifi-boksina on sitten ihan perus-Deco. Paukku riittää hyvin ja on vielä varaa laittaa lisääkin meidän perheen käyttöön. Laitteita verkossa tällä hetkellä noin 50 kpl(pistorasioita, kameroita, antureita, kännyköitä, tietokoneita, servereitä, pelikonsoleita, telkkareita yms.) ja liittymä vain 250 megainen kuitu.

Halpa hankkia ja halpa ylläpitää. Ja ennenkaikkea myös äänetön/huomaamaton, koska kuituasentajat laittoi aikanaan sekaannuksen vuoksi boksin meidän makuuhuoneen nurkkaan, eikä mun homelabbiin kuten olin ajatellut. Mutta meneehän se näinkin.

Kuvassa ylin on Deco, sen alla DIR-825 ja sen alla 2 kpl T520:ä, toisessa OPNsense ja toisessa Home assistant, nurkassa lattialla halpa UPS ja seinässä kuituboksi.
 

Liitteet

  • netti.jpg
    netti.jpg
    135,7 KB · Luettu: 196
  • palomuuri.png
    palomuuri.png
    53,9 KB · Luettu: 193
Viimeksi muokattu:
Kertokaapa tyhmälle/tietämättömälle...

Tilasin syksyllä Fitlet 3:n ja nyt se on vihdoin lähetetty (n. 12 vko toimitusaika tilauksesta). Tähän olisi tarkoitus asentaa OPNSense. Haluan eristää IoT-laitteet (tarkoitan tässä siis kaikkea paitsi tietokoneita) omaan verkkoonsa.

Nykyisellään käytössä on Edgerouter X ja wlan on toteutettu 2 kpl Aruba AP11D-tukiasemalla.


Fitlet 3 tulee sähkökaappiin, jossa on nousu (taloyhtiölaajakaista) ja jaot huoneisiin (4).

- Tarvitsenko Fitlet 3 perään kytkimen? Voiko Edgerouter X toimia sellaisena?

- Miten IoT-laitteet saa eristettyä, kun osa on kaapelilla kiinni toisessa AP11D-tukiasemassa (Ikea/Hue-valaisimet, Shield TV) ja osa wlanissa (Chromecast audio ja Nintendo Switch)?

- Pöytäkoneelle on asennettu Huen sovellus, jolla saa halutessaan ohjata koneella olevia valoja näytön sisällön perusteella. Miten tuollainen toimii, jos tietokoneet/IoT-laitteet ovat eri verkoissa? Niin ja miten sitten älyvalaisimien ym. käyttö kännyköillä. Kannattaako kännykät laittaa IoT-verkkoon?

Kiitos etukäteen!
 
VLAN on se mitä haet.
Tarvitset kytkimen, ja ns. älykkään kytkimen, joka osaa VLANit. Kytkimissä se on L2- / L3 -ominaisuus.
WIFI-tukareissa on myös malleja, joissa tälle tuki. Itsellä on Asus RT-AX86U, johon on puukotettu Asus-Merlin -firmware. Tuolla sai VLAN-tuen WIFI:lle, joka itselläni toimii niin, että minulla on 4 erillistä WIFI-verkkoa (management, työ, IoT, vieras) joihin liittymällä laite menee automaattisesti oikeaan verkkoon. Jossa verkkokohtaiset palomuurisäännöt. Esimerkiksi IoT-verkosta ei pääse kuin internetiin, muihin verkkoihin ei.

Tuo WIFI-tukarin löytäminen saattaa olla haastavaa, mutta ehkä täältä joku osaa auttaa sinua. Itse en tiedä mitään muuta laitetta jossa on VLAN-tuki out-of-the-box kuin Aruba AP22. HPE Aruba Instant On AP22 - 2x2:2 WiFi 6 -tukiasema ja virtalähde 249,99

Edit: Voi muuten olla, että noissa sinun AP11D-purkeissa on sama softa, mitä AP22:ssa. Täten nekin tukisi suoraan VLANeja WIFI:ssä.

