Tee-se-itse: Rautapalomuurit (pfSense, Sophos UTM..) (Mitä käytätte ja miksi juuri se vaihtoehto?)

[Khauron]

pfSense+ 25.07.1 julkaistu.
Korjaa kaksi melko fataalia bugia edellisestä versiosta.

25.07.1 New Features and Changes | pfSense Documentation

docs.netgate.com

 

[lpto]

Tää on vähän offtopic, mutta, löytyiskö täältä joku joka voisi testata thin clienttinsä DVI ja DP ulostulojen maksimivirkistystaajuudet? Etsinnässä halvin mahdollinen laite, josta saa ulos vähintään 120/144Hz. Kiinnostaa erityisesti esimerkiksi Fujitsu Futrot.

 

[Anagonda]

Kokeile
Interfaces --> WAN --> Reject leases from

Itsellä oli vastaava ongelma ja _muistaakseni_ tuolla ratkesi.

Näköjään noi omat säädöt korjasi tuon virheen. Nyt kylläkin muutaman sekunnin välein WANista yritetään pyytää ipv6 osoitetta. Outoa koska WANista tulee jo ipv6 osoite ja se on kaikin puolin ok. Tähän n. 20s välein tehtävä kysely ei tuota mitään tulosta. Googleen kun työntää logimerkinnän tulee sieltä että tämä prosessi käynnistetään yhteyden luomisessa kerran. Eli jotain meni taas sekaisin. Harmi kun ei näistä tiedä riittävästi... IPV6 ei ole sisäverkossa käytössä, eikä mulla pyöri mitään dhcp:tä tms sille. joten vaikea ymmärtää.

 

[niblet]

Onko kukaan ajanut M720?/m920? Pihole + lancache comboja? Tuleeko rajat vastaan edes 10G verkoilla?

 

[SamCer]

pfSense CE 2.8.1 julkaistu: 2.8.1 New Features and Changes | pfSense Documentation

 

[user9999]

System Patches Package v2.2.23 is now available for Plus 25.07.1 and CE 2.8.1

System Patches Package v2.2.23

System Patches Package v2.2.23 is now available for Plus 25.07.1 and CE 2.8.1 This update adds a handful of small beneficial fixes that went in after those r...

forum.netgate.com

 

[SamCer]

Pistetään nyt tännekin kun täällä on varmaan paremmin silmäpareja, jotka on säätänyt pfSense CE:hen samaa kuin mitä nyt itse ihmettelen.

Eli onko normaalia, että pfSensen packet capture, filtteröity LAN:ille ja portille 53, näyttää että liikenne esim. Googlen DNS-palvelimeen menee läpi kun porttiohjauksella on määritetty, että kaikki IPv4 liikenne TCP/UDP porttiin 53 ohjataan vain sallittuihin IP-osotteisiin ja muurissa on vielä esto, että kaikki liikenne TCP/UDP porttiin 53 on estetty, paitsi sallittuihin IP-osoitteisiin?

Täällä tuo tilanne avattu tarkemmin toisessa ketjussa, joten vastaukset mieluummin sinne: Pi-Hole - mainosblokkeri raspberry pi:stä

 

[ristokoo]

Kysymys sopinee tänne: Minulla on joutavana HP Prodesk 600 G2 -mini-PC. Saisiko tuosta järkevän laitteen esim OPNsenselle lisäämällä USB-verkkosovittimen? Koneessa on ilmeisesti myös mini PCIe -paikka, mutta ethernet-liittimelle tarvittaisiin kotelon modaamista. Eli jos USB-verkkosovitin toimii ja riittää (liittymän nopeus on 300/300 Mbit/s), mieluummin se.

 

[Anagonda]

Usb ei ole luetettava 24/7 käytössä. Itse en missään nimessä laittais usb verkkokorttia "noin kriittiseen" verkon kohtaan.

 

[Gobi]

Kysymys sopinee tänne: Minulla on joutavana HP Prodesk 600 G2 -mini-PC. Saisiko tuosta järkevän laitteen esim OPNsenselle lisäämällä USB-verkkosovittimen? Koneessa on ilmeisesti myös mini PCIe -paikka, mutta ethernet-liittimelle tarvittaisiin kotelon modaamista. Eli jos USB-verkkosovitin toimii ja riittää (liittymän nopeus on 300/300 Mbit/s), mieluummin se.

