Tee-se-itse: Rautapalomuurit (pfSense, Sophos UTM..) (Mitä käytätte ja miksi juuri se vaihtoehto?)

Toimiiko teillä 2.5.0 pfSense päivityksen jälkeen?

Ilmeisesti DNS:n kanssa on edelleen ongelmia: r/PFSENSE - Since upgrading to 2.5, DNS Resolver (unbound) keeps stopping itself

Itse en jaksanut vielä päivitellä, kun ei riitä aika selveitellä ongelmia ja asennella vanhempia versioita takaisin. Seuraan tilannetta vielä hetken ennen päivitä-näppäimen painamista. :)

Oma pfSense on nyt pyöriny 2 päivää ja 7 tuntia ongelmitta 2.5.0 -versioon päivityksen jälkeen. Tosin itellä ei oo mikään monimutkainen asennus, ainoastaan lisäpaketteina on Acme, FreeRadius3, OpenVPN-client-export ja pfBlockerNG-devel.
 
Jaaha, pitikin päivittää. Pingi menee läpi diagnostics -> ping, mutta eipä verkon koneilta pääse nettiin.

edit: oliDNS resolver stopped
 
Viimeksi muokattu:
Jaaha, pitikin päivittää. Pingi menee läpi diagnostics -> ping, mutta eipä verkon koneilta pääse nettiin.

edit: oliDNS resolver stopped

Itelläkin toi DNS Resolver/Unbound tippu pois päältä kun päivitin tuohon 2.5.0 -versioon. Se taitaa liittyä siihen edelleen päällä olevaan pbBlockerNG:n bugiin, jossa se Unbound lakkaa myös toimimasta ainakun pfBlockerNG päivitetään uuteen versioon.

Vai onko sulla toi pfBlockerNG käytössä?
 
Itelläkin toi DNS Resolver/Unbound tippu pois päältä kun päivitin tuohon 2.5.0 -versioon. Se taitaa liittyä siihen edelleen päällä olevaan pbBlockerNG:n bugiin, jossa se Unbound lakkaa myös toimimasta ainakun pfBlockerNG päivitetään uuteen versioon.

Vai onko sulla toi pfBlockerNG käytössä?

Hyvä tietää. On käytössä juu.
 
pfSense 2.4.5p1:ssä itsellä on prosesseja enemmän kuin puolet, jotka on käynnistetty 14.6.2020. Unbound on 12.2.2021. Vuosiin tähän versioon asti DHCP-leasejen rekisteröintiä Unboundiin en ole voinut käyttää, ja samoin Service Watchog -paketti on aivan kriittisen tärkeä (Unboundille erityisesti). Ilmeisesti 2.5.0 ei tule tätä kuviota muuttamaan
 
Asenna Service Watchdog pitämään se käynnissä, toki vain väliaikainen ratkaisu. OPNSense käy ja kukkuu täällä hyvin, eipä ole enää PFSenseä ikävä.
Tuo Unboundin kaatuilu taitaa johtua FreeBSD:stä jos oikein ymmärsin. Netgate lupasi selvittää asiaa ja korjata ongelman nimenomaan FreeBSD:n puolella.
 
Onko kokemuksia PFSense -> OpenSense -migraatiosta? Vaatiko kaikkien asetusten säätämisen käsin vai voiko PFSensen backupista palautella jotain osioita? Löysin jotain vanhoja juttuja mutta tulin siihen käsitykseen, että järjestelmät ovat kehittyneet sen verran erilaisiksi, ettei enää voi juuri mitään importata.

Pakko alkaa muurin käyttis vaihtamaan kun sulkevat PFSensen koodin. Vaihtoehtoina tällä hetkellä harkinnassa IPFire ja OpenSense. IPFiressä vaan taitaa vlan konffaus GUI:n kautta olla vielä aika heikolla pohjalla. Toisaalta ei mulla ole tarvetta olla kuin 3-4 vlania.
 
