Tee-se-itse: Rautapalomuurit (pfSense, Sophos UTM..) (Mitä käytätte ja miksi juuri se vaihtoehto?)

Itse suosittelisin opnsense tai yleensä palomuurikoneiksi dellin sff sarjan optiplexejä. Ovat ihan standardia perusrautaa ja päivitettävyys ok, toki sähkönkulutus ja äänekkyys on hieman isompi mitä kiinapurkeissa, mutta rauta riittää myös pyörittelemään tarvittaessa proxmoxia tai raskaampaa ids/ips settiä ja logitusta
 
dataaja95 sanoi:
Itse suosittelisin opnsense tai yleensä palomuurikoneiksi dellin sff sarjan optiplexejä. Ovat ihan standardia perusrautaa ja päivitettävyys ok, toki sähkönkulutus ja äänekkyys on hieman isompi mitä kiinapurkeissa, mutta rauta riittää myös pyörittelemään tarvittaessa proxmoxia tai raskaampaa ids/ips settiä ja logitusta
Napsauta laajentaaksesi...
Sama pätee HPn ja Lenovon sff vehkeiden kanssa :)
 
dataaja95 sanoi:
Itse suosittelisin opnsense tai yleensä palomuurikoneiksi dellin sff sarjan optiplexejä. Ovat ihan standardia perusrautaa ja päivitettävyys ok, toki sähkönkulutus ja äänekkyys on hieman isompi mitä kiinapurkeissa, mutta rauta riittää myös pyörittelemään tarvittaessa proxmoxia tai raskaampaa ids/ips settiä ja logitusta
Napsauta laajentaaksesi...
Oletko mittaillut virrankulutuksia?
Ebayssa näkyy olevan paljonkin valikoimaa <200€ hintaluokassa EU-alueella. SFF-koneissa näyttäisi olevan prossuina ihan perus i5-8400 tms. kun taas minikoneissa olisi vähävirtaisempia T-mallin prossuja, mutta ei taas kunnon verkkokortille tilaa. Noissa merkkikoneissa ei varmaan ole biosissa liiemmin asetuksia alivoltitukseen? Ei yhtään huvittaisi pitää jotain 40-60w kuluttavaa ser-konetta päällä 24/7 näillä sähkönhinnoilla.

Löytyisi jo valmiiksi Intelin I350 low profile PCIe-verkkokortti.

1G symmetriseen kuituun olisi tulossa ja saisi olla potkua sen verran ettei ole koko ajan kuormitus tapissa. Kiinanrauta ei ole vaihtoehto ja tähän luen mukaan myös Lenovon.
 
Viimeksi muokattu:
  • Tykkää
Reactions: AkQ
Alfh sanoi:
Oletko mittaillut virrankulutuksia?
Napsauta laajentaaksesi...
Nyt kun oli tehomittari perässä niin Lenovo M710s i5-8500 prossu ja pari korttia, proxmox käytössä nyt n. 15W
Muuten lähes idle mutta motioneye formaatin muunnos vaatinee jonkun watin.
Mitä olen mittaillut noita vähän vanhempiakin koneita niin idle tehot on yleensä alle 20W

"T" prossun tehonsäästö lienee pieni ja se on lähinnä saavutettu kelloa pudottamalla?
Tolle intel kortille taidetaan ilmoittaa 7W tehonkulutus mutta sitäkin epäilen mulla on todo listalla tutkia.

Tehomittarina klasulta ostettu ilmeisen luotettava.

Niin ja vielä mulla on testikoneena sama runko G4400 prossulla ja siinäkin menee 1G läpi, salauslaskennsta en tiedä.
 
Täällä myös joku vanha Dell i5:llä. Sellainen vähän perinteisempi mikrotorni (MT?). Suht hiljainen, kun on iso tuuletin, ja helppo lisätä kortteja. Kulutus noin 20W OPNsense-käytössä.
 