Samanlainen kone löytyy ja OPNSense sisässä, tilaisin Ebaysta Intelin piireillä olevan neliporttisen, matalan verkkokortin, tuo nyt esimerkiksi. Kannattaa olla tarkkana ettei tilaa kopiota, erot löytyy hakemalla netistä. Tainnut pari vuotta olla jo käytössä ilman ongelmia. USB-verkkokortilla en lähtisi palomuuria ajelemaan.

 

[ristokoo]

Samanlainen kone löytyy ja OPNSense sisässä, tilaisin Ebaysta Intelin piireillä olevan neliporttisen, matalan verkkokortin, tuo nyt esimerkiksi. Kannattaa olla tarkkana ettei tilaa kopiota, erot löytyy hakemalla netistä. Tainnut pari vuotta olla jo käytössä ilman ongelmia. USB-verkkokortilla en lähtisi palomuuria ajelemaan.

Täytynee sitten jättää USB-vehkeet. Kone on siis mini pc eli hyvin pienellä kotelolla. SATA-levypaikan alla on mini PCIe-liitäntä, eli ilmeisesti jonkin tällaisen voisi laittaa ja jättää liittimen roikkumaan ulkopuolelle. OPNSensen kanssa toiminta pitäisi tietty ensin varmistaa.

 

[Gobi]

Täytynee sitten jättää USB-vehkeet. Kone on siis mini pc eli hyvin pienellä kotelolla. SATA-levypaikan alla on mini PCIe-liitäntä, eli ilmeisesti jonkin tällaisen voisi laittaa ja jättää liittimen roikkumaan ulkopuolelle. OPNSensen kanssa toiminta pitäisi tietty ensin varmistaa.

Eli onko SFF-kotelo?

 

[SamCer]

Kysymys sopinee tänne: Minulla on joutavana HP Prodesk 600 G2 -mini-PC. Saisiko tuosta järkevän laitteen esim OPNsenselle lisäämällä USB-verkkosovittimen? Koneessa on ilmeisesti myös mini PCIe -paikka, mutta ethernet-liittimelle tarvittaisiin kotelon modaamista. Eli jos USB-verkkosovitin toimii ja riittää (liittymän nopeus on 300/300 Mbit/s), mieluummin se.

Itellä on ollut Proxmox-servussa nyt vähän reilun vuoden käytössä tämä: https://www.amazon.de/dp/B0CWV2Q6HJ ja ei ole ollut minkäänlaisia ongelmia sen kanssa. En tosin ole testannut OPNSense/pfSensen kanssa.

 

[ristokoo]

Eli onko SFF-kotelo?

Tällainen eli aika pieni lätty, onko tuo nyt sitten SFF?

 

[Ogeli]

Tällainen eli aika pieni lätty, onko tuo nyt sitten SFF?

Onko tuossa minipcie vai m2 paikka? mulla taitaa olla samanlainen en ole muistanut avata.

Hölmöjä nuo hp nimeämiset mulla taitaa olla myös 600 SFF kone.

 

[Gobi]

Tällainen eli aika pieni lätty, onko tuo nyt sitten SFF?

Ei ole SFF, se pienin versio noista. Tuossa tosiaan miniPCIe, vähän vaikeampi tehdä ku normi PCIe.

 

[jjs]

Kysymys sopinee tänne: Minulla on joutavana HP Prodesk 600 G2 -mini-PC. Saisiko tuosta järkevän laitteen esim OPNsenselle lisäämällä USB-verkkosovittimen? Koneessa on ilmeisesti myös mini PCIe -paikka, mutta ethernet-liittimelle tarvittaisiin kotelon modaamista. Eli jos USB-verkkosovitin toimii ja riittää (liittymän nopeus on 300/300 Mbit/s), mieluummin se.

Löytyy ihan valmiitakin palikoita toiselle verkkokortille, esim: FOR HP ProDesk 600 G2 800 G2 705 G2 Extended Gigabit Ethernet Card M.2 NGFF 2230 I210AT I211AT RTL8111F i225V B3 - AliExpress 7

 

[SamCer]

Pistetään nyt tännekin kun täällä on varmaan paremmin silmäpareja, jotka on säätänyt pfSense CE:hen samaa kuin mitä nyt itse ihmettelen.

