Tee-se-itse: Rautapalomuurit (pfSense, Sophos UTM..) (Mitä käytätte ja miksi juuri se vaihtoehto?)

Kokeile etsiä minkä niminen laite on kyseessä (ehkä ix, jos Intelin ohjain). Sitten tarkempaa statistiikkaa, minkälaisia virheitä löytyy, esim.:
dev.vtnet.2.%desc: VirtIO Networking Adapter
dev.vtnet.1.%desc: VirtIO Networking Adapter
dev.vtnet.0.%desc: VirtIO Networking Adapter
dev.virtio_pci.4.%desc: VirtIO PCI (legacy) Network adapter
dev.virtio_pci.3.%desc: VirtIO PCI (legacy) Network adapter
dev.virtio_pci.2.%desc: VirtIO PCI (legacy) Network adapter
root@OPNsense2:~ # sysctl dev.vtnet.1 | grep sum
dev.vtnet.1.txq0.csum: 0
dev.vtnet.1.rxq0.csum_failed: 0
dev.vtnet.1.rxq0.csum: 144396854
dev.vtnet.1.tx_csum_offloaded: 0
dev.vtnet.1.tx_tso_without_csum: 0
dev.vtnet.1.tx_csum_proto_mismatch: 0
dev.vtnet.1.tx_csum_unknown_ethtype: 0
dev.vtnet.1.rx_csum_offloaded: 0
dev.vtnet.1.rx_csum_failed: 0
dev.vtnet.1.rx_csum_bad_proto: 0
dev.vtnet.1.rx_csum_bad_offset: 0
dev.vtnet.1.rx_csum_bad_ipproto: 0
dev.vtnet.1.rx_csum_bad_ethtype: 0

sysctl dev.bge | grep sum

dev.bge.3.forced_udpcsum: 0
dev.bge.2.forced_udpcsum: 0
dev.bge.1.forced_udpcsum: 0
dev.bge.0.forced_udpcsum: 0

E:

