Tee-se-itse: Rautapalomuurit (pfSense, Sophos UTM..) (Mitä käytätte ja miksi juuri se vaihtoehto?)

Tuosta Thinkcentrestä ja pfSensestä kommentti.

PfSense tarvitsee kaksi verkkokorttia (tai porttia), joten toisen joutuu itse lisäämään jälkeenpäin.

SSD on noissa käytetyissä vehkeissä yleensä 2,5 tuumainen SATA-levy, joka pitää vaihtaa M.2 -levyksi, jotta sen uuden verkkokortin saa lisättyä PCIe-paikkaan.

Lisäksi PCIe-riseri tarvitaan uudelle verkkokortille.

Jonkun verran puuhaa ja lisäkuluja tiedossa siis…
 
BennyH sanoi:
PfSense tarvitsee kaksi verkkokorttia (tai porttia), joten toisen joutuu itse lisäämään jälkeenpäin
Napsauta laajentaaksesi...
Ei aivan pakosta eli VLANeilla voi reitittää yhdelläkin fyysisellä verkkoportilla, mutta vähän kikkailuahan tuo on.
Jos olisi USB-liitäntäinen mokkula niin sitten vähän erilaista säätöä.
USB:lla voi myös saada ihan toimivia ethernet-portteja lisää ellei muuten
 
BennyH sanoi:
Tuosta Thinkcentrestä ja pfSensestä kommentti.

PfSense tarvitsee kaksi verkkokorttia (tai porttia), joten toisen joutuu itse lisäämään jälkeenpäin.

SSD on noissa käytetyissä vehkeissä yleensä 2,5 tuumainen SATA-levy, joka pitää vaihtaa M.2 -levyksi, jotta sen uuden verkkokortin saa lisättyä PCIe-paikkaan.

Lisäksi PCIe-riseri tarvitaan uudelle verkkokortille.

Jonkun verran puuhaa ja lisäkuluja tiedossa siis…
Napsauta laajentaaksesi...
Onko se ssd noissa thinkcentreissä sen pci-e paikan edessä vai mikä?

Tosin, ei kai tuossa käytössä välttämättä kiinteää levyä tarvitse, vaan voi käyttää ihan usb tikkua?
 
Pakana sanoi:
Onko se ssd noissa thinkcentreissä sen pci-e paikan edessä vai mikä?

Tosin, ei kai tuossa käytössä välttämättä kiinteää levyä tarvitse, vaan voi käyttää ihan usb tikkua?
Napsauta laajentaaksesi...
Kyllä, sata SSD on PCIe- paikan päällä omassa kelkassaan ja estää PCIe-kortin lisäämisen.
 
BennyH sanoi:
Ainakin uudemmissa Thinkcentreissä on NMVe SSD:t.

Kannattaa tsekata netistä löytyvistä Lenovon spec sheetistä mikä käy omaan vehkeeseen.
Napsauta laajentaaksesi...
Tämäkö?

Tuota tavaamalla verkkokortti olis Intellin I219-V.

Ja levyistä:

1731678945783.png


E: Täältä löytyy keskustelua värkistä.
 
BennyH sanoi:
Ainakin uudemmissa Thinkcentreissä on NMVe SSD:t.

Kannattaa tsekata netistä löytyvistä Lenovon spec sheetistä mikä käy omaan vehkeeseen.
Napsauta laajentaaksesi...
NVMe:han sen pitäisi olla M720q:ssa. Omassa yksilössä se olikin jo asennettuna, niin sen osalta asiaa ei tarvinnut sen enempää pohtia.
 
M720Q on NVMe, mutta jos lisää itse toisen M.2 slotin juottamalla puuttuvat komponentit, niin toinen levy toimii ainoastaan SATA moodissa.
M920Q 2x M.2 modi toimii molemmat slotit NVMe moodissa, koska laitteesta tulee käytännössä M920X.

github.com

GitHub - badger707/m920q-dual-NVME: Lenovo M920Q dual NVME, conversion to M920X.

Lenovo M920Q dual NVME, conversion to M920X. Contribute to badger707/m920q-dual-NVME development by creating an account on GitHub.
github.com github.com
 
Noihin M.2-slotteihin on myös saatavilla verkkokortteja, jos välttämättä haluaa 2.5" SATA-levyä käyttää, mutta järkevämpäähän se on pistää siihen se NVMe-levy.
 