Alfh sanoi:
Oletko mittaillut virrankulutuksia?
Ebayssa näkyy olevan paljonkin valikoimaa <200€ hintaluokassa EU-alueella. SFF-koneissa näyttäisi olevan prossuina ihan perus i5-8400 tms. kun taas minikoneissa olisi vähävirtaisempia T-mallin prossuja, mutta ei taas kunnon verkkokortille tilaa. Noissa merkkikoneissa ei varmaan ole biosissa liiemmin asetuksia alivoltitukseen? Ei yhtään huvittaisi pitää jotain 40-60w kuluttavaa ser-konetta päällä 24/7 näillä sähkönhinnoilla.

Löytyisi jo valmiiksi Intelin I350 low profile PCI-verkkokortti.

1G symmetriseen kuituun olisi tulossa ja saisi olla potkua sen verran ettei ole koko ajan kuormitus tapissa. Kiinanrauta ei ole vaihtoehto ja tähän luen mukaan myös Lenovon.
Napsauta laajentaaksesi...
Empä ole mittaillut sähkönkulutusta, mutta en sanoisi tuota mitenkään hirveäksi virtasyöpöksi mitä olen sähköyhtiön kulutuksen seurannan kautta tutkiskellut välillä asiaa. Meikäläisen delli on varustettu vielä i7 6700 prossulla, joka on todellakin overkill pelkkään opnsensen ajamiseen
 
Alfh sanoi:
kun taas minikoneissa olisi vähävirtaisempia T-mallin prossuja, mutta ei taas kunnon verkkokortille tilaa
Napsauta laajentaaksesi...
No, kun tällainen HP:n minikone kerran oli jo valmiina pyörittämässä virtuaaleja, niin virtualisoin myös OPNsensen ja toin sille kaikki verkot vlaneilla yhdestä verkkokortista. Tuplanattaan sillä operaattorin purkin sisäverkkoa. Saa nähdä kuinka hyvin pysyy kasassa. Toistaiseksi ainakin toimii hienosti. Speedtest näyttää 730/770 eli ihan ok. 600-930 on ollut vaihteluväli aiemmin.

Ahdistaa tuo operaattorin purkki kun ei ole sen hallintaan pääsyä ja kaikki portit ovat nattaavia. Tuo tämä nyt ainakin yhden muurin lisää ja yksityisyyttä omalle sisäverkolle jos ei muuta.
 
Itsellä on HP Prodesk G3. Pari low profile slottia. Aika iso, ja cd-asema on turha, mutta toiminut OK. Tehot riittää gigaselle yhteydelle VPN:n kanssa. Platinum virtalähde, vei 13W idlenä. Maksoi 150€ 2,5v sitten.

Julkaistu 2017. 6300T, 8GB ddr4 muistia ja 256Gb Toshiban SSD.

Itsellä onneksi tulee WAN liitäntä rj45:sta suoraan kämppään, niin ei tarvitse katsella isp:n laitteita.
 
Viimeksi muokattu:
Kysymys opnsenseen / mikrotikin swOS kytkimeen. Juuri sain eilen rakenneltua opnsense boxin (3xrj45) jonka perässä mikrotikin hallittava kytkin (CSS326-24G-2S+RM) . Muutama verkko tarvis eristää toisistaan, eli mikä olisi paras tapa hoitaa tämä. Mikrotikillä saan kyllä verkot erilleen näillä ohjeillta, mutta tällöin tipahtaa valokuitu pois pelistä. Pitääkö minun lisäksi jotain conffata tuolta opnsensen puolelta vaikka alustavasti tarkoitus hoitaa nuo vlanit kytkimen puolelta.
 
Hanziz sanoi:
Kysymys opnsenseen / mikrotikin swOS kytkimeen. Juuri sain eilen rakenneltua opnsense boxin (3xrj45) jonka perässä mikrotikin hallittava kytkin (CSS326-24G-2S+RM) . Muutama verkko tarvis eristää toisistaan, eli mikä olisi paras tapa hoitaa tämä. Mikrotikillä saan kyllä verkot erilleen näillä ohjeillta, mutta tällöin tipahtaa valokuitu pois pelistä. Pitääkö minun lisäksi jotain conffata tuolta opnsensen puolelta vaikka alustavasti tarkoitus hoitaa nuo vlanit kytkimen puolelta.
Napsauta laajentaaksesi...
Opnsensessä tietty verkkojen luonti ja reititys internetiin (menee automaattisesti) sekä verkkojen välinen muuraus palomuurisäännöillä. Kytkimellä sitten vain kuljetetaan kyseisten verkkojen vlanit halutuille laitteille. Muurin ja kytkimen välille trunk portti joiden kautta kaikki vlanit kuljetetaan.

