Tee-se-itse: Rautapalomuurit (pfSense, Sophos UTM..) (Mitä käytätte ja miksi juuri se vaihtoehto?)

Suosituksia Pfsense raudaksi? Tarkoitus olisi tehdä 2.5G tai 10G sisäverkko. Liittymä 1G kuitu. Sen verran saisi tehoa olla raudassa, että ei ihan heti kyykkäisi vaikka VPN ym kanssa. Esim. Netgate 2100 ei taida tehot oikein riittää ja esim. Netgate 4200 alkaa olla jo aika kallis. Onko esim. Odroid H4+:sta kokemuksia palomuuri käytössä?
 
Suosituksia Pfsense raudaksi? Tarkoitus olisi tehdä 2.5G tai 10G sisäverkko. Liittymä 1G kuitu. Sen verran saisi tehoa olla raudassa, että ei ihan heti kyykkäisi vaikka VPN ym kanssa. Esim. Netgate 2100 ei taida tehot oikein riittää ja esim. Netgate 4200 alkaa olla jo aika kallis. Onko esim. Odroid H4+:sta kokemuksia palomuuri käytössä?
Oma suositus olisi Lenovo M720q. Löydät aiheesta videon kanavallani jos kyseinen rauta sattuu kiinnostamaan enemmänkin.
 
Suosituksia Pfsense raudaksi? Tarkoitus olisi tehdä 2.5G tai 10G sisäverkko. Liittymä 1G kuitu. Sen verran saisi tehoa olla raudassa, että ei ihan heti kyykkäisi vaikka VPN ym kanssa. Esim. Netgate 2100 ei taida tehot oikein riittää ja esim. Netgate 4200 alkaa olla jo aika kallis. Onko esim. Odroid H4+:sta kokemuksia palomuuri käytössä?
6100 jos 10 gigaisesta puhutaan. Netgaten oma rauta on aika ylihintaista, saat 300-400€ jo loistavan kiinapurkin 10G valmiuksin.
 
6100 jos 10 gigaisesta puhutaan. Netgaten oma rauta on aika ylihintaista, saat 300-400€ jo loistavan kiinapurkin 10G valmiuksin.

No joo 10G tarvitsee varmasti tehokkaampaa rautaa, mutta tuohon 1G kuituun & 2.5G sisäverkkoon varmaan tuo 4200 riittäisi (ilmoitetut speksit: L3 Forwarding IMIX Traffic: 9.28 Gbps, Firewall IMIX Traffic: 3.21 Gbps / IPsec VPN IMIX Traffic: 1.05 Gbps), mutta kuten sanoit rauta on melkoisen kallista Netgatella. Suosituksia kiinan raudasta? Noitakin vähän tullut katseltua, mutta vähä mietityttää noiden toimivuus/kestävyys. Noitakin tuntuu olevan vaikka ja kuinka. Osassa tuntuu olevan rajoituksia, että väylät ei riitä ajamaan molempia kortteja täysillä jne. STH videoitakin katsottua joku noista kiinan raudoista.
 
No joo 10G tarvitsee varmasti tehokkaampaa rautaa, mutta tuohon 1G kuituun & 2.5G sisäverkkoon varmaan tuo 4200 riittäisi (ilmoitetut speksit: L3 Forwarding IMIX Traffic: 9.28 Gbps, Firewall IMIX Traffic: 3.21 Gbps / IPsec VPN IMIX Traffic: 1.05 Gbps), mutta kuten sanoit rauta on melkoisen kallista Netgatella. Suosituksia kiinan raudasta? Noitakin vähän tullut katseltua, mutta vähä mietityttää noiden toimivuus/kestävyys. Noitakin tuntuu olevan vaikka ja kuinka. Osassa tuntuu olevan rajoituksia, että väylät ei riitä ajamaan molempia kortteja täysillä jne. STH videoitakin katsottua joku noista kiinan raudoista.
ServeTheHome -kanava on varmaan yksi parhaita lähteitä näihin. Sieltä omaan budjettiin ja hankintakanavaan sopivaa kehiin. Suoraan AliExpressistä itse ostaisin.
 
Mulla on Hunsn 6:lla 2.5G portille. Käytössä 2 porttia WAN:eille (giganen valokuitu + 5g modeemi backuppina) ja kolme LAN:eillle. Hyvin on riittänyt potku tossa laitteessa.
edit: prossu on Celeron J6413 ja normi speedtestissä meni CPU utilisaatio n 20%.
 