Haluan tarkastella tietyn IP:n netti liikennettä, niin miten sen PfSensestä näen? Siis ihan kuinka paljon se käyttää kaistaa vaikka vuorokaudessa.


Asensin jonkin (en nyt muista enää, että minkä), niin se näyttää selkokielisesti vain TOP10 laitteiden liikenteet.

Edit: Oli siis BandwithD ja TOP20, mutta se/ne tietyt pitäisi saada

IMG_1121.jpeg
 
Viimeksi muokattu:
amso.eu

Lenovo ThinkCentre M720q i5-8400T 6x1.7GHz 8GB 240GB SSD Windows 10 Professional

Ex-lease Lenovo ThinkCentre M720q in very good technical condition, equipped with a powerful Intel Core Coffee Lake processor with reduced TDP. Power supply included.
amso.eu amso.eu

Tämä saapui tänään ja kyllä se oli just niin kuin täällä epäiltiin. Koneessa on sisällä 2,5" ssd joka blokkaa loput kotelosta. Eli riceriä tai verkkokorttia ei voi asentaa. Takapaneelissa myös kolmas näyttöliitin (dp) joka vie myöskin mahdollisuuden asentaa verkkokortin.
On muuten joku melko no-name ssd tuossa sisällä. Kaikesta tietty selviää kun tilaa uutta rautaa, eli sen nvme levyn. Riseri ja verkkokortti on jo tulossa.

SSD on tälläinen 256gb: SSD Drives - 2-Power

20241120_182603.jpg


20241120_182615.jpg
 
Mikäs olis pienin mahdollinen router mikä pystyisi 1gb netin välitykseen?
Olisi kohde missä sähkö kaappi mihin tuo pitäisi saada. Joku Lenovo tiny on liian iso tuohon hommaan.
NanoPi R3S näyttäisi pieneltä mutta ei taida päästä tuollaiseen lukemaan?
 
kobedih sanoi:
Mikäs olis pienin mahdollinen router mikä pystyisi 1gb netin välitykseen?
Olisi kohde missä sähkö kaappi mihin tuo pitäisi saada. Joku Lenovo tiny on liian iso tuohon hommaan.
NanoPi R3S näyttäisi pieneltä mutta ei taida päästä tuollaiseen lukemaan?
Napsauta laajentaaksesi...
Mulla oli aiemmin Fitlet2 celeron j3455 mallina, joka mielestäni kyllä menee heittämällä sähkökaappiin. Ja Sophoksen home XG:llä kyllä toimi symmetrisen 1G kuidun perässä joten luulisi myös pfSense menevän.
 
Viimeksi muokattu:
kuukie sanoi:
Mulla oli aiemmin Fitlet2 celeron j3455 mallina, joka mielestäni kyllä menee heittämällä sähkökaappiin. Ja Sophoksen home XG:llä kyllä toimi symmetrisen 1G kuidun perässä joten luulisi myös pfSense menevän.
Napsauta laajentaaksesi...

Meillä on Fitlet3 sähkökaapin ovessa (peltiä). Industrial/litteällä kannella, pellin ja laitteen välissä lämpötyyny. Huom. Broadcomin verkkosovittimia en ole saanut toimimaan OPNsensessä, lisäoptiona otetut Intelin toimivat.

Liittymä on tosin vain 200/100, niin en tiedä, miten toimii järeämmällä kuidulla.
 