bge0 = WAN
bge1 = LAN
bge2 = IOT
bge3 = NAS

E2: Verkkokortti on siis Dell Broadcom 5719 Quad NIC

sysctl -a | egrep "^dev" | grep -i bge
device bge
dev.miibus.3.%parent: bge3
dev.miibus.2.%parent: bge2
dev.miibus.1.%parent: bge1
dev.miibus.0.%parent: bge0
dev.bge.3.stats.tx.BroadcastPkts: 0
dev.bge.3.stats.tx.MulticastPkts: 0
dev.bge.3.stats.tx.UnicastPkts: 0
dev.bge.3.stats.tx.LateCollisions: 0
dev.bge.3.stats.tx.ExcessiveCollisions: 0
dev.bge.3.stats.tx.DeferredTransmissions: 0
dev.bge.3.stats.tx.MultipleCollisionFrames: 0
dev.bge.3.stats.tx.SingleCollisionFrames: 0
dev.bge.3.stats.tx.InternalMacTransmitErrors: 0
dev.bge.3.stats.tx.XoffSent: 0
dev.bge.3.stats.tx.XonSent: 0
dev.bge.3.stats.tx.Collisions: 0
dev.bge.3.stats.tx.ifHCOutOctets: 0
dev.bge.3.stats.rx.UndersizePkts: 0
dev.bge.3.stats.rx.Jabbers: 0
dev.bge.3.stats.rx.FramesTooLong: 0
dev.bge.3.stats.rx.xoffStateEntered: 0
dev.bge.3.stats.rx.ControlFramesReceived: 0
dev.bge.3.stats.rx.xoffPauseFramesReceived: 0
dev.bge.3.stats.rx.xonPauseFramesReceived: 0
dev.bge.3.stats.rx.AlignmentErrors: 0
dev.bge.3.stats.rx.FCSErrors: 0
dev.bge.3.stats.rx.BroadcastPkts: 0
dev.bge.3.stats.rx.MulticastPkts: 0
dev.bge.3.stats.rx.UnicastPkts: 0
dev.bge.3.stats.rx.Fragments: 0
dev.bge.3.stats.rx.ifHCInOctets: 0
dev.bge.3.stats.RecvThresholdHit: 0
dev.bge.3.stats.InputErrors: 0
dev.bge.3.stats.InputDiscards: 0
dev.bge.3.stats.NoMoreRxBDs: 0
dev.bge.3.stats.DmaWriteHighPriQueueFull: 0
dev.bge.3.stats.DmaWriteQueueFull: 0
dev.bge.3.stats.FramesDroppedDueToFilters: 0
dev.bge.3.forced_udpcsum: 0
dev.bge.3.msi: 1
dev.bge.3.forced_collapse: 0
dev.bge.3.%parent: pci1
dev.bge.3.%pnpinfo: vendor=0x14e4 device=0x1657 subvendor=0x14e4 subdevice=0x1904 class=0x020000
dev.bge.3.%location: slot=0 function=3 dbsf=pci0:1:0:3
dev.bge.3.%driver: bge
dev.bge.3.%desc: Broadcom NetXtreme Gigabit Ethernet, ASIC rev. 0x5719001
dev.bge.2.stats.tx.BroadcastPkts: 14
dev.bge.2.stats.tx.MulticastPkts: 5340
dev.bge.2.stats.tx.UnicastPkts: 256381
dev.bge.2.stats.tx.LateCollisions: 0
dev.bge.2.stats.tx.ExcessiveCollisions: 0
dev.bge.2.stats.tx.DeferredTransmissions: 0
dev.bge.2.stats.tx.MultipleCollisionFrames: 0
dev.bge.2.stats.tx.SingleCollisionFrames: 0
dev.bge.2.stats.tx.InternalMacTransmitErrors: 0
dev.bge.2.stats.tx.XoffSent: 0
dev.bge.2.stats.tx.XonSent: 0
dev.bge.2.stats.tx.Collisions: 0
dev.bge.2.stats.tx.ifHCOutOctets: 264228545
dev.bge.2.stats.rx.UndersizePkts: 0
dev.bge.2.stats.rx.Jabbers: 0
dev.bge.2.stats.rx.FramesTooLong: 0
dev.bge.2.stats.rx.xoffStateEntered: 0
dev.bge.2.stats.rx.ControlFramesReceived: 0
dev.bge.2.stats.rx.xoffPauseFramesReceived: 0
dev.bge.2.stats.rx.xonPauseFramesReceived: 0
dev.bge.2.stats.rx.AlignmentErrors: 0
dev.bge.2.stats.rx.FCSErrors: 0
dev.bge.2.stats.rx.BroadcastPkts: 11919
dev.bge.2.stats.rx.MulticastPkts: 1520
dev.bge.2.stats.rx.UnicastPkts: 163157
dev.bge.2.stats.rx.Fragments: 0
dev.bge.2.stats.rx.ifHCInOctets: 34826295
dev.bge.2.stats.RecvThresholdHit: 0
dev.bge.2.stats.InputErrors: 0
dev.bge.2.stats.InputDiscards: 0
dev.bge.2.stats.NoMoreRxBDs: 1
dev.bge.2.stats.DmaWriteHighPriQueueFull: 0
dev.bge.2.stats.DmaWriteQueueFull: 0
dev.bge.2.stats.FramesDroppedDueToFilters: 0
dev.bge.2.forced_udpcsum: 0
dev.bge.2.msi: 1
dev.bge.2.forced_collapse: 0
dev.bge.2.%parent: pci1
dev.bge.2.%pnpinfo: vendor=0x14e4 device=0x1657 subvendor=0x14e4 subdevice=0x1904 class=0x020000
dev.bge.2.%location: slot=0 function=2 dbsf=pci0:1:0:2
dev.bge.2.%driver: bge
dev.bge.2.%desc: Broadcom NetXtreme Gigabit Ethernet, ASIC rev. 0x5719001
dev.bge.1.stats.tx.BroadcastPkts: 10
dev.bge.1.stats.tx.MulticastPkts: 0
dev.bge.1.stats.tx.UnicastPkts: 58393203
dev.bge.1.stats.tx.LateCollisions: 0
dev.bge.1.stats.tx.ExcessiveCollisions: 0
dev.bge.1.stats.tx.DeferredTransmissions: 0
dev.bge.1.stats.tx.MultipleCollisionFrames: 0
dev.bge.1.stats.tx.SingleCollisionFrames: 0
dev.bge.1.stats.tx.InternalMacTransmitErrors: 0
dev.bge.1.stats.tx.XoffSent: 0
dev.bge.1.stats.tx.XonSent: 0
dev.bge.1.stats.tx.Collisions: 0
dev.bge.1.stats.tx.ifHCOutOctets: 64671844233
dev.bge.1.stats.rx.UndersizePkts: 0
dev.bge.1.stats.rx.Jabbers: 0
dev.bge.1.stats.rx.FramesTooLong: 0
dev.bge.1.stats.rx.xoffStateEntered: 0
dev.bge.1.stats.rx.ControlFramesReceived: 0
dev.bge.1.stats.rx.xoffPauseFramesReceived: 0
dev.bge.1.stats.rx.xonPauseFramesReceived: 0
dev.bge.1.stats.rx.AlignmentErrors: 0
dev.bge.1.stats.rx.FCSErrors: 0
dev.bge.1.stats.rx.BroadcastPkts: 515
dev.bge.1.stats.rx.MulticastPkts: 5007
dev.bge.1.stats.rx.UnicastPkts: 35598543
dev.bge.1.stats.rx.Fragments: 0
dev.bge.1.stats.rx.ifHCInOctets: 7673353985
dev.bge.1.stats.RecvThresholdHit: 0
dev.bge.1.stats.InputErrors: 0
dev.bge.1.stats.InputDiscards: 0
dev.bge.1.stats.NoMoreRxBDs: 36
dev.bge.1.stats.DmaWriteHighPriQueueFull: 0
dev.bge.1.stats.DmaWriteQueueFull: 0
dev.bge.1.stats.FramesDroppedDueToFilters: 0
dev.bge.1.forced_udpcsum: 0
dev.bge.1.msi: 1
dev.bge.1.forced_collapse: 0
dev.bge.1.%parent: pci1
dev.bge.1.%pnpinfo: vendor=0x14e4 device=0x1657 subvendor=0x14e4 subdevice=0x1904 class=0x020000
dev.bge.1.%location: slot=0 function=1 dbsf=pci0:1:0:1 handle=\_SB_.PCI0.GFX_.HDAU
dev.bge.1.%driver: bge
dev.bge.1.%desc: Broadcom NetXtreme Gigabit Ethernet, ASIC rev. 0x5719001
dev.bge.0.stats.tx.BroadcastPkts: 10
dev.bge.0.stats.tx.MulticastPkts: 2
dev.bge.0.stats.tx.UnicastPkts: 35754963
dev.bge.0.stats.tx.LateCollisions: 0
dev.bge.0.stats.tx.ExcessiveCollisions: 0
dev.bge.0.stats.tx.DeferredTransmissions: 0
dev.bge.0.stats.tx.MultipleCollisionFrames: 0
dev.bge.0.stats.tx.SingleCollisionFrames: 0
dev.bge.0.stats.tx.InternalMacTransmitErrors: 0
dev.bge.0.stats.tx.XoffSent: 0
dev.bge.0.stats.tx.XonSent: 0
dev.bge.0.stats.tx.Collisions: 0
dev.bge.0.stats.tx.ifHCOutOctets: 7704100715
dev.bge.0.stats.rx.UndersizePkts: 0
dev.bge.0.stats.rx.Jabbers: 0
dev.bge.0.stats.rx.FramesTooLong: 0
dev.bge.0.stats.rx.xoffStateEntered: 0
dev.bge.0.stats.rx.ControlFramesReceived: 0
dev.bge.0.stats.rx.xoffPauseFramesReceived: 0
dev.bge.0.stats.rx.xonPauseFramesReceived: 0
dev.bge.0.stats.rx.AlignmentErrors: 0
dev.bge.0.stats.rx.FCSErrors: 0
dev.bge.0.stats.rx.BroadcastPkts: 0
dev.bge.0.stats.rx.MulticastPkts: 1211
dev.bge.0.stats.rx.UnicastPkts: 59073699
dev.bge.0.stats.rx.Fragments: 0
dev.bge.0.stats.rx.ifHCInOctets: 64942072988
dev.bge.0.stats.RecvThresholdHit: 0
dev.bge.0.stats.InputErrors: 0
dev.bge.0.stats.InputDiscards: 8138
dev.bge.0.stats.NoMoreRxBDs: 172
dev.bge.0.stats.DmaWriteHighPriQueueFull: 0
dev.bge.0.stats.DmaWriteQueueFull: 0
dev.bge.0.stats.FramesDroppedDueToFilters: 0
dev.bge.0.forced_udpcsum: 0
dev.bge.0.msi: 1
dev.bge.0.forced_collapse: 0
dev.bge.0.%parent: pci1
dev.bge.0.%pnpinfo: vendor=0x14e4 device=0x1657 subvendor=0x14e4 subdevice=0x1904 class=0x020000
dev.bge.0.%location: slot=0 function=0 dbsf=pci0:1:0:0 handle=\_SB_.PCI0.GFX_.VGA_
dev.bge.0.%driver: bge
dev.bge.0.%desc: Broadcom NetXtreme Gigabit Ethernet, ASIC rev. 0x5719001
dev.bge.%parent:
 
Viimeksi muokattu:
InputDiscards lienee tässä jonkin L2-protokollan viestejä tai vastaavaa, jotka heitetään tarkoituksella roskiin, koska niitä ei käsitellä. Eli eivät ole varsinaisia virheitä. Hankala sanoa tarkemmin mitä, kun ei ole tietoa liittymän teknisestä toteutuksesta. Wiresharkilla voi tietysti selvittää tämän tarkemmin halutessaan, tai vain jatkaa normaalia käyttöä.
 
InputDiscards lienee tässä jonkin L2-protokollan viestejä tai vastaavaa, jotka heitetään tarkoituksella roskiin, koska niitä ei käsitellä. Eli eivät ole varsinaisia virheitä. Hankala sanoa tarkemmin mitä, kun ei ole tietoa liittymän teknisestä toteutuksesta. Wiresharkilla voi tietysti selvittää tämän tarkemmin halutessaan, tai vain jatkaa normaalia käyttöä.

Sinällänsä peruskäytössä ei oo mitään ongelmia ollut, eikä muutenkaan, mutta silmään osui nuo luvut niin rupesin aprikoimaan että mikähän homma.
 