Edit 2: Jos haluat pysyä tuossa Instant-On sarjassa, ja hallita kaikkea yhdestä paikkaa, niin Instant-On kytkimiä löytyy myös. Esim Aruba Instant On 1930 8G 2SFP Switch -8-porttinen kytkin 169,99
 
Viimeksi muokattu:
Netgate julkaisi uuden NETGATE 4200 PFSENSE+ SECURITY GATEWAY laitteen.

Tuosta tuli sähköpostia.
The Netgate 4200 replaces the Netgate 4100 in the Netgate lineup. Not only is it less expensive, but the 4200 uses the Intel® Atom® C1110 CPU, which came out of Intel’s high-performance 12th-generation Core design and is dramatically faster than other Atom processors. It includes the AVX2 extended instruction set for powerful VPN performance. The Netgate 4200 benchmark numbers tell the story clearly: L3 forwarding (routing), Firewall, and IPsec VPN test results are up to three times faster than the Netgate 4100.

Edit: Itse olen pakottanut i3-N305 prossuun tuon AVX2 käyttöön.

Tuning IPsec-MB:

kern.crypto.iimb.enable_multiq
Uses multiple queues to handle encryption jobs, i.e. each session is bound to a job thread. There are only a small number of job threads available:
Default is 1
  • 1 thread for < 4 CPUs
  • 2 threads for < 8 CPUs
  • 4 threads for >= 8 CPUs
kern.crypto.iimb.arch
Used to override the SIMD architecture on x86. By default it uses the best one available on the CPU. This option allows comparing different CPU feature benchmarks.
Options: auto (default), sse, avx, avx2, avx512.


1704379770548.png
 
Viimeksi muokattu:
Tuli oma TL-Sensen purkki päivitettyä CWWK:n sivulta, emona tuossa on CW-N11. Alkuperäisessä UEFIssa päiväys näytti olevan 20.05.2022 ja uusi 10.06.2022 vaikka lataus sivulla väitetään muokkauspäiväksi 2023-11-04, varmaan silloin vain paketoitu uudeleen tms. kun itse zipin sisällä olevat firmis tiedostot päivätty 10.06.2022 eli ei lopulta juurikaan tuoreempi versio kuin jo sisällä ollut.

Päivityksen jälkeen meinasi syke hieman nousta kun käynnistys kestikin ekalla kerralla hieman pidempään kuin normaalisti mutta käyntiin lähti lopulta ja vaikuttaa että kaikki toimii taas vanhaan malliin.
 
Tuli oma TL-Sensen purkki päivitettyä CWWK:n sivulta, emona tuossa on CW-N11. Alkuperäisessä UEFIssa päiväys näytti olevan 20.05.2022 ja uusi 10.06.2022 vaikka lataus sivulla väitetään muokkauspäiväksi 2023-11-04, varmaan silloin vain paketoitu uudeleen tms. kun itse zipin sisällä olevat firmis tiedostot päivätty 10.06.2022 eli ei lopulta juurikaan tuoreempi versio kuin jo sisällä ollut.

Päivityksen jälkeen meinasi syke hieman nousta kun käynnistys kestikin ekalla kerralla hieman pidempään kuin normaalisti mutta käyntiin lähti lopulta ja vaikuttaa että kaikki toimii taas vanhaan malliin.
Onko antaa URL?
Itsellä kiinanpurkki, joka on CWWK:n valmistama, mutta en tajua noiden sivuista mitään. Ehkä väärä sivu, tmv.
 
Onkos täällä fujitsu futro s920 omistajia jolla pyörii pfsense / opnsense... koneessa?
Sain tuosta yhden vehkeen käsiin, mutta jotai fibaa tässä on. Koneen bios ei suostu löytämään msata-levyä.
Saan kyllä pfsensen "asennettua", mutta kun asennuksen jälkeen pitäisi boottailla pfsenseen niin homma tyssää toho. Olen täs koittannu tapella boottitietoja kuntoon, mutta biossiin asti en niitä saa venytettyä.
Jos jollain vehje löytyy ja tietää kuinka homman saa toimii, niin nakelkaa viestiä. Itsellä ideat ihan loppu. 2 eri msata-levyä testattu.
 
