VPN on jo conffattuna. Reverse proxy vaivattomampi käyttää, erityisesti talouden hameväen näkökulmasta. Clientin ei myöskään tarvitse tukea OVPN:ää.
Vaatiikos mdns portin 5353 auki?
Olisiko tässä mitään apuja: Fortinet Knowledge Base - View Document
OpenVPN:
Niin tuo näyttää olevan. Vaikuttaa sekavalta tuo IPsec käyttöönotto, vaatii enemmän perehtymistä kuin tuo OpenVPN.OpenVPN:
Tuo prossun ydin juttu siinä rajoittaa suorituskykyä.
IPsec on huomattavasti nopeampi.
IPsec:
Laitteena Shuttle Global - DS77U SERIES eli tuo Celeron® 3865U.
grokdesigns.com
Harmi vain että tuon konffaamiseen tarvitaan macOS-koneen/VM:n.Laitteena Shuttle Global - DS77U SERIES eli tuo Celeron® 3865U.
Mulla on Apple laitteet niin tein seuraavalla ohjeella tuon IPsecin ja "VPN on Demand" on käytössä. Eli kun lähden kodin langattomasta verkosta pois niin VPN yhteys menee automaattisesti päälle. VPN yhteys katkeaa automaattisesti kun laitteet liittyvät kodin langattomaan verkkoon.
Seuraavat muutokset tein vielä eli alla olevasta linkistä tuo "Scaling IPsec".pfSense IKEv2 for iOS/macOS – Part 1
In this article, we’ll configure the certificates necessary to set up an IKEv2 VPN in pfSense. Articles in This Series: Part 1 (Current Article) Part 2 – VPN Configuration Part 3 –…
Apple ei tue tuota "AES-XCBC for the hash"Virtual Private Networks — VPN Scaling | pfSense Documentation
docs.netgate.com
VPN.IKEv2.IKESecurityAssociationParameters | Apple Developer Documentation
The dictionary that contains security association parameters.developer.apple.com
Edit: Yksi hyvä etu tuossa IPsecissä on Applen laitteissa eli laitteet/käyttikset tukee suoraan tuota IPseciä. Ei tarvi asentaa mitään client ohjelmaa.
Itse pelaisin varman päälle ja hankkisin erillisen kytkimen pfSensen perään.
hinta.fi
Tai hallittava malli TP-LINK TL-SG105E -5-porttinen kytkin 24,90 niin saa paremmin segmentoitua.Itse pelaisin varman päälle ja hankkisin erillisen kytkimen pfSensen perään.
Esim tämäkin ajaa asiansa kotiolosuhteissa:
TP-LINK TL-SG105, halvin hinta 16€
Halvin hinta 16 € (22 € toimituskuluineen). Vertailussa 16 kauppaa. Ominaisuudet: Hallitsematon, Gigabit Ethernet (10/100/1000), 2000 entries, Gigabit Etherne..
Tuon perään PoE injektori ja siihen tukari.
No juu eipä tuo erillinen kytkin kyllä kauheesti sotkis ja tunkkaaminen jäänee vähemmälle.
Juurikin noin.
Samoin helpottuu vianselvitykset yms, kun tweakkaukset ovat minimissään.
Minulla on kohta 3 vuotta ollut tuollainen käytössä, i5 5250U prossu tosin. Ostin pelkän rungon ilman muistia, ssd:tä tai wifiä. Ei mitään ongelmia ole ollut (nyt se varmaan hajoaa...)
Pärjää. Itse lisäsin vielä tämän:
github.com
OK, kiitoksia vastauksesta. Täytyypä tutustua tähän listaan.Pärjää. Itse lisäsin vielä tämän:
Kyseessä on kokoelma eri estolistoja. Tässä on tarkempaa infoa mistä tuo koostuu:
GitHub - stamparm/maltrail: Malicious traffic detection system
Malicious traffic detection system. Contribute to stamparm/maltrail development by creating an account on GitHub.
github.com
www.intel.com
Nyt tyrkyttää jo versiota 2.2.5_36pfBlockerista on ilmestynyt uusi versio 2.2.5_35.
pfBlocker SANS/DShield feed fix. Issue #10930 · pfsense/FreeBSD-ports@4212278
FreeBSD ports tree with pfSense changes. Contribute to pfsense/FreeBSD-ports development by creating an account on GitHub.