E2: Verkkokortti on siis Dell Broadcom 5719 Quad NIC
Itsellä oli viimeiseksi jääneessä pfSense-asennuksessa (reilu 5v sitten tehty, ruumiinavaus vielä suorittamatta) emolla yksi Realtek RTL8111E -verkkoliitäntä. Tripla-WANissakin se osoittautui sen verran huonosti toimivaksi (jotain havaintoja tämän ketjun uumenissa), että siirsin siitä piuhan halpaan Intel I350-T4 rev 01 (quad-GbE) vapaaseen porttiin. Tällä yhdellä huonolla FreeBSD Broadcom-kokemuksella (moitteettomiakin on) sanoisin, että jotain voi olla odotettavissa
 
InputDiscards lienee tässä jonkin L2-protokollan viestejä tai vastaavaa, jotka heitetään tarkoituksella roskiin, koska niitä ei käsitellä. Eli eivät ole varsinaisia virheitä
Se varsinainen ongelma taitaa olla toisella rivillä:
dev.bge.0.stats.InputDiscards: 8138
dev.bge.0.stats.NoMoreRxBDs: 172
Esim. tässä vastaavaa ihmettelyä Errors on LAN interface
E: Ja tässä tuunausta NoMoreRxBDs causing slow speed?
 
Viimeksi muokattu:
Broadcom korttiin löytyy jotain tuunausta. En sen tarkemmin tiedä.

1708237379193.png


Pfsensen Loader Tunables:

Edit: Jos tekee noita muutoksia niin kannattaa ottaa ensin asetuksista backup ja tehdä asennusmedia. Aina mahdollista, että jotain menee rikki.
 
Viimeksi muokattu:
Itsellä oli viimeiseksi jääneessä pfSense-asennuksessa (reilu 5v sitten tehty, ruumiinavaus vielä suorittamatta) emolla yksi Realtek RTL8111E -verkkoliitäntä. Tripla-WANissakin se osoittautui sen verran huonosti toimivaksi (jotain havaintoja tämän ketjun uumenissa), että siirsin siitä piuhan halpaan Intel I350-T4 rev 01 (quad-GbE) vapaaseen porttiin. Tällä yhdellä huonolla FreeBSD Broadcom-kokemuksella (moitteettomiakin on) sanoisin, että jotain voi olla odotettavissa
Täällä myös vähän heikkoja kokemuksia Realtekin kortista (Dell emolla). Oletusajurilla katkesi liikenne kokonaan jos muutaman minuutin siirsi täyttä gigabittia, edes toiseen suuntaan. Jollain ajurivirityksellä sen sai lopulta vakaaksi kyllä.

Mutta ostin kuitenkin halvan Intelin dual kortin, ja se on toiminut ilman mitään kikkailuja.
 
No niin, Lounea vaihtoi vanhempien liittymään takaisin julkisen ip-osoitteen niin sai VPN-putken auki


Yhdessä päässä laitteena HP:n T730 Thin Client ja toisessa APU2. Softana molemmissa IPFire.
 
Oliko tämä nyt tämä missä tuli out:ssa virheitä, vai taasko sekoitanko?
Nollaa mittarit ja sitten vaan kamaa sisään / ulos.
 
Onko joku testaillut PFSensen kanssa jo onnistuneesti Intel I225-V 2.5G verkkokortteja?

Ja ei liene hirveästi PFSensen näkökulmasta väliä, onko Dual kortti vaiko 2x single korttia käytössä?
 
Oliko tämä nyt tämä missä tuli out:ssa virheitä, vai taasko sekoitanko?
Nollaa mittarit ja sitten vaan kamaa sisään / ulos.
 
Oliko tämä nyt tämä missä tuli out:ssa virheitä, vai taasko sekoitanko?
Nollaa mittarit ja sitten vaan kamaa sisään / ulos.
Sekoitat. Mulla kulkee data hyvin. @Aaltoliike ollut jotain häröä.

Jos joku IPFirella ja IPSecillä tekee VPN-putken, niin vaikka ohjeissa on, että serttejä käyttäessä voi id-kohdat jättää tyhjäksi, ei ainakaan itsellän toiminut, vaan niihinkin piti jotain laittaa.
The ID fields at the top section of the page should be left empty.
 
Itsellä oli viimeiseksi jääneessä pfSense-asennuksessa (reilu 5v sitten tehty, ruumiinavaus vielä suorittamatta) emolla yksi Realtek RTL8111E -verkkoliitäntä. Tripla-WANissakin se osoittautui sen verran huonosti toimivaksi (jotain havaintoja tämän ketjun uumenissa), että siirsin siitä piuhan halpaan Intel I350-T4 rev 01 (quad-GbE) vapaaseen porttiin. Tällä yhdellä huonolla FreeBSD Broadcom-kokemuksella (moitteettomiakin on) sanoisin, että jotain voi olla odotettavissa

Intel i350-T4 Quad Port 1GbE RJ-45 PCIe Ethernet Server Adapter - Short Card

Olisiko tässä parempi verkkokortti? Vai mitä Quad mallia suosittelette? 1GB riittää täällä vauhdiksi.
 
Onko joku testaillut PFSensen kanssa jo onnistuneesti Intel I225-V 2.5G verkkokortteja?

Ja ei liene hirveästi PFSensen näkökulmasta väliä, onko Dual kortti vaiko 2x single korttia käytössä?
Muistelisin että i225-verkkokorttien kanssa oli joitakin ongelmia. Kannattaa siis suosiolla etsiä i226 piirillä olevia. Luultavasti i225:kin toimii uusimmassa pfSense-versiossa, mutta jos on varaa valita kannattaa valita joko i226 tai sitten joku SFP+-kortti joka kykenee neuvottelemaan myös 2.5G linkin.
 
Tuo pitäisi olla toimivalla piirillä, kunhan tulee aito kortti niin käsittääkseni huippu luokkaa.
Muistasin et noissa oli jotain vaihtelua firmiksien oletuksessa. Miten virtuaalisoinnit toimi ja siten osa näkyisi proxmoxis yms. vähän eri tavalla mitä peruskorteilla. En nyt muista miten käytännössä. Et olisko ollut ettei näy proxmoxin verkkoliitännöis. Mut saat verkkokortin suoraan virtuaalikoneissa suoraan. Jotain iommu ja sr-iov firmware versiosta riippuvaa jollen ihan väärin muista. Jotain vaan tappelin proxmox klusterissa pfsensen kanssa kun koitin saada kyseisille korteille pass troughia. Vaihteli korttien välillä vaikka samoja kortteja.
 
Viimeksi muokattu:
Muistasin et noissa oli jotain vaihtelua firmiksien oletuksessa. Miten virtuaalisoinnit toimi ja siten osa näkyisi proxmoxis yms. vähän eri tavalla mitä peruskorteilla. En nyt muista miten käytännössä. Et olisko ollut ettei näy proxmoxin verkkoliitännöis. Mut saat verkkokortin suoraan virtuaalikoneissa suoraan. Jotain iommu ja sr-iov firmware versiosta riippuvaa jollen ihan väärin muista. Jotain vaan tappelin proxmox klusterissa pfsensen kanssa kun koitin saada kyseisille korteille pass troughia. Vaihteli korttien välillä vaikka samoja kortteja.
Ilmeisesti nuo firmis erot koskevat eri valmistajien kortteja, vaikka niissä on sama piiri niin jotain muita eroja voi olla. Aito intel lienee varmin valinta, mutta ne ovat yleensä harvinaisia ja kalliita.
 