Oma Futro s920 ja verkkokortti saapui tuossa välipäivinä, mutta eihän siinä tullut sitä riseria mukana. :facepalm: Sellainen sitten tilaukseen.
Aamulla nyt kuitenkin vähän tutkiskelin ko. laitetta. Levyllä vaikutti olevan vielä joku linuxtyyppinen käyttöjärjestelmä. Vaihdoin kuitenkin isomman mSata-levyn siihen, mutta vähän vaikuttaa ettei BIOSissa tule kuvaa DisplayPortin kautta. Pitää jatkaa vielä testailuja kunhan töistä kotiutuu.
 
Mitenkäs Windows-käyttäjät olette flashanneet OPNSensen imagen usb-tikulle?

Fitlet3 tunnistaa tikun, mutta asennus ei onnistu, boottaa BIOSiin vaikka yrittäisi boottivalikon kautta edetä (ts. vaihtoehtona vain BIOS). Kokeilin flashia Etcherillä ja Rufuksella, kyseessä siis OPNSense vga-image.

Vertailun vuoksi nakkasin samalle tikulle Mintin (Rufuksella) ja toimi heittämällä Fitlet3 kanssa.

Tarkistin myös OPNSense imagen lataamisen jälkeen, että checksum täsmää.

Tämänhän pitäisi olla suunnilleen helpoin osa käyttöönottoa :comp2:
 
Mitenkäs Windows-käyttäjät olette flashanneet OPNSensen imagen usb-tikulle?

Fitlet3 tunnistaa tikun, mutta asennus ei onnistu, boottaa BIOSiin vaikka yrittäisi boottivalikon kautta edetä (ts. vaihtoehtona vain BIOS). Kokeilin flashia Etcherillä ja Rufuksella, kyseessä siis OPNSense vga-image.

Vertailun vuoksi nakkasin samalle tikulle Mintin (Rufuksella) ja toimi heittämällä Fitlet3 kanssa.

Tarkistin myös OPNSense imagen lataamisen jälkeen, että checksum täsmää.

Tämänhän pitäisi olla suunnilleen helpoin osa käyttöönottoa :comp2:

Rufuksella tein omani aikanaan, ei ollut mitään ongelmia sen kanssa. Voisiko olla joku Secure Boot ongelma mahdollisesti? Mint ja monet muut Linux-distrot taitaa osata bootata sekin päällä.
 
Mitenkäs Windows-käyttäjät olette flashanneet OPNSensen imagen usb-tikulle
Tai sitten boottaat minttiin sieltä pitäisi löytyä "USB image writer" toimii sekä tikuilla ja CF korteilla.
Monowal:n sivulla oli joskus joku physdiskwriter? se toimi windowssissa.

Eiks rufus ollut enemmän ISO imageihin?

e: physdiskwrite toiminee vieläkin, käytön kanssa tarkkana!
 
Viimeksi muokattu:
Mitenkäs Windows-käyttäjät olette flashanneet OPNSensen imagen usb-tikulle?

Fitlet3 tunnistaa tikun, mutta asennus ei onnistu, boottaa BIOSiin vaikka yrittäisi boottivalikon kautta edetä (ts. vaihtoehtona vain BIOS). Kokeilin flashia Etcherillä ja Rufuksella, kyseessä siis OPNSense vga-image.

Eiks rufus ollut enemmän ISO imageihin?

Onnistuisiko käyttämällä dvd imagea, tökkää sen Rufuksella/Etcherillä USBille? Noiden erohan on lähinnä siinä että vga on "raaka" levyimage ja dvd on ISO-image.
 
Onnistuisiko käyttämällä dvd imagea, tökkää sen Rufuksella/Etcherillä USBille? Noiden erohan on lähinnä siinä että vga on "raaka" levyimage ja dvd on ISO-image.
Mulla ei ole linux ympäristössä ongelmia, mutta eikös tuo vga ja serial ole sama levykuva eri asetusilla?

Outoa jos windows:iin ei ole raakojen levykuvien käsittely ohjelmaa?
 