How to Configure VLANs in OPNsense
 
Asrock, Asus ja MSI tekevät myös jos minkälaista reittitin/servu käyttöön sopivaa pikku lautaa ja laitetta mutta näkyy aika harvasssa kaupassa olevan tarjolla jos ollenkaan.


Asus ASUS NUC 13 Rugged, PL64 ja Shuttle DL30N koneita näkyy olevan ihan datatronicilla listoilla.

Ensimmäiset IPFire boxin tilaajat näköjään saaneet jo laitteita käsiinsä. Unboxing the new IPFire Mini Appliance

Ei itellä kyllä oikeastaan tarvetta ole mutta harraste mielessä vois jonku pikku emon/koneen hommata.
 
Onko joku ehtinyt testailla jo pfSense Plus 25.03 Beta 1:stä? Mun testailut tyrehtyvät heti alkuunsa, kun 25.03 ei tunnista Proxmoxilta passthrough'na tuotua Intelin I226-V:tä. Boot verification failaa ja homma rokkaa saman tien bootin jälkeen 24.11:ssä.
 
Jonkin verran tapauksia, joissa Netgate laitteiden eMMC levyt hajonneet.
forum.netgate.com

Another Netgate with storage failure, 6 in total so far

Yesterday, I had ANOTHER 4100 die, just 2 years old. I tried to salvage the situation by remotely walking the customer through installing pfSense onto a USB ...
forum.netgate.com forum.netgate.com
6100 with failed eMMC
4200 with failed eMMC
failed NVMe on a 6100 MAX
2100 MAX reporting 48% health
1100 with failed eMMC

Troubleshooting Disk Writes | pfSense Documentation

docs.netgate.com docs.netgate.com

Troubleshooting Disk Lifetime | pfSense Documentation

docs.netgate.com docs.netgate.com
 
Viimeksi muokattu:
user9999 sanoi:
Jonkin verran tapauksia, joissa Netgate laitteiden eMMC levyt hajonneet.
forum.netgate.com

Another Netgate with storage failure, 6 in total so far

Yesterday, I had ANOTHER 4100 die, just 2 years old. I tried to salvage the situation by remotely walking the customer through installing pfSense onto a USB ...
forum.netgate.com forum.netgate.com
6100 with failed eMMC
4200 with failed eMMC
failed NVMe on a 6100 MAX
2100 MAX reporting 48% health
1100 with failed eMMC

Troubleshooting Disk Writes | pfSense Documentation

docs.netgate.com docs.netgate.com

Troubleshooting Disk Lifetime | pfSense Documentation

docs.netgate.com docs.netgate.com
Napsauta laajentaaksesi...
Ihmettelen miksi käyttävät emmc levyjä, olettaisin, että käytössä olisivat ihan perus nme ssd:t, kuitenkin enterpriseluokan laitteista kysymys, joten automaattisesti oletin, että olisi valittu pitkäikäisiä komponentteja
 
dataaja95 sanoi:
Ihmettelen miksi käyttävät emmc levyjä, olettaisin, että käytössä olisivat ihan perus nme ssd:t, kuitenkin enterpriseluokan laitteista kysymys, joten automaattisesti oletin, että olisi valittu pitkäikäisiä komponentteja
Napsauta laajentaaksesi...
Outoa kyllä. Base versioissa on eMMC ja Max versioissa sitten kunnon levy.
 
Näyttäisi opnsense tukevan natiivina perus freebsd:n repoja, näitähän ei pfsenseen saanut /usr/local/etc/repos löytyy konffit. Tuohan mahdollistaa vaikka mitä lisäverkkosoftaa palomuuriin, esim tämän, vaikuttaa pidemmälle jalostetummalta suricatalta
zeekdotorg.wpcomstaging.com

The Zeek Network Security Monitor

Zeek (formerly Bro) is the world’s leading platform for network security monitoring. Flexible, open source, and powered by defenders.
zeekdotorg.wpcomstaging.com zeekdotorg.wpcomstaging.com
 
www.verkkokauppa.com

Jaettu ostoskori - Verkkokauppa.com

TP-Link TG-3468 -verkkokortti ja yksi muu tuote.
www.verkkokauppa.com www.verkkokauppa.com

oisko ne sopivat komponentit opnsense setupiin? tarkistin ja toi tp link kortti on tuettu freebsd 14.1 kernella, mut en varmaa jos voisin saa parempii hallittu kytkimen samalla tai alemmalla hinnalla (jos vastaavalla hinnalla saada poe halittu kytkin, sitten varmasti ostaisin semmoinen) . Aion käyttää näitä elitedesk 800 g1 sff:lla. i5-4690 ja 4G ram (tarvinko ssd tai vanha kovalevy läppäristä riittävä kai?).

pahoittelen huonosta suomenkielesta
 
swep sanoi:
www.verkkokauppa.com

Jaettu ostoskori - Verkkokauppa.com

TP-Link TG-3468 -verkkokortti ja yksi muu tuote.
www.verkkokauppa.com www.verkkokauppa.com

oisko ne sopivat komponentit opnsense setupiin? tarkistin ja toi tp link kortti on tuettu freebsd 14.1 kernella, mut en varmaa jos voisin saa parempii hallittu kytkimen samalla tai alemmalla hinnalla (jos vastaavalla hinnalla saada poe halittu kytkin, sitten varmasti ostaisin semmoinen) . Aion käyttää näitä elitedesk 800 g1 sff:lla. i5-4690 ja 4G ram (tarvinko ssd tai vanha kovalevy läppäristä riittävä kai?).

pahoittelen huonosta suomenkielesta
Napsauta laajentaaksesi...
Laita suoraan intelin verkkokortti. Parempi tuki.
Ja nimenomaan 2 porttinen kortti. Yksi taisi tuolla myyntipuolella olevan myynnissäkin.

Samoten suorilta vain ssd levy kehiin, 120gb maksaa muutaman euron.
Itse vielä muistin tuplaisin, 4gb ddr3 kampa ei myöskään montaa euroa ole.

Kytkimeen en ota kantaa kun en tarpeitasi tiedä?
 
Ehdottomasti Intelin verkkokortti jos hakee luotettavuutta ja toimintavarmuutta. Realtekin kortit ovat vähän niin ja näin aina kun käyttis (FreeBSD) päivittyy alla ja ajurituki on mitä on.

Aliexpressistä saa esim näitä dual i226 Intelin 2.5GbE verkkokortteja noin 40€:lla uutena.

(Mulla on tuollainen Lenovo M720q (i5 9500T, 16GB RAM...) kone myynnissä jos joku on vailla kompakttia pfSense-rautaa.)

1741161397376.png
 
En itse ihan blankettisuositusta Intelin korteille antaisi.. Intelillä verkkopiireissä(kin) historiassa vähemmän kurantteja, kuten i225 versioineen on melko nopanheittoa. Tai hiukan kauempana menneisyydessä i211 variantit.

Omassa käytössä Saksasta ostetut refurbished i350-T4(v2) kortit ovat toimineet moitteetta, näitäkin saisi uutena kiinanmaalta edullisesti mutta riski saada väärennettyjä komponentteja ei ole vähäinen.
 
Barbarossa sanoi:
En itse ihan blankettisuositusta Intelin korteille antaisi.. Intelillä verkkopiireissä(kin) historiassa vähemmän kurantteja, kuten i225 versioineen on melko nopanheittoa. Tai hiukan kauempana menneisyydessä i211 variantit.

Omassa käytössä Saksasta ostetut refurbished i350-T4(v2) kortit ovat toimineet moitteetta, näitäkin saisi uutena kiinanmaalta edullisesti mutta riski saada väärennettyjä komponentteja ei ole vähäinen.
Napsauta laajentaaksesi...
Varmasti kaikilla on ollut vähemmän kuranttia kamaa.
Mutta realtekki ja freebsd nyt tunnetusti ongelmallisempi kombo ollut.

Mitä sitten suosittelisit, jos ei inteliä?
Ja yhtälailla saksan maaltakin voit feikkiä saada ;)
 
Realtekin verkkokorteissa on sekin haaste ettei verkkokortit yleensä omaa omaa prossua, vaan nojaavat aina koneen omaan prossuun. Tämä voi sitten olla hyvä tai huono asia tietyissä tapauksissa.
 
escalibur sanoi:
Ehdottomasti Intelin verkkokortti jos hakee luotettavuutta ja toimintavarmuutta. Realtekin kortit ovat vähän niin ja näin aina kun käyttis (FreeBSD) päivittyy alla ja ajurituki on mitä on.
Napsauta laajentaaksesi...
Me ollaan ennenkin keskusteltu asiasta, ajureiden tai muun suhteen mulla ei ole ollut ongelmia sen sijaan on havainto että realtec kuormittaa prossua huomattavasti enemmän.
Epäilisin johtuvan siitä että "paremmilla" korteilla linjan enkoodaus tapahtuu kortilla kun taas realtek purku tapahtuu ajurissa???

Noh täällä hetkellä on ongema broadcom/proxmox yhdistelmän kanssa, joku mättää kun opnsense ei toimi,
paljaalla raudalla sekä linux että freebsd toimii.
 
mailman sanoi:
Varmasti kaikilla on ollut vähemmän kuranttia kamaa.
Mutta realtekki ja freebsd nyt tunnetusti ongelmallisempi kombo ollut.
Napsauta laajentaaksesi...
En sanallakaan viitannut Realtekkiin, suuntaan taikka toiseen.

mailman sanoi:
Mitä sitten suosittelisit, jos ei inteliä?
Ja yhtälailla saksan maaltakin voit feikkiä saada ;)
Napsauta laajentaaksesi...

Mielestäni en sanonut että Inteliä pitää erityisesti välttää, totesin vaan että en menisi suosittelemaan "Inteliä" ilman mitään tarkennuksia. Joku vielä menee ostamaan niitä paskaksi tiedettyjä Intelin harharetkiä, jotkut oikeasti uskovat että mikä tahansa missä lukee Intel on automaattisesti priimaa.
 
mailman sanoi:
Laita suoraan intelin verkkokortti. Parempi tuki.
Ja nimenomaan 2 porttinen kortti. Yksi taisi tuolla myyntipuolella olevan myynnissäkin.

Samoten suorilta vain ssd levy kehiin, 120gb maksaa muutaman euron.
Itse vielä muistin tuplaisin, 4gb ddr3 kampa ei myöskään montaa euroa ole.

Kytkimeen en ota kantaa kun en tarpeitasi tiedä?
Napsauta laajentaaksesi...
Napsauta laajentaaksesi...
mul on paljon 2gb ddr3 kampat, voisin laittaa 8gb quad kanavalla sitten.
kovalevystä kysyin koska mul on pari vanhat kovalevyt ja luulin että voisin käyttää näitä.

kytkin tarvin vähintään 8 porttia, pako olla hallittava. PoE olisi makea kun saan tukiaseman
Ogeli sanoi:
Me ollaan ennenkin keskusteltu asiasta, ajureiden tai muun suhteen mulla ei ole ollut ongelmia sen sijaan on havainto että realtec kuormittaa prossua huomattavasti enemmän.
Napsauta laajentaaksesi...
mielenkiintoinen, en oo ajatellu siitä
 
swep sanoi:
mul on paljon 2gb ddr3 kampat, voisin laittaa 8gb quad kanavalla sitten.
kovalevystä kysyin koska mul on pari vanhat kovalevyt ja luulin että voisin käyttää näitä.
Napsauta laajentaaksesi...
Kyllä se vanha hdd toimii, ssd vaan pirusti nopeampi.
Muistia vaan lisää niin paljon kuin menee/löytyy, varsinkin jos hddllä menet alkuun.
 
Kirjaudu tai rekisteröidy kirjoittaaksesi tänne.

Uutiset

Uutisia lyhyesti

Uusimmat viestit

Statistiikka

Viestiketjuista
270 196
Viestejä
4 671 612
Jäsenet
76 572
Uusin jäsen
Hookkan92

Hinta.fi

Back
Ylös Bottom