kobedih sanoi:
Mikäs olis pienin mahdollinen router mikä pystyisi 1gb netin välitykseen?
Olisi kohde missä sähkö kaappi mihin tuo pitäisi saada. Joku Lenovo tiny on liian iso tuohon hommaan.
NanoPi R3S näyttäisi pieneltä mutta ei taida päästä tuollaiseen lukemaan?
Napsauta laajentaaksesi...
AkQ sanoi:
Syyskuussa 2022 ostin wanhan code2quad Q6600 -prossuun pohjautuvan pfSense-routterini tilalle AliExpressistä, tällaisen maineikkaan ja tunnetun laatupurkin nimeltä Intel Celeron N5105/N5100 Soft Router Fanless Mini PC 4x Intel i225/i226 2.5G LAN HDMI DP pfSense Firewall Appliance ESXI AES-NI hintaan 171,62€ (tällä hetkellä 150,20€). Jonkun aikaa noita olin tutkinut ja totesin etten muuta ymmärtänyt kuin filtteröidä prossun (n5105) perusteella parhaan näköinen purkki. Jäähdytyshän näissä purkeissa tapahtuu kotelon muotoilulla. Prossu tietysti vaikuttaa lämpötiloihin eniten ja tästä syystä jätin filtterin ulkopuolelle kaikki N5105:sta tehokkaammat purkit, esim N6005 olisi jo todennäköisesti liian kuuma. Vähän kyllä taisin tykillä ampua kärpästä jo tälläkin valinnalla, oma homelabbini ei päätä huimaa, ja purkin pitäisi pystyä reitittimään helposti jopa yli 1gbps, prossun perusteella.

En valinnut purkin mukaan mitään muisteja tai ssd-levyä, vaan hankin ne itse, ja säästin muutaman euron siinäkin. Muistien ja ssd:n asennus oli helppoa, ikäänkuin läppäriin olisi tavaraa asentanut/vaihtanut.

Vaihdoin samalla rautapäivityksellä pois pfSensestä, ja siirryin OPNsenseen periaatteellisista syistä, enkä suosittele kenellekkään pfSenseä, vaikka mitään varsinaista vikaa ei heidän softassa olekkaan.

Homelab:
Siltaava DNA-kaapelimodeemi ("valokuitu plus" F-3890v3, 20€ käytettynä tori.fi:stä)
-> Routteri
-> Kytkin (D-Link DGS-108GL -8-porttinen)
--> oma kone, servu (wanha thinkpad läppäri) ja maholliset lani-bileiden-ihmiset.

Routterista ei voi muuta sanoa ku et, Ei ongelmia, ei kuumuutta, ei valittamista, toimii 100%.
Suosittelen.
kuva1.png
kuva2_eestä.png
kuva3_takaa.png
Napsauta laajentaaksesi...

Yli kaksi vuotta ollu tällai boksi, jonka ytimenä sykkii N5105. Riittää helposti 1/1gbps, on pieni, ja ei lämpene liikoja. Lämpenemisen, sekä aktiivisen tuuletuksen puuttumisen takia en suosittele ainakaan tämän tehokkaampaa prosessoria hankkimaan, jos se johonkin suljettuun sähkökaappiin menee.
 
Hyvin suurella todennäköisyydellä pfSense 2.8.0 CE ehtii valmistua vielä tämän vuoden puolella.

1732527875879.png


Mahdollisesti osan avatuista tiketeistä siirretään tulevalle versiolla ja näin saadaan 2.8.0 valmiiksi "heti".
 
Itselläni on kahden IPFire-purkin välillä IPSec-putki ja tuossa taannoin, kun ihmettelin, miksi yhteys oli katkennut, niin huomasin että toiseen päähän on operaattori vaihtanut käyttöön c-g natin. Kuitenkin kun klikkasin IPFiresta restart, putki lähti toimimaan. Itse olen käsittänyt että varsinkin IPSec toimii aika kehnosti natin läpi, niin osaako joku valottaa, miten tuo tässä tilanteessa kuitenkin toimii. Toisessa päässä on julkinen ip ja molemmin puolin on käytössä dyndns.
 
2020 ostettu fitlet2 oli päättänyt sanoa yöllä sopimuksen irti eikä käynnisty enää. Pitänee suunnitella tilalle jotain korvaavaa.
 
Grazer sanoi:
Itselläni on kahden IPFire-purkin välillä IPSec-putki ja tuossa taannoin, kun ihmettelin, miksi yhteys oli katkennut, niin huomasin että toiseen päähän on operaattori vaihtanut käyttöön c-g natin. Kuitenkin kun klikkasin IPFiresta restart, putki lähti toimimaan. Itse olen käsittänyt että varsinkin IPSec toimii aika kehnosti natin läpi, niin osaako joku valottaa, miten tuo tässä tilanteessa kuitenkin toimii. Toisessa päässä on julkinen ip ja molemmin puolin on käytössä dyndns.
Napsauta laajentaaksesi...
Muistaakseni tunnelin kättely, ellei jopa kaikki liikenne, paketoidaan UDP-pakettien sisään, jolloin sen saa porattua natista läpi. IPsec NAT Transparency on avainsanat, millä googlata jos haluaa opiskella tarkemmin.
 