Muistasin et noissa oli jotain vaihtelua firmiksien oletuksessa. Miten virtuaalisoinnit toimi ja siten osa näkyisi proxmoxis yms. vähän eri tavalla mitä peruskorteilla. En nyt muista miten käytännössä. Et olisko ollut ettei näy proxmoxin verkkoliitännöis. Mut saat verkkokortin suoraan virtuaalikoneissa suoraan. Jotain iommu ja sr-iov firmware versiosta riippuvaa jollen ihan väärin muista. Jotain vaan tappelin proxmox klusterissa pfsensen kanssa kun koitin saada kyseisille korteille pass troughia. Vaihteli korttien välillä vaikka samoja kortteja.

Itsekin piti ethtoolilla kääntää bitti Amazonista ostetusta I350-T2V2 verkkokortista, niin alkoi sr-iov toimimaan.
 
Mulla on ongelmia nettiyhteyden laadun kanssa; kaksikin eri 5g mokkulaa käytössä; Elisa ja DNA.
Molemmat ovat kiinni pfSense reitittimessä; failover konffattuna.
Saako pfSenseen pidemmän ajan seurantaa; viive, pakettihäviö jne? Myös DNS kyselyjen onnistumisprosentti kiinnostaa.
Toki noi näkyy pfSensen käyttöliittymässä, mutta saako ne helposti talteen johonkin tiedostoon tms?
 
Mulla on ongelmia nettiyhteyden laadun kanssa; kaksikin eri 5g mokkulaa käytössä; Elisa ja DNA.
Molemmat ovat kiinni pfSense reitittimessä; failover konffattuna.
Saako pfSenseen pidemmän ajan seurantaa; viive, pakettihäviö jne? Myös DNS kyselyjen onnistumisprosentti kiinnostaa.
Toki noi näkyy pfSensen käyttöliittymässä, mutta saako ne helposti talteen johonkin tiedostoon tms?
Mitä DNS-palvelua käytät? Oletko miten konffannut tuon 2 wanin kanssa?
 
WAN1 = DNA 600Mbit/s - DNA brandatty H158-381; hyvänä päivänä pääsen tolla - n. 300/50Mbit/s - latency 20-30ms
WAN2 = Elisa 600Mbit/s - Telewell Industrial 5G; jää johonkin 80/20Mbit/s, mutta epäilen ettei koko 5G edes toimi, eli pelkkä LTE käytössä. Täytyy ottaa yhteyttä myyjään / Telewell ja kysellä onko modeemissa vikaa.

Dashboard.
DNS server(s)
62.241.198.245
62.241.198.246
195.197.54.100
195.74.0.47
8.8.8.8
1.1.1.1

System/General setupissa on konffattu noi 8.8.8.8 ja 1.1.1.1, mutta siellä on täppä 'Allow DNS server list to be overridden by DHCP/PPP...'
DNS Resolution Behavior = Use remote DNS Servers, ignore local DNS.

Kumpikaan DNS Forwarder tai Resolver eivät ole päällä.
System/Routing/Gateways WAN1 on Tier1 (Monitor IP: 1.1.1.1) ja WAN2 on Tier2 (Monitor IP: 1.0.0.1), mutta olen kokeillut myös Monitor IP:einä 8.8.8.8 ja 8.4.4.8
Gateway Groups:issa olen sitten tehnyt ton WAN_Failover.
Firewall NAT ja Rules ovat about identtiset molemmille WAN:eille.


Kokeilin asentaa bandwidthd packagen, katson jos sillä saisi statistiikkaa.

DNA yhteys voi toimia päiviä, jopa viikkoja ihan hyvin, mutta välillä yhteys pätkii todella paljon. Webbisivut ei aukea kuin reloadia rämpyttämällä. Yhteys on välillä kokonaan katki useita minutteja, tai pakettihäviö jäätävä.
Elisa yhteys on tavallaan vakaampi, mutta sekin väilliä hidastuu muutamaan Mbps ja viiveet 1+ sek. Mutta ei tule mitään pitkää taukoa.
Eli ongelmat ovat ajoittaisia. Ainakin DNA tapauksessa epäilen DNS ongelmaa, ping www.is.fi tms ei tahdo mennä läpi kun tilanne on päällä.
Tai joku reititys ongelma.

Eikä laitteiden buuttaaminenkaan oikein auta, tilanne korjautuu lopulta itsestään.
pfSense on omassa raudassa, ja olen myös kokeillut käyttää suoraan modeemia reitittimenä -> samat ongelmat tällöinkin.
Normaalisti modeemit ovat bridged tilassa.

Liitteenä pari kuvaa jossa ongelma on pahimmillaan.

Ehkä tämä valitus kuuluisi 5G ketjuun :)
 

Liitteet

  • pfSense_WAN_status2.jpg
    pfSense_WAN_status2.jpg
    36,8 KB · Luettu: 36
  • pfSense_WAN_status.jpg
    pfSense_WAN_status.jpg
    37,3 KB · Luettu: 35
Voisiko olla verkossa lyhyt katkos, jossa vaihtuu ip, joka sitten aiheuttaa lease timen mittaisen katkon? Sillattunahan mobiilit ovat aika virityksiä. Mobiilissa ei ole DHCP:tä, vaan modeemi saa ip osoitteen eri tavalla verkosta. Modeemilla siis jossain muodossa aina se wan osoite, joka sitten jollain virityksellä tarjotaan mahdollisimman läpinäkyvästi lyhyellä lease timellä modeemin takana olevalle laitteelle. 5g ketjussa taisi olla tästä keskustelua.

Vakaampi vaihtoehto olisi jättää modeemit reitittävään tilaan, ja muurille kiinteä sisäverkon ip NATin takaa. Silloin modeemi saa hoitaa mobiiliverkon itsenäisesti. DMZn voi toki laittaa jos haluaa liikennettä sisäänpäin, mutta ei liene tässä tärkeä, jos jo muutenkin on kaksi eri yhteyttä.
 
Mulla pyörii kotilabrassa palveluja joihinka pitää päästä ulkoa 24/7 (erilaisia kryptovirityksiä). Tämän takia pidän modeemeja bridged tilassa, jottei tule ns double NAT:ia. Ja jos pidän modeemin reitättävässä tilassa joudun määrittelemään portti ohjauksen modeemiin, sekä pfSenseen. Mutta jos ongelmat toistuu, niin täytyy kokeilla tota.
 
DNA yhteys voi toimia päiviä, jopa viikkoja ihan hyvin, mutta välillä yhteys pätkii todella paljon. Webbisivut ei aukea kuin reloadia rämpyttämällä. Yhteys on välillä kokonaan katki useita minutteja, tai pakettihäviö jäätävä.
Elisa yhteys on tavallaan vakaampi, mutta sekin väilliä hidastuu muutamaan Mbps ja viiveet 1+ sek. Mutta ei tule mitään pitkää taukoa.
Eli ongelmat ovat ajoittaisia. Ainakin DNA tapauksessa epäilen DNS ongelmaa, ping www.is.fi tms ei tahdo mennä läpi kun tilanne on päällä.
Tai joku reititys ongelma.
Oletko kokeillut vaihtaa päikseen sim kortteja noihin modeemeihin? Siirtyykö ongelmat liittymän mukana vai ovatko laite kohtaisia?