Onko kokemuksia PFSense -> OpenSense -migraatiosta? Vaatiko kaikkien asetusten säätämisen käsin vai voiko PFSensen backupista palautella jotain osioita? Löysin jotain vanhoja juttuja mutta tulin siihen käsitykseen, että järjestelmät ovat kehittyneet sen verran erilaisiksi, ettei enää voi juuri mitään importata.

Pakko alkaa muurin käyttis vaihtamaan kun sulkevat PFSensen koodin. Vaihtoehtoina tällä hetkellä harkinnassa IPFire ja OpenSense. IPFiressä vaan taitaa vlan konffaus GUI:n kautta olla vielä aika heikolla pohjalla. Toisaalta ei mulla ole tarvetta olla kuin 3-4 vlania.
Ei onnistu suora migraatio, eli joudut tekemään kaiken manuaalisesti.

pfSense Community Editionin koodia ei olla sulkemassa, joten en näe erityistä tarvetta hätiköidä korvaavien vaihtoehtojen suhteen.
 
Kiitos tiedosta. Olen varmaankin lukenut jotain artikkelia sitten huolimattomasti. Taidan sitten pysyä vielä ainakin jonkun aikaa PFSensessä niin ei tarvitse hukata aikaa säätämiseen.
 
Kiitos tiedosta. Olen varmaankin lukenut jotain artikkelia sitten huolimattomasti. Taidan sitten pysyä vielä ainakin jonkun aikaa PFSensessä niin ei tarvitse hukata aikaa säätämiseen.

PFSensen backup-filusta saa tuotua OPNSenseen asetuksia, kannattaa vaan tuoda osio kerrallaan ja tarkistaa että ne toimii, sitten tallentaa OPNSensen config ja palauttaa seuraava PFSensen configista, rinse and repeat. Esimerkiksi aliakset ei siirry suoraan kun palauttaa palomuurin säännöt. Aliakset joutuu naputtelemaan käsin, oli nopsa kun avasi asetukset vierekkäisiin ikkunoihin ja naputteli vaan.
 
Asenna Service Watchdog pitämään se käynnissä, toki vain väliaikainen ratkaisu. OPNSense käy ja kukkuu täällä hyvin, eipä ole enää PFSenseä ikävä.
Sama. Opnsensen 21.1 käy ja kukkuu. Pistin IDS:n vaihteeksi päälle tuolla ETPro Telemetryllä, niin saa jännitystä ja ihmettelyä elämään.
 
Ei siis vielä CE versiota.
 
Ei siis vielä CE versiota.
Eikä sitä ole tuolla kontentilla tulossakaan, koska tuon pitäisi korjata SG3100. Odotamme mielenkiinnolla selitystä miten he rikkoivat sen, ja millä innovatiivisella ratkaisulla sen ehkä korjasivat
EDIT: Meriselitys pfSense: Obscure Bugs and Code Wizards
EDIT2: Eli ilmeisesti buginen ARM-kääntäjä syyllinen. Oliko sen versio vaihtunut vai mitä, sitä ei päivitys kertonut. Toivottavasti Netgatella on nyt kaistaa multi-WAN port forwardin fiksiin
 
Viimeksi muokattu:
Kotiin pitäisi hommata pfSense purkki.
Google tiesi kertoa, että HP T730 ja T740 thin clientit olisivat hyvä kun liittää Intel i350-T2 tai i350-T4 nicin.

Ei vaan tunnu löytyvän infoa, riittääkö T730:n teho 1000/100 kaistaan, jos on kaikki herkut ja OpenVPN päällä? T740 luulisi ainakin riittävän.
Ärsyttää, jos tulee ostettua vajaa tehoinen laite.
Siksi laitteen pitäisi olla maltillisen kokoinen, koska tulee tyypilliseen sähkökaapin alla olevaan it-kaappiin

Onko tuo i350-Tx niin suositeltava ja hyvä, että fitlet2 ym valmispurkit eivät pärjää heikomman i211 verkkokortin takia?
 