Kleimo sanoi:
2020 ostettu fitlet2 oli päättänyt sanoa yöllä sopimuksen irti eikä käynnisty enää. Pitänee suunnitella tilalle jotain korvaavaa.
Napsauta laajentaaksesi...
Kannattaa vilkasta Hardkernelin Odroid H4+/Ultra x86 – ODROID

Jos haluaa eurooppalaista tukea niin IPFiren mini yks vaihtoehto, ei tosin mikään halpa laita kun verojen jälkeen päälle 600€. www.ipfire.org - Happy Cyber Monday - Launching Our New IPFire Mini Appliance

Kannattaa myös vilkasta että onko vielä aleissa noita hp:n ja lenovon mini koneita. Ite just blackfridaystä tilasin Lenovo ThinkCentrin, tosin en palomuuri käyttöön.
 
pfSense System Patches 2.2.19 asennettavissa.

Ainakaan itellä ei tullut ainuttakaan käyttöönotettavaa patchiä :hmm:.
 
kobedih sanoi:
Mikäs olis pienin mahdollinen router mikä pystyisi 1gb netin välitykseen?
Olisi kohde missä sähkö kaappi mihin tuo pitäisi saada. Joku Lenovo tiny on liian iso tuohon hommaan.
NanoPi R3S näyttäisi pieneltä mutta ei taida päästä tuollaiseen lukemaan?
Napsauta laajentaaksesi...
NanoPI R5C ja R5S on hitaimmat joista saa gigabitin läpi. Näiden ongelma on että lähinnä Openwrt on se mikä menee heittämällä sisään. Itsellä R5C Openwrt:llä ja toiminut kesästä lähtien ongelmitta. Nytkin uptimea 3kk ja mitään ogelmia ei ole ollut. Käytössä dual-stack IPv4+v6 kuidun perässä. Perusmuuri + Wireguard VPN serveri.
 
Onko jossain OPNSenselle hyväksi toidettua step-by-step ohjetta missä asennetaan OPNSense sekä konfiguroidaan sille portit, DHCP:t, DNS:t ja mahd. tarvittavat IDS:t ym.?

Viime asennus toimi jonkun aikaa aluksi hyvin, mutta sitten tuntui DNS:n osalta alkaa hidastelemaan ja verkossa olevien laitteiden selaimet avasi sivustot monen sekunnin viiveellä. Sen jälkeen heitin vekottimen kaapin perälle odottelemaan parempia aikoja niin ajattelin josko nyt olisi se hetki ja tekisi alusta loppuun ajatuksen kanssa ja hyvän ohjeen saattelemana.
 
mitiih sanoi:
Onko jossain OPNSenselle hyväksi toidettua step-by-step ohjetta missä asennetaan OPNSense sekä konfiguroidaan sille portit, DHCP:t, DNS:t ja mahd. tarvittavat IDS:t ym.?

Viime asennus toimi jonkun aikaa aluksi hyvin, mutta sitten tuntui DNS:n osalta alkaa hidastelemaan ja verkossa olevien laitteiden selaimet avasi sivustot monen sekunnin viiveellä. Sen jälkeen heitin vekottimen kaapin perälle odottelemaan parempia aikoja niin ajattelin josko nyt olisi se hetki ja tekisi alusta loppuun ajatuksen kanssa ja hyvän ohjeen saattelemana.
Napsauta laajentaaksesi...
Ei vastaa kysymykseesi, mutta yritys ja erehdys -periaatteella yritin yhtä ja toista OPNSensen kanssa, kokeilin pfSenseä ja yhtäkkiä kaikki toimikin hienosti.

Osin paremman dokumentin ansiota, mutta erittäin tyytyväinen olen pfSenseen ollut. 4kk jälkeen juuri päivittelin proxmoxia ja virtuaalikoneita muutenkin, samalla boottaus.

