Follow along with the video below to see how to install our site as a web app on your home screen.
Huomio: This feature may not be available in some browsers.
Hyvää joulua!
Osallistu io-techin piparikakkutalokilpailuun 2024 Linkki osallistumisketjuun >>>
SER-huutokaupat hyväntekeväisyyteen käynnissä! Linkki huutokauppaan >>>
Voisiko tämän homman hoitaa muurisäännöillä, jossa kaikki gateway-ryhmään muurilta ulos lähtevä portin 53 salaamaton DNS-liikenne reititettäisiin sisäverkon DNS-palvelimelle, paitsi kyseisen DNS-palvelimen liikenne sallittaisiin ulos gateway-ryhmän kautta?Onko kenelläkään Multi-Wan käytössä OPNsensen kanssa?
Jätin omassa rakentelussa vähän myöhemmäksi tuon käyttöönoton, ja tuohan vaikuttaa olevan ihan perseestä. Käyttöönotossa jokaiselle WAN:lle pitää määrittää oma julkinen salaamaton DNS-palvelin, joita purkki käyttää kun ko. yhteys vaihtuu käyttöön. Yhden wanin kanssa sain jo mukavasti otettua käyttöön omassa virtuaalikoneessaan pyörivän AdGuard Homen, mutta ei sinne ohjaukset toimi oikein kun on käytössä useampi WAN.
Harkitsin jo, että teen jokaisesta WAN:sta oman OPNsense -virtuaalikoneensa, josta salattu DNS -yhteys ulkomaailmaan, ja sitten kaikki Proxmoxin sisällä yhteen koneeseen joka hanskaa Multi-WAN ja reitityksen. Tarpeettoman vaikeaksi toki tuokin menee.
Ajatus on, että hallintaverkko pysyy omanaan ja sillä oma AdGuard -palvelimensa, ja 3 muuta VLAN:a joilla omansa + tietenkin muurisäännöt joilla määritellään pääsyt.
Päädyin ottamaan askeleen taaksepäin, kiitos kuka keksitkään Proxmoxin snapshotit. Palasin ensin yhdellä WAN:lla korjaamaan DNS-reititykset.Voisiko tämän homman hoitaa muurisäännöillä, jossa kaikki gateway-ryhmään muurilta ulos lähtevä portin 53 salaamaton DNS-liikenne reititettäisiin sisäverkon DNS-palvelimelle, paitsi kyseisen DNS-palvelimen liikenne sallittaisiin ulos gateway-ryhmän kautta?
Tällöin AdGuard voisi tarpeen tullen pyytää DoH -osoitteen määritellyllä salaamattomalta palvelimelta loopin välttämiseksi.
Mikä tuohon on syynä, rautavika?pfSense Plus 23.09 -asennus (joka on toinen jalka haudassa) päätti satunnaisen konfiguraatiomuutoksen takia jumittua täysin (vaati PC-raudan reset-nappia), ja bootin jälkeen toiminta oli aika heikkoa, syynä että tämä file oli nollan pituinen:
-rw-r--r-- 1 root wheel 500619 Jan 13 09:35 /cf/conf/config.xml
Onneksi automaattisia backuppeja oli käytettävissä (/cf/conf/backup). Että semmosta, note to self: alapa kasata jotain uutta.
Voi olla, vaikka SSD. Jumittuu kesken bootin ja on todellisessa limp-moodissa. Web-console kuoleentuu jos lähtee käyntiin, samoin ssh. Reititys toimii, dhcp ei oikein jne. SMART-tietoja olisi kiva vilkaista, mutta se ei oikein nyt onnistuMikä tuohon on syynä, rautavika?
Jep, jotain tuollaista epäilisin, voi olla kaapeli vikakin jos on sata kaapelilla kiinni. Jollakin linux live tikulla varmaan sais käyntiin ja pääsis katsoon smart tiedot jos jaksaa harrastaa.Voi olla, vaikka SSD. Jumittuu kesken bootin ja on todellisessa limp-moodissa. Web-console kuoleentuu jos lähtee käyntiin, samoin ssh. Reititys toimii, dhcp ei oikein jne. SMART-tietoja olisi kiva vilkaista, mutta se ei oikein nyt onnistu
E: Myöskään ulkoa tulevat yhteydet eivät näytä forwardoituvan
Aiemmin päivällä kaikki tuntui menevän kuin vettä vaan. Tein Multi-WAN -käyttöönoton kuten OPNsensen dokumentaatio ohjeistaa, sillä poikkeuksella että jätin gateway-kohtaiset DNS-palvelimet laittamatta. Homma toimi, unbound hoiti paikalliset kyselyt ja AdGuard loput välittämättä WAN:sta. Nyt illalla pienen tauon jälkeen sama toistui kuin aiemmin, yhtäkkiä kaikki liikenne pysähtyi puoleksi minuutiksi. Kesken Speedtestin tällä kertaa.Päädyin ottamaan askeleen taaksepäin, kiitos kuka keksitkään Proxmoxin snapshotit. Palasin ensin yhdellä WAN:lla korjaamaan DNS-reititykset.