Tuossa ainakin yksi, jota itse olen käyttänyt paljon mm. Raspberry Pin eri muistikorttien ja imageiden kanssa:
 
Mulla ei ole linux ympäristössä ongelmia, mutta eikös tuo vga ja serial ole sama levykuva eri asetusilla?

Outoa jos windows:iin ei ole raakojen levykuvien käsittely ohjelmaa?

VGA on näytön kautta konfiguroitava image, Serial taas sarjakaapelilla, esim. PC Engines APU-laitteet. Ei varmaan suuria eroja ole. Rufuksella menty monta vuotta ja ei ongelmia asennuksissa.
 
VGA on näytön kautta konfiguroitava image, Serial taas sarjakaapelilla, esim. PC Engines APU-laitteet. Ei varmaan suuria eroja ole. Rufuksella menty monta vuotta ja ei ongelmia asennuksissa.
Juu tunnen noiden erot, CF korteilla tilanteesta riippuen jompi kumpi. (yleensä VGA ok tosin siinäkin taitaa olla automaaginen serial?
Ainoa ongelma opnsense imagessa on skandien puute. (saa kyllä istunto kohtaisesti)

Lähinnä uteliaisuutta voiko siis Rufuksella kirjoittaa img tiedostoja. Muistaakseni olen kerran kättänyt ohjelmaa ja sekin oli boot tikun tekemistä varten. (pitäis joskus koittaa toimisko virtuaalisessa winxp systeemissä).

Kuitenkin alkuperäinen kysyjä ( @derppi ) sai ilmeisesti ratkaistua ongelmansa.
 
Juu tunnen noiden erot, CF korteilla tilanteesta riippuen jompi kumpi. (yleensä VGA ok tosin siinäkin taitaa olla automaaginen serial?
Ainoa ongelma opnsense imagessa on skandien puute. (saa kyllä istunto kohtaisesti)

Lähinnä uteliaisuutta voiko siis Rufuksella kirjoittaa img tiedostoja. Muistaakseni olen kerran kättänyt ohjelmaa ja sekin oli boot tikun tekemistä varten. (pitäis joskus koittaa toimisko virtuaalisessa winxp systeemissä).

Kuitenkin alkuperäinen kysyjä ( @derppi ) sai ilmeisesti ratkaistua ongelmansa.

Rufuksen FAQsta:

OpenBSD
ISO images for OpenBSD are unsupported due to the boot method used. Use the ###.img images instead. These will be written in DD mode and work on supported USB drives .

edit. Luin väärin, OpenBSD eri kuin FreeBSD. Kokeilemalla selviää.
 
edit. Luin väärin, OpenBSD eri kuin FreeBSD. Kokeilemalla selviää.
Ilmeisesti myös freebsd on omgelmallinen mulla clonezilla ei toiminut.
Asensin Ventoyn avulla opnsensen, dvd-ima
ISO tiedostot on suoraviivaisia.

Eli tuo @Khauron :n linkki on lupaavin windows ympäritöön

Ja jos vielä yleisesti niin nuo img levykuvat on käteviä varsinkin testaukseen, esim. mulla on nyt openwrt tikulla testissä.
 
Onko kenelläkään Multi-Wan käytössä OPNsensen kanssa?

Jätin omassa rakentelussa vähän myöhemmäksi tuon käyttöönoton, ja tuohan vaikuttaa olevan ihan perseestä. Käyttöönotossa jokaiselle WAN:lle pitää määrittää oma julkinen salaamaton DNS-palvelin, joita purkki käyttää kun ko. yhteys vaihtuu käyttöön. Yhden wanin kanssa sain jo mukavasti otettua käyttöön omassa virtuaalikoneessaan pyörivän AdGuard Homen, mutta ei sinne ohjaukset toimi oikein kun on käytössä useampi WAN.

Harkitsin jo, että teen jokaisesta WAN:sta oman OPNsense -virtuaalikoneensa, josta salattu DNS -yhteys ulkomaailmaan, ja sitten kaikki Proxmoxin sisällä yhteen koneeseen joka hanskaa Multi-WAN ja reitityksen. Tarpeettoman vaikeaksi toki tuokin menee.

