Tee-se-itse: Rautapalomuurit (pfSense, Sophos UTM..) (Mitä käytätte ja miksi juuri se vaihtoehto?)

Opnsense ja Adguard Home.
Tähän asti toiminut hyvin, mutta kun lisäsin verkkoon Unifin hallittavan kytkimen ja tukiaseman VLAN verkkojen toivossa, niin en saa millään VLANeja toimimaan halutulla tavalla, palomuurisäännöistä huolimatta. Alkuun yritin saada vierasverkkoa toimimaan, mutta tästä verkosta joko pääsee kaikkialle tai ei mihinkään. Aloin epäilemään että syynä on Adguard ja sen DNS-asetukset.
Helpoin tapa varmaan olisi aloittaa Adguardin asennus puhtaalta pöydältä, mutta miten tuo asennus ensinnäkin poistetaan? Riittääkö että ottaa palvelun pois käytöstä ja poistaa pluginin, ja sen jälkeen asentaa uudestaan? Toinen ongelma on että jos otan Adguardin pois käytöstä, niin verkosta ei pääse ulos vaikka palautan DNS-asetukset Opnsensen puolelta.
Oikeastaan riittäisi pelkkä Zenarmor omaan käyttöön, eli tässä vaiheessa kiinnostaisi vain poistaa Adguard kokonaan.
Onhan sinulla VLAN varten palomuurisäännöt tehtynä? Oletuksena uudessa VLAN:ssa kaikki uloslähtevä on estettynä?
 
Nykyinen hyvin palvellut PC Engines APU2 pfSense pitäisi korvata 2.5GbE aikakauden ratkaisulla. Onko edelleen tilanne se, että käytännössä kohtuuhintaiset järkevät vaihtoehdot ovat kiinalaisten N100 koneet, jos tarpeen olisi saada ainakin 4x2.5GbE portit ja järkevä suorituskyky VPN käyttöön? Onko näissä valmistajien (Topton, Hunsn, ...) kesken suurempia eroja?
 
Nykyinen hyvin palvellut PC Engines APU2 pfSense pitäisi korvata 2.5GbE aikakauden ratkaisulla. Onko edelleen tilanne se, että käytännössä kohtuuhintaiset järkevät vaihtoehdot ovat kiinalaisten N100 koneet, jos tarpeen olisi saada ainakin 4x2.5GbE portit ja järkevä suorituskyky VPN käyttöön? Onko näissä valmistajien (Topton, Hunsn, ...) kesken suurempia eroja?
Minulla on tuollainen kiinanpurkki ajossa, tarkalleen ottaen tuollainen:

Toimii hyvin, hienosti, ja ongelmitta. Mutta, BIOS / UEFI-päivitykset ovat hepreaa ja oikeasti ei voi tietää mitä siellä pyörii. Komponentit, siis RAM ja SSD, ovat myös hinnat-alkaen mallia.
Itsellä pyörii vehkeessä VMware ESXi 8.0.3 (vSpshere), mutta muutkin hypervisorit pyörivät nätisti. RAMmia ei koskaan voi olla liikaa.

Itsellä tuli ongelmaksi myös 5 X 2.5 GBe pfSense-käyttö, koska verkkoportit ovat itsenäisiä. Täten ne joutuu pfSensestä (tai softasta nyt itsenään) reitittämään keskenään. En koskaan saanut toimimaan setuppia jossa 4 X ethernet-porttia olisivat keskenään kytkimiä ja jakaisivat samat VLAN- ja palomuuri-setupit.

Kaverilla on ajossa Netgaten 2100. Siinä on suoraan switched-portit ja oma setup toimii siinä. Ja pfSensessä suora tuki kytkimille ja fyysisessä raudassa oma piiri. Suosittelen.
 
Onhan sinulla VLAN varten palomuurisäännöt tehtynä? Oletuksena uudessa VLAN:ssa kaikki uloslähtevä on estettynä?
Palomuurisäännöt oli kunnossa. Vika löytyi Adguardin asetuksista.

