Tee-se-itse: Rautapalomuurit (pfSense, Sophos UTM..) (Mitä käytätte ja miksi juuri se vaihtoehto?)

[Pörkyle]

Unohtakaa noi SER paikat mitä aiemmin oon linkannu. Ebayssa tuli vastaan Ranskalainen kauppa jolle löyty omat sivutkin ja saa uusia RJ-45verkkokortteja 1G, 2.5G ja 10G nopeuksilla niin yksittäisillä, tupla ja quad porteilla ja parissa kortissa jopa kahdeksan 1Gbps porttia.

Halvin 10G AQUANTIA AQC-107 piirillä PCIe 3.0 4x Gigabit ETHERNET RJ45 10GBASE-T 5GBASE-T 2.5GBASE-T 1000BASE-T 100BASE-TX card - CHIPSET AQUANTIA AQC-107

Pienemmällä pcb:llä PCIe 10 Gigabit ethernet 1 port RJ45 10G network controller card with AQUANTIA AQC107S-T1 chipset. Low and High profile

 

[fin_modder]

Olisko tässä halvin Intel 10G? LOW PROFILE Intel X520-SR2 Dual-Port 2x 10GbE-LAN SFP+ PCIe x8 E10G42BFSR

Pistän itselle tilaukseen NAS:n yhden ja jos toimii niin tilaan myös proxmox noodeille testiin.

 

[Grazer]

En ole hetkeen käyttänyt yhden saitin vpn:ää, jossa palomuurina on Netgaten SG1100 PFSensellä. Nyt kun yritin tuohon päästä kiinni, niin ei suostu yhdistämään ja kun katsoo Pfsenen lokista, siellä lukee "TLS Error: cannot locate HMAC in incoming packet". Mitä tuo mahtaa tarkoittaa? Tuolla googlella löytyy monenlaista, mutta ei mitään, mistä selvästi kävisi ilmi, mikä bitti pfsensessä on mennyt itsekseen poikittain.

Mitään säätöjä ei ole tehty ja latasin pfsensestä varmuuden vuoksi uuden client-konffitiedostonkin, mutta ei vaikutusta. Openvpn käytössä. Sertifikaatit on vielä voimassa.

Varmaan helpointa on tehdä uudet certit ja konffit. Toki samalla voisi vaihtaa vpn:n Wireguardiin.

 

[bajamaja]

Miksihän IPv6 ei enää toimi pFsense + DNA kaapelinetti kanssa. Pitkään toimi hyvin mutta samoilla asetuksilla ollut nyt pari kuukautta pimeänä.

Kaapelimodeemi siltaavana ja pfsensessä seuraavat asetukset:

IPv6 Configuration Type: DHCPv6
DHCPv6 Prefix Delegation size: 56
Router Advertisement Mode: Assisted - RA Flags

WAN interfacen tiedoissa ei edes näy että se olisi saanut IPV6 osoitetta

 

[Boromir]

Kokeile laittaa WAN-asetuksista vielä päälle asetus "Send IPv6 prefix hint". Muuten samoilla asetuksilla ja DNA:n kaapelimodeemilla tuolla kombolla on toiminut.

 

[antero]

En ole hetkeen käyttänyt yhden saitin vpn:ää, jossa palomuurina on Netgaten SG1100 PFSensellä. Nyt kun yritin tuohon päästä kiinni, niin ei suostu yhdistämään ja kun katsoo Pfsenen lokista, siellä lukee "TLS Error: cannot locate HMAC in incoming packet". Mitä tuo mahtaa tarkoittaa? Tuolla googlella löytyy monenlaista, mutta ei mitään, mistä selvästi kävisi ilmi, mikä bitti pfsensessä on mennyt itsekseen poikittain.

Mitään säätöjä ei ole tehty ja latasin pfsensestä varmuuden vuoksi uuden client-konffitiedostonkin, mutta ei vaikutusta. Openvpn käytössä. Sertifikaatit on vielä voimassa.

Varmaan helpointa on tehdä uudet certit ja konffit. Toki samalla voisi vaihtaa vpn:n Wireguardiin.

Itse en ole tuommoseen virheeseen törmänny. Voisiko palveluntarjoaja olla muuttanu asetuksia?
Puuttuisiko Open vpn custom optionsista joku.
remote-cert-tls server;

 

[Lucas]

Tarvitset myös reitittimen joka ymmärtää VLANien perään. Tuolla Layer2-kytkimellä et pysty reitittämään.