Mulla pyörii kotilabrassa palveluja joihinka pitää päästä ulkoa 24/7 (erilaisia kryptovirityksiä). Tämän takia pidän modeemeja bridged tilassa, jottei tule ns double NAT:ia. Ja jos pidän modeemin reitättävässä tilassa joudun määrittelemään portti ohjauksen modeemiin, sekä pfSenseen. Mutta jos ongelmat toistuu, niin täytyy kokeilla tota.
EIkös noissa laitteissa ole mahdollista määrittää yhtä IP-osoitetta DMZ tilaan? Ainakin Huawei B715:llä ja Zyxel LTE 3301:llä DMZ yhteys päästää liikenteen läpi samalla tavalla kuin olisi sillattuna. Ei tarvi portteja availla erikseen modeemeista. Pitkään itsekkin käytin sillattua tilaa että sain julkisen IP:n IPFirelle mutta nyt on tullut huomattua että enemmän harmaita hiuksia tuo siltaus aiheuttaa kuin DMZ:n tilan käyttäminen.
 
  • Tykkää
Reactions: k70
Kiitokset neuvoista. En edes tiennyt mihin tota DMZ:tä voi käyttää. Nyt on molemmissa modeemeissa Reititys tila + DMZ päällä ja tuntuisi toimivan hyvin toistaiseksi.:thumbsup:

Edit: Yhteydet ovat olleet toistaiseksi vakaat. Mutta huomasin ettei UPnP toimi enää. Kokeilin laittaa myös Stun:in päälle, muttei auttanut. Mutta tämä UPnP toimimattomuus ei ole iso ongelma.
 
Viimeksi muokattu:
  • Tykkää
Reactions: k70
Kiitokset neuvoista. En edes tiennyt mihin tota DMZ:tä voi käyttää. Nyt on molemmissa modeemeissa Reititys tila + DMZ päällä ja tuntuisi toimivan hyvin toistaiseksi.:thumbsup:

Edit: Yhteydet ovat olleet toistaiseksi vakaat. Mutta huomasin ettei UPnP toimi enää. Kokeilin laittaa myös Stun:in päälle, muttei auttanut. Mutta tämä UPnP toimimattomuus ei ole iso ongelma.
Nuo ongelmat kuulostaa hiukan samoilta, mitä minulla oli aiemmin. Nyt testipenkki on ollut iloisten perhetapahtumien johdosta kylmänä jo reilun kuukauden, ja interfacejen käsittelyyn liittyvä päivitys on tullut tässä välissä.
 
Onko kukaan uskaltautunut päivittämään?
Vähän oli ongelmaa OPNsense 23.7.12 -> 24.1.2_1 -päivityksessä, nimittäin web UI toimi aika heikosti päivityksen jälkeen. Ongelma koski erityisesti Lobby/Dashboardia, minne ländätään oletuksena. Toimivien paikkojen kautta sai kuitenkin muita valikon kohteita avattua sen verran, että sai poistetuksi vanhan os-dyndns - ja os-wireguard pluginit, minkä jälkeen kaikki vaikutti taas normaalilta.
 
päivitin just 23.1.5 --> 24.1.2_1
toimii, ei tosin oo mitään moduuleita. pelkkä palomuuri/reititys ja dns. verkossa yks servu domainineen, oman pöytäkoneen lisäksi.
muutaman kerran sai painaa "upgrade now" nappia
 
Ääh, auttakaa OPNsense/VLAN-ummikkoa...

Eli laitteistosta löytyvät:

OPNsense ( 24.1.2_1-amd64) -> HPE Aruba 1830 8G (L2 kytkin) -> 2x HPE Aruba AP11D (WLAN tukiasema, joissa lisäksi 3x 1Gb uplink, toinen toimii vain tukiasemana, toisessa on piuhalla kiinni Hue yms.)

Haluan vain siirtää Philips Huen, kännykät ym. erillisen VLANiin.

OPNsense on otettu käyttöön näiden ohjeiden mukaan https://homenetworkguy.com/how-to/beginners-guide-to-set-up-home-network-using-opnsense/. Eli VLAN 1 ja VLAN 10.

Aruba 1830 on määritetty:

Verkko VLAN 1
Verkko VLAN 10
WLAN tietokoneille (olkoot tässä yhteydessä WLAN 1)
WLAN muille laitteille (olkoot tässä yhteydessä WLAN IOT)

Kaikki toimii hyvin siihen asti, kunnes siirrän WLAN IOT verkon VLAN 10 alaisuuteen. Sen jälkeen laitteet kyllä löytävät WLAN IOT:n, mutta eivät saa IP-osoitetta.

1709657986120.png


OPNsensen asetuksista on päällä VLAN 10 DHCP (Enable DHCP server on the UNTRUSTED interface)

En enää ymmärrä mitä teen väärin, toisaalta en ole koskaan ennen ollut tekemisissä VLANien kanssa saati käyttänyt hallittavaa L2-kytkintä.

Aruban asetuksissa voi laittaa myös NAT-tilan päälle, mutta miten IP pitäisi tuossa sitten määrittää. OPNsense VLAN 10 ip-avaruus on asetettu --10.100... 10.200

1709657893979.png


Selitys jätti varmaan paljon toivomisen varaa, pahoittelut siitä!
 
Kaikki toimii hyvin siihen asti, kunnes siirrän WLAN IOT verkon VLAN 10 alaisuuteen. Sen jälkeen laitteet kyllä löytävät WLAN IOT:n, mutta eivät saa IP-osoitetta.
Onko Aruba 1830 -kytkimessä määritelty, että sekä OPNsenseen ja tukariin menevä portti on mukana VLAN 10:ssä, ja ulospäin menevä liikenne kytkimestä niihin päin on tagattyä VLAN 10:ksi?
 
Tuli hommattua minipc pfsensellä kiinasta, kun suosittelivat sitä palomuuriksi.
Noh. TripWire:n foorumilla sanoivat, että siinä olis mahdollisuus säätää UDP states listaa, mutta ei mulla 2.7.2 versiossa ole asetusta, kun TCP:lle.
"Finally something pfsense does is "UDP states" so we can count UDP connections.
So normal operation a single IP that's attacking might attack 100s of times per second, what the UDP states do is allow you to limit that IP as much as you want. "
Vaikka UE3 servereitä vaivaavaa ongelmaa ei nyt ole ilmennyt, niin pitäisi kuitenkin asentaa joku softa toiseen muurikoneeseen, niin onko tuota UDP yhteys rajoitinta jossain muussa muurissa?
 
Tuli hommattua minipc pfsensellä kiinasta, kun suosittelivat sitä palomuuriksi.
Noh. TripWire:n foorumilla sanoivat, että siinä olis mahdollisuus säätää UDP states listaa, mutta ei mulla 2.7.2 versiossa ole asetusta, kun TCP:lle.
"Finally something pfsense does is "UDP states" so we can count UDP connections.
So normal operation a single IP that's attacking might attack 100s of times per second, what the UDP states do is allow you to limit that IP as much as you want. "
Vaikka UE3 servereitä vaivaavaa ongelmaa ei nyt ole ilmennyt, niin pitäisi kuitenkin asentaa joku softa toiseen muurikoneeseen, niin onko tuota UDP yhteys rajoitinta jossain muussa muurissa?
FortiGatessa nyt on ainakin, mutta vakaasti uskon että jostain se tuolta pfSensen uumenista kyllä löytyy.
Mulla on itsellä 23.09.1 plussa ajossa NetGaten omalla raudalla, mistä tuo TCP asetus noille statesille tarkalleen löytyy tuosta 2.7.2:sta? Voisin katsoa onko jokin erilaisesti plussassa.