Liikenteen skannaaminen jäi käyttöönottamatta kun arki on ollut liian hektistä lasten kanssa. Pitää siihen vielä syventyä, samoin josko saisi Radius-palvelimen pyörimään että pääsisi käyttämään yhtä SSID:tä ja sen takana eri kerroksia tunnistautumalla nykyisen SSID per VLAN -rakenteen sijaan.
 
mitiih sanoi:
Onko jossain OPNSenselle hyväksi toidettua step-by-step ohjetta missä asennetaan OPNSense sekä konfiguroidaan sille portit, DHCP:t, DNS:t ja mahd. tarvittavat IDS:t ym.?

Viime asennus toimi jonkun aikaa aluksi hyvin, mutta sitten tuntui DNS:n osalta alkaa hidastelemaan ja verkossa olevien laitteiden selaimet avasi sivustot monen sekunnin viiveellä. Sen jälkeen heitin vekottimen kaapin perälle odottelemaan parempia aikoja niin ajattelin josko nyt olisi se hetki ja tekisi alusta loppuun ajatuksen kanssa ja hyvän ohjeen saattelemana.
Napsauta laajentaaksesi...

Initial Installation & Configuration — OPNsense documentation

docs.opnsense.org docs.opnsense.org

Tuossa tuo virallinen ohje. DHCP ja DNS toimivat ihan oletuksena ellei sitten asennuksessa jotain kikkaillut. Oman kokemuksen mukaan asennuksessa oli vain muutama asia, joka vaati alkuun mitään toimia:
  • LAN ja WAN porttien valinta
  • LAN DHCP konfigurointi
  • Salasanan asettaminen
Loput asetukset tulevat aikalailla valmiina ja toimivina. Jos DNS alkaa takkuamaan jossain kohtaa, niin todennäköisesti on mennyt laittamaan jotain outoja asetuksia Unboundiin, joka saa sen hidastelemaan.

Itse suosittelisin OPNsensen ja pfSensen kanssa aloittelijoille ihan minimikonfiguraatiota eli menee mahdollisimman oletusasetuksilla ja totuttelee pikkuhiljaa käyttöjärjestelmän toimintaa. Asetuksia on "hieman" enemmän kuin perus router-käyttiksessä ja väärillä asetuksilla saa taatusti sisäverkon jumiin tai liikenteen ulospäin lakkaamaan. Oletusasetukset ovat kuitenkin täysin turvalliset ja toimivat. Ei kannata koittaa heti ensimmäisenä konffata DoT:ia Unboundiin, pilkkoa sisäverkkoa VLANeihin tai alkaa säätämään IDS/IPS:ää, jos itse käyttöjärjestelmä on vielä vieras.
 
Kleimo sanoi:
2020 ostettu fitlet2 oli päättänyt sanoa yöllä sopimuksen irti eikä käynnisty enää. Pitänee suunnitella tilalle jotain korvaavaa.
Napsauta laajentaaksesi...
Itselläni on vuonna tammikuussa 2018 hankittu Fitlet2 sähkökaapissa Sophos Firewallin kanssa - toimii hyvin edelleen. Koko tämän melkein 7 vuotta on muurissa ollut sama Sophos XG/Firewall-asennus, jota olen päivittänyt muutaman kerran vuodessa käyttöliittymästä sitä mukaan, kun uusia päivityksiä on tullut vastaan. Nyt mennään Sophos-versiossa v21.

Lisäksi on käytössä Fitlet3 Home Assistant-käytössä. Suosittelen myös palomuuriksi.
 
Viimeksi muokattu:
mitiih sanoi:
Onko jossain OPNSenselle hyväksi toidettua step-by-step ohjetta missä asennetaan OPNSense sekä konfiguroidaan sille portit, DHCP:t, DNS:t ja mahd. tarvittavat IDS:t ym.?

Viime asennus toimi jonkun aikaa aluksi hyvin, mutta sitten tuntui DNS:n osalta alkaa hidastelemaan ja verkossa olevien laitteiden selaimet avasi sivustot monen sekunnin viiveellä. Sen jälkeen heitin vekottimen kaapin perälle odottelemaan parempia aikoja niin ajattelin josko nyt olisi se hetki ja tekisi alusta loppuun ajatuksen kanssa ja hyvän ohjeen saattelemana.
Napsauta laajentaaksesi...


Tällaista noudatin (ja muita samalta sivustolta löytyviä ohjeita) kun säädin OPNsenseä alkuun. En kylläkään osaa arvioida ohjeiden pätevyyttä sinänsä näin noviisina.