Vaikka Mikrotikiltä L009UiGS-RM reitittimellä onnistuu kaikki yllämainittu. Ei varmasti helpoimmasta päästä, mutta opetteleminen arvoinen laite.

Ostin tuollaisen kytkin-reititin boksin jakamaan yhtä kuitunettiä yhdellä julkisella ip-osoitteella paritaloon.

Vaikuttaa pätevältä ja monipuoliselta laitteelta. Pääsi vain yllättämään tuon asennuksen vaikeus.

Pari iltaa sitä kotona säädin ja laitoin eth1 portin WAN portiksi ja eth2 ja eth3 portit sitten jakamaan netti kahteen taloon ja NAT siihen Mikrotikiin.
DAc 192.168.10.0/24 ether2 0
DIc 192.168.20.0/24 ether3 0

Määrittelin myös estot niiden porttien väliselle yhteyksille sekä palomuuriin että sitten erikseen myös kaiken fyysisen liikenteen noiden porttien väliltä estin. Määritin myös minimi nopeuden kummallekin eth portille noista (minimi 50 Mbit/s) ja maksimiksi 450 Mbit/s. Molemmilla talouksilla lienee keskimäärin nettiliikenne varmaan alle 50 Mbit/s. 400 megaa on sitten tavallaan sitä "yhteistä kaistaa" jota voi kumpikin käyttää vapaasti silloin kun tarvii, kun nettiliittymä nopeus 500 "megaa".. Ajattelin että kokeillaan tällä ja jos probleema, niin pistän rajaksi molemmille 250 "megaa" tasan.

Mangle-tauluun laittelin säännöt priorisoida VoWifi, WhatApp ja Teams audio ja videoyhteyksiä ja zoomia. Palomuuriin sitten hieroin jotain "fasttrack" sääntöjä ja muuta sen sellaista ja niiden sääntöjen järjestyksen yritin optimoida ja saada toimivaksi.

Yhtään liioittelematta tuon säätämisen kanssa meni kaksi ylipitkää iltaa kun ikinä en ole moisia laitteita edes säätänyt ja muutenkin kaikki ohjelmointi on oman osaamisalueen ulkopuolella..

Muuten kaikki näytti toimivan kun sitä tänään käyttöpaikalle testasin. Mutta pari ongelmaa jäi, niin palautin vanhan Huawein vielä käyttöön. Eli syystä tai toisesta en saanut sen Mikrotikin takana sisäverkossa olevaa Raspberryn OpenVPN serveriä pelaamaan. Raspiin sain kyllä työpöytä yhteyden internetistä, mutta tuo VPN ei alkanut toimia siinä. Ei sitten millään. Jos otan ulkoverkosta siihen yhteyden kun reitittimenä on Huawein laite, niin se Raspberryn OpenVPN antaa ip-osoitteeksi "10.8.0.2" siihen kytkeytyvälle windows koneelle.
Eli mistähän tuota ongelmaa lähtisi nyt ratkomaan kun tuo OpenVPN ei toimi ja oma osaaminen loppuu kesken? Oiskohan ongelma tuossa ip-osoitteessa minkä se antaa ja siitä ei Mikrotik perusta? Vai joku muu?

Toinen ongelma sitten on IPv6 joka ei lähtenyt toimimaan. Huawein reitittimellä se IPv6 toimii jees, mutta mikrotikillä ei toimi.

[admin@MikroTik] > /ipv6 firewall filter print

Flags: X - disabled, I - invalid; D - dynamic

0 ;;; Salli olemassa olevat ja liittyvt IPv6-yhteydet reitittimeen
chain=input action=accept connection-state=established,related

1 ;;; Salli naapurin pyynt
chain=input action=accept protocol=icmpv6 icmp-options=135

2 ;;; Salli naapurin ilmoitus
chain=input action=accept protocol=icmpv6 icmp-options=136

3 ;;; Salli reitittimen ilmoitus
chain=input action=accept protocol=icmpv6 icmp-options=134

4 ;;; Salli reitittimen pyynt
chain=input action=accept protocol=icmpv6 icmp-options=133

5 ;;; Salli kaikupyynt
chain=input action=accept protocol=icmpv6 icmp-options=128