Kävin alusta asti läpi Adguardin asetukset seuraamalla tätä ohjetta:

Todennäköisesti se mikä ongelmat aiheutti oli puuttuvat määritykset siitä mitä verkkoja Adguardin pitäisi kuunnella. Tämän pystyy määrittämään asennuksen yhteydessä, mutta kyseiseen asetukseen ei pääse käsiksi jälkeenpäin muuten kuin muokkaamalla .yaml tiedostoa.
Eli SSH:lla sisään Opnsenseen ja edit /usr/local/AdGuardHome/AdGuardHome.yaml

Ao. kohtaan kun lisäsi kaikki VLAN-verkot niin alkoi toimimaan. Aiemmin kuunteli siis pelkästään LAN-aluetta.
Koodi:
dns:
  bind_hosts:
    - 127.0.0.1
    - 192.168.2.1
    - 192.168.10.1
    - 192.168.20.1
    - 192.168.30.1
    - 192.168.40.1
    - 192.168.50.1
 
Minulla on tuollainen kiinanpurkki ajossa, tarkalleen ottaen tuollainen:

Toimii hyvin, hienosti, ja ongelmitta. Mutta, BIOS / UEFI-päivitykset ovat hepreaa ja oikeasti ei voi tietää mitä siellä pyörii. Komponentit, siis RAM ja SSD, ovat myös hinnat-alkaen mallia.
Itsellä pyörii vehkeessä VMware ESXi 8.0.3 (vSpshere), mutta muutkin hypervisorit pyörivät nätisti. RAMmia ei koskaan voi olla liikaa.

Itsellä tuli ongelmaksi myös 5 X 2.5 GBe pfSense-käyttö, koska verkkoportit ovat itsenäisiä. Täten ne joutuu pfSensestä (tai softasta nyt itsenään) reitittämään keskenään. En koskaan saanut toimimaan setuppia jossa 4 X ethernet-porttia olisivat keskenään kytkimiä ja jakaisivat samat VLAN- ja palomuuri-setupit.

Kaverilla on ajossa Netgaten 2100. Siinä on suoraan switched-portit ja oma setup toimii siinä. Ja pfSensessä suora tuki kytkimille ja fyysisessä raudassa oma piiri. Suosittelen.

Kiitos kattavista havainnoista. Pitää laittaa tuo Netgate 2100 harkintaan, hintaero ei kuitenkaan ole niin suuri verrattuna Kiinan vermeisiin.
 
Kiitos kattavista havainnoista. Pitää laittaa tuo Netgate 2100 harkintaan, hintaero ei kuitenkaan ole niin suuri verrattuna Kiinan vermeisiin.
Mä luulin että 4200 on se hinnat alkaen 2.5gbe Netgate, siis jos toi nopeempi wan oli hakusalla.
 
Totta, muuten. 2100:ssa on gigaiset portit, ja 4200:ssa on 2.5 Gbps.

Huomasin itsekin tämän vasta, kun kävin Netgaten omien sivujen kautta tutkimassa. Myös suorituskykyarvot mm. VPN:n osalta ovat siellä hyvin erilaiset, mitä Dustinilla tuotetiedoissa. Sinällään tuo Netgaten 2100:lle ilmoittama 250Mbps IPSec suorituskyky olisi ollut riittävä, kun nykyinen laite kykenee reiluun 100Mbps, mutta 4200 näistä tosiaan soveltuvin on. Pitänee tuo laittaa tilaukseen, kun tarve on vain reititys- ja palomuuritoiminnot.
 
Itsellä on Hunsn 6 porttinen 2.5gbe J sarjan mini PC pfSense käytössä. 2*WAN ja 3*LAN käytössä, eikä ole ollut mitään ongelmia. Toki riskinä on että Kiina tuote, eikä tiedä onko takaportteja tms. Täysin erilliset LAN portit on mielestäni etu koska voi täysin kontrolloida kuinka eri Laneissa/Subneteissa olevat koneet näkevät toisensa.
 
Olen tutulle antanut oman vanhan OPNsense routerin käyttöön ja hänellä tuli nyt eteen tilanne, että operaattori kyselee MAC-osoitetta laitteesta. Normaalistihan tuo on se modeemin pohjassa lukeva MAC, mutta tuollaisesta Aliexpress router-PC:stä sellaista tietoa nyt ei tietenkään suoraan löydy.

Itse kun en oikein tiedä mihin DNA tuota tietoa edes tarvitsee niin kaivoin WAN-portin MAC-osoitteen ja se nyt kelpasi kuulemma. Oletteko itse törmänneet tällaiseen ja mitä tietoja olette ilmoitelleet? Kyseisessä asunnossa yhteys tulee siis valokuidulla asuntoon, seinässä on RJ45 portti.
 
