Tee-se-itse: Rautapalomuurit (pfSense, Sophos UTM..) (Mitä käytätte ja miksi juuri se vaihtoehto?)

Tuosta Thinkcentrestä ja pfSensestä kommentti.

PfSense tarvitsee kaksi verkkokorttia (tai porttia), joten toisen joutuu itse lisäämään jälkeenpäin.

SSD on noissa käytetyissä vehkeissä yleensä 2,5 tuumainen SATA-levy, joka pitää vaihtaa M.2 -levyksi, jotta sen uuden verkkokortin saa lisättyä PCIe-paikkaan.

Lisäksi PCIe-riseri tarvitaan uudelle verkkokortille.

Jonkun verran puuhaa ja lisäkuluja tiedossa siis…
 
PfSense tarvitsee kaksi verkkokorttia (tai porttia), joten toisen joutuu itse lisäämään jälkeenpäin
Ei aivan pakosta eli VLANeilla voi reitittää yhdelläkin fyysisellä verkkoportilla, mutta vähän kikkailuahan tuo on.
Jos olisi USB-liitäntäinen mokkula niin sitten vähän erilaista säätöä.
USB:lla voi myös saada ihan toimivia ethernet-portteja lisää ellei muuten
 
Tuosta Thinkcentrestä ja pfSensestä kommentti.

PfSense tarvitsee kaksi verkkokorttia (tai porttia), joten toisen joutuu itse lisäämään jälkeenpäin.

SSD on noissa käytetyissä vehkeissä yleensä 2,5 tuumainen SATA-levy, joka pitää vaihtaa M.2 -levyksi, jotta sen uuden verkkokortin saa lisättyä PCIe-paikkaan.

Lisäksi PCIe-riseri tarvitaan uudelle verkkokortille.

Jonkun verran puuhaa ja lisäkuluja tiedossa siis…
Onko se ssd noissa thinkcentreissä sen pci-e paikan edessä vai mikä?

Tosin, ei kai tuossa käytössä välttämättä kiinteää levyä tarvitse, vaan voi käyttää ihan usb tikkua?
 
Onko se ssd noissa thinkcentreissä sen pci-e paikan edessä vai mikä?

Tosin, ei kai tuossa käytössä välttämättä kiinteää levyä tarvitse, vaan voi käyttää ihan usb tikkua?
Kyllä, sata SSD on PCIe- paikan päällä omassa kelkassaan ja estää PCIe-kortin lisäämisen.
 
Ainakin uudemmissa Thinkcentreissä on NMVe SSD:t.

Kannattaa tsekata netistä löytyvistä Lenovon spec sheetistä mikä käy omaan vehkeeseen.
Tämäkö?

Tuota tavaamalla verkkokortti olis Intellin I219-V.

Ja levyistä:

1731678945783.png


E: Täältä löytyy keskustelua värkistä.
 
Ainakin uudemmissa Thinkcentreissä on NMVe SSD:t.

Kannattaa tsekata netistä löytyvistä Lenovon spec sheetistä mikä käy omaan vehkeeseen.
NVMe:han sen pitäisi olla M720q:ssa. Omassa yksilössä se olikin jo asennettuna, niin sen osalta asiaa ei tarvinnut sen enempää pohtia.
 
M720Q on NVMe, mutta jos lisää itse toisen M.2 slotin juottamalla puuttuvat komponentit, niin toinen levy toimii ainoastaan SATA moodissa.
M920Q 2x M.2 modi toimii molemmat slotit NVMe moodissa, koska laitteesta tulee käytännössä M920X.

 
Noihin M.2-slotteihin on myös saatavilla verkkokortteja, jos välttämättä haluaa 2.5" SATA-levyä käyttää, mutta järkevämpäähän se on pistää siihen se NVMe-levy.
 
Haluan tarkastella tietyn IP:n netti liikennettä, niin miten sen PfSensestä näen? Siis ihan kuinka paljon se käyttää kaistaa vaikka vuorokaudessa.


Asensin jonkin (en nyt muista enää, että minkä), niin se näyttää selkokielisesti vain TOP10 laitteiden liikenteet.