Kotiin pitäisi hommata pfSense purkki.
Google tiesi kertoa, että HP T730 ja T740 thin clientit olisivat hyvä kun liittää Intel i350-T2 tai i350-T4 nicin.

Ei vaan tunnu löytyvän infoa, riittääkö T730:n teho 1000/100 kaistaan, jos on kaikki herkut ja OpenVPN päällä? T740 luulisi ainakin riittävän.
Ärsyttää, jos tulee ostettua vajaa tehoinen laite.
Siksi laitteen pitäisi olla maltillisen kokoinen, koska tulee tyypilliseen sähkökaapin alla olevaan it-kaappiin

Onko tuo i350-Tx niin suositeltava ja hyvä, että fitlet2 ym valmispurkit eivät pärjää heikomman i211 verkkokortin takia?
Itsellä HP T730 Intelin i340-T4:llä, hienosti on pelannut. Nopeudesta en valitettavasti osaa sen kummemmin sanoa, kuin että ilman IDS/IPS 300/20M kaapelinetillä prosessorikäyttö oli maksimissaan luokkaa 20-25% täydellä nopeudella ladatessa. Nykyisin 100/50 ja tällä pyörii jossain 5-8% korvilla. Jos tuosta nyt jotain voi päätellä niin pitäisi 1Gbit mennä kyllä läpi, mutta IDS/IPS vaikutusta en osaa arvioida. En jaksa alkaa sitä virittelemään, koska koen turhaksi jos palveluja ei ole auki internetiin ja tuo ei kuitenkaan täysin asenna ja unohda tyyppinen ratkaisu ole vaan sitä on seurailtava aika-ajoin.

Edit: Täytyy katsoa jos jaksaisi jossain vaiheessa testata laittamalla läppärin WAN portin perään ja iperfillä vaikka ajella testiä jostain sisäverkosta.
 
Viimeksi muokattu:
@Seimari Tulipa testattua samantien, 800-950Mbit tuli läpi WANilta sisäverkkoon neljällä rinnakkaisella siirrolla iperfissä TCP:llä. En tiedä miten todellista kuvaa liikenteestä tuo antaa, prosessorikäyttö oli kuitenkin korkeimmillaan 20% joten epäilen että ei ihan verrattavissa todelliseen liikenteeseen. Lisäksi jostain syystä heitteli jonkun verran nuo nopeudet, välillä kävi jossain 500Mbit ja seuraavilla ajoilla taas nousi takaisin 900, mene ja tiedä. Prosessorikuormaa tuosta ainakaan ei paljoa tullut.
 
@Seimari Tulipa testattua samantien
Kiitoksia todella paljon.
En välttämättä itsekkään tarvitse IDS/IPS:ää mutta VPN, dhcp, CodelQ traffic shaper ja ehkä pfBlockerNG.

Kyllä mä voisin T730:llä mennä, kauhea hintaero T740:een. i350 kylkeen.

Edit: Ebayssa oli lähes kaikilla myyjillä geneerinen kuva i350-T2V2:sta ja i350-T4V2:stä, jota ei pystynyt zoomaamaan, enkä jaksanut odotella lähikuvia (joista voisit tunnistaa kiinalaiset kopiot),
joten ostin sitten T4V2:n uutena.
 
Viimeksi muokattu:
Onko tuo i350-Tx niin suositeltava ja hyvä, että fitlet2 ym valmispurkit eivät pärjää heikomman i211 verkkokortin takia?
Itse ottaisin fitlet2:n jo pelkästään vähäisemmän sähkönkulutuksen takia. i211 ei missään nimessä ole huono verkkokortti. Etenkään kotikäytössä.
 
pfBlockerNG-devel v3.0.0_14 jo julkaistu :D
Nyt on vuorossaan pfBlockerNG-devel v3.0.0_15

CHANGELOG:
 
1615214117713.png


Mites nuo asetukset kannattaisi olla?
HP T730:ssa Intel i350-T4V2 verkkokortti ja tulossa 1000/100 kaista.

