Tee-se-itse: Rautapalomuurit (pfSense, Sophos UTM..) (Mitä käytätte ja miksi juuri se vaihtoehto?)

Ja VPN on poissuljettu, koska?
Itse tein joskus testimielessä täysin toimivan setupin Squidillä. En saanut HAproxyä koskaan toimimaan halutulla tavalla. Katson, jos löydän bookmarkin jostain.
 
Oletteko törmänneet hyvään step-by-step tutoriaaliin, kuinka viritellä reverse-proxy pfsenseen?
Pitäisi saada mahdollisimman "turvallinen" pääsy sisäverkon NASsiin ja siinä pyöriviin dockereihin. (mm. nextcloud ja homeassistant)

Reverse proxy on ymmärtääkseni VPN yhteyden jälkeen turvallisin vaihtoehto?

Tää vois sopia sulle:


Toinen vaihtoehto:
 
Ja VPN on poissuljettu, koska?
Itse tein joskus testimielessä täysin toimivan setupin Squidillä. En saanut HAproxyä koskaan toimimaan halutulla tavalla. Katson, jos löydän bookmarkin jostain.

VPN on jo conffattuna. Reverse proxy vaivattomampi käyttää, erityisesti talouden hameväen näkökulmasta. Clientin ei myöskään tarvitse tukea OVPN:ää.
 
Viimeksi muokattu:
Tilanne, opnsense ja Chromecast boxi (xiaomi mi box s). Kaksi vlania lan ja iot, laitteet lanissa ei saa castattua chromecastille iot verkkoon. Asensin tuon mdns pluginin ja enabloin oikeat interfacet siitä.
 
Tilanne, opnsense ja Chromecast boxi (xiaomi mi box s). Kaksi vlania lan ja iot, laitteet lanissa ei saa castattua chromecastille iot verkkoon. Asensin tuon mdns pluginin ja enabloin oikeat interfacet siitä.

Vaatiikos mdns portin 5353 auki?
 
Käsitin ettei tarvitse. Täytyy vielä testata.
Tuo mdns ei ilmeisesti toimi muillakaan mutta plugin udp broadcast relayllä pitäisi toimi, vaan ei silläkään.
 
Toimii se ilman 5353 avausta tällä ohjeella. En vaan ymmärrä miksei se heti toiminut edes buutin jälkeen. Olin puoli tuntia poissa ni laite löytyi kun tulin kotia.

Eli sinne broadcast relayhin vaan yksi uusi portti näillä asetuksilla:
mDNS (Chromecast/Apple Bonjour) : Port = 5353, Multicast Address = 224.0.0.251, Source = 1.1.1.1

Ja toki oikeat interfacet valitsin.
Edit: olohuoneen töllö samaan vlaniin, eipähän tulekaan näkyviin.
Kokeilin sitä 5353 portin avaustakin muttei auttanut.
 
Viimeksi muokattu:
Ei ollut apua tuosta, itse asiassa hävisi se toimivakin miboxin yhteys.
Availin muurista ipv6nkin mutta ei apua.
Kai ne on vaan laitettava samaan vlaniin..

Edit: asensin igmp proxy pluginin ja upstream tuohon iot vlaniin ja nyt myös sonyn android tv castaus pelaa. Buutin jälkeen myös mibox joka vaatii sen broadcast relayn. Eroa tässä on että sonyssä android 8 ja miboxissa android9. Muuri avauksia ei ole erikseen.
 
Viimeksi muokattu:
Oletteko testanneet OpenVPN nopeuksia pfSensellä ja jos olette niin mihin nopeuksiin olette päässeet?

Testailin omaa palomuuria ja n.630Mbps on paras keskiarvo mihin olen päässyt, siitä ei tunnu pääsevän yli vaikka muuttaa serverin asetuksia. Prossun käyttö jää n.30%, mutta oliko niin, että OpenVPN käyttää vain yhtä ydintä/serveri jolloin tuo prossu rajoittaa suorituskykyä vaikka ei olekaan 100% käytössä?
 
Oletteko testanneet OpenVPN nopeuksia pfSensellä ja jos olette niin mihin nopeuksiin olette päässeet?