Edit: Oli siis BandwithD ja TOP20, mutta se/ne tietyt pitäisi saada

IMG_1121.jpeg
 
Viimeksi muokattu:

Tämä saapui tänään ja kyllä se oli just niin kuin täällä epäiltiin. Koneessa on sisällä 2,5" ssd joka blokkaa loput kotelosta. Eli riceriä tai verkkokorttia ei voi asentaa. Takapaneelissa myös kolmas näyttöliitin (dp) joka vie myöskin mahdollisuuden asentaa verkkokortin.
On muuten joku melko no-name ssd tuossa sisällä. Kaikesta tietty selviää kun tilaa uutta rautaa, eli sen nvme levyn. Riseri ja verkkokortti on jo tulossa.

SSD on tälläinen 256gb: SSD Drives - 2-Power

20241120_182603.jpg


20241120_182615.jpg
 
Mikäs olis pienin mahdollinen router mikä pystyisi 1gb netin välitykseen?
Olisi kohde missä sähkö kaappi mihin tuo pitäisi saada. Joku Lenovo tiny on liian iso tuohon hommaan.
NanoPi R3S näyttäisi pieneltä mutta ei taida päästä tuollaiseen lukemaan?
 
Mikäs olis pienin mahdollinen router mikä pystyisi 1gb netin välitykseen?
Olisi kohde missä sähkö kaappi mihin tuo pitäisi saada. Joku Lenovo tiny on liian iso tuohon hommaan.
NanoPi R3S näyttäisi pieneltä mutta ei taida päästä tuollaiseen lukemaan?
Mulla oli aiemmin Fitlet2 celeron j3455 mallina, joka mielestäni kyllä menee heittämällä sähkökaappiin. Ja Sophoksen home XG:llä kyllä toimi symmetrisen 1G kuidun perässä joten luulisi myös pfSense menevän.
 
Viimeksi muokattu:
Mulla oli aiemmin Fitlet2 celeron j3455 mallina, joka mielestäni kyllä menee heittämällä sähkökaappiin. Ja Sophoksen home XG:llä kyllä toimi symmetrisen 1G kuidun perässä joten luulisi myös pfSense menevän.

Meillä on Fitlet3 sähkökaapin ovessa (peltiä). Industrial/litteällä kannella, pellin ja laitteen välissä lämpötyyny. Huom. Broadcomin verkkosovittimia en ole saanut toimimaan OPNsensessä, lisäoptiona otetut Intelin toimivat.

Liittymä on tosin vain 200/100, niin en tiedä, miten toimii järeämmällä kuidulla.
 
Mikäs olis pienin mahdollinen router mikä pystyisi 1gb netin välitykseen?
Olisi kohde missä sähkö kaappi mihin tuo pitäisi saada. Joku Lenovo tiny on liian iso tuohon hommaan.
NanoPi R3S näyttäisi pieneltä mutta ei taida päästä tuollaiseen lukemaan?
Syyskuussa 2022 ostin wanhan code2quad Q6600 -prossuun pohjautuvan pfSense-routterini tilalle AliExpressistä, tällaisen maineikkaan ja tunnetun laatupurkin nimeltä Intel Celeron N5105/N5100 Soft Router Fanless Mini PC 4x Intel i225/i226 2.5G LAN HDMI DP pfSense Firewall Appliance ESXI AES-NI hintaan 171,62€ (tällä hetkellä 150,20€). Jonkun aikaa noita olin tutkinut ja totesin etten muuta ymmärtänyt kuin filtteröidä prossun (n5105) perusteella parhaan näköinen purkki. Jäähdytyshän näissä purkeissa tapahtuu kotelon muotoilulla. Prossu tietysti vaikuttaa lämpötiloihin eniten ja tästä syystä jätin filtterin ulkopuolelle kaikki N5105:sta tehokkaammat purkit, esim N6005 olisi jo todennäköisesti liian kuuma. Vähän kyllä taisin tykillä ampua kärpästä jo tälläkin valinnalla, oma homelabbini ei päätä huimaa, ja purkin pitäisi pystyä reitittimään helposti jopa yli 1gbps, prossun perusteella.

En valinnut purkin mukaan mitään muisteja tai ssd-levyä, vaan hankin ne itse, ja säästin muutaman euron siinäkin. Muistien ja ssd:n asennus oli helppoa, ikäänkuin läppäriin olisi tavaraa asentanut/vaihtanut.

Vaihdoin samalla rautapäivityksellä pois pfSensestä, ja siirryin OPNsenseen periaatteellisista syistä, enkä suosittele kenellekkään pfSenseä, vaikka mitään varsinaista vikaa ei heidän softassa olekkaan.