Varsinkin tuosta "hn ALTQ supportista" oli aika vähän tietoa. Ilmeisesti liittyy jotenkin Hyper-V:hen, joka ei ole käytössä tässä tilanteessa.
Ihmetyttää kuitenkin tuo "The ALTQ support disables the multiqueue API and may reduce the system capability to handle traffic". Eli täppä pois händlää paremmin liikennettä?
 
Mites nuo asetukset kannattaisi olla?
Oma tulkintani on, että edelleen Netgaten painokas suositus on, että (epäintuitiivisesti ja parhaan suorituskyvyn saavuttamiseksi oikeassa, ei virtualisoidussa ympäristössä) korkeintaan
Hardware Checksum Offloading kannattaisi olla päällä (eli Disable-ruksi puhdas ylimmässä). Keskimmäisiin päälle ja hn ALTQ pois Configuration — Advanced Configuration Options — Networking Tab | pfSense Documentation
 
Oma tulkintani on, että edelleen Netgaten painokas suositus on, että (epäintuitiivisesti ja parhaan suorituskyvyn saavuttamiseksi oikeassa, ei virtualisoidussa ympäristössä) korkeintaan
Hardware Checksum Offloading kannattaisi olla päällä (eli Disable-ruksi puhdas ylimmässä). Keskimmäisiin päälle ja hn ALTQ pois Configuration — Advanced Configuration Options — Networking Tab | pfSense Documentation
Kiitoksia, laittamassasi linkissä oli selkeästi kerrottu suositukset.
 
Valmis laite kyseessä, mutta tulipa taloyhtiölle asennettua Netgate SG-1100. Pääasiallinen tarkoitus mahdollistaa etäyhteys olemattomalla tietoturvalla varustettuun Fidelix FX2030:aan. Lykkäsin toki tuon taakse myös Niben maalämpöpumput, jotka olivat aiemmin julkisessa verkossa suoraan. Tosin jo aikaa sitten hammeroin nuo läpi että millä mallilla tietoturva on ja ihan hyvältä vaikutti kun ei vastaillut muistaakseni mihinkään pyyntöihin.

Tuota verkkoa on sitten näppärä jatkojalostaa jos haluaisi vaikka jotain sähköistä porrastaulua tms. tai jos vaikka muuttaisi taloyhtiöstä pois niin siirtäisi kameravalvonnan tallentimen VPN:n taakse etäkatselua varten. Nyt tuo on reititetty runkokaapeleita pitkin omaan kotiverkkoon (olen hallituksen pj. ja järjestelmän pääkäyttäjä).
 

In February 2020, FreeBSD developer Matt Macy pushed the first WireGuard-related commit to FreeBSD. Macy's work was directly commissioned by Netgate, the company behind the BSD-based pfSense router distribution.



After nearly a year's work, Macy's port was imported to the kernel scheduled for FreeBSD 13.0-RELEASE, which is expected to launch in 15 days. Unfortunately, there was a problem—after WireGuard's own Jason Donenfeld reviewed it alongside several FreeBSD and OpenBSD developers, it was judged unready for prime time:

I imagined strange Internet voices jeering, “this is what gives C a bad name!” There were random sleeps added to “fix” race conditions, validation functions that just returned true, catastrophic cryptographic vulnerabilities, whole parts of the protocol unimplemented, kernel panics, security bypasses, overflows, random printf statements deep in crypto code, the most spectacular buffer overflows, and the whole litany of awful things that go wrong when people aren’t careful when they write C.


Kannattaa tuosta vielä lukea minkälaisia kusipäitä noi PFsensen kehittäjät on.
 


Kannattaa tuosta vielä lukea minkälaisia kusipäitä noi PFsensen kehittäjät on.

:rofl: Kommenteista löytyy kultaa:

IDK how many people are going to actually follow the link to see the anti-opnSense attack site Netgate founder Thompson created, put at opnSense.com, and opnSense had to win a lawsuit to resolve. And it takes quite a while for web.archive.org to render enough of the CSS to give you the full impact. But when it does, YOWZA...

opnsense.png

Netgatella osataan markkinointi.
 