Edit:
Pääsivu --> System --> Advanced
--> Firewall & NAT "tabi"
--> aivan sivun pohjalle
Löytyypi ainakin 23.09.1 plus:sta ihan UDP-asetuksetkin:

sshot01.png
 
Viimeksi muokattu:
FortiGatessa nyt on ainakin, mutta vakaasti uskon että jostain se tuolta pfSensen uumenista kyllä löytyy.
Mulla on itsellä 23.09.1 plussa ajossa NetGaten omalla raudalla, mistä tuo TCP asetus noille statesille tarkalleen löytyy tuosta 2.7.2:sta? Voisin katsoa onko jokin erilaisesti plussassa.

Edit:
Pääsivu --> System --> Advanced
--> Firewall & NAT "tabi"
--> aivan sivun pohjalle
Löytyypi ainakin 23.09.1 plus:sta ihan UDP-asetuksetkin:

sshot01.png
Katoppas. Löysin tämän samasta paikasta, mutta jos oikein ymmärrän niin tämä mittaa aikaa kuinka kauan se state pidetään yllä ennen pudotusta?
Firewall/Rules ja porttikohtaisista säännöistä löytyy näin.
FW rule.jpg

Sääntöön pitäis saada rajoitettua maksimi määrä yhteyksiä/IP ennen ku loput pudotetaan pois.
Hyökkäys tekee yhteyskyselyjä niin pitkään, että serveisofta kaatuu. Viimeksi, kun sammutin serverit, niin 6 maksimi yhteyden sijaan siellä oli ~15000 yhteyttä päällä / palvelu.
 
Katoppas. Löysin tämän samasta paikasta, mutta jos oikein ymmärrän niin tämä mittaa aikaa kuinka kauan se state pidetään yllä ennen pudotusta?
Firewall/Rules ja porttikohtaisista säännöistä löytyy näin.
FW rule.jpg

Sääntöön pitäis saada rajoitettua maksimi määrä yhteyksiä/IP ennen ku loput pudotetaan pois.
Hyökkäys tekee yhteyskyselyjä niin pitkään, että serveisofta kaatuu. Viimeksi, kun sammutin serverit, niin 6 maksimi yhteyden sijaan siellä oli ~15000 yhteyttä päällä / palvelu.
Minkälainen sun pfSense purkki on raudaltaan? Mikä prossu ja paljon muistia?

Entä
Pääsivu --> System -- Advanced
--> Firewall & NAT "tabi"
--> Firewall Optimization Options?
Mikä sinulla on siinä? Aggressivellä lähtee sitten melkoinen siivu, jos olet valmis sitä kokeilemaan.

Tuo minun laittama kuva tosiaan mittaa aikaa, joten se ei ollut aivan se mitä hait.
Mmm, vedäppäs Tagged kohtaan ruksi päälle "invert" kohtaan ja valitset vaikka Zauruksen listalta.
Toinen vaihtoehto on ilman inverttiä, mutta valitset Source OS -listalta "Windows". Sitten pitäisi purra myös UDP:hen. Nythän tuo sanoo jo suoraan, että
Note: this only works for TCP rules. General OS choice matches all subtypes
 
Minkälainen sun pfSense purkki on raudaltaan? Mikä prossu ja paljon muistia?

Entä
Pääsivu --> System -- Advanced
--> Firewall & NAT "tabi"
--> Firewall Optimization Options?
Mikä sinulla on siinä? Aggressivellä lähtee sitten melkoinen siivu, jos olet valmis sitä kokeilemaan.

Tuo minun laittama kuva tosiaan mittaa aikaa, joten se ei ollut aivan se mitä hait.
Mmm, vedäppäs Tagged kohtaan ruksi päälle "invert" kohtaan ja valitset vaikka Zauruksen listalta.
Toinen vaihtoehto on ilman inverttiä, mutta valitset Source OS -listalta "Windows". Sitten pitäisi purra myös UDP:hen. Nythän tuo sanoo jo suoraan, että
Note: this only works for TCP rules. General OS choice matches all subtypes
Pitää tänään käydä noita tutkimassa.
Purkki on tämä N100 prossulla ja 8/128GB muistilla.
Toisesta koneesta en osaa sanoa, kun en sitä ole päällä käyttänyt. Sain SER jätteistä ja kerrottiin, että pitäis Linuxia pyörittää.
Eipä siitä konkurssia pääse syntyyn, kun 120GB SSD,usb-sata virtajohto ja 5A poweri makso 24€.
Edit. Näköjään joku amd:n prossu ja 2GB muistia.
IMG_20240307_212331.jpg
 
Viimeksi muokattu:
Pari haavoittuvuutta löytynyt Unboundista:
Two DNSSEC validation vulnerabilities have been discovered in Unbound:
CVE-2023-50387 (referred here as the KeyTrap vulnerability) and CVE-2023-50868 (referred here as the NSEC3 vulnerability).
Ei ole vielä tullut mitään virallista ketjua Netgate forumille, mutta Itse päivitin tuon pfsense unbound versioon 1.19.1.
1709825669331.png


Kannattaa odotella jos tiedottaisivat tuosta jotain.
 
Viimeksi muokattu:
Oisko täällä vinkkiä kun itsellä on DNA:n kaapelimodeemin perässä OPNSense ja Kaapelimodeemi siltaavana ja nyt alkanut yhden buutin ja asetuskokeilujen myötä selainkäyttö hidastumaan, missä sivustot avautuu melko hitaasti ja viiveellä.
Netin nopeus on kyllä ihan sitä mitä luvataan, mutta varsinkin selainkäytössä huomaa sivustojen hitauden eli todennäköisesti DNS:ssä hidastelee.
Käytössä OPNSense + Unbound DNS ja joitakin blocklistoja käytössä, mutta mikä ois best practice DNS:n liittyville asetuksille että sais tuon selailun vähän nopeammaksi.
 
Viimeksi muokattu:
Oisko täällä vinkkiä kun itsellä on DNA:n kaapelimodeemin perässä OPNSense ja Kaapelimodeemi siltaavana ja nyt alkanut yhden buutin ja asetuskokeilujen myötä selainkäyttö hidastumaan, missä sivustot avautuu melko hitaasti ja viiveellä.
Netin nopeus on kyllä ihan sitä mitä luvataan, mutta varsinkin selainkäytössä huomaa sivustojen hitauden eli todennäköisesti DNS:ssä hidastelee.
Käytössä OPNSense + Unbound DNS ja joitakin blocklistoja käytössä, mutta mikä ois best practice DNS:n liittyville asetuksille että sais tuon selailun vähän nopeammaksi.
Mitä asetuksia muutettu? Auttaako jos vaihtaa DNS palvelinta toiseen tai jos lisää useampia palvelimia?
 
Mitä asetuksia muutettu? Auttaako jos vaihtaa DNS palvelinta toiseen tai jos lisää useampia palvelimia?