Viimeksi muokattu:
Ruotsista saa nopeasti noita kiinan purkkeja, omani tilasin täältä. Open Source Router and Firewall hardware (same day shipping from Stockholm)

Tietty jos ei ole massista puutetta. Tuolta saa pulittaa 160-170 € enemmän N100 pohjaisesta reitittimestä että saa parissa päivässä parin viikon sijaan Kiinasta. Myös Espanjasta saa n. 210 € hintaan vastaavia joille luvataan 7-10 päivän toimitusaikaa. Tai jos polttelee 350-400 € taskussa, niin sitten vaikka n305 pohjainen isommalla muisti- ja tallennustilamäärällä.
 
Oma suositus olisi Lenovo M720q. Löydät aiheesta videon kanavallani jos kyseinen rauta sattuu kiinnostamaan enemmänkin.
Noitakin tuli aiemmin vilkaistua kun jotkut noita käyttää proxmox ym. käytössä, mutta ne ebay halvimmat on yleensä jollain G5400T prosulla, jolla ei tee oikein mitään ja tehokkaat i5 prossut noihin taitaa olla siellä satasen tienoilla ainakin ebayssa. Tehokkailla prossuilla noista pyydetään jo parisataa. Sitten ollaan jo aikalailla N305 kiinan purkin hinnoissa. Toki jos joku tietää mistä noita i5-9500T tms. prossuja saisi halvalla, niin sittenhän tuo olisi ihan vaihtoehto.
 
Toki jos joku tietää mistä noita i5-9500T tms. prossuja saisi halvalla, niin sittenhän tuo olisi ihan vaihtoehto.
Jos ei oo hoppu, niin ebayta kyttäämällä Saksasta voi saada ihan hyvään hintaan. Toki sit ihan tuuripeliä, että saako ja millon.
 
Noitakin tuli aiemmin vilkaistua kun jotkut noita käyttää proxmox ym. käytössä, mutta ne ebay halvimmat on yleensä jollain G5400T prosulla, jolla ei tee oikein mitään ja tehokkaat i5 prossut noihin taitaa olla siellä satasen tienoilla ainakin ebayssa. Tehokkailla prossuilla noista pyydetään jo parisataa. Sitten ollaan jo aikalailla N305 kiinan purkin hinnoissa. Toki jos joku tietää mistä noita i5-9500T tms. prossuja saisi halvalla, niin sittenhän tuo olisi ihan vaihtoehto.
En ehkä sanoisi ettei G5400T soveltuisi palomuurikäyttöön valtaosalle kotikäyttäjistä. Mulla on itseasiassa työlistalla tehdä videon jossa on mm. kyseinen prossu ja pienempi muisti yms käytössä.
 
En ehkä sanoisi ettei G5400T soveltuisi palomuurikäyttöön valtaosalle kotikäyttäjistä. Mulla on itseasiassa työlistalla tehdä videon jossa on mm. kyseinen prossu ja pienempi muisti yms käytössä.
Toisaalta, jos vähempi suorituskyky riittää, niin N100 pohjaisen 6x2.5G porteilla olevan saa jo 180€ espanjasta toimitettuna. Tuossa N100 kuitenkin huomattavasti enemmän tehoa kuin tuossa G5400T ja 6W tdp vs 35W tdp.
 
Toisaalta, jos vähempi suorituskyky riittää, niin N100 pohjaisen 6x2.5G porteilla olevan saa jo 180€ espanjasta toimitettuna. Tuossa N100 kuitenkin huomattavasti enemmän tehoa kuin tuossa G5400T ja 6W tdp vs 35W tdp.
Eipä noissa ole yhtä oikeaa vaihtoehtoa. Kaikki riippuu mitä purkilta hakee. Nuo valmiit kiinalaiset purkit ovat kustannustehokkaita, mutta haittapuolena taas käytännössä olematon päivitettävyys ja varaosien vaihtaminen. Lenovon raudalla tämä kaikki on tehtävissä sähkökulutuksen kustannuksella. Hintojen osalta purkit menevät melko lähekkäin toisia.
 