Testasin paria vaihtoehtoa, lopulta päädyin ottamaan OPNsensen oman natiivin DoT -tuen käyttöön muurin omia kyselyjä varten, tänne putkelle ohjautuu myös AdGuard 1 kyselyt.
Muurisääntö ohjaa muut lähiverkosta tulevat 53 portin kyselyt AdGuard 1:lle. Pientä lomittaisuutta, mutta näin mitään DNS-kyselyitä ei lähde selkokielisinä, kovakoodatut DoT/DoH -kyselyt estetään ja liikenne NextDNS:n on sallittu kaikilta verkkotasoilta jotta myös mobiiliyhteyksin varustetut laitteet joissa pyörii NextDNS laitetasolla toimivat oikein.
AdGuardit 2-4 odottavat valmiina palvelemaan IoT-laitteita, lasten laitteita ja vieras/pilvilaitteita kukin omalla NextDNS -profiilillaan varustettuna.
Huomenna sitten uusi aloitus myös useamman WAN:n kanssa, on vähän helpompi etsiä siitä viat kun pohja on kunnossa.
OPNsense 23.7:n os-ddclient 1.16_2 ainakin sisältää nyt sellaisen custom-toiminnallisuuden, millä dy.fi-päivityksen saa toimimaan. Nähtäväksi vielä jää, miten päivityksen saa toistumaan vähintään 7 päivän välein, vaikka osoite ei muutuTämä on syytä katsoa tarkasti, jos tuota vanhaa ja toimivaa DynDNS-plugaria on käyttänyt. Kun viimeksi katsoin, niin se uusi virallisesti tuettu oli ihan **ska, eikä sillä voinut korvata niitä custom-käyttöjä mitä itsellä on
OPNsensen cron command listalta löytyy suoraan "Force ddclient update". Itellä on se ajossa parina yönä viikossa ja tuntuu pelaavan hyvin.OPNsense 23.7:n os-ddclient 1.16_2 ainakin sisältää nyt sellaisen custom-toiminnallisuuden, millä dy.fi-päivityksen saa toimimaan. Nähtäväksi vielä jää, miten päivityksen saa toistumaan vähintään 7 päivän välein, vaikka osoite ei muutu
En kyllä itse ainakaan näe mitään lisäarvoa ulosmenevän liikenteen porttirajoituksille. Toiseen suuntaan toki kaikki kiinni.Kumpaa lähestymistä käytätte muurisääntöjen ulosmenevässä liikenteessä?
Kaikki estoon ja sallitaan tarvittavat, vai esim. OPNsensen oletus sallitaan kaikki ja estoja tarpeen mukaan?
Aika vähän lopulta tarvitsisi sallia, 80 ja 443 jos esim. DNS ja NTP -liikenne käännetään omille sisäisille palvelimille jne.
Riippuu verkosta, omassa käytössä useita vlan, pääverkossa kaikki sallittu, muista verkoista taas ei ole pääsyä pääverkkoon, mutta nettiin pääsee ja pfBlockerNG hoitaa sitten ulospäin menevän liikenteen suodatukset. Kaikki muurin hallinta porit on estetty pääverkkoa lukuunottamatta ja dns kyselyt ohjataan pfblockerille.Kumpaa lähestymistä käytätte muurisääntöjen ulosmenevässä liikenteessä?
Kaikki estoon ja sallitaan tarvittavat, vai esim. OPNsensen oletus sallitaan kaikki ja estoja tarpeen mukaan?
Aika vähän lopulta tarvitsisi sallia, 80 ja 443 jos esim. DNS ja NTP -liikenne käännetään omille sisäisille palvelimille jne.