Homelab:
Siltaava DNA-kaapelimodeemi ("valokuitu plus" F-3890v3, 20€ käytettynä tori.fi:stä)
-> Routteri
-> Kytkin (D-Link DGS-108GL -8-porttinen)
--> oma kone, servu (wanha thinkpad läppäri) ja maholliset lani-bileiden-ihmiset.

Routterista ei voi muuta sanoa ku et, Ei ongelmia, ei kuumuutta, ei valittamista, toimii 100%.
Suosittelen.
kuva1.png
kuva2_eestä.png
kuva3_takaa.png

Yli kaksi vuotta ollu tällai boksi, jonka ytimenä sykkii N5105. Riittää helposti 1/1gbps, on pieni, ja ei lämpene liikoja. Lämpenemisen, sekä aktiivisen tuuletuksen puuttumisen takia en suosittele ainakaan tämän tehokkaampaa prosessoria hankkimaan, jos se johonkin suljettuun sähkökaappiin menee.
 
Hyvin suurella todennäköisyydellä pfSense 2.8.0 CE ehtii valmistua vielä tämän vuoden puolella.

1732527875879.png


Mahdollisesti osan avatuista tiketeistä siirretään tulevalle versiolla ja näin saadaan 2.8.0 valmiiksi "heti".
 
Itselläni on kahden IPFire-purkin välillä IPSec-putki ja tuossa taannoin, kun ihmettelin, miksi yhteys oli katkennut, niin huomasin että toiseen päähän on operaattori vaihtanut käyttöön c-g natin. Kuitenkin kun klikkasin IPFiresta restart, putki lähti toimimaan. Itse olen käsittänyt että varsinkin IPSec toimii aika kehnosti natin läpi, niin osaako joku valottaa, miten tuo tässä tilanteessa kuitenkin toimii. Toisessa päässä on julkinen ip ja molemmin puolin on käytössä dyndns.
 
2020 ostettu fitlet2 oli päättänyt sanoa yöllä sopimuksen irti eikä käynnisty enää. Pitänee suunnitella tilalle jotain korvaavaa.
 
Itselläni on kahden IPFire-purkin välillä IPSec-putki ja tuossa taannoin, kun ihmettelin, miksi yhteys oli katkennut, niin huomasin että toiseen päähän on operaattori vaihtanut käyttöön c-g natin. Kuitenkin kun klikkasin IPFiresta restart, putki lähti toimimaan. Itse olen käsittänyt että varsinkin IPSec toimii aika kehnosti natin läpi, niin osaako joku valottaa, miten tuo tässä tilanteessa kuitenkin toimii. Toisessa päässä on julkinen ip ja molemmin puolin on käytössä dyndns.
Muistaakseni tunnelin kättely, ellei jopa kaikki liikenne, paketoidaan UDP-pakettien sisään, jolloin sen saa porattua natista läpi. IPsec NAT Transparency on avainsanat, millä googlata jos haluaa opiskella tarkemmin.
 
2020 ostettu fitlet2 oli päättänyt sanoa yöllä sopimuksen irti eikä käynnisty enää. Pitänee suunnitella tilalle jotain korvaavaa.
Kannattaa vilkasta Hardkernelin Odroid H4+/Ultra x86 – ODROID

Jos haluaa eurooppalaista tukea niin IPFiren mini yks vaihtoehto, ei tosin mikään halpa laita kun verojen jälkeen päälle 600€. www.ipfire.org - Happy Cyber Monday - Launching Our New IPFire Mini Appliance

Kannattaa myös vilkasta että onko vielä aleissa noita hp:n ja lenovon mini koneita. Ite just blackfridaystä tilasin Lenovo ThinkCentrin, tosin en palomuuri käyttöön.
 
pfSense System Patches 2.2.19 asennettavissa.

Ainakaan itellä ei tullut ainuttakaan käyttöönotettavaa patchiä :hmm:.
 