Testailin omaa palomuuria ja n.630Mbps on paras keskiarvo mihin olen päässyt, siitä ei tunnu pääsevän yli vaikka muuttaa serverin asetuksia. Prossun käyttö jää n.30%, mutta oliko niin, että OpenVPN käyttää vain yhtä ydintä/serveri jolloin tuo prossu rajoittaa suorituskykyä vaikka ei olekaan 100% käytössä?
OpenVPN:
leqlM5c.jpg
Tuo prossun ydin juttu siinä rajoittaa suorituskykyä.
IPsec on huomattavasti nopeampi.

IPsec:
iperf.png
 
OpenVPN:
leqlM5c.jpg
Tuo prossun ydin juttu siinä rajoittaa suorituskykyä.
IPsec on huomattavasti nopeampi.

IPsec:
iperf.png
Niin tuo näyttää olevan. Vaikuttaa sekavalta tuo IPsec käyttöönotto, vaatii enemmän perehtymistä kuin tuo OpenVPN.
Mikä laite sinulla on tuossa palomuurina?
 
Niin tuo näyttää olevan. Vaikuttaa sekavalta tuo IPsec käyttöönotto, vaatii enemmän perehtymistä kuin tuo OpenVPN.
Mikä laite sinulla on tuossa palomuurina?
Laitteena Shuttle Global - DS77U SERIES eli tuo Celeron® 3865U.

Mulla on Apple laitteet niin tein seuraavalla ohjeella tuon IPsecin ja "VPN on Demand" on käytössä. Eli kun lähden kodin langattomasta verkosta pois niin VPN yhteys menee automaattisesti päälle. VPN yhteys katkeaa automaattisesti kun laitteet liittyvät kodin langattomaan verkkoon.
Seuraavat muutokset tein vielä eli alla olevasta linkistä tuo "Scaling IPsec".
Apple ei tue tuota "AES-XCBC for the hash"

Edit: Yksi hyvä etu tuossa IPsecissä on Applen laitteissa eli laitteet/käyttikset tukee suoraan tuota IPseciä. Ei tarvi asentaa mitään client ohjelmaa.
 
Viimeksi muokattu:
Laitteena Shuttle Global - DS77U SERIES eli tuo Celeron® 3865U.

Mulla on Apple laitteet niin tein seuraavalla ohjeella tuon IPsecin ja "VPN on Demand" on käytössä. Eli kun lähden kodin langattomasta verkosta pois niin VPN yhteys menee automaattisesti päälle. VPN yhteys katkeaa automaattisesti kun laitteet liittyvät kodin langattomaan verkkoon.
Seuraavat muutokset tein vielä eli alla olevasta linkistä tuo "Scaling IPsec".
Apple ei tue tuota "AES-XCBC for the hash"

Edit: Yksi hyvä etu tuossa IPsecissä on Applen laitteissa eli laitteet/käyttikset tukee suoraan tuota IPseciä. Ei tarvi asentaa mitään client ohjelmaa.
Harmi vain että tuon konffaamiseen tarvitaan macOS-koneen/VM:n.
 
Käyttääkö joku pfsenseä/opnsenseä myös kytkimenä? Onko millaisia kokemuksia ja taipuiko moiseen helposti? Olisi tarkoitus laittaa neliporttinen kortti kiinni ja kaikki portit samaan verkkoon. Ajatus on korvata nykyinen openwrt:llä pyörivä zyxelin wifireititin jollain reititinratkaisulla ja access pointilla.
 
Käyttääkö joku pfsenseä/opnsenseä myös kytkimenä? Onko millaisia kokemuksia ja taipuiko moiseen helposti? Olisi tarkoitus laittaa neliporttinen kortti kiinni ja kaikki portit samaan verkkoon. Ajatus on korvata nykyinen openwrt:llä pyörivä zyxelin wifireititin jollain reititinratkaisulla ja access pointilla.
Itse pelaisin varman päälle ja hankkisin erillisen kytkimen pfSensen perään.

Esim tämäkin ajaa asiansa kotiolosuhteissa:

Tuon perään PoE injektori ja siihen tukari.
 