Melko vaikeaksi menee kyllä jos avaa vain tarvittavat ulos ja ei tuo oikeastaan mitään lisäturvaa tuo, perus 443:een kun saa kuitenkin haittaohjelmien tekemän liikenteen leivottua. Ellei sitten halua jotain sovelluksien toimintaa estää, kuten Bittorrent tai pelit.Kumpaa lähestymistä käytätte muurisääntöjen ulosmenevässä liikenteessä?
Kaikki estoon ja sallitaan tarvittavat, vai esim. OPNsensen oletus sallitaan kaikki ja estoja tarpeen mukaan?
Aika vähän lopulta tarvitsisi sallia, 80 ja 443 jos esim. DNS ja NTP -liikenne käännetään omille sisäisille palvelimille jne.
Suricataan pohjaa tuo OPNsensen oma sisäänrakennettu IPS/IDS, sillä voi sisäverkon sisäistä ja uloslähtevää liikennettä toki tarkkailla haittaohjelmien varalta. Ehkäpä tosiaan järkevintä niin.Melko vaikeaksi menee kyllä jos avaa vain tarvittavat ulos ja ei tuo oikeastaan mitään lisäturvaa tuo, perus 443:een kun saa kuitenkin haittaohjelmien tekemän liikenteen leivottua. Ellei sitten halua jotain sovelluksien toimintaa estää, kuten Bittorrent tai pelit.
Jos haluaa lähtevää liikennettä tarkkailla niin ehkä joku bottiverkon tai muuten haitalliseksi luokiteltujen osoitteiden suodatus ja lokitus, sitä en tosin tiedä miten tuo OPNsensessä tai pfSensessä tehdään (ilmeisesti tuolla pfBlockerNG:llä onnistuu?).
Miten teit LAN-eristyksen?Sain minäkin vihdoin vaihdettua pfSensen OPNsenseen. Samalla tuli purkkiin päivitettyä BIOS ja lisättyä RAMmia 2 GB -> 8 GB.
Jonkun verran ihmettelemistä oli konffaamisessa. Jotkut asiat tehdään eri tavalla ja jotkut lähes samoin kuin pfSensessä. Web-käyttöliittymä tuntui nopeammalle kuin pfSensessä.
Palomuurisäännöt tuli nyt tehtyä vähän fiksummin. LAN-verkkojen eristys toisistaan on nyt tehty yhdellä säännöllä siten, että jatkossa on helppo lisätä verkkoja. Ei mulla mitään monimutkaista onneksi ollutkaan. Kolme verkkoa ja NAT-säännöt parille pleikalle.
Tehtävää jäi vielä mainossuodatus ja lokit RAMdiskille, ettei SSD kulu.
En toki, kunhan ideoita omien ajatusten tueksi kysyin.Tietysti tuli virheitä kun kirjoitin äkkiä muistista tuon ohjeen verkkojen eristämisestä.
Korjasin privaattiverkkojen osoitteissa olleen maskin alkuperäiseen postaukseen. Sääntökin piti olla pass, eikä block Block tekee just väärinpäin, sallii liikenteen LAN-verkkojen välillä. Laitetaan kuva niin ei tule virheitä.
Pahoittelut @Enhancer jos ehdit jo säätämään edellisen perusteella homman väärin.
Onko kukaan uskaltautunut päivittämään?Opnsense päivittyi eilen 24.1 versioon.
OPNsense Roadmap - Planned enhancements and innovations
OPNsense Roadmap. Planned enhancements and innovations for already one of the best open source firewalls. High-end security made easy™opnsense.org
Onko kukaan uskaltautunut päivittämään?
Joo, ei ongelmia.Onko kukaan uskaltautunut päivittämään?
Hyvin pelittää!Onko kukaan uskaltautunut päivittämään?
Kyhäsin youtuben ohjeiden mukaan reitittimen niin, että taloyhtiön verkko menee Zimaboardiin, jossa on Proxmox VM ja siinä pfsense. Verkkokaupasta ostin aika edullisen TP-Linkin 5-porttisen hallittavan kytkimen. (TP-LINK TL-SG105E -5-porttinen kytkin 24,99)
Ajatus oli vähän parannella kotiverkkoa, ettei noi kaikki kiinalaiset IoT-lamput ois samassa kuin kaikki muut laitteet ja samalla vähän oppia jotain.