Mikäs olis pienin mahdollinen router mikä pystyisi 1gb netin välitykseen?
Olisi kohde missä sähkö kaappi mihin tuo pitäisi saada. Joku Lenovo tiny on liian iso tuohon hommaan.
NanoPi R3S näyttäisi pieneltä mutta ei taida päästä tuollaiseen lukemaan?
NanoPI R5C ja R5S on hitaimmat joista saa gigabitin läpi. Näiden ongelma on että lähinnä Openwrt on se mikä menee heittämällä sisään. Itsellä R5C Openwrt:llä ja toiminut kesästä lähtien ongelmitta. Nytkin uptimea 3kk ja mitään ogelmia ei ole ollut. Käytössä dual-stack IPv4+v6 kuidun perässä. Perusmuuri + Wireguard VPN serveri.
 
Onko jossain OPNSenselle hyväksi toidettua step-by-step ohjetta missä asennetaan OPNSense sekä konfiguroidaan sille portit, DHCP:t, DNS:t ja mahd. tarvittavat IDS:t ym.?

Viime asennus toimi jonkun aikaa aluksi hyvin, mutta sitten tuntui DNS:n osalta alkaa hidastelemaan ja verkossa olevien laitteiden selaimet avasi sivustot monen sekunnin viiveellä. Sen jälkeen heitin vekottimen kaapin perälle odottelemaan parempia aikoja niin ajattelin josko nyt olisi se hetki ja tekisi alusta loppuun ajatuksen kanssa ja hyvän ohjeen saattelemana.
 
Onko jossain OPNSenselle hyväksi toidettua step-by-step ohjetta missä asennetaan OPNSense sekä konfiguroidaan sille portit, DHCP:t, DNS:t ja mahd. tarvittavat IDS:t ym.?

Viime asennus toimi jonkun aikaa aluksi hyvin, mutta sitten tuntui DNS:n osalta alkaa hidastelemaan ja verkossa olevien laitteiden selaimet avasi sivustot monen sekunnin viiveellä. Sen jälkeen heitin vekottimen kaapin perälle odottelemaan parempia aikoja niin ajattelin josko nyt olisi se hetki ja tekisi alusta loppuun ajatuksen kanssa ja hyvän ohjeen saattelemana.
Ei vastaa kysymykseesi, mutta yritys ja erehdys -periaatteella yritin yhtä ja toista OPNSensen kanssa, kokeilin pfSenseä ja yhtäkkiä kaikki toimikin hienosti.

Osin paremman dokumentin ansiota, mutta erittäin tyytyväinen olen pfSenseen ollut. 4kk jälkeen juuri päivittelin proxmoxia ja virtuaalikoneita muutenkin, samalla boottaus.

Liikenteen skannaaminen jäi käyttöönottamatta kun arki on ollut liian hektistä lasten kanssa. Pitää siihen vielä syventyä, samoin josko saisi Radius-palvelimen pyörimään että pääsisi käyttämään yhtä SSID:tä ja sen takana eri kerroksia tunnistautumalla nykyisen SSID per VLAN -rakenteen sijaan.
 
Onko jossain OPNSenselle hyväksi toidettua step-by-step ohjetta missä asennetaan OPNSense sekä konfiguroidaan sille portit, DHCP:t, DNS:t ja mahd. tarvittavat IDS:t ym.?

Viime asennus toimi jonkun aikaa aluksi hyvin, mutta sitten tuntui DNS:n osalta alkaa hidastelemaan ja verkossa olevien laitteiden selaimet avasi sivustot monen sekunnin viiveellä. Sen jälkeen heitin vekottimen kaapin perälle odottelemaan parempia aikoja niin ajattelin josko nyt olisi se hetki ja tekisi alusta loppuun ajatuksen kanssa ja hyvän ohjeen saattelemana.

Tuossa tuo virallinen ohje. DHCP ja DNS toimivat ihan oletuksena ellei sitten asennuksessa jotain kikkaillut. Oman kokemuksen mukaan asennuksessa oli vain muutama asia, joka vaati alkuun mitään toimia:
  • LAN ja WAN porttien valinta
  • LAN DHCP konfigurointi
  • Salasanan asettaminen
Loput asetukset tulevat aikalailla valmiina ja toimivina. Jos DNS alkaa takkuamaan jossain kohtaa, niin todennäköisesti on mennyt laittamaan jotain outoja asetuksia Unboundiin, joka saa sen hidastelemaan.