Ajatus on, että hallintaverkko pysyy omanaan ja sillä oma AdGuard -palvelimensa, ja 3 muuta VLAN:a joilla omansa + tietenkin muurisäännöt joilla määritellään pääsyt.
 
Tänään pääsen jatkamaan, raportoin tänne kun toimiva ratkaisu löytyy :thumbsup:
Jos vielä palais ennenkuin teet turhaa työtä, mulla oli mielessä että fillet3 olisi sarjaporttilaite johon tarvitaan tuo img levykuva, jos haluat vain testata niin opnsense:ssä on myös live mode joka ei tarvitse asennusta eli siihen koita tuota DVD imagea.
Muita on helpompi testata img tiedostoilla. (esim. pfsense,openwr ehkä myös ipfire)
 
Jos vielä palais ennenkuin teet turhaa työtä, mulla oli mielessä että fillet3 olisi sarjaporttilaite johon tarvitaan tuo img levykuva, jos haluat vain testata niin opnsense:ssä on myös live mode joka ei tarvitse asennusta eli siihen koita tuota DVD imagea.
Muita on helpompi testata img tiedostoilla. (esim. pfsense,openwr ehkä myös ipfire)

Pääsin tässä juuri aloittelemaan, koitin äsken alustaa DVD-imagen Rufuksella, ei onnistunut :hmm:

Unsupported image

This image is either non-bootable, or it uses a boot or
compression method that is not supported by Rufus ...


ISO-tiedoston avaaminen Windowsista käsin kyllä onnistuu.

Tarkoituksena on siis ottaa käyttöön nimenomaan OPNSense.
 
Pääsin tässä juuri aloittelemaan, koitin äsken alustaa DVD-imagen Rufuksella, ei onnistunut :hmm:

Unsupported image

This image is either non-bootable, or it uses a boot or
compression method that is not supported by Rufus ...


ISO-tiedoston avaaminen Windowsista käsin kyllä onnistuu.

Tarkoituksena on siis ottaa käyttöön nimenomaan OPNSense.
Select the image type:
  • dvd: ISO installer image with live system capabilities running in VGA mode. On amd64, UEFI boot is supported as well.
  • vga: USB installer image with live system capabilities running in VGA mode as GPT boot. On amd64, UEFI boot is supported as well.

Eli väärä image, ota vga ja sitten ruuffuksella usbille.
 
Select the image type:
  • dvd: ISO installer image with live system capabilities running in VGA mode. On amd64, UEFI boot is supported as well.
  • vga: USB installer image with live system capabilities running in VGA mode as GPT boot. On amd64, UEFI boot is supported as well.

Eli väärä image, ota vga ja sitten ruuffuksella usbille.

vga-image oli eilen kokeilussa, sen kanssa ei päässyt etenemään.

Serial-imagen alustus toimi ja Fitlet3 boottasi tikulta. Tosin nyt jotain muuta on tekeillä, prosessi hyytyy kokonaan, kun pitäisi valita live-moodin ja asennuksen väliltä, login-optiota ei tule näkyviin.

Pitäisi näyttää tältä:

Koodi:
Welcome! OPNsense is running in live mode from install media. Please
login as 'root' to continue in live mode, or as 'installer' to start the
installation. Use the default or previously-imported root password for
both accounts. Remote login via SSH is also enabled.

FreeBSD/amd64 (OPNsense. localdomain) (ttyv0)

login: installer
Password:

Mutta minulla näyttää tältä, ainoa komento joka menee läpi, on ctrl+alt+del...?

Koodi:
Welcome! OPNsense is running in live mode from install media. Please
login as 'root' to continue in live mode, or as 'installer' to start the
installation. Use the default or previously-imported root password for
both accounts. Remote login via SSH is also enabled.

Mihin ihmeeseen tässä tuli lähdettyä... :rofl:
 
vga-image oli eilen kokeilussa, sen kanssa ei päässyt etenemään.