Tuosta kannattaa miettiä myös millaista koodi pfSensessä ja Netgaten tavaroissa yleensäkin voi olla. Tuo koodi, mikä ei kelvannut FreeBSD:hen on kuitenkin siinä pfSense 2.5:ssa mukana. Mitäköhän muitakin vastaavia onnenpotkuja sieltä sitten löytyy.
Jep ja sattumalta osa ainakin meni suljetuksi tuosta PFsensestä. En seuraa tarpeeksi tuota roskaprojektia, että mitä siinä käytännössä tapahtu. Draama on tietenki aina viihdyttävää ja mukava nähdä miten noi mulkut kaivaa kuoppaansa vähän väliä.
 
Iski jonkinlainen kotiverkon päivityskiima päälle ja ajattelin aloittaa projektin verkon reunalta ja pistää ensimmäisenä palomuurin/reitittimen uusiksi. Mitään itx-kikkareita en jaksaisi rakennella, joten tarkoitus olisi löytää pitkälle tulevaisuuteenkin riittävä barebone-rauta.

Onko niin, että paras ratkaisu on vieläkin fitlet2, vaikka tuollakin jo alkaa ikää olemaan ?
Entä kumpi prossuvaihtoehto tuossa olisi parempi Celeron J3455 vai Atom E3950 ? Atom vissiin syö vähän vähemmän virtaa, mutta mikä lienee ero suorituskyvyssä ?

Jos tuohon asentaa OpenVPN:n, niin kuinka pitkälle potkua riittää ? Nykyinen nettiyhteys tosin on 100M/10M, niin tuskin muodostuu pullonkaulaksi, mutta jos sitä joskus saisi vaikka 1G liittymän, niin millaisia nopeuksia on vpn tunnelin läpi odotettavissa ?

Kauheesti tuli kysymyksiä ja varmaan osaan tästä ketjusta jo vastauskin löytyisi, mutta en haulla saanut osumaa.

Ps. @escalibur Olisiko liikaa vaivaa, jos päivittäisit ketjun aloitusviestiin myös näitä eri rautavaihtoehtoja, alkaa ketju olemaan jo senverran pitkä, että joutuu jo oikeesti selailemaan linkkejä etsiessä :)
 
Itse rakensin pfsensen Intel NUC (NUC8i3BEH) päälle koska teho/hinta suhde oli siinä hyvä. Siinä on vain yksi ethernet liitin joten päädyin käyttämään VLAN configuraatiota. Vaati tosin kytkimen joka tukee VLAN ja hivenen opiskelua. Uusissa NUC pro versioissa taitaa olla kaksi verkko liitäntää mutta saatavuus ja hinnoittelu taitaa olla noissa vielä huonolla mallilla.

Itse pfsense pyörii virtuaalikoneessa Ubuntussa. Näin sain serverin ja pfsensen pyörimään samaan hardwareen säästäen tässä hivenen. Kevyesti menee nettini maksimi 400Mbs läpi tästä systeemistä.
 
Iski jonkinlainen kotiverkon päivityskiima päälle ja ajattelin aloittaa projektin verkon reunalta ja pistää ensimmäisenä palomuurin/reitittimen uusiksi. Mitään itx-kikkareita en jaksaisi rakennella, joten tarkoitus olisi löytää pitkälle tulevaisuuteenkin riittävä barebone-rauta.

Onko niin, että paras ratkaisu on vieläkin fitlet2, vaikka tuollakin jo alkaa ikää olemaan ?
Entä kumpi prossuvaihtoehto tuossa olisi parempi Celeron J3455 vai Atom E3950 ? Atom vissiin syö vähän vähemmän virtaa, mutta mikä lienee ero suorituskyvyssä ?

Jos tuohon asentaa OpenVPN:n, niin kuinka pitkälle potkua riittää ? Nykyinen nettiyhteys tosin on 100M/10M, niin tuskin muodostuu pullonkaulaksi, mutta jos sitä joskus saisi vaikka 1G liittymän, niin millaisia nopeuksia on vpn tunnelin läpi odotettavissa ?