Näitä muutin:
Unbound DNS - General:
Register ISC DHCP Static Mappings ( Disabled -> Enabled)

System - General - DNS Servers
- asetettu Googlen DNS:t
- Allow DNS server list to be overridden by DHCP/PPP on WAN (Enabled -> Disabled)

Sittemmin nämä asetukset on jo palautettu, mutta tuntuu että edelleen tahmaa sivustot niin mietin onko näihin jotain mallia miten nämä kannattaa konfiguroida oletuksista poiketen.
Nyt siis System - General -asetuksissa DNS Server-lista on tyhjä ja Allow DNS server list to be overridden by DHCP/PPP on WAN: Enabled

Nykyisin unbound DNS - General on näin:
1710162096024.png
 
Näitä muutin:
Unbound DNS - General:
Register ISC DHCP Static Mappings ( Disabled -> Enabled)

System - General - DNS Servers
- asetettu Googlen DNS:t
- Allow DNS server list to be overridden by DHCP/PPP on WAN (Enabled -> Disabled)

Sittemmin nämä asetukset on jo palautettu, mutta tuntuu että edelleen tahmaa sivustot niin mietin onko näihin jotain mallia miten nämä kannattaa konfiguroida oletuksista poiketen.
Nyt siis System - General -asetuksissa DNS Server-lista on tyhjä ja Allow DNS server list to be overridden by DHCP/PPP on WAN: Enabled

Nykyisin unbound DNS - General on näin:
1710162096024.png
Useammin noi operaattoreiden dns-serverit pätkii kuin googlen. Kannattaa laittaa disabled toi, että sallii WANin DHCP:n hakevan dns-serverin. Ja laita googlen DNS sinne generaliin. Testaa käynnistää tietokoneet ja palomuuri sen jälkeen uudelleen.
 
IPFire 2.29 Core update 184 tullu virallisesti ulos näköjään.

What's in it?
  • Intrusion Prevention System: Suricata has been updated to version 6.0.16 which fixes a number of vulnerabilities
  • It is now possible to individually enable logging for packets from and to hostile networks. This allows for easier monitoring of compromised systems on the local network without a lot of noise from portscans and similar things from the Internet. They are also graphed individually in the firewall hits graph.
  • A bug has been fixed in the installer: The process now fails if the boot loader could not be installed, when before, the installation completed successfully but left a newly installed system unbootable.
  • Updated packages: acl 2.3.2, attr 2.5.2, bash 5.2.26, BIND 9.16.48, dhcpcd 10.0.6, diffutils 3.10, dmidecode 3.5, ed 1.20, expat 2.6.0 (CVE-2023-52425, CVE-2023-52426), file 5.45, fmt 10.2.1, gettext 0.22.4, GnuTLS 3.8.3 (CVE-2024-0553, CVE-2024-0567), help2man 1.49.3, iana-etc 20240125, iproute2 6.7.0, ipset 7.19, iputils 20240117, libhtp 0.5.46, libidn 1.42, libpng 1.6.41, libtalloc 2.4.1, libyang 2.1.148, lvm2 2.03.23, lzip 1.24, memtest86+ 7.0.0, PAM 1.6.0, pixman 43.0, poppler 24.01.0, readline 8.2.10, shadow 4.14.3, SQLite 3.45.1, squid 6.7, suricata 6.0.16, unbound 1.19.1 (CVE-2023-50387 & CVE-2023-50868), vnstat 2.12, xz 5.4.6, zlib 1.3.1
Add-ons
  • Updated add-ons: bird 2.14, borgbackup 1.2.7 (CVE-2023-36811), FRR 9.1 (CVE-2023-47235, CVE-2023-47235), HAProxy 2.9.2, libvirt 10.0.0 (CVE-2023-3750), lshw B.02.00, mc 4.8.31, stunnel 5.71, transmission 4.0.5, VDR 2.6.6 + Plugins, wavemon 0.9.5
  • mympd is a new package which provides a web user interface to mpd
 
Uuteen kotiin muutto edessä, missä pitäisi päästä nauttimaan gigasesta yhteydestä. Menee aikalailla koko verkkoinfra uusiksi.

Kaikkien mobiililaitteiden yhteydet kiertää kodin kautta WireGuardilla ja muitakin VPN yhteyksiä on hyödynnetty, joten niiden suhteen vaatii purkilta suorituskykyä.

Oliko täällä jo kokemuksia Netgate 4200 purkista? Siihen saa ilmeisesti liitettyä NVMe levyn ja kaksi M.2 SATA levyä. Saisi pfSense asennuksen RAID1/5 pakalle.

Itseltä löytyy kokemuksia muutamista kiinalaisista purkeista ja niiden kanssa ollut aina huonoa tuuria laitteiden toimivuuden kanssa. Nyt viimeisin laite ollut Protectli VP2410, joka toiminut loistavasti pari vuotta. Luonteva päivitys olisi Protectli VP2420, mutta mielummin ottaisin I226-V NICit. SFP+ olisi myös nice-to-have, mutta sitä ei nyt näistä löydy ja sopivat mallit aivan liian kalliita.

Onhan tuo Netgate varsinkin spekseihin nähden epämukavan arvokas laite, mutta terveys ei kestä epämääräisiä ongelmia. Vanhan purkin voisi määrittää active/backup HA:n varalaitteeksi.

Myös hallittava kytkin täytyisi päivittää samassa rytäkässä 2.5G malliseksi, kun kotipalvelin ja suurin osa asiakaslaitteista nopeutta jo tukisi. Ei vielä hirveän paljon löytynyt edukkaampia vaihtoehtoja. Varteenotettavimmat löydöt tähän mennessä TP-Link SG3210X-M2, Planet MGS-6311-10T2X ja Ubiquiti USW-Enterprise-8-POE. Mahtaakohan Ubiquitin huomattavasti korkeammasta hinnasta hyötyä käytännössä, kun en ole ennestään heidän ekosysteemissä (eikä ole tarkoitus olla tulevaisuudessakaan)?

Muita ehdotuksia tai näkemyksiä palomuuri ja kytkin vaihtoehdoiksi? CLIin kautta asetusten näpyttely onnistuu ja laitevalmistajien pilvikäyttöliittymät ovat enemmänkin miinus kuin lisä itselle.
 
Itseltä löytyy kokemuksia muutamista kiinalaisista purkeista ja niiden kanssa ollut aina huonoa tuuria laitteiden toimivuuden kanssa. Nyt viimeisin laite ollut Protectli VP2410, joka toiminut loistavasti pari vuotta. Luonteva päivitys olisi Protectli VP2420, mutta mielummin ottaisin I226-V NICit. SFP+ olisi myös nice-to-have, mutta sitä ei nyt näistä löydy ja sopivat mallit aivan liian kalliita.

Onhan tuo Netgate varsinkin spekseihin nähden epämukavan arvokas laite, mutta terveys ei kestä epämääräisiä ongelmia. Vanhan purkin voisi määrittää active/backup HA:n varalaitteeksi.

Myös hallittava kytkin täytyisi päivittää samassa rytäkässä 2.5G malliseksi, kun kotipalvelin ja suurin osa asiakaslaitteista nopeutta jo tukisi. Ei vielä hirveän paljon löytynyt edukkaampia vaihtoehtoja. Varteenotettavimmat löydöt tähän mennessä TP-Link SG3210X-M2, Planet MGS-6311-10T2X ja Ubiquiti USW-Enterprise-8-POE. Mahtaakohan Ubiquitin huomattavasti korkeammasta hinnasta hyötyä käytännössä, kun en ole ennestään heidän ekosysteemissä (eikä ole tarkoitus olla tulevaisuudessakaan)?