Kieltämättä erikoista. Dna tarvitsee kaapelimodeemeista Mac osoitteet mikäli kaapelinetti. Ei oo dna:lta ikinä Ethernet kohteissa kyllä maccia kysytty vaikka useassa eri osoitteessa ollut liittymä ja on vieläkin.
 
OPNsense ja/tai ZTE 5G modeemi päättivät lopettaa yhteistyön. En keksi mikä on mutta OPNsense ei millään saa IP osoitetta tuolta ZTE:ltä. Jos laitan läppärin suoraan kiinni ZTE, homma toimii. Jos vaihtan ZTE tilalle vanhan Huawei 4G modeemin niin OPNsense saa IP:n normaalisti.

Tämä OPNsense ja ZTE yhdistelmä siis toimi pitkään hyvin. Muutama kuukausi sitten aloitti kadottamaan IP osoitteen kesken kaiken ja piti boottailla molempia että osoite löytyi. Nyt sitten bootin jälkeen ei enää millään lähde toimimaan. Onko kokemuksia vastaavasta?
 
OPNsense ja/tai ZTE 5G modeemi päättivät lopettaa yhteistyön. En keksi mikä on mutta OPNsense ei millään saa IP osoitetta tuolta ZTE:ltä. Jos laitan läppärin suoraan kiinni ZTE, homma toimii. Jos vaihtan ZTE tilalle vanhan Huawei 4G modeemin niin OPNsense saa IP:n normaalisti.

Tämä OPNsense ja ZTE yhdistelmä siis toimi pitkään hyvin. Muutama kuukausi sitten aloitti kadottamaan IP osoitteen kesken kaiken ja piti boottailla molempia että osoite löytyi. Nyt sitten bootin jälkeen ei enää millään lähde toimimaan. Onko kokemuksia vastaavasta?

Itselläni on käytössä pfSense ja ZTE:n modeemi. Jos vaikka sähkökatkon jälkeen modeemi ehtii käynnistyä ennen pfSenseä, se ei onnistu saamaan IP:ta, vaikka ZTE:n boottaisi vielä uudelleen. Vasta WAN interrfacen käyttäminen alhaalla ja ylhäällä pfSensen päässä korjaa tilanteen.

Myös sama havainto siitä, että ZTE on ainoa laite, mikä tuota aiheuttaa jumitteluna pfSenselle.
 
Viimeksi muokattu:
Mulla on kaapelimodeemi sillattuna niin pfSense sai jossain bootti tilanteessa privaatti IP:n tuolta kaapelimodeemilta (192.168.100.x). Korjaantui hetken päästä.
Seuraavalla pfSense WAN interface asetuksella olen estänyt tuon. Tuo 192.168.100.1 on kaapelimodeemin osoite.

1720673903741.png
 
Mulla on kaapelimodeemi sillattuna niin pfSense sai jossain bootti tilanteessa privaatti IP:n tuolta kaapelimodeemilta (192.168.100.x). Korjaantui hetken päästä.
Seuraavalla pfSense WAN interface asetuksella olen estänyt tuon. Tuo 192.168.100.1 on kaapelimodeemin osoite.

1720673903741.png

Tämä olikin hyvä vinkki, koska myös ZTE käyttäytyy juuri noin, eli tarjoaa hetken privaosoitetta bootin jälkeen.
 
Sama asetus käytössä myös. Kaapelimodeemi siltaavana mutta tietyissä tilanteissa, muistaakseni ainakin jos modeemin bootatessa kaapelimodeemiyhteyden muodostuksessa kestääkin normaalia pidempään syistä X, tulee kaapelimodeemin DHCP:ltä tuollainen privaatti-IP operaattorin DHCP:n sijaan. Jää sitten WAN ip:ksi reitittimelle senkin jälkeen kun yhteys on oikeasti toiminnassa, kunnes tavalla tai toisella reititin päivittää osoitteensa DHCP:llä.

Olettaisin että featuren tarkoitus on helpottaa modeemin hallintaliittymään pääsyä ongelmatilanteissa. Reititin ei vaan tue tällaista mahdollisuutta.
 
OPNsense 24.1.10 päivitettävissä (mukana mm. tietoturvakorjauksia esim. openssh:hon).

Jos käytät ipv6:tta, reboottaa päivityksen jälkeen. Ellet, restarttaa openssh web-hallinnasta: /ui/core/service
 
Futro S920 (quad core) näyttäisi hyytyvän ~500Mbps perus palomuurisääntöjen kanssa. Kukaan muu kokeillut rajoja?
 