Ongelmia ei kuitenkaan ole tullut vastaan.
 
Kiitos vinkeistä.
Laitoin nyt testiksi pfSensen tulille ja on hyvin perusasetuksilla, mutta törmäsin samaan kuin aikoinaan OPNSensenkin kanssa alkuvaiheessa, jota en nyt miten se ratkesi.
Ongelma siis että WAN-linkki näyttää katkeavan yhtäkkiä ja nyt näytti tokenevan ihan pfSensestä WAN-interfacen IP:n release/renew:llä
Minulla on DNA:n 3890-kaapelimodeemi siltaavana jonka perässä sitten pfSense.

Onko tuohon vinkkiä antaa mikä tuota voisi tehdä tai mistä lähteä selvittämään? Jos pitäisi kovasti muistella niin se saattoi liittyä IPv6 käyttöön.
 
Viimeksi muokattu:
mitiih sanoi:
Ongelma siis että WAN-linkki näyttää katkeavan yhtäkkiä ja nyt näytti tokenevan ihan pfSensestä WAN-interfacen IP:n release/renew:llä
Minulla on DNA:n 3890-kaapelimodeemi siltaavana jonka perässä sitten pfSense.
Napsauta laajentaaksesi...
Mulla ei ole kaapelmodeemia mutta tietääkseni jotku modeemit antavat oman ip:n wan osoittekksi.
Sen saa blokattua sekä open että pfsensessä.

Tarkkaile mikä wan ip on käytössä, muutuneeko leasing ajan loputtua (2h?)
 
mitiih sanoi:
Kiitos vinkeistä.
Laitoin nyt testiksi pfSensen tulille ja on hyvin perusasetuksilla, mutta törmäsin samaan kuin aikoinaan OPNSensenkin kanssa alkuvaiheessa, jota en nyt miten se ratkesi.
Ongelma siis että WAN-linkki näyttää katkeavan yhtäkkiä ja nyt näytti tokenevan ihan pfSensestä WAN-interfacen IP:n release/renew:llä
Minulla on DNA:n 3890-kaapelimodeemi siltaavana jonka perässä sitten pfSense.

Onko tuohon vinkkiä antaa mikä tuota voisi tehdä tai mistä lähteä selvittämään? Jos pitäisi kovasti muistella niin se saattoi liittyä IPv6 käyttöön.
Napsauta laajentaaksesi...
Auttaisiko tämä jos bootin jälkeen ongelmia?

Tee-se-itse: Rautapalomuurit (pfSense, Sophos UTM..) (Mitä käytätte ja miksi juuri se vaihtoehto?)

Opnsense ja Adguard Home. Tähän asti toiminut hyvin, mutta kun lisäsin verkkoon Unifin hallittavan kytkimen ja tukiaseman VLAN verkkojen toivossa, niin en saa millään VLANeja toimimaan halutulla tavalla, palomuurisäännöistä huolimatta. Alkuun yritin saada vierasverkkoa toimimaan, mutta tästä...
bbs.io-tech.fi
 
mitiih sanoi:
Kiitos vinkeistä.
Laitoin nyt testiksi pfSensen tulille ja on hyvin perusasetuksilla, mutta törmäsin samaan kuin aikoinaan OPNSensenkin kanssa alkuvaiheessa, jota en nyt miten se ratkesi.
Ongelma siis että WAN-linkki näyttää katkeavan yhtäkkiä ja nyt näytti tokenevan ihan pfSensestä WAN-interfacen IP:n release/renew:llä
Minulla on DNA:n 3890-kaapelimodeemi siltaavana jonka perässä sitten pfSense.

Onko tuohon vinkkiä antaa mikä tuota voisi tehdä tai mistä lähteä selvittämään? Jos pitäisi kovasti muistella niin se saattoi liittyä IPv6 käyttöön.
Napsauta laajentaaksesi...

user9999 sanoi:
Auttaisiko tämä jos bootin jälkeen ongelmia?

Tee-se-itse: Rautapalomuurit (pfSense, Sophos UTM..) (Mitä käytätte ja miksi juuri se vaihtoehto?)