Eipä tuosta Unifista iloa ole jos siihen ei ole tarkoitus suuremmin mennä. Onko POE-kytkimelle tarvetta vai oliko tuo nyt vaan ainoa Ubiquitin 2.5G -malli? Jos pidetään tuo palomuuri + kytkin -ratkaisu, niin yksi kytkinvaihtoehto 200 € hintaluokassa voisi olla CRS310-8G+2S+IN . Jos budjetti on rajallinen tai muuten vaan haluaa yhdistää palomuurin ja kytkimen niin suunnilleen samalla rahalla samat portit paremmalla prosessorilla saa RB5009UG+S+IN tai RB5009UPr+S+IN (sis PoE).

Omassa käytössä valitsisin varmaankin tuon erillinen palomuuri/reititin ja kytkin -ratkaisun. Netgaten laitteilla maksaa mielenrauhasta, mutta aika ylihintaisiahan nuo ovat. Hieman tuon VP2420:n ylittävässä hintaluokassa tämä voisi olla mielenkiintoinen vaihtoehto: The Everything Fanless Home Server Firewall Router and NAS Appliance . Kotilabrassa tuossa pitäisi vaan uskaltaa ajaa samanaikaisesti palomuuria ja nassia, mikä taas ei välttämättä ole mielenterveyden kannalta optimiratkaisu.
 
Eipä tuosta Unifista iloa ole jos siihen ei ole tarkoitus suuremmin mennä. Onko POE-kytkimelle tarvetta vai oliko tuo nyt vaan ainoa Ubiquitin 2.5G -malli? Jos pidetään tuo palomuuri + kytkin -ratkaisu, niin yksi kytkinvaihtoehto 200 € hintaluokassa voisi olla CRS310-8G+2S+IN . Jos budjetti on rajallinen tai muuten vaan haluaa yhdistää palomuurin ja kytkimen niin suunnilleen samalla rahalla samat portit paremmalla prosessorilla saa RB5009UG+S+IN tai RB5009UPr+S+IN (sis PoE).

Omassa käytössä valitsisin varmaankin tuon erillinen palomuuri/reititin ja kytkin -ratkaisun. Netgaten laitteilla maksaa mielenrauhasta, mutta aika ylihintaisiahan nuo ovat. Hieman tuon VP2420:n ylittävässä hintaluokassa tämä voisi olla mielenkiintoinen vaihtoehto: The Everything Fanless Home Server Firewall Router and NAS Appliance . Kotilabrassa tuossa pitäisi vaan uskaltaa ajaa samanaikaisesti palomuuria ja nassia, mikä taas ei välttämättä ole mielenterveyden kannalta optimiratkaisu.

Ei ole suuremmin käyttöä PoE:lle. Yksi tukari ja sekin hoituu tarvittaessa erillisellä injektorilla. Toki tulevaisuuden turvaksi ei huono ominaisuus. Ubiquitilta en muita 2.5G kytkimiä löytänyt valikoimasta halvemmalla, joten siksi PoE malli. Moni on tuntunut toivovankin, että siitä saisi version ilman PoE:ta, koska tuon kanssa on esiintynyt ylikuumenemisongelmia.

Itselle uusi tuttavuus tämä Mikrotik. Nopealla haulla jokunen valitus ainakin äänekkäästä tuulettimesta tässä mallissa. Lisäksi reititys tuhoaa throughputin. Budjetti venyy kyllä tuon sadan euron erotuksen siinä, jos saa hiljaisena toimivan laitteen... Lisäksi noissa reititin vaihtoehdoissa oli vain yksi 2.5G portti, loput gigasia.

Jos lähtisi hassuttelemaan ja vakaudella ei olisi niin väliä, niin matkaan lähtisi varmaan tuore TopTon Intelin U300E prossulla ja 2xSFP+ 4x2.5G porteilla.

Tässä kohtaa ykkösvaihtoedot ovat:
- Netgate 4200 palomuuri
- TP-LINK SG3210X-M2 hallittava kytkin
- TP-LINK Omada EAP660 HD tukari
- TP-LINK TL-POE260S PoE injektori tukarille
 
Uuteen kotiin muutto edessä, missä pitäisi päästä nauttimaan gigasesta yhteydestä. Menee aikalailla koko verkkoinfra uusiksi.

Kaikkien mobiililaitteiden yhteydet kiertää kodin kautta WireGuardilla ja muitakin VPN yhteyksiä on hyödynnetty, joten niiden suhteen vaatii purkilta suorituskykyä.

Oliko täällä jo kokemuksia Netgate 4200 purkista? Siihen saa ilmeisesti liitettyä NVMe levyn ja kaksi M.2 SATA levyä. Saisi pfSense asennuksen RAID1/5 pakalle.

Itseltä löytyy kokemuksia muutamista kiinalaisista purkeista ja niiden kanssa ollut aina huonoa tuuria laitteiden toimivuuden kanssa. Nyt viimeisin laite ollut Protectli VP2410, joka toiminut loistavasti pari vuotta. Luonteva päivitys olisi Protectli VP2420, mutta mielummin ottaisin I226-V NICit. SFP+ olisi myös nice-to-have, mutta sitä ei nyt näistä löydy ja sopivat mallit aivan liian kalliita.

Onhan tuo Netgate varsinkin spekseihin nähden epämukavan arvokas laite, mutta terveys ei kestä epämääräisiä ongelmia. Vanhan purkin voisi määrittää active/backup HA:n varalaitteeksi.

Myös hallittava kytkin täytyisi päivittää samassa rytäkässä 2.5G malliseksi, kun kotipalvelin ja suurin osa asiakaslaitteista nopeutta jo tukisi. Ei vielä hirveän paljon löytynyt edukkaampia vaihtoehtoja. Varteenotettavimmat löydöt tähän mennessä TP-Link SG3210X-M2, Planet MGS-6311-10T2X ja Ubiquiti USW-Enterprise-8-POE. Mahtaakohan Ubiquitin huomattavasti korkeammasta hinnasta hyötyä käytännössä, kun en ole ennestään heidän ekosysteemissä (eikä ole tarkoitus olla tulevaisuudessakaan)?

Muita ehdotuksia tai näkemyksiä palomuuri ja kytkin vaihtoehdoiksi? CLIin kautta asetusten näpyttely onnistuu ja laitevalmistajien pilvikäyttöliittymät ovat enemmänkin miinus kuin lisä itselle.

Muista en osaa sanoa, mutta noista 2.5GbE-kytkimistä, niin itse tsekkaisin STH:n sivuston ja YouTube-kanavan, kun he ovat testanneet ja vertailleet julmetun monta erilaista kiinalaista halppis 2.5GbE-kytkintä.
 
Muista en osaa sanoa, mutta noista 2.5GbE-kytkimistä, niin itse tsekkaisin STH:n sivuston ja YouTube-kanavan, kun he ovat testanneet ja vertailleet julmetun monta erilaista kiinalaista halppis 2.5GbE-kytkintä.

Koitin selata läpi, mutta en äkkiseltään löytänyt mitään sopivaa. Ehdotuksia? Kiinalainen ja/tai halppis ei ole lähtökohtaisesti sitä mitä haen.

Vaikka en välttämättä enterprise tason laitetta olekkaan hankkimassa, niin silti mielummin hankin sellaisen lafkan tuotteen mikä targetoi eri kokoisiin firmoihin, joilla on vuosia takana ja näyttöä, että asiat tehdään tietoturva ja vakaus, eikä harrastuneisuus ja ominaisuudet edellä.
 

Statistiikka

Viestiketjuista
257 833
Viestejä
4 485 166
Jäsenet
74 004
Uusin jäsen
S Mike

Hinta.fi

Back
Ylös Bottom