6 ;;; Salli kaikuvaste
chain=input action=accept protocol=icmpv6 icmp-options=129

7 ;;; Salli DNS (UDP) reitittimelle
chain=input action=accept protocol=udp dst-port=53

8 ;;; Est hallinta WAN-verkosta
chain=input action=drop protocol=tcp in-interface=ether1
dst-port=22,8291

9 ;;; Est kaikki muu IPv6-liikenne reitittimeen
chain=input action=drop

10 ;;; Salli olemassa olevat ja liittyvt IPv6-yhteydet lpi reitittimen
chain=forward action=accept connection-state=established,related

11 ;;; Salli naapurin pyynt lpi reitittimen
chain=forward action=accept protocol=icmpv6 icmp-options=135

12 ;;; Salli naapurin ilmoitus lpi reitittimen
chain=forward action=accept protocol=icmpv6 icmp-options=136

13 ;;; Salli reitittimen ilmoitus lpi reitittimen
chain=forward action=accept protocol=icmpv6 icmp-options=134

14 ;;; Salli reitittimen pyynt lpi reitittimen
chain=forward action=accept protocol=icmpv6 icmp-options=133

15 ;;; Salli kaikupyynt lpi reitittimen
chain=forward action=accept protocol=icmpv6 icmp-options=128

16 ;;; Salli kaikuvaste lpi reitittimen
chain=forward action=accept protocol=icmpv6 icmp-options=129

17 chain=input action=drop protocol=icmpv6 icmp-options=137

18 ;;; Allow DHCPv6 client
chain=input action=accept protocol=udp dst-port=546

19 ;;; Est IPv6 ether3 -> ether2
chain=forward action=drop in-interface=ether3 out-interface=ether2

20 ;;; Est IPv6 ether2 -> ether3
chain=forward action=drop in-interface=ether2 out-interface=ether3

21 ;;; Allow DHCPv6 server
chain=input action=accept protocol=udp dst-port=547

22 ;;; Drop unknown extension headers
chain=input action=drop protocol=ipv6-opts

23 ;;; Drop invalid source ::
chain=input action=drop src-address=::/128

24 ;;; Drop invalid source ::1
chain=input action=drop src-address=::1/128

25 ;;; Drop ULA (fc00::/7)
chain=input action=drop src-address=fc00::/7

26 ;;; Drop link-local addresses
chain=input action=drop src-address=fe80::/10

[admin@MikroTik] >


[admin@MikroTik] > /ipv6 settings print

disable-ipv6: no
forward: yes
multipath-hash-policy: l3
accept-redirects: yes-if-forwarding-disabled
accept-router-advertisements: yes-if-forwarding-disabled
disable-link-local-address: no
stale-neighbor-detect-interval: 30
stale-neighbor-timeout: 60
min-neighbor-entries: 1792
soft-max-neighbor-entries: 3584
max-neighbor-entries: 7168
allow-fast-path: yes
ipv6-fast-path-active: yes
ipv6-fast-path-packets: 0
ipv6-fast-path-bytes: 0
ipv6-fasttrack-active: no
ipv6-fasttrack-packets: 0
ipv6-fasttrack-bytes: 0

[admin@MikroTik] >


Vai oisko sitä vikaa syytä alkaa etsiä DHCPv6 asiakkaan tai -poolien asetuksista?


Flags: D - DYNAMIC; G - GLOBAL, L - LINK-LOCAL
Columns: ADDRESS, FROM-POOL, INTERFACE, ADVERTISE
# ADDRESS FROM-POOL INTERFACE ADVERTISE
0 G 2001:14ba:7223:6b00::/64 dna_ipv6_pool ether2 yes
1 D ::1/128 lo no
2 DL fe80::d601:c3ff:fe93:cd40/64 ether2 no
3 DL fe80::d601:c3ff:fe93:cd3f/64 ether1 no

[admin@MikroTik] >

Jostain syystä tuolla kummitelee tuo dna_ipv6_pool, kun sitä Mikrotikiä kotona asentelin kuntoon etukäteen DNA:n liittymässä ja se ei oikein alkanut toimia, ja ajattelin että sen säädän sitten toimimana siellä Valoo operaattorin liittymässä jonne tuo Mikrotik tulossa. Mutta ei se ihan niin vain alkanutkaan toimia tunnin säätämisellä.