Olikos täällä Qotomin laitteiden omistajia? 355G4 koneen saisi i5 5200U prosessorilla, 8 Gb ramilla ja 64 Gb SSD:llä 219e hintaan + mahdolliset tullit. Vaikuttaa aika hyvältä laitteelta tuohon hintaan, vai olisiko jotain parempaa? APU2 ei oikein houkuta kun niissä on niin onneton VPN suorituskyky ja onhan ne ikivanhojakin nykyään jo.
 
Olikos täällä Qotomin laitteiden omistajia? 355G4 koneen saisi i5 5200U prosessorilla, 8 Gb ramilla ja 64 Gb SSD:llä 219e hintaan + mahdolliset tullit. Vaikuttaa aika hyvältä laitteelta tuohon hintaan, vai olisiko jotain parempaa? APU2 ei oikein houkuta kun niissä on niin onneton VPN suorituskyky ja onhan ne ikivanhojakin nykyään jo.
Minulla on kohta 3 vuotta ollut tuollainen käytössä, i5 5250U prossu tosin. Ostin pelkän rungon ilman muistia, ssd:tä tai wifiä. Ei mitään ongelmia ole ollut (nyt se varmaan hajoaa...)
 
Pärjääkö pfBlockerin kanssa noilla listoilla, mitkä löytyy feedistä, vai onko jotain muita hyviä listoja mitä kannattaisi lisäillä?
 
Pärjääkö pfBlockerin kanssa noilla listoilla, mitkä löytyy feedistä, vai onko jotain muita hyviä listoja mitä kannattaisi lisäillä?
Pärjää. Itse lisäsin vielä tämän:


Kyseessä on kokoelma eri estolistoja. Tässä on tarkempaa infoa mistä tuo koostuu:

 
Pärjää. Itse lisäsin vielä tämän:


Kyseessä on kokoelma eri estolistoja. Tässä on tarkempaa infoa mistä tuo koostuu:

OK, kiitoksia vastauksesta. Täytyypä tutustua tähän listaan.
 
Laitetaan nyt tänne jos joku joskus tarvitsee Applen laitteisiin.
Eli mulla on pfSensessä FreeRadius palvelin ja wifissä EAP-TLS eli sertifikaateilla autentikoidaan. Tuli hommattua Apple Watch Series 6 älykello niin tarpeena oli liittää tuo tuohon samaan langattomaan verkkoon. Tuo Apple Watch Series 6 tukee nyt uutena ominaisuutena 5GHz langatonta verkkoa.

Tuo olikin yllättävän helppo, koska mulla oli valmis Apple Configuration profiili eli sama mikä toimii Mac, iPhone, iPad jne. laitteissa.
IPhonessa tuo profiili on jo käytössä, mutta piti AirDropilla tiputtaa se uudestaan (Mac --> iPhone). Tuo sen takia, että profiilin pystyy asentamaan kelloon näin jälkeenpäin.
apple-watch-os5.png

Tuosta kuvasta piti valita Apple Watch niin se asentuu kelloon. Tuo kuva on vanhasta iOS versiosta, kun siitä puuttuu molempiin valinta.

No profiili ilmestyi kelloon ja EAP-TLS wifi toimii.
IMG_0162.PNG

Mulla on AP:ssa Mac filter käytössä niin iOS 14, iPadOS 14 ja watchOS 7 on tullut muutoksia tuohon.

Edit: Lisätietoa noista EAP tyypeistä
 
Viimeksi muokattu:
Dumppasin Ubiquitin reitittimen pois muutama päivä sitten kun meni hermo Ubiquitin tapaan julkaista stable -statuksella aivan luokatonta beta -tason controlleri softaa ja lisäksi en pitänyt siitä, että controlleri ei tarjoa riittävää tietoa siitä mitä verkossa oikeasti tapahtuu.

Kaivoin kaapista vanhan J1900 celeron rouskun (2,4Ghz 4c/4t), 8Gb muistia ja 240Gt SSD ja pistin siihen Sophos XG ilmaisversion. Tuo on siis sama softa mitä Sophos käyttää rautamuureissaan mutta kotikäyttäjille täysin ilmainen.