Tuolta 10G X540 T2 Dual RJ45 Port PCI Express Ethernet Converge Network Extend Adapter | eBay
Vähän kyllä epäilyttää että mahtaako olla joku väärennös :hmm:
Pitkään tuossa meni että sai testailtua kunnolla, mutta pistetään nyt vähän jotain kokemuksia kun @Leo_Greta ja @mailman silloin kyselivät. :D

Iperfiä ajelin kytkimen kautta tuon Futron ja oman serverin välillä, mutta ei sillä päässyt odotettuihin nopeuksiin ja tuloksista masentuneena unohdin koko projektin. Veikkaan että Futron tehot tuli vastaan kun taisi jäädä johonkin 6Gbits/s luokkaan. PfSensellä en muistaakseni testejä tehnyt vaan perus Ubuntulla.

Nyt kun tuli päivitettyä oman pikku-NASsin rautaa että sais sillekin 10Gb-kortin, niin piti kokeilla tätä siihen kun unohtui ettei kytkimessä ollutkaan kuin yksi SFP+-portti.:facepalm:
Kyllähän nämä ihan asiallisilta tuloksilta vaikutti aiempiin verrattuna.
WhatsApp Image 2024-07-12 at 17.28.13.jpeg

TrueNASsikin tunnisti kortin normaalisti ja kunhan nappasi DHCP:n päälle, niin alkoi data liikkua.
 
Futro S920 (quad core) näyttäisi hyytyvän ~500Mbps perus palomuurisääntöjen kanssa. Kukaan muu kokeillut rajoja?
Kyllä minulla Futrolla hyvin yli 900Mbps irtoaa

 
Kyllä minulla Futrolla hyvin yli 900Mbps irtoaa

Muistatko käytitkö emolevyn re0 interfacea tai mikä verkkokortti sulla oli jos se onkin toi broadcomin verkkokortti mikä ei toimi täysillä opnsensen kanssa... Päätin tosin jo heitellä ongelmaa rahalla ja pistin Mikrotikin RB5009UPr+S+IN tilaukseen niin saa korvata kytkimen samalla.
 
Muistatko käytitkö emolevyn re0 interfacea tai mikä verkkokortti sulla oli jos se onkin toi broadcomin verkkokortti mikä ei toimi täysillä opnsensen kanssa... Päätin tosin jo heitellä ongelmaa rahalla ja pistin Mikrotikin RB5009UPr+S+IN tilaukseen niin saa korvata kytkimen samalla.

Tuo vaikuttaa kyllä aika houkuttelevalta. Itsellä etsinässä uusi palomuuri valokuitua varten. Tähän asti miettinyt jotain kiinan purkkia, koska yleensä suorituskykyiset valmiit on aika hinnakkaita. Tuo nyt vaikuttaisi aika edulliselta, jos tuossa vaan potku riittäisi. Laitahan kokemuksia kun saat laitteen käsiisi.
 
Itse tilasin Nanopi R5C:n ilman wifiä, hinta jää noin 70eur:oon. Tähän tulee Openwrt ajoon. Erinäisissä testeissä tuosta on ajeltu kohtuullisella palomuurisetillä pari gigabittiä läpi. 2x 2.5G ethernet. CPUna 4x Cortex A55@2GHz. Lisäksi 2x USB 3.1 ja M.2 PCIe slotti.

Lähinnä tässä viehätti nuo hyvät suorituskykytulokset ja pieni virrankulutus. Nykyinen palomuuri on ajossa IPQ4019 @770MHz laatikossa niin nopeus rajautuu alle 400Mbit/s. Toiveissa jos innostuisi sitten nostamaan valokuidun nopeuttaa vaikka puoleen gigaan kun saa R5C:n ajoon.
 
Itse tilasin Nanopi R5C:n ilman wifiä, hinta jää noin 70eur:oon. Tähän tulee Openwrt ajoon. Erinäisissä testeissä tuosta on ajeltu kohtuullisella palomuurisetillä pari gigabittiä läpi. 2x 2.5G ethernet. CPUna 4x Cortex A55@2GHz. Lisäksi 2x USB 3.1 ja M.2 PCIe slotti.

Lähinnä tässä viehätti nuo hyvät suorituskykytulokset ja pieni virrankulutus. Nykyinen palomuuri on ajossa IPQ4019 @770MHz laatikossa niin nopeus rajautuu alle 400Mbit/s. Toiveissa jos innostuisi sitten nostamaan valokuidun nopeuttaa vaikka puoleen gigaan kun saa R5C:n ajoon.