Eipä noissa ole yhtä oikeaa vaihtoehtoa. Kaikki riippuu mitä purkilta hakee. Nuo valmiit kiinalaiset purkit ovat kustannustehokkaita, mutta haittapuolena taas käytännössä olematon päivitettävyys ja varaosien vaihtaminen. Lenovon raudalla tämä kaikki on tehtävissä sähkökulutuksen kustannuksella. Hintojen osalta purkit menevät melko lähekkäin toisia.

Tuollainen lenovo olisi aika hyvä valinta, jos tuollaisen tehokkaan suorittimen saisi kohtuullisella hinnalla. Jos suorittimesta joutuu maksamaan saman mitä itse purkista, niin menee vähän idea halvasta raudasta. Kuitenkin lisäksi pitää hankkia verkkokortit ym. Tottakai tuollainen merkkirauta on parempi päivitettävyyden kannalta. Toisaalta tuollainen tehokkaampi N305 houkuttaisi kun siinä voisi sitten jo ajaa paljon muutakin samalla raudalla kun laittaa proxmoxin.
 
Tuollainen lenovo olisi aika hyvä valinta, jos tuollaisen tehokkaan suorittimen saisi kohtuullisella hinnalla. Jos suorittimesta joutuu maksamaan saman mitä itse purkista, niin menee vähän idea halvasta raudasta. Kuitenkin lisäksi pitää hankkia verkkokortit ym. Tottakai tuollainen merkkirauta on parempi päivitettävyyden kannalta. Toisaalta tuollainen tehokkaampi N305 houkuttaisi kun siinä voisi sitten jo ajaa paljon muutakin samalla raudalla kun laittaa proxmoxin.
Kannattaa kyttäillä esim mydealz.de:n ilmoituksia:

1734098164110.png
 
Kaipaatko seuraksi intelin 2 porttista 2,5gb verkkokorttia? Se mitä escalibur kiinasta suositteli?
Mulla m720q pfsense käytössä ja vääntö riittäisi pyörittämään myös levypalvelinta, mutta sata/sas paikat ei riitä ilman että vapautan pcie väylän sata/sas kortille.
Meillä 1gbps 5G mistä ikinä ei tule gigaa, joten ajattelin kokeilla m.2 wifi paikkaan 2x1gbps ethernetin tarjoavaa adapteria.
 
Mites noissa Lenovon tinyissä (m720/920q) tallennustilan käy, kun lisää verkkokortin portteja? 2,5" levyn paikka menee siinä ja jää enää m.2 ssd paikka pohjassa. Vai onko jotain muuta liitäntää tai tapaa?
 
Mites noissa Lenovon tinyissä (m720/920q) tallennustilan käy, kun lisää verkkokortin portteja? 2,5" levyn paikka menee siinä ja jää enää m.2 ssd paikka pohjassa. Vai onko jotain muuta liitäntää tai tapaa?
M920x:ssä myös toinen pohjan M.2 paikka on kalustettu, mutta tämä malli näyttää olevan aika harvinainen ja kallis.
Myös M920x:ään löytyy tälläistä: GitHub - j4cbo/tiny5-m2-riser jolla saa lisä paikkoja.
Juttelin tuon kehittäjän kanssa ja M720q ja 920q ei tue bifurcationia joten niihin jos tuon asentaa niin vain pcie väylä toimii rajoitettuna ja yksi m.2 paikka tulee lisää. En raaskinut tilata kun hintaa tulee yli 80e posteineen ja veroineen.

Netistä löytyy myös toinen tiny riser projekti, mutta niitä kortteja ei saa mistään. Koitin jo ottaa yhteyttä kehittäjään ilman vastausta.

Mulla nykyään pfsense käytössä M720q ja tehot riittäisi esim NASin pyörittelyyn, mutta en ole keksinyt keinoa lisätä 8kpl sata/sas porttia että saisin nykyisen backplanen kytkettyä. Mietin jo että tulostan uuden kannen koteloon ja laitan 2,5 levyn verkkokortin päälle jolloin M.2 portti jäisi vapaaksi. Tähän voisi laittaa 2xSAS liittimellä olevan adapterin, mutta en tiedä tukeeko emo tätäkään.
 