Tuo jaksaa pyörittää gigabitin nettiyhteyttä erinomaisesti virustorjunta ja webfiltteröinti päällä, kunhan ei yritä IPS:ää laittaa päälle. IPS rajoittaa nopeuden noin 250 megaan. Myöskään SSL purkua en ole jaksanut lähteä virittelemään päälle siihen liittyvien monien haasteiden ja haittojen vuoksi.

Toistaiseksi ei mitään huonoa sanottavaa, kaikki kokeilemani asiat on toiminut ja Sophoksen logit ja raportit on erittäin kattavia. Ubiquitin controlleri ei tarjonnut edes palomuurilogia tai statistiikkaa nettisivujen käytöstä.

Kokeilin myös pikaisesti pfSenseä ja IPFireä mutta niiden käyttöliittymä ei mielestäni pärjännyt selkeydessään Sophokselle.
 
Dumppasin Ubiquitin reitittimen pois muutama päivä sitten kun meni hermo Ubiquitin tapaan julkaista stable -statuksella aivan luokatonta beta -tason controlleri softaa ja lisäksi en pitänyt siitä, että controlleri ei tarjoa riittävää tietoa siitä mitä verkossa oikeasti tapahtuu.

Kaivoin kaapista vanhan J1900 celeron rouskun (2,4Ghz 4c/4t), 8Gb muistia ja 240Gt SSD ja pistin siihen Sophos XG ilmaisversion. Tuo on siis sama softa mitä Sophos käyttää rautamuureissaan mutta kotikäyttäjille täysin ilmainen.

Tuo jaksaa pyörittää gigabitin nettiyhteyttä erinomaisesti virustorjunta ja webfiltteröinti päällä, kunhan ei yritä IPS:ää laittaa päälle. IPS rajoittaa nopeuden noin 250 megaan. Myöskään SSL purkua en ole jaksanut lähteä virittelemään päälle siihen liittyvien monien haasteiden ja haittojen vuoksi.

Toistaiseksi ei mitään huonoa sanottavaa, kaikki kokeilemani asiat on toiminut ja Sophoksen logit ja raportit on erittäin kattavia. Ubiquitin controlleri ei tarjonnut edes palomuurilogia tai statistiikkaa nettisivujen käytöstä.

Kokeilin myös pikaisesti pfSenseä ja IPFireä mutta niiden käyttöliittymä ei mielestäni pärjännyt selkeydessään Sophokselle.

Itse taas en välittäny Sophoksen käyttöliittymästä sen takia kun siinä tuntui olevan kaiken maailman alavalikoiden ja nappuloiden takana piilossa paljon tärkeitä juttuja. Toki tästä seuraa puhtaampi ja selkeämmän näköinen käyttöliittymä mutta vaikeampi sillä mielestäni oli tehdä haastavampia juttuja. pfSense sylkee kaiken informaation kerralla naamalle, eipä siitä välttämättä kaikki tykkää. Sophos oli muuten hyvä kunnes tajusin että mainosten estolistat eivät olleet julkisia eikä ne toiminut läheskään niin hyvin kun pfSensessä. Eikä voinut lisätä omia listoja.
 
Sophos oli muuten hyvä kunnes tajusin että mainosten estolistat eivät olleet julkisia eikä ne toiminut läheskään niin hyvin kun pfSensessä. Eikä voinut lisätä omia listoja.

Sophos taitaa tuottaa kaikki webfiltterinsä listat itse, eikä pidä niitä julkisina. Ihan mielenkiinnosta kysyn että miksi listan pitäisi olla julkinen? Itse käytän selaimessa adblockeria ja Sophos saa suodattaa muun haitallisen materiaalin.
 
Sophos taitaa tuottaa kaikki webfiltterinsä listat itse, eikä pidä niitä julkisina. Ihan mielenkiinnosta kysyn että miksi listan pitäisi olla julkinen? Itse käytän selaimessa adblockeria ja Sophos saa suodattaa muun haitallisen materiaalin.

Ihan pelkästään ideologisista syistä, avoimien listojen kanssa voin varmasti tietää mitä siellä verkossa tapahtuu ja ettei kukaan taho esimerkiksi voi ostaa omia domainejaan pois noilta listoilta. Avoimet listat pysyy oletettavasti ajan tasalla myös paljon paremmin.
 