Itse suosittelisin OPNsensen ja pfSensen kanssa aloittelijoille ihan minimikonfiguraatiota eli menee mahdollisimman oletusasetuksilla ja totuttelee pikkuhiljaa käyttöjärjestelmän toimintaa. Asetuksia on "hieman" enemmän kuin perus router-käyttiksessä ja väärillä asetuksilla saa taatusti sisäverkon jumiin tai liikenteen ulospäin lakkaamaan. Oletusasetukset ovat kuitenkin täysin turvalliset ja toimivat. Ei kannata koittaa heti ensimmäisenä konffata DoT:ia Unboundiin, pilkkoa sisäverkkoa VLANeihin tai alkaa säätämään IDS/IPS:ää, jos itse käyttöjärjestelmä on vielä vieras.
 
2020 ostettu fitlet2 oli päättänyt sanoa yöllä sopimuksen irti eikä käynnisty enää. Pitänee suunnitella tilalle jotain korvaavaa.
Itselläni on vuonna tammikuussa 2018 hankittu Fitlet2 sähkökaapissa Sophos Firewallin kanssa - toimii hyvin edelleen. Koko tämän melkein 7 vuotta on muurissa ollut sama Sophos XG/Firewall-asennus, jota olen päivittänyt muutaman kerran vuodessa käyttöliittymästä sitä mukaan, kun uusia päivityksiä on tullut vastaan. Nyt mennään Sophos-versiossa v21.

Lisäksi on käytössä Fitlet3 Home Assistant-käytössä. Suosittelen myös palomuuriksi.
 
Viimeksi muokattu:
Onko jossain OPNSenselle hyväksi toidettua step-by-step ohjetta missä asennetaan OPNSense sekä konfiguroidaan sille portit, DHCP:t, DNS:t ja mahd. tarvittavat IDS:t ym.?

Viime asennus toimi jonkun aikaa aluksi hyvin, mutta sitten tuntui DNS:n osalta alkaa hidastelemaan ja verkossa olevien laitteiden selaimet avasi sivustot monen sekunnin viiveellä. Sen jälkeen heitin vekottimen kaapin perälle odottelemaan parempia aikoja niin ajattelin josko nyt olisi se hetki ja tekisi alusta loppuun ajatuksen kanssa ja hyvän ohjeen saattelemana.


Tällaista noudatin (ja muita samalta sivustolta löytyviä ohjeita) kun säädin OPNsenseä alkuun. En kylläkään osaa arvioida ohjeiden pätevyyttä sinänsä näin noviisina.

Ongelmia ei kuitenkaan ole tullut vastaan.
 
Kiitos vinkeistä.
Laitoin nyt testiksi pfSensen tulille ja on hyvin perusasetuksilla, mutta törmäsin samaan kuin aikoinaan OPNSensenkin kanssa alkuvaiheessa, jota en nyt miten se ratkesi.
Ongelma siis että WAN-linkki näyttää katkeavan yhtäkkiä ja nyt näytti tokenevan ihan pfSensestä WAN-interfacen IP:n release/renew:llä
Minulla on DNA:n 3890-kaapelimodeemi siltaavana jonka perässä sitten pfSense.

Onko tuohon vinkkiä antaa mikä tuota voisi tehdä tai mistä lähteä selvittämään? Jos pitäisi kovasti muistella niin se saattoi liittyä IPv6 käyttöön.
 
Viimeksi muokattu:
Ongelma siis että WAN-linkki näyttää katkeavan yhtäkkiä ja nyt näytti tokenevan ihan pfSensestä WAN-interfacen IP:n release/renew:llä
Minulla on DNA:n 3890-kaapelimodeemi siltaavana jonka perässä sitten pfSense.
Mulla ei ole kaapelmodeemia mutta tietääkseni jotku modeemit antavat oman ip:n wan osoittekksi.
Sen saa blokattua sekä open että pfsensessä.

Tarkkaile mikä wan ip on käytössä, muutuneeko leasing ajan loputtua (2h?)
 
Kiitos vinkeistä.
Laitoin nyt testiksi pfSensen tulille ja on hyvin perusasetuksilla, mutta törmäsin samaan kuin aikoinaan OPNSensenkin kanssa alkuvaiheessa, jota en nyt miten se ratkesi.
Ongelma siis että WAN-linkki näyttää katkeavan yhtäkkiä ja nyt näytti tokenevan ihan pfSensestä WAN-interfacen IP:n release/renew:llä
Minulla on DNA:n 3890-kaapelimodeemi siltaavana jonka perässä sitten pfSense.