. Ainakin itellä.
Näin on. Ei näkynyt mulla tuossa Status/Dashboard sivulla vaan piti käydä katsomassa Package Managerista.Nyt tyrkyttää jo versiota 2.2.5_36
github.com
Itse taas en välittäny Sophoksen käyttöliittymästä sen takia kun siinä tuntui olevan kaiken maailman alavalikoiden ja nappuloiden takana piilossa paljon tärkeitä juttuja. Toki tästä seuraa puhtaampi ja selkeämmän näköinen käyttöliittymä mutta vaikeampi sillä mielestäni oli tehdä haastavampia juttuja. pfSense sylkee kaiken informaation kerralla naamalle, eipä siitä välttämättä kaikki tykkää. Sophos oli muuten hyvä kunnes tajusin että mainosten estolistat eivät olleet julkisia eikä ne toiminut läheskään niin hyvin kun pfSensessä. Eikä voinut lisätä omia listoja.
Sophos taitaa tuottaa kaikki webfiltterinsä listat itse, eikä pidä niitä julkisina. Ihan mielenkiinnosta kysyn että miksi listan pitäisi olla julkinen? Itse käytän selaimessa adblockeria ja Sophos saa suodattaa muun haitallisen materiaalin.
Ihan pelkästään ideologisista syistä, avoimien listojen kanssa voin varmasti tietää mitä siellä verkossa tapahtuu ja ettei kukaan taho esimerkiksi voi ostaa omia domainejaan pois noilta listoilta. Avoimet listat pysyy oletettavasti ajan tasalla myös paljon paremmin.
Yritetään, yritetään...Itseäni ei kiinnosta mainosten esto, koska se aiheuttaa joskus ongelmia joidenkin palveluiden kanssa. Itse olisin tyytyväinen juurikin siihen, että kaikki haittakikkareet pitäisi saada suodatettua pois pfsensellä. Olen tässä odotellut, josko escalibur kerkeäisi tehdä ne ns. päivitetyt ohjeet siihen.
Ei ole vielä näkynyt..
Shuttle DS10U ittellä, siihen joku kytkin perään, on toiminut kuin junan vessa.
Kytkimiä kyllä on. 4x1G pitää olla jokainen L3 interface.
Aliexpressistä esim. tällänen: US $200.21 35% OFF|Fanless Mini Pc Intel Core i5 8265U Celeron 6 LAN 211at Gigabit Ethernet 2*Usb 3.0 HDMI RS232 Firewall Router PFsense Minipc|Mini PC| - AliExpress
.
Shuttle DS-sarja tai fitlet2 olisivat minunkin valinta.
Käsittääkseni verkkokortin täytyy sitä tukea ja Intel pohjaisia verkkokortteja kannattaa suosia. Omassa koneessa on yksi Realtek verkkokortti ja se ei ihan täysin toimi pfsensen kanssa, mutta asetuksia muuttamalla on kuitenkin käyttökelpoinen. Vlan ei ole kuitenkaan omassa verkossa käytössä vaan aliverkoille on omat verkkokortit.
VLAN-tuki raudassa on melko ubiikki ominaisuus. Varmaan lähes kaikissa Intelin controllereissa ainakin, jotka ovat ikänsä puolesta järkeviä valintoja. Itse olen lähinnä ollut IEEE 1588:n ja virtualisointituen (SR-IOV ja VMDq) perään. Tarkista speksit ark.intel.com:sta.
github.com
github.com
Noissa Netgaten omissa laitteissa on näköjään export työkalut ipsec Windows ja Apple profiileille.
Ärsyttävästi noita kuvia ei näe ilman tunnuksia foorumille. Saako tuon työkalun asennettua muihinkin pfSenseihin?
Fitlet 2 J3455-prosessorilla toiminut mallikkaasti 1000/100 Mbit/s kuituyhteyden perässä.
Ennen kuin lähdet ostamaan yhtään mitään, kannattaa kuitenkin kokeilla riittäisikö nykyinen rauta omiin tarpeisiin. Giganen yhteys kun on aika subjektiivinen asia, riippuen siitä mitä kyseisellä yhteydellä tehdään.