Itseäni ei kiinnosta mainosten esto, koska se aiheuttaa joskus ongelmia joidenkin palveluiden kanssa. Itse olisin tyytyväinen juurikin siihen, että kaikki haittakikkareet pitäisi saada suodatettua pois pfsensellä. Olen tässä odotellut, josko escalibur kerkeäisi tehdä ne ns. päivitetyt ohjeet siihen.
Ei ole vielä näkynyt.. ;)
 
DNS:ksi 1.1.1.2 ja 1.0.0.2 blokkailee jo nykyään ihan mukavasti haittapaskeita.
9.9.9.9 taisi olla myös, mutta on eri palveluntarjoaja mitä tuo 1.1.1.1:n CloudFlare.
 
Itseäni ei kiinnosta mainosten esto, koska se aiheuttaa joskus ongelmia joidenkin palveluiden kanssa. Itse olisin tyytyväinen juurikin siihen, että kaikki haittakikkareet pitäisi saada suodatettua pois pfsensellä. Olen tässä odotellut, josko escalibur kerkeäisi tehdä ne ns. päivitetyt ohjeet siihen.
Ei ole vielä näkynyt.. ;)
Yritetään, yritetään... :)

Eräs YouTube-kanava on viennyt lähes kaiken "vapaa-ajan". :whistling:
 
Minkähänlaista viritystä tässä kannattaisi alkaa suunnittelemaan, tilanne seuraava:

pfsense pyörii nyt HPn SFF "business" koneella.
Haitat:
- Syö paljon sähkö
- Koko
- hallinta tietyissä tilanteissa

Nyt tuo teki niin että etäbuutissa yhteys PFsenseen ei palautunutkaan. No ei muuta kuin raahaamaan monitori tuon luokse ja kone ilmoittaa bootissa "no PSU fan detected". Virtalähteen tuuletin kyllä pyörii joten lienee sensorivika. F1 virheen saa ohitettua ja laite jatkaa boottia, mutta tuo nyt aihettaa sen että sitä pitäisi olla painamassa aina paikallisesti. Tuo kone on muutenkin jo aika iäkäs joten liene tarpeen miettiä systeemin uusimista.

Mitähän tuohon kannattaisi tilalle miettiä? Tuo on toiminut VPN gatewayna.

Mielellään:
- Kompakti koko
- Vähän sähköä vievä
- vähintään 4x1G ETH
- VPN suorituskyky ~~100Mbps (openVPN)

Plussa räkkiasennettavuudesta.

Kattelin että tuollainen virallinen Netgate laite olisi päheä mutta hinnassa taitaa aikapaljon "merkkilisää" olla tai ainakin vaikuttavat hieman hintavilta.
 
Minkähänlaista viritystä tässä kannattaisi alkaa suunnittelemaan, tilanne seuraava:

pfsense pyörii nyt HPn SFF "business" koneella.
Haitat:
- Syö paljon sähkö
- Koko
- hallinta tietyissä tilanteissa

Nyt tuo teki niin että etäbuutissa yhteys PFsenseen ei palautunutkaan. No ei muuta kuin raahaamaan monitori tuon luokse ja kone ilmoittaa bootissa "no PSU fan detected". Virtalähteen tuuletin kyllä pyörii joten lienee sensorivika. F1 virheen saa ohitettua ja laite jatkaa boottia, mutta tuo nyt aihettaa sen että sitä pitäisi olla painamassa aina paikallisesti. Tuo kone on muutenkin jo aika iäkäs joten liene tarpeen miettiä systeemin uusimista.

Mitähän tuohon kannattaisi tilalle miettiä? Tuo on toiminut VPN gatewayna.

Mielellään:
- Kompakti koko
- Vähän sähköä vievä
- vähintään 4x1G ETH
- VPN suorituskyky ~~100Mbps (openVPN)

Plussa räkkiasennettavuudesta.