Osaatteko sanoa mistä kiikastaa, kun kytkin siirtyy mielivaltaisesti eri vlanien välillä vaikka laittaisin pfsensestä sille staattisen iipeen. Koitin myös pakottaa sitä kytkimen omasta hallintapaneelista tiettyyn IP:hen, mutta sitten sitä ei näkynyt enää missään. Mielellään laittasin kytkimen johonkin omaan VLAN:iinsa. Kytkimen asetukset pitäis vissiin olla aika perus ja oon tarkastanu monesta, että noin ihmiset ne on laittanut. Kaikkia asioita oon myös restarttaillu, mutta kytkin seikkailee. Piti alunperin hankkia Ubiquitin Flex mini -kytkin, mutta niitä ei ollu heti saatavilla niin päädyin TP-Linkkiin. Jos on outoa, että näin käy, niin ehkä hankin eri kytkimen. Jos mun asetuksissa näkyy outoa, niin ehkä pidän tän
Mielellään haluisin niin, että tuo wifireititin antais pfsensen hoitaa DHCP:een, mutta se ei millään onnistunut. Nyt näkyy vaan wifin ip, siellä wifissä on sitten omat wlanit sen reitittimen kautta. Ihan ok, mutta en pääse niitä vlaneja säätämään tuolta pfsensestä.
Nyt tuossa ID1 on kaikki portit untagged, mutta niin jengi on tehnyt. Tuo guest on vaan tuollanen, kun yks portti jäi yli, niin aattelin et voin siihen piuhalla liittää tarvittaes jonkun koneen jos säädän jotain.
Kiitos tosi paljon hyvistä vinkeistä!No on kyllä mielestäni turhan monimutkainen setuppi tuon pfSensen osalta. Nuo block -säännöt ovat turhia, koska pfSense blockkaa oletuksena liikenteen; et tarvitse siihen sääntöä. Ja mikä tuo wifi lanin sääntö on (tai mitä sillä koetetaan saavuttaa, että estät IP4 TCP liikenteen palomuurille?
Yksinkertainen on kaunista, joten ota vaikka setupit talteen tiedostoon ja aloita täysin alusta. pfSensestä ajat factory defaultit, ja luot ne VLANit sinne. Proxmoxiin tuot yhden WAN-langan ja toisen pyhität LANille. LAN voi sisältää monta VLANia.
Proxmoxiin voinet joutua tekemään säännön sen virtuaaliseen kytkimeen, että VLAN on 4095. Itse olen ESXi-miehiä, ja tämän joutuu ESXiin tekemään, jotta VLANit kulkevat esim. palomuurilta --> ESXi virtuaalinen kytkin --> kohdelaite (vaikka kytkin).
TP-Linkin kytkimessä on pakko olla VLAN1, n.s. "feature-by-design".
Täten koetat saada puhtaasta pfSensestä valutettua kytkimelle IP-osoitteen, ja tämän jälkeen voit vaikka kytkeä kytkimen johonkin porttiin vaikka kannettavan, ja koetat saada sille portille eri VLANin (jotka kaikki siis luot pfSensessä, ja kopiot sellaisenaan TP-Linkkiin). Kun saat sille eri VLANin, voit tehdä siitä interfacen ja antaa sille eri verkon ja eri DHCP-alueen.
Mikä sun WIFI-reititin on? Esimerkiksi Asuksen vehkeissä on "kiva" ominaisuus, että router-modessa Asus haluaa hoitaa DHCP:na ja oikeastaan kaiken muunkin. Ja se käsittelee sitä ulkopuolista verkkoa pahana internetinä, niin ulkopuolelta ei pääse WIFI-puolen vehkeisiin kiinni.
Ainoa mahdollisuus on pistää (Asuksen) purkki Access-Point -moodiin, ja tämä sitten tarvitseekin jo Asus-Merlin firmwaren sisään ja komentoriviä että saa homman pelaamaan.
Vaikea selittää ja tajuta mitä kaikkea sinulla on siellä, mutta ainakin yritin. Kysele lisää tässä threadissa kun joku askarruttaa. Ihan ensimmäisenä voit kokeille tuota Proxmoxin virtuaalisen kytkimen VLAN ID:n pistämistä 4095.
Löyty hyvä ohje virrankulutuksen säätöön. Tuossa laitteenaReilu 6 tuntia oli Intel i3-N305 tuossa päällä eli ei merkittävää liikennettä. Mitä nyt verkossa olevat laitteet ottaa nettiin yhteyttä. Aika hyvin käyttää C3:sta.
Laitoin samat asetukset myös Shuttle DS77U laitteeseen. Jonkin aikaa ollut päällä ja tuossa koneessa ei CPU0 mennyt koskaan C3.
Ei noista muutoksista ole mitään haittaa. Kaikki toimii.