Eli onko normaalia, että pfSensen packet capture, filtteröity LAN:ille ja portille 53, näyttää että liikenne esim. Googlen DNS-palvelimeen menee läpi kun porttiohjauksella on määritetty, että kaikki IPv4 liikenne TCP/UDP porttiin 53 ohjataan vain sallittuihin IP-osotteisiin ja muurissa on vielä esto, että kaikki liikenne TCP/UDP porttiin 53 on estetty, paitsi sallittuihin IP-osoitteisiin?

Täällä tuo tilanne avattu tarkemmin toisessa ketjussa, joten vastaukset mieluummin sinne: Pi-Hole - mainosblokkeri raspberry pi:stä

Kellään mitään ideaa/kykyä testata?

 

[et328]

Kellään mitään ideaa/kykyä testata?

Jos et jo ole, niin kysypä tuota ChatGPT:ltä. Se antoi pitkän ja ihan järkevän vastauksen. Ei siis ole normaalia ja sitten 5 kohtaa ohjeita yms.

 

[SamCer]

Jos et jo ole, niin kysypä tuota ChatGPT:ltä. Se antoi pitkän ja ihan järkevän vastauksen. Ei siis ole normaalia ja sitten 5 kohtaa ohjeita yms.

On kysytty jo ja luovutin sen antamien ohjeiden suhteen kun ne eivät johtaneet tulokseen, sen takia kysyin täällä.

 

[ristokoo]

Tulipa mieleen kenties käyttökelpoinen vaihtoehto äsken pohtimalleni HP:lle. Löytyy Raspberry Pi 4, johon ilmeisesti saisi HATilla toisen ethernet-liitännän. Tuotearvion perusteella toimisi Openwrt:n kanssa. Ajatuksia?

 

[Pakana]

Tulipa mieleen kenties käyttökelpoinen vaihtoehto äsken pohtimalleni HP:lle. Löytyy Raspberry Pi 4, johon ilmeisesti saisi HATilla toisen ethernet-liitännän. Tuotearvion perusteella toimisi Openwrt:n kanssa. Ajatuksia?

Tuohan on siis sama kuin jos laittaisit siihen raspiin USB verkkokortin.

 

[Pörkyle]

IPFire päivittyi eilen

The wait is over! IPFire 2.29 - Core Update 197 has officially arrived! This is not just another update… At the heart of this release is a complete OpenVPN overhaul, now upgraded to version 2.6. That means stronger security, broader client compatibility, and a modernised codebase - all seamlessly integrated, with no changes required to your existing configurations. But that’s not all. We’ve fine-tuned system performance to let your CPU spend more time in power-saving states, cutting energy consumption while keeping your firewall lightning fast. And as always, this update delivers a huge round of package updates to keep your system secure, stable, and ready for anything.

Behind this milestone release stands a dedicated team of contributors who have poured countless hours into making Core Update 197 a reality. But innovation like this doesn’t happen on passion alone. Donations have been lower than usual, and we need your support to keep the momentum going. If IPFire protects your network, there’s no better moment to show your appreciation. Every contribution — big or small — goes directly to the development team, powering new features, faster performance, and stronger security for everyone.

Let’s keep the fire burning. Donate Now!

OpenVPN 2.6​

After recently releasing full-fledged support for WireGuard to IPFire this update brings a substantial overhaul for OpenVPN. We are upgrading to OpenVPN 2.6 which has added some new features, but has deprecated a lot, too. The IPFire team has worked very hard to bring you these changes without requiring any configuration changes on the client side and we are still able to support older and newer OpenVPN clients at the same time. Here is the list of notable changes:

• Simpler Client Configuration Export: The client configuration has now been unified and the ZIP container has been dropped. All certificate and key material is now embedded into a single configuration file which can be easily imported into all available clients.
• Cryptography
  • OpenVPN will now perform cipher negotiation between the server and client if they support it
  • Formerly, the cipher and hash algorithm were statically chosen and configured on both, the client and server side. This is still supported as "Fallback Cipher" for clients which don't support cipher negotiation. New installations will no longer offer a fallback and require cipher negotiation.
  • SHA512 is chosen as the default hash method if no AEAD cipher is being used
  • The cryptographic settings have been moved to the "Advanced Settings" section
• Compression
  • OpenVPN has entirely removed support for compression as it can be used as an attack vector
  • Clients that still try to use compression will be able to do so without any changes, but the server will try to disable compression wherever possible. It is no longer possible forcibly enable this.
• Subnet Topology: OpenVPN has removed support for the previously default way of IP address allocation where each client received a small subnet of four IP address. Instead a single IP address will now be used for each client. This frees all previously unusable IP addresses in the pools and quadruples their size.
• OpenVPN settings can now be changed without stopping the road warrior service first. When the server is being restarted, clients will be notified so that they will reconnect immediately.
• Descriptions, labels and headlines in the web UI have been clarified for a much easier configuration experience
• The code has been substantially cleaned up and largely refactored for better maintainability
  • Where formerly the web UI only accepted the older subnet notation the CIDR notation is now supported, too
• The permanent certificate warning has been removed