Kauheesti tuli kysymyksiä ja varmaan osaan tästä ketjusta jo vastauskin löytyisi, mutta en haulla saanut osumaa.

Ps. @escalibur Olisiko liikaa vaivaa, jos päivittäisit ketjun aloitusviestiin myös näitä eri rautavaihtoehtoja, alkaa ketju olemaan jo senverran pitkä, että joutuu jo oikeesti selailemaan linkkejä etsiessä :)
Yritetään... :) Nuo asiat elää sen verran että pitää hetken aikaa perehtyä mitä kaikkea kehtäisi suositella. Aihe on myös kanavan to-do listalla. :)
 
  • Tykkää
Reactions: jad
Itse rakensin pfsensen Intel NUC (NUC8i3BEH) päälle koska teho/hinta suhde oli siinä hyvä. Siinä on vain yksi ethernet liitin joten päädyin käyttämään VLAN configuraatiota. Vaati tosin kytkimen joka tukee VLAN ja hivenen opiskelua. Uusissa NUC pro versioissa taitaa olla kaksi verkko liitäntää mutta saatavuus ja hinnoittelu taitaa olla noissa vielä huonolla mallilla.
Senverran vanha naavaparta olen, että kyllä mieluusti laitteessa saisi olla perinteiset RED ja GREEN interfacet ihan fyysisinä :) Vaikka eipä nuo VLAN:t mitään rakettitiedettä ole, joskus sentään tullut ihan töidenkin puolesta verkkojen kanssa pelehdittyä. Itseasiassa harkinnassa on vielä sekin, että lähdenkö rakentamaan systeemiä ollenkaan pfsensellä vai lyönkö masokistina kädet saveen ja rakentelen halutun systeemin nollista. Mutta kiitos tuosta NUC Pro vinkistä, olen ollut siinä uskossa, että saatavilla on vain yhden verkkointerfacen versioita.

Itse pfsense pyörii virtuaalikoneessa Ubuntussa. Näin sain serverin ja pfsensen pyörimään samaan hardwareen säästäen tässä hivenen. Kevyesti menee nettini maksimi 400Mbs läpi tästä systeemistä.
Tarkoitatko siis, että tuo 400Mbps menee VPN:n läpi heittämällä ?
 
Olen etsiskellyt omaan käyttööni uutta reititintä. Kotiin tulee 1000/50 kaista, jota on nyt jakamassa kaapelimodeemi. En ole kuitenkaan ihan tyytyväinen tuon suorituskykyyn ja haluaisin ulkoistaa reititin-tehtävät erilliselle laitteelle. Alkuun katsoin reitittimeksi Edgeroutereita, mutta huono saatavuus ja Ubiquitin suuntautuminen vahvasti Unifi-laitteiden suuntaan antaa vähän vaikutelmaa, että tuki laitteita kohtaan tulee heikkenemään. Mikrotik olisi toinen vaihtoehto, mutta niiden kohdalla olen lukenut vähän vaihtelevia mielipiteitä tietoturvan tasosta. Jäljelle jääkin näiden pohdintojen jälkeen enää pfSense (ja sen tyyppiset toteutukset).

Reitittimelle tärkein ominaisuus olisi toimiva SQM upload-puolelle. Tarpeellinen, mutta ei välttämätön ominaisuus olisi AES-NI-tuki VPN yhteyksiä varten. Kaikki muu on plussaa. Alkuun katsoin NUC-koneita, mutta niissä rajoite on yleensä Ethernet-porttien määrä. Sitten törmäsin tällaisiin "DIY-modeemi" laitteisiin, jotka kuulostaisivat aika hyvältä. Onko tällaisista vastaavista jotain ihan selkeää suositusta ylitse muiden? Budjetin olen rajannut n. 350€. Tarkoitus olisi siis hankkia sellainen laite, joka ei muodostu pullonkaulaksi symmetrisellä 1Gb yhteydelläkään kovin herkästi. Tuollainen i5-pohjainen laite on varmaan ylimitoitettu nykyiseen kaistaan ja käyttöön, mutta koittaisin hankkia sellaisen, jota ei tarvitse kohta vaihtaa. Hinnat tällaisille laitteille kuitenkin alkavat 200€ nurkilta.