Ihan mielenkiinnosta miksi ei R5S? Tuossa olisi kolmantena yksi 1gbit portti. Tuo on kyllä aika edullinen vaihtoehto palomuuriksi.
 
Ihan mielenkiinnosta miksi ei R5S? Tuossa olisi kolmantena yksi 1gbit portti. Tuo on kyllä aika edullinen vaihtoehto palomuuriksi.
Ei ole tarvetta ylimääräiselle portille niin otin tuon pienemmän, eli aika yksinkertainen syy. Kummassakinhan on sama CPU niin tarpeen mukaan.
 
Muistatko käytitkö emolevyn re0 interfacea tai mikä verkkokortti sulla oli jos se onkin toi broadcomin verkkokortti mikä ei toimi täysillä opnsensen kanssa... Päätin tosin jo heitellä ongelmaa rahalla ja pistin Mikrotikin RB5009UPr+S+IN tilaukseen niin saa korvata kytkimen samalla.
Minulla on erillinen intel dual nic verkkokortti. En muista tarkempaa mallia tähän hätään
 
Tuo vaikuttaa kyllä aika houkuttelevalta. Itsellä etsinässä uusi palomuuri valokuitua varten. Tähän asti miettinyt jotain kiinan purkkia, koska yleensä suorituskykyiset valmiit on aika hinnakkaita. Tuo nyt vaikuttaisi aika edulliselta, jos tuossa vaan potku riittäisi. Laitahan kokemuksia kun saat laitteen käsiisi.

Näyttäis selviytyvän hyvin 1000/500 kanssa. Purkki on vielä aika pitkälti oletusasetuksilla ja säännöillä. RouterOS vaatii opettelua, kun eroaa jonkin verran PfSense/OPNsense:stä.

speedtest_telia_rb5009.png
bufferbloat_telia_rb5009.png

Minulla on erillinen intel dual nic verkkokortti. En muista tarkempaa mallia tähän hätään

Ok eli se voi olla myös verkkokortista kiinni, koska mulla on broadcomin ja sit toi emolevyn on joku realtek. Jäänee tosin omalla kohdalla selvittämättä.
 
Näyttäis selviytyvän hyvin 1000/500 kanssa. Purkki on vielä aika pitkälti oletusasetuksilla ja säännöillä. RouterOS vaatii opettelua, kun eroaa jonkin verran PfSense/OPNsense:stä.

speedtest_telia_rb5009.png
bufferbloat_telia_rb5009.png



Ok eli se voi olla myös verkkokortista kiinni, koska mulla on broadcomin ja sit toi emolevyn on joku realtek. Jäänee tosin omalla kohdalla selvittämättä.

Onko sulla gigan verkkokortti koneessa? Katsoitko minkälainen prossukuorma on kun lataa maksimit? Itselle tulossa 1G/1G symmetrinen kuitu.
 
Onko sulla gigan verkkokortti koneessa? Katsoitko minkälainen prossukuorma on kun lataa maksimit? Itselle tulossa 1G/1G symmetrinen kuitu.

On, fasttrack päällä pyörii max 20% hujakoilla, ilman sitä jossain 40-50% hujakoilla, kun ajan noita testejä päälekkäin. Tuolla on noita Mikrotikin omia tuloksia: RB5009UPr+S+IN | MikroTik

Palomuurina tuo on iptables tasoa eli mikään deep packet inspection touhuja tuolla ei näytä helpolla pystyvän tekemään.
 
On nyt pidempään ollut ajatuksena siirtyä UniFi USG:stä johonkin muuhun. Lähinnä on alkanut ärsyttää Unifin VPN/wireguard-puutteet sekä tuen loppuminen vanhalle USG:lle.
Ajatuksena oli pitää UniFi AP:t ja PoE Switch, mutta vaihtaa USG esim OpnSense-laatikkoon.

Voiko mennä pahasti metsään, jos katsoo N100 i226-V 2.5G vehkeitä?
Tarkoituksena siis USG:n korvaus, ja mielellään kohtuullisen pitkä futureproofaus.
Pohdin, että kannattaisiko harkita SFP+- portteja, jos seuraavassa kämpässä olisi kuitu.