Serial-imagen alustus toimi ja Fitlet3 boottasi tikulta. Tosin nyt jotain muuta on tekeillä, prosessi hyytyy kokonaan, kun pitäisi valita live-moodin ja asennuksen väliltä, login-optiota ei tule näkyviin.

Pitäisi näyttää tältä:

Koodi:
Welcome! OPNsense is running in live mode from install media. Please
login as 'root' to continue in live mode, or as 'installer' to start the
installation. Use the default or previously-imported root password for
both accounts. Remote login via SSH is also enabled.

FreeBSD/amd64 (OPNsense. localdomain) (ttyv0)

login: installer
Password:

Mutta minulla näyttää tältä, ainoa komento joka menee läpi, on ctrl+alt+del...?

Koodi:
Welcome! OPNsense is running in live mode from install media. Please
login as 'root' to continue in live mode, or as 'installer' to start the
installation. Use the default or previously-imported root password for
both accounts. Remote login via SSH is also enabled.

Mihin ihmeeseen tässä tuli lähdettyä... :rofl:

Salasana ei näy kun kirjoitat sitä, login: installer password: opnsense
 
Salasana ei näy kun kirjoitat sitä, login: installer password: opnsense

Minulla siis tuo alempi näkymä, kehotetta syöttää käyttäjä tai salasana ei tule lainkaan näkyviin, vaan hyytyy kohtaan --SSH is also enabled ja kursori hyppää seuraavalla riville.

Tässä kohtaa mainitsen, ennen Fitlet3 tilaamista luin mahdollisista haasteista LAN-sovittimien kanssa. Opnsense (vai pitäisikö sanoa freebsd) ei ainakaan käyttöönottovaiheessa tunnista Marvelin verkkosovitinta. Intelin sovitin tunnistuu, eli toiminnallisesti käytössä on vain WAN/LAN. Ts. opnsense käyttö vaatii 2xLAN -option hankkimisen.

Edit: Jaajaa, mutta onkos tuo serial-image nyt se syy miksei pääse etenemään.
 
Minulla siis tuo alempi näkymä, kehotetta syöttää käyttäjä tai salasana ei tule lainkaan näkyviin, vaan hyytyy kohtaan --SSH is also enabled ja kursori hyppää seuraavalla riville.

Tässä kohtaa mainitsen, ennen Fitlet3 tilaamista luin mahdollisista haasteista LAN-sovittimien kanssa. Opnsense (vai pitäisikö sanoa freebsd) ei ainakaan käyttöönottovaiheessa tunnista Marvelin verkkosovitinta. Intelin sovitin tunnistuu, eli toiminnallisesti käytössä on vain WAN/LAN. Ts. opnsense käyttö vaatii 2xLAN -option hankkimisen.

Edit: Jaajaa, mutta onkos tuo serial-image nyt se syy miksei pääse etenemään.

Nopsaan vastasin, enkä lukenut kunnolla. Serial-image on kai konfattu asentumaan sen USB-sarjakaapelin kanssa, onko sulla se? Eikö ihan dvd-imagella onnistu?
 
Nopsaan vastasin, enkä lukenut kunnolla. Serial-image on kai konfattu asentumaan sen USB-sarjakaapelin kanssa, onko sulla se? Eikö ihan dvd-imagella onnistu?

Joo, USB-sarjakaapelia = ei ole. DVD-image ei jostain syystä suostunut alustumaan Rufuksella, laitoin tuossa aiemmin Rufuksen laittaman herjan, kun sitä yritti alustaa tikulle.

Mutta:

Sain vga-imagen toimimaan täältä löytyneen vinkin avulla: MBR boot option for VGA install via USB stick please

Eli toisella alustussoftalla (Download – alex's coding playground) Fitlet3 tunnisti vga-imagen ja nyt on login-prompti näytöllä. Kyllä tämä tästä vielä lutviutuu.

Edit: Nyt on opnsense asennettu.
 
Viimeksi muokattu:

Statistiikka

Viestiketjuista
257 833
Viestejä
4 485 166
Jäsenet
74 004
Uusin jäsen
S Mike

Hinta.fi

Back
Ylös Bottom