Opnsense ja Adguard Home. Tähän asti toiminut hyvin, mutta kun lisäsin verkkoon Unifin hallittavan kytkimen ja tukiaseman VLAN verkkojen toivossa, niin en saa millään VLANeja toimimaan halutulla tavalla, palomuurisäännöistä huolimatta. Alkuun yritin saada vierasverkkoa toimimaan, mutta tästä...
bbs.io-tech.fi
Napsauta laajentaaksesi...

Sama tuli itselläkin ekana Mieleen. Hämmästelin itsekin aikoinaan samanlaista käytöstä Sagemcomin kanssa.

OPNsensellä tällä lääkkeellä korjaantuu:
1733841556253.png
 
Ogeli sanoi:
Mulla ei ole kaapelmodeemia mutta tietääkseni jotku modeemit antavat oman ip:n wan osoittekksi.
Sen saa blokattua sekä open että pfsensessä.

Tarkkaile mikä wan ip on käytössä, muutuneeko leasing ajan loputtua (2h?)
Napsauta laajentaaksesi...
Ihan näytti julkinen 87.100 tulevan, sekä IPv6 2001:14ba...

OPNSensen kanssa myös aina sai julkisen IP:n WAN-interfacelle, mutta muisti kun palailee pätkittäin niin OPNSensen kanssa oli ongelmia juuri WAN-portin DHCP:n kanssa.
Aina kun DHCP-uusinta tuli niin verkko jostain syystä katkesi kokonaan ja jommankumman (modeemi/reitittimen) bootilla sitten tokeni. Tämä voi hyvinkin olla tässäkin syynä, mutta juurisyytä en muista mikä tähän auttaisi.
 
mitiih sanoi:
Kiitos vinkeistä.
Laitoin nyt testiksi pfSensen tulille ja on hyvin perusasetuksilla, mutta törmäsin samaan kuin aikoinaan OPNSensenkin kanssa alkuvaiheessa, jota en nyt miten se ratkesi.
Ongelma siis että WAN-linkki näyttää katkeavan yhtäkkiä ja nyt näytti tokenevan ihan pfSensestä WAN-interfacen IP:n release/renew:llä
Minulla on DNA:n 3890-kaapelimodeemi siltaavana jonka perässä sitten pfSense.

Onko tuohon vinkkiä antaa mikä tuota voisi tehdä tai mistä lähteä selvittämään? Jos pitäisi kovasti muistella niin se saattoi liittyä IPv6 käyttöön.
Napsauta laajentaaksesi...
Olen 100% varma, että tähän liittyvä asetus löytyy pfSensestä jolla korjaantuu.
 
Auttaako "Reject leases" WAN DHCP asetuksissa? En muista tarkalleen sen nimeä, mutta juurikin kaapelimodeemeille tarkoitettu, kun tarjoilevat lähiverkon ip:tä kun yhteys putoaa, vaikka on sillatussa tilassa.
 
bindi sanoi:
Auttaako "Reject leases" WAN DHCP asetuksissa? En muista tarkalleen sen nimeä, mutta juurikin kaapelimodeemeille tarkoitettu, kun tarjoilevat lähiverkon ip:tä kun yhteys putoaa, vaikka on sillatussa tilassa.
Napsauta laajentaaksesi...
Saattaa johtua tuosta tosiaan. Modeemin logeista löytyi "The WAN DHCP client IP address 192.168.100.10" niin täytyy tätä Reject leases -toimintoa kokeilla.
 
mitiih sanoi:
Saattaa johtua tuosta tosiaan. Modeemin logeista löytyi "The WAN DHCP client IP address 192.168.100.10" niin täytyy tätä Reject leases -toimintoa kokeilla.
Napsauta laajentaaksesi...
Oman kokemuksen mukaan tuota ei ole tarvinnut OPNsensessä edes tehdä. Oma kaapelimodeemi tarjoaa kanssa tuon 192.168.100.1 osoitteen WAN IP:ksi, mutta päivittää sen sitten myöhemmin ulkoiseksi osoitteeksi, jolloin OPNsense osaa tuon lennosta vaihtaa ja homma lähtee toimimaan. Kannattaa toki kokeilla, jos tuo auttaisi tapauksessasi ja pfSenseä en ole itse muutamaan vuoteen käyttänytkään.