Olisiko esim tässä mitään järkeä?
New 2x10G SFP+ 2xi226-V 2.5G 12th Gen Firewall Mini PC Intel i3 N305 N100 Soft Router NVMe 2xHD DDR5 MiniPC NAS Server Proxmox
 
On nyt pidempään ollut ajatuksena siirtyä UniFi USG:stä johonkin muuhun. Lähinnä on alkanut ärsyttää Unifin VPN/wireguard-puutteet sekä tuen loppuminen vanhalle USG:lle.
Ajatuksena oli pitää UniFi AP:t ja PoE Switch, mutta vaihtaa USG esim OpnSense-laatikkoon.

Voiko mennä pahasti metsään, jos katsoo N100 i226-V 2.5G vehkeitä?
Tarkoituksena siis USG:n korvaus, ja mielellään kohtuullisen pitkä futureproofaus.
Pohdin, että kannattaisiko harkita SFP+- portteja, jos seuraavassa kämpässä olisi kuitu.

Olisiko esim tässä mitään järkeä?
New 2x10G SFP+ 2xi226-V 2.5G 12th Gen Firewall Mini PC Intel i3 N305 N100 Soft Router NVMe 2xHD DDR5 MiniPC NAS Server Proxmox
Noissa kiinan laitteissa on monesti ollut jäähyn kontakti huono prossuun ja tehtaalla laitettu vaan paljon tahnaa että lämpö jotenki siirtyy, moni sitä ei välttämättä edes hoksaa vaan ajattelee että normaalia että lämmöt 90-100c kun vähän aikaa rasittaa. Itelle sattu ainakin semmonen laite ja hieman vaivaa piti nähdä sopivan välilevyn tekoon mutta nyt lämmöt on aika hyvällä mallilla rasituksessakin. Voihan noissa joissain yksilöissä olla hyvä kontakti jo tehtaalta mutta en yllättyisi että suurin osa vaatii pientä näpertelyä.

Jos ei firmwaret epäilytä ja ei haittaa että laitteistoon ei välttämättä tule koskaan firmware päivityksiä niin onhan noissa aika paljoa tehoa hintaan nähden.
 
Unifin uudemmat reitittimet tukee nykyään myös esim. Wireguard server/client systeemeitä ja aika paljon on tullut päivitystä tuohon network puolelle verrattuna USG:hen.
Jos siis ylipäänsä uudempi ubin reititin on yhtään vaihtoehto. :)
 
On nyt pidempään ollut ajatuksena siirtyä UniFi USG:stä johonkin muuhun. Lähinnä on alkanut ärsyttää Unifin VPN/wireguard-puutteet sekä tuen loppuminen vanhalle USG:lle.
Ajatuksena oli pitää UniFi AP:t ja PoE Switch, mutta vaihtaa USG esim OpnSense-laatikkoon.

Voiko mennä pahasti metsään, jos katsoo N100 i226-V 2.5G vehkeitä?
Tarkoituksena siis USG:n korvaus, ja mielellään kohtuullisen pitkä futureproofaus.
Pohdin, että kannattaisiko harkita SFP+- portteja, jos seuraavassa kämpässä olisi kuitu.

Olisiko esim tässä mitään järkeä?
New 2x10G SFP+ 2xi226-V 2.5G 12th Gen Firewall Mini PC Intel i3 N305 N100 Soft Router NVMe 2xHD DDR5 MiniPC NAS Server Proxmox

Jos ainoa vika on softan puutteet niin tuohon löytyy kolmannen osapuolen softaa, rauta kun on Linux tuettua. Tässä vaikka Openwrt:
[OpenWrt Wiki] Ubiquiti UniFi Security Gateway 3P (USG-3P)

Vaatii tietty harrastuneisuutta jos haluaa noita käyttää, mutta ainakin rauta olisi jo valmiina. LXC:llä saa sitten jopa Unifi conroller VM:än pyörimään:
Unifi controller on OpenWRT (on a Pi4) – Cricalix.Net
 
OPNSense päivittynyt 24.7_9 versioon, hyvin toimii kiinanpurkissa.

For more than 9 and a half years now, OPNsense is driving innovation through modularising and hardening the open source firewall, with simple and reliable firmware upgrades, multi-language support, fast adoption of upstream software updates as well as clear and stable 2-Clause BSD licensing.

24.7, nicknamed "Thriving Tiger", features a new dashboard, system trust MVC/API support, GRE and GIF MVC/API support, NAT 1-to-1 MVC/API support, WireGuard QR code generator, dynamic IPsec VTI tunnel support, experimental OpenVPN DCO support, FreeBSD 14.1, Python 3.11 plus much more.