Onko näillä kriteereillä järkeä lähteä rakentamaan omaa reititintä vai kannattaisiko vaan etsiä joku Edgerouter/Mikrotik ja mennä sillä? Hintaeroa ei nyt älyttömästi tunnu jäävän ellei ihan halvinta mahdollista reititintä osta.
 
Alkuun katsoin reitittimeksi Edgeroutereita, mutta huono saatavuus ja Ubiquitin suuntautuminen vahvasti Unifi-laitteiden suuntaan antaa vähän vaikutelmaa, että tuki laitteita kohtaan tulee heikkenemään.

Itse en miettisi tuota ongelmana, mitä vähemmän nykyiset Ubiquitin kaverit koskevat firmwareen, sitä parempaa tavaraa. Edgerouter on kuitenkin ominaisuuksien puolesta reippaasti edellä tulevia UISP reitittimiä kuin myös Unifi tuotteita. Käytettynä noita näyttäisi sen lisäksi liikkuvan kohtuullisen edullisesti, eli et paljon menetä jos kokeilet. Edgerouter X ei riitä potku, mutta ERL:stä voisi kenties jo (ER4/ER6P etc sitten paremmin). ER3-Lite näyttää lähtevän n. ~30-40e hintaan ebaysta, ER4/ER6P on vähän harvinaisempia siellä, mutta satasen pintaan selvinnee. Itse olen omaan 6P:hen tyytyväinen (1000/100 yhteydellä), mutta en kovin paljon liikennettä muokkaa reitittimessä vaan ohjailen vain eri VLANeihin tarvittaessa.

Edgerouterin kanssa kuitenkin onnistuu asetusten siirtäminen myöhemmin vaikkapa VyOSsiin kohtuullisen kivuttomasti (tai voit tehdä kuten minä, aloitin VM:ssä pyörivällä VyOSilla ja ostin myöhemmin Edgerouterin). pfSensestä pysyisin kaukana (siihen jengiin ei voi luottaa), tuon kaltaisen tuotteen kohdalla sitten OPNsense.
 
pfSensestä pysyisin kaukana (siihen jengiin ei voi luottaa), tuon kaltaisen tuotteen kohdalla sitten OPNsense.
Jos ei kuitenkaan maalattaisiin piruja seinille ilman todisteita pfSensen luotettavuuden puutteista. Netgaten omista sekoilusta huolimatta, kyse on edelleen loistavasta palomuurisoftasta.
 
Itse en miettisi tuota ongelmana, mitä vähemmän nykyiset Ubiquitin kaverit koskevat firmwareen, sitä parempaa tavaraa. Edgerouter on kuitenkin ominaisuuksien puolesta reippaasti edellä tulevia UISP reitittimiä kuin myös Unifi tuotteita. Käytettynä noita näyttäisi sen lisäksi liikkuvan kohtuullisen edullisesti, eli et paljon menetä jos kokeilet. Edgerouter X ei riitä potku, mutta ERL:stä voisi kenties jo (ER4/ER6P etc sitten paremmin). ER3-Lite näyttää lähtevän n. ~30-40e hintaan ebaysta, ER4/ER6P on vähän harvinaisempia siellä, mutta satasen pintaan selvinnee. Itse olen omaan 6P:hen tyytyväinen (1000/100 yhteydellä), mutta en kovin paljon liikennettä muokkaa reitittimessä vaan ohjailen vain eri VLANeihin tarvittaessa.

Edgerouterin kanssa kuitenkin onnistuu asetusten siirtäminen myöhemmin vaikkapa VyOSsiin kohtuullisen kivuttomasti (tai voit tehdä kuten minä, aloitin VM:ssä pyörivällä VyOSilla ja ostin myöhemmin Edgerouterin). pfSensestä pysyisin kaukana (siihen jengiin ei voi luottaa), tuon kaltaisen tuotteen kohdalla sitten OPNsense.