 

[Kilkenblad]

Ostin tuollaisen kytkin-reititin boksin jakamaan yhtä kuitunettiä yhdellä julkisella ip-osoitteella paritaloon.

Vaikuttaa pätevältä ja monipuoliselta laitteelta. Pääsi vain yllättämään tuon asennuksen vaikeus.

Pari iltaa sitä kotona säädin ja laitoin eth1 portin WAN portiksi ja eth2 ja eth3 portit sitten jakamaan netti kahteen taloon ja NAT siihen Mikrotikiin.
DAc 192.168.10.0/24 ether2 0
DIc 192.168.20.0/24 ether3 0

Määrittelin myös estot niiden porttien väliselle yhteyksille sekä palomuuriin että sitten erikseen myös kaiken fyysisen liikenteen noiden porttien väliltä estin. Määritin myös minimi nopeuden kummallekin eth portille noista (minimi 50 Mbit/s) ja maksimiksi 450 Mbit/s. Molemmilla talouksilla lienee keskimäärin nettiliikenne varmaan alle 50 Mbit/s. 400 megaa on sitten tavallaan sitä "yhteistä kaistaa" jota voi kumpikin käyttää vapaasti silloin kun tarvii, kun nettiliittymä nopeus 500 "megaa".. Ajattelin että kokeillaan tällä ja jos probleema, niin pistän rajaksi molemmille 250 "megaa" tasan.

Mangle-tauluun laittelin säännöt priorisoida VoWifi, WhatApp ja Teams audio ja videoyhteyksiä ja zoomia. Palomuuriin sitten hieroin jotain "fasttrack" sääntöjä ja muuta sen sellaista ja niiden sääntöjen järjestyksen yritin optimoida ja saada toimivaksi.

Yhtään liioittelematta tuon säätämisen kanssa meni kaksi ylipitkää iltaa kun ikinä en ole moisia laitteita edes säätänyt ja muutenkin kaikki ohjelmointi on oman osaamisalueen ulkopuolella..

Muuten kaikki näytti toimivan kun sitä tänään käyttöpaikalle testasin. Mutta pari ongelmaa jäi, niin palautin vanhan Huawein vielä käyttöön. Eli syystä tai toisesta en saanut sen Mikrotikin takana sisäverkossa olevaa Raspberryn OpenVPN serveriä pelaamaan. Raspiin sain kyllä työpöytä yhteyden internetistä, mutta tuo VPN ei alkanut toimia siinä. Ei sitten millään. Jos otan ulkoverkosta siihen yhteyden kun reitittimenä on Huawein laite, niin se Raspberryn OpenVPN antaa ip-osoitteeksi "10.8.0.2" siihen kytkeytyvälle windows koneelle.
Eli mistähän tuota ongelmaa lähtisi nyt ratkomaan kun tuo OpenVPN ei toimi ja oma osaaminen loppuu kesken? Oiskohan ongelma tuossa ip-osoitteessa minkä se antaa ja siitä ei Mikrotik perusta? Vai joku muu?

Toinen ongelma sitten on IPv6 joka ei lähtenyt toimimaan. Huawein reitittimellä se IPv6 toimii jees, mutta mikrotikillä ei toimi.

[admin@MikroTik] > /ipv6 firewall filter print

Flags: X - disabled, I - invalid; D - dynamic

0 ;;; Salli olemassa olevat ja liittyvt IPv6-yhteydet reitittimeen
chain=input action=accept connection-state=established,related

1 ;;; Salli naapurin pyynt
chain=input action=accept protocol=icmpv6 icmp-options=135

2 ;;; Salli naapurin ilmoitus
chain=input action=accept protocol=icmpv6 icmp-options=136

3 ;;; Salli reitittimen ilmoitus
chain=input action=accept protocol=icmpv6 icmp-options=134

4 ;;; Salli reitittimen pyynt
chain=input action=accept protocol=icmpv6 icmp-options=133

5 ;;; Salli kaikupyynt
chain=input action=accept protocol=icmpv6 icmp-options=128

6 ;;; Salli kaikuvaste
chain=input action=accept protocol=icmpv6 icmp-options=129

7 ;;; Salli DNS (UDP) reitittimelle
chain=input action=accept protocol=udp dst-port=53

8 ;;; Est hallinta WAN-verkosta
chain=input action=drop protocol=tcp in-interface=ether1
dst-port=22,8291