 
R5C tuli ja alustavasti ajoin testejä. Softana puhdas Openwrt uusin snapshot. Iperf3:sella antaa yhdellä streamilla 890Mbit/s ja useammalla sitten gigasen ethernetin maksimit. IPv4, NAT ja SQM, openwrt:n vakio palomuurisäännöt. Valitettavasti testipenkissä gigan portit niin ei nyt päässyt testaamaan 2.5G:llä. Yhden streamin raja tulee CPU:sta, eli yhden säikeen suoritusteho ei riitä. Multicore auttaa vasta useammalla tcp/ip yhteydellä, Linuxin rajoitus tämä ongelma.

Bufferbloattia testasin Lounean 250M valokuidulla. Alkuun vanhan palomuurin tulokset joka siis ei jaksa mitään SQM:ää tehdä yli kymmenien megojen nopeuksille. NAT+palomuuri routtauskyky 500-600Mbit/s tienoilla joten limitoi operaattorin päässä:
1722632779459.png


R5C jossa SQM cake 260000kbit/s rajoilla:
1722631868142.png


käytännössä latenssin heittely loppui kokonaan.

Tällä purnukalla siis pääsee käytännössä gigabittiin jos jätetään se teoreettinen tilanne jossa yksi säie vie kaiken kapasiteetin pois.

Nämä nyt vartin leikkimisellä. Wireguard suorituskyky vielä pitää testata, se ehkä tämän SQM:n ohelle kiinostaa eniten itseä. Lämpöjen osalta testeissä CPU:n lämmöt piikitti +45c ja muuten stabiloitui aika tarkasti +30c. Passiivisenä ei myöskään humise tai pidä muutakaan ääntä. Ainoa miinus juuri nyt on Openwrt:n tuki, eli on vasta snapshotissa tuettuna, virallisissa julkaisuissa tuki vasta 24.x sarjassa joka tulenee loppuvuodesta. Openelecin oma Openwrt-haara tietysti on suoraan olemassa, mutta tykkään itse mahdollisimman natiivista Linux-distrosta.
 
Mitkäs ovat opnsenseen oikeat asetukset ipv6:lle dnan kaapeliverkossa trackinterface mutta mikä prefiksi lanpuolelle jne. Näyttäisi säätelyn tuloksena työasema saavan ipv6 osoitteen prefixillä 64, mutta esim tämä testi valittaa, että ei olisi muka ipv6 osoitetta
 
PFSense ja Tailscale aiheuttaa pienehköjä harmaita hiustuppoja. Syystä tai toisesta mainostettuun subnettiin ei saa mitenkään yhteyttä. Pitää nuuskia lisää kun on enempi aikaa.
 
PFSense ja Tailscale aiheuttaa pienehköjä harmaita hiustuppoja. Syystä tai toisesta mainostettuun subnettiin ei saa mitenkään yhteyttä. Pitää nuuskia lisää kun on enempi aikaa.
Oletko hyväksynyt sen admin consolesta?
1*Pd7TT6juNq7OPBxhaa_gtQ.png
 
R5C tuli ja alustavasti ajoin testejä. Softana puhdas Openwrt uusin snapshot. Iperf3:sella antaa yhdellä streamilla 890Mbit/s ja useammalla sitten gigasen ethernetin maksimit. IPv4, NAT ja SQM, openwrt:n vakio palomuurisäännöt. Valitettavasti testipenkissä gigan portit niin ei nyt päässyt testaamaan 2.5G:llä. Yhden streamin raja tulee CPU:sta, eli yhden säikeen suoritusteho ei riitä. Multicore auttaa vasta useammalla tcp/ip yhteydellä, Linuxin rajoitus tämä ongelma.

Bufferbloattia testasin Lounean 250M valokuidulla. Alkuun vanhan palomuurin tulokset joka siis ei jaksa mitään SQM:ää tehdä yli kymmenien megojen nopeuksille. NAT+palomuuri routtauskyky 500-600Mbit/s tienoilla joten limitoi operaattorin päässä:
1722632779459.png


R5C jossa SQM cake 260000kbit/s rajoilla:
1722631868142.png


käytännössä latenssin heittely loppui kokonaan.

Tällä purnukalla siis pääsee käytännössä gigabittiin jos jätetään se teoreettinen tilanne jossa yksi säie vie kaiken kapasiteetin pois.