Okei, kiitos vinkeistä!

Samaa olen itse katsonut, että ERL olisi käytännössä ensimmäinen riittävän tehokas laite ja ER4 ja -6P sitten varmasti hyviä. Nyt kun käytössä on jo laite, joka ei oikein riitä, niin ei viitsi ostaa parilla kympillä juuri ja juuri riittävää ERL:ää. Jos nyt vaihdan laitteita, niin ostan sellaiset mitä en heti vaihda eli ER4 olisi järkevin vaihtoehto. Uudet ER4:t maksavat kuitenkin 200€ (jos sellaisen löytää) ja tuohon rahaan saisi rakennettua selvästi tehokkaammaan OPNSense reitittimen. Tuntuu, että olen valintani tavallaan jo tehnyt ja nyt vaan mietin millä raudalla reititintä pyörittäisin.

Asetan näissä hommissa jonkin verran hintaa myös omalle ajalle ja kaikkea mahdollista en jaksaisi itse testata.
 
Jos ei kuitenkaan maalattaisiin piruja seinille ilman todisteita pfSensen luotettavuuden puutteista. Netgaten omista sekoilusta huolimatta, kyse on edelleen loistavasta palomuurisoftasta.

Netgate on se joka pfSenseä tekee. He ovat näyttäneet jo valmiiksi (köh, pfSense 2.5) että voivat tunkea pihalle aivan mitä sontaa sattuu, ja hyökkäävät suoraan aina muita OSS-developereita vastaan. Miksi tukea sellaista firmaa - tai käyttää palomuuria jonka valmistaja on täysin epäluotettava tapaus?
 
Asetan näissä hommissa jonkin verran hintaa myös omalle ajalle ja kaikkea mahdollista en jaksaisi itse testata.

Tuo tuntuu hieman huvittavalta ilmaisulta jos ajattelit sitten rakentaa omasta raudasta ja itse asentaa vehkeeseen ohjelmistot. Eikös se nimenomaan vie enemmän aikaa? ;)
 
Tuo tuntuu hieman huvittavalta ilmaisulta jos ajattelit sitten rakentaa omasta raudasta ja itse asentaa vehkeeseen ohjelmistot. Eikös se nimenomaan vie enemmän aikaa? ;)

Heh, tavallaan juu. Tarkoitin lähinnä sitä, että en tykkää testailla laitteita, jotka edes paperilla eivät meinaa täyttää kriteereitä. Mieluummin otan saman tien sen riittävän ja opettelen sen käytön. Ehkä parempi ilmaisu olisi ollut, että en tykkää käyttää aikaa sellaisen laitteen opiskeluun, joka ei tule olemaan pysyvä ratkaisu.
 
Netgate on se joka pfSenseä tekee. He ovat näyttäneet jo valmiiksi (köh, pfSense 2.5) että voivat tunkea pihalle aivan mitä sontaa sattuu, ja hyökkäävät suoraan aina muita OSS-developereita vastaan. Miksi tukea sellaista firmaa - tai käyttää palomuuria jonka valmistaja on täysin epäluotettava tapaus?
Edelleenkään Netgaten omat sekoilut eivät liity pfSensen CE:n luotettavuuteen joka on avointa lähdekoodia ja jokaisen tarkistettavissa. Kuten sanoin ei lähdetä väittämään jotain sellaista joka ei perustu mihinkään lähteisiin, vaan lähinnä omiin uskomuksiin. pfSense on tälläkin hetkellä vähintäänkin yhtä turvallinen kuin OPNsense, VyOS tai mikä muu vastaava. Silloin kun asiasta uutisoidaan näytteiden kera, voidaan asiasta olla eri mieltä.
 

Statistiikka

Viestiketjuista
262 754
Viestejä
4 556 625
Jäsenet
75 052
Uusin jäsen
akaboele

Hinta.fi

Back
Ylös Bottom