Mitkä ne WAN Interfacen asetukset muuten sinulla ovat? Oletko muuttanut niitä sen jälkeen, kun olet asentaessa tuon interfacen luonut?
 
Bahamies sanoi:
Oman kokemuksen mukaan tuota ei ole tarvinnut OPNsensessä edes tehdä. Oma kaapelimodeemi tarjoaa kanssa tuon 192.168.100.1 osoitteen WAN IP:ksi, mutta päivittää sen sitten myöhemmin ulkoiseksi osoitteeksi, jolloin OPNsense osaa tuon lennosta vaihtaa ja homma lähtee toimimaan. Kannattaa toki kokeilla, jos tuo auttaisi tapauksessasi ja pfSenseä en ole itse muutamaan vuoteen käyttänytkään.

Mitkä ne WAN Interfacen asetukset muuten sinulla ovat? Oletko muuttanut niitä sen jälkeen, kun olet asentaessa tuon interfacen luonut?
Napsauta laajentaaksesi...
Toistaiseksi toiminut katkeamatta niin so far so good.
WAN-interfacen asetukset on defaultit ja niitä ei ole tuon Reject leases from - lisäksi muutettu yhtään.
Kaikki joko defaulttina tai pois päältä paitsi seuraavat päällä:
- Block private networks
- Block bogon networks
 
Eilen illalla asentelin ensimmäisen pfsensen, ihan miellyttävä kokomus, mutta vielä on haasteita nat loopbackin kanssa.
Eli mikä mahtaisi olla oikea setup jotta sisäverkosta pääsisi esim home assistanttiin ulkoisella duckdns osoitteella? On nimittäin esim puhelimella ärsyttävä jos pitää tietää onko wifissä vai ei ja sen mukaan valita minkä osoitteen kautta koti-asioihin ottaa yhteyden. En siis saanut muutakaan kotiverkon palveluita näkyviin sisäverkosta ulkoisilla osoitteilla, mutta uskon että jos vaikka HA+duckdns+nginx combon saa toimimaan niin toimii muutkin.

Kaikki toimii ulkoisesta verkosta hyvin, mutta sisältä en pääse sisälle.

Koitin Nat reflection mode: Pure NAT ja laitoin tämän porttien ohjaukseen mukaan.
Olisiko NAT + Proxy parempi vai enkö ole keksinyt jotain ruksia laittaa ruutuun?
 
Anagonda sanoi:
Eilen illalla asentelin ensimmäisen pfsensen, ihan miellyttävä kokomus, mutta vielä on haasteita nat loopbackin kanssa.
Eli mikä mahtaisi olla oikea setup jotta sisäverkosta pääsisi esim home assistanttiin ulkoisella duckdns osoitteella? On nimittäin esim puhelimella ärsyttävä jos pitää tietää onko wifissä vai ei ja sen mukaan valita minkä osoitteen kautta koti-asioihin ottaa yhteyden. En siis saanut muutakaan kotiverkon palveluita näkyviin sisäverkosta ulkoisilla osoitteilla, mutta uskon että jos vaikka HA+duckdns+nginx combon saa toimimaan niin toimii muutkin.

Kaikki toimii ulkoisesta verkosta hyvin, mutta sisältä en pääse sisälle.

Koitin Nat reflection mode: Pure NAT ja laitoin tämän porttien ohjaukseen mukaan.
Olisiko NAT + Proxy parempi vai enkö ole keksinyt jotain ruksia laittaa ruutuun?
Napsauta laajentaaksesi...
Mulla toi toimii dns resolverin host overrides listalla. Eli sinne listannut duckdns osoitteen palauttamaan sisäverkon ip:n.
 
Sain nyt toimimaaaan niin että System -> Advanced -> firewall & Nat laitoin ruksin ruutuun "Enable automatic outbound NAT for Reflection" jaa valitsin NAT+Proxy reflection modeksi port forwardin alla.
En tiedä onko tämä huono? Tuntuu vaan toimivan.
 
Kirjaudu tai rekisteröidy kirjoittaaksesi tänne.

Uutiset

Uutisia lyhyesti

Uusimmat viestit

Statistiikka

Viestiketjuista
262 342
Viestejä
4 553 317
Jäsenet
74 959
Uusin jäsen
sorjonen

Hinta.fi

Back
Ylös Bottom