Kattelin että tuollainen virallinen Netgate laite olisi päheä mutta hinnassa taitaa aikapaljon "merkkilisää" olla tai ainakin vaikuttavat hieman hintavilta.
Shuttle DS10U ittellä, siihen joku kytkin perään, on toiminut kuin junan vessa.
 
Kytkimiä kyllä on. 4x1G pitää olla jokainen L3 interface.

Aliexpressistä esim. tällänen: US $200.21 35% OFF|Fanless Mini Pc Intel Core i5 8265U Celeron 6 LAN 211at Gigabit Ethernet 2*Usb 3.0 HDMI RS232 Firewall Router PFsense Minipc|Mini PC| - AliExpress

Tehoista ja virrankulutuksesta en osaa sanoa mitään, tuli vaan mieleen noi Aliexpressin firewall koneet joissa on integroituna useampi verkkoliitäntä. Ite oon haaveillu tollasesta minkä linkkasin, niin sekin vielä innosti ehdottamaan tuota :).

Lisää vastaavia: firewall pc – Buy firewall pc with free shipping on AliExpress version
 
Miten näiden "normi koneiden" tai lähinnä niiden verkkokorttien kanssa. Onnistuuko VLAN trunkin tekeminen pfsensestä ihan mihin tahansa verkkokorttiin vai vaatiiko se jotain erityistä tukea raudalta?
 
Miten näiden "normi koneiden" tai lähinnä niiden verkkokorttien kanssa. Onnistuuko VLAN trunkin tekeminen pfsensestä ihan mihin tahansa verkkokorttiin vai vaatiiko se jotain erityistä tukea raudalta?
Käsittääkseni verkkokortin täytyy sitä tukea ja Intel pohjaisia verkkokortteja kannattaa suosia. Omassa koneessa on yksi Realtek verkkokortti ja se ei ihan täysin toimi pfsensen kanssa, mutta asetuksia muuttamalla on kuitenkin käyttökelpoinen. Vlan ei ole kuitenkaan omassa verkossa käytössä vaan aliverkoille on omat verkkokortit.
 
Miten näiden "normi koneiden" tai lähinnä niiden verkkokorttien kanssa. Onnistuuko VLAN trunkin tekeminen pfsensestä ihan mihin tahansa verkkokorttiin vai vaatiiko se jotain erityistä tukea raudalta?
VLAN-tuki raudassa on melko ubiikki ominaisuus. Varmaan lähes kaikissa Intelin controllereissa ainakin, jotka ovat ikänsä puolesta järkeviä valintoja. Itse olen lähinnä ollut IEEE 1588:n ja virtualisointituen (SR-IOV ja VMDq) perään. Tarkista speksit ark.intel.com:sta.
Realtekin ja muut skippaisin välittömästi, kun luotettavaa systeemiä ollaan rakentamassa.
 
Mitä rautaa kannattaisi katsella mahdollisen 1000/1000-kuituliittymän perään? Nykyinen APU4C4 ei ilmeisesti riitä PFSensen kanssa ajettavaksi, mahtaako Fitlet2 edes riittää noille nopeuksille?
 
Mitä rautaa kannattaisi katsella mahdollisen 1000/1000-kuituliittymän perään? Nykyinen APU4C4 ei ilmeisesti riitä PFSensen kanssa ajettavaksi, mahtaako Fitlet2 edes riittää noille nopeuksille?
Fitlet 2 J3455-prosessorilla toiminut mallikkaasti 1000/100 Mbit/s kuituyhteyden perässä.
 
Mitä rautaa kannattaisi katsella mahdollisen 1000/1000-kuituliittymän perään? Nykyinen APU4C4 ei ilmeisesti riitä PFSensen kanssa ajettavaksi, mahtaako Fitlet2 edes riittää noille nopeuksille?
Ennen kuin lähdet ostamaan yhtään mitään, kannattaa kuitenkin kokeilla riittäisikö nykyinen rauta omiin tarpeisiin. Giganen yhteys kun on aika subjektiivinen asia, riippuen siitä mitä kyseisellä yhteydellä tehdään. :)
 

Statistiikka

Viestiketjuista
262 487
Viestejä
4 558 258
Jäsenet
74 973
Uusin jäsen
Internaut

Hinta.fi

Back
Ylös Bottom