M920x:ssä myös toinen pohjan M.2 paikka on kalustettu, mutta tämä malli näyttää olevan aika harvinainen ja kallis.
Myös M920x:ään löytyy tälläistä: GitHub - j4cbo/tiny5-m2-riser jolla saa lisä paikkoja.
Juttelin tuon kehittäjän kanssa ja M720q ja 920q ei tue bifurcationia joten niihin jos tuon asentaa niin vain pcie väylä toimii rajoitettuna ja yksi m.2 paikka tulee lisää. En raaskinut tilata kun hintaa tulee yli 80e posteineen ja veroineen.

Netistä löytyy myös toinen tiny riser projekti, mutta niitä kortteja ei saa mistään. Koitin jo ottaa yhteyttä kehittäjään ilman vastausta.

Mulla nykyään pfsense käytössä M720q ja tehot riittäisi esim NASin pyörittelyyn, mutta en ole keksinyt keinoa lisätä 8kpl sata/sas porttia että saisin nykyisen backplanen kytkettyä. Mietin jo että tulostan uuden kannen koteloon ja laitan 2,5 levyn verkkokortin päälle jolloin M.2 portti jäisi vapaaksi. Tähän voisi laittaa 2xSAS liittimellä olevan adapterin, mutta en tiedä tukeeko emo tätäkään.
Etsin eilen jo pidempää kaapelia 2,5" levylle tarkoituksena laittaa se mukana tulleeseen laajennuskoteloon. En vielä ole löytänyt..
 
Sophoksen käyttäjien on hyvä tarkastaa, että päivitykset on ajettu palomuureihin. Vähän haastavaa, kun pitää konsolin kautta tarkastella eikä normiguin.
 
Sophoksen käyttäjien on hyvä tarkastaa, että päivitykset on ajettu palomuureihin. Vähän haastavaa, kun pitää konsolin kautta tarkastella eikä normiguin.
Yksikään noista bugeista tuskin koskee normaalia Sophos firewall-kotikäyttäjää, jollei sitten aja omaa sähköpostipalvelinta, palomuuri on HA tai portaali on auki nettiin.
 
Viimeksi muokattu:
Yksikään noista bugeista tuskin koskevat normaalia Sophos firewall-kotikäyttäjää, jollei sitten aja omaa sähköpostipalvelinta, palomuuri on HA tai portaali on auki nettiin.

Ja vaikka koskisikin niin Sophos asentaa automaattisesti hotfixit, mikäli siis käyttäjä ei ole jostain kumman syystä tuota ominaisuutta disabloinut konsolista. Toivottavasti Sophos lisää jossain vaiheessa GUI:hin kohdan mistä voi nähdä hotfix -statuksen.
 
Vaikuttaa että KEA dhcp ei tule vielä valmiiksi ennen 2025 loppua, ainakin Pfsensellä on vielä auki miten lähtevät ratkomaan Kean puutteita, tekevätkö omia apuohjelma virityksiä vai ohjaavat Kean kehitystä.
Vaikka ISC dhcp on ollu jo pitkää EOL niin ei sillä ole kiirettä vaihtoon. Se on kuin polkupyörä joka hiottu jo toimivaksi ja eikä sisällä pahoja puutteita.
Opnsensellä en siitä tilanteesta tiedä. En aio sekaantua KEA:n kummankaa kanssa vielä pitkään aikaan.

Itsellä Opnsense (24.7.11_2) on saavuttanu tason, joka on "kelpaa minulle", toki sen kanssa kannattaa viivästää päivityksiä pari - kolme viikkoa niin se on silloin kuten business versio.
25.01 on beta vaiheessa mutta on melkoinen raakile vielä, että enemmän alpha versio. Pitäkää näpit siis erossa siitä.
Vaikka itselle on tullu käyttölupa, on tuotekehitys omasta mielestä turhan hosuvaa. Käytän siis rinnakkain PfSense plussa (Päivitys Plussa näyttää pysyvän jos ei tee uudelleen asennusta) ja Opnsenseä vaihtamalla tarvittaesssa SSD:n ja pitämällä muutaman viimeisen config varmuuskopion tallessa.
Opnsense on ollu tähän asti itselle vain "kokeile joskus" tasoa.
 
Viimeksi muokattu:

Statistiikka

Viestiketjuista
262 675
Viestejä
4 561 910
Jäsenet
75 006
Uusin jäsen
Nahkapip0

Hinta.fi

Back
Ylös Bottom