Onko tuohon vinkkiä antaa mikä tuota voisi tehdä tai mistä lähteä selvittämään? Jos pitäisi kovasti muistella niin se saattoi liittyä IPv6 käyttöön.
Auttaisiko tämä jos bootin jälkeen ongelmia?
 
Kiitos vinkeistä.
Laitoin nyt testiksi pfSensen tulille ja on hyvin perusasetuksilla, mutta törmäsin samaan kuin aikoinaan OPNSensenkin kanssa alkuvaiheessa, jota en nyt miten se ratkesi.
Ongelma siis että WAN-linkki näyttää katkeavan yhtäkkiä ja nyt näytti tokenevan ihan pfSensestä WAN-interfacen IP:n release/renew:llä
Minulla on DNA:n 3890-kaapelimodeemi siltaavana jonka perässä sitten pfSense.

Onko tuohon vinkkiä antaa mikä tuota voisi tehdä tai mistä lähteä selvittämään? Jos pitäisi kovasti muistella niin se saattoi liittyä IPv6 käyttöön.

Auttaisiko tämä jos bootin jälkeen ongelmia?

Sama tuli itselläkin ekana Mieleen. Hämmästelin itsekin aikoinaan samanlaista käytöstä Sagemcomin kanssa.

OPNsensellä tällä lääkkeellä korjaantuu:
1733841556253.png
 
Mulla ei ole kaapelmodeemia mutta tietääkseni jotku modeemit antavat oman ip:n wan osoittekksi.
Sen saa blokattua sekä open että pfsensessä.

Tarkkaile mikä wan ip on käytössä, muutuneeko leasing ajan loputtua (2h?)
Ihan näytti julkinen 87.100 tulevan, sekä IPv6 2001:14ba...

OPNSensen kanssa myös aina sai julkisen IP:n WAN-interfacelle, mutta muisti kun palailee pätkittäin niin OPNSensen kanssa oli ongelmia juuri WAN-portin DHCP:n kanssa.
Aina kun DHCP-uusinta tuli niin verkko jostain syystä katkesi kokonaan ja jommankumman (modeemi/reitittimen) bootilla sitten tokeni. Tämä voi hyvinkin olla tässäkin syynä, mutta juurisyytä en muista mikä tähän auttaisi.
 
Kiitos vinkeistä.
Laitoin nyt testiksi pfSensen tulille ja on hyvin perusasetuksilla, mutta törmäsin samaan kuin aikoinaan OPNSensenkin kanssa alkuvaiheessa, jota en nyt miten se ratkesi.
Ongelma siis että WAN-linkki näyttää katkeavan yhtäkkiä ja nyt näytti tokenevan ihan pfSensestä WAN-interfacen IP:n release/renew:llä
Minulla on DNA:n 3890-kaapelimodeemi siltaavana jonka perässä sitten pfSense.

Onko tuohon vinkkiä antaa mikä tuota voisi tehdä tai mistä lähteä selvittämään? Jos pitäisi kovasti muistella niin se saattoi liittyä IPv6 käyttöön.
Olen 100% varma, että tähän liittyvä asetus löytyy pfSensestä jolla korjaantuu.
 
Auttaako "Reject leases" WAN DHCP asetuksissa? En muista tarkalleen sen nimeä, mutta juurikin kaapelimodeemeille tarkoitettu, kun tarjoilevat lähiverkon ip:tä kun yhteys putoaa, vaikka on sillatussa tilassa.
 
Auttaako "Reject leases" WAN DHCP asetuksissa? En muista tarkalleen sen nimeä, mutta juurikin kaapelimodeemeille tarkoitettu, kun tarjoilevat lähiverkon ip:tä kun yhteys putoaa, vaikka on sillatussa tilassa.
Saattaa johtua tuosta tosiaan. Modeemin logeista löytyi "The WAN DHCP client IP address 192.168.100.10" niin täytyy tätä Reject leases -toimintoa kokeilla.
 
Saattaa johtua tuosta tosiaan. Modeemin logeista löytyi "The WAN DHCP client IP address 192.168.100.10" niin täytyy tätä Reject leases -toimintoa kokeilla.
Oman kokemuksen mukaan tuota ei ole tarvinnut OPNsensessä edes tehdä. Oma kaapelimodeemi tarjoaa kanssa tuon 192.168.100.1 osoitteen WAN IP:ksi, mutta päivittää sen sitten myöhemmin ulkoiseksi osoitteeksi, jolloin OPNsense osaa tuon lennosta vaihtaa ja homma lähtee toimimaan. Kannattaa toki kokeilla, jos tuo auttaisi tapauksessasi ja pfSenseä en ole itse muutamaan vuoteen käyttänytkään.