Power Saving Or Keeping Cool In The Summer​

IPFire will now by default clock down its CPUs. When previously all CPU cores have been running on full clock speed by default, we were able to keep latency to a minimum as they were always ready to process any packets. As modern processors have massively improved how quickly they can clock up and down and CPUs with many cores being widely available, we have now decided to change this based on our benchmark results.

Where supported, we will use Intel P-State or otherwise fall back to the new schedutil governor which has recently been introduced into the Linux kernel and has proven to not increase any packet forwarding latency in our benchmarks.

When clocked down, systems will reduce their power consumption and therefore lowering the amount of emitted heat. The "cpufrequtil" package which used to implement this feature has been dropped as it is no longer needed.

Misc.​

• WireGuard
  • Configuration files using Windows line breaks can now be imported without manual conversion
  • Any IPv6 routes in imported configurations are being ignored
• Intrusion Prevention System: The SSL fingerprint list from abuse.ch has been removed as it was discontinued
• Backup: It is now possible to restore backups that are larger than 2 GiB through the web UI
• A race condition which could cause that some network interfaces were not brought up properly at boot time has been fixed
• The IPFire kernel has been rebased on Linux 6.12.41
  • New mitigations against Transient Scheduler Attacks have been added and the status is shown on the hardware vulnerabilities page
• Updated packages: Apache 2.4.65, automake 1.18.1, bash 5.3.3, bind 9.20.11, btrfs-progs 6.15, cURL 8.15.0, e2fsprogs 1.47.3, fontconfig 2.17.1, gettext 0.26, GnuTLS 3.8.10, jq 1.8.1, libhtp 0.5.51, libjpeg 3.1.1, libpng 1.6.50, libssh 0.11.2, libtalloc 2.4.3, libtasn1 4.20.0, libunistring: New package, lm_sensors 3.6.2, LVM2 2.03.33, nettle 3.10.2, OpenSSL 3.5.1, OpenVPN 2.6.14, pango 1.56.4, pciutils 3.14.0, readline 8.3.1, shadow 4.18.0, SQLite 3.50.2, strongSwan 6.0.2, Suricata 7.0.11, unbound 1.23.1, util-linux 2.41.1
• A Chinese translation has been added

Add-Ons​

• New Packages:
  • Daniel Weismüller has added tools that allow to emulate a TPM 2.0 device which is required to run virtual machines using Microsoft Windows 11 or later
  • arpwatch has been added. This tool is able to send an email whenever a host is being detected on a local network interface for the first time.
• Robin Roevens has updated the Zabbix add-on to version 7.0.16 LTS
  • Additionally he has added monitoring for WireGuard connections, ARP ping support for the internet gateway and IPFire Location functionality
• Borg Backup: The libxxhash package which is required as a dependency is now automatically installed (#13868)
• Updated packages: cifs-utils 7.4, dnsdist 2.0.0, FreeRADIUS 3.2.7, Git 2.50.1, HAProxy 3.2.2, ncdu 1.22, taglib 2.1.1, tshark 4.4.8, Samba 4.22.3

www.ipfire.org - IPFire 2.29 - Core Update 197 released

www.ipfire.org

Kellotaajuuksin keksiarvot tipahti aika paljon omalla raudalla. UEFIssa on C0 ja C1 Statet vaan sallittuina. Pingit ei muuttuneet miksikään. Tehonkulutuksesta en osaa sanoa mutta lämöt on samoissa lukemissa. Voisi joskus koittaa nouseeko viivet yhtäpaljon kuin ennen jos ottaa C1E ja loput Statet käyttöön.

Spoileri: CPU Kello graafit