Tuli säädettyä tuon HUNSN RJ35 (i3-N305) kokoonpanon virrankulutusta. Neljä verkkokorttia käytössä ja idle kulutus oli 13.4W. Ainoastaan verkkokorttien speed säädöillä sai tiputettua idle kulutuksen 12.5W. Eli mulla on esim. Elisa interfacen nopeus max. 93Mbps niin korttiin 100baseTX <full-duplex>. Yksi interface on hallintajuttuihin niin siihen kanssa 100baseTX <full-duplex>.
Aika turhaa hommaa, mutta nyt tehty
pfSense 23.09.1
Onko muilla minkä verran Errors In virheitä ja pitäskö tuosta huolestua?
OPNsense 24.1.1-amd64
FreeBSD 13.2-RELEASE-p9
OpenSSL 3.0.13
Onko muilla minkä verran Errors In virheitä ja pitäskö tuosta huolestua?
OPNsense 24.1.1-amd64
FreeBSD 13.2-RELEASE-p9
OpenSSL 3.0.13
Syy on hyvin suurella todennäköisyydellä jossain näistä neljässä asiassa:
Onko muilla minkä verran Errors In virheitä ja pitäskö tuosta huolestua?
OPNsense 24.1.1-amd64
FreeBSD 13.2-RELEASE-p9
OpenSSL 3.0.13
Täytyy Lounealta varmaan tiedustella tarkemmin, mutta osaako joku viisaampi kertoa, miten on mahdollista että internettiin päin näkyy whatsmyip, grc.com ym. sivustoilla julkinen IP-osoite, samaten IPFire päivittää no-ip.comiin tuon julkisen IP-osoiteen, mutta palomuurin tiedoissa näkyy wan-puolen IP:nä 100.65-sarjan osoite, eli tuota carrier grade NAT -avaruutta?
Koeta nyt ensi hätään vaikka nollata nuo virheet, ja poistaa asetukset (nämä pfSensestä --> Interfaces --> WAN), mutta opnSensessä varmaan melko samassa paikkaa:Kuluttajien Valokuitu-liittymiin jatkossa myös verkon sisäisiä ipv4-osoitteita | Lounea
Otamme 15.3.2021 käyttöön järjestelmän, jossa kuluttajien Valokuitu-liittymiin jaetaan julkisten, vaihtuvien ip-osoitteiden sijasta Lounean verkon sisäinen ip-osoite. Toiminne otetaan ensin käyttöön hitaimmissa nopeusluokissa. Verkon sisäinen ip-osoite toimii asiakkaiden käyttämien palveluiden...lounea.fi
Vastaus löytyikin. Näköjään aika pitkä ja häilyvä hanke ollut kun keväällä 2021 alkanut ja itse huomasin tämän ongelman vasta tuossa pari viikkoa sitten, kun en päässyt enää vanhempien serveriin kiinni. Pitääkin tilata julkinen IP.
Kokeile etsiä minkä niminen laite on kyseessä (ehkä ix, jos Intelin ohjain). Sitten tarkempaa statistiikkaa, minkälaisia virheitä löytyy, esim.:Lähdetään selvittämään asiaa.
Syy on hyvin suurella todennäköisyydellä jossain näistä neljässä asiassa:
1. Viallinen verkkokaapeli
2. Viallinen yhteys (olipa vikakohde missä tahansa)
3. Viallinen verkkokortin liitin
4. Pakettien MTU-arvot ovat ristiriidassa yhteyden päiden välillä
Toki kaapelin pituudellakin voi olla väliä, mutta oletan että et käytä jotain 100m vetoja.
Koeta nyt ensi hätään vaikka nollata nuo virheet, ja poistaa asetukset (nämä pfSensestä --> Interfaces --> WAN), mutta opnSensessä varmaan melko samassa paikkaa:
Block private networks and loopback addresses
&
Block bogon networks
Ja kerro mitä tapahtuu virheille tämän jälkeen. Varsinkin tuolla WAN-puolella, jossa sinulla on "vaatimattomasti"
46,87 GB sisään ja 811936 errors in
tekee ratioksi 5,773
Errors out on 0, joten en usko että verkkokaapelissa on vikaa, tai joku liitin olisi paskana. Tuo CG-NAT on nyt mihin rahani pistäisin.
Onko sinulla VPN-yhteyttä, millä voisit testata? Joku Linux-torrentti (tai vaikka kolme) lataukseen sen kautta, ja jos errorit näyttää nollaa niin eiköhän se tuo CG-NAT ole.