Mitkä ne WAN Interfacen asetukset muuten sinulla ovat? Oletko muuttanut niitä sen jälkeen, kun olet asentaessa tuon interfacen luonut?
 
Oman kokemuksen mukaan tuota ei ole tarvinnut OPNsensessä edes tehdä. Oma kaapelimodeemi tarjoaa kanssa tuon 192.168.100.1 osoitteen WAN IP:ksi, mutta päivittää sen sitten myöhemmin ulkoiseksi osoitteeksi, jolloin OPNsense osaa tuon lennosta vaihtaa ja homma lähtee toimimaan. Kannattaa toki kokeilla, jos tuo auttaisi tapauksessasi ja pfSenseä en ole itse muutamaan vuoteen käyttänytkään.

Mitkä ne WAN Interfacen asetukset muuten sinulla ovat? Oletko muuttanut niitä sen jälkeen, kun olet asentaessa tuon interfacen luonut?
Toistaiseksi toiminut katkeamatta niin so far so good.
WAN-interfacen asetukset on defaultit ja niitä ei ole tuon Reject leases from - lisäksi muutettu yhtään.
Kaikki joko defaulttina tai pois päältä paitsi seuraavat päällä:
- Block private networks
- Block bogon networks
 
Eilen illalla asentelin ensimmäisen pfsensen, ihan miellyttävä kokomus, mutta vielä on haasteita nat loopbackin kanssa.
Eli mikä mahtaisi olla oikea setup jotta sisäverkosta pääsisi esim home assistanttiin ulkoisella duckdns osoitteella? On nimittäin esim puhelimella ärsyttävä jos pitää tietää onko wifissä vai ei ja sen mukaan valita minkä osoitteen kautta koti-asioihin ottaa yhteyden. En siis saanut muutakaan kotiverkon palveluita näkyviin sisäverkosta ulkoisilla osoitteilla, mutta uskon että jos vaikka HA+duckdns+nginx combon saa toimimaan niin toimii muutkin.

Kaikki toimii ulkoisesta verkosta hyvin, mutta sisältä en pääse sisälle.

Koitin Nat reflection mode: Pure NAT ja laitoin tämän porttien ohjaukseen mukaan.
Olisiko NAT + Proxy parempi vai enkö ole keksinyt jotain ruksia laittaa ruutuun?
 
Eilen illalla asentelin ensimmäisen pfsensen, ihan miellyttävä kokomus, mutta vielä on haasteita nat loopbackin kanssa.
Eli mikä mahtaisi olla oikea setup jotta sisäverkosta pääsisi esim home assistanttiin ulkoisella duckdns osoitteella? On nimittäin esim puhelimella ärsyttävä jos pitää tietää onko wifissä vai ei ja sen mukaan valita minkä osoitteen kautta koti-asioihin ottaa yhteyden. En siis saanut muutakaan kotiverkon palveluita näkyviin sisäverkosta ulkoisilla osoitteilla, mutta uskon että jos vaikka HA+duckdns+nginx combon saa toimimaan niin toimii muutkin.

Kaikki toimii ulkoisesta verkosta hyvin, mutta sisältä en pääse sisälle.

Koitin Nat reflection mode: Pure NAT ja laitoin tämän porttien ohjaukseen mukaan.
Olisiko NAT + Proxy parempi vai enkö ole keksinyt jotain ruksia laittaa ruutuun?
Mulla toi toimii dns resolverin host overrides listalla. Eli sinne listannut duckdns osoitteen palauttamaan sisäverkon ip:n.
 
Sain nyt toimimaaaan niin että System -> Advanced -> firewall & Nat laitoin ruksin ruutuun "Enable automatic outbound NAT for Reflection" jaa valitsin NAT+Proxy reflection modeksi port forwardin alla.
En tiedä onko tämä huono? Tuntuu vaan toimivan.
 

Statistiikka

Viestiketjuista
262 798
Viestejä
4 566 021
Jäsenet
75 024
Uusin jäsen
Tähtisaari

Hinta.fi

Back
Ylös Bottom