Nämä nyt vartin leikkimisellä. Wireguard suorituskyky vielä pitää testata, se ehkä tämän SQM:n ohelle kiinostaa eniten itseä. Lämpöjen osalta testeissä CPU:n lämmöt piikitti +45c ja muuten stabiloitui aika tarkasti +30c. Passiivisenä ei myöskään humise tai pidä muutakaan ääntä. Ainoa miinus juuri nyt on Openwrt:n tuki, eli on vasta snapshotissa tuettuna, virallisissa julkaisuissa tuki vasta 24.x sarjassa joka tulenee loppuvuodesta. Openelecin oma Openwrt-haara tietysti on suoraan olemassa, mutta tykkään itse mahdollisimman natiivista Linux-distrosta.
Pitipä itsekin lopulta asentaa tuo SQM tuohon omaan Archlinux muuriini. Download active laski +6ms:sta nollaan, eli arvosana A:sta A+:aan. En suurta hyötyä odottanutkaan kun kaikki yhteydet WAN mukaanlukien on gigasia. Kannattaako tämä muuten laittaa kaikille interfaceille vai vaan WANille?
 
Mitkäs ovat opnsenseen oikeat asetukset ipv6:lle dnan kaapeliverkossa trackinterface mutta mikä prefiksi lanpuolelle jne. Näyttäisi säätelyn tuloksena työasema saavan ipv6 osoitteen prefixillä 64, mutta esim tämä testi valittaa, että ei olisi muka ipv6 osoitetta

Ei valitettavasti kokemusta OPNsensesta, mutta pfSensellä lähti toimimaan näillä:

Koodi:
Interfaces => WAN
    IPv6 Configuration Type => DHCP6
    DHCPv6 Prefix Delegation size => 56
    Send IPv6 prefix hint => päälle
    Block bogon networks => pois päältä

Interfaces => LAN
    IPv6 Configuration Type => Track Interface
    IPv6 Interface => WAN
    IPv6 Prefix ID => 0

Services => DHCPv6 Server & RA => Router Advertisements
    Router mode => Assisted - RA Flags
    Router priority => Normal
 
Pitipä itsekin lopulta asentaa tuo SQM tuohon omaan Archlinux muuriini. Download active laski +6ms:sta nollaan, eli arvosana A:sta A+:aan. En suurta hyötyä odottanutkaan kun kaikki yhteydet WAN mukaanlukien on gigasia. Kannattaako tämä muuten laittaa kaikille interfaceille vai vaan WANille?
WAN on se ainoa oikea paikka. Eniten hyötyä juurikin isoilla nopeuseroilla ja herkästi reagoivilla yhteyksillä kuten kaapelimodeemi tai 4/5G.
 
Tulipa päivitettyä opnsense 24.7 muurikoneeseen. TOiminut oikein jees, päivityksessä nähtävästi muuri boottaa kaksi kertaa. Hieman aiheutti ihmetystä, että jäikö masiina nyt bootlooppiin
 
Kustannustehokas, virtapihi mutta riittävän nopea purkki ns. routteriksi etsinnässä.
Tällä hetkellä 5G modeemin perässä on joku Asuksen AC-sarjan purkki hoitamassa routtauksen (+dhcp, openVPN). OpenVPN on jo pitkään huutanut että not secure kun niin vanha versio. Viime aikoina purkki on muutenkin tökkinyt ja vaatii boottailua. Jostain syystä ulkoverkosta päin tulevat kutsut nykyään hyvin harvoin menee purkin läpi. Eli OpenVPN tai muutamat webbikutsut mitä lähettelen ulkomaailmasta timeouttaa.
Eli jotain pitäisi keksiä tilalle. Mitä? Netti tosiaan 5G ja 1000mbps liittymä josta tulee ehkä 600mbps nykysetupilla.
Laitteita verkossa n. 100kpl joista suurin osa kotiautomaatiokrääsää. Kaikki laitteet on kyllä yhdessä ja samassa wanissa, en käytä vlaneja.

Yllä suositeltiin NanoPi R5C:tä ja siihen openwrt. Onko tämä järkevin omaan käyttöön?

EDIT: WIFIä en tarvitse, sen hoitaa mesh purkit.
 

Uusimmat viestit

Statistiikka

Viestiketjuista
258 919
Viestejä
4 500 520
Jäsenet
74 302
Uusin jäsen
Kosto

Hinta.fi

Back
Ylös Bottom