9 ;;; Est kaikki muu IPv6-liikenne reitittimeen
chain=input action=drop

10 ;;; Salli olemassa olevat ja liittyvt IPv6-yhteydet lpi reitittimen
chain=forward action=accept connection-state=established,related

11 ;;; Salli naapurin pyynt lpi reitittimen
chain=forward action=accept protocol=icmpv6 icmp-options=135

12 ;;; Salli naapurin ilmoitus lpi reitittimen
chain=forward action=accept protocol=icmpv6 icmp-options=136

13 ;;; Salli reitittimen ilmoitus lpi reitittimen
chain=forward action=accept protocol=icmpv6 icmp-options=134

14 ;;; Salli reitittimen pyynt lpi reitittimen
chain=forward action=accept protocol=icmpv6 icmp-options=133

15 ;;; Salli kaikupyynt lpi reitittimen
chain=forward action=accept protocol=icmpv6 icmp-options=128

16 ;;; Salli kaikuvaste lpi reitittimen
chain=forward action=accept protocol=icmpv6 icmp-options=129

17 chain=input action=drop protocol=icmpv6 icmp-options=137

18 ;;; Allow DHCPv6 client
chain=input action=accept protocol=udp dst-port=546

19 ;;; Est IPv6 ether3 -> ether2
chain=forward action=drop in-interface=ether3 out-interface=ether2

20 ;;; Est IPv6 ether2 -> ether3
chain=forward action=drop in-interface=ether2 out-interface=ether3

21 ;;; Allow DHCPv6 server
chain=input action=accept protocol=udp dst-port=547

22 ;;; Drop unknown extension headers
chain=input action=drop protocol=ipv6-opts

23 ;;; Drop invalid source ::
chain=input action=drop src-address=::/128

24 ;;; Drop invalid source ::1
chain=input action=drop src-address=::1/128

25 ;;; Drop ULA (fc00::/7)
chain=input action=drop src-address=fc00::/7

26 ;;; Drop link-local addresses
chain=input action=drop src-address=fe80::/10

[admin@MikroTik] >


[admin@MikroTik] > /ipv6 settings print

disable-ipv6: no
forward: yes
multipath-hash-policy: l3
accept-redirects: yes-if-forwarding-disabled
accept-router-advertisements: yes-if-forwarding-disabled
disable-link-local-address: no
stale-neighbor-detect-interval: 30
stale-neighbor-timeout: 60
min-neighbor-entries: 1792
soft-max-neighbor-entries: 3584
max-neighbor-entries: 7168
allow-fast-path: yes
ipv6-fast-path-active: yes
ipv6-fast-path-packets: 0
ipv6-fast-path-bytes: 0
ipv6-fasttrack-active: no
ipv6-fasttrack-packets: 0
ipv6-fasttrack-bytes: 0

[admin@MikroTik] >


Vai oisko sitä vikaa syytä alkaa etsiä DHCPv6 asiakkaan tai -poolien asetuksista?


Flags: D - DYNAMIC; G - GLOBAL, L - LINK-LOCAL
Columns: ADDRESS, FROM-POOL, INTERFACE, ADVERTISE
# ADDRESS FROM-POOL INTERFACE ADVERTISE
0 G 2001:14ba:7223:6b00::/64 dna_ipv6_pool ether2 yes
1 D ::1/128 lo no
2 DL fe80::d601:c3ff:fe93:cd40/64 ether2 no
3 DL fe80::d601:c3ff:fe93:cd3f/64 ether1 no

[admin@MikroTik] >

Jostain syystä tuolla kummitelee tuo dna_ipv6_pool, kun sitä Mikrotikiä kotona asentelin kuntoon etukäteen DNA:n liittymässä ja se ei oikein alkanut toimia, ja ajattelin että sen säädän sitten toimimana siellä Valoo operaattorin liittymässä jonne tuo Mikrotik tulossa. Mutta ei se ihan niin vain alkanutkaan toimia tunnin säätämisellä.

Hyvä että oli hyvä suositus! Valitettavasti multa ei löydy noin syvää osaamista että osaisin auttaa. Mikrotikin foorumit on varmasti jo tulleet tutuksi ja sieltä kannattaakin kysellä jos osaa ottaa pientä vittuilua vastaan:

Beginner Basics - MikroTik

forum.mikrotik.com