Tee-se-itse: Rautapalomuurit (pfSense, Sophos UTM..) (Mitä käytätte ja miksi juuri se vaihtoehto?)

Pistetääs nyt tännekin tämä:
Leo_Greta sanoi:
pfSensen sai konffattua näköjään kivuttomasti käyttämään tuota DoT:ia, nyt kun tajusin tutkia asiaa :).

Jos jotakin kiinnostaa, niin näitä ohjeita mukaillen näyttäis onnistuvan: Setup DNS over TLS on pfSense 2.4.4 p2 - Guide

Tässä omat asetukset:
dns-server_settings.JPG
General_DNS_Resolver.JPG
Napsauta laajentaaksesi...
 
Pystyykö tuota pfSensen 1-to-1 NAT:ia hyödyntämään dynaamisilla ip:llä?

Mietin, että olisi mukava saada ne liittymään kuuluvat 5 julkista vaihtuvaa ip:tä käyttöön, niin että eri palveluilla olisi oma ip sen sijaan, että joutuu muuttamaan portteja, että saa esim kaksi www-palvelua toimimaan rinnakain.

[edit] Taitaa ainoo mahdollisuus olla hankkia pari verkkorttia lisää WAN-porteiksi.
 
Viimeksi muokattu:
Leo_Greta sanoi:
[edit] Taitaa ainoo mahdollisuus olla hankkia pari verkkorttia lisää WAN-porteiksi.
Napsauta laajentaaksesi...
Tämä riippuu myös ISP:n tavasta jakaa julkisia IPv4-osoitteita. Huonoimmassa ja tavallisimmassa tapauksessa yksityiskäyttäjillä useampi WAN-interface olisi helpoin tapa- En nyt tähän hätään löytänyt dokumentaatioreferenssiä tuosta.

Itsellä on sellainen viritys toisen julkisen IP4:n käyttöön, että yhden fyysisen WAN-interfacen kanssa on interface bridge, josta porttien ohjaus (ei 1:1 NAT, ehkä sitäkin voisi käyttää) LAN-interfacen VLANiin. Yksi julkinen IP4 lisää olisi vielä käyttämättä, mutta tuohon viritykseen sitä ei taida enää saada mukaan.
 
mikajh sanoi:
Tämä riippuu myös ISP:n tavasta jakaa julkisia IPv4-osoitteita. Huonoimmassa ja tavallisimmassa tapauksessa yksityiskäyttäjillä useampi WAN-interface olisi helpoin tapa- En nyt tähän hätään löytänyt dokumentaatioreferenssiä tuosta.

Itsellä on sellainen viritys toisen julkisen IP4:n käyttöön, että yhden fyysisen WAN-interfacen kanssa on interface bridge, josta porttien ohjaus (ei 1:1 NAT, ehkä sitäkin voisi käyttää) LAN-interfacen VLANiin. Yksi julkinen IP4 lisää olisi vielä käyttämättä, mutta tuohon viritykseen sitä ei taida enää saada mukaan.
Napsauta laajentaaksesi...

Joo löysin itsekkin just muutama minuutti sitten ton, että pfSenseen voi luoda noita interface bridgejä, joilla ton saan varmaankin ratkaistua. Jos ei, niin sitten meen samalla tavalla kuten oot tehny.
 
Tarvitseeko VLANille oman NICin vai onnistuuko samalla kuin LAN? Olen katsellut useampaa tutoriaali videota ja oikeastaan kaikissa käytetään omaa porttia VLANille. :tdown:

Haluaisin laittaa konsoli(t) omaan verkkoonsa ja avata näille UPnP ynnä muut. Homma ymmärtääkseni onnistuisi myös Aliaksella, mutta näin asiasta syvällisemmin ymmärtämättömän korvaan tuo oma VLAN kuulostaisi sisäverkkoa ajatellen turvallisemmalta ratkaisulta?

Täytyykö kaikkien kytkinten tukea VLANia? Käytössä pari TL-SG108E kytkintä, sekä yksi TL-SG1008D.
Riittääkö pelkän staattisen IP:n antaminen halutuille laitteille, vai täytyykö kytkimen asetuksia viritellä?

Hyvää tutoriaalia kenelläkään tiedossa?

Edit: Pfsense käytössä.
 
VoNpo sanoi:
Tarvitseeko VLANille oman NICin vai onnistuuko samalla kuin LAN? Olen katsellut useampaa tutoriaali videota ja oikeastaan kaikissa käytetään omaa porttia VLANille. :tdown:

Haluaisin laittaa konsoli(t) omaan verkkoonsa ja avata näille UPnP ynnä muut. Homma ymmärtääkseni onnistuisi myös Aliaksella, mutta näin asiasta syvällisemmin ymmärtämättömän korvaan tuo oma VLAN kuulostaisi sisäverkkoa ajatellen turvallisemmalta ratkaisulta?

Täytyykö kaikkien kytkinten tukea VLANia? Käytössä pari TL-SG108E kytkintä, sekä yksi TL-SG1008D.
Riittääkö pelkän staattisen IP:n antaminen halutuille laitteille, vai täytyykö kytkimen asetuksia viritellä?

Hyvää tutoriaalia kenelläkään tiedossa?

Edit: Pfsense käytössä.
Napsauta laajentaaksesi...

Ei tarvitse omaa interfacea. Koko VLANin idea on se, että verkkoa ei tarvitse fyysisesti segmentoida.

Vähintään reitittimestä seuraavan kytkimen pitää tukea vlaneja, jotta saat halutut vlanit tiettyihin portteihin. Sen jälkeen voi toki yhden portin takana olla vaikka konsoleille oma tyhmä kytkin mikä segmentoituu tuon ensimmäisen kautta vaikka vain vlaniin X.

Voit tehdä eri vlaneissa oleville subneteille omat dhcp ranget, eli kiinteitä ip-osoitteitakaan et tarvitse.



Tuosta esimerkiksi ihan hyvä video vlanien toiminnasta ja pfsensestä. Kytkimenä unifi, mutta idea ei muutu vaikka eri merkin kytkin olisikin.
 
Viimeksi muokattu:
Tässä on muutamia perusjuttuja mainittu: Virtuaalilähiverkko – Wikipedia

pfSense:n LAN-NIC:ssä olisi hyvä olla VLAN-tuki, jolloin yhdellä pärjää. TL-SG108E ainakin tukee VLANia. Minimissään riittää tuki reitittimen LAN-nic:ssä ja yhdessä switchissä, jos haaroitus sen porteista tavallisiin LAN-laitteisiin riittää. Kytkimeen pitää konffata miten se hanskaa kutakin käytettyä VLANia ja yhdestä verkosta ainakin pitää päästä hallitsemaan VLAN-switchiä. Muuten switchissä ei ole pakollistä säätöä.

Kannattaa ymmärtää mitä on tekemässä, niin tuhraantuu vähemmän aikaa ja hiuksia.
 
Pfsensessä upnp:n saa myös avattua mac-osoitteen perusteella, jolloin se on auki vain määritellyille laitteille. Näin et tarvii erillistä VLAN:nia.
 
Kincaid sanoi:
Moro!

Onko kokemuksia noista APU-pohjaisista laitteista? Vaikkapa tästä: APU2D4: 3x Gigabit LAN, Quad Core CPU, 16GB SSD, 4GB RAM
Ajatuksena olisi survoa Sophos XG home sisään tuohon, koska työn puolesta noita oikeita XG laitteita tulee käpisteltyä päivittäin.

Sattuuko joku tietämään mihin Sophoksen rautaan tuo APU2d4 esim rinnastuu?
Napsauta laajentaaksesi...

Mulla on jonkin verran kokemusta APU-vehkeistä, kaksi- ja kolmeporttisista. BIOSseista ja eri käyttiksistä, mutta Sophos XG:stä ei sitten yhtään :) Eikös tuo vaadi jonkun lisenssin, että siitä saa järkeviä ominaisuuksia ulos?
Linux-pohjaisuudesta plussaa, että eiköhän se tuommoiseen APU2D4:een mene melko heittämällä. Muistista en tiedä, muuta kuin (Free)BSD -pohjaisille 4GB on passeli.
 
Khauron sanoi:
Mulla on jonkin verran kokemusta APU-vehkeistä, kaksi- ja kolmeporttisista. BIOSseista ja eri käyttiksistä, mutta Sophos XG:stä ei sitten yhtään :) Eikös tuo vaadi jonkun lisenssin, että siitä saa järkeviä ominaisuuksia ulos?
Linux-pohjaisuudesta plussaa, että eiköhän se tuommoiseen APU2D4:een mene melko heittämällä. Muistista en tiedä, muuta kuin (Free)BSD -pohjaisille 4GB on passeli.
Napsauta laajentaaksesi...

Lisenssi on kotikäyttöön ilmainen ja sen saa sophokselta rekisteröitymällä. Saat 3-vuotisen täyden version käyttöön ja voit jatkaa lisenssiä sitten kun menee edellinen umpeen.

Tämä on käsitelty jo aikaisemminkin tässä ketjussa mutta nostan pöydälle edelleen virtualisoinnin tuon erillisen fyysisen aparaatin sijasta. Itselläni oma SophosXG -systeemi on NAS:n (Qnap) virtuaalikoneessa ja olen todella tyytyväinen kokoonpanoon. Resursseja saa vähennettyä/lisättyä tarpeen mukaan eli mm. ytimien määrää ja muistia saa vaihdettua miten haluaa sekä fyysisiä LAN-portteja tarpeen mukaan (Qnapissa on 4 fyysistä 1Gb LAN-porttia ja vielä PCIe-kortti jossa 2x10Gb valokuitu eli yhteensä 6 fyysistä LAN-porttia).

Lisäksi virtuaalikoneissa on palomuureja SophosXG:n kaverina tällä tällä hetkellä pfSense, SophosUTM, Untangle ja Fortinet Virtual Appliance. Vaihdan palomuureja ajoon tarpeen mukaan silloin tällöin ajoon kun haluan testata jotain tai täytyy opetella jotain uusia säätöjä irl-caseihin. Nyt ajossa on tuo XG. Muuten palomuurit valmiustilassa ja muurin vaihto kestää noin 5-10 sekuntia siis sen aikaa ei netti toimi muurin vaihdon takia.

Kustannusmielessä taitaa olla melkolailla sama onko Qnap vai joku hieman parempi erillinen tietokone.
 
Suosituksia dynamic dns palveluista?

Mielellään ilmainen, mutta jokin halpa ratkaisukin kelpaa jos pääsee vähemmällä säätämisellä.
Tarkoitus silloin tällöin päästä VPN:llä kotiverkkoon ja mahdollisesti pitää muutaman pelaajan peliservereitä.
 
Itse käytän vielä toistaiseksi noip:n ilmaisversiota, mutta ipv6:n takia ehkä siirryn piakkoin easydns:n maksuversioon.
 
VoNpo sanoi:
Suosituksia dynamic dns palveluista?

Mielellään ilmainen, mutta jokin halpa ratkaisukin kelpaa jos pääsee vähemmällä säätämisellä.
Tarkoitus silloin tällöin päästä VPN:llä kotiverkkoon ja mahdollisesti pitää muutaman pelaajan peliservereitä.
Napsauta laajentaaksesi...

Itse käytän Free Dynamic DNS - Managed DNS - Managed Email - Domain Registration - No-IP
Toimii mm. pfSensen DynDNS-palvelun kanssa, ja toki Winkkarin ja pingviinin kanssa myös saa myös suoraan update-palvelut. Ilmainen, joksikin ilmaisessa joutuu verifioimaan kerran kuussa hostnamen. Tässä kestää noin 15 sekuntia ja viisi klikkausta.
 
mikajh sanoi:
Itse käytän vielä toistaiseksi noip:n ilmaisversiota, mutta ipv6:n takia ehkä siirryn piakkoin easydns:n maksuversioon.
Napsauta laajentaaksesi...

Tuo no-ip on tullut useammassa tutoriaalissa vastaan. Löytyy ainakin valmiina pfsensen valikosta.
ipv6 ei ole itselleni tarvetta.
 
dy.fi, ei taida olla pfsensessäkään. mutta jos joku purkki pyörii sisäverkossa niin siihen clientti
 
Itellä on dy.fi käytössä pfSensessä, kuin myös OPNsensessä. Muistaakseni dokumentaatio asian osalta oli vähän ympäripyöreä, mutta custom DDNS asetuksella sen saa toimimaan.

Service type: Custom
username: sähköposti
update URL: https://www.dy.fi/nic/update?hostname=xxxxx.dy.fi

Suurin ongelma tulee siitä, jos IP-osoite ei muutu tarpeeksi tiheään. Dy.fi vaatii päivityksen enintään 7 vrk välein tai nimi vapautetaan. pfSense tekee päivityksen oletuksena 25 vrk välein jos osoite ei ole muuttunut. Siitä löytyy feature request täältä: Feature #9092: Configurable DDNS update force interval, 25 days is too long for some providers - pfSense - pfSense bugtracker .

Itse muutin /etc/inc/dyndns.class tiedostosta rivin 308 $this->_dnsMaxCacheAgeDays = 25; arvoksi 6 ja enään ei ole dy.fi vanhentunut. Olisihan tuo hyvä olla käyttöliittymästä säädettävissä, nyt tuo asetus todennäköisesti katoaa päivitysten yhteydessä...
 
Tuon päivitys tiheyden takia viritteli yhteen palvelimeen cronilla päivityksen 6pv välein plus päivitys jos ip vaihtuu.
Opnsensessä se oli ensin.
 
Rensu sanoi:
Päivitys URL pitää olla https, vähän aikaa muistaakseni ihmettelin sitä. Ohjeessa taitaa olla tuo http...
Napsauta laajentaaksesi...

Testailin myös sillä https:llä mutta en saanut sitä silloin toimimaan. Tukeenkaan en saanu yhteyttä silloin, niin pitäkööt tunkkinsa.
 
VoNpo sanoi:
Mitä etuja tällä domain+cloudflare yhdistelmällä saadaan verrattuna vaikkapa noihin ilmaisiin palveluihin?
Löytyykö tähän hyviä ohjeita jostain?
Napsauta laajentaaksesi...

Nooh, ei varmaan erityisesti mitään. Paitsi, että saa itse päättää domainin, eikä tyytyä pelkästään niihin mitä ne ilmaset palvelut tarjoaa. Oma domain on 5-merkkiä pitkä plus pääte .eu.

Ohjeista en muista mitä käytin, jonkin verran aikaa meni selvittelyihin kun en ollu aikaisemmin hallinnoinut ainuttakaan domainia.

Ohjeet menee todella typistettynä versiona jotenkin näin (muistaakseni):
  1. Osta domain esim. Webhotelli, WordPress ja oma domain kätevästi Hostingpalvelulta
  2. Luo tunnukset Cloudflareen
  3. Muuta domainin nimipalvelimet ostopaikan itsehallinta sivujen kautta, tai heidän tuen avulla Cloudflaren nimipalvelimiksi
  4. Luo DNS-tietueet A ja CNAME Cloudflareen
  5. Konffaa esim. pfSensen ddns-clientti
 
Tuo sama onnistuu ihan ilman CloudFlarea ja vaikka noip:llä, tai millä tahansa muulla DDNS-palvelulla. Omaan domainiin nakkaa CNAMEksi DDNS-palvelun hostnamen, tyyliin "hostname.omadomain.com CNAME omahostname.ddns.net..
Etuna on oikeastaan ainoastaan se, että saa oman kotipurkin oman domain-nimen taakse, eikä tarvitse muistaa IP-osoitetta ulkoa.
 
Protonmailia ei ilmeisesti saa käytettyä SMTP:nä sähköposti ilmoituksia varten?
Mitä suosittelisitte google allergiasta kärsivälle?

Verkossa pyörii myös unraid serveri, saisiko dockerin kautta tähän mitään turvallista ratkaisua?
 
Khauron sanoi:
Ei ole. ~50€ / vuosi, ja ominaisuudet ovat kohdillaan ja kiinnittävät huomiota erityisesti tietoturvaan.
Napsauta laajentaaksesi...
Ei kyllä viitsi ainoastaan SMTP:n takia maksaa tuollaisia summia, käytössä kuitenkin maksullinen versio protonmailista.
Täytyy yrittää löytää toinen vaihtoehto.
Harmillista, ettei pfsense tarjoa kuin email ilmoitukset.
 
VoNpo sanoi:
Harmillista, ettei pfsense tarjoa kuin email ilmoitukset.
Napsauta laajentaaksesi...
Tarjoaahan se myös SNMP:n. En ole tietoinen että mikään muukaan rautapalomuuri tarjoaisi mitään eksoottisempaa. Korkeintaan ehkä SSH:n.
 
user9999 sanoi:
pfBlockerNG blokkaa NordVPN Suomen palvelimet :eek:

Zzg17Be.png


Edit: Tällä listalla tuo verkko 196.196.0.0/16
https://rules.emergingthreats.net/fwrules/emerging-Block-IPs.txt
https://www.spamhaus.org/query/ip/196.196.201.221
Napsauta laajentaaksesi...

196.196.0.0/16 Kuuluu virolaiselle? Fibergrid nimiselle firmalle, IP avaruus on rekisteröity Afrinicistä jossa whois person contactina on joku kaveri Californiasta.

50-50 onko jotain shady veivausta vai osteltu vaan IP avaruuksia mistä saadaan, IPv4 osoitteet kun on kaikki jo jaettu käyttöön.
 
kuukie sanoi:
Emerging threatsin tiputtaisin pois. Suuret määrät false positive blokkeja kun malware c2 palvelimien hostaamisen takia esim OVHn ipt listalla jatkuvasti
Napsauta laajentaaksesi...

Taas yksi syy jatkaa ET:n listojen käyttöä:

user9999 sanoi:
Jotain outoa huomasin NordVPN:ssä jo aikoja sitten.
Tee-se-itse: Rautapalomuurit (pfSense, Sophos UTM..) (Mitä käytätte ja miksi juuri se vaihtoehto?)
Napsauta laajentaaksesi...

user9999 sanoi:
pfBlockerNG blokkaa NordVPN Suomen palvelimet :eek:

Zzg17Be.png


Edit: Tällä listalla tuo verkko 196.196.0.0/16
https://rules.emergingthreats.net/fwrules/emerging-Block-IPs.txt
https://www.spamhaus.org/query/ip/196.196.201.221
Napsauta laajentaaksesi...

NordVPN confirms it was hacked – TechCrunch
 
Mitä purkkia suosittelisitte mulle kun tilanne on seuraava:

2kpl HP Proliant DL380 -palvelinta (kolmas tulossa ensi kuussa), VMware esxi:t + vCenter.
Nyt pfsense on virtuaalikoneena yhdessä hostissa mutta se ei liene järkevää, kun esim päivityksen aikana pitää olla virtuaalikoneet alhaalla ym.
Nyt OpenVPN-käyttäjiä voi olla max 4-5kpl yhtaikaa ja se toimii todella hyvin, ei tunnu rajoittavan kaistaa yhtään (töissä 100/100 valokuitu).

Täällä on suositeltu Fitlet2:ta, missä prosuvaihtoehtoina X7-E3950, X5-E3930 ja Celeron J3455, jälkimmäinen ilmesesti tähän paras?
Pari sivua taaksepäin oli juttua, että kyseinen fitlet2, ei välttämättä pysty suoriutumaan OpenVPN 100/100 yhteydestä täysin.

Onko jotain muita ehdotuksia, etten vaihtaisi huonompaan/hitaampaan ratkaisuun?
 
Seimari sanoi:
Mitä purkkia suosittelisitte mulle kun tilanne on seuraava:

2kpl HP Proliant DL380 -palvelinta (kolmas tulossa ensi kuussa), VMware esxi:t + vCenter.
Nyt pfsense on virtuaalikoneena yhdessä hostissa mutta se ei liene järkevää, kun esim päivityksen aikana pitää olla virtuaalikoneet alhaalla ym.
Nyt OpenVPN-käyttäjiä voi olla max 4-5kpl yhtaikaa ja se toimii todella hyvin, ei tunnu rajoittavan kaistaa yhtään (töissä 100/100 valokuitu).

Täällä on suositeltu Fitlet2:ta, missä prosuvaihtoehtoina X7-E3950, X5-E3930 ja Celeron J3455, jälkimmäinen ilmesesti tähän paras?
Pari sivua taaksepäin oli juttua, että kyseinen fitlet2, ei välttämättä pysty suoriutumaan OpenVPN 100/100 yhteydestä täysin.

Onko jotain muita ehdotuksia, etten vaihtaisi huonompaan/hitaampaan ratkaisuun?
Napsauta laajentaaksesi...

Ehdotus 1: osta Fitlet2 tai vastaava, esim. Teklagerin APU4, tai joku tuollainen. APU2:sta ja OpenVPN 1000Mbit/s on ollut aiemmin juttua, mutta se on bunkattu ja testattu (toimii 100 / 100 yhteydellä mainiosti, niin että sisäverkko on gigainen:
APU2 - VPN Performance
APU2 1Gbit throughput on pfSense (configuration instructions)
Ehdotus 2: tee pfSensestä noille kolmelle hostille HA, eli kaksi saa olla samaan aikaan alhaalla, niin silti verkko rokkaa.
 
Khauron sanoi:
Ehdotus 1: osta Fitlet2 tai vastaava, esim. Teklagerin APU4, tai joku tuollainen. APU2:sta ja OpenVPN 1000Mbit/s on ollut aiemmin juttua, mutta se on bunkattu ja testattu (toimii 100 / 100 yhteydellä mainiosti, niin että sisäverkko on gigainen:
APU2 - VPN Performance
APU2 1Gbit throughput on pfSense (configuration instructions)
Ehdotus 2: tee pfSensestä noille kolmelle hostille HA, eli kaksi saa olla samaan aikaan alhaalla, niin silti verkko rokkaa.
Napsauta laajentaaksesi...

Olisiko Netgate SG-5100 (4GB, 4x GbE RJ45 Intel SoC Integrated MAC, 2 x GbE RJ45 Intel i210) parempi/tehokkaampi kuin APU2D4 (4GB, i210AT) tai Fitlet2 (4 tai 8GB, i211)?
 
Seimari sanoi:
Olisiko Netgate SG-5100 (4GB, 4x GbE RJ45 Intel SoC Integrated MAC, 2 x GbE RJ45 Intel i210) parempi/tehokkaampi kuin APU2D4 (4GB, i210AT) tai Fitlet2 (4 tai 8GB, i211)?
Napsauta laajentaaksesi...

Nyt on kyllä paha.
Intel i210 on kyllä kova kortti, mm. tuossa APU2D4:ssa. JA APU2D4 taitaa olla halvempi kuin Fitlet2(?).
Netgaten kun ostaa, niin saa oikein "virallisen" ja lisensoidun pfSensen. Samahan se on, mutta voipahan brassailla.

Paljon sulla on verkossa koneita, ja paljon on pahimmillaan samanaikaisia OpenVPN-käyttäjiä? Kaista on 100/100 kuitu? Noiden hinnat kun vielä jaksat kaivaa, niin voidaan valita siitä sitten paras ;)
 
Khauron sanoi:
Nyt on kyllä paha.
Intel i210 on kyllä kova kortti, mm. tuossa APU2D4:ssa. JA APU2D4 taitaa olla halvempi kuin Fitlet2(?).
Netgaten kun ostaa, niin saa oikein "virallisen" ja lisensoidun pfSensen. Samahan se on, mutta voipahan brassailla.

Paljon sulla on verkossa koneita, ja paljon on pahimmillaan samanaikaisia OpenVPN-käyttäjiä? Kaista on 100/100 kuitu? Noiden hinnat kun vielä jaksat kaivaa, niin voidaan valita siitä sitten paras ;)
Napsauta laajentaaksesi...

Verkossa on noin 30 tietokonetta (joista noin 16 toimiston koneita, aktiivisessa käytössä ja noin 14 yleiskoneita/työaikaleimaus koneita).
100/100 DNA kuitu ja tällä hetkellä maksimissaan 5 käyttäjällä on yhtaikaa OpenVPN auki. (Voin harkita WireGuardia ym. vaihtoehtoja)
Tarkoitus on käyttää pfsensessä mainosten blokkaajaa pfBlockerNG tjs ja buffer bloatin hillitsijää, CodelQ tai vastaavaa.

Verkkokauppojen hinnat (alv 0%, ilman posteja):
APU2D4 2065SEK=192,4€
Fitlet2 4GB, 16GB, 4xGbit $256=230,1€
Fitlet2 8GB, 32GB, 4xGbit $295,6=265,7€
Netgate SG-5100 4GB, 8GB $699=628,2€
 
Netgaten laitteet on aika ylihintaisia, mutta sisältävät tosiaan hieman kustomoidun version pfSensestä, joka on Netgaten itse optimoima kyseiselle raudalle. Ainakin SG-5100 pitäisi hyvinkin jaksaa pyörittää OpenVPN, ennen julkaisua Netgaten benchmarkit oli 300Mbps+ OpenVPN:llä: SG-5100 Desktop Available for Pre-order


Suosittelen myös palomuurin kahdennusta, varsinkin jos työpaikan palomuurista on kyse. Sitten ei menisi koko firman verkko alas palomuurin lahottua tai pfSenseä päivittäessä. pfSensen HA:ssa pitää tosin ottaa huomioon, että se taitaa yhä vaatia 3 julkiverkon osoitetta (yksi kummallekin palomuurille ja yksi jaettu).
 
Onkohan PFsensessä jotain helppoa tapaa toteuttaa seuraavanlainen homma:

Mikäli yhteys internettiin katkeaa(ajoittain ping toteamiseen?), reititin tekee automaattisesti puhtaan DHCP kyselyn (ei renew) ja jatkaa tämän yrittämistä niin kauan kunnes osoite saatu ja internet toimii jälleen. Tämä siinäkin tapauksessa että olevassa DHCP leasingissä olisi aikaa jäljellä.
 
Sulava sanoi:
Netgaten laitteet on aika ylihintaisia, mutta sisältävät tosiaan hieman kustomoidun version pfSensestä, joka on Netgaten itse optimoima kyseiselle raudalle. Ainakin SG-5100 pitäisi hyvinkin jaksaa pyörittää OpenVPN, ennen julkaisua Netgaten benchmarkit oli 300Mbps+ OpenVPN:llä: SG-5100 Desktop Available for Pre-order


Suosittelen myös palomuurin kahdennusta, varsinkin jos työpaikan palomuurista on kyse. Sitten ei menisi koko firman verkko alas palomuurin lahottua tai pfSenseä päivittäessä. pfSensen HA:ssa pitää tosin ottaa huomioon, että se taitaa yhä vaatia 3 julkiverkon osoitetta (yksi kummallekin palomuurille ja yksi jaettu).
Napsauta laajentaaksesi...
Itsellä olisi juuri tuo palomuurin kahdennus projektina edessä, ja meneekö tuo tosiaan noin että HA-systeemi vatii kolme julkista ip:tä. Itse olen ymmärtänyt että julkisia ip-osoitteita vaaditaan kummallekkin palomuurille omansa kuten normaalisti sekä yksi sisäverkon virtuaalinen ip jonka kautta ilmeisesti tuo failover toimii. Käytössä tosiaan siis pfSense. Onko sulla tuosta tarkempaa kokemusta?
 
Ei kait se julkiverkosta 3 ip:tä vaadi, lani puolelta kyllä, virtuaali ip määritellään laitteiden gatewayksi. Toimintatapahan on samanlainen kuin Ciscon HSRP ja VRRP.
 
Kyllä suositeltu tapa on käyttää kolmea julkista osoitetta.

Nykyään on toki mahdollista käyttää privaatiosoitteita palomuureilla ja jaettuna osoitteena julkiverkon osoitetta. Muistaakseni aikaisemmin tuollainen konfiguraatio toi mukanaan ongelmia, esimerkiksi toisen muurin internetyhteys vaati jotain säätöä, että toimi muurin ollessa slavena. Ehkä slavemuurille voisi laittaa masterin osoitteen toiseksi gatewayksi, jolloin liikenne kulkisi slavena ollessa masterin kautta. En ole itse koskaan testannut tuollaista konfiguraatiota, koska omassa asennuksessa oli /29-linkkiverkko käytettävissä.

Lisää voi lueskella täältä: High Availability | pfSense Documentation

A High Availability cluster using CARP needs three IP addresses in each subnet along with a separate unused subnet for the Sync interface. For WANs, this means that a /29 subnet or larger is required for an optimal configuration. One IP address is used by each node, plus a shared CARP VIP address for failover. The synchronization interface only requires one IP address per node.

It is technically possible to configure an interface with a CARP VIP as the only IP address in a given subnet, but it is not generally recommended. When used on a WAN, this type of configuration will only allow communication from the primary node to the WAN, which greatly complicates tasks such as updates, package installations, gateway monitoring, or anything that requires external connectivity from the secondary node. It can be a better fit for an internal interface, however internal interfaces do not typically suffer from the same IP address limitations as a WAN, so it is still preferable to configure IP addresses on all nodes.
 
Viimeksi muokattu:
dataaja95 sanoi:
Rupesimpa tässä konffaamaan pfsenseen sertifikaattipohjaista autentikointia freeradiukseen. CA, server sekä käyttäjäsertit on luotu mutta koneet pystyvät silti yhdistämään langattomaan verkkoon ilman sertejä. Missäköhän voisi olla vika. Freeradiuksen eap välilehdeltä on muutettu seuraavat asetukset.
Disable Weak EAP Types, käytössää
Default EAP Type: TLS
Check Cert Issuer: käytössä
Check Client Certificate CA: käytössä
Käyttäjäsertit ovat samalla nimellää tehty mikä on laitteiden käyttäjänimi freeradiuksessa.
Napsauta laajentaaksesi...
Löytyisiköhän tähän keneltäkään ratkaisua? Vieläkin sama tilanne eli koneet pystyvät yhdistämään verkkoon pelkällä käyttäjätunnuksella ja salasanalla sekä valitsemalla että käyttäjäsertiä ei vaadita debianin verkonyhdistämisikkunassa. Freeradius siis kuitenkin käytössä ja mikrotikin tukiasema sitä käyttää.
 
Kirjaudu tai rekisteröidy kirjoittaaksesi tänne.

Uutiset

Uutisia lyhyesti

Uusimmat viestit

Statistiikka

Viestiketjuista
257 549
Viestejä
4 476 629
Jäsenet
73 955
Uusin jäsen
Laiska007

Hinta.fi

Back
Ylös Bottom