Tee-se-itse: Rautapalomuurit (pfSense, Sophos UTM..) (Mitä käytätte ja miksi juuri se vaihtoehto?)

[Pörkyle]

Unohtakaa noi SER paikat mitä aiemmin oon linkannu. Ebayssa tuli vastaan Ranskalainen kauppa jolle löyty omat sivutkin ja saa uusia RJ-45verkkokortteja 1G, 2.5G ja 10G nopeuksilla niin yksittäisillä, tupla ja quad porteilla ja parissa kortissa jopa kahdeksan 1Gbps porttia.

Halvin 10G AQUANTIA AQC-107 piirillä PCIe 3.0 4x Gigabit ETHERNET RJ45 10GBASE-T 5GBASE-T 2.5GBASE-T 1000BASE-T 100BASE-TX card - CHIPSET AQUANTIA AQC-107

Pienemmällä pcb:llä PCIe 10 Gigabit ethernet 1 port RJ45 10G network controller card with AQUANTIA AQC107S-T1 chipset. Low and High profile

 

[fin_modder]

Olisko tässä halvin Intel 10G? LOW PROFILE Intel X520-SR2 Dual-Port 2x 10GbE-LAN SFP+ PCIe x8 E10G42BFSR

Pistän itselle tilaukseen NAS:n yhden ja jos toimii niin tilaan myös proxmox noodeille testiin.

 

[Grazer]

En ole hetkeen käyttänyt yhden saitin vpn:ää, jossa palomuurina on Netgaten SG1100 PFSensellä. Nyt kun yritin tuohon päästä kiinni, niin ei suostu yhdistämään ja kun katsoo Pfsenen lokista, siellä lukee "TLS Error: cannot locate HMAC in incoming packet". Mitä tuo mahtaa tarkoittaa? Tuolla googlella löytyy monenlaista, mutta ei mitään, mistä selvästi kävisi ilmi, mikä bitti pfsensessä on mennyt itsekseen poikittain.

Mitään säätöjä ei ole tehty ja latasin pfsensestä varmuuden vuoksi uuden client-konffitiedostonkin, mutta ei vaikutusta. Openvpn käytössä. Sertifikaatit on vielä voimassa.

Varmaan helpointa on tehdä uudet certit ja konffit. Toki samalla voisi vaihtaa vpn:n Wireguardiin.

 

[bajamaja]

Miksihän IPv6 ei enää toimi pFsense + DNA kaapelinetti kanssa. Pitkään toimi hyvin mutta samoilla asetuksilla ollut nyt pari kuukautta pimeänä.

Kaapelimodeemi siltaavana ja pfsensessä seuraavat asetukset:

IPv6 Configuration Type: DHCPv6
DHCPv6 Prefix Delegation size: 56
Router Advertisement Mode: Assisted - RA Flags

WAN interfacen tiedoissa ei edes näy että se olisi saanut IPV6 osoitetta

 

[Boromir]

Kokeile laittaa WAN-asetuksista vielä päälle asetus "Send IPv6 prefix hint". Muuten samoilla asetuksilla ja DNA:n kaapelimodeemilla tuolla kombolla on toiminut.

 

[antero]

En ole hetkeen käyttänyt yhden saitin vpn:ää, jossa palomuurina on Netgaten SG1100 PFSensellä. Nyt kun yritin tuohon päästä kiinni, niin ei suostu yhdistämään ja kun katsoo Pfsenen lokista, siellä lukee "TLS Error: cannot locate HMAC in incoming packet". Mitä tuo mahtaa tarkoittaa? Tuolla googlella löytyy monenlaista, mutta ei mitään, mistä selvästi kävisi ilmi, mikä bitti pfsensessä on mennyt itsekseen poikittain.

Mitään säätöjä ei ole tehty ja latasin pfsensestä varmuuden vuoksi uuden client-konffitiedostonkin, mutta ei vaikutusta. Openvpn käytössä. Sertifikaatit on vielä voimassa.

Varmaan helpointa on tehdä uudet certit ja konffit. Toki samalla voisi vaihtaa vpn:n Wireguardiin.

Itse en ole tuommoseen virheeseen törmänny. Voisiko palveluntarjoaja olla muuttanu asetuksia?
Puuttuisiko Open vpn custom optionsista joku.
remote-cert-tls server;

 

[Lucas]

Tarvitset myös reitittimen joka ymmärtää VLANien perään. Tuolla Layer2-kytkimellä et pysty reitittämään.

Vaikka Mikrotikiltä L009UiGS-RM reitittimellä onnistuu kaikki yllämainittu. Ei varmasti helpoimmasta päästä, mutta opetteleminen arvoinen laite.

Ostin tuollaisen kytkin-reititin boksin jakamaan yhtä kuitunettiä yhdellä julkisella ip-osoitteella paritaloon.

Vaikuttaa pätevältä ja monipuoliselta laitteelta. Pääsi vain yllättämään tuon asennuksen vaikeus.

Pari iltaa sitä kotona säädin ja laitoin eth1 portin WAN portiksi ja eth2 ja eth3 portit sitten jakamaan netti kahteen taloon ja NAT siihen Mikrotikiin.
DAc 192.168.10.0/24 ether2 0
DIc 192.168.20.0/24 ether3 0

Määrittelin myös estot niiden porttien väliselle yhteyksille sekä palomuuriin että sitten erikseen myös kaiken fyysisen liikenteen noiden porttien väliltä estin. Määritin myös minimi nopeuden kummallekin eth portille noista (minimi 50 Mbit/s) ja maksimiksi 450 Mbit/s. Molemmilla talouksilla lienee keskimäärin nettiliikenne varmaan alle 50 Mbit/s. 400 megaa on sitten tavallaan sitä "yhteistä kaistaa" jota voi kumpikin käyttää vapaasti silloin kun tarvii, kun nettiliittymä nopeus 500 "megaa".. Ajattelin että kokeillaan tällä ja jos probleema, niin pistän rajaksi molemmille 250 "megaa" tasan.

Mangle-tauluun laittelin säännöt priorisoida VoWifi, WhatApp ja Teams audio ja videoyhteyksiä ja zoomia. Palomuuriin sitten hieroin jotain "fasttrack" sääntöjä ja muuta sen sellaista ja niiden sääntöjen järjestyksen yritin optimoida ja saada toimivaksi.

Yhtään liioittelematta tuon säätämisen kanssa meni kaksi ylipitkää iltaa kun ikinä en ole moisia laitteita edes säätänyt ja muutenkin kaikki ohjelmointi on oman osaamisalueen ulkopuolella..

Muuten kaikki näytti toimivan kun sitä tänään käyttöpaikalle testasin. Mutta pari ongelmaa jäi, niin palautin vanhan Huawein vielä käyttöön. Eli syystä tai toisesta en saanut sen Mikrotikin takana sisäverkossa olevaa Raspberryn OpenVPN serveriä pelaamaan. Raspiin sain kyllä työpöytä yhteyden internetistä, mutta tuo VPN ei alkanut toimia siinä. Ei sitten millään. Jos otan ulkoverkosta siihen yhteyden kun reitittimenä on Huawein laite, niin se Raspberryn OpenVPN antaa ip-osoitteeksi "10.8.0.2" siihen kytkeytyvälle windows koneelle.
Eli mistähän tuota ongelmaa lähtisi nyt ratkomaan kun tuo OpenVPN ei toimi ja oma osaaminen loppuu kesken? Oiskohan ongelma tuossa ip-osoitteessa minkä se antaa ja siitä ei Mikrotik perusta? Vai joku muu?

Toinen ongelma sitten on IPv6 joka ei lähtenyt toimimaan. Huawein reitittimellä se IPv6 toimii jees, mutta mikrotikillä ei toimi.

[admin@MikroTik] > /ipv6 firewall filter print

Flags: X - disabled, I - invalid; D - dynamic

0 ;;; Salli olemassa olevat ja liittyvt IPv6-yhteydet reitittimeen
chain=input action=accept connection-state=established,related

1 ;;; Salli naapurin pyynt
chain=input action=accept protocol=icmpv6 icmp-options=135

2 ;;; Salli naapurin ilmoitus
chain=input action=accept protocol=icmpv6 icmp-options=136

3 ;;; Salli reitittimen ilmoitus
chain=input action=accept protocol=icmpv6 icmp-options=134

4 ;;; Salli reitittimen pyynt
chain=input action=accept protocol=icmpv6 icmp-options=133

5 ;;; Salli kaikupyynt
chain=input action=accept protocol=icmpv6 icmp-options=128

6 ;;; Salli kaikuvaste
chain=input action=accept protocol=icmpv6 icmp-options=129

7 ;;; Salli DNS (UDP) reitittimelle
chain=input action=accept protocol=udp dst-port=53

8 ;;; Est hallinta WAN-verkosta
chain=input action=drop protocol=tcp in-interface=ether1
dst-port=22,8291

9 ;;; Est kaikki muu IPv6-liikenne reitittimeen
chain=input action=drop

10 ;;; Salli olemassa olevat ja liittyvt IPv6-yhteydet lpi reitittimen
chain=forward action=accept connection-state=established,related

11 ;;; Salli naapurin pyynt lpi reitittimen
chain=forward action=accept protocol=icmpv6 icmp-options=135

12 ;;; Salli naapurin ilmoitus lpi reitittimen
chain=forward action=accept protocol=icmpv6 icmp-options=136

13 ;;; Salli reitittimen ilmoitus lpi reitittimen
chain=forward action=accept protocol=icmpv6 icmp-options=134

14 ;;; Salli reitittimen pyynt lpi reitittimen
chain=forward action=accept protocol=icmpv6 icmp-options=133

15 ;;; Salli kaikupyynt lpi reitittimen
chain=forward action=accept protocol=icmpv6 icmp-options=128

16 ;;; Salli kaikuvaste lpi reitittimen
chain=forward action=accept protocol=icmpv6 icmp-options=129

17 chain=input action=drop protocol=icmpv6 icmp-options=137

18 ;;; Allow DHCPv6 client
chain=input action=accept protocol=udp dst-port=546

19 ;;; Est IPv6 ether3 -> ether2
chain=forward action=drop in-interface=ether3 out-interface=ether2

20 ;;; Est IPv6 ether2 -> ether3
chain=forward action=drop in-interface=ether2 out-interface=ether3

21 ;;; Allow DHCPv6 server
chain=input action=accept protocol=udp dst-port=547

22 ;;; Drop unknown extension headers
chain=input action=drop protocol=ipv6-opts

23 ;;; Drop invalid source ::
chain=input action=drop src-address=::/128

24 ;;; Drop invalid source ::1
chain=input action=drop src-address=::1/128

25 ;;; Drop ULA (fc00::/7)
chain=input action=drop src-address=fc00::/7

26 ;;; Drop link-local addresses
chain=input action=drop src-address=fe80::/10

[admin@MikroTik] >


[admin@MikroTik] > /ipv6 settings print

disable-ipv6: no
forward: yes
multipath-hash-policy: l3
accept-redirects: yes-if-forwarding-disabled
accept-router-advertisements: yes-if-forwarding-disabled
disable-link-local-address: no
stale-neighbor-detect-interval: 30
stale-neighbor-timeout: 60
min-neighbor-entries: 1792
soft-max-neighbor-entries: 3584
max-neighbor-entries: 7168
allow-fast-path: yes
ipv6-fast-path-active: yes
ipv6-fast-path-packets: 0
ipv6-fast-path-bytes: 0
ipv6-fasttrack-active: no
ipv6-fasttrack-packets: 0
ipv6-fasttrack-bytes: 0

[admin@MikroTik] >


Vai oisko sitä vikaa syytä alkaa etsiä DHCPv6 asiakkaan tai -poolien asetuksista?


Flags: D - DYNAMIC; G - GLOBAL, L - LINK-LOCAL
Columns: ADDRESS, FROM-POOL, INTERFACE, ADVERTISE
# ADDRESS FROM-POOL INTERFACE ADVERTISE
0 G 2001:14ba:7223:6b00::/64 dna_ipv6_pool ether2 yes
1 D ::1/128 lo no
2 DL fe80::d601:c3ff:fe93:cd40/64 ether2 no
3 DL fe80::d601:c3ff:fe93:cd3f/64 ether1 no

[admin@MikroTik] >

Jostain syystä tuolla kummitelee tuo dna_ipv6_pool, kun sitä Mikrotikiä kotona asentelin kuntoon etukäteen DNA:n liittymässä ja se ei oikein alkanut toimia, ja ajattelin että sen säädän sitten toimimana siellä Valoo operaattorin liittymässä jonne tuo Mikrotik tulossa. Mutta ei se ihan niin vain alkanutkaan toimia tunnin säätämisellä.

 

[Kilkenblad]

Ostin tuollaisen kytkin-reititin boksin jakamaan yhtä kuitunettiä yhdellä julkisella ip-osoitteella paritaloon.

Vaikuttaa pätevältä ja monipuoliselta laitteelta. Pääsi vain yllättämään tuon asennuksen vaikeus.

Pari iltaa sitä kotona säädin ja laitoin eth1 portin WAN portiksi ja eth2 ja eth3 portit sitten jakamaan netti kahteen taloon ja NAT siihen Mikrotikiin.
DAc 192.168.10.0/24 ether2 0
DIc 192.168.20.0/24 ether3 0

Määrittelin myös estot niiden porttien väliselle yhteyksille sekä palomuuriin että sitten erikseen myös kaiken fyysisen liikenteen noiden porttien väliltä estin. Määritin myös minimi nopeuden kummallekin eth portille noista (minimi 50 Mbit/s) ja maksimiksi 450 Mbit/s. Molemmilla talouksilla lienee keskimäärin nettiliikenne varmaan alle 50 Mbit/s. 400 megaa on sitten tavallaan sitä "yhteistä kaistaa" jota voi kumpikin käyttää vapaasti silloin kun tarvii, kun nettiliittymä nopeus 500 "megaa".. Ajattelin että kokeillaan tällä ja jos probleema, niin pistän rajaksi molemmille 250 "megaa" tasan.

Mangle-tauluun laittelin säännöt priorisoida VoWifi, WhatApp ja Teams audio ja videoyhteyksiä ja zoomia. Palomuuriin sitten hieroin jotain "fasttrack" sääntöjä ja muuta sen sellaista ja niiden sääntöjen järjestyksen yritin optimoida ja saada toimivaksi.

Yhtään liioittelematta tuon säätämisen kanssa meni kaksi ylipitkää iltaa kun ikinä en ole moisia laitteita edes säätänyt ja muutenkin kaikki ohjelmointi on oman osaamisalueen ulkopuolella..

Muuten kaikki näytti toimivan kun sitä tänään käyttöpaikalle testasin. Mutta pari ongelmaa jäi, niin palautin vanhan Huawein vielä käyttöön. Eli syystä tai toisesta en saanut sen Mikrotikin takana sisäverkossa olevaa Raspberryn OpenVPN serveriä pelaamaan. Raspiin sain kyllä työpöytä yhteyden internetistä, mutta tuo VPN ei alkanut toimia siinä. Ei sitten millään. Jos otan ulkoverkosta siihen yhteyden kun reitittimenä on Huawein laite, niin se Raspberryn OpenVPN antaa ip-osoitteeksi "10.8.0.2" siihen kytkeytyvälle windows koneelle.
Eli mistähän tuota ongelmaa lähtisi nyt ratkomaan kun tuo OpenVPN ei toimi ja oma osaaminen loppuu kesken? Oiskohan ongelma tuossa ip-osoitteessa minkä se antaa ja siitä ei Mikrotik perusta? Vai joku muu?

Toinen ongelma sitten on IPv6 joka ei lähtenyt toimimaan. Huawein reitittimellä se IPv6 toimii jees, mutta mikrotikillä ei toimi.

[admin@MikroTik] > /ipv6 firewall filter print

Flags: X - disabled, I - invalid; D - dynamic

0 ;;; Salli olemassa olevat ja liittyvt IPv6-yhteydet reitittimeen
chain=input action=accept connection-state=established,related

1 ;;; Salli naapurin pyynt
chain=input action=accept protocol=icmpv6 icmp-options=135

2 ;;; Salli naapurin ilmoitus
chain=input action=accept protocol=icmpv6 icmp-options=136

3 ;;; Salli reitittimen ilmoitus
chain=input action=accept protocol=icmpv6 icmp-options=134

4 ;;; Salli reitittimen pyynt
chain=input action=accept protocol=icmpv6 icmp-options=133

5 ;;; Salli kaikupyynt
chain=input action=accept protocol=icmpv6 icmp-options=128

6 ;;; Salli kaikuvaste
chain=input action=accept protocol=icmpv6 icmp-options=129

7 ;;; Salli DNS (UDP) reitittimelle
chain=input action=accept protocol=udp dst-port=53

8 ;;; Est hallinta WAN-verkosta
chain=input action=drop protocol=tcp in-interface=ether1
dst-port=22,8291

9 ;;; Est kaikki muu IPv6-liikenne reitittimeen
chain=input action=drop

10 ;;; Salli olemassa olevat ja liittyvt IPv6-yhteydet lpi reitittimen
chain=forward action=accept connection-state=established,related

11 ;;; Salli naapurin pyynt lpi reitittimen
chain=forward action=accept protocol=icmpv6 icmp-options=135

12 ;;; Salli naapurin ilmoitus lpi reitittimen
chain=forward action=accept protocol=icmpv6 icmp-options=136

13 ;;; Salli reitittimen ilmoitus lpi reitittimen
chain=forward action=accept protocol=icmpv6 icmp-options=134

14 ;;; Salli reitittimen pyynt lpi reitittimen
chain=forward action=accept protocol=icmpv6 icmp-options=133

15 ;;; Salli kaikupyynt lpi reitittimen
chain=forward action=accept protocol=icmpv6 icmp-options=128

16 ;;; Salli kaikuvaste lpi reitittimen
chain=forward action=accept protocol=icmpv6 icmp-options=129

17 chain=input action=drop protocol=icmpv6 icmp-options=137

18 ;;; Allow DHCPv6 client
chain=input action=accept protocol=udp dst-port=546

19 ;;; Est IPv6 ether3 -> ether2
chain=forward action=drop in-interface=ether3 out-interface=ether2

20 ;;; Est IPv6 ether2 -> ether3
chain=forward action=drop in-interface=ether2 out-interface=ether3

21 ;;; Allow DHCPv6 server
chain=input action=accept protocol=udp dst-port=547

22 ;;; Drop unknown extension headers
chain=input action=drop protocol=ipv6-opts

23 ;;; Drop invalid source ::
chain=input action=drop src-address=::/128

24 ;;; Drop invalid source ::1
chain=input action=drop src-address=::1/128

25 ;;; Drop ULA (fc00::/7)
chain=input action=drop src-address=fc00::/7

26 ;;; Drop link-local addresses
chain=input action=drop src-address=fe80::/10

[admin@MikroTik] >


[admin@MikroTik] > /ipv6 settings print

disable-ipv6: no
forward: yes
multipath-hash-policy: l3
accept-redirects: yes-if-forwarding-disabled
accept-router-advertisements: yes-if-forwarding-disabled
disable-link-local-address: no
stale-neighbor-detect-interval: 30
stale-neighbor-timeout: 60
min-neighbor-entries: 1792
soft-max-neighbor-entries: 3584
max-neighbor-entries: 7168
allow-fast-path: yes
ipv6-fast-path-active: yes
ipv6-fast-path-packets: 0
ipv6-fast-path-bytes: 0
ipv6-fasttrack-active: no
ipv6-fasttrack-packets: 0
ipv6-fasttrack-bytes: 0

[admin@MikroTik] >


Vai oisko sitä vikaa syytä alkaa etsiä DHCPv6 asiakkaan tai -poolien asetuksista?


Flags: D - DYNAMIC; G - GLOBAL, L - LINK-LOCAL
Columns: ADDRESS, FROM-POOL, INTERFACE, ADVERTISE
# ADDRESS FROM-POOL INTERFACE ADVERTISE
0 G 2001:14ba:7223:6b00::/64 dna_ipv6_pool ether2 yes
1 D ::1/128 lo no
2 DL fe80::d601:c3ff:fe93:cd40/64 ether2 no
3 DL fe80::d601:c3ff:fe93:cd3f/64 ether1 no

[admin@MikroTik] >

Jostain syystä tuolla kummitelee tuo dna_ipv6_pool, kun sitä Mikrotikiä kotona asentelin kuntoon etukäteen DNA:n liittymässä ja se ei oikein alkanut toimia, ja ajattelin että sen säädän sitten toimimana siellä Valoo operaattorin liittymässä jonne tuo Mikrotik tulossa. Mutta ei se ihan niin vain alkanutkaan toimia tunnin säätämisellä.

Hyvä että oli hyvä suositus! Valitettavasti multa ei löydy noin syvää osaamista että osaisin auttaa. Mikrotikin foorumit on varmasti jo tulleet tutuksi ja sieltä kannattaakin kysellä jos osaa ottaa pientä vittuilua vastaan:

Beginner Basics - MikroTik

forum.mikrotik.com

 

[antero]

Netgate on avannut Pfsense CE 2.9 repon, niinpä CE 2.8 saattaa tulla ulos kesään mennessä

 

[Indicaattori]

Miksihän IPv6 ei enää toimi pFsense + DNA kaapelinetti kanssa. Pitkään toimi hyvin mutta samoilla asetuksilla ollut nyt pari kuukautta pimeänä.

Kaapelimodeemi siltaavana ja pfsensessä seuraavat asetukset:

IPv6 Configuration Type: DHCPv6
DHCPv6 Prefix Delegation size: 56
Router Advertisement Mode: Assisted - RA Flags

WAN interfacen tiedoissa ei edes näy että se olisi saanut IPV6 osoitetta

Koita laitta prefixin koko pienemmäksi niin kauan kuin yhteys tulee påälle. Suomi hieman kehitysmaa tuon prefixin koon kanssa ainakin dna liittymässä

 

[Barbarossa]

Koita laitta prefixin koko pienemmäksi niin kauan kuin yhteys tulee påälle. Suomi hieman kehitysmaa tuon prefixin koon kanssa ainakin dna liittymässä

Hienosti toimii DNA:lla prefix 56.

Spoileri

Miksihän IPv6 ei enää toimi pFsense + DNA kaapelinetti kanssa. Pitkään toimi hyvin mutta samoilla asetuksilla ollut nyt pari kuukautta pimeänä.

Kaapelimodeemi siltaavana ja pfsensessä seuraavat asetukset:

IPv6 Configuration Type: DHCPv6
DHCPv6 Prefix Delegation size: 56
Router Advertisement Mode: Assisted - RA Flags

WAN interfacen tiedoissa ei edes näy että se olisi saanut IPV6 osoitetta

Aika lailla vastaava konfiguraation OPNsensessä DNA:n kaapelimodeemin (siltaava) perässä, toimii. WAN interfacella ei ole kuin paikallinen osoite mutta eipä näytä verkossa olevien laitteiden IPV6 toiminnallisuutta haittaavan.

 

[bajamaja]

Hienosti toimii DNA:lla prefix 56.


Aika lailla vastaava konfiguraation OPNsensessä DNA:n kaapelimodeemin (siltaava) perässä, toimii. WAN interfacella ei ole kuin paikallinen osoite mutta eipä näytä verkossa olevien laitteiden IPV6 toiminnallisuutta haittaavan.

Juu omakin pfsense heräsi kun poistin kaikki IPV6 konffit ja tein ne uusiksi mielestäni täysin samoilla asetuksilla. Mikä lie bugi ollut.

Koita laitta prefixin koko pienemmäksi niin kauan kuin yhteys tulee påälle. Suomi hieman kehitysmaa tuon prefixin koon kanssa ainakin dna liittymässä

DNA:n omillakin sivuilla sanotaan että 56 prefixiä tarjotaan niin sillä olen mennyt

DNA:n verkko - IPv6-yhteydet | DNA Yrityksille | DNA

Uusi IPv6-protokolla on edellytys esineiden internetin (IoT) yleistymiselle, sillä se mahdollistaa päätelaitteiden välisen suoran, kaksisuuntaisen kommunikaation. IPv6-kehitystä Suomessa johtaa DNA.

www.dna.fi

Lisäksi modeemi saa IPv6-osoitelohkoja (prefixejä) sisäverkkoon LAN-puolella oleville laitteille jaettavaksi. Prefixin koko on /56, josta modeemi muodostaa /64 prefixin kokoisia aliverkkoja WLAN- ja Ethernet-verkkoliittymiin.

 

[Enhancer]

Pääsiäisen pohdinta.

Käytän tosiaan pfSensen kanssa multiwania, 2 pääyhteyttä joilla 3:1 priorisointi ja 3. yhteys on varalla.

Tämä yhtälö salatun DNS:n kanssa on hiukan hankala, toimii nykyisellään niin että NextDNS:n CLI pyörii omassa virtuaalikoneessaan ja muurisäännöillä DNS-liikenne ohjautuu sinne.

Pohdin, että olisiko jokin muu muurisofta parempi hoitamaan tuon multiwanin?

Vaihtoehtoisesti voisin tietysti laittaa oman pfSense-virtuaalikoneen pyörittämään pelkkää multiwania, ja reitittää sitten kaiken sisäverkosta ulos lähtevän liikenteen tuonne, joka sitten pureskelee parhaan operaattorin hommaan. Oma setup on sen verran moniulotteinen, että on helpompi ajatuksen tasolla ainakin jakaa asioita palasiin, jotta kaikki toiminnallisuudet saa viritettyä huippuunsa.

 

[Khauron]

Pääsiäisen pohdinta.

Käytän tosiaan pfSensen kanssa multiwania, 2 pääyhteyttä joilla 3:1 priorisointi ja 3. yhteys on varalla.

Tämä yhtälö salatun DNS:n kanssa on hiukan hankala, toimii nykyisellään niin että NextDNS:n CLI pyörii omassa virtuaalikoneessaan ja muurisäännöillä DNS-liikenne ohjautuu sinne.

Pohdin, että olisiko jokin muu muurisofta parempi hoitamaan tuon multiwanin?

Vaihtoehtoisesti voisin tietysti laittaa oman pfSense-virtuaalikoneen pyörittämään pelkkää multiwania, ja reitittää sitten kaiken sisäverkosta ulos lähtevän liikenteen tuonne, joka sitten pureskelee parhaan operaattorin hommaan. Oma setup on sen verran moniulotteinen, että on helpompi ajatuksen tasolla ainakin jakaa asioita palasiin, jotta kaikki toiminnallisuudet saa viritettyä huippuunsa.

Ensimmäinen kysymys on, että miksi ihmeessä?
Multi-WAN pitäisi riittää, tai avattuna pääyhteydestä kaikki ulos-sisään ja toinen yhteys backuppina.
Multi-WAN:lla kusee IPSec - ja OpenVPN-yhteydet heti, sekä IP-avaruudet gatewaylle päin menee vituiksi. Miksi siis kiusata itseään tarkoituksella?

 

[Enhancer]

Ensimmäinen kysymys on, että miksi ihmeessä?
Multi-WAN pitäisi riittää, tai avattuna pääyhteydestä kaikki ulos-sisään ja toinen yhteys backuppina.
Multi-WAN:lla kusee IPSec - ja OpenVPN-yhteydet heti, sekä IP-avaruudet gatewaylle päin menee vituiksi. Miksi siis kiusata itseään tarkoituksella?

Lähinnä koska voi. Varmennettua katkeamatonta yhteyttä arvostaa. Suojatut asiat voi pakottaa staattisesti yhtä yhteyttä pitkin, niin ne on nytkin.

 

[antero]

Tulipa painittua vapaapäivänä Pfsensen kanssa.
Kakkoslaitteessa joka harvoin käytössä toimi kaikki, mutta päiivitys 24.11 - 25.03 B veti laitteen käytännössä mykäksi. Ei väliä tekikö päivitysen miten vain. Lopputulos oli että ei yhteyttä ja laiteeseen ei päässy. Huomio kiinnittyi että itse määrittelemällä sai laitteen toimimaan mutta mikään vanhan konffauksen tuonti mykisti Lan1 ( toimi muissa vanhemmissa versioissa).
Käsin tehdyn ensi asetusten asetuksen varmuuskopion ja aiemman varmuukopion vertailu toi huomion että varmuuskopioon oli kertyny aika paljon ilmeisesti ylimääräistä tavaraa ja Lan osalle oli lisätty extra tyhjä Lan määritys, liekö se syy, sitä en jaksanu tutkia.
Mutta jos ilmenee hankaluuksia kannattaa tarkistaa että rakenne on kutakuinki tämä, ainakin osoite määrityksissä. igc0 voi olla eri laitteissa eri. Tuo voi olla lopullisessa versiossa korjattu tai sitten ei.

Erikoista että päälaitteessa kaikki meni jo ekalla betalla heittämällä läpi ilman mitään hankaluksia tai varmuuskopion editointeja, tuossa ongelmallisessa on i225-v portit ja päälaitteesa I226. Tuo oli todella hullun tuntuista että pari kertaa luovutin jo. Viimesenä laitoin KEAn käyttöön se vaikutti pelittävän hyvin. Kaksi laitetta on sen takia että kun haluan tutkia jotain juttua saa sen laittaa paikoilelleen ja testailla ilman netti vaatimuksia taustalta.

<interfaces>
        <wan>
            <if>igc0</if>
            <descr><![CDATA[WAN]]></descr>
            <alias-address></alias-address>
            <alias-subnet>32</alias-subnet>
            <spoofmac></spoofmac>
            <media>autoselect</media>
            <blockpriv></blockpriv>
            <blockbogons></blockbogons>
            <enable></enable>
            <ipaddr>dhcp</ipaddr>
            <dhcphostname></dhcphostname>
            <dhcprejectfrom></dhcprejectfrom>
            <adv_dhcp_pt_timeout></adv_dhcp_pt_timeout>
            <adv_dhcp_pt_retry></adv_dhcp_pt_retry>
            <adv_dhcp_pt_select_timeout></adv_dhcp_pt_select_timeout>
            <adv_dhcp_pt_reboot></adv_dhcp_pt_reboot>
            <adv_dhcp_pt_backoff_cutoff></adv_dhcp_pt_backoff_cutoff>
            <adv_dhcp_pt_initial_interval></adv_dhcp_pt_initial_interval>
            <adv_dhcp_pt_values>SavedCfg</adv_dhcp_pt_values>
            <adv_dhcp_send_options></adv_dhcp_send_options>
            <adv_dhcp_request_options></adv_dhcp_request_options>
            <adv_dhcp_required_options></adv_dhcp_required_options>
            <adv_dhcp_option_modifiers></adv_dhcp_option_modifiers>
            <adv_dhcp_config_advanced></adv_dhcp_config_advanced>
            <adv_dhcp_config_file_override></adv_dhcp_config_file_override>
            <adv_dhcp_config_file_override_path></adv_dhcp_config_file_override_path>
        </wan>
        <lan>
            <lan></lan>
            <if>igc1</if>
            <enable></enable>
            <descr><![CDATA[LAN1]]></descr>
            <ipaddr>192.168.10.1</ipaddr>
            <subnet>24</subnet>
            <spoofmac></spoofmac>
        </lan>
        <opt1>
            <if>igc2</if>
            <descr><![CDATA[LAN2]]></descr>
            <enable></enable>
            <ipaddr>192.168.12.1</ipaddr>
            <subnet>24</subnet>

<dhcpd>
        <lan>
            <enable></enable>
            <range>
                <from>192.168.10.5</from>
                <to>192.168.1.20</to>
            </range>
            <staticmap>
                <mac>18:ff:f7:ff:36:ff</mac>
                <ipaddr>192.168.10.25</ipaddr>
                <descr><![CDATA[XLaite]]></descr>
                <earlydnsregpolicy>default</earlydnsregpolicy>
                <arp_table_static_entry></arp_table_static_entry>
                <dnsserver>62.241.198.246</dnsserver>
            </staticmap>
            <dnsserver>62.241.198.246</dnsserver>
        </lan>
        <opt1>

 

[fin_modder]

Olisko tässä halvin Intel 10G? LOW PROFILE Intel X520-SR2 Dual-Port 2x 10GbE-LAN SFP+ PCIe x8 E10G42BFSR

Pistän itselle tilaukseen NAS:n yhden ja jos toimii niin tilaan myös proxmox noodeille testiin.

Ei mennyt ihan 100% nappiin tilaus. Laitoin rahat tilisiirrolla, jonka jälkeen ei kuulunut yhtään mitään. Ei tilausseurantaa, ei UPS:n seurantanumeroa yms yms. Työkiireiden takia unohdin asian pariksi viikoksi.
Laitoin sitten 12.4. sähköpostia firmalle että onko rahat tulleet. No vastauksena tuli että paketti lähetetty 24.3. ja odottelee paikallisessa UPS:ssä noutoa. Kätevästi olin työreissulla ulkomailla, mutta nouto onnistui sopivalla valtakirjalla onneksi ennen kuin lähti takaisin myyjälle.

Itse kortista:
Näyttäisi siltä että nämä ovat ihan 100% aitoja Intelin kortteja. On aitoustarrat, siistit ja optiikat alkuperäisiä Intelin optiikoita.
Proxmoxissa kiinni näkyy seuraavat tiedot:

01:00.0 Ethernet controller: Intel Corporation 82599ES 10-Gigabit SFI/SFP+ Network Connection (rev 01)
        Subsystem: Intel Corporation Ethernet Server Adapter X520-2
        Flags: bus master, fast devsel, latency 0, IRQ 16, IOMMU group 2
        Memory at f0080000 (64-bit, prefetchable) [size=512K]
        I/O ports at e020 [disabled] [size=32]
        Memory at f0104000 (64-bit, prefetchable) [size=16K]
        Capabilities: [40] Power Management version 3
        Capabilities: [50] MSI: Enable- Count=1/1 Maskable+ 64bit+
        Capabilities: [70] MSI-X: Enable+ Count=64 Masked-
        Capabilities: [a0] Express Endpoint, MSI 00
        Capabilities: [100] Advanced Error Reporting
        Capabilities: [140] Device Serial Number 90-e2-ba-ff-ff-ef-05-b0
        Capabilities: [150] Alternative Routing-ID Interpretation (ARI)
        Capabilities: [160] Single Root I/O Virtualization (SR-IOV)
        Kernel driver in use: ixgbe
        Kernel modules: ixgbe

01:00.1 Ethernet controller: Intel Corporation 82599ES 10-Gigabit SFI/SFP+ Network Connection (rev 01)
        Subsystem: Intel Corporation Ethernet Server Adapter X520-2
        Flags: bus master, fast devsel, latency 0, IRQ 17, IOMMU group 2
        Memory at f0000000 (64-bit, prefetchable) [size=512K]
        I/O ports at e000 [disabled] [size=32]
        Memory at f0100000 (64-bit, prefetchable) [size=16K]
        Capabilities: [40] Power Management version 3
        Capabilities: [50] MSI: Enable- Count=1/1 Maskable+ 64bit+
        Capabilities: [70] MSI-X: Enable+ Count=64 Masked-
        Capabilities: [a0] Express Endpoint, MSI 00
        Capabilities: [100] Advanced Error Reporting
        Capabilities: [140] Device Serial Number 90-e2-ba-ff-ff-ef-05-b0
        Capabilities: [150] Alternative Routing-ID Interpretation (ARI)
        Capabilities: [160] Single Root I/O Virtualization (SR-IOV)
        Kernel driver in use: ixgbe
        Kernel modules: ixgbe

Laitoin nyt tuon ensimmäisen episodin jälkeen tilauksene Ebayn kautta, jos saisi vähän tarkempaa tilaustietoa eikä tarvitse miettiä meneekö paketti